Информатика, программирование / Контрольная работа: Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы

Контрольная работа: Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы

3. Целостность;

4. управление доступом;

5. неотказуемость.

Дополнительная услуга:

доступность.

Специальные механизмы безопасности:

1. шифрование;

2. механизмы цифровой прописи;

3. механизмы управления доступом;

4. механизмы обеспечения защиты целостности данных;

5. механизмы аутентификации;

6. механизмы заполнения трафика;

7. механизмы управления маршрутизацией;

8. механизмы нотаризации.


Сфера действий стандарта ISO7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен на все открытые системы обработки, передачи и хранения информации принятием в 1996 году международного стандарта ISO/IEC10181 .

Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности «Угроза безопасности Þ услуга безопасности Þ механизм безопасности» перестала удовлетворять как потребителя ИТ-систем, так и их разработчика.

По типу основных классов угроз выделяют пять основных целевых задач безопасности ИТ-систем.

1. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь может использовать ресурс в соответствии с правилами установленными политикой безопасности. Эта задача направлена на предотвращение преднамеренных или непреднамеренных угроз неавторизованного удаления данных или необоснованного отказа в доступе к услуге, попыток использования системы и данных в неразрешенных целях.

2. Обеспечение целостности системы и данных рассматривается в двух аспектах. Во-первых, это целостность данных означает, что данные не могут быть модифицированы неавторизованным пользователем или процессом во время их хранения, передачи и обработки. Во-вторых, целостность заключается в том, что ни один компонент системы не может быть удален, модифицирован или добавлен.

3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи.

4. Обеспечение наблюдаемости направлено на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия.

5. Обеспечение гарантий – это совокупность требований, составляющих некоторую шкалу оценки для определения степени уверенности в том, что:

oфункциональные требования действительно сформулированы и корректно реализованы;

oпринятые меры защиты обеспечивают адекватную защиту ИТ-системы;

oобеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.

Пять основных задач тесно взаимосвязаны и взаимозависимы друг от друга:

Г А Р А Н Т И И

Критерии оценки безопасности информационных технологий в европейских странах

Следуя по пути интеграции, Европейские страны приняли согласованные критерии оценки безопасности информационных технологий (InformationTechnologySecurityEvaluationCriteria, ITSEC). Версия 1.2 этих Критериев опубликована в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех – и для производителей, и для потребителей, и для самих органов сертификации.

Принципиально важной чертой Европейских Критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, то есть описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации – оценить, насколько полно достигаются поставленные цели, то есть насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных спонсором условиях. Таким образом, Европейские Критерии относятся к гарантированности безопасной работы системы. Требования к политике безопасности и к наличию защитных механизмов не являются составной частью Критериев. Впрочем, чтобы облегчить формулировку цели оценки, Критерии содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем.

Основные понятия

К-во Просмотров: 225
Бесплатно скачать Контрольная работа: Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы