- •1. Актуальность защиты информации. Предпосылки кризиса систем защиты информации (сзи). Современные требования к сзи.
- •Электромагнитные каналы утечки информации
- •5. Факторы, воздействующие на информацию (гост р 51275-99). Внешние, внутренние, объективные и субъективные.
- •8. Парольные системы. Методы компрометации паролей и защиты от нее. Количественная оценка стойкости парольных систем.
- •9. Аудит: регистрация потенциально опасных событий в компьютерной системе, необходимость, требования, политика аудита.
- •Мандатное управление доступом
- •(Принудительное, нормативное, меточное)
- •Метки безопасности
- •Мандатное управление доступом
- •Отличие от дискреционной защиты
- •12. Ролевое управление доступом (rbas). Основные понятия. Статическое и динамическое разделение обязанностей. Ролевое управление доступом
- •2.5.2. Таксономия требовании и критериев «Оранжевой книги»
- •2.5.2.1. Политика безопасности
- •2.5.2.2. Аудит
- •2.5.2.3. Корректность
- •2.5.2.4. Таксономия критериев безопасности
- •2.5.3. Классы безопасности компьютерных систем
- •2.6.2. Функциональные критерии
- •2.6.3. Критерии адекватности
- •4. Нормативное закрепление основополагающих принципов информационной
- •18. Канадские критерии безопасности компьютерных систем ctcpec. Таксономия функциональных критериев и критериев адекватности реализации системы безопасности информации. Уровни адекватности т0-т7.
- •2.9.2. Базовые понятия «Канадских критериев»
- •2.9.2.1 Объекты и субъекты
- •2.9.3. Основные положения и структура «Канадских критериев»
- •19. Концепция защиты от нсд к информации (рд гтк рф). Два направления - ас и свт. Модель нарушителя: уровни возможностей.
- •2.7.2. Таксономия критериев и требований безопасности
- •1. Классификация ас
- •2. Требования по защите информации от нсд для ас
- •1. Общие положения
- •1. Общие положения
- •2.Термины и определения
- •24. Испытания программных средств на наличие компьютерных вирусов (гост р 51188-98). Виды вирусов и методы испытаний.
- •1. Классификация авс
- •2. Требования по защите ас от вирусов
- •26. Специальные защитные знаки (сзз) (рд гтк рф). Классификация по возможности подделки, идентифицируемости и стойкости защитных свойств. Применение на объектах различной категории.
- •27. Гост р 15408:2002. Часть 1. Методология оценки безопасности ит. Области применения стандарта «Общие критерии».
- •28. Гост р 15408:2002. Часть 1. Последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности ит и краткая спецификация оо.
- •29. Гост р 15408:2002. Часть 1. Представление требований безопасности: классы, семейства, компоненты, элементы. Виды связей и зависимостей между компонентами, разрешенные операции с компонентами.
- •30. Гост р 15408:2002. Часть 1. Источники требований безопасности. Виды оценок: пз, зб, оо. Поддержка доверия.
- •31. Гост р 15408:2002. Часть 1. Особенности пз. Структура пз: введение, описание оо. Среда безопасности оо, цели безопасности, требования безопасности оо, замечания по применению, обоснование.
- •Функциональные компоненты безопасности
- •Структура класса
- •Структура семейства
- •Структура компонента
- •Разрешенные операции с функциональными компонентами
- •35. Гост р 15408:2002. Часть 3. Парадигма доверия в стандарте. Основные принципы стандарта. Значимость уязвимостей. Причины возникновения уязвимостей. Подход к доверию в стандарте. Роль оценки.
- •36. Гост р 15408:2002. Часть 3. Представление требований доверия к безопасности. Структура класса, семейства, компонента, элемента и оценочных уровней доверия.
- •Требования доверия к безопасности
- •38. Гост р 15408:2002. Часть 3. Обзор оценочных уровней доверия (оуд1 - оуд7). Примерное соответствие классам «Оранжевой книги», Европейских критериев и рд гтк рф.
Электромагнитные каналы утечки информации
К электромагнитным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений (ЭМИ) ТСПИ:
· излучений элементов ТСПИ; · излучений на частотах работы высокочастотных (ВЧ) генераторов ТСПИ; · излучений на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.
Что такое акустический канал утечки информации? Это регистрация информативного звукового сигнала из контролируемого помещения и дальнейшая трансляция его любым доступным способом. Физику явления передачи звука, наверное, все представляют из школьного курса. Закладные устройства для снятия и передачи акустической информации (ЗУ) можно классифицировать по способу регистрации и способу трансляции.
По способу регистрации ЗУ можно разбить на группы:
- с помощью микрофона;
- с помощью пьезокристаллического датчика;
- используя модуляцию отраженного луча от светоотражающих поверхностей.
По способу передачи:
- с помощью проводных линий;
- с помощью радиоканала;
- с помощью оптического канала.
