Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

КРИТЕРИИ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Стр 1 из 4Следующая ⇒

Тема 6. Обеспечение информационной безопасности

• Информационная безопасность(по отношению к процессу) - это свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.

• Безопасная система - система, которая управляется с помощью соответствующих средств доступа к информации.

• Добровольное управление доступом - метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую последний входит.

• Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя (ввод имени пользователя при входе в систему). Процесс проверки подлинности личности пользователя называется аутентификацией.

• Метки безопасности. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его уровень доступа, метка объекта -степень закрытости информации.

• Безопасность автоматизированной информационной системы обеспечивается комплексом таких мер, как технологические и административные. Они применяются к программам, данным и аппаратным средствам с целью обеспечить доступность, целостность и конфиденциальность ресурсов.

Наиболее характерные составляющие безопасности автоматизированных систем хранения:

• компьютерная безопасность,

• безопасность данных,

• безопасность коммуникаций и

• безопасность программного обеспечения.

• Компьютерная безопасность - совокупность технологических и административных мер, которая обеспечивает доступность, целостность и конфиденциальность ресурсам, связанным с данным компьютером.

• Безопасность данных - защита данных от несанкционированной модификации, разрушения или раскрытия их.

• Безопасность программного обеспечения - программное обеспечение, которое осуществляет безопасную обработку данных в компьютерной системе, а также дает возможность безопасно использовать ресурсы системы.

• Угроза безопасности — потенциальное нарушение безопасности, т.е. любое обстоятельство или событие, которое может явиться причиной нанесения ущерба системе в виде разрушения, раскрытия, модификации данных или отказа в обслуживании.

• Компьютерная преступность - любые незаконные неэтичные или неправомерные действия, связанные с автоматической обработкой данных или их передачей.

• Безопасность коммуникаций - это меры по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на запрос по каналам связи.

КРИТЕРИИ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

• В 1983 г. министерство обороны США выпустило книгу в оранжевой обложке с названием «Критерии оценки надежных компьютерных систем» (Тrusted Computer System Evalution Criteria, ТСSЕС), положив тем самым начало систематическому распространению знаний об информационной безопасности за пределами правительственных ведомств.

• В 1992 г. Гостехкомиссия при Президенте России издала документы, посвященные проблеме защиты от несанкционированного доступа.

• Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром - «Критерий оценки безопасности компьютерных систем» или стандарты ТСSЕС (Тrusted Computer System Evalution Criteria) для министерства обороны США. В нем выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности.

• К управлению доступом к информации выделяются следующие классы безопасности компьютерных систем:

• класс D- подсистема безопасности. Она присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;

• класс С1 - избирательная защита. Средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа;

• класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;

• класс В1 - меточная защита. Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;

• класс В2 - структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;

• класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;

• класс А1 - верифицированная разработка. Для проверки спецификаций применяются методы формальной верификации - анализа спецификаций систем на предмет неполноты или противоречивости.

• Согласно некоторым авторам, факторы угроз, влияющие на безопасность, делят на политические, экономические и организационно-технические.

• К политическим факторам относят: изменение геополитической обстановки в результате фундаментальных перемен.

• Среди экономических факторов угроз информационной безопасности выделяют: переход к рыночной экономике; критическое состояние отраслей промышленности; расширяющуюся кооперацию с зарубежными странами.

• К организационно-техническим факторам угроз информационной безопасности относят: недостаточную нормативно-правовую базу в сфере информационных отношений; рост объемов информации, передаваемой по открытым каналам связи; обострение криминогенной обстановки; широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации.

12 3 4 Следующая ⇒

Поиск по сайту: