birmaga.ru
добавить свой файл

1
Российский университет дружбы народов


Инновационная образовательная программа РУДН


СОГЛАСОВАНО:

УТВЕРЖДАЮ:


Приемочная комиссия:

Зам. руководителя Комиссии по организации, подготовке и контролю качества УМК

___________________/ В.Н. Чистохвалов/


Руководитель дирекции ИОП, проректор РУДН
___________________/ Н.С. Кирабаев /


Начальник Управления по науке и инновациям
____________________/Е.Б. Ланеев/





ОТЧЕТ



о выполнении работ по Этапу 3.2. ИОП:

Разработка методических и дидактических, контрольных и тестовых материалов УМК. Мероприятие №_1.2.4_______________


Исполнитель: __Латушкина Е.Н., Сидоренко С.Н.__________________


Наименование УМК: _ Эффективность использования природных ресурсов как основы комплексной системы управления качеством__________________________________________




Согласовано:

Ответственный за выполнение мероприятия

_______________________/ Сидоренко С.Н../




Москва 2008 г.


  1. СТРУКТУРНЫЕ ЭЛЕМЕНТЫ ЭЛЕКТРОННОГО УЧЕБНИКА



1. 1 Гипертекстовая структура учебных текстов курса « Обеспечение информационной безопасности автоматизированных систем транснациональных корпораций»
Автоматизированная система транснациональной корпорации (АСТНК) - организационно-техническая система, образованная множеством информационных связей и отношений, заданных на множестве следующих компонентов: технических средств и средств вычислительной техники, телекоммуникации и связи; алгоритмов и методов обработки информации с целью сбора, обработки, хранения, преобразования и выдачи в виде пригодном для поддержки и принятия управленческих решений ; системного и прикладного программного обеспечения; информации на различных носителях (базы данных, массивы и наборы данных); пользователей и персонала, находящихся в различных организационно - структурных отношениях, для достижения целей и реализации программ ТНК.

стр.

Аудит - независимоя экспертиза отдельных областей функционирования организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита.

Систематизированный, независимый документированный процесс получения свидетельства аудита (проверки) и объективного их оценивания аудитором с целью установления степени выполнения и соответствия существующим критериям информационной безопасности основных ресурсов АС .

Аутентификация-это проверка принадлежности пользователю предъявленного им идентификатора. Часто аутентификацию также назы­вают подтверждением или проверкой подлинности.

стр.
Аутентификация с участием доверен­ной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбит­ром (arbitrator).

Ассоциирование вредоносной программы с другой программой представляет собой процесс интеграции своего кода либо его части в код другой программы таким образом, чтобы при некоторых условиях управление передалось на вредоносную программу.


стр.


Безопасность - невозможность нанесения вреда кому-нибудь или чему-нибудь вследствие проявления угроз, т.е. их защищенность от угроз.

стр.

Величина риска  определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости.
Доверенная вычислительная среда (ТСВ) - совокупность компонентов и механизмов защищенной автоматизированной системы, корректно реализующая заданную политику безопасности ,удовлетворяющая требованиям формальной модели политики безопасности.

стр.

Доступ - это взаимодействие между субъектом и объектом, в результате которого происходит перенос информации между ними.

стр.

Доступность информации – свойства АСТНК, в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей информации готовность автоматизированных средств к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.
стр.

Идентификация - это присвоение пользователям идентификаторов и проверка предъяв­ляемых идентификаторов по списку присвоенных.

Изъян - свойство систем защиты, способствующее успешной реализации угрозы информационной безопасности.


Информация - сведения о лицах, предметах, событиях, явлениях, процессах и объектах (независимо от формы их представления), используемые в целях получения знаний, оптимизации принимаемых решений управления объектами.

Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.


Информационная безо­пасность - невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой.Защищенность ресурсов АС от факторов, представляющих угрозу для:


  • конфиденциальности;

  • целостности;

  • доступности.


Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

Информационная система - организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующая информационные процессы;

Информационная сфера - сфера общественной жизни ,образованная совокупностью информации и информационной инфраструктуры общества, общественных отношений по поводу информации и информационной инфраструктуры как объектов интересов индивида, общества и государства, а также субъектов этих отношений.

Инфраструктура - средства информатизации, телекоммуникации и связи.

Канал НСД - особенность автоматизированной информационной системы, создающую потенциальную возможность осуществления НСД.
Kerberos - программный продукт представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.
Класс рисков — множество угроз ИБ, выделенных по определенному признаку (например, относящихся к определенной подсистеме или типу).
Коллизия ситуация, когда разным наборам входных блоков данных соответствует один хэш.

Конфиденциальность информации – субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью АСТНК сохранять эту информацию в тайне от субъектов, не имеющих полномочий доступа к ней.

