8.4.3 Рівні гарантій безпеки
Визначення рівнів гарантій
Рівні гарантій [Evaluation Assurance Level (EAL)] — в "Загальних критеріях" — це сім стандартизованих наборів вимог гарантій безпеки, що регламентують застосування різноманітних методів і технологій розробки, тестування, контролю та верифікації ІТ-продукту:
функціональне тестування;
структурне тестування;
методичне тестування та перевірка;
методична розробка, тестування та аналіз;
напівформальні методи розробки та тестування;
напівформальні методи верифікації розробки та тестування;
формальні методи верифікації розробки та тестування.
362
Розділ 8 Критерії безпеки інформаційних технологій
Колений з рівнів визначає ступінь відповідності ІТ-продукту коленій вимозі гарантій (гарантії зростають від першого рівня до сьомого. Назви рівнів відображають можливості засобів контролю і верифікації, що застосовуються в ході розробки та аналізу ІТ-продукту (рис. 8.8).
Рис. 8.8. Рівні гарантій безпеки
363
Частина II Основи безпеки інформаційних технологій
Функціональне тестування
Рівень функціонального тестування [EAL1 — functionally tested] - перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується використати його в тих ситуаціях, коли все, що необхідно — це незалежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — нумерація версій.
У класі ВГБ: дистрибуція в розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — неформальні специфікації для засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: тестування в розділі ВГБ: незалежне тестування — готовність продукту до незалежного тестування.
Аналіз ІТ-продукту на відповідність даному рівню гарантій забезпечується дослідженням функцій захисту та перевіркою функціональних специфікацій, інтерфейсів та документації.
Результати аналізу підтверджуються незалежним тестуванням засобів захисту ІТ-продукту на відповідність специфікаціям і документації.
Сертифікація ІТ-продукту на даний рівень гарантій є підтвердженням відповідності властивостей ІТ-продукту його документації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.
Структурне тестування
Рівень структурного тестування [EAL2 — structurally tested] - другий рівень гарантій, призначений для використання при об-
364
Розділ 8 Критерії безпеки інформаційних технологій
ставинах, коли розробники або користувачі згодні задовольнитися низьким або помірним ступенем незалежного підтвердження гарантій рівня безпеки, який необхідно забезпечити. Особливо рекомендують застосування даного рівня для успадкованих систем, які вже знаходяться в експлуатації.
Другий рівень гарантій відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — ідентифікація компонентів.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — регламентована процедура поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — неформальні специфікації засобів захисту;
у розділі ВГБ: архітектура захисту — опис архітектури захисту;
у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: методика тестування — функціональне тестування й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класу ВГБ: оцінка захисту:
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту.
Розробка продукту відповідно до вимог даного рівня не вимагає від виробника ніяких додаткових витрат, порівняно з розробкою звичайних комерційних або промислових продуктів, окрім надання результатів тестування.
365
Частина II Основи безпеки інформаційних технологій
Для другого рівня аналіз повинен проводитися не тільки по відношенню функціональних специфікацій, інтерфейсів та документації, але й для архітектури захисту ІТ-продукту.
Крім незалежного тестування засобів захисту ІТ-продукту результати аналізу підтверджуються протоколами тестування функціональних специфікацій, наданих розробником, а також незалежним вибірковим контролем результатів цих випробувань та глибини проведеного тестування, і незалежним підтвердженням пошуку розробником явних уразливостей. Крім того, для цього рівня необхідна наявність документованого складу конфігурації продукту та доказ безпеки процедури поставки.
Даний рівень розширює вимоги попереднього за рахунок включення в матеріали, що підтверджують аналіз результатів тестів, проведених розробником ІТ-продукту, необхідністю здійснення аналізу уразливостей та незалежного тестування з використанням більш детальних специфікацій.
Методичне тестування та перевірка
Рівень методичного тестування та перевірки [EAL3 —
methodically tested and checked] — третій рівень гарантій, призначений для використання при обставинах, коли розробникам або користувачам потрібна помірна ступінь незалежного підтвердження властивостей ІТ-продукту, а також повне і послідовне дослідження властивостей продукту і контроль в процесі створення, але без проведення дорогого зворотного проектування [reengineering].
