Без-ть ИС.критерии инф.без-ти.классы без-ти ИС. Политика без-ти.

информационная безопасность (ИВ) - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений.

Средства и методы поддержки ИБ должны обеспечивать:

- доступность – субъекты, имеющие права доступа могут беспрепятственно ее реализовывать

- целостность

- конфиденциальность

Доступ к информации - получения информации и ёе использование. Различают санкционированный и несанкционированной доступ к информации.

Санкционированный доступ к информации — доступ, не нарушающий установленные правила разграничения доступа. Несанкционированный доступ – нарушение установленных правил разграничения.

Атака на информационную систему — это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Под угрозой информационной безопасности понимаются события или действия, которые могут привести к искажению, несанк­ционированному использованию или к разрушению информационных ресурсов управляемой системы.

Защита информации — деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны. Политика безопасности - совокупность норм и правил, определяющие принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Политика безопасности должна быть оформлена документально на нескольких уровнях управления: на уровне высшего руководства подготавливается и утверждается документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики; администраторами безопасности ИС детализируется документ с учетом принципов деятельности организации, важности целей и наличия ресурсов.

рекомендовано включать в описание политики безопасности следующие разделы:

1 Предмет политики — определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.

2. Описание позиции организации — описываются ресурсы ИС, перечень допущенных к ресурсам лиц и процессов, порядок получения доступа к ресурсам.

3. Применимость — порядок доступа к данным ИС, ограничения или технологические цепочки, применяемые при реализации политики безопасности.

4. роли и обязанности — определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения элементов политики.

5. Соблюдение политики — описываются права и обязанности пользователей ИС, недопустимые действия при осуществлении доступа к информационным ресурсам и наказания за нарушения режимных требований, технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям. Критерии оценки ИБ:Стандарт 18О 15408 определяет инструменты оценки бе­зопасности ИТ и порядок их использования, ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.

Профиль защиты — документ, содержащий обобщенный стандартный набор функциональных требований и требований

Задания по безопасности – документ, содержащий требования для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия.

Под объектом оценки понимается произвольный продукт

информационных технологий или вся ИС в целом

В данном стандарте представлены две категории требований безопасности: функциональные и требования адекватности механизмов безопасности. Использование стандарта позволяет:

· сравнивать между собой результаты различных серти­фикационных испытаний ИС и контролировать качество оценки безопасности;

исследования за-^ЧИ1Иенности информационных ресурсов;

• криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности инфы.

· использовать имеющиеся результаты и

·

· методики оценок различных стран;

· определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно ИБ

Классы безопасности информационных систем

• произвольное управление доступом — метод разграничения доступа к объектам, основанный на учете личности

• безопасность повторного использования объектов —дополнительные средства, предохраняющие от случайного или преднамеренного извлечения конфиденциальной информации из оперативной памяти, дисковых блоков и магнитных носителей в целом;

• метки безопасности, состоящие из уровня секретности

и списка категорий;

• принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации. После фиксации меток безопасности субъектов и объектов оказываются зафиксированными и права доступа-

безопасная система — это система, которая контролирует доступ к информации т.о., что только имеющие соответствующие полномочия лица могут получить доступ на чтение, запись, создание или удаление инфы. В ней выделены основные классы защищенности – D,C,B,A

D: попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.

Класс С1: ИС должна управлять доступом именованных

пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий.

Класс С2: все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться;

Класс В1 каждый хранимый объект ИС должен иметь отдельную идентификационную метку;

Класс В2: должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией.

Класс ВЗ : управления доступом должны использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событии, несущих угрозу политике ИБ

Класс А1: тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям;

6.2 .клас-ция угроз ИБ.факторы угроз.делятся на два типа — естественные и искусственные. Естественные угрозы обусловливаются природными факторами (наводнения, зем­летрясения и другие стихийные бедствия), последствиями техногенных катастроф (пожары, взрывы и др.). Чаще всего ИС страдают от искусственных угроз (преднамеренных)-Источники угроз безопасности могут находиться как внутри информационной системы (внутренние), так и вне ее.самыми частыми и опасными являются непреднамеренные ошибки пользователей. Большой ущерб наносят кражи и подлоги, где в большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами.

Угрозы информационной безопасности бывают:

конструктивные — основной целью несанкционированного доступа является получение копии конфиденциальной информации;

деструктивные — несанкционированный доступ приводит к потере (изменению) данных или прекращению сервиса.

Классификация УБ:

По доступности: с использованием доступа, скрытых каналов

По территории: глобальные, региональные, локальные

По расположению: внутри или вне ИС

По использованию средств атаки: исп-е штатного ПО, разработанного ПО

Утечка конфиденциальной информации — это бесконтрольный выход конфиденциальной информации за пределы ЦС или круга лиц, которым она

была доверена по службе.

На угрозы ИБ влияют различные факторы:

политические:

экономические

организационно-технические

Не нашли, что искали? Воспользуйтесь поиском по сайту: