- •Введение. Общая характеристика курса Теория информационной безопасности и методология защиты информации: Основные разделы курса:
- •Последующие курсы:
- •Список литературы:
- •Периодическая литература:
- •1 Математические основы теории информации.
- •Основные свойства вероятностей:
- •Случайные величины.
- •2 Научная терминология (базовые понятия)
- •Необходимыми признаками теории являются:
- •Структура теории:
- •3 Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •4 Роль и место информационных ресурсов в современной жизни
- •Литература:
- •5 Информационные ресурсы. Новые технологии
- •Особенности информационных ресурсов:
- •Новые информационные технологии
- •6 Безопасность информации. Информационная безопасность
- •Литература:
- •Требования к информации с точки зрения ее безопасности
- •Литература:
- •7 Концепция информационной безопасности России
- •8 Этапы развития концепции обеспечения безопасности информации
- •Классификация защищаемой информации по характеру сохраняемой тайны Литература:
- •Литература:
- •Конфиденциальная информация.
- •10 Угрозы безопасности информации. Обобщенная модель нарушения защищенности информации. Примеры конкретных видов угроз. Требования к информации с точки зрения её безопасности (доступа к ней)
- •Угрозы безопасности информации (опасности).
- •Общая модель процесса нарушения защищенности информации:
- •Классификация угроз безопасности данных
- •Характеристика конкретного вида опасности (угрозы)
- •Угрозы информации
- •Угрозы Секретности
- •Угрозы Целостности
- •Модели общей оценки угроз информации
- •Методика вычисления показателей защищённости информации.
- •Анализ опасностей
- •Ряд других нерешенных проблем в dea, обнаруженных gao:
- •13 Компьютерные преступления
- •Литература:
- •14 Цели и особенности моделирования процессов и систем защиты информации Особенности проблем зи:
- •Классификация моделей процессов и систем зи:
- •15 Модель наиболее опасного поведения потенциального нарушителя (злоумышленника)
- •Основные задачи злоумышленника в информационной борьбе:
- •Модели защиты информации от несанкционированного доступа
- •Модели систем разграничения доступа к ресурсам асод
- •Литература:
- •16 Определение базовых показателей уязвимости (защищенности) информации:
- •Определение обобщенных показателей уязвимости:
- •Анализ показателей защиты (уязвимости) многоуровневой сзи
- •19 Политика безопасности
- •Определение политики безопасности
- •19,23,25 Язык описания политик безопасности
- •Модель Белла и Лападулла
- •20 Дискреционная политика
- •21 Матричная модель
- •22 Многоуровневые политики. Метка безопасности. Разрешенные информационные потоки. Политика mls
- •24 Модель Диона Субъекты в модели Диона
- •Объекты в модели Диона
- •Условия образования информационных каналов
- •Литература
- •25 Политика целостности Biba
- •1. Вступление
- •2 Причины возникновения
- •3. Роли и соответствующие понятия
- •4. Семейство базовых моделей
- •4.1 Базовая модель
- •4.2 Иерархии ролей
- •4.3. Ограничения
- •4.4 Сводная модель
- •5. Модели управления
- •6. Заключение
- •Литература
- •29 Анализ и управление риском Понятие риска. Принципы управления риском
- •Определение системных ценностей (assets)
- •Ожидаемые годовые потери (Annual Loss Expectancy)
- •Управление риском (risk management)
- •Выбор мер обеспечения безопасности (safeguard selection)
- •Вычисление показателя степени риска
- •Анализ опасностей
- •Элементы анализа степени риска:
- •Управление риском: Риск. Устойчивое развитие
- •Введение
- •Некоторые принципы управления риском.
- •Дополнительные принципы.
- •Литература:
- •Формальные средства защиты
- •Неформальные средства защиты
- •32 Оптимальные задачи зи. Постановка задачи. Классификация методов принятия решения в зи
- •Аналитические методы :
- •Доп. Литература:
- •Оптимальные задачи защиты информации
- •33 Формальные методы принятия решений. Многокритериальная оптимизация. Многокритериальные задачи оптимизации.
