01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности. - презентация

1 01. ВВЕДЕНИЕ

2 Защищенная система

3 Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности ВС Понятия и концепции информационной безопасности

4 02. ОСНОВЫНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

5 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Политика безопасности (Security Policy) Совокупность норм-правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности. Модель безопасности (Security Model) Формальное представление политики безопасности.

6 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Дискреционное, или произвольное, управление доступом (Discretionary Access Control) Управление доступом, осуществляемое на основании заданного администратором множества разрешенных отношений доступа (в виде троек ).

7 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Мандатное, или нормативное, управление доступом (Mandatory Access Control) Управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от грифа секретности информации и уровня допуска пользователя.

8 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Ядро безопасности Trusted Computing Base (ТСВ) Совокупность аппаратных, программных и специальных компонент ВС, реализующих функции защиты и обеспечения безопасности.

9 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Идентификация (Identification) Процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов). Аутентификация (Authentication) Проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов.

10 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Адекватность (Assurance) Показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам.

11 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Квалификационный анализ, квалификация уровня безопасности (Evaluation) Анализ ВС с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности. Квалификация уровня безопасности завершается присвоением ВС того или иного класса или уровня безопасности. Эксперты по квалификации - специалисты, занимающиеся квалификационным анализом.

12 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Таксономия (Taxonomy) Наука о систематизации и классификации сложноорганизованных объектов и явлений, имеющих иерархическое строение (от греческого taxis строй, порядок и nomos закон).

13 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ В отличие от классификации, устанавливающий связи и отношения между объектами (иерархия строится снизу-вверх), таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объектов (иерархия строится сверху-вниз).

14 ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ Прямое взаимодействие (Trusted Path) Принцип организации информационного взаимодействия, гарантирующий, что передаваемая информация не подвергается перехвату или искажению.

15 03. УГРОЗЫ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ

16 Вычислительная система Угрозы безопасности Угроза безопасности вычислительной системе - это воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности.

17 Вычислительная система Угрозы конфиденциальности направлены на разглашение секретной информации. Также они называются "несанкционированный доступ" (НСД). Угрозы целостности любое искажение или изменение неавторизованным на это действие лицом хранящейся в ВС или передаваемой информации. Целостность информации может быть нарушена как злоумышленником, так и в результате объективных воздействий со стороны среды эксплуатации системы. Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание ситуаций, когда в результате преднамеренных действий ресурсы вычислительной системы становятся недоступными, или снижается ее работоспособность. Виды угроз

18 Вычислительная система Угрозы конфиденциальности Угрозы целостности Угрозы нарушения работоспособности Безопасная (защищенная) система -это система, обладающая средствами защиты, которые успешно и эффективно противостоят -угрозам безопасности.

19 04. РОЛЬ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

20 Стандарты информационной безопасности Потребители Производители Эксперты по квалификации и специалисты по сертификации Задача стандартов информационной безопасности – примирить эти три точки зрения и создать эффективный механизм взаимодействия всех сторон.

21 Наиболее значимые стандарты информационной безопасности: "Критерии безопасности компьютерных систем министерства обороны США" Руководящие документы Гостехкомиссии России "Европейские критерии безопасности информационных технологий" "Федеральные критерии безопасности информационных технологий США" "Канадские критерии безопасности компьютерных систем" "Единые критерии безопасности информационных технологий"

22 Смотреть еще раз: