- •1.Основные понятия курса.
- •2.Структура кис.
- •3.Классификация кис.
- •4.Базовые стандарты кис.
- •5.Информационная модель предприятия.(на 3 билета)
- •6.Информационные ресурсы.
- •7.Организация технического обеспечения.
- •8.Оборудование локальных сетей.
- •9.Требования к техническому обеспечению.
- •16.Пакеты прикладных программ в предметных областях.
- •17.По промежуточного слоя.
- •18. Основы информационной безопасности.
- •19 Критерии оценки информационной безопасности.
- •20 Классы безопасности информационных систем.
- •25.Основные понятия искусственного интеллекта (ии).
- •26. Экспертные системы и их характеристика.
- •27.Системы поддержки принятия решений (сппр).
- •28. Системы управления знаниями и сис-мы интеллектуального анализа данных.
- •29. Реинженеринг бизнес-процессов и его характеристика.
- •30. Жизненный цикл(жц) кис.
- •31. Основы проектирования кис
- •32. Стандартизация и сертификация информационных технологий.
- •33.Критерии выбора кис.
20 Классы безопасности информационных систем.
В соответствии с «Оранжевой книгой» политика безопасности должна включать в себя следующие элементы:
• произвольное управление доступом — метод разграничения доступа к объектам, основанный на учете личности субъекта (группы, в которую он входит). Некоторое лицо (владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту;
• безопасность повторного использования объектов — дополнительные средства, предохраняющие от случайного или преднамеренного извлечения конфиденциальной информации из оперативной памяти, дисковых блоков и магнитных носителей в целом;
• метки безопасности, состоящие из уровня секретности и списка категорий;
• принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации. После фиксации меток безопасности субъектов и объектов оказываются зафиксированными и права доступа.
В «Оранжевой книге» дано определение безопасной системы — это система, которая посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочиялица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации. В ней выделены основные классы защищенности — D, С, В, А.
В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.
Класс С1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом работы; должна обеспечиваться корректность функционирования аппаратных и программных средств путем периодической проверки; должен быть описан подход к безопасности, используемый разработчиком, и применение его при реализации ИС.
Класс С2 (в дополнение к требованиям класса С1): все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться; каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; предусмотрена ликвидация всех следов внутреннего использования объектов ИС; ИС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ИС; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс В1 (в дополнение к требованиям класса С2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам, взаимную изоляцию процессов путем разделения их адресных пространств; должна существовать неформальная или формальная модель политики безопасности.
Класс В2 (в дополнение к требованиям класса В1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией; ИС должна быть внутренне структурирована и демонстрировать устойчивость к попыткам проникновения; тестыдолжны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс ВЗ (в дополнение к требованиям класса В2): для управления доступом должны использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ; администратор безопасности должен извещаться о попытках нарушения политики безопасности, а система в случае продолжения попыток должна пресекать их наименее болезненным способом; должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты; должна быть продемонстрирована устойчивость НС к попыткам проникновения.
Класс А1 (в дополнение к требованиям класса ВЗ): тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.