- •Введение. Общая характеристика курса Теория информационной безопасности и методология защиты информации: Основные разделы курса:
- •Последующие курсы:
- •Список литературы:
- •Периодическая литература:
- •1 Математические основы теории информации.
- •Основные свойства вероятностей:
- •Случайные величины.
- •2 Научная терминология (базовые понятия)
- •Необходимыми признаками теории являются:
- •Структура теории:
- •3 Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •4 Роль и место информационных ресурсов в современной жизни
- •Литература:
- •5 Информационные ресурсы. Новые технологии
- •Особенности информационных ресурсов:
- •Новые информационные технологии
- •6 Безопасность информации. Информационная безопасность
- •Литература:
- •Требования к информации с точки зрения ее безопасности
- •Литература:
- •7 Концепция информационной безопасности России
- •8 Этапы развития концепции обеспечения безопасности информации
- •Классификация защищаемой информации по характеру сохраняемой тайны Литература:
- •Литература:
- •Конфиденциальная информация.
- •10 Угрозы безопасности информации. Обобщенная модель нарушения защищенности информации. Примеры конкретных видов угроз. Требования к информации с точки зрения её безопасности (доступа к ней)
- •Угрозы безопасности информации (опасности).
- •Общая модель процесса нарушения защищенности информации:
- •Классификация угроз безопасности данных
- •Характеристика конкретного вида опасности (угрозы)
- •Угрозы информации
- •Угрозы Секретности
- •Угрозы Целостности
- •Модели общей оценки угроз информации
- •Методика вычисления показателей защищённости информации.
- •Анализ опасностей
- •Ряд других нерешенных проблем в dea, обнаруженных gao:
- •13 Компьютерные преступления
- •Литература:
- •14 Цели и особенности моделирования процессов и систем защиты информации Особенности проблем зи:
- •Классификация моделей процессов и систем зи:
- •15 Модель наиболее опасного поведения потенциального нарушителя (злоумышленника)
- •Основные задачи злоумышленника в информационной борьбе:
- •Модели защиты информации от несанкционированного доступа
- •Модели систем разграничения доступа к ресурсам асод
- •Литература:
- •16 Определение базовых показателей уязвимости (защищенности) информации:
- •Определение обобщенных показателей уязвимости:
- •Анализ показателей защиты (уязвимости) многоуровневой сзи
- •19 Политика безопасности
- •Определение политики безопасности
- •19,23,25 Язык описания политик безопасности
- •Модель Белла и Лападулла
- •20 Дискреционная политика
- •21 Матричная модель
- •22 Многоуровневые политики. Метка безопасности. Разрешенные информационные потоки. Политика mls
- •24 Модель Диона Субъекты в модели Диона
- •Объекты в модели Диона
- •Условия образования информационных каналов
- •Литература
- •25 Политика целостности Biba
- •1. Вступление
- •2 Причины возникновения
- •3. Роли и соответствующие понятия
- •4. Семейство базовых моделей
- •4.1 Базовая модель
- •4.2 Иерархии ролей
- •4.3. Ограничения
- •4.4 Сводная модель
- •5. Модели управления
- •6. Заключение
- •Литература
- •29 Анализ и управление риском Понятие риска. Принципы управления риском
- •Определение системных ценностей (assets)
- •Ожидаемые годовые потери (Annual Loss Expectancy)
- •Управление риском (risk management)
- •Выбор мер обеспечения безопасности (safeguard selection)
- •Вычисление показателя степени риска
- •Анализ опасностей
- •Элементы анализа степени риска:
- •Управление риском: Риск. Устойчивое развитие
- •Введение
- •Некоторые принципы управления риском.
- •Дополнительные принципы.
- •Литература:
- •Формальные средства защиты
- •Неформальные средства защиты
- •32 Оптимальные задачи зи. Постановка задачи. Классификация методов принятия решения в зи
- •Аналитические методы :
- •Доп. Литература:
- •Оптимальные задачи защиты информации
- •33 Формальные методы принятия решений. Многокритериальная оптимизация. Многокритериальные задачи оптимизации.
