- •24.Обеспечение целостности базы данных.
- •31. Биометрическая аутентификация.
- •33. Методы строгой аутентификации.
- •34. Управление доступом. Основные понятия.
- •35. Методы разграничения доступа. Дискреционный метод.
- •36. Методы разграничения доступа. Полномочный метод.
- •37. Аудит в ис. Реализация аудита, требования к аудиту.
- •38. Межсетевые экраны. Назначение, особенности применения.
- •39. Понятие vpn, виды vpn.
- •40. Вредоносное по, вирусы, классификация вирусов.
- •41. Вирусы и антивирусные мероприятия и программы.
35. Методы разграничения доступа. Дискреционный метод.
После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа.
Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д.
Руководящие документы могут регламентировать два вида (принципа) разграничения доступа:
дискретное управление доступом
мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
36. Методы разграничения доступа. Полномочный метод.
После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа.
Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д.
Руководящие документы могут регламентировать два вида (принципа) разграничения доступа:
дискретное управление доступом
мандатное управление доступом.
Мандатное управление доступом регламентирует разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Иначе, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Ясно, что методы разграничения доступа по уровням секретности и категориям являются примерами мандатного управления доступом.
37. Аудит в ис. Реализация аудита, требования к аудиту.
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности
Различают внешний и внутренний аудит.
Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.
Целями проведения аудита безопасности являются: анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; оценка текущего уровня защищенности ИС; локализация узких мест в системе защиты ИС; оценка соответствияИС существующим стандартам в области информационной безопасности; выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ—аудита автоматизированной системы, включающего в себя:
инициирование процедуры аудита;
сбор информации аудита;
анализ данных аудита;
выработку рекомендаций;
подготовку аудиторского отчета.
Методика проведения проверок соответствия системы управления информационной безопасностью требованиям международного стандарта ISO/IEC 27001.
Для оценки соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также пользователей информационной системы Заказчика, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности информационной системы. Итоговый вывод о выполнении требований стандарта ISO/IEC 27001 делается в случае подтверждения выполнения требований на практике.