- •1. Актуальность защиты информации. Предпосылки кризиса систем защиты информации (сзи). Современные требования к сзи.
- •Электромагнитные каналы утечки информации
- •5. Факторы, воздействующие на информацию (гост р 51275-99). Внешние, внутренние, объективные и субъективные.
- •8. Парольные системы. Методы компрометации паролей и защиты от нее. Количественная оценка стойкости парольных систем.
- •9. Аудит: регистрация потенциально опасных событий в компьютерной системе, необходимость, требования, политика аудита.
- •Мандатное управление доступом
- •(Принудительное, нормативное, меточное)
- •Метки безопасности
- •Мандатное управление доступом
- •Отличие от дискреционной защиты
- •12. Ролевое управление доступом (rbas). Основные понятия. Статическое и динамическое разделение обязанностей. Ролевое управление доступом
- •2.5.2. Таксономия требовании и критериев «Оранжевой книги»
- •2.5.2.1. Политика безопасности
- •2.5.2.2. Аудит
- •2.5.2.3. Корректность
- •2.5.2.4. Таксономия критериев безопасности
- •2.5.3. Классы безопасности компьютерных систем
- •2.6.2. Функциональные критерии
- •2.6.3. Критерии адекватности
- •4. Нормативное закрепление основополагающих принципов информационной
- •18. Канадские критерии безопасности компьютерных систем ctcpec. Таксономия функциональных критериев и критериев адекватности реализации системы безопасности информации. Уровни адекватности т0-т7.
- •2.9.2. Базовые понятия «Канадских критериев»
- •2.9.2.1 Объекты и субъекты
- •2.9.3. Основные положения и структура «Канадских критериев»
- •19. Концепция защиты от нсд к информации (рд гтк рф). Два направления - ас и свт. Модель нарушителя: уровни возможностей.
- •2.7.2. Таксономия критериев и требований безопасности
- •1. Классификация ас
- •2. Требования по защите информации от нсд для ас
- •1. Общие положения
- •1. Общие положения
- •2.Термины и определения
- •24. Испытания программных средств на наличие компьютерных вирусов (гост р 51188-98). Виды вирусов и методы испытаний.
- •1. Классификация авс
- •2. Требования по защите ас от вирусов
- •26. Специальные защитные знаки (сзз) (рд гтк рф). Классификация по возможности подделки, идентифицируемости и стойкости защитных свойств. Применение на объектах различной категории.
- •27. Гост р 15408:2002. Часть 1. Методология оценки безопасности ит. Области применения стандарта «Общие критерии».
- •28. Гост р 15408:2002. Часть 1. Последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности ит и краткая спецификация оо.
- •29. Гост р 15408:2002. Часть 1. Представление требований безопасности: классы, семейства, компоненты, элементы. Виды связей и зависимостей между компонентами, разрешенные операции с компонентами.
- •30. Гост р 15408:2002. Часть 1. Источники требований безопасности. Виды оценок: пз, зб, оо. Поддержка доверия.
- •31. Гост р 15408:2002. Часть 1. Особенности пз. Структура пз: введение, описание оо. Среда безопасности оо, цели безопасности, требования безопасности оо, замечания по применению, обоснование.
- •Функциональные компоненты безопасности
- •Структура класса
- •Структура семейства
- •Структура компонента
- •Разрешенные операции с функциональными компонентами
- •35. Гост р 15408:2002. Часть 3. Парадигма доверия в стандарте. Основные принципы стандарта. Значимость уязвимостей. Причины возникновения уязвимостей. Подход к доверию в стандарте. Роль оценки.
- •36. Гост р 15408:2002. Часть 3. Представление требований доверия к безопасности. Структура класса, семейства, компонента, элемента и оценочных уровней доверия.
- •Требования доверия к безопасности
- •38. Гост р 15408:2002. Часть 3. Обзор оценочных уровней доверия (оуд1 - оуд7). Примерное соответствие классам «Оранжевой книги», Европейских критериев и рд гтк рф.
