СодержаниеЛекция 1 Объектно-ориентированный подход на информационную безопасность О необходимости объектно-ориентированного подхода к инфо Основные понятия объектно-ориентированного подхода Применение объектно-ориентированного подхода к рассмотрению защищаемых систем Недостатки традиционного подхода к информационной безопасности с объектной точки зрения Лекция 2 Угрозы безопасности Основные определения и критерии классификации угроз Наиболее распространенные угрозы доступности Некоторые примеры угроз доступности Вредоносное программное обеспечение Основные угрозы целостности Основные угрозы конфиденциальности Лекция 3 Законодательный уровень информационной безопасности Что такое законодательный уровень информационной безопасности и поч Обзор российского законодательства в области информационной безопасности Закон "Об информации, информатизации и защите информации" Другие законы и нормативные акты Краткий обзор зарубежного законодательства в области информационной безопасности О текущем состоянии российского законодательства в области информационной безопасности Лекция 4 Стандарты и спецификации в области информационной безопасности Основные понятия Политика безопасности Уровень гарантированности Ядро безопасности Механизмы безопасности Безопасность повторного использования объектов Принудительное (или мандатное) управление доступом Анализ регистрационной информации (аудит) Технологическая гарантированность Классы безопасности Информационная безопасность распределенных систем. Рекомендации X.800 Управление доступом. Целостность данных Табл. 5.1. Распределение функций безопасности по уровням эталонной семиуровневой модели OSI Сетевые механизмы безопасности Табл. 5.2. Взаимосвязь функций и механизмов безопасности Администрирование средств безопасности Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности). Семей Функциональный пакет Функциональные требования Невозможность ассоциации. Обслуживание по приоритетам. Распределение ресурсов. Требования доверия безопасности Гармонизированные критерии Европейских стран Система – это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в извес Интерпретация "Оранжевой книги" для сетевых конфигураций Руководящие документы Гостехкомиссии России Табл. 5.3. Требования к защищенности автоматизированных систем Лекция 5 Административный уровень информационной безопасности Основные понятия Политика безопасности Описание аспекта. Область применения. Позиция организации по данному аспекту. Роли и обязанности. Точки контакта. Программа безопасности Синхронизация программы безопасности с жизненным циклом систем Выведение из эксплуатации. Лекция 6 Управление рисками Основные понятия Подготовительные этапы управления рисками Основные этапы управления рисками Лекция 7 Процедурный уровень информационной безопасности Основные классы мер процедурного уровня Управление персоналом Физическая защита Поддержание работоспособности Реагирование на нарушения режима безопасности Планирование восстановительных работ Лекция 8 Основные программно-технические меры Основные понятия программно-технического уровня информационной безопасности Особенности современных информационных систем, существенные с точки зрения безопасности Архитектурная безопасность Лекция 9 Идентификация и аутентификация, управление доступом Идентификация и аутентификация Аутентификация бывает односторонней Единый вход в сеть Парольная аутентификация Одноразовые пароли S/KEY компании Bellcore. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция Сервер аутентификации Kerberos Идентификация/аутентификация с помощью биометрических данных Управление доступом Тавл. 10.1. Фрагмент матрицы доступа Ролевое управление доступом Ролям приписываются пользователи и права доступа Статическое разделение обязанностей Динамическое разделение обязанностей Административные функции Вспомогательные функции Информационные функции Управление доступом в Java-среде Возможный подход к управлению доступом в распределенной объектной среде Параметры методов могут быть входными и/или выходными. Лекция 10 Протоколирование и аудит, шифрование, контроль целостности Протоколирование и аудит Активный аудит Сигнатура атаки Функциональные компоненты и архитектура Контроль целостности Цифровые сертификаты Лекция 11 Экранирование, анализ защищенности Экранирование Экран – это средство разграничения доступа Экранирование может быть частичным Ограничивающий интерфейс Архитектурные аспекты Классификация межсетевых экранов ПО промежуточного слоя Анализ защищенности Лекция 12 Обеспечение высокой доступности Доступность Эффективность услуг. Время недоступности. Основы мер обеспечения высокой доступности Отказоустойчивость и зона риска Обеспечение отказоустойчивости Меры по обеспечению отказоустойчивости можно разделить на локальные и распределенные Осуществляемое средствами сервиса Программное обеспечение промежуточного слоя Обеспечение обслуживаемости Лекция 13 Туннелирование и управление Туннелирование Основные понятия Возможности типичных систем Лекция 14 Заключение Законодательный, административный и процедурный уровни Программно-технические меры
|