Критери оценки инф безопасности
В качестве критериев оценки обеспечения защиты информации могут выступать:Корпоративные стандарты (собственная разработка);Замечания аудиторов;Стандарты лучшей мировой практики (например, BS7799/ISO17799);Число инцидентов в области безопасности;Финансовые потери в результате инцидентов;Расходы на ИБ;Эффективность в достижении поставленных целей.
Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром — "Критерий оценки безопасности компьютерных систем" или стандарты TCSEC. Было выделено шесть основных требований, из них четыре относятся к управлению доступом к информации, а два — к предоставленным гарантиям. К управлению доступом к информации выделяются следующие классы: класс D — подсистема безопасности. Она присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности; класс С1 — избирательная защита. Средства защиты данного класса удовлетворяют требованиям избирательного управления доступом и при этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа; класс С2 — управляемый доступ. Требования данного класса такие же, что и класса С1, и при этом добавляются требования уникальной идентификации субъектов доступа, защиты по умолчанию и регистрации событий. класс В1 — меточная защита. Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. класс В2 — структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования по защите механизмов аутентификации; класс ВЗ — область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. класс А1 — верифицированная разработка. Для проверки спецификаций применяются методы формальной верификации — анализа спецификаций систем на предмет неполноты или противоречивости. Аналогичные критерии оценки безопасности информационных технологий разработаны европейскими государствами (Францией, Германией, Нидерландами и Великобританией) — "Критерии оценки безопасности информационных технологий" (ITSEC). В "Критериях оценки безопасности информационных технологий" определяется семь возможных уровней гарантированности корректности -- от ЕО до Е6.
|
|
|
|
|
|
Методы и средста защиты инф КИС : криптограф, электр подпись и компьютерная стенография
Для обеспечения ИБ использ. след. методы:законодательный (комплекс мер, направл. на создание и поддержание в общ-ве негативного отношения к нарушениям и нарушителям ИБ), админ-организ методы (администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соотв. ресурсы) программно-технич. методы и средства (защищ. виртуальные частные сети для защиты инф, передаваемой по открытым каналам связи; межсетевые экраны для защииты корпор. сети от внешних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкцион. доступа; гарантионная идентификпция пользователей путем применения токенов и других средств аутентификации; защита инф. на файловом уровне для обеспеч. ее надежного хранения; защита от вируов; обнаружение вторжений и активного исследования защищенности инф ресурсов; криптографичекое преобразование данных для обеспечения целостности, подлинности и конфиденциальности инф-и)
|
|
|
Криптограф. алгоритм или шифр – математич. формула, опис. процессы зашифровыаания и расшифровывания. Для того, чтобы зашифровать открытый текст, крпитоалгоритм работает в сочетании с ключом – словом, числом, фразой. Использование криптосистем с открытым ключом предоставляет возможность создания электронных цифровых подписей (ЭЦП) – это реквизит электр. документа, предназнач. для удостоверения источника данных и защиты эл документа от подделки.
Дата добавления: 2018-02-18; просмотров: 481; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!