Корпоративные сети - сеть TCP/IP масштаба предприятия, что соответствует дословному переводу термина «enterprise-wide networks»,подключенная к Интернет.

Межсетевое экранирование- сервис безопасности выполняет следующие функции: разграничение межсетевого доступа путем фильтрации передаваемых данных; преобразование передаваемых данных.Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом случае обычно имеется в виду трансляция адресов, помогающая скрычъ топологию защищаемой системы и существование некоторых объектов доступа. Преобразование данных, как правило, состоит в шифровании.

Модель политики безопасности - математическое описание механизмов защиты информации в категориях «сущность», «субъект», «объект», «ресурс», «операция», «доступ», «уровень безопасности», «степень доверия».
Несанкционированный доступ (НСД) - злоумышленные или случайные действия, выполненные с нарушением или в обход технологической схемы применения ВС и приведшие к нарушению безопасности системы.
Обеспечение - совокупность деятель­ности по обеспечению, средств обеспечения и субъектов обеспечения.
Обеспечение безопасности объекта образуется совокупностью деятельности, средств и субъектов обеспечения безопасности.
Обеспечение информационной безопасности - совокупность деятельности по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, а также средств и субъектов этой деятельности.

Обеспечение информационной безопасности АСТНК - организация системы обеспечений различных видов деятельности по недопущению нанесения вреда свойствам АСТНК, обуславливаемым информацией и информационной инфраструктурой, а также средств и субъектов этой деятельности.

Обеспечение целостности информации – это способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

Объект - пассивная сущность, используемая для хранения или получения информации. Примеры объектов - рабочие станций, файлы, директории, и т.д.

Оценка рисков (Risk Assessment) — идентификация рисков, выбор параметров для их описания и получение оценок по этим параметрам.
Политика безопасности - множество качественных и количественных требований по обеспечению безопасности информации, которые должны быть выполнены в АСТНК посредством системы обеспечения безопасности информации.
Продукт информационных технологий (ИТ-продукт) - совокупность аппаратных и/или программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации.

Проект защиты — специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснования. В ходе квалификационного анализа служит в качестве описания ИТ-продукта.

Протокол – это набор общепризнанных и поддерживаемых правил и форматов взаимодействия.

Протокол АН - протокол аутентифицирующего заголовка АН (Authentication Header)

обеспечивает защиту IP-пакетов в целом, за исключением переменных служебных полей, которые могут быть модифицированы в процессе его передачи (mutable fields). АН осуществляет аутентификацию и защиту целостности данных IP-пакетов, а также защиту от воспроизведения IР-трафика.
Протокол ESP-протокол инкапсулирующей защиты данных ESP (Encapsulated Security Payload) , как и протокол АН, обеспечивает защиту IP-пакетов в целом, за исключением переменных служебных полей, которые могут быть модифицированы в процессе его передачи (mutable fields). В отличие от протокола АН, основным предназначением ESP является обеспечение конфиденциальности данных, для чего применяются алгоритмы шифрования.

Протокол IPsec - базовый протокол обеспечения безопасности данных на уровне IP-соединений, обеспечивает аутентификацию абонентов и управление удаленным доступом, аутентификацию, конфиденциальность и целостность данных, защиту от анализа и воспроизведения трафика. IPsec может быть применен для создания сквозных защищенных каналов между произвольными IР-хостами и/или группами хостов (т.н. транспортный режим), защищенных каналов между шлюзами отдельных подсетей (туннельный режим) и виртуальных закрытых сетей (Virtual Private Network, VPN), обеспечивающих безопасность и конфиденциальность взаимодействия отдельных фрагментов или подсетей территориально распределенной VPN, связанных между собой не напрямую, а через другие сети.

Протокол SSL (Secure Socket Layer) был разработан компанией Netscape Communications для реализации защищенного обмена информацией в клиент-серверных приложениях.

Протокол SOCKS организует процедуру взаимодействия клиент-серверных приложений на сеансовом уровне модели OSI через сервер-посредник или proxy-сервер.
Протокол цифровых сертификатов X.509, указывающий, каким образом субъекты, использующие в открытой сети механизмы асимметричной криптографии, должны распространять свои открытые ключи через центры сертификации (СА — certification authority).
Протоколирование/аудит-анализ последствий нарушения информационной безопасности и выявление злоумышленников. Такой аудит называют пассивным. Активный аудит направлен на выявление подозрительных действий в реальном масштабе времени. Важным элементом современной трактовки протоколирования/аудита является протокол автоматизированного обмена информацией о нарушениях безопасности между корпоративными системами, подключенными к одной внешней сети.


