- •1. Актуальность защиты информации. Предпосылки кризиса систем защиты информации (сзи). Современные требования к сзи.
- •Электромагнитные каналы утечки информации
- •5. Факторы, воздействующие на информацию (гост р 51275-99). Внешние, внутренние, объективные и субъективные.
- •8. Парольные системы. Методы компрометации паролей и защиты от нее. Количественная оценка стойкости парольных систем.
- •9. Аудит: регистрация потенциально опасных событий в компьютерной системе, необходимость, требования, политика аудита.
- •Мандатное управление доступом
- •(Принудительное, нормативное, меточное)
- •Метки безопасности
- •Мандатное управление доступом
- •Отличие от дискреционной защиты
- •12. Ролевое управление доступом (rbas). Основные понятия. Статическое и динамическое разделение обязанностей. Ролевое управление доступом
- •2.5.2. Таксономия требовании и критериев «Оранжевой книги»
- •2.5.2.1. Политика безопасности
- •2.5.2.2. Аудит
- •2.5.2.3. Корректность
- •2.5.2.4. Таксономия критериев безопасности
- •2.5.3. Классы безопасности компьютерных систем
- •2.6.2. Функциональные критерии
- •2.6.3. Критерии адекватности
- •4. Нормативное закрепление основополагающих принципов информационной
- •18. Канадские критерии безопасности компьютерных систем ctcpec. Таксономия функциональных критериев и критериев адекватности реализации системы безопасности информации. Уровни адекватности т0-т7.
- •2.9.2. Базовые понятия «Канадских критериев»
- •2.9.2.1 Объекты и субъекты
- •2.9.3. Основные положения и структура «Канадских критериев»
- •19. Концепция защиты от нсд к информации (рд гтк рф). Два направления - ас и свт. Модель нарушителя: уровни возможностей.
- •2.7.2. Таксономия критериев и требований безопасности
- •1. Классификация ас
- •2. Требования по защите информации от нсд для ас
- •1. Общие положения
- •1. Общие положения
- •2.Термины и определения
- •24. Испытания программных средств на наличие компьютерных вирусов (гост р 51188-98). Виды вирусов и методы испытаний.
- •1. Классификация авс
- •2. Требования по защите ас от вирусов
- •26. Специальные защитные знаки (сзз) (рд гтк рф). Классификация по возможности подделки, идентифицируемости и стойкости защитных свойств. Применение на объектах различной категории.
- •27. Гост р 15408:2002. Часть 1. Методология оценки безопасности ит. Области применения стандарта «Общие критерии».
- •28. Гост р 15408:2002. Часть 1. Последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности ит и краткая спецификация оо.
- •29. Гост р 15408:2002. Часть 1. Представление требований безопасности: классы, семейства, компоненты, элементы. Виды связей и зависимостей между компонентами, разрешенные операции с компонентами.
- •30. Гост р 15408:2002. Часть 1. Источники требований безопасности. Виды оценок: пз, зб, оо. Поддержка доверия.
- •31. Гост р 15408:2002. Часть 1. Особенности пз. Структура пз: введение, описание оо. Среда безопасности оо, цели безопасности, требования безопасности оо, замечания по применению, обоснование.
- •Функциональные компоненты безопасности
- •Структура класса
- •Структура семейства
- •Структура компонента
- •Разрешенные операции с функциональными компонентами
- •35. Гост р 15408:2002. Часть 3. Парадигма доверия в стандарте. Основные принципы стандарта. Значимость уязвимостей. Причины возникновения уязвимостей. Подход к доверию в стандарте. Роль оценки.
- •36. Гост р 15408:2002. Часть 3. Представление требований доверия к безопасности. Структура класса, семейства, компонента, элемента и оценочных уровней доверия.
- •Требования доверия к безопасности
- •38. Гост р 15408:2002. Часть 3. Обзор оценочных уровней доверия (оуд1 - оуд7). Примерное соответствие классам «Оранжевой книги», Европейских критериев и рд гтк рф.