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом:
у розділі ВГБ: керування версіями — контроль цілісності версій;
у розділі ВГБ: конфігурація проекту — основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація).
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — регламентована процедура поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — неформальні специфікації засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність архітектури захисту політиці безпеки;
366
Розділ 8 Критерії безпеки інформаційних технологій
• у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки в розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — аналіз повноти тестування;
у розділі ВГБ: глибина тестування — архітектура;
у розділі ВГБ: методика тестування — функціональне тестування й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — аналіз керівництв з адміністрування;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту.
Цей рівень дозволяє одержати максимальну ступінь гарантій, яка не потребує ніяких змін у звичайну процедуру розробки, оскільки всі регламентовані ним заходи, спрямовані на забезпечення гарантій, застосовуються на етапі проектування.
Для цього рівня проводяться ті ж види аналізу, що і для другого рівня, але на доповнення до матеріалів тестування специфікацій функцій захисту від розробника вимагається надання результатів архітектури захисту ІТ-продукту. Вимоги до процесу створення продукту доповнюються використанням засобів управління конфігурацією проекту.
Рівень розширює вимоги попереднього за рахунок більш повного тестування функцій захисту та засобів їхньої реалізації, а також застосуванням заходів, які дають упевненість у тому, що ІТ-продукт не був підмінений в процесі розробки.
367
Частина II Основи безпеки інформаційних технологій
Методична розробка, тестуваннята аналіз
Рівень методичної розробки, тестування та аналізу [EAL4 - methodically designed, tested and reviewed] — четвертий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі вимагають помірного або високого ступеню незалежного підтвердження гарантій захисту ІТ-продукту і готові нести певні додаткові витрати.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом:
у розділі ВГБ: засоби керування проектом — застосування автоматизованих засобів керування проектом;
у розділі ВГБ: керування версіями — авторизація розробників при поновленні версій;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту виявлених помилок і уразливостей.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — неформальні специфікації для усіх інтерфейсів засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність архітектури захисту політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — опис реалізації обмеженої підмножини засобів захисту;
у розділі ВГБ: часткові специфікації засобів захисту — неформальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності;
у розділі ВГБ: політика безпеки — неформальний опис політики безпеки.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки:
368
Розділ 8 Критерії безпеки інформаційних технологій
урозділі ВГБ: безпека середовища розробки — застосування заходів безпеки у ході розробки;
у розділі ВГБ: технологія розробки — визначена розробником технологія розробки;
у розділі ВГБ: засоби розробки — використання певного набору засобів розробки.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: глибина тестування — архітектура;
у розділі ВГБ: методика тестування — функціональне тестування й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — підтвердження повноти керівництв із адміністрування й безпеки їхнього застосування;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — незалежний аналіз уразливостей.
Цей рівень, незважаючи на достатньо сильні вимоги, не потребує від розробника спеціальних знань у галузі розробки захищених систем та застосування спеціальних методів і технологій, які відрізняються від загальноприйнятих. Це найвищий рівень гарантій, на який можна розраховувати без значних додаткових економічних витрат.
На відміну від попередніх рівнів для сертифікації продукції на четвертий рівень гарантій аналізу піддаються всі інтерфейси без виключення, усі часткові специфікації, а також деталі реалізації засобів захисту. Крім того повинна бути представлена неформальна політика безпеки.
Додатково до попереднього рівня результати аналізу піддаються незалежним дослідженням уразливостей засобів захисту, які демонструють стійкість системи проти слабких атак. Вимоги до процесу створення продукту розширюються додатковими вимогами застосування автоматизованих засобів керування конфігурацією.
Даний рівень відрізняється від попереднього посиленням вимог до процесу проектування та розробки, а також підсиленням заходів,
369
Частина II Основи безпеки інформаційних технологій
які гарантують, що ІТ-продукт не був підміненим у процесі створення.
