Содержание

Введение

Глава 1

Проблемы создания защищенных информационных систем

1.1. Актуальность защиты систем обработки информации

1.2. Предпосылки кризиса обеспечения безопасности компьютерных систем

1.3. Задачи данной книги

1.4. Структура данной книги

1.5. Заключение к главе 1

Литература к главе 1

Глава 2

Обзор и сравнительный анализ стандартов информационной безопасности

2.1. Введение

2.2. Основные понятия и определения

2.3. Угрозы безопасности компьютерных систем

2.4. Роль стандартов информационной безопасности

2.5 Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»)

2.5.1. Цель разработки

2.5.2. Таксономия требовании и критериев «Оранжевой книги»

2.5.2.1. Политика безопасности

2.5.2.2. Аудит

2.5.2.3. Корректность

2.5.2.4. Таксономия критериев безопасности

2.5.3. Классы безопасности компьютерных систем

2.5.4. Интерпретация и развитие «Оранжевой книги»

2.5.5. Выводы

2.6. Европейские критерии безопасности информационных технологий.

2.6.1. Основные понятия

2.6.2. Функциональные критерии

2.6.3. Критерии адекватности

2.6.4. Выводы

2.7. Руководящие документы Гостехкомиссии России.

2.7.1. Основные положения

2.7.2. Таксономия критериев и требований безопасности

2.7.2.1. Показатели защищенности СВТ от НСД

2.7.2.2. Требования к защищенности aвтоматизированных систем

2.7.3. Классы защищенности автоматизированных систем

2.7.4. Выводы

2.8. Федеральные критерии безопасности информационных технологий

2.8.1. Цель разработки

2.8.2. Основные положения

2.8.3. Профиль защиты

2.8.3.1. Назначение и структура профиля защиты

2.8.3.2 Этапы разработки профиля защиты

2.8.4. Функциональные требования к ИТ-продукту

2.8.4.1. Таксономия функциональных требований

2.8.4.2. Ранжирование функциональных требований

2.8.5. Требования к технологии разработки ИТ-продукта

2.8.6. Требования к процессу квалификационною анализа ИТ-продукта

2.8.7. Выводы

2.9. «Канадские критерии безопасности компьютерных систем»

2.9.1. Цель разработки

2.9.2. Базовые понятия «Канадских критериев»

2.9.2.1 Объекты и субъекты

2.9.2.2. Теги

2.9.3. Основные положения и структура «Канадских критериев»

2.9.4. Выводы

2.10. Единые критерии безопасности информационных технологий

2.10.1. Цель разработки

2.10.2. Основные положения

2.10.2.1. Профиль защиты

2.10.2.2. Проект защиты

2.10.3. Требования безопасности

2.10.3.1 Функциональные требования.

2.10.3.2. Требования адекватности

2.10.4. Выводы

2.11. Анализ стандартов информационной безопасности

2.11.1. Универсальность

2.11.2. Гибкость

2.11.3. Гарантированность

2.11.4. Реализуемость

2.11.5. Актуальность

2.12. Заключение

Литература к главе 2

Глава 3

Исследование причин нарушений безопасности ВС

3.1. Нарушения безопасности ВС и изъяны защиты

3.2. Исследования нарушений безопасности компьютерных систем

3.3. Таксономия ИЗ

3.3.1. Классификация ИЗ по источнику появления

3.3.1.1. Преднамеренно внедренные ИЗ с наличием деструктивных функций

3.3.1.2. Преднамеренно внедренные ИЗ без деструктивных функций

3.3.1.3. Непреднамеренные ошибки и ИЗ

3.3.2. Классификация ИЗ по этапу возникновения

3.3.2.1. Возникновение ИЗ в процессе разработки системы

3.3.2.1.1. Составление требований и спецификаций

3.3.2.1.2. Создание исходных текстов программ

3.3.2.1.3. Генерация исполняемого кода

3.3.2.2. Возникновение ИЗ в процессе сопровождения и развития системы

3.3.2.3. Возникновение ИЗ в процессе функционирования системы

3.3.3. Классификация ИЗ по размещению в системе

3.3.3.1. Системное программное обеспечение

3.3.3.2. Сервисное программное обеспечение

3.3.3.3. Прикладное программное обеспечение

3.3.4. Результаты исследования таксономии ИЗ и их практическое применение

3.4. Исследование причин возникновения ИЗ

3.4.1. Таксономия причин возникновения ИЗ

3.4.2. Взаимосвязь таксономии причин нарушения безопасности и классификации ИЗ

3.5 Заключение

Литература к главе 3

Приложение I

Ранжированные функциональные требования «Федеральных критериев безопасности информационных технологий»

1. Идентификация и аутентификация

2. Регистрация пользователя в системе

3. Обеспечение прямого взаимодействия с ТСВ

5. Политика управления доступом (произвольное и нормативное управление доступом)

6. Контроль скрытых каналов

7. Контроль за распределением ресурсов

8. Политика управления безопасностью

9. Мониторинг взаимодействий

10. Логическая защита ТСВ

11. Физическая защита ТСВ

12. Самоконтроль ТСВ

14. Ограничение привилегий при работе с ТСВ

15. Простота использования ТСВ

Приложение II

Ранжированные требования «Канадских критериев безопасности компьютерных систем»

1. Критерии конфиденциальности

1.1. Контроль скрытых каналов

1.2. Произвольное управление доступом

1.3. Нормативное управление доступом

1.4. Повторное использование объектов

2. Критерии целостности

2.1. Домены целостности

2.2. Произвольное управление целостностью

2.3. Нормативное управление целостностью

2.4. Физическая целостность

2.5. Возможность осуществления отката

2.6. Разделение ролей

2.7. Самотестирование

3. Критерии работоспособности

3.1. Контроль за распределением ресурсов

3.2. Устойчивость к отказам и сбоям

3.3. Живучесть

3.4. Восстановление

4. Критерии аудита

4.1. Регистрация и учет событий в системе

4.2. Идентификация и аутентификация

4.3. Прямое взаимодействие с ТСВ

5. Критерии адекватности реализации

Приложение III.

Ранжированные требования «Единых критериев безопасности информационных технологий»

Приложение IV

Статистика нарушений безопасности компьютерных систем

Введение

Проблемами обеспечения информационной безопас­ности занимаются многие организации, однако среди них очень немногие проводят научные исследования в облас­ти современных технологий обеспечения безопасности.

Именно такой подход развивается в Специализиро­ванном центре защиты информации Санкт-Петербургского государственного технического университета, объ­единяющим научных сотрудников и преподавателей, по­следовательно реализующих системный подход к про­блемам безопасности, базирующийся на анализе совре­менных достижений в этой области. Результаты этой деятельности отражены в целой серии книг сотрудников Центра, посвященных различным аспектам проблемы информационной безопасности — от компьютерных ви­русов до информационных атак в Internet.

Данная постановка своей попыткой комплексного решения поставленной проблемы является новой Для отечественной литературы, посвященной данному во­просу и систематизирует мировой опыт в области обес­печения безопасности информационных технологий и создания защищенных систем обработки информации. Авторы ставили своей целью определить пути и методы создания подобных систем и решить возникающие при этом проблемы. Книга представляет собой попытку найти ответы на следующие вопросы: