- •1. Структура информационных ресурсов и соответствующих законодательных актов.
- •2. Государственная тайна и ее защита.
- •3. Федеральные требования по защите информации.
- •4. Уголовный кодекс рф и информационная безопасность.
- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •14. Подход клиент/сервер и информационная безопасность.
- •15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •4. Перехват трафика внутри сети:
- •1. Доступ к каналам связи:
- •2. Внешние атаки через internet:
- •3. Доступ через Internet с мобильного пользователя:
- •20. Проектирование средств защиты информации. Вертикальная структура.
14. Подход клиент/сервер и информационная безопасность.
Информационная безопасность начинается не тогда, когда случилось первое нарушение, а когда идет формирование будущей компьютерной системы.
Как правило, заказчик хочет получить определенный набор сервисов. Назовем их основными. Однако, чтобы основные сервисы могли функционировать, необходимо приобрести ряд вспомогательных сервисов. Имеются в виду серверы баз данных, почтовые серверы, сетевые сервисы, мониторы транзакций и т.д.
В защите нуждаются все сервисы и коммуникационные пути между ними. В то же время, возможно, не все запланированные атомарные сервисы обладают полным набором механизмов безопасности. Интерпретация "Оранжевой книги" для сетевых конфигураций подсказывает правила, по которым следует объединять сервисы. Идея их проста - нужно формировать составные сервисы, обладающие полным набором механизмов безопасности и с внешней точки зрения представляющие собой единое целое,- нет информационных потоков, идущих к незащищенным компонентам.
Вполне возможно, что из сервисов, выбранных на первом этапе, не удается составить надежной конфигурации. В таком случае необходимо привлечение дополнительных - экранирующих сервисов. Пример экранирующего сервиса - сервер аутентификации Kerberos. Иногда примером могут служить межсетевые экраны или стены (firewalls), защищающие сети организаций от враждебного окружения.
Выбор подхода клиент/сервер как основы структурирования информационных систем при рассмотрении программно-технических мер безопасности целесообразен еще и потому, что для каждого сервиса основные цели, а именно: конфиденциальность, целостность и доступность, трактуются по-своему. Целостность с точки зрения системы управления базами данных и с точки зрения почтового сервера - вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность сервисов, функционирующих в сети. Часто для разных сервисов и защиту строят по-разному. Например, обычно межсетевые экраны свободно пропускают через себя почтовый трафик - почта является относительно безобидным сервисом, но контролируют попытки доступа к другим, более мощным или более уязвимым сервисам.
15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
По цели реализации угрозы:
1. Нарушение конфиденциальности - к информации тем или иным способом получен несанкционированный доступ.
Механизм: необходимо проводить авторизацию, аутентификацию и окаутинг.
2. Нарушение целостности – порча информации при хранении и передаче. Часто нарушение целостности вносит вирус.
Механизм: осуществление контроля целостности.
3. Нарушение доступности – по той или иной причине информация не доступна для получателя.
Механизм: использование RAID-массивов, альтернативных путей доставки и маршрутизации.
По принципу воздействия:
1. с использованием доступа,
2. с использованием скрытых каналов.
1. с использованием доступа – к информации получен доступ либо физически, либо по сети.
Механизм: исключить присутствие открытых сервисов и неавторизированных пользователей.
2. с использованием скрытых каналов – появились программные каналы, по которым утекает информация. Чаще всего такие каналы возникают в следствии троянов.
Механизм: firewall, антивирус.