Значение информационной безопасности.

     5. тестирование должно подтвердить  отсутствие очевидных недостатков  в механизмах изоляции ресурсов  и защиты регистрационной информации.

     Примеры продуктов: практически все ныне распространенные ОС и БД -

     Windows NT (а значит сюда можно отнести и все его потомки вплоть до Vista), ещё сюда бы попали все современные UNIX-системы, так же DEC VMS, IBM OS/400, Novell NetWare 4.11, Oracle 7, DG AOS/VS II.

     Уровень B.

     Также именуется - принудительное управление доступом.

     Класс B1

     (в  дополнение к C2):

     1. доверенная вычислительная база  должна управлять метками безопасности, ассоциируемыми с каждым субъектом  и хранимым объектом.

     2. доверенная вычислительная база  должна обеспечить реализацию  принудительного управления доступом  всех субъектов ко всем хранимым  объектам.

     3. доверенная вычислительная база  должна обеспечивать взаимную  изоляцию процессов путем разделения  их адресных пространств.

     4. группа специалистов, полностью  понимающих реализацию доверенной  вычислительной базы, должна подвергнуть  описание архитектуры, исходные  и объектные коды тщательному  анализу и тестированию.

     5. должна существовать неформальная  или формальная модель политики  безопасности, поддерживаемой доверенной  вычислительной базой.

     Примеры продуктов: сюда относятся гораздо  более специализированные ОСи - HP-UX BLS, Cray Research Trusted Unicos 8.0, Digital SEVMS, Harris CS/SX, SGI Trusted IRIX.

     Класс B2

     (в  дополнение к B1):

     1. снабжаться метками должны все  ресурсы системы (например, ПЗУ), прямо или косвенно доступные  субъектам.

     2. к доверенной вычислительной  базе должен поддерживаться доверенный  коммуникационный путь для пользователя, выполняющего операции начальной  идентификации и аутентификации.

     3. должна быть предусмотрена возможность  регистрации событий, связанных  с организацией тайных каналов  обмена с памятью.

     4. доверенная вычислительная база  должна быть внутренне структурирована  на хорошо определенные, относительно  независимые модули.

     5. системный архитектор должен  тщательно проанализировать возможности  организации тайных каналов обмена  с памятью и оценить максимальную  пропускную способность каждого  выявленного канала.

     6. должна быть продемонстрирована  относительная устойчивость доверенной  вычислительной базы к попыткам  проникновения.

     7. модель политики безопасности  должна быть формальной. Для доверенной  вычислительной базы должны существовать  описательные спецификации верхнего  уровня, точно и полно определяющие  ее интерфейс.

     8. в процессе разработки и сопровождения  доверенной вычислительной базы  должна использоваться система  конфигурационного управления, обеспечивающая  контроль изменений в описательных  спецификациях верхнего уровня, иных архитектурных данных, реализационной  документации, исходных текстах,  работающей версии объектного  кода, тестовых данных и документации.

     9. тесты должны подтверждать действенность  мер по уменьшению пропускной  способности тайных каналов передачи  информации.

     Примеры продуктов: Honeywell Multics (знаменитый предок UNIX),

     Cryptek VSLAN, Trusted XENIX.

     Класс B3

     (в  дополнение к B2):

     1. для произвольного управления  доступом должны обязательно  использоваться списки управления  доступом с указанием разрешенных  режимов.

     2. должна быть предусмотрена возможность  регистрации появления или накопления  событий, несущих угрозу политике  безопасности системы. Администратор  безопасности должен немедленно  извещаться о попытках нарушения  политики безопасности, а система,  в случае продолжения попыток,  должна пресекать их наименее  болезненным способом.

     3. доверенная вычислительная база  должна быть спроектирована и  структурирована таким образом,  чтобы использовать полный и  концептуально простой защитный  механизм с точно определенной  семантикой.

     4. процедура анализа должна быть  выполнена для временных тайных  каналов.

