Угроза безопасности - в широком смысле - потенциальное нарушение безопасности.
Активная угроза безопасности - угроза намеренного несанкционированного изменения состояния автоматизированной системы.
Пассивная угроза безопасности - угроза несанкционированного раскрытия информации без изменения состояния автоматизированной системы.
Классификация угроз
Угрозы конфиденциальности
§ хищение (копирование) информации, средств ее обработки, носителей;
§ утрата (неумышленная потеря, утечка) информации, средств ее обработки и носителей;
§ несанкционированное ознакомление, распространение.
Угрозы доступности
§ блокирование информации;
§ уничтожение информации и средств ее обработки (носителей);
§ блокирование канала передачи информации и средств обработки информации.
Угрозы целостности
§ модификация (искажение) информации;
§ отрицание подлинности информации;
§ навязывание ложной информации, обман;
§ уничтожение информации.
Угрозы раскрытия параметров защищенной компьютерной системы
§ появление новых угроз;
§ выявление уязвимостей:
§ увеличение рисков;
§ увеличение успешности атаки.
56. Четырехуровневая градация доступа к хранимой, обрабатываемой и защищаемой информации.
При рассмотрении вопросов защиты автоматизированных систем целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой системе информации, которая поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т.е. поможет систематизировать и обобщить весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Эти уровни следующие:
· уровень носителей информации;
· уровень средств взаимодействия с носителем;
· уровень представления информации;
· уровень содержания информации.
Данные уровни были введены исходя из того, что:
1. Информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть бумага, дискета или иной носитель;
2. Если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления.
3. Как уже было отмечено, информация может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле.
4. Человеку должен быть доступен смысл представленной информации, ее семантика.
57. Изъяны защиты. Классификация изъянов защиты по источнику появления.
Изьян защиты это совокупность причин условий и обстоятельств которые в конечном счете могут привести к нарушению норм работы вычислительных систем и нарушению безопасности
1.1 преднамеренные(наличие диструктивных функций)
1.1.1 черные ходы(скрытые возможности проникновения в ситему)
1.1.2 разрушающие программные средства
- самовоспроизводящиеся(вирусы)
- несамовоспроизводящиеся(черви, трояны)
1.2 бездеструктивные
1.2.1 скрытые каналы утечки(по памяти, по времени)
2.1 непреднамеренные (случайные)
2.1 ошибки конроля допустимых значений парметра
2.2 ошибки определения домена
2.3 ошибки последовательности действий и использование нескольких имен для одного обьекта
2.4 ошибки индефикации и аудентификации
2.5 ошибки проверки границ обьекта
2.6 ошибки в логике функционирования
Политика безопасности.
Политика безопасности — совокупность норм и правил, регламенти-
рующих процесс обработки информации, выполнение которых обеспечи-
вает защиту от определенного множества угроз и составляет необходимое
(а иногда и достаточное) условие безопасности системы.
Этапы построения
1.в инф вноситься структура ценностей и производиться анлиз и проводиться анализ рисков
2.определяется правила для любого процесса пользования данным видом доступа элементом информации имеющих данные к оценке ценностей
Политика безопасности включает и учитывает свойства злоумышленника обьекта атаки и канала воздействия
Политика включает множество операций над обьектами и для каждой пары субьект обьектм множемтво разрешенных операций является подмножеством всего множества возможных операций
