Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

File infector (файловый вирус) - компьютерный вирус, при-

крепляющий себя к файлу или программе, и активизирую щийся при

каждом использовании файла. Различают вирусы-компаньоны,

макровирусы, полиморфные вирусы, вирусы-невидимки.

Firewall (межсетевые экраны) - специальные технические

средства разграничения доступа к информационным ресурсам и

контроля обмена данными между различными компь ютерными

сетями.

Formal security policy model (формальная модель политики

безопасности) - математически строгое описание политики

безопасности. Подразумевает описание начального состояния

системы, способы перехода системы из одного состояния в другое,

а также определение безопасного состояния. Чтобы быть принятой

как основа ДВБ (ТСВ), модель должна содержать формальное

доказательство следующих положений:

- начальное состояние системы является безопасным;

- если все условия безопасности, определяемые моделью,

выполнены, то последующие состояния системы также будут

безопасными.

Примером формальной модели является модель Белла -

Лападула.

Hacker (хакер) - лицо, совершающее различного рода не-

законные действия в сфере информатики:

- несанкционированное проникновение в чужие компью терные

сети и получение из них информации;

- незаконные снятие защиты с программных продуктов и их

копирование;

- создание и распространения компьютерных вирусов и т.п.

Действия хакера образуют различные составы уголовных

преступлений и гражданских правонарушений.

Hierarchical Storage Management, HSM (струк турированное

хранение информации) - подразумевает организацию рас-

пределенной струк туры устройств хранения информации. Обычно

такая структура включает в себя как устройства опе ративного

доступа (устройства с быстрым доступом - жесткие диски и

устройства с меньшей скоростью доступа - библиотеки с

магнитооптическими дисками или ленточными носителями), так и

устройства, требующие вмешательства операто ра (отдельные

стримеры и магнитооптические дисководы).

Hot reservation (горячее резервирование) - использование

дополнительных информационных мощностей и поддер жание их

активном режиме с целью гибкого и оперативного увеличения

пропускной способности и надежности автомати зированной

системы.

Identification (идентификация) - процесс распознавания

определенных компонентов системы, обычно с помощью уни-

кальных, воспринимаемых системой имен (идентификаторов).

Incremental backup storage (копирование изменений) - ре-

зервное копирование, при котором делаются копии только тех

файлов, которые подвергались изменениям по отноше нию к

последней копии. Копирование изменений позволяет

восстанавливать последние варианты глобального копирования и

последовательность происходящих изменений.

Information flow control (управление информационным

потоком) - процедуры управления информационным потоком,

удостоверяющие, что информация не может передаваться с

верхних уровней безопасности на нижние (в соответствии с

положениями модели Белла-Лападула, См. также определение

скрытых каналов). Более общее определение контроля

информационных потоков подразумевает процедуры управ ления,

удостоверяющие, что информация не может передаваться по

скрытым каналам (то есть в обход политики безопасности).

Information security (информационная безопасность) - ин-

формационная безопасность имеет три основные составляю щие:

1) конфиденциальность - защита чувствительной информации

от несанкционированного доступа;

2) целостность - защита точности и полноты информации и

программного обеспечения;

3) доступность - обеспечение доступности информации и

основных услуг для пользователя в нужное для него время.

Information Security Management System (систе ма управ-

ления информационной безопасностью) - комплекс мер, на-

правленных на обеспечение режима ИВ на всех стадиях жиз-

ненного цикла ИС.

Integrity (ценностность) - см. data integrity и system integrity.

Intruder (злоумышленник) - субъект, оказывающий на

информационный процесс воздействия с целью вызвать его

отклонение от условий нормального протекания.

В криптографии считается, что в распоряжении злоумыш-

ленника имеются все необходимые для выполнения его задачи

технические средства, созданные на данный момент.

Least privilege (минимум привилегий) - один из основопо-

лагающих принципов организации системы защиты, гласящий, что

каждый субъект должен иметь минимально возможный набор

привилегий, необходимый для решения поставленных перед ним

задач. Следование этому принципу предохраняет от нарушений,

возможных в результате злого умысла, ошибки или

несанкционированного использования привилегий.

Link encryption (канальное шифрование) - защита инфор-

мации, передаваемой средствами телекоммуникаций криптог-

рафическими методами; шифрование осуществляется в кана ле

связи между двумя узлами (которые могут быть промежуточными

на пути от отправителя к получателю).

Lloyd's Electronic & Computer Crime Policy (полис Ллойда

по страхованию от преступного использования электроники и

компьютеров) - страховой полис по страхованию от засылки в

компьютерную систему ложных сведений или от изменения

заложенной в компьютерной системе информации. Этот полис

разработан как добавление к стандартному ВВВ.

