- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •1. По характеру воздействия
- •2. По причине появления используемой ошибки защиты
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •1. Непосредственное воздействие на объект атаки.
- •1. На асои в целом через механизмы доступа.
- •2. На объекты асои.
- •3. На субъекты асои.
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •20. Проектирование средств защиты информации. Вертикальная структура.
- •21.Шифрование. Использование технологии tls/ssl, эцп.
- •22. Персональные данные и информационные системы персональных данных (испд). Общие понятия.
- •23. Категории испд
- •24. Определение классов и типов испд.
- •25. Частная модель угроз
- •26. Методы и способы защиты информации от несанкционированного доступа
- •1.1. Методами и способами зашиты информации от несанкционированного доступа являются:
- •27 Методы и способы защиты информации от утечки по техническим каналам
10. Классификация автоматизированных систем по уровню защищенности от нсд.
Выбор класса производится заказчиком и разработчиком с привлечением специалистов по защите информации. К числу определяющих признаков относятся:
наличие в системе информации различного уровня конфиденциальности;
уровень полномочий субъектов на доступ к конфиденциальной информации;
режим обработки данных в системе - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
В зависимости от степени секретности информации, каждая группа делится на классы (А – самый секретный).
Классы В,Б,А используются для защиты гос. тайны. Если стоит гриф “секретно” – это должны быть классы 3А, 2А и не ниже 1В.
С грифом “совершенно секретно” 3А, 2А и не ниже 1Б. С грифом “особой важности” 3А, 2А, 1А.
1Г – конфиденциальная информация, 1Д – информация общего пользования.
11. Идентификация, аутентификация и аудит.
Если понимать политику безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:
Идентификация и аутентификация;
Предоставление надежного пути;
Анализ регистрационной информации (аудит).
Идентификация и аутентификация
Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации - ввод имени пользователя при входе в систему.
В свою очередь, система должна проверить подлинность личности пользователя, то есть что он является именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) - пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование роговицы или отпечатков пальцев) или их комбинация.
Идентификация и аутентификация - первый и важнейший программно-технический рубеж информационной безопасности. Если не составляет проблемы получить доступ к системе под любым именем, то другие механизмы безопасности, например, управление доступом, очевидно, теряют смысл. Очевидно и то, что без идентификации пользователей невозможно протоколирование их действий. В системе не должно быть возможности обойти аутентификацию/идентификацию.
Аудит безопасности – это, по существу, оценка эффективности применения политик безопасности внутри организации, анализ регистрационной информации.
Аудит имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы. К числу таких событий относятся: вход в систему (успешный или нет); выход из системы; обращение к удаленной системе; операции с файлами (открыть, закрыть, переименовать, удалить); смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).
Можно назвать и другие события — например, смену набора регистрируемых действий. Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной политики безопасности и от специфики системы.
При протоколировании события записывается по крайней мере следующая информация: дата и время события; уникальный идентификатор пользователя - инициатора действия; тип события; результат действия (успех или неудача); источник запроса (н-р, имя терминала); имена затронутых объектов (н-р, открываемых или удаляемых файлов); описание изменений, внесенных в базы данных защиты (н-р, новая метка безопасности объекта); метки безопасности субъектов и объектов события.