- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
Этапы проектирования комплексной системы защиты информации (ксзи).
1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
На данном этапе обосновывается необходимость и актуальность задач обеспечения защиты информации в ИС, приводятся цели построения системы, производится ориентировочная оценка затрат, этапы и сроки проведения работ.
2.Формирование требований по обеспечению безопасности конфиденциальной информации.
Для формирования требований используются руководящие документы федеральной службы по техническому и экспортному контролю (ФСТЭК), в том числе, наиболее современные документы, такие, как ГОСТ Р ИСО/МЭК 15408-2002 «Безопасность информационных технологий (ИТ), критерии оценки безопасности ИТ», ГОСТ Р ИСО/МЭК 27001 «ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Требования», ГОСТ Р ИСО/МЭК 17799-2005 «ИТ. Практические правила управления ИБ».
3.Разработка и утверждение технического задания на создание КСЗИ.
На этом этапе проводят разработку, оформление, согласование и утверждение технического задания на систему.
4. Разработка технического проекта.
Разработка проектных решений по созданию КСЗИ включает в себя обоснование и выборы решений по защите информации (ЗИ), выбор состава средств ЗИ, определение мест размещения средства ЗИ, определение режимов функционирования и настроек средств ЗИ, определение необходимости доработки средств ЗИ либо разработки дополнительных, разработка порядка и этапов внедрения КСЗИ, сметную стоимость работ.
5.Разработка и адаптация организационно-распорядительных документов по вопросам обеспечения ИБ.
Разработка подобных документов производится путем адаптации типовых организационно-распорядительных документов, регламентирующих защиту ИС в соответствии с разработанной технологией управления безопасностью.
6.Ввод в действие системы.
На данном этапе осуществляется установка и настройка внедряемой системы защиты на площадке пользователя, а также проведение обучения персонала.
7.Этап сопровождения системы защиты, на котором проводятся консультации заказчика по вопросам, связанным с эксплуатацией КСЗИ.
В общем случае этапы и стадии создания автоматизированной системы (АС) приведены в ГОСТ 34.601-90 «АС. Стадии создания». Этапы создания КСЗИ в основном повторяют этапы создания АС.
Конкретный состав работы по каждому из вышеперечисленных этапов формируется, исходя из характеристик ИС заказчика, а также состава проектируемой КСЗИ.
Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
Уязвимость системы защиты – это возможность возникновения на каком либо этапе жизненного цикла ИС такого её состояния, при котором создаются условия для реализации угроз безопасности её информации.
См. Вопрос 3
Технический отчет проекта RISOS появившийся в 1976 году представляет собой фактически первый обзор причин проблем и методы повышения безопасности компьютерных систем. Документ представляет концепцию дефектов (faults) безопасности и методов повышения безопасности ОС.
В отчете выделены 6 категорий:
Неполная проверка параметров, т.е. когда программа не проверяет размер аргумента перед помещением его в буфер памяти фиксированного размера;
Несовместимая проверка параметров, т.е. когда возникает конфликт между двумя программами в связи с различающимися механизмами проверки параметров;
Асинхронная проверка/неадекватная сериализация, например «состояние гонок» (race conditions);
Неадекватная идентификация/авторизация/аутентификация;
Нарушение запретов/ограничений;
Логические ошибки.
ПРОЕКТ АНАЛИЗА ЗАЩИТЫ.
Отчет «Анализ защиты» (PA report) был попыткой классифицировать ошибки в ОС и программных приложениях. Результатом стала классификация ошибок ОС состоящая из:
Ошибки домена – являющиеся результатом неправильного распределения информации. Примером является отсутствие очистки использованной памяти операционной системой;
Ошибки проверки – неправильная проверка операндов или границ;
Ошибки именования – когда новые объекты получают имена и наследуют разрешения удаленных объектов;
Ошибки серилизации – т.е. «состояния гонок».