- •14. Электронная подпись. Понятие, структура построения, использование.
- •15. Проверка целостности данных. Методы и ф-ции.
- •Метод контроля избыточных циклических кодов. Исходная двоичная последовательность представляется в виде полинома
- •16. Политика безопасности. Функции, виды, базовые представления.
- •17. Мандатная модель Белла-ЛаПадулы. Достоинства и недостатки.
- •18. Решетка уровней безопасности. Применяемая формальная алгебра.
- •19. Дискреционная модель Харрисона-руззо-ульмана. Достоинства и недостатки.
- •20. Ролевая политика безопасности. Формальное представление . Достоинства и недостатки. Виды.
- •Простота администрирования
- •Иерархия ролей
- •Принцип наименьшей привилегии
- •21. Стандарты информационной безопасности. Основные цели и функции. Пользователи. Типы стандартов.
- •23. Стандарты безопасности. Стандарт cobit. Концептуальное ядро. Шкала степени зрелости организации.
- •24. Стандарт гост р исо/мэк 27001-2006. Международный стандарт разработки модели системы менеджмента информационной безопасности (смиб). Жизненный цикл разработки смиб.
- •25. Стандарт гост р исо/мэк 15408 - «Общие критерии». Основные понятия и положения. Профиль и проект защиты. Требования безопасности (функциональные и адекватности). Таксономия критериев.
- •26. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация средств вычислительной техники (свт) по уровню защищенности от нсд.
- •27. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация ас по уровню защищенности от нсд.
- •28. Реестр и его использование для обеспечения безопасности программного продукта.
- •29. Безопасность бд. Методы и средства.
- •30. Безопасность по. Методы и средства.
- •33. Статические и динамические характеристики среды
- •31. Идентификация и аутентификация. Биометрическая защита.
- •32. Структура системы защиты от нсд
21. Стандарты информационной безопасности. Основные цели и функции. Пользователи. Типы стандартов.
Стандарты необходимы для того чтобы:
- пользователи договорились между собой;
- для сравнения, чтобы не было различий (систем);
- оценки возможностей любой системы.
Специализированную систему инф безопасности формируют 2 организации:
1.Международная организация по стандартизации
2.Международная электротехническая комиссия
2типа стандартов:
1.Концептуальные стандарты – описывают важнейшие понятия и организационные и архитектурные требования
2.Технические спецификации – определяют как выполнять оценочные стандарты. Ядром являются документы безопасности на уровне IP, на транспортном и на уровне приложений. Пример: X800 (архит безопасности взаимд открытых систем), X500 (служба директорий, обзор моделей концепций и сервисов), X509 (служба директорий каркаса сертификатов открытых систем и атрибутов)
Критерий безопасности компьютерных систем (Амер. «оранжевая книга») – для военных ведомств, распределение доступа к ресурсам.
Таксономия – наука о систематизации и классификации сложноорганизованных объектов и явлений, имеющих иерархическое строение. В отличие от классификации, в которой иерархия строится снизу вверх, таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объекта, т.е. иерархия строится сверху вниз. (см. рис «таксономия оранжевой книги»).
Ядро безопасности – совокупность аппаратных, программных и специальных компонентов вычислительных систем, реализующих функцию защиты и обеспечения безопасности.
Адекватность – показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам.
Квалификационный анализ – анализ вычислительной системы с целью определения уровня ее защиты и соответствия требованиям безопасности на основе критериев стандарта безопасности.
22. ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасности информационных технологий». Стратегии анализа рисков.
Стандарт ISO-МЭК 13335-3-2007 (информационная технология. Рекомендация по менеджменту безопасности инф технологий. Методы менеджмента безопасности инф технологий). Цель: дать необходимые рекомендации по способам эффективного управления безопасности информационных технологий.
Схема управления безопасности информационных технологий.
1.Цели. Стратегия. Политика безопасности инф технологий
2.Основные варианты стратегии анализа риска
3.Реализация плана безопасности инф. технологий и принятия системы
4.Дополнительные мероприятия по обслуживания безопасности: проверка рализ защитных мер, управление изменениями, мониторинг, обработка инцедентов
Возможны следующие варианты анализа рисков:
Базовый подход
Базовый подход к инф безопасности – это: цель: подобрать для организации минимальный набор защитных мер для защиты всех или отдельных систем инф технологий. Использование этого подхода снижает затраты организации. Существуют справочники, содержащие базовых принципов защитных мер. Недостатки: если в системе с разной степенью чувствительностью, с разными объемами информации, то использование этого подхода может оказаться неверным; возможность возникновения трудностей при внесении корректировок.
Неформальный подход
Предполагает проведение неформального анализа рисков, основанного на практическом опыте конкретного эксперта. Минусы: возможность пропусков важных элементов системы и не учета их особенностей
Детальный анализ рисков
Предполагает подробную идентификацию и оценку активов, оценка возможных гроз, оценка уязвимостей. Плюсы: для каждой системы будут определены адекватные защитные меры. Минус: большие затраты.
Комбинированный подход
Детальный анализ проводится для критических систем, которые связаны с высоким потенциальным ущербом. Для остальных систем берётся базовый подход. При мин усилий и врем обеспечивает высокую безопасность.