Logic bomb (логическая бомба) - программа, выполняемая

периодически или в определенный момент времени с це лью

исказить, уничтожить или модифицировать данные.

Mandatory access control (MAC - полномочное управление

доступом) - способ управления доступом к объектам, основанный

на степени секретности или критичности информации

(представленной специальными метками), содержащейся в

объекте и формальной проверке полномочий и прав субъекта при

доступе к информации данного уровня критичности.

Masquerading (маскарад) - попытка получить доступ к си-

стеме, объекту или выполнение других действий субъектом, не

обладающим полномочиями на соответствующее действие и

выдающим себя за другого, которому эти действия разре шены.

Migrate/Demigrate (миграция/демиграция) - означает фи-

зическое перемещение файла по структуре HSM с сохранением

единого логического местоположения. Приложения, использующие

этот файл, обращаются к нему по логическому местоположению.

Misinformation (дезинформация) - целенаправленная пе-

редача информации от объекта-источника объекту-получателю в

ситуации, когда реализация информации оказывается

целесообразной только для объекта-источника.

Multilevel security (многоуровневая безопасность) - класс

систем, содержащих информацию-с различными уровнями

критичности, которые разрешают одновременный доступ к

объектам субъектам с различными уровнями прозрачности, но

запрещают при этом несанкционированный доступ.

National Computer Security Center (NCSC, Национальный

Центр Компьютерной Безопасности, США) - организация,

поддерживающая и стимулирующая распространение защищенных

систем в учреждениях Федерального правительс тва. Является

координирующим органом в области анализа и раз работки систем с

гарантированной защитой. Первичное название - Центр

Компьютерной Безопасности министерства обороны США (DoD

Computer Security Center).

Need-to-knew (надо знать) - необходимость иметь доступ,

знать или обладать специальной информацией для выполне ния

своих обязанностей.

Network security (безопасность сети) - меры, предохраня-

ющие информационную сеть:

- от несанкционированного доступа;

- от случайного или преднамеренного вмешательства в нор-

мальные действия; или

- от попыток разрушения ее компонентов.

Безопасность информационной сети включает защиту обо-

рудования, программного обеспечения, данных и персонала.

Object (объект) - пассивный компонент системы, хранящий,

принимающий или передающий информацию. Доступ к объекту

подразумевает доступ к содержащейся в нем инфор мации.

Примеры объектов: записи, блоки, страницы, сегмен ты, файлы,

директорий и программы, а также отдельные биты, байты, слова,

поля; различные устройства (терминалы, прин теры, дисководы и

т.д.); различные сетевые устройства (отдельные узлы, кабели и

т.д.).

Object reuse (повторное использование объекта) -

переназначение и повторное использование пространства памяти

(например, страницы, фрейма, сектора диска, магнитной ленты),

которое ранее содержало в себе один или несколько о&ьектов. Для

поддержания безопасности это пространство при выделении его

под новый объект не должно содержать информации старых

объектов.

Passive threat (пассивная угроза безопасности) - угроза

несанкционированного раскрытия информации без изменения

состояния автоматизированной системы.

Peer-to-peer — модель обмена информацией, когда уст-

ройства, подключенные к сети, могут напрямую связывать ся друг с

другом и каждое может выступать как в качестве клиента, так и в

качестве сервера»

Penetration (проникновение) - успешное преодоление ме-

ханизмов защиты системы.

Personnel security (личная безопасность) - процедуры, удо-

стоверяющие, что все, кто имеет доступ к критичной инфор мации,

получили необходимое разрешение и соответствующие

полномочия.

Physical security (физическая безопасность) - реализация

физических барьеров и контрольных процедур, как превентивная

или контрмера против физических угроз (взлома, кражи,

террористического акта, а также пожа ра, наводнения и т.д.)

ресурсам системы и критичной информации.

Platform for privacy preferences initiative (программа пре-

имуще ственного права на защиту личной информации) - набор

стандартов и технологических спецификаций для ком мерческих

веб-сайтов и браузеров. Программа обеспечивает пользователям

возможность автоматического контроля информации, которую они

оставляют на сайте.

Plug-and-Play («подключи и работай») - принцип и специ-

фикация быстрого подключения к компьютеру дополнитель ного

оборудования и самоконфигурирования системы» Поддерживается

всеми современными операционными системами, BIOS и

аппаратными средствами. Операционная система обнаруживает

вновь подключенное устройство, опрашивает -его, оценивает

предъявляемые им требования к системе, оп ределяет и выполняет

оптимальные установки для каждого устройства.

