- •9. Понятие компьютерных сетей и сетевых технологий. Классификация компьютерных сетей.
- •13 Основные сервисы (электронная почта, Web, ip-телефония, ip-телевидиние и др.) глобальной сети Интернет и их развитие.
- •19 Оценка информационной безопасности (иб): стандарты и классы иб, требования к иб.
- •21 Методы и средства защиты информации. Кодирование и декадирование информации.
- •23 Организационно-правовые аспекты защиты информации и авторское право.
- •27 Обыкновенные дифференциальные уравнения
- •29 Методы математической статистики
19 Оценка информационной безопасности (иб): стандарты и классы иб, требования к иб.
Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
Стандарт ISO содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Ключевыми являются следующие средства контроля:
· Документ о политике информационной безопасности;· Распределение обязанностей по обеспечению информационной безопасности;·Обучение и подготовка персонала к поддержанию режима информационной безопасности;· Уведомление о случаях нарушения защиты;· Средства защиты от вирусов;· Планирование бесперебойной работы организации;· Контроль над копированием программного обеспечения, защищенного законом об авторском праве;· Защита документации организации;· Защита данных;· Контроль соответствия политике безопасности.
«Оранжевая книга» - документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы их сертификации по критериям защиты информации.
В «Оранжевой книге» дано определение безопасной системы - это система, которая посредством специальных механизмов защиты контролирует доступ к информации.
В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Минимальная защита
Класс C1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом работы. защита, основанная на разграничении доступа
Класс C2 (в дополнение к C1): все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться; каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; ликвидация всех следов внутреннего использования объектов ИС. Защита, основанная на управляемом контроле доступом
Класс B1 (в дополнение к C2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам. Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем
Класс B2 (в дополнение к B1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией; ИС должна быть внутренне структурирована и демонстрировать устойчивость к попыткам проникновения. Структурированная защита
Класс B3 (в дополнение к B2): для управления доступом должны использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ. Домены безопасности
Класс A1 (в дополнение к B3): тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности. Верифицированный проект