- •14. Электронная подпись. Понятие, структура построения, использование.
- •15. Проверка целостности данных. Методы и ф-ции.
- •Метод контроля избыточных циклических кодов. Исходная двоичная последовательность представляется в виде полинома
- •16. Политика безопасности. Функции, виды, базовые представления.
- •17. Мандатная модель Белла-ЛаПадулы. Достоинства и недостатки.
- •18. Решетка уровней безопасности. Применяемая формальная алгебра.
- •19. Дискреционная модель Харрисона-руззо-ульмана. Достоинства и недостатки.
- •20. Ролевая политика безопасности. Формальное представление . Достоинства и недостатки. Виды.
- •Простота администрирования
- •Иерархия ролей
- •Принцип наименьшей привилегии
- •21. Стандарты информационной безопасности. Основные цели и функции. Пользователи. Типы стандартов.
- •23. Стандарты безопасности. Стандарт cobit. Концептуальное ядро. Шкала степени зрелости организации.
- •24. Стандарт гост р исо/мэк 27001-2006. Международный стандарт разработки модели системы менеджмента информационной безопасности (смиб). Жизненный цикл разработки смиб.
- •25. Стандарт гост р исо/мэк 15408 - «Общие критерии». Основные понятия и положения. Профиль и проект защиты. Требования безопасности (функциональные и адекватности). Таксономия критериев.
- •26. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация средств вычислительной техники (свт) по уровню защищенности от нсд.
- •27. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация ас по уровню защищенности от нсд.
- •28. Реестр и его использование для обеспечения безопасности программного продукта.
- •29. Безопасность бд. Методы и средства.
- •30. Безопасность по. Методы и средства.
- •33. Статические и динамические характеристики среды
- •31. Идентификация и аутентификация. Биометрическая защита.
- •32. Структура системы защиты от нсд
16. Политика безопасности. Функции, виды, базовые представления.
Под политикой безопасности понимают совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определённого множества угроз и составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности называется моделью политики безопасности.
Модель безопасности позволяет обосновать жизнеспособность систем, определяет базовые принципы её архитектуры и используемые при её построении технологические решения.
Основная цель создания политики безопасности и её описание в виде формальной модели – это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и приведение формального доказательства соответствия системы этом критерию при соблюдении установленных правил и ограничений.
Принципы, на которых основаны модели безопасности:
1.Система – является совокупность взаимодействующих субъектов и объектов.
Объекты – что-то типа контейнеров безопасности
Субъекты – это активны сущности, которые что-то делают с объектами.
В системах безопасности реализуются правила доступа субъектов к объектам.
2. Все взаимодействия в системам моделируются установлением отношений определённого типа между субъектами и объектами. Множество типов отношений определяется набором операций, которые субъекты могут выполнять над объектами.
3. Все операции контролируются монитором взаимодействия: разрешаются/запрещаются в соответствии с правилами политики безопасности
4. Политика безопасности создаётся в виде правил взаимодействия между сущностями системы, при этом взаимодействия, приводящие к нарушению правил пресекаются средствами контроля доступа
5. Совокупность множеств субъектов определяет состояние системы. Каждое состояние системы считается безопасным/небезопасным.
6. Основной элемент модели безопасности – это доказательство утверждения или теоремы о том, что система, находясь в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
Выделяют два основных класса моделей политик безопасности:
Дискреционные (произвольные, избирательные)
Мандатные (нормативные, полномочные)
17. Мандатная модель Белла-ЛаПадулы. Достоинства и недостатки.
Модель основана на правилах секретного документооборота. Всем участникам процесса по обработке информации и документам, в которых она содержится, назначают специальные метки.
1. Все субъекты и объекты однозначно идентифицированы.
2. Каждому объекту присваивается метка критичности, определяющая ценность информации.
3. Каждому субъекту присвоен уровень прозрачности, определяющий максимальное значение метки критичности объекта, к которому субъект имеет доступ, кроме уровня прозрачности субъект имеет критичное значение уровня безопасности.
4. Чем важнее субъект или объект, тем выше его метка критичности.
Контроль доступа осуществляется в зависимости от уровня безопасности взаимодействующих сторон на основании двух правил:
Субъект может читать только те документы, уровень безопасности которых не превышает его собственные (доступ, чтение).
Субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственных (безопасность секретной информации).
Первое правило обеспечивает защиту информации обрабатываемой высокоуровневыми лицами от доступа низкоуровневых.
Второе обеспечивает предотвращение утечки информации.
Недостатки: контролируются не операции, а потоки информации, нет разделения на уровни, наличие только двух прав доступа.
Формальное представление:
S и О – субъект и объект
S О
r, w – чтение и запись
Поскольку в мандатной политики контролируются не операции, а потоки информации, то рассматривается 2 правила доступа: от S к О – запись или от О к S – чтение.
Уровни безопасности задаются с помощью функции безопасности: F:S O→L, которая ставит в соответствии каждому объекту и субъекту уровени безопасности, принадлежащий множеству уровней безопасности L, на котором определена рещётка Л