- •1.1.1 Национальные интересы российской федерации в информационной сфере и их обеспечение.
- •1.1.2. Виды угроз информационной безопасности Российской Федерации.
- •1.1.3. Источники угроз информационной безопасности Российской Федерации.
- •1.1.4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению.
- •1.2.1. Общие методы обесп. Инф.Безопасности рф.
- •1.2.2. Особенности обеспеч. Инф. Безопаоности рф в разл. Сферах общественной жизни.
- •2. Закон Российской Федерации «о государственной тайне»:
- •2.3) Порядок отнесения сведений к гос тайне и их засекречивание.
- •2.4) Рассекречивание сведений и их носителей.
- •2.5) Защита гос. Тайны.
- •2.6) Финансирование мероприятий по защите гос. Тайны.
- •I.3 Закон рф о персональных данных
- •По используемым средствам атаки
- •По состоянию объекта атаки
- •II.3 Характеристики наиболее распространенных угроз безопасности асои.
- •II.4.1 Модели политики безопасности.
- •Простое свойство безопасности (The Simple Security)
- •Свойство * (The *-property)
- •Дискреционное свойство безопасности (The Discretionary Security Property)
- •II.4.2 Достоверная вычислительная база.
- •II.4.3 Механизмы защиты. Ядро безопасности. Монитор ссылок.
- •II.4.4 Функции ядра безопасности.
- •II.4.5 Принципы реализации политики безопасности.
- •III. Оценка безопасности систем. Система документов сша. Классы защищенности компьютерных систем мо сша.
- •6 Классов d/ c1 c2/ b1 b2 b3/ a1
- •1. Общие положения:
- •2. Требования к показателям защищенности
- •1. Классификация ас
III. Оценка безопасности систем. Система документов сша. Классы защищенности компьютерных систем мо сша.
Как оценить безопасность системы
Выявить критерии оценки «Критерий оценки безопасности компьютерных систем» (Оранжевая книга) – США
«Руководство по применению критерия оценки безопасности компьютерных систем в специальных средах (Желтая книга)
«Разъяснения критерия оценки безопасности компьютерных систем для безопасных сетей компьютерных систем – СУБД»
«Разъяснения для отдельных безопасных подсистем» (Радужная серия)
Нужна производителям для учета требований в продукции
Общие требования по безопасности:
Перечень показателей по безопасности в оранжевой книге – требование по безопасности (и треб к управлению доступом):
Политика безопасности
Маркировка
Идентификация
Учет
Уверенность в системе (предоставление гарантии)
Непрерывность защиты (предоставление гарантии)
Сочетание этих требований определяет безопасность системы
С1 класс, избирательная защита.
Средства защиты класса С1, удовлетворяют требованиям избирательного управления.
Обеспечивает разделения пользователей и данных субъекта и объекта, определяется перечень прав доступа чтения, записи.
Обязательна идентификация и аутентификация субъектов доступа
С2 класс. (каждый последующий класс включает требования другого)
Управляемый доступ (добавляются требования об уникальной идентификации субъекта, добавляется требование защиты по умолчанию)
Регистрация событий
Системы класса В
Появляется требование с полномочного управления доступа.
Каждый субъект и объект получает метки и доступ разрешается на основе этих меток
В1 – самый слабый (меточная защита)
Доступ к информации на основе определения соотношения этих меток.
В2(включает все что раньше)
Структурированная защита
дополнение по управлению информационными потоками.
В3 область безопасности
Система класса В3 реализуется в соответствии с концепцией монитора ссылок
Класс А1. Верифицированная разработка для проверки политики безоп применяются доп проверки специальные
6 Классов d/ c1 c2/ b1 b2 b3/ a1
C2 наиболее распространенный
Microsoft Windows NT
IV Руководящие документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности.». Классификация автоматизированных систем и требования по защите информации
Появился в 1992 году.
Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Сокращения:
АС – автоматизированная система; КД – конструкторская документация; КСЗ – комплекс средств защиты; НСД – несанкционированный доступ ; ПРД – правила разграничения доступа; СВТ – средства вычислительной техники