- •14. Электронная подпись. Понятие, структура построения, использование.
- •15. Проверка целостности данных. Методы и ф-ции.
- •Метод контроля избыточных циклических кодов. Исходная двоичная последовательность представляется в виде полинома
- •16. Политика безопасности. Функции, виды, базовые представления.
- •17. Мандатная модель Белла-ЛаПадулы. Достоинства и недостатки.
- •18. Решетка уровней безопасности. Применяемая формальная алгебра.
- •19. Дискреционная модель Харрисона-руззо-ульмана. Достоинства и недостатки.
- •20. Ролевая политика безопасности. Формальное представление . Достоинства и недостатки. Виды.
- •Простота администрирования
- •Иерархия ролей
- •Принцип наименьшей привилегии
- •21. Стандарты информационной безопасности. Основные цели и функции. Пользователи. Типы стандартов.
- •23. Стандарты безопасности. Стандарт cobit. Концептуальное ядро. Шкала степени зрелости организации.
- •24. Стандарт гост р исо/мэк 27001-2006. Международный стандарт разработки модели системы менеджмента информационной безопасности (смиб). Жизненный цикл разработки смиб.
- •25. Стандарт гост р исо/мэк 15408 - «Общие критерии». Основные понятия и положения. Профиль и проект защиты. Требования безопасности (функциональные и адекватности). Таксономия критериев.
- •26. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация средств вычислительной техники (свт) по уровню защищенности от нсд.
- •27. Руководящий документ Гостехкомиссии России «Концепция защиты свт и ас от нсд к информации». Классификация ас по уровню защищенности от нсд.
- •28. Реестр и его использование для обеспечения безопасности программного продукта.
- •29. Безопасность бд. Методы и средства.
- •30. Безопасность по. Методы и средства.
- •33. Статические и динамические характеристики среды
- •31. Идентификация и аутентификация. Биометрическая защита.
- •32. Структура системы защиты от нсд
25. Стандарт гост р исо/мэк 15408 - «Общие критерии». Основные понятия и положения. Профиль и проект защиты. Требования безопасности (функциональные и адекватности). Таксономия критериев.
Единые критерии безопасности информационных технологий ISO-МЭК 15408. Основные понятия единых критериев:
Профиль защиты – нормативны документ, представляющий описание защиты, функциональных требований, требований адекватности и их обоснований. Пишется заказником и служит руководством для разработчиков IT продукта
Проект защиты – специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснований. Пишется разработчиком систем и используется в ходе квалификационного анализа в качестве описания IT продукта.
Адекватность – показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам.
Эффективность – соответствие средств безопасности решаемым задачам.
Корректность – характеризует процесс разработки средств и их функционирования.
Данный стандарт, состоящий из трех частей, определяет критерии, за которыми исторически закрепилось используемое далее название "Общие критерии" (ОК). Данные критерии используются в качестве основы для оценки характеристик безопасности продуктов и систем информационных технологий (ИТ). Устанавливая общую базу критериев, стандарт делает результаты оценки значимыми для более широкой аудитории. ОК обеспечивают сравнимость результатов независимых оценок безопасности. Это достигается за счет использования в процессе оценки безопасности продуктов и систем ИТ общепринятого набора функциональных требований и требований гарантированности. В процессе оценки достигается определенная степень уверенности в том, насколько система или продукт удовлетворяют предъявляемым к ним требованиям. Результаты оценки помогают потребителю установить, достаточен ли уровень безопасности системы или продукта ИТ для предполагаемых применений этих изделий, и являются ли приемлемыми остаточные риски.
ОК полезны в качестве руководства как при разработке продуктов и систем с сервисами безопасности ИТ, так и при приобретении коммерческих продуктов или систем с такими сервисами. В процессе оценки продукт или система ИТ называется объектом оценки (ОО). В качестве ОО могут, например, выступать операционные системы, вычислительные сети, распределенные системы и приложения.
Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить по-
требности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки).