- •Раздел 1. Основы организации и обеспечения защиты информации
- •Тема 1. Основы организации и обеспечения защиты информации.
- •1. Защита информации на пэвм.
- •2. Защита информации в информационных сетях.
- •Раздел 2. Методы и средства защиты информации
- •Тема 2. Методы защиты информации в компьютерных системах.
- •1. Правовые и организационные методы защиты информации в кс.
- •1.1. Правовые основы защиты информации.
- •1.2. Организационные методы защиты информации.
- •2. Защита информации в кс от случайных угроз и от традиционного шпионажа и диверсий.
- •2.1. Защита информации в кс от случайных угроз.
- •2.2. Защита информации в кс от традиционного шпионажа и диверсий.
- •3. Методы и средства защиты от электромагнитных излучений наводок.
- •4. Методы защиты от несанкционированного изменения структур кс.
- •5. Защита информации в кс от несанкционированного доступа.
- •6. Криптографические методы защиты информации.
- •Тема 3. Компьютерные вирусы и механизмы борьбы с ними.
- •1. Классификация компьютерных вирусов.
- •2. Файловые вирусы.
- •3. Загрузочные вирусы.
- •4. Вирусы и операционные системы.
- •5. Методы и средства борьбы с вирусами.
- •6. Профилактика заражения вирусами компьютерных систем.
- •Тема 4. Защита информации в распределенных компьютерных системах.
- •1. Архитектура распределенных кс.
- •2. Особенности защиты информации в ркс.
- •3. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных кс.
- •4. Защита информации на уровне подсистемы управления.
- •5. Защита информации в каналах связи.
- •6. Особенности защиты информации в базах данных.
- •Раздел 3. Построение и организация функционирования комплексных
- •Тема 5. Построение комплексных систем защиты информации.
- •1. Концепция создания защищенных компьютерных систем.
- •2. Этапы создания комплексной системы защиты информации.
- •3. Выбор показателей эффективности и критериев оптимальности ксзи.
- •4. Подходы к оценке эффективности ксзи.
- •5. Создание организационной структуры ксзи.
- •Тема 6. Организация функционирования комплексных систем защиты информации.
- •1. Применение ксзи по назначению.
- •Раздел 3. Построение и организация функционирования комплексных
- •Тема 7. Угрозы информационной безопасности и способы их устранения.
- •1. Что такое информационная безопасность?
- •2. Классификация возможных угроз безопасности.
- •3. Существующие способы устранения угроз.
- •3.1. Совершенствование системы аутентификации пользователей эис.
- •3.2. Защита информации внутри эис при хранении.
- •3.3. Разработка эффективной системы защиты от внутренних угроз.
- •3.4. Концепция управления экономической безопасностью предприятия для ис.
- •3.4.1. Назначение и область применения.
- •3.4.2. Содержание задач управления экономической безопасностью.
2. Этапы создания комплексной системы защиты информации.
Система защиты информации должна создаваться совместно с создаваемой компьютерной системой. В зависимости от особенностей компьютерной системы, условий ее эксплуатации и требований к защите информации процесс создания КСЗИ может не содержать отдельных этапов, или содержание их может несколько отличаться от общепринятых норм при разработке сложных аппаратно-программных систем.
Обычно разработка таких систем включает следующие этапы:
- разработка технического задания;
- эскизное проектирование;
- техническое проектирование;
- рабочее проектирование;
- производство опытного образца.
3. Выбор показателей эффективности и критериев оптимальности ксзи.
Эффективность систем оценивается с помощью показателей эффективности. Иногда используется термин – показатель качества. Показатели качества, как правило, характеризуют степень совершенства какого-либо товара, устройства, машины. В отношении сложных человеко-машинных систем предпочтительнее использование термина показатель эффективности функционирования, который характеризует степень соответствия оцениваемой системы своему назначению.
Показатели эффективности системы, как правило, представляет собой некоторое множество функций yk от характеристик системы xi:
yk = f(x1, x2, …, xn), k = 1,K, n = 1,N,
где K – мощность множества показателей эффективности системы; N – мощность множества характеристик системы.
Характеристиками системы называют первичные данные, отражающие свойства и особенности системы. Используются количественные и качественные характеристики.
Количественные характеристики системы имеют числовое выражение и их называют параметрами. К количественным характеристикам относят разрядность устройства, быстродействие процессора и памяти, длину пароля, длину ключа шифрования и т.п.
Качественные характеристики определяют наличие (отсутствие) определенных режимов, защитных механизмов или сравнительную степень свойств систем («хорошо», «удовлетворительно», «лучше», «хуже»).
Примером показателя эффективности является криптостойкость шифра, которая выражается временем или стоимостью взлома шифра.
Для того, чтобы оценить эффективность системы защиты информации или сравнить системы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для получения критерия эффективности при использовании некоторого множества k показателей используют ряд подходов.
1. Выбирается один главный показатель, и оптимальной считается система, для которой этот показатель достигает экстремума. При условии, что все остальные показатели удовлетворяют системе ограничений, заданных в виде неравенства. Например, оптимальной может считаться система, удовлетворяющая следующему критерию эффективности:
Pнз = Pнзмах при
C <= Cдоп, G <=Gдоп, где
Pнз – вероятность непреодоления злоумышленником системы защиты за определенное время; С и G – стоимостные и весовые показатели, соответственно, которые не должны превышать допустимых значений.
2. Методы, основанные на ранжировании показателей по важности. При сравнении систем одноименные показатели эффективности сопоставляются в порядке убывания их важности по определенным алгоритмам.
Лексикографический метод применим, если степень различия показателей АО важности велика. Две системы сравниваются сначала по наиболее важному показателю. Оптимальной считается такая система, у которой лучше этот показатель. При равенстве самых важных показателей сравниваются показатели, занимающие по рангу вторую позицию и т.д.
Метод последовательных уступок предполагает оптимизацию системы по наиболее важному показателю Y1. Определяется допустимая величина изменения показателя Y1, которая называется уступкой. Измененная величина показателя: Y1' = Y1 ± ∆1 (∆1 – величина уступки) фиксируется. Определяется оптимальная величина показателя Y2 при фиксированном значении Y1', выбирается уступка ∆2 и процесс повторяется до получения YK-1.
3. Мультипликативные и аддитивные методы получения критериев эффективности основываются на объединении всех или части показателей с помощью операций умножения или сложения в обобщенные показатели (ZП, ZС). Показатели, используемые в обобщенных показателях, называют частными (yi, yj).
Если в произведение (сумму) включается часть показателей, то остальные частные показатели включаются в ограничения. Показатели, образующие произведение (сумму), могут иметь весовые коэффициенты.
4. Оценка эффективности СЗИ может осуществляться также методом Парето. Сущность метода заключается в том, что при использовании n показателей эффективности системе соответствует точка в n-мерном пространстве. В N-мерном пространстве строится область парето-оптимальных решений. В этой области располагаются несравнимые решения, для которых улучшение какого-либо показателя невозможно без ухудшения других показателей эффективности. Выбор наилучшего решения из числа парето-оптимальных может осуществляться по различным правилам.