- •1. Структура информационных ресурсов и соответствующих законодательных актов.
- •2. Государственная тайна и ее защита.
- •3. Федеральные требования по защите информации.
- •4. Уголовный кодекс рф и информационная безопасность.
- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •14. Подход клиент/сервер и информационная безопасность.
- •15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •4. Перехват трафика внутри сети:
- •1. Доступ к каналам связи:
- •2. Внешние атаки через internet:
- •3. Доступ через Internet с мобильного пользователя:
- •20. Проектирование средств защиты информации. Вертикальная структура.
6. Основные элементы политики безопасности по «Оранжевой книге».
Согласно "Оранжевой книге", политика безопасности должна включать в себя, по крайней мере, следующие элементы:
1. произвольное управление доступом;
2. безопасность повторного использования объектов;
3. метки безопасности;
4. принудительное управление доступом.
Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных носителей в целом.
Метки безопасности
Для реализации принудительного управления доступом с субъектами и объектами используются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.
Согласно "Оранжевой книге", метки безопасности состоят из двух частей: уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:
совершенно секретно;
секретно;
конфиденциально;
несекретно.
Категории образуют неупорядоченный набор. Их назначение описать предметную область, к которой относятся данные.
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта.
Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.
7. Классы безопасности по «Оранжевой книге».
"Критерии оценки безопасности компьютерных систем" Министерства обороны США открыли путь к ранжированию информационных систем по степени надежности. В "Оранжевой книге" определяется четыре уровня надежности (безопасности) - D, C, B и A.
Уровень D предназначен для систем, признанных неудовлетворительными, т.е. к которым не предъявляется никаких требований. В настоящее время он пуст, и ситуация едва ли когда-нибудь изменится. По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1.
D1 – неудовлетворительная безопасность;
C1, С2 – произвольное управление доступом;
B1, B2, B3 – принудительное управление доступом;
A1 – верифицированная защита.
Уровни В и А – для гос. тайны США, продажа этих опции какому-либо другому государству запрещена законодательством США; классы С1и С2 относятся к коммерческой тайне.
Поскольку при переходе к каждому следующему классу требования только добавляются, опишем лишь то новое, что присуще данному классу, группируя требования в согласии с предшествующим изложением.
Класс C1 - вычислительная база должна управлять доступом именованных пользователей к именованным объектам.
Класс C2 - в дополнение к C1, права доступа должны гранулироваться с точностью до пользователя. Механизм управления должен ограничивать распространение прав доступа.
Класс B1 – в дополнение к С2 подразумевает использование меток безопасности ассоциируемыми с каждым субъектом; кроме того должна быть обеспечена взаимная изоляция процессов, а так же реализация принудительного управления доступом всех субъектов ко всем объектам.
Класс B2 - в дополнение к В1 метками должны снабжаться все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам; должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;
Класс B3 - в дополнение к В2, обязательно должны использоваться списки управления доступом с указанием разрешенных режимов. Должна быть возможность явного указания пользователей или их групп, доступ которых к объекту запрещен.
Класс А1 - в дополнение к В3 тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.