- •Безусловный критерий предпочтения (бчп) —
- •34 Неформальные методы принятия решений в сзи. Метод экспертных оценок. Нечеткая логика Формальные и неформальные методы анализа сзи
- •Последовательность решения задачи с помощью метода экспертных оценок
- •6.Нечеткие алгоритмы
- •Нечеткие алгоритмы принятия решений в системах зи
- •1.Классические алгоритмы принятия решений основаны на правилах “если–то”
- •3.Нечеткое множество
- •4 Лингвистическая переменная
- •5 Операции с нечеткими множествами
- •6 Нечеткий алгоритм
- •Другой метод построения функции принадлежности выходного нечеткого множества:
- •Литература:
- •9 Система принятия решений на основе нечеткой логики:
- •8 Правила принятия решений в динамических ситуациях.
- •7 Механизм логического вывода. Метод max — min.
- •Информационное оружие. Информационные войны
- •Литература:
- •Мнение официальных лиц:
- •Модели общей оценки угроз информации
Некоторые принципы управления риском.
(разработаны фирмой Countermeasures Incarparated)
Все системы можно пострадать от одной и той же популяции угроз. Популяция угроз бесконечна по их числу и разнообразию. В любой системе и в любом месте можно встретить проявление любой угрозы, изменяется лишь вероятность её возникновения.
На частоту возникновения угрозы нельзя ничем повлиять. Определённые изменения частоты угроз на самом деле являются следствием принимаемых контрмер.
Уязвимость уменьшается с увеличением количества контрмер. Уровень уязвимости снижается при их применении.
Каждая контрмера имеет свои уязвимые места, поэтому невозможно достичь нулевого уровня уязвимости.
С помощью контрмер можно добиться приемлемого уровня уязвимости. Существует набор контрмер, с помощью которого можно достичь любого уровня уязвимости.
Дополнительные принципы.
[Д. Стейн, С. Мун; с.39].
Все контрмеры потребуют затрат со стороны организации. Расходы на внедрение контрмер, необходимых для достижения приемлемого уровня уязвимости, могут, в свою очередь, оказаться неприемлемыми.
Чем меньше диапазон допустимых отклонений от необходимого уровня безопасности, тем больше расходы на внедрение и проведение контрмер. С другой стороны, чем больше расходы на контрмеры, тем больше необходима мотивация этих расходов.
Точно измерить можно только затраты. Частоту возникновения угроз, их серьёзность и возможность предотвращения чаще всего измерить не удаётся. Выбор контрмер всегда требует потратить осязаемое (реальные расходы в связи с применением контрмер) на неосязаемое (потенциальные потери).
30 Общие принципы проектирования систем защиты информации.
1 Системный подход
а) Главная цель — обеспечения качества информации (а не ЗИ как самоцель):
– конфиденциальность;
– целостность;
– достоверность, адекватность, точность;
б) Учёт всех факторов в их взаимосвязи;
Построение системы ЗИ (т.е. комплексное использование имеющихся в распоряжении средств).
2 Типовая концепция ЗИ в АСОД
Рисунок — Типовая концепция ЗИ в АСОД
Функции ЗИ — конкретные мероприятия по ЗИ.
Задачи ЗИ — возможности средств методов и мероприятий, определение перечня каналов НСД(утечки) информации.
Средства ЗИ — устройства, программы, мероприятия.
Система ЗИ — совокупность всех мероприятий по ЗИ.
31 Выбор мер обеспечения безопасности. Методы и средства ЗИ
1)Классификация методов и средств ЗИ:
Управление — регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи информации, где в качестве ресурсов рассматриваются технические средства, ОС, программы, БД, элементы данных и т.п. Осуществляется путём целенаправленного воздействия подсистемы управления системы обеспечения безопасности информации (СОБИ) на средства и механизмы ЗИ и компоненты ИВС с целью обеспечения безопасности информации.
Препятствия — физически преграждают нарушителю путь к защищаемой информации.
Маскировка — метод ЗИ путём их криптографического закрытия.
Регламентация — разработка и реализация в процессе функционирования ИВС комплексов мероприятий, создающих такие условия технологического цикла обработки информации, при которых минимизируется риск.
Регламентация охватывает как структурное построение ИВС, так и технологию обработки данных, организацию работы пользователей и персонала сети.
Побуждение — создание такой обстановки и условий, при которых правила обращения с защищенной информацией регулируется моральными и нравственными нормами.
Принуждение — угроза материальной, административной и уголовной ответственности за нарушение правил обращения с защищенной информацией.
На основе перечисленных методов создаются средства ЗИ, которые можно разделить на:
Формальные— выполняют свои функции по заранее установленным процедурам без вмешательства человека;
Неформальные — реализуется в результате деятельности людей, либо регламентируют эту деятельность.