Напівформальні методи розробки та тестування
Рівень напівформальних методів розробки та тестування [EAL5 - semiformally verified design and tested] — п'ятий рівень гарантій, призначений для використання в тих випадках, коли розробники або користувачі вимагають високого ступеню незалежного підтвердження гарантій засобів захисту, а також строгого застосування певних технологій розробки ІТ-продукту, але без надмірних витрат.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом:
у розділі ВГБ: засоби керування проектом — застосування автоматизованих засобів керування проектом;
у розділі ВГБ: керування версіями — авторизація розробників при поновленні версій;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — напівформальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — напівформальний опис архітектури захисту;
у розділі ВГБ: форма надання продукту на сертифікацію — повний опис реалізації усіх засобів захисту;
у розділі ВГБ: структура засобів захисту — модульність;
у розділі ВГБ: часткові специфікації засобів захисту — неформальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — напівфор-мальне підтвердження відповідності;
у розділі ВГБ: політика безпеки — формальна модель політики безпеки.
У класі ВГБ: документація:
370
Розділ 8 Критерії безпеки інформаційних технологій
урозділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки;
у розділі ВГБ технологія розробки — стандартизована технологія розробки;
у розділі ВГБ: засоби розробки — використання основних засобів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: глибина тестування — функціональні специфікації;
у розділі ВГБ: методика тестування — функціональне тестування й протоколювання результатів тестів;
в розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз схованих каналів — пошук і документування схованих каналів;
у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — підтвердження повноти керівництв із адміністрування й безпеки їхнього застосування;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
• у розділі ВГБ: аналіз продукту на наявність уразливостей — систематичний аналіз уразливостей на основі заданих методик.
Цей рівень вимагає від розробника застосування певних технологій та методів розробки, проте, їхнє використання може обмежуватися проектуванням та реалізацією засобів захисту.
На відміну від попередніх рівнів аналізу піддаються всі засоби захисту без виключення. Крім того, необхідна наявність формальної моделі політики безпеки та напівформальне представлення функціональних специфікацій та архітектури захисту, а також напів-формальна демонстрація їхньої взаємної відповідності. Архітектура ІТ-продукту повинна відповідати вимогам модульності.
Додатково до попередніх рівнів для підтвердження результатів аналізу необхідне тестування розробником часткових специфікацій,
371
Частина II Основи безпеки інформаційних технологій
ааналіз уразливостей повинен демонструвати стійкість проти атакпомірної сили, крім того, необхідна незалежна перевірка проведеного розробником аналізу схованих каналів.
Вимоги до процесу розробки доповнюються необхідністю розширення складу конфігурації продукту, керованої за допомогою автоматичних засобів.
Таким чином, цей рівень посилює вимоги попереднього в частині напівформального опису процесу проектування та реалізації, більш структурованої архітектури захисту, більш ретельного аналізу схованих каналів, більш повного контролю в процесі розробки.
Напівформальні методи верифікації розробки та тестування
Рівень напівформальних методів верифікації розробки та тестування [EAL6 — semiformally verified design andtested] — шостий рівень гарантій, призначений для використання в ситуаціях із високим ступенем ризику, де цінність інформації, що захищається, виправдовує високі додаткові витрати.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом:
у розділі ВГБ: засоби керування проектом — повна автоматизація керування проектом і контролю версій;
у розділі ВГБ: керування версіями — контроль цілісності й автентичності дистрибутиву системи;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — напівформальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність напівформального опису архітектури захисту політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — стру-ктурований опис реалізації усіх засобів захисту;
у розділі структура засобів захисту — ієрархічність;
372
Розділ 8 Критерії безпеки інформаційних технологій
урозділі ВГБ: часткові специфікації засобів захисту — напівфор-мальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — напівфор-мальний доказ відповідності;
у розділі ВГБ: політика безпеки — формальна модель політики безпеки.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — підтвердження заходів безпеки в ході розробки;
у розділі ВГБ: технологія розробки — стандартизована технологія розробки;
у розділі ВГБ: засоби розробки — використання тільки засобів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — строгий аналіз повноти тестування;
у розділі ВГБ: глибина тестування — функціональні специфікації;
у розділі ВГБ: методика тестування — тестування у відповідності з певною методикою;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз схованих каналів — пошук схованих каналів на основі певних методів;
у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.
