- •Лекция 1. Определение информационной безопасности
- •Угрозы безопасности компьютерных систем
- •Три подхода к информационной безопасности
- •Контрольные вопросы
- •Лекция 2. Нормативный подход. Классические стандарты информационной безопасности
- •Роль стандартов информационной безопасности
- •Контрольные вопросы
- •Лекция 3. Единые критерии безопасности информационных технологий (гост р исо 15408)
- •Контрольные вопросы
- •Лекция 4. Теоретический подход. Модель харрисона-руззо-ульмана
- •Контрольные вопросы
- •Лекция 5. Модель распространения прав доступа take-grant
- •Контрольные вопросы
- •Лекция 6. Модели компьютерных систем с мандатным управлением доступом. Модель Белла-ЛаПадулы
- •Контрольные вопросы
- •Лекция 7. Модель систем военных сообщений
- •Контрольные вопросы
- •Лекция 8. Модели безопасности информационных потоков
- •Контрольные вопросы
- •Лекция 9. Модели компьютерных систем с ролевым управлением доступом. Базовая модель ролевого управления доступом
- •Контрольные вопросы
- •Лекция 10. Модель администрирования ролевого управления доступом. Модель мандатного ролевого управления доступом
- •Контрольные вопросы
- •Лекция 11. Субъектно-ориентированная модель изолированной программной среды
- •Контрольные вопросы
- •Лекция 12. Обеспечение целостности. Криптографические основы защиты информации
- •Понятие шифрования
- •Симметричное шифрование
- •Асимметричное шифрование
- •Хеширование
- •Электронная цифровая подпись
- •Сертификаты
- •Контрольные вопросы
- •Лекция 13. Определение безопасности информационных систем. Экспериментальный подход
- •Контрольные вопросы
- •Лекция 14. Оценка рисков Понятие оценки рисков
- •Определение уязвимостей
- •Определение рисков
- •Качественные методы оценки рисков
- •Количественные методы оценки рисков
- •Методы с использованием деревьев
- •Меры безопасности
- •Принятие риска
- •Методики оценки рисков
- •Контрольные вопросы
- •Лекция 15. Верификация защиты
- •Контрольные вопросы
- •Лекция 16. Представление политик безопасности
- •Контрольные вопросы
- •Лекция 17. Управление информационной безопасностью Понятие управления безопасностью
- •Iso/iec 27001 "Системы менеджмента защиты информации. Требования"
- •Iso/iec 13335-1 "Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"
- •Iso/iec 13335-3 "Методы менеджмента безопасности информационных технологий"
- •Iso 27002 "Практические правила управления информационной безопасностью"
- •Iso 18044 "Менеджмент инцидентов информационной безопасности"
- •Разработка суиб и требования к суиб
- •Контрольные вопросы
- •Учебно-методическое обеспечение дисциплины
Три подхода к информационной безопасности
Безопасность – это свойство информационной системы, характеризующее взаимодействие данного программного продукта с окружающей его средой. Производительность, масштабируемость, надежность являются непосредственными свойствами конкретных программных решений, в отличие от них безопасность зависит от взаимодействующих с системой механизмов и может изменяться. Таким образом, безопасность является условной характеристикой.
Можно определить связь безопасности и надежности. Под надежностью понимается устойчивость к сбоям, вызванным внешними и/или внутренними причинами. В отличие от безопасности надежность не зависит напрямую от внешних воздействий. Когда говорят о безопасности, понимается, что процесс не должен быть связан с угрозами, приводящими к нежелательным последствиям.
Существует три подхода к информационной безопасности:
1) Нормативный
Нормативный подход появился в 80-е годы XX века. Название подхода происходит от слова «норма», означающего некий эталон. Существуют различные стандарты информационной безопасности, документы в которых определены признаки, свойства и требования к безопасным информационным системам, также определена шкала, с помощью которой все системы можно оценить на предмет безопасности.
2) Теоретический
Теоретический подход основан на построении модели безопасности – некоего абстрактного представления реальной системы с точки зрения безопасности. Полученные модели должны быть теоретически и математически обоснованы. Чем сильнее математическая и теоретическая база построенной модели, тем безопаснее система.
3) Практический (экспериментальный)
Зарождение практического подхода определения безопасности можно связывать с началом эпохи Интернета. Безопасность системы при этом проверяется на практике: одна система более безопасна, чем другая, если она более устойчива к внешним воздействиям и лучше противостоит угрозам.
Из вышеизложенного можно сделать следующий вывод: и один из вышеперечисленных подходов не является исчерпывающим, поэтому при определении безопасности информационной системы используются все три подхода.
Цель данного курса — выяснить, что скрывается за понятием "информационная безопасность", т.к. без конструктивного определения этого понятия невозможно рассматривать основные принципы функционирования защищенных систем и технологии их создания.
Контрольные вопросы
-
Какие существуют подходы к определению информационной безопасности?
-
Какова главная задача стандартов информационной безопасности?
-
Что такое угроза информационной безопасности?
-
Какие выделяют виды угроз информационной безопасности?
-
Какова цель защиты систем обработки информации?
Лекция 2. Нормативный подход. Классические стандарты информационной безопасности
Безопасность является качественной характеристикой системы, ее нельзя измерить в каких-либо единицах, более того, нельзя даже с однозначным результатом сравнивать безопасность двух систем — одна будет обладать лучшей защитой в одном случае, другая — в другом. Кроме того, у каждой группы специалистов, занимающихся проблемами безопасности информационных технологий, имеется свой взгляд на безопасность и средства ее достижения, а, следовательно, и свое представление о том, что должна представлять собой защищенная система. Разумеется, любая точка зрения имеет право на существование и развитие, но для того, чтобы объединить усилия всех специалистов в направлении конструктивной работы над созданием защищенных систем необходимо определить, что является целью исследований, что мы хотим получить в результате и чего в состоянии достичь.
Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие “защищенная система” посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.
В соответствии с этими документами ответ на поставленный вопрос в общем виде звучит так: защищенная система обработки информации — это система отвечающая тому или иному стандарту информационной безопасности. Конечно, это условная характеристика, она зависит от критериев, по которым оценивается безопасность, но у нее есть одно неоспоримое преимущество — объективность. Именно это позволяет осуществлять сопоставление степени защищенности различных систем относительно установленного стандарта.
Итак, рассмотрим, что представляет собой защищенная система с точки зрения существующих стандартов безопасности.