- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •1. По характеру воздействия
- •2. По причине появления используемой ошибки защиты
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •1. Непосредственное воздействие на объект атаки.
- •1. На асои в целом через механизмы доступа.
- •2. На объекты асои.
- •3. На субъекты асои.
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •20. Проектирование средств защиты информации. Вертикальная структура.
- •21.Шифрование. Использование технологии tls/ssl, эцп.
- •22. Персональные данные и информационные системы персональных данных (испд). Общие понятия.
- •23. Категории испд
- •24. Определение классов и типов испд.
- •25. Частная модель угроз
- •26. Методы и способы защиты информации от несанкционированного доступа
- •1.1. Методами и способами зашиты информации от несанкционированного доступа являются:
- •27 Методы и способы защиты информации от утечки по техническим каналам
2. По причине появления используемой ошибки защиты
Неадекватность политики безопасности реальной АСОИБ.
Это означает, что разработанная для данной АСОИБ политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Все системы в той или иной степени имеют несоответствия подобного рода (модель никогда не может точно соответствовать реальной системе), но в одних случаях это не может привести к нарушениям, а в других - может. С другой стороны, такие действия нельзя назвать несанкционированными, поскольку защита от них не предусмотрена политикой безопасности и система защиты в принципе не способна их предотвратить.
Механизмы защиты: Если такое несоответствие является опасным, то необходимо разработать новую политику безопасности, в которой оно будет не столь явным и сменить средства защиты для реализации новой политики безопасности.
Ошибки административного управления.
Под ними понимается некорректная реализация или поддержка принятой политики безопасности в данной АСОИБ. Например, согласно политике безопасности, в АСОИБ должен быть запрещен доступ пользователей к определенному набору данных, а на самом деле (по невнимательности администратора безопасности) этот набор данных доступен всем пользователям.
Механизмы защиты: Исправлять ошибки. Обычно на исправление такой ошибки требуется очень мало времени, как и на ее обнаружение, но ущерб от нее может быть огромен.
Ошибки в алгоритмах программ, в связях между ними и т.д.
Возникают на этапе проектирования программы или комплекса программ и благодаря ним программы можно использовать совсем не так, как описано в документации.
Механизмы защиты: Такие ошибки могут быть очень опасны, но их трудно найти. Чтобы их устранить, надо менять программу или комплекс программ.
Ошибки реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д.
Возникают на этапе реализации или отладки и также могут служить источником недокументированных свойств.
Механизмы защиты: Тестировать, исправлять ошибки. Однако подобные ошибки обнаружить труднее всего.
17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
По способу воздействия на объект атаки:
1. Непосредственное воздействие на объект атаки.
Объектом является процесс, т.е. атака производится на процесс (ПО, функционирующее на системе). Пользователь как субъект прошел идентификацию, аутентификацию, запустил процесс, далее и объектом и субъектом являются процессы. Процессы перед тем, как передать управление должны провести проверку подлинности. Антивирусная защита. Механизмы защиты – должна быть одна точка входа в систему.
2. Воздействие на систему разрешений.
Какие права кому выдать, настраивает администратор. Он должен постоянно за этим следить. Должен быть регламент. Быстро реагировать на всех уволенных, ушедших в отпуск.
Имя и пароль администратора если будут утрачены, то можно завести любого пользователя и дать любые права от имени администратора. Обычно администратор имеет фиксированное имя, которое не надо подбирать (в Unix - root). Администратор должен помнить, что он не должен работать под root с сервисами, которые посылают имя и пароль в открытом виде. Желательно администратору сидеть в отдельном порту коммутатора. Те, кто в одном Hub-е, могут читать все друг у друга.
Если работаете с UNIX, то необходимо работать со скрытой базой паролей SSh (Security Shell).
Убрать сервисы, протоколы, работающие без шифрования: ftp, telnet, http там, где конфиденциальная информация. Использовать SSh. Т.о., необходимо использовать Account Management.
3. Опосредованное воздействие – воздействие не на прямую, а, например, воздействие косвенное (отключение антивирусной проверки).
Типичный пример: троянский конь.
Механизмы: контроль целостности системы, антивирусная защита.
По объекту атаки: