Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Классы безопасности ИС. Политика без-ти

Читайте также:
  1. I. ОБЩИЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ
  2. III. Политика норманнских герцогов в Юж. Италии XI–XII вв.
  3. III. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ ВО ВРЕМЯ РАБОТЫ
  4. IX. Меры безопасности при пользовании ледовыми переправами
  5. V. ЦЕРКОВЬ И ПОЛИТИКА
  6. VI. Меры обеспечения безопасности детей на воде
  7. АНАЛИЗ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ВЫБОР МЕТОДА ЕЕ МОДЕРНИЗАЦИИ

В 1983 г. Мин-во обороны США выпустило Orange Book под названием «Критерии оценки достоверных компьютерных систем». За пределами США также появились аналоговые издания этой книги. Был разработан международный стандарт ISO/IES 15408 о единых критериях оценки безопасности в обл. ИТ.Критерии сформулированы и опр. Разбиение комп. систем на 4 уровня без-ти (от высокого к низк.) А-В-С-Д Д: Явл-ся минимальн. уровнем. В него попадают системы, которые были заявлены на сертификацию, но ее не прошли. С1: избирательная защита доступа. предусм. наличие достоверн. вычислит. базы и выполняет требования к избират. без-ти. обесп. отделение пользователей от данных (меры меры по предварит. считыванию и разрушен. данных, возможность защиты приватных данных). В нас. время по этому классу сертификация данных не предусматривается. С2: управляемая защита доступа. Системы способны осуществлять более четкий контроль в плане избирательной защиты доступа. Действия пользователя связываются с процедурой идентификации, которые лишают или наделяют пользователей привилегией доступа. Ведется аудит событий, критичных с т. зр.без-ти. Выполняется изоляция ресурсов. В1: Маркированное обеспечение без-ти. В дополнение требований С2 добавляют неформальное описание моделей политики безопасности, маркировку данных и принудительное управление доступом поименованных субъектов и объектов. В2:Структурированная защита: Система опирается на четко документированную и определенную формальную модель политики безопасности. Действия избирательного и принудительного управления доступом распр-ся на все субъекты и объекты в системе, выявляются тайные каналы, обеспечивается управление механизмами достоверности в виде поддержки функций системного администратора и оператора. В3:домны безопасности: система должна удовлетворять требованиям эталонного механизма мониторинга, кот. Контролирует весь доступ субъектов и объектов, при этом является достаточно компактным, чтобы его можно было проанализировать и аттестовать. Требуется наличие администратора по безопасности. Механизм аудита расширяется до возможности оповещения о событиях, критических по отношению к безопасности; имеются процедуры восстановления с-мы, кот. Явл-ся крайне устойчивой к вторжению. А1:верифицированное проектирование: класс системы подобен классу В3, но требует наличия соотв-х методов верификации.!!!!! В данном классе не зарегистрировано ни одной ОС!!!!!!!!!

 

42. Классификация угроз инф. безопасности. Факторы угроз: глобальные, региональные и локальные Угроза- случайные или намеренные действия, выводящие инф-ю из состояния без-ти со стороны окружения и внутренних источников (аппаратная, вирусная, угроза хищения). Угрозы безопасности д-ти п/п информации делятся на внешние и внутренние. Их перечни для каждого п/п индивидуальны. Общими для всех явл. угрозы:- стихийных бедствий- техногенные катастрофы- непреднамеренные ошибки персонала- преднамеренные действия злоумышленников Перечень угроз ИС: 1 Противоправный сбор и использование информации, 2Нарушение технологий обработки инф-и, 3Внедрение аппаратных и программных закладок, нарушение нормального функционирования ИС, 4Создание и распределение вредоносных программ, 5Уничтожение и повреждение ИС и каналов связи, 6Компрометация ключей и средств защиты, 7Утечка информации по техническим каналам, 8Внедрение устройств для перехвата инф-и, 9Хищение, повреждение, уничтожение носителей, 10Несанкц. доступ к ИС

43. Понятие компьютерной преступности. Этапы развития компьютерной преступности Компьют. Преступность условно разделяют на 2 класса:

1) преступность, связанная с вмешательством в работу компьютера

2) преступность, исп. Компьютер как необходимое тех. К первому классу относят:1. несанкц. доступ к инф-и (доступ с исп-ем чужого имени, измен. Физич. Адресов тех. Устройств, хищение носителей, устр. аппаратной записи).2. ввод в ПО логич. Бомб (они срабатывают при выполнении опред. Условий и частично или полностью выводят из строя с-му).3. разработка и распределение компьютерных вирусов(могут быть внедрены в ОС прикладных программ или сетевой трафик).Разрабатываются антивирусники, которые делятся на виды:- фильтрующие- противоинфекционные -противовирусные (когда имеется БД вирусов и программа определяет, что один из них похож на желающий внедриться).4. преступная небрежность в разработке, изготовлении, эксплуатации программно-вычислительных комплексов.5. подделка компьют. Инф-и6. хищение комп.

 


Дата добавления: 2015-10-21; просмотров: 76 | Нарушение авторских прав


Читайте в этой же книге: Настольные СУБД | Понятие базы знаний и банка данных | Системы управления базами знаний | Информационное обеспечение корпоративных информационных систем. | Технические средства корпоративных информационных систем, их классификация. Технические средства автоматизации производственных процессов. | Системные решения в области КИС (Microsoft, Novell, IBM и др.). | Корпоративные сети. Характеристики корпоративных компьютерных сетей. | Концепции управления компьютеризированными предприятиями. MRP-системы. ERP-системы. CRM-системы. | Модель нейрона. Алг. ее работы.Искуст. нейрон. сети. | Понятие и назначение экспертной системы(ЭС).Классиф-ция ЭС. |
<== предыдущая страница | следующая страница ==>
Применение ЭС в экономике. Понятие система поддержки принятия решений (СППР). Концептуальная модель СППР. Применение СППР в экономике.| Корпоративные проекты инф. без-ти. Обеспечение без-ти в компьютерных сетях. Организаионно-экономическое обеспечение без-ти ИС.

mybiblioteka.su - 2015-2024 год. (0.008 сек.)