Получение видовых характеристик объекта постоянно совершенствуется благодаря новой аппаратуре наблюдения (телевизионной, инфракрасной видовой, визуально-оптоэлектрической, фотографической) и ее расположения на различных носителях (корабль, автомобиль, самолет, спутник). Глаз человека является конечным прибором восприятия визуальной информации. Его возможности существенно повышаются за счет использования различных приборов наблюдения как в видимом диапазоне (бинокли, монокуляры, перископы, телескопы), так и приборов визуализации изображений объекта в ИК диапазоне, радиолокационных изображений, тепловых и рентгеновских изображений (приборов ночного видения, тепловизоров, рентгеновских аппаратов, РЛС бокового обзора и т. п.) Видовые характеристики объекта дают возможность описания и классификации обнаруживаемых объектов по форме и контурам, определение его деталей по снимку или наблюдаемым характеристикам.
Видовые характеристики объектов наблюдения могут быть получены либо непосредственно в световом диапазоне, либо путем визуализации изображений в ИК диапазоне, радиолокационном диапазоне, за счет теплового излучения объектов.
Информационный канал – непосредственный доступ к элементам ОС (коммутируемые линии связи, канал выделенных линий связи, локальные сети, канал периферийных и терминальных устройств).
5. Факторы, воздействующие на информацию (гост р 51275-99). Внешние, внутренние, объективные и субъективные.
Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят на классы;
- объективные;
- субъективные.
По отношению к ОИ факторы, воздействующие на защищаемую информацию, подразделяют на внутренние и внешние.
Перечень объективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации.
Внутренние факторы
1. Передача сигналов по проводным линиям связи.
2. Передача сигналов по оптико-волоконным линиям связи.
3. Излучения сигналов, функционально присущих ОИ. Электромагнитные излучения и поля.
4. ПЭМИ сигналов (видеоимпульсов) от информационных цепей. ПЭМИ сигналов (радиоимпульсов) от всех электрических цепей ТС ОИ. Модуляция ПЭМИ электромагнитными сигналами от информационных цепей. Модуляция ПЭМИ акустическими сигналами.
5. Паразитное электромагнитное излучение. Модуляция паразитного электромагнитного излучения информационными сигналами. Модуляция паразитного электромагнитного излучения акустическими сигналами.
6. Наводки в электрических цепях ТС, имеющих выход за пределы ОИ. Наводки в линиях связи.
7. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию. Наводки, вызванные внутренними емкостными и (или) индуктивными связями. Наводки в цепях электропитания. Наводки, вызванные внутренними емкостными и (или) индуктивными связями. Наводки через блоки питания ТС ОИ. Наводки в цепях заземления. Наводки, обусловленные гальванической связью схемной (рабочей) «земли» узлов и блоков ТС ОИ. Наводки на ТС, провода, кабели и иные токопроводящие коммуникации и конструкции, гальванически не связанные с ТС ОИ, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию.
7. Акустоэлектрические преобразования в элементах ТС ОИ.
8. Дефекты, сбои, отказы, аварии ТС и систем ОИ.
9. Дефекты, сбои и отказы программного обеспечения ОИ.
Внешние факторы
1. Явления техногенного характера. Непреднамеренные электромагнитные облучения ОИ. Радиационные облучения ОИ. Сбои, отказы и аварии систем обеспечения ОИ.
2. Природные явления, стихийные бедствия. Термические факторы (пожары и т. д.). Климатические факторы (наводнения и т. д.). Механические факторы (землетрясения и т. д.). Электромагнитные факторы (грозовые разряды и т. д.). Биологические факторы (микробы, грызуны и т. д.).
Перечень субъективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации (4.3)
Внутренние факторы
1. Разглашение информации лицам, не имеющим права доступа к защищаемой информации.
2. Передача информации по открытым линиям связи.
3. Обработка информации на незащищенных ТС обработки информации.
4. Опубликование информации в открытой печати и других средствах массовой информации.
5. Копирование информации на незарегистрированный носитель информации.
6. Передача носителя информации лицу, не имеющему права доступа к ней.
7. Утрата носителя с информацией.
8. Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации. Несанкционированное изменение информации. Несанкционированное копирование информации. Несанкционированный доступ к защищаемой информации. Подключение к техническим средствам и системам ОИ. Использование закладочных устройств. Использование программного обеспечения технических средств ОИ. Маскировка под зарегистрированного пользователя.
9. Использование дефектов программного обеспечения ОИ.
10. Использование программных закладок.
11. Применение программных вирусов.
12. Хищение носителя защищаемой информации.
13. Нарушение функционирования ТС обработки информации. Неправильное организационное обеспечение защиты информации. Неправильное задание требований по защите информации. Несоблюдение требований по защите информации. Неправильная организация контроля эффективности защиты информации.
14. Ошибки обслуживающего персонала ОИ.
15. Ошибки при эксплуатации ТС.
16. Ошибки при эксплуатации программных средств.
17. Ошибки при эксплуатации средств и систем защиты информации.
Внешние факторы
Доступ к защищаемой информации с применением технических средств.
Доступ к защищаемой информации с применением технических средств разведки.
Доступ к защищаемой информации с применением средств радиоэлектронной разведки.