Даний рівень вимагає строгого та послідовного застосування певних методів проектування та розробки, які дозволяють забезпечувати гарантії захисту при експлуатації в умовах підвищеного ризику.
Вимоги цього рівня доповнюють попередні необхідністю стру-
373
Частина II Основи безпеки інформаційних технологій
ктурного опису реалізації продукту та напівформального поданнячасткових специфікацій, а також вимогою багаторівневої архітектури.
Для підтвердження результатів аналізу крім заході, передбачених п'ятим рівнем, аналіз уразливостей повинен демонструвати стійкість системи проти сильних атак, а повинні бути одержані незалежні підтвердження проведення розробником систематичного пошуку схованих каналів.
Вимоги до процесу розробки розширюються необхідністю стру-ктурування цього процесу та повної автоматизації керування конфігурацією проекту.
Рівень розширює вимоги попереднього застосуванням більш глибокого аналізу, структуризацією представлення ІТ-продукту, багаторівневою архітектурою, посиленням аналізу уразливостей, застосуванням систематичного пошуку схованих каналів, а також удосконаленням керування конфігурацією та середовища розробки.
Формальні методи верифікації розробки та тестування
Рівень формальних методів верифікації розробки та тестування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із виключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витрати. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби захисту, і які легко піддаються формальному аналізу.
Сьомий рівень гарантій відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом:
у розділі ВГБ: засоби керування проектом — повна автоматизація керування проектом і контролю версій;
у розділі ВГБ: керування версіями — контроль цілісності й автентичності дистрибутива системи;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
У класі ВГБ: дистрибуція:
• у розділі ВГБ: поставка — захист від спотворень у процесі поставки;
374
Розділ 8 Критерії безпеки інформаційних технологій
• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — формальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — формальний опис архітектури захисту й доказ її відповідності політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — стру-ктурований опис реалізації усіх засобів захисту;
у розділі ВГБ: структура засобів захисту — мінімізація складності;
у розділі ВГБ: часткові специфікації засобів захисту — напівфор-мальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — формальний доказ відповідності;
у розділі ВГБ: політика безпеки — формальна модель політики безпеки.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — підтвердження заходів безпеки в ході розробки;
у розділі ВГБ: технологія розробки — технологія розробки, яка дозволяє оцінювати продукт, що розроблюється;
у розділі ВГБ: засоби розробки — використання тільки засобів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
у розділі повнота тестування — строгий аналіз повноти тестування;
у розділі ВГБ: глибина тестування — реалізація;
у розділі ВГБ: методика тестування — тестування у відповідності з певною методикою;
у розділі ВГБ: незалежне тестування — повне незалежне тестування.
У класі ВГБ: оцінка захисту:
• у розділі ВГБ: аналіз схованих каналів — пошук схованих каналів на основі певних методів;
375
Частина II Основи безпеки інформаційних технологій
урозділі ВГБ: аналіз можливостей неправильного використаннязасобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.
На відміну від попередніх рівнів необхідне формальне подання функціональних специфікацій та архітектури захисту, а також формальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й простою та зрозумілою.
Додатково до попередніх рівнів результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунтованим незалежним підтвердженням усіх результатів проведених розробником випробувань.
Таким чином, цей рівень підсилює вимоги попереднього за рахунок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тестування.