     5. должна быть специфицирована  роль администратора безопасности. Получить права администратора  безопасности можно только после  выполнения явных, протоколируемых  действий.

     6. должны существовать процедуры  и/или механизмы, позволяющие  произвести восстановление после  сбоя или иного нарушения работы  без ослабления защиты.

     7. должна быть продемонстрирована  устойчивость доверенной вычислительной  базы к попыткам проникновения.

     Примеры продуктов: единственная система -

     Getronics/Wang Federal XTS-300.

     Уровень A.

     Носит название - верифицируемая безопасность.

     Класс A1

     (в  дополнение к B3):

     1. тестирование должно продемонстрировать, что реализация доверенной вычислительной  базы соответствует формальным  спецификациям верхнего уровня.

     2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.

     3. механизм конфигурационного управления  должен распространяться на весь  жизненный цикл(Life Cycle) и все компоненты системы, имеющие отношение к обеспечению безопасности.

     4. должно быть описано соответствие  между формальными спецификациями  верхнего уровня и исходными  текстами. 
 
 
 
 
 

     ЗАКЛЮЧЕНИЕ

     Создавая  систему информационной безопасности, важно, с одной стороны, не скупиться, поскольку потери могут оказаться  неизмеримо больше, а с другой стороны, не переборщить, чтобы не выбрасывать  деньги на ненужные псевдо защитные мероприятия и не затруднять прохождение информационных потоков. Безопасности никогда не бывает много, но никогда нельзя забывать, что главная цель системы безопасности – обеспечение надёжного и бесперебойного функционирования организации.

     Таким образом, подведем итог.

     Самыми  частыми и самыми опасными, с точки  зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

     На  втором месте по размерам ущерба располагаются  кражи и подлоги. В большинстве  расследованных случаев виновниками  оказывались штатные сотрудники организаций, отлично знакомые с  режимом работы и защитными мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.

     Весьма  опасны так называемые "обиженные  сотрудники" - действующие и бывшие. Как правило, их действиями руководит  желание нанести вред организации-обидчику, например: повредить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; ввести неверные данные; удалить данные; изменить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

     Угрозы, исходящие от окружающей среды, к  сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои  с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные  бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди  которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

     Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Верно, что почти  каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.

     Много говорят и пишут и о программных  вирусах. Причем в последнее время  говорят уже о вирусах, воздействующих не только на программы и данные, но и на пользователей

     Соблюдение  несложных правил компьютерной гигиены  сводит риск заражения практически  к нулю. Там где работают, а  не играют в компьютерные игры (именно это явление приводит к использованию  непроверенных на наличие вирусов  программ), число зараженных компьютеров  составляет лишь доли процента.

     Таковы  основные угрозы, на долю которых приходится львиная доля урона, наносимого информационным системам.

     Сфера информационной безопасности — наиболее динамичная область развития индустрии  безопасности в целом. Если обеспечение  физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно  требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая  ответственность. 
 
 
 
 
 
 
 
 
 
 
 
 
 

     СПИСОК  ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ И ИСТОЧНИКОВ

     1. Закон РФ "О государственной тайне" 2008г .

     2. Закон РФ  "Об информации, информатизации и защите информации" 2006г.

     3.       Носов В.А. Вводный курс по дисциплине “Информационная безопасность” 2004г.

     4.       Словарь терминов Гостехкомиссии при президенте РФ

     5. Соколов А.В. «Методы информационной защиты объектов и компьютерных сетей». 2000г.

     6. Малюк И.Н. «Информационная безопасность: концептуальные и методологические основы защиты информации». 2004г.

     7. Галатенко В.А. «Стандарты информационной безопасности». 2004г.

     8. Интернет ресурсы:

     http://www.jetinfo.ru/2002/7/1/article1.7.200231.html - Нормативная база анализа защищенности

     http://counter-terrorism.narod.ru/magazine1/kotenko-8-1.htm - Вопросы информационной безопасности и терроризма

     http://st.ess.ru/steganos.htm - Вопросы стеганографии