БИЛЕТ № 12. Согласно цели влияния, различают следующие угрозы нарушения АСОИ: конфиденциальности; целостности;работоспособности;

1. УГРОЗЫ НАРУШЕНИЯ АСОИ. КОМПОНЕНТЫ АСОИ.

Согласно цели влияния, различают следующие угрозы нарушения АСОИ: конфиденциальности; целостности;работоспособности;

Компоненты АСОИ:

· аппаратные средства (ЭВМ, процессоры, мониторы, терминалы и т.д.);

· программное обеспечение (программы: исходные, объектные, загружаемые (статические и динамические) модули, операционные системы);

· данные, которые хранятся временно или постоянно;

· персонал (обслуживающий персонал и пользователи).

Случайные угрозы:

n аварийные ситуации в результате стихийных бедствий;

n отказы и сбои аппаратуры;

n ошибки в программном обеспечении;

n ошибки в работе обслуживающего персонала и пользователей;

n помехи в линиях связи через влияние окружающей среды.

Преднамеренные угрозы - целенаправленные действия злоумышленника. Выделяют следующие преднамеренные угрозы АСОИ:

n НСД и ознакомление с конфиденциальной информацией;

n ознакомление служащих с информацией, к которой они не обязаны иметь доступ;

n несанкционированное копирование программ и данных;

n кража носителей информации, содержащих конфиденциальную информацию;

кража печатных документов;

n уничтожение информации;

n модификация финансовых документов;

n фальсификация документов, передаваемых по каналам связи;

n отказ от авторства сообщений (документов), передаваемых по каналам связи;

n отказ от факта получения сообщений (документов), передаваемых по каналам связи;

n навязывание ранее переданного сообщения;

n распространение вирусов,

n уничтожение архивной информации;

кража оборудования.

2. ФУНКЦИИ И НАЗНАЧЕНИЕ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПРИМЕРЫ СТАНДАРТОВ, ИХ РОЛЬ ПРИ ПРОЕКТИРОВАНИИ И РАЗРАБОТКЕ ИНФОРМАЦИОННЫХ СИСТЕМ.

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам.

"Общие критерии" являются стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.

"Общие критерии" содержат два основных вида требований безопасности:

· функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;

· требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.

Угрозы безопасности в стандарте характеризуются следующими параметрами:

источник угрозы;

· метод воздействия;

· уязвимые места, которые могут быть использованы;

· ресурсы (активы), которые могут пострадать.

Для структуризации пространства требований в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.

Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).

Семейства в пределах класса различаются по строгости и другим тонкостям требований.

Компонент – минимальный набор требований, фигурирующий как целое.

Элемент – неделимое требование.

 

3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ. СОЗДАТЬ ДОКУМЕНТ В MS EXCEL И ЗАЩИТИТЬ ЕГО ОТ ИЗМЕНЕНИЙ, Т.Е. СДЕЛАТЬ ТАК, ЧТОБЫ ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ИЗМЕНИТЬ ЭТОТ ДОКУМЕНТ БЕЗ ПАРОЛИ.