30. Гост р 15408:2002. Часть 1. Источники требований безопасности. Виды оценок: пз, зб, оо. Поддержка доверия.
Профиль защиты
ПЗ содержит совокупность требований безопасности, взятых из ОК или сформулированных в явном виде, в которую следует включить ОУД (возможно, усиленный дополнительными компонентами доверия). ПЗ позволяет выразить независимые от конкретной реализации требования безопасности для некоторой совокупности ОО, которые полностью согласуются с набором целей безопасности. ПЗ предназначен для многократного использования и определения как функциональных требований, так и требований доверия к ОО, которые полезны и эффективны для достижения установленных целей. ПЗ также содержит логическое обоснование требований и целей безопасности.
Задание по безопасности
ЗБ содержит совокупность требований безопасности, которые могут быть определены ссылкой на ПЗ, ссылкой непосредственно на функциональные компоненты или компоненты доверия из ОК или же сформулированы в явном виде. ЗБ позволяет выразить для конкретного ОО требования безопасности, которые по результатам оценки ЗБ признаны полезными и эффективными для достижения установленных целей безопасности.
ЗБ содержит краткую спецификацию ОО совместно с требованиями и целями безопасности и логическим обоснованием для каждого из них. ЗБ является основой для соглашения между всеми сторонами относительно того, какую безопасность предлагает ОО.
Источники требований безопасности
Требования безопасности ОО могут быть скомпонованы с использованием следующих источников:
а) существующих ПЗ: требования безопасности ОО в ЗБ могут быть адекватно выражены непосредственно через требования, содержащиеся в существующем ПЗ или предполагать согласование с ними;
Существующие ПЗ можно использовать как основу для создания нового ПЗ.
б) существующих пакетов: часть требований безопасности ОО для ПЗ или ЗБ может быть уже выражена в пакете, который может быть использован;
Совокупностью предопределенных пакетов являются ОУД, определенные в части 3 настоящего стандарта. В требования доверия к ОО, входящие в ПЗ или ЗБ, следует включить какой-либо ОУД из этой части.
в) существующих компонентов функциональных требований или требований доверия: функциональные требования или требования доверия в ПЗ или ЗБ могут быть выражены непосредственно через компоненты, приведенные в частях 2 или 3 стандарта;
г) расширенных требований: в ПЗ или ЗБ могут быть использованы дополнительные функциональные требования, не содержащиеся в части 2 стандарта, и/или дополнительные требования доверия, не содержащиеся в части 3 стандарта.
Виды оценок
Оценка ПЗ
Оценка ПЗ выполняется согласно критериям оценки ПЗ, содержащимся в части 3 настоящего стандарта. Целью такой оценки является продемонстрировать, что профиль полон, непротиворечив, технически грамотен и пригоден для использования при изложении требований к ОО, предполагаемому для оценки.
Оценка ЗБ
Оценка ЗБ для ОО выполняется согласно критериям оценки ЗБ, содержащимся в части 3 настоящего стандарта. Такая оценка имеет две цели: во-первых, продемонстрировать, что ЗБ является полным, непротиворечивым, технически грамотным и, следовательно, пригодным для использования в качестве основы для оценки соответствующего ОО; во-вторых, в случае, когда в ЗБ имеется утверждение о соответствии некоторому ПЗ, – продемонстрировать, что ЗБ должным образом отвечает требованиям этого ПЗ.
Оценка ОО
Оценка ОО производится согласно критериям оценки, содержащимся в части 3 настоящего стандарта, с использованием в качестве основы ЗБ, прошедшего оценку. Цель такой оценки – продемонстрировать, что ОО отвечает требованиям безопасности, содержащимся в ЗБ.
Поддержка доверия
Поддержка доверия к ОО осуществляется в соответствии с критериями оценки из части 3 настоящего стандарта с использованием предварительно оцененного ОО в качестве основы. Цель состоит в том, чтобы убедиться, что доверие к ОО, установленное ранее, поддерживается, и что ОО будет продолжать отвечать требованиям безопасности после внесения изменений в него или в его среду.