Preferred Products List (PPL, Список предпочтительной

продукции) - список коммерческой продукции (аппаратуры и

оборудования), прошедшей испытания по программе TEMPEST и

удовлетворяющей другим требованиям Аген-ства Национальной

Безопасности (АНБ) США. PPL включен в Information System

Security Products and Services Catalogue, издаваемый АНБ.

Process (процесс) - выполняющаяся программа. См. Так же

domain и subject.

Protocols (протоколы) - набор правил и форматов, семан-

тических и синтаксических, позволяющих различным ком понентам

системы обмениваться информацией (например, узлам сети).

Recovery procedures (восстановительные процедуры) -

действия, предпринимаемые для восстановления способности си-

стемы обрабатывать информацию, а также восс тановление

наборов данных после аварии или сбоя.

Reference monitor concept (концепция монитора ссылок) -

концепция контроля доступа, базирующаяся на понятии аб-

страктной машины, разделяющей все попытки доступа субъектов к

объектам.

Находит практическую реализацию в виде ядра безопасности.

Reserved copy (резервное копирование) - технология ко-

пирования программ и (или) данных с целью повышения на-

дежности хранения данных. Обычно имеющиеся данные ко-

пируются на магнитные диски, магнитные ленты либо опти ческие

диски. Различают глобальное копирование и копиро вание

изменений.

Risk analysis (анализ риска) - процесс определения угроз

безопасности системы и отдельным ее компонентам, опреде ления

их характеристик и потенциального ущерба, а также разработка

контрмер.

Risk assessment (оценка рисков) - идентификация рисков,

выбор параметров для их описания и получение оценок по этим

параметрам.

Risk Management (управление рисками) - процесс опреде-

ления контрмер в соответствии с оценкой рисков.

Save (архивное копирование) - процесс переноса копий

файлов на архивный носитель. Данные на этих носителях никогда

не стираются, а сами носители хранятся бессрочно. Периодическое

проведение архивирования позволит позднее осуществлять доступ

к различным версиям файлов, сохраненным ранее в архиве.

Процедура восстановления данных из архива называется

разархивированием, или извлечением (retrieve).

Secure Sockets Layer, SSL (слой безопасных соединений) -

протокол, обеспечивающий защиту данных, передаваемых по сети

Интернет. Протокол SSL обеспечивает безопасность и целостность

канала передачи с помощью шифрования и опоз навательных кодов

сообщения.

Secure state (безопасное состояние) - условие, при выпол-

нении которого ни один субъект не может получить доступ ни к

какому объекту иначе как на основе проверки имею щихся у него

полномочий.

Security administrator (администратор безопасности) - дол-

жностное лицо, устанавливающее политику безопасности и

идентифицирующее объекты и участников, к которым при меняется

эта политика.

Security architecture (архитектура безопасности) - офици-

альное дополнение ISO к модели OSI, определяющее меры

безопасности в информационной сети.

Архитектура безопасности предполагает:

- предотвращение чтения сообщений любыми лицами;

- защиту трафика от его анализа посторонними;

- обнаружение изменений потоков сообщений;

- определение искажений блоков данных.

В зависимости от используемых методов различают:

- сети со слабой защитой, в которых усилия нарушителя

пропорциональны затратам отправителя;

- сети с сильной защитой, требующие резкого увеличения

затрат нарушителя.

Security flaw (брешь безопасности) - ошибка при назначении

полномочий или упущение при разработке, реализации или

управлении средствами защиты системы, которые могут привести к

преодолению защиты.

Security kernel (ядро безопасности) - программные и аппа-

ратные элементы ДВБ (ТСВ), реализующие концепцию мони тора

ссылок. Они должны разделять все попытки доступа субъектов к

объектам, быть защищенным от модификации и проверены на

корректное выполнение своих функций.

Security level (уровень безопасности) - комбинация иерар-

хической классификации (уровень доступа) и неиерархической

категории, представляющих уровень критичности информации.

Security policy (политика безопасности) - совокупность пра-

вил, определяющих и ограничивающих виды деятельности

объектов и участников, системы информационной безопасности.

Security policy model (модель политики безопасности) -

формальное представление политики безопасности, разрабо-

танной для системы. Оно должно содержать формальное описание

определяющих управление, распределение и защиту критической

информации.

Security Risk (риск нарушения информационной безопас-

ности) - возможность реализации угрозы.

Security system (система обеспечения безопасности) - со-

вокупность с тандартных защитных мер: криптографическое

кодирование, паролирование, присваивание идентификатора,

электронная цифровая подпись и т.д.

