ИНФОРМАТИКА

Комплекс средств защиты — совокупность аппаратных и программных
средств, обеспечивающих информационную безопасность.______________

Политика безопасности — совокупность норм и правил, регламентирующих
работу средств защиты от заданного множества угроз._______________

Дискреционная модель разграничения доступа — способ разграничения

доступа субъектов к объектам, при котором права доступа задаются___

некоторым перечнем прав доступа субъекта к объекту. При реализации__

представляет собой матрицу, строками которой являются субъекты, а__

столбцами — объекты; элементы матрицы характеризуют набор прав__

доступа.________________________________________________________

Полномочная (мандатная) модель разграничения доступа — способ_____

разграничения доступа субъектов к объектам, при котором каждому объекту
ставится в соответствие уровень секретности, а каждому субъекту уровень
доверия к нему. Субъект может получить доступ к объекту, если его уровень
доверия не меньше уровня секретности объекта._______________________

9.3 Анализ угроз информационной безопасности

Для успешного противодействия угрозам и атакам КС, а также выбора____

способов и средств защиты, политики безопасности и анализа рисков от___

возможного НСД необходимо классифицировать существующие угрозы_____

информационной безопасности. Каждый признак классификации должен___

отражать одно из обобщенных требований к системе защиты, а сами угрозы позволяют детализировать эти требования. Современные КС и сети являются

сложными системами, подверженными, кроме того, влиянию чрезвычайно__

большого числа факторов и поэтому формализовать задачу описания______

полного множества угроз не представляется возможным. Как следствие, для

защищенной КС определяется не полный перечень угроз, а перечень классов__

угроз, которым должен противодействовать комплекс средств защиты.___

 

ИНФОРМАТИКА

Классификация угроз может быть проведена по ряду базовых признаков:

1. По природе возникновения: объективные природные явления, не зависящие от
человека; субъективные действия, вызванные деятельностью человека._____

2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения НСД к информации.

3. По степени зависимости от активности КС: проявляющиеся независимо от

активности КС (вскрытие шифров, хищение носителей информации);_____

проявляющиеся в процессе обработки данных (внедрение вирусов, сбор_____

«мусора» в памяти, сохранение и анализ работы клавиатуры и устройств__

отображения).___________________________________________________

4. По степени воздействия на КС: пассивные угрозы (сбор данных путем____

выведывания или подсматривания за работой пользователей); активные угрозы
(внедрение программных или аппаратных закладок и вирусов для модификации
информации или дезорганизации работы КС).__________________________

5. По способу доступа к ресурсам КС: получение паролей и прав доступа,__

используя халатность владельцев и персонала, несанкционированное______

' использование терминалов пользователей, физического сетевого адреса,__

аппаратного блока кодирования и др.; обход средств защиты, путем загрузки
посторонней операционной защиты со сменного носителя; использование
недокументированных возможностей операционной системы.___________

6. По текущему месту расположения информации в КС: внешние запоминающие

устройства; оперативная память; сети связи; монитор или иное__________

отображающее устройство (возможность скрытой съемки работы_______

принтеров, графопостроителей, световых панелей и т.д.).________________

Необходимо отметить, что абсолютно надежных систем защиты не

 

ИНФОРМАТИКА

существует. Кроме того, любая система защиты увеличивает время доступа к информации, поэтому построение защищенных КС не ставит целью надежно

защититься от всех классов угроз. Уровень системы защиты — это______________

компромисс между понесенными убытками от потери конфиденциальности
информации, с одной стороны, и убытками от усложнения, удорожания КС и
увеличения времени доступа к ресурсам от введения систем защиты, с другой
стороны.________________________________________________________________

9.4 Критерии защищенности средств компьютерных систем

Министерством обороны США в 1983 г. были разработаны определения_________

требований к аппаратному, программному и специальному программному обеспечению под названием «Критерии оценки безопасности компьютерных систем». Предложены три категории требований безопасности: политика безопасности, аудит (мониторинг производимых действий), корректность, в рамках которых сформулированы шесть базовых критериев безопасности.

Критерий 1. Политика безопасности. КС должна поддерживать точно

определенную политику безопасности. Возможность доступа субъектов к

' объектам должна определяться на основании их идентификации и набора

правил управления доступом.___________________________________________

Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку
безопасности, используемую в качестве исходной информации для исполнения
процедур контроля доступа._______ ______________________________________

Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Доступ субъекта к ресурсам КС должен осуществляться на основании результатов идентификации и подтверждения подлинности их идентификаторов (аутентификация).