- •1. Структура информационных ресурсов и соответствующих законодательных актов.
- •2. Государственная тайна и ее защита.
- •3. Федеральные требования по защите информации.
- •4. Уголовный кодекс рф и информационная безопасность.
- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •14. Подход клиент/сервер и информационная безопасность.
- •15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •4. Перехват трафика внутри сети:
- •1. Доступ к каналам связи:
- •2. Внешние атаки через internet:
- •3. Доступ через Internet с мобильного пользователя:
- •20. Проектирование средств защиты информации. Вертикальная структура.
10. Классификация автоматизированных систем по уровню защищенности от нсд.
Выбор класса производится заказчиком и разработчиком с привлечением специалистов по защите информации. К числу определяющих признаков относятся:
наличие в системе информации различного уровня конфиденциальности;
уровень полномочий субъектов на доступ к конфиденциальной информации;
режим обработки данных в системе - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
В зависимости от степени секретности информации, каждая группа делится на классы (А – самый секретный).
Классы В,Б,А используются для защиты гос. тайны. Если стоит гриф “секретно” – это должны быть классы 3А, 2А и не ниже 1В.
С грифом “совершенно секретно” 3А, 2А и не ниже 1Б. С грифом “особой важности” 3А, 2А, 1А.
11. Идентификация, аутентификация и аудит.
Цель подотчетности — в каждый момент времени знать, кто работает в системе и что он делает.
Средства подотчетности делятся на три категории: Идентификация и аутентификация; Предоставление надежного пути; Анализ регистрационной информации (аудит).
Идентификация и аутентификация
Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации — ввод имени пользователя при входе в систему.
В свою очередь, система должна проверить подлинность личности пользователя, то есть что он является именно тем, за кого себя выдает.
Очевидно, что без идентификации пользователей невозможно протоколирование их действий..
Аудит безопасности – это, по существу, оценка эффективности применения политик безопасности внутри организации, анализ регистрационной информации.
Аудит имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. "Оранжевая книга" предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
При протоколировании события записывается по крайней мере следующая информация:
Дата и время события;
Уникальный идентификатор пользователя — инициатора действия;
Тип события;
Результат действия (успех или неудача);
Источник запроса (например, имя терминала);
Имена затронутых объектов (например, открываемых или удаляемых файлов);
Описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);
Метки безопасности субъектов и объектов события.
Необходимо подчеркнуть важность не только сбора информации, но и ее регулярного и целенаправленного анализа. В плане анализа выгодное положение занимают средства аудита СУБД, поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следовательно, появляется возможность для выявления подозрительных действий применять сложные эвристики.