Профиль защиты  это нормативный документ, который регламентирует все аспекты безопасности ИТ–продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.
Риск нарушения ИБ (Security Risk) — возможность реализации угрозы, которая определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Ресурс (Asset). В широком смысле это все, что представляет ценность с точки зрения организации и является объектом защиты. В узком смысле ресурс — часть информационной системы. В прикладных методах анализа рисков обычно рассматриваються следующие классы ресурсов:


  • персонал;

  • оборудование (физические ресурсы);


  • информационные ресурсы (базы данных, файлы, все виды документации);

  • программное обеспечение (системное, прикладное, утилиты, другие вспомогательные программы);

  • сервис и поддерживающая инфраструктура (обслуживание СВТ, энергоснабжение, обеспечение климатических параметров и т.п.).


Самодублирование вредоносной программы представляет собой процесс воспроизведения своего собственного кода в оперативной или внешней памяти компьютера.

Самомодификация структуры вредоносной программы представляет собой процесс воспроизведения изоморфного собственному кода программы в оперативной или внешней памяти компьютера.

Самоуправляемость обеспечивает вредоносной программе условия, в соответствии с которыми она всегда получает управление на себя, т.е. процессор должен начать выполнять команды, относящиеся к коду разрушающей программы раньше команд любой прикладной или системной программы.
Система управления ИБ (Information Security Management System) — комплекс мер, направленных на обеспечение режима ИБ на всех стадиях жизненного цикла ИС.
Система управления ключами IKE (Internet Key Exchange)- система

установления защищенных каналов и управления ключами, включающая в себя протокол согласования параметров сессии и управления ключами ISAKMP (Internet Security Association and Key Management Protocol) и произвольный протокол обмена ключами (Key Determination Protocol), в качестве которого де-факто выступает протокол OAKLEY.

Средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании систем и обеспечивающие их эксплуатацию;


Субъект- активная сущность, которая может инициировать запросы на доступ к объектам и использовать их для выполнения каких-либо операций. Субъектами являются пользователи и процессы

Стек протоколов TCP/IP- набор протоколов сетевого взаимодействия между узлами составной компьютерной сети. Стек протоколов TCP/IP получил свое название по аббревиатуре популярного транспортного протокола TCP /Transport Control Protocol) и протокола межсетевого взаимодействия IP (Internet Protocol).


.

Сущность - любая именованная составляющая компьютерной системы .

Транснациональная компания (корпорация) — компания (корпорация), владеющая производственными подразделениями в нескольких странах и международный бизнес которой является существенным.

Страна базирования — страна, в которой находится штаб-квартира ТНК.

Принимающие страны — страны, в которых размещена собственность ТНК.
Туннелирование, как и экранирование - сервис безопасности суть кот0рого состоит в том, чтобы «упаковать» передаваемую порцию данных вместе со служебными полями в новый «конверт». Данный сервис может применяться для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля.

Угроза безопасности - проявление взаимодействия объекта безопасности с другими объектами, способным нанести вред его функционированию и свойствам, либо подобным проявлением взаимодействия подсистем и

Угроза - совокупность факторов и условий, возникающих в процессе взаимодействия, объектов и способных оказывать негативное воздействие на объект безопасности. При этом общая структура угрозы представляет собой совокупность объекта угрозы, источника угрозы и проявления угрозы. Угроза (Threat) — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Угроза информационной безопасности - потенциально возможное событие, явление или действие, которое может привести к нанесению различного рода ущерба интересам и целям объекта безопасности в информационной сфере, которые могут стать причиной нарушения целостности, доступности и конфиденциальности информации.


Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию угрозы.

Хэш-функция Н - хэширование-однонапрвленная функция

представляет собой отображение, на вход которого подается сообщение переменной длины М, а выходом является строка фиксированной длины Н(М). В общем случае Н(М) будет гораздо меньшим ,чем М, например Н(М), может быть 128 или 256 бит, тогда как М может быть размером в мегабайт или более.
Целостность информации - существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному её состоянию).

Целостность данных - отсутствие ненадлежащих изменений. Смысл понятия "ненадлежащее изменение" раскрывается Д.Кларком и Д.Вилсоном: ни одному поль­зователю АС, в том числе и авторизованному, не должны быть разре­шены такие изменения данных, которые повлекут за собой их разруше­ние или потерю.

Целостность информации – это способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

Целостность информации - существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному её состоянию).
Цифровая подпись - совокупность методов, позволяю­щих устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообщения. Цифровая подпись при­меняется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдени­ем международных договоров и др.).

Эталонная модель OSI- стек OSI, представляет собой 7-уровневую сетевую иерархию, разработанную Международной организацией по стандартам (International Standardization Organization - ISO). Международная Организация по Стандартам (International Standards Organization, ISO) разработала модель, которая четко определяет различные уровни взаимодействия систем, дает им стандартные имена и указывает, какую работу должен делать каждый уровень. Эта модель называется моделью взаимодействия открытых систем (Open System Interconnection, OSI) или моделью ISO/OSI.
.