- •Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •2. Определение нсд. Основные принципы защиты от нсд
- •3. Модель нарушителя в ас
- •4. Основные способы нсд. Основные направления обеспечения защиты от нсд
- •5. Организация работ по защите от нсд
- •6. Оценка эффективности пиб. Классический; официальный; экспериментальный подходы.
- •7. Модель нарушителя иб
- •Модель противоборства собственника и нарушителя
- •Политика иб. Структура документа.
- •Основные принципы политики иб
- •11. Правила политики иб
- •Политика иб. Реакция на инциденты иб. Цели реакции на инциденты иб
- •Политика иб. Концепция.
- •15. Политика иб. Стандарты.
- •Политика иб. Процедуры информационной безопасности.
- •Политика иб. Методы информационной безопасности. Аварийный план.
- •Алгоритм Диффи-Хеллмана.
- •Описание алгоритма
- •Криптографическая стойкость
5. Организация работ по защите от нсд
1. Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации.
2. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком.
Эти требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде определенного, соответствующего этому уровню перечня требований.
Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты. Организационные мероприятия для АС реализуются заказчиком.
Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
3. Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.).
По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных.
4. Разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.
6. Оценка эффективности пиб. Классический; официальный; экспериментальный подходы.
Все требования по безопасности, предъявленные к ИС, реализуются разработчиком в виде подсистемы ИБ (ПИБ). Для оценки эффективности ПИБ используются 3 подхода:
1. Классический. Для оценки эффективности используются критерии, которые вычисляются по характеристикам системы, либо моделируются.
Достоинства: получение точных численных значений критериев эффективности. Недостатки: отсутствие единых критериев эффективности, сложность процедуры моделирования
2. Официальный подход. Существует 2 подхода к оценке защищенности:
1) Защищенность средств ВТ. Для СВТ установлено 7 классов защищенности. Классы подразделяются на 4 группы, отличающиеся качественным уровнем защиты:
1.1)Только 7 класс защищенности. Он присваивается с СВТ, к кот.предъявлены требования безопасности, но не были выполнены требования шестого класса.
1.2) Характеризуется дискретной защитой (6 и 5 класс)
1.3) Характеризуется мандатной защитой (4,3 и 2 классы)
1.4) Характеризуется верифицированной защитой и содержит только 1ый класс
2) Оценка защищенности АС (автоматизированных систем). Включает 9 классов защищенности, разделенных на 3 группы по способу обработки информации:
3 группа: Однопользовательские АС, где пользователь имеет доступ ко всей информации. К этой группе относятся 2 класса: ААА и БББ (3А и 3Б)
2 группа: Многопользовательские АС, где пользователи имеют одинаковый уровень доступа. Системы 2А и 2Б
1 группа: Многопользовательские АС с разным уровнем доступа:1А, 1Б,1В,1Г,1Д
Достоинства : простота использования, единство критериев.
Недостатки: контроль только за наличием подсистем, а не за их исполнением.