- •Безусловный критерий предпочтения (бчп) —
- •34 Неформальные методы принятия решений в сзи. Метод экспертных оценок. Нечеткая логика Формальные и неформальные методы анализа сзи
- •Последовательность решения задачи с помощью метода экспертных оценок
- •6.Нечеткие алгоритмы
- •Нечеткие алгоритмы принятия решений в системах зи
- •1.Классические алгоритмы принятия решений основаны на правилах “если–то”
- •3.Нечеткое множество
- •4 Лингвистическая переменная
- •5 Операции с нечеткими множествами
- •6 Нечеткий алгоритм
- •Другой метод построения функции принадлежности выходного нечеткого множества:
- •Литература:
- •9 Система принятия решений на основе нечеткой логики:
- •8 Правила принятия решений в динамических ситуациях.
- •7 Механизм логического вывода. Метод max — min.
- •Информационное оружие. Информационные войны
- •Литература:
- •Мнение официальных лиц:
- •Модели общей оценки угроз информации
1. Вступление
Понятие контроля доступа, основанного на ролях (КДОР) возникло с появлением многопользовательских и многозадачных он-лайн систем в 70-х. Центральным понятием КДОР является то, что разрешения ассоциированы с ролями, а пользователи связаны с соответствующими ролями. Это значительно упрощает управление разрешениями. Роли создаются для различных рабочих функций в организации, и пользователи закреплены за ролями в соответствии со своими обязанностями и квалификацией. Пользователи могут быть легко переведены с одной роли на другую. Ролям могут присваиваться новые разрешения при внедрении новых программ и систем, а при необходимости роли могут лишаться разрешений.
Роль должна рассматриваться как семантический структурный компонент, вокруг которого формулируется политика контроля доступа. Отдельная группа пользователей и разрешений, объединенная одной ролью, является кратковременным явлением. Сама роль является более стабильным элементом, так как деятельность или функции организации меняются не столь часто.
Ниже анализируется ряд особых причин для создания роли. Роль может представлять компетенцию выполнения определенных заданий, например, доктора или фармацевта. Роль может включать власть и ответственность, например, руководитель проекта. Власть и ответственность отличны от компетенции. Джейн До может быть компетентной возглавлять несколько управлений, однако назначена возглавлять лишь одно управление. Роли могут отражать особые должностные обязанности, передаваемые между несколькими пользователями, например, дежурный врач или сменный управляющий. Модели КДОР и их внедрение должны удобно приспособиться под все эти проявления концепции роли.
Недавний анализ, проведенный NIST [1], показывает, что КДОР отвечает на многие потребности в деловых и правительственных кругах. В исследовании, проведенном в 28 организациях, выяснилось, что требования к контролю доступа обусловлены различными причинами, включая уверенность клиентов, акционеров, страховщиков, личный характер персональной информации, предотвращение незаконного использования финансов, предотвращение незаконного использования междугородней телефонной связи, следование профессиональным стандартам. В ходе исследования выяснилось, что большое количество организаций основывают свои решения по контролю доступа на ролях, которые отдельные пользователи играют в организации. Много организаций предпочитали централизованно контролировать и эксплуатировать права доступа, не столько по личному усмотрению системного администратора, сколько в соответствии с правилами защиты организации. Анализ также показал, что организации обычно рассматривали свои потребности в контроле доступа как уникальные и были убеждены, что имеющиеся программные продукты недостаточно гибки.
Другое свидетельство повышенного интереса к КДОР находится в области стандартов. Считается, что роли являются частью нового стандарта SQL3, используемого в системах управления базами данных, основывающих свое выполнение на Оракл 7. Роли также были встроены в профиль коммерческой безопасности проекта Общих критериев [2]. КДОР также хорошо подошел основным течениям в технологии и бизнесе. Ряд продуктов поддерживают непосредственно одну их форм КДОР, другие поддерживают чрезвычайно схожие понятия как, например, группы пользователей, которые можно использовать для осуществления ролей.
Несмотря на общепризнанную полезность концепции КДОР, существует много расхождений по поводу значения КДОР. В результате этого, КДОР является сегодня аморфным понятием, интерпретируемым по-разному различными исследователями и системными разработчиками, от простого варианта до сложного. В данной работе описывается новая структура, состоящая из четырех моделей, разработанная авторами для обеспечения системного подхода к пониманию КДОР и категоризирования его применения в различных системах. Наша структура также разделяет управление КДОР и его использования для контроля доступа к данным и другим ресурсам.