- •1.Понятия и назначение ксзи
- •2.Определение компонентов ксзи
- •3. Концепция создания комплексной системы защиты информации
- •5. Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •7.Факторы, влияющие на создание ксзи
- •9. Требования, предъявляемые к комплексной системы защиты информации
- •10. Цели, задачи и принципы построения ксзи
- •11. Цели и задачи зи в автоматизированных системах.
- •12. Методологические основы организации ксзи
- •13. Понятие и назначение комплексной системы защиты информации
- •21. Классификация информации по видам тайны и степеням конфиденциальности
- •22. Определение состава защищаемой информации, отнесённой к коммерческой тайне предприятия
- •23. Методика определения состава защищаемой информации
- •24. Методика выявления состава носителей защищаемой информации
- •27. Модели нарушителей безопасности автоматизированных систем
- •28. Обеспечение безопасности информации в непредвиденных ситуациях
- •30.Задачи ксзи по выявлению каналов утечки информации
- •31. Особенности защиты речевой информации
- •32. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •34 Объекты защиты информации
- •36.Классификация формальных моделей безопасности
- •38. Кадровое обеспечение функционирования ксзи
- •40. Назначение управления ксзи
- •41. Структура управления ксзи
- •43. Принципы функционирования ксзи:
- •44. Методы функционирования ксзи.
- •46. Понятие и основные виды чс
- •47. Факторы, влияющие на принятие решений в условиях чс
- •51.Экономический подход к оценке эффективности ксзи
34 Объекты защиты информации
Объекты ЗИ:
Это информация, носитель информации или информационный процесс в отношении которого необходимо обеспечить защиту от попыток хищения, незаконной модификации и изменения.
При организации КСЗИ на предприятии рассматриваются :
Объекты:
Прилегающие территории
Здания предприятия
Помещения предприятия предназначенные для: обработки информации с ограниченным доступом, переговоров (в ходе которых оглашаются сведения ограниченного доступа)
Хранилище носителей информации
Рабочие помещения
Физические поля (электромагнитные, оптические, ультрафиолетовые и т.д.)
Системы, линии и средства связи, осуществляющие приём, обработку, хранение и передачу информации
Аппаратные средства (серверы, рабочие станции, периферийное оборудование), средства и системы информатизации и ЗИ
Программные средства: операционные системы, спец. программное обеспечение, СУБД, информационное и сетевое программное обеспечение
Информационные ресурсы, содержащие конфиденциальную информацию (персональные данные,….), сведения, отнесённые к любому виду тайн, носители информации и средства их транспортировки.
Это общая модель ЗИ.
Объекты:
Средства отображения, обработки, воспроизводства информации, ЭВМ, звукозаписывающая и воспроизводящая техника.
Система обеспечения функциональности предприятия: электро-водоснабжение, Кондиционирование и другое……
Выпускаемая продукция: технические решения, продукты, …… и технологические процессы её приготовления.
Сотрудники предприятия.
36.Классификация формальных моделей безопасности
Модели безопасности
Модель конечных автоматов
Модель Bell-LaPadula
Модель Biba
Модель Clark-Wilson
Модель информационных потоков
Скрытые каналы
Модель невлияния
Сетчатая модель
Модель Brewer and Nesh
Модель Graham-Denning
Модель Harrison-Ruzzo-Ullman
Важной концепцией в проектировании и анализе безопасных систем является модель безопасности, поскольку она включает в себя политику безопасности, которая должна быть реализована в системе. Модель – это символическое представление политики. Она преобразует желания создателей политики в набор правил, которым должна следовать компьютерная система.
В этом Домене часто упоминается политика безопасности и ее важность. Это связано с тем, что политика является абстрактным понятием, представляющим цели и задачи, которые должна соблюдать и реализовывать система для того, чтобы считаться безопасной и приемлемой. Как нам перейти от абстрактной политики безопасности к моменту, когда администратор запрещает Дэвиду доступ к конфигурационным файлам системы, снимая отметку с соответствующего пункта в графическом интерфейсе? Этот путь состоит из множества сложных шагов, предпринимаемых на протяжении проектирования и разработки системы.
Модель безопасности преобразует абстрактные цели политики в термины информационных систем, точно описывая структуры данных и средства (методы), необходимые для реализации политики безопасности. Модель безопасности обычно представляется в виде математических и аналитических идей, которые затем преобразуются в технические требования к системе, а затем разрабатывается программистами в коде программы. Таким образом, мы имеем политику, реализующую цели безопасности, типа «каждый субъект должен быть авторизован для доступа к каждому объекту». Модель безопасности берет эти требования и предоставляет необходимые математические формулы, взаимоотношения и структуру, которым необходимо следовать для достижения целей безопасности. Исходя из этого, разработаны технические требования для каждого типа операционной системы (Unix, Windows, Macintosh и т.д.), и отдельные производители могут решать, как им реализовывать механизмы, которые будут соблюдать эти технические требования.
Приведем очень общий и упрощенный пример. Если политика безопасности утверждает, что субъекты должны быть авторизованы для доступа к объектам, модель безопасности должна предоставить математические взаимоотношения и формулы, объясняющие, как x может получить доступ к y только посредством определенных и описанных методов. Затем разрабатываются технические требования, являющиеся мостом между тем, что это означает в компьютерной среде и тем, как это связано с компонентами и механизмами, которые должны быть разработаны. После этого разработчики пишут программный код для реализации механизмов, позволяющих использовать ACL и предоставляющих администраторам определенную степень управления. Эти механизмы представляют сетевому администратору графический интерфейс, в котором он может настроить разграничение доступа в рамках операционной системы, выбирая, какие субъекты могут иметь доступ к каким объектам. Это элементарный пример, поскольку модель безопасности может быть очень сложной. Этот пример используется для демонстрации взаимоотношений между политикой безопасности и моделью безопасности.
Некоторые модели безопасности, такие как Bell-LaPadula, реализуют правила, обеспечивающие защиту конфиденциальности. Другие модели, как, например, Biba, реализуют правила, обеспечивающие защиту целостности. Формальные модели безопасности, такие как Bell-LaPadula и Biba, используются для предоставления высокого уровня гарантий безопасности. Неформальные модели, такие как Clark-Wilson, больше используются в качестве основы для описания того, как политики безопасности должны выражаться и выполняться.
Политика безопасности описывает цели без конкретизации того, как они должны быть достигнуты. Модель – это платформа, которая придает политике форму и решает проблемы безопасного доступа к информации в конкретных ситуациях. Многие модели безопасности разработаны для реализации политик безопасности. Следующие разделы предоставляют обзор каждой из моделей.
Взаимоотношения между Политикой безопасности и Моделью безопасности. Если кто-то говорит вам, что нужно вести правильный и здоровый образ жизни, это очень широкое, общее, абстрактное понятие. Когда вы спрашиваете этого человека – как это сделать, он описывает вам, что вам нужно делать и что не нужно (не наносить другим вреда, не говорить неправду, есть овощи, чистить зубы и т.д.). Аналогично, Политика безопасности предоставляет абстрактные цели, а Модель безопасности говорит, что нужно и что не нужно делать, чтобы достичь эти цели.