Автоматизированные системы
1. персонал
2. ПАК
3. данные
4. алгоритм
Принципы защиты
1. неопределенность
2. невозможность идеальной защиты
3. минимальность риска
4. минимальность ущерба
5. защита от всех
6. законность
7. персональная ответственность
8. ограничение полномочий
9. взаимодействие и сотрудничество
10. последовательные рубежи защиты
11. равномощность рубежей защиты
12. адекватность и эффективность
13. адаптивность с течением времени
14. эффективность контроля
15. регистрация действий
16. защита средств обеспечения защиты
Аспекты комплексности
1. целевая
2. инструментальная
3. организационная
Угрозы
1. нарушение конфиденциальности
2. целостности
3. доступности
Риск - потенциальное событие, которое несет в себе угрозу нештатного функционирования системы.
Управление рисками
1. исключить
2. снизить
3. передать
Опасность - детализированная угроза, приводящая к риску
Опасности
1. по природе возникновения (естеств, искусств)
2. по степени преднамеренности (случ, преднам)
3. по непоср источ опасности (природа, чел, штатн ПАК, нештатн ПАК)
4. по положению источ (чел или ПАК)
5. по завис от активности ПАК (не завис, только когда акт)
6. по степени воздействия на АС (пассив, актив)
7. по этапа доступа к ресурсам АС (проявл на этапе доступа, после доступа)
8. по способу доступа к ресурсам (с исп штат средств, с исп открытых путей)
9. по текущему месту расп информации (на внеш ЗУ, в ОЗУ, в линиях связи, на терминале, на принтере)
Модель нарушителя ГТК
1. запуск программ из фиксированного набора
2. запуск произвольных программ
3. запуск средств разработки
4. разработчик системы
ГТК не учитывает персонал уборщиков, никак не рассматривает Данные и Алгоритмы.
Стратегия рубежей
1. правовой
2. морально-этический
3. административный
4. физическая защита
5. программно-аппаратный
Стратегия поясов
1. вся территория
2. здания, сооружения
4. технологические процессы
Методология обеспечения комплексности защиты АС
1. предпроектное обследование
2. общий анализ рисков и угроз
3. разделение естественных и искусственных опасностей
4. разраб предлож по защите от опасностей естеств происх
5. разраб предлож по защите от опасностей искусств происх
6. анализ непротиворечивости предложений
7. обеспечение защиты от угроз искусств происх
8. проверка реализации защищенности системы
Политика безопасности - интегральная хар-ка, опис св-ва защищаемой системы, а также качественное или количественное описание свойств защищенности в терминах описываемой системы.
1. Авторизация - отображение (ouRa)->{авторизован, нет}
2. done(osRat) - субъекту s в рамках роли R в момент времени t разрешается или запрещается делать a над объектом o.
3. cando(osa) <- L1 & L2 & ... & Ln - субъект может делать a если он непосредственный или опосредованный член группы или объект принадлежит типу объектов
4. dorcando(osa) <- L1 & L2 & ... & Ln - описывает авторизацию в зависимости от логических правил
5. do(osa) <- L1 & L2 & ... & Ln - правило разрешения возможных конфликтов (если что-то не описано с помощью предикатов)
6. grant(ouRa) <- L1 & L2 & ... & Ln - предикат контроля доступа
Средства защиты:
1. НСД
2. криптография
3. вирусная защиты
4. защита от копирования
5. ПЭМИН
Защиты от НСД:
1. идентификация и аутентификация
2. разделение прав доступа
3. контроль за работой системы
4. криптография
