01. ВВЕДЕНИЕ
Защищенная система
Защищенная система
Стандарты
информационной
безопасности
Понятия и
концепции
информационной
безопасности
Стандартизация
требований и
критериев
безопасности
Шкала оценки
степени
защищенности ВС
02. ОСНОВЫНЫЕ
ПОНЯТИЯ И
ОПРЕДЕЛЕНИЯ
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Политика безопасности (Security Policy)
Совокупность норм-правил,
обеспечивающих эффективную защиту
системы обработки информации
от заданного множества угроз безопасности.
Модель безопасности (Security Model)
Формальное представление политики
безопасности.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Дискреционное, или произвольное, управление доступом
(Discretionary Access Control)
Управление доступом, осуществляемое
на основании заданного администратором
множества разрешенных отношений доступа
(в виде троек
<объект, субъект, тип доступа>).
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Мандатное, или нормативное, управление доступом
(Mandatory Access Control)
Управление доступом, основанное на совокупности правил
предоставления доступа,
определенных на множестве атрибутов безопасности
субъектов и объектов,
например, в зависимости от грифа секретности информации
и уровня допуска пользователя.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Ядро безопасности — Trusted Computing Base (ТСВ)
Совокупность аппаратных, программных и специальных
компонент ВС,
реализующих функции защиты и обеспечения безопасности.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Идентификация (Identification)
Процесс распознавания сущностей
путем присвоения им уникальных меток
(идентификаторов).
Аутентификация (Authentication)
Проверка подлинности идентификаторов
сущностей с помощью различных
(преимущественно криптографических)
методов.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Адекватность (Assurance)
Показатель реально обеспечиваемого уровня безопасности,
отражающий степень эффективности и надежности
реализованных средств защиты
и их соответствия поставленным задачам.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Квалификационный анализ, квалификация уровня безопасности
(Evaluation)
Анализ ВС с целью определения уровня ее защищенности
и соответствия требованиям безопасности на основе критериев
стандарта безопасности.
Квалификация уровня безопасности
завершается присвоением ВС того или иного класса или уровня
безопасности.
Эксперты
по
квалификации
квалификационным анализом.
-
специалисты,
занимающиеся
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Таксономия (Taxonomy)
Наука о систематизации и классификации сложноорганизованных
объектов и явлений, имеющих иерархическое строение
(от греческого taxis — строй, порядок и nomos — закон).
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
В отличие от классификации, устанавливающий связи и
отношения между объектами (иерархия строится снизу-вверх),
таксономия основана на декомпозиции явлений и поэтапном
уточнении свойств объектов (иерархия строится сверху-вниз).
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Прямое взаимодействие (Trusted Path)
Принцип организации информационного взаимодействия,
гарантирующий, что передаваемая информация
не подвергается перехвату или искажению.
03. УГРОЗЫ
БЕЗОПАСНОСТИ
КОМПЬЮТЕРНЫХ
СИСТЕМ
Вычислительная система
Угрозы безопасности
Угроза безопасности вычислительной системе
- это воздействия на систему,
которые прямо или косвенно
могут нанести ущерб ее безопасности.
Виды угроз
Вычислительная система
Угрозы целостности
любое искажение или изменение
неавторизованным на это действие лицом
хранящейся в ВС или передаваемой информации.
Угрозы
конфиденциальности
Целостность информации может быть нарушена
как злоумышленником,
направлены на разглашение секретной
так и в результате объективных воздействий
информации. Также они называются
со
стороны
среды эксплуатации
системы.
Угрозы
нарушения
работоспособности
"несанкционированный доступ" (НСД).
(отказ в обслуживании) направлены на создание ситуаций,
когда в результате преднамеренных действий ресурсы вычислительной
системы становятся недоступными, или снижается ее работоспособность.
Вычислительная система
Угрозы целостности
Безопасная (защищенная) система
-это система, обладающая средствами защиты, которые
успешно и эффективно противостоят
Угрозы
-угрозам безопасности.
конфиденциальности
Угрозы нарушения работоспособности
04. РОЛЬ
СТАНДАРТОВ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Стандарты
информационной
безопасности
Эксперты
по квалификации
и
специалисты
по сертификации
Потребители
Производители
Задача стандартов информационной безопасности –
примирить эти три точки зрения и создать эффективный механизм
взаимодействия всех сторон.
Наиболее значимые стандарты
информационной безопасности:
"Критерии безопасности компьютерных систем министерства обороны США"
Руководящие документы Гостехкомиссии России
"Европейские критерии безопасности информационных технологий"
"Федеральные критерии безопасности информационных технологий США"
"Канадские критерии безопасности компьютерных систем"
"Единые критерии безопасности информационных технологий"
Смотреть еще раз:
Скачать