- •Разработки ieee:
- •Прямые затраты
- •Соглашение о качестве услуг
- •Что такое корпоративные стандарты?
- •Понятие формата файла
- •4 Свободы:
- •Цель использования эп
- •Назначение гнивц
- •Главное правило при работе с файлами
- •Публичная сеть
- •Старое советское определение
- •Определение intuit.Ru
- •Простейшая база данных
- •Промышленная база данных
- •Промежуточный случай – субд для пк
- •Пример xml-описания
- •Понятие субПиАр:
- •Определения:
- •Диаграммы dfd
- •Диаграммы wfd
- •Понятие и применение uml
- •Замечания
- •Структура кодов окуд
- •Научно-методическое обеспечение
- •Кадровое обеспечение
- •Внешние субъективные источники угроз
- •Внутренние субъективные источники угроз
- •Б. Источники, связанные с техническими средствами
- •Виды атак
- •Группы в соответствии с особенностями обработки информации
Внешние субъективные источники угроз
внесение аппаратных закладок в технические средства
удаленное внедрение вредоносного ПО
перехват защищаемой информации в каналах передачи данных
подбор аутентифицирующей информации пользователей («взлом паролей»)
Внутренние субъективные источники угроз
Действия лиц, имеющих доступ к работе и (или) допуск в пределы контролируемой зоны.
А. Стихийные источники потенциальных угроз информационной безопасности, под которыми понимаются прежде всего природные явления (пожары, землетрясения, наводнения и т.п.);
Б. Источники, связанные с техническими средствами
передача информации по беспроводным, проводным и волоконно-оптическим каналам
дефекты, сбои и отказы технических средств
отказы и сбои программных средств обработки информации
Атаки
Угрозы, не являющиеся атаками
Атака является целенаправленным действием нарушителя с использованием технических и (или) программных средств, с целью нарушения заданных характеристик безопасности защищаемых ресурсов или с целью создания условий для этого.
Виды атак
атаки через технические каналы утечки информации
атаки за счет несанкционированного доступа (НСД) с применением программных и программно-аппаратных средств.
угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления)
угрозы социально-политического характера (забастовки, саботаж, локальные конфликты и т.д.)
угрозы техногенного характера (отключение электропитания, разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания и заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т.д.)
ошибочные или случайные действия и (или) нарушения тех или иных требований лицами, взаимодействующими с ресурсами информационной системы в рамках своих полномочий (непреднамеренные действия пользователей)
Доступность – возможность в приемлемое время получить требуемую информационную услугу
Целостность – актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения
Конфиденциальность – защита от несанкционированного доступа к информации
С практической точки зрения абсолютной защищённости не существует. Важно соотношение ущерба от нарушения ИБ и стоимости мер по её обеспечению.
Аутентификация: обеспечивается проверка подлинности партнеров по общению и проверка подлинности источника данных. Бывает односторонней (клиент доказывает свою подлинность серверу) и взаимной.
Управление доступом: обеспечивается защита от несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность данных: обеспечивается защита от несанкционированного получения (считывания) информации.
Целостность данных: зависит от режима связи, возможны различные варианты обеспечения целостности.
Неотказуемость: обеспечивается невозможность отказаться от совершенных действий. Существует в двух вариантах.
неотказуемость с подтверждением подлинности источника данных (аутентификация источника)
неотказуемость с подтверждением доставки
Необходимость как-то измерять уровень «доверия» к АИС и их защищённость привела к разработке стандартаTCSEC, впервые опубликованого в 1985 году и разработанного Министерством обороны и Национальным центром компьютерной безопасности (National Computer Security Center – NCSC). Стандарт TCSEC известен под названием «Оранжевая книга» (Orange Book). В этой «Оранжевой книге» перечислены семь подуровней четырех основных уровней защиты, начиная от самой высокой степени непроницаемости до самой низкой.
Уровень A – верифицируемая безопасность
Уровень B – принудительное управление доступом
Уровень C – произвольное управление доступом
Уровень D – неудовлетворительная защита