- •1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность
- •О необходимости объектно-ориентированного подхода к информационной безопасности
- •Основные понятия объектно-ориентированного подхода
- •Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
- •3. Лекция: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •4. Лекция: Законодательный уровень информационной безопасности(Лекция 29 октября
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности
- •Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информационных технологиях и о защите информации"
- •Другие законы и нормативные акты
- •Обзор зарубежного законодательства в области информационной безопасности
- •О текущем состоянии российского законодательства в области информационной безопасности
- •5. Лекция: Стандарты и спецификации в области информационной безопасности
- •Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
- •Основные понятия
- •Механизмы безопасности
- •Классы безопасности
- •Информационная безопасность распределенных систем. Рекомендации X.800
- •Сетевые сервисы безопасности
- •Сетевые механизмы безопасности
- •Администрирование средств безопасности
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Основные понятия
- •Функциональные требования
- •Требования доверия безопасности
- •Гармонизированные критерии Европейских стран
- •Интерпретация "Оранжевой книги" для сетевых конфигураций
- •Руководящие документы Гостехкомиссии России
- •6. Лекция: Административный уровень информационной безопасности
- •Основные понятия
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •7. Лекция: Управление рисками
- •Основные понятия
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •8. Лекция: Процедурный уровень информационной безопасности
- •Основные классы мер процедурного уровня
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •9. Лекция: Основные программно-технические меры
- •Основные понятия программно-технического уровня информационной безопасности
- •Особенности современных информационных систем, существенные с точки зрения безопасности
- •Архитектурная безопасность
- •10. Лекция: Идентификация и аутентификация, управление доступом
- •Идентификация и аутентификация
- •Основные понятия
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •Управление доступом
- •Основные понятия
- •Ролевое управление доступом
- •Управление доступом в Java-среде
- •Возможный подход к управлению доступом в распределенной объектной среде
- •11. Лекция: Протоколирование и аудит, шифрование, контроль целостности
- •Протоколирование и аудит
- •Основные понятия
- •Активный аудит
- •Основные понятия
- •Функциональные компоненты и архитектура
- •Шифрование
- •Контроль целостности
- •Цифровые сертификаты
- •12. Лекция: Экранирование, анализ защищенности
- •Экранирование
- •Основные понятия
- •Архитектурные аспекты
- •Классификация межсетевых экранов
- •Анализ защищенности
- •13. Лекция: Обеспечение высокой доступности
- •Доступность
- •Основные понятия
- •Основы мер обеспечения высокой доступности
- •Отказоустойчивость и зона риска
- •Обеспечение отказоустойчивости
- •Программное обеспечение промежуточного слоя
- •Обеспечение обслуживаемости
- •14. Лекция: Туннелирование и управление
- •Туннелирование
- •Управление
- •Основные понятия
- •Возможности типичных систем
- •15. Лекция: Заключение
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
Требования доверия безопасности
Установление доверия безопасности, согласно "Общим критериям", основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
действия разработчиков;
представление и содержание свидетельств;
действия оценщиков.
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
разработка (требования для поэтапной детализации функций безопасности от краткой спецификации до реализации);
поддержка жизненного цикла (требования к модели жизненного цикла, включая порядок устранения недостатков и защиту среды разработки);
тестирование;
оценка уязвимостей (включая оценку стойкости функций безопасности);
поставка и эксплуатация;
управление конфигурацией;
руководства (требования к эксплуатационной документации);
поддержка доверия (для поддержки этапов жизненного цикла после сертификации);
оценка профиля защиты;
оценка задания по безопасности.
Применительно к требованиям доверия в "Общих критериях" сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
Оценочный уровень доверия 1 (начальный) предусматривает анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимоетестирование. Уровень применим, когда угрозы не рассматриваются как серьезные.
Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровняобъекта оценки, выборочное независимоетестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест.
На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
На уровне 4 добавляются полная спецификация интерфейсов, проекты нижнего уровня, анализ подмножествареализации, применение неформальноймоделиполитики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого можно достичь при существующей технологии программирования и приемлемых затратах.
Уровень 5, в дополнение к предыдущим, предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификации и проекта верхнего уровня сдемонстрацией соответствиямежду ними. Необходимо проведение анализа скрытых каналов разработчиками и оценщиками.
На уровне 6 реализациядолжна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
Оценочный уровень 7 (самый высокий) предусматривает формальную верификациюпроекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
На этом мы заканчиваем краткий обзор "Общих критериев".