Доступ к защищаемой информации с применением средств оптико-электронной разведки.
Доступ к защищаемой информации с применением средств фотографической разведки.
Доступ к защищаемой информации с применением средств визуально-оптической разведки.
Доступ к защищаемой информации с применением средств акустической разведки.
Доступ к защищаемой информации с применением средств гидроакустической разведки.
6. ПОДХОДЫ И ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Системность, комплексность, непрерывность защиты, гибкость управления и применения, открытость алгоритмов и механизмов защиты, разумная достаточность, простота применения защитных мер и средств. Структуризация методов обеспечения ИБ по уровням: носителей информации, средствам взаимодействия с носителем, представления информации и содержания информации.
основные подходы к построению системы защиты в ОС:
-
ИБ основывается на положениях и требованиях существующих стандартов и нормативно-методических документах.
-
Обеспечивает комплекс программно-технических составляющих и организаторских мер.
-
ИБ обеспечивается на всех технологических этапах обработки информации, причем непрерывно.
-
Программно-технические средства не должны ухудшать основные функциональные характеристики ОС.
-
Неотъемлемой частью является оценка СЗИ.
-
Защита ОС должна предусматривать контроль эффективности СЗИ.
Принципы обеспечения ИБ:
-
Системность – взаимосвязанность, учет условий, факторов, элементов, изменяющихся во времени. По жизни это требование реализуется при всех видах информационной деятельности, во всех структурных подразделениях, во всех режимах функционирования, на всех этапах жизненного цикла с учетом взаимодействия объекта защиты с внешней средой. При этом надо учитывать слабые места системы.
-
Комплексность – согласование разнородных средств, элементов при построении целостной системы.
-
Рассмотрение скрытых каналов.
-
Возможность слабых мест на стыках систем.
-
Непрерывность – непрерывный, целенаправленный процесс принятия соответствующих мер на всех этапах ОС.
-
Разумная достаточность – правильный выбор достаточного уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемы.
-
Гибкость системы защиты – система защиты создается в условиях неопределенности, нужно предусмотреть варьирование уровня защищенности, учет возможных изменений внешних условий и требований по защищенности с течением времени.
-
Открытость механизмов и алгоритмов защиты – защита не должна обеспечиваться только за счет секретности алгоритма, знание алгоритма не должно давать возможность ее преодоления.
-
Простота применение средств защиты – механизмы защиты должны быть интуитивно понятны, доступны без специальных знаний. Для обучения персонала не должны быть использованы дополнительные затраты. Минимизация ошибки персонала, операторской ошибки. Оператор отделен от программно-аппаратной начинки, скажем, не может дописать на месте программу.
Структуризация методов обеспечения ИБ:
-
АС (четырехуровневая градация доступа):
-
Уровень носителей информации.
-
Средство взаимодействия с носителями (программная и аппаратная составляющие).
-
Уровень представления информации (кодирование и т.д.).
-
Уровень содержания информации.
-
Применительно к АС защита носителя информации в первую очередь подразумевает защиту машинных носителей. Защита средств взаимодействующих с носителями охватывает спектр методов защиты программно аппаратных средств входящих в АС (защита от НСД). Защита представляемой информации обеспечивается средствами криптографической защиты. Защита содержания информации обеспечивает семантическую защиту данных.
7. ОСНОВНЫЕ ФУНКЦИИ ТИПОВОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ. КОМПЬЮТЕРНОЙ СИСТЕМЫ (СЗИ КС). Политика безопасности. Разграничение и управление доступом: дискреционная и мандатная модели. Идентификация. Аутентификация. Авторизация. Аудит.
Политика безопасности. набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
1) Каждый пользователь имеет доступ только к тем объектам системы, к которым есть разрешение права доступа к текущей политике безопасности.
Правила разграничения доступа (этапы):
- идентификация – подтверждение личности пользователя (рабочего места)
- аутентификация – подтверждение прав по доступу к действующей модели (полномочий выбранной модели доступа)
- авторизация – предоставление рабочего стола пользователю
Уровни доступа:
- бухгалтер, секретарь
- прикладной программист
- системный программист
- разработчик
2) Правила разграничения доступа реализуются администратором при определении текущей политики безопасности.
При этом они не должны противоречить правилам, принятым в организации, не должно быть допущено воздействие субъектов доступа на ОС, любой объект доступа должен иметь владельца, недопустимо присутствие недоступных объектов.
Аудит – регистрация потенциально-опасных событий в системе. Ведется электронный журнал аудита.
Объект доступа – любой элемент системы, доступ к которому может быть произвольно ограничен.
Субъект доступа – любая сущность, способная инициировать выполнение операций над объектами доступа.
Метод доступа – операция, определенная для некоторого объекта.
Владелец объекта – субъект, которому принадлежит объект, который несет за него ответственность.
Права доступа – доступ по определенному методу или группе методов в данной политике безопасности.
Разграничение доступа – правила, определенные для каждой тройки субъект – объект – метод.
Мандатное и дискреционное управление доступом рассмотрено далее.