Sensitive information (критичная информация) - любая

информация, потеря, неправильное использование, модифи кация

или раскрытие которой могут нанести ущерб национальным

интересам, или помешать выполнению национальных программ,

или нанести ущерб интересам отдельных личнос тей, но которая

тем не менее не затрагивает интересы нацио нальной обороны или

внешней политики. В коммерческом секторе понятие критичной

информации вводится аналогично - информация, потеря,

неправильное использование, модификация или раскрытие которой

могут нанести ущерб интересам компании или другой организации,

выраженный в материальной (денежный ущерб) или

нематериальной (моральный ущерб) форме.

Subject (субъект) - активный компонент системы, обычно

представленный в виде пользователя, процесса или устройства,

который может явиться причиной потока информации от объекта к

объекту или изменения состояния системы. Обычно субъект

представляется парой процесс - область.

System integrity (целостность системы) - качество системы,

которым она обладает, если корректно выполняет все свои

функции, свободна от намеренных или случайных не-

санкционированных манипуляций.

System Evaluation Criteria, TCSEC (оранжевая книга) - от-

чет,издаваемый Агенством Национальной Безопасности (АНБ)

США, в котором:

- приводятся критерии оценки надежности компьютерных

систем;

- определяются семь уровней безопасности, образующих в

свою очередь четыре группы безопасности.

TEMPEST - программа изучения и анализа побочных элек-

тронных сигналов, излучаемых электрическим и электронным

оборудованием.

Threat (угроза безопасности) - в широком смысле - потен-

циальное нарушение безопасности. Угроза безопасности - в

системах обработки данных - потенциальное действие или со-

бытие, которое может привести к нарушению одного или более

аспектов безопасности информационной системы.

Trojan horse (троянский конь) - компьютерная программа,

реализующая полезную функцию и содержащая дополнитель ные

скрытые функции, которые тайно используют законные полномочия

инициирующего процесса в ущерб безопасности.

Trusted Computing Base, ТСВ (Достоверная Вычислитель -

ная База, ДВБ) - совокупность защитных механизмов вы-

числительной системы, включая программные и аппаратные

компоненты, ответс твенные за поддержание политики

безопасности. ДВБ состоит из одной или нескольких ком понентов,

которые вместе отвечают за реализацию единой политики

безопасности в рамках системы. Способность ДВБ корректно

проводить единую политику безопасности зависит в первую

очередь от механизмов самой ДВБ, а так же от корректного

управления со стороны администрации си стемы.

Trusted path (достоверный маршрут) - механизм, с помощью

которого пользователь за терминалом может взаимо действовать

непосредственно с ДВБ (ТСВ). Он может быть активизирован

только пользователем или ДВБ, его работа не может быть

прервана, имитирована или нарушена недостоверным

программным обеспечением.

Trusted software (достоверное программное обеспечение) -

программное обеспечение, входящее в ДВБ (ТСВ).

USB (Universal Serial Bus) - универсальная последователь ная

шина. Стандарт для обмена данными по недорогой шине между

персональными компьютерами и периферийными устройствами.

Verification (верификация) - процесс сопоставления двух

уровней спецификаций системы (например, модели политики

безопасности и спецификаций системы, спецификаций системы и

исходных кодов, исходных кодов и выполняемых ко дов) для

установления необходимого соответствия между ними. Этот

процесс может быть полностью или частично автоматизирован.

Vulnerability (уязвимость) - слабость в системных средствах

защиты, вызванная ошибками или слабостями в процедурах,

проекте, реализации, внутреннем контроле системы, которая может

быть использована для нарушения системной политики

безопасности. Различают:

- человеческую уязвимость;

- техническую уязвимость, возникающая в результате не-

исправности технологического компонента информационной

системы.

Worm (червь) - независимая программа, которая размно-

жается путем копирования самой себя из одного сетевого ком-

пьютера в другой. Обычно червь не портит данные или программы

и не вызывает непредсказуемого поведения, однако может вызвать

неоправданную загрузку каналов связи и па мяти.

WWW, World Wide Web, Всемирная паутина - глобальная

гипертекстовая система, использующая Интернет в качестве

транспортного средства.

XML (extensible Markup Language) - расширяемый язык

разметки информации. Стандарт языка для обмена данными между

различными приложениями.

Безопасность (security) — желаемый уровень целостнос ти,

исключительности, доступности и эффективности для -защиты

данных от потерь, искажения, разрушения и несанкционированного

использования. Безопасность системы говорит о том, что та

устойчива к атакам и что секретность, целостность и готовность к

работе как системы, так и ее - данных находятся под защитой.

Абонентское, оконечное шифрование (end-to-end

encryption) - защита информации, передаваемой средствами

телекоммуникаций криптографическими методами, непосред-

ственно между отправителем и получателем.

Автоматизированная информационная система, АИС