18. Канадские критерии безопасности компьютерных систем ctcpec. Таксономия функциональных критериев и критериев адекватности реализации системы безопасности информации. Уровни адекватности т0-т7.
«Канадские критерии безопасности компьютерных систем» (Canadian Trusted Computer Product Evaluation Criteria, далее просто «Канадские критерии») [18] были разработаны в Центре безопасности ведомства безопасноси связи Канады (Canadian System Security Centre Communication Security Establishment) для использования в качестве национального стандарта безопасности компьютерных систем. Этот обзор основан на третьей версии стандарта, опубликованной в январе 1993 года.
«Канадские критерии» разрабатывались на основе «Оранжевой книги» (п. 2.5) и под влиянием «Федеральных критериев безопасности информационных технологий» (п. 2.8). В отличии от «Оранжевой книги», ориентированной в основном на разработку и сертификацию многопользовательских операционных систем и требующей определенной интерпретации для применения в других областях (например, для баз данных и сетей), «Канадские критерии» были изначально нацелены на широкий диапазон компьютерных систем. Этот стандарт может быть использован для разработки требований безопасности, спецификаций средств защиты и сертификации программного обеспечения как рабочих станций, так и многопроцессорных вычислительных систем, персональных и многопользовательских операционных систем, систем управления базами данных, распределенных, сетевых, встроенных, объектно-ориентированных и других систем.
2.9.2. Базовые понятия «Канадских критериев»
В «Канадских критериях» используется отличающееся от общепринятого толкование ряда терминов. Разработчики предложили оригинальный подход к описанию взаимодействия пользователей с компьютерной системой, инвариантный по отношению к политике безопасности.
2.9.2.1 Объекты и субъекты
В «Канадских критериях» все компоненты системы, находящиеся под управлением ТСВ. называются объектами. Объекты могут находиться в одном из следующих тpex состояний: объект-пользователь, объект-процесс, пассивный объект, и, в зависимости от состояния, обозначают пользователей, процессы и объекты соответственно.
Пользователь представляет собой физическое лицо. взаимодействующее с компьютерной системой. Каждый пользователь имеет собственный уникальный идентификатор, права доступа, уровень привилегий и т.д. С пользователями ассоциируются все процессы, существующие в системе. Процесс, или активный объект, представляющий пользователя в компьютерной системе, — это программа, выполнение которой инициировано пользователем. Объект представляет собой пассивный элемент, над которым выполняют действия пользователи и процессы. Все взаимодействия объектов контролируются в соответствии с реализованной в компьютерной системе политикой гибкой безопасности.
Таким образом, в «Канадских критериях» отсутствует понятие субъект, широко используемое в других стандартах информационной безопасности для описания процесса взаимодействия. Обычно под субъектом принято понимать активного участника взаимодействия, а под объектом — пассивного. Напротив, в «Канадских критериях» все сущности компьютерной системы рассматриваются как объекты, а их взаимодействие описывается тройкой пользователь-процесс-объект. Однако, противоречия здесь нет. Обычно (например, в «Оранжевой книге») понятие субъект представляет собой комбинацию понятий пользователь и процесс, действующий от его имени. Соответственно, ситуация, когда один пользователь запускает много процессов, с позиций «Оранжевой книги» описывается с помощью множества субъектов, каждый из которых с точки зрения политики безопасности будет рассматриваться как независимый участник взаимодействия. «Канадские критерии» позволяют использовать для описания этой ситуации один объект-пользователь и множество ассоциированных с ним объектов-процессов. При этом политика безопасности будет применяться по отношению к одному пользователю, осуществляющему доступ к объектам посредством нескольких процессов. «Канадские критерии» просто конкретизируют отношение доступа пользователя к информации, находящейся в компьютерной системе, с помощью терминов, описывающих реальный механизм осуществления доступа.