- О.К.Юдін, в.М.Богуш
- Частина і
- 1.1.2 Основні категорії теорії національної безпеки
- 1.1.3 Фактори та засоби забезпечення національної безпеки
- 1.2 Характеристика основних видів національної безпеки
- 1.2.1 Рівні та види національної безпеки
- 1.2.2 Політична безпека
- 1.2.3 Економічна безпека
- 1.2.4 Соціальна безпека
- 1.2.5 Воєнна безпека
- 1.2.6 Екологічна безпека
- 1.2.7 Науково-технологічна безпека
- 1.2.8 Забезпечення безпеки в інформаційній сфері
- 1.3 Система забезпечення національної безпеки вУкраїні
- 1.3.1 Визначення системи забезпечення національної безпеки
- 1.3.2 Функції системи забезпечення національної безпеки
- 1.3.3 Повноваження суб'єктів забезпечення національної безпеки
- 2.1 Поняття інформаційної безпеки
- 2.1.1 Визначення інформаційної безпеки
- 2.1.2 Життєво важливі інтереси особистості, суспільства та держави в інформаційній сфері
- 2.1.3 Об'єкти та суб'єкти інформаційної безпеки
- 2.1.4 Види інформаційної безпеки
- 2.1.5 Концепція інформаційної безпеки держави
- 2.2 Загрози інформаційній безпеці
- 2.2.2 Класифікація загроз інформаційній безпеці
- 2.2.3 Джерела загроз інформаційній безпеці
- 2.3 Методи і засоби забезпечення інформаційноїбезпеки
- 2.3.1 Основні принципи забезпечення інформаційної безпеки
- 2.3.2 Система забезпечення інформаційної безпеки держави
- 2.3.3 Основні форми і способи забезпечення інформаційної безпеки держави
- 3.1 Основні поняття інформаційного протиборства
- 3.1.1 Визначення поняття інформаційне протиборство
- 3.1.2 Інформаційна війна
- 3.1.3 Інформаційний тероризм
- 3.1.4 Інформаційна злочинність
- 3.1.5 Інформаційне протиборство як форма забезпечення інформаційної безпеки
- 3.2 Основні поняття інформаційної війни 3.2.1 Визначення інформаційної війни
- 3.2.2 Концепція інформаційної війни
- 3.2.3 Органи інформаційної війни
- 3.3 Основні форми інформаційної війни
- 3.3.1 Визначення форм інформаційної війни
- 3.3.2 Основні форми інформаційної війни на державному рівні
- 3.3.3 Основні форми інформаційної війни на воєнномурівні
- 3.3.4 Необхідні умови для досягнення інформаційної переваги
- 3.4 Інформаційна зброя в інформаційній війні
- 3.4.1 Визначення, особливості та сфера застосування інформаційної зброї
- 3.4.2 Інформаційна зброя воєнного застосування
- 3.4.3 Інформаційна зброя воєнного та невоєнного застосування
- 3.4.4 Особливості, що характеризують основні риси застосування інформаційної зброї
- 3.5 Основи теорії інформаційної боротьби
- 3.5.1 Зміст теорії інформаційної боротьби
- 3.5.2 Заходи інформаційної боротьби
- 3.5.3 Способи інформаційної боротьби
- 3.5.4 Форми ведення інформаційної боротьби
- 3.5.5 Методологія оцінки ефективності інформаційноїборотьби
- 4.1 Основні поняття психологічної війни
- 4.1.1 Поняття психологічної війни
- 4.1.2 Цілі та завдання психологічної війни
- 4.1.3 Види та закономірності психологічних впливів
- 4.2 Основи психологічних операцій
- 4.2.1 Зміст психологічних операцій
- 4.2.2 Ефективність психологічного впливу в психологічній операції
- 4.2.3 Органи та засоби проведення психологічних операцій
- 4.3 Технології психологічної війни
- 4.3.1 Основні характеристики об'єктів психологічної війни
- 4.3.2 Методика вивчення об'єктів психологічної війни
- 4.3.3 Форми психологічної війни
- 4.4 Методи впливу в психологічній війні
- 4.4.2 Навіюючий психологічний вплив
- 4.5 Особливі способи та прийоми психологічної війни
- 4.5.2 Маніпулювання свідомістю
- 4.5.3 Розповсюдження чуток та міфів
- 4.6 Основи забезпечення інформаційно-психологічної безпеки держави
- 4.6.1 Основні положення
- 4.6.2 Основи інформаційно-психологічної безпеки держави
- 4.6.3 Основні напрями діяльності державної системи забезпечення інформаційно-психологічної безпеки
- 5.1 Основні положення державної інформаційної політики
- 5.1.1 Визначення державної інформаційної політики
- 5.1.2 Поняття про програму входження держави в інформаційне суспільство
- 5.2 Основні напрями національної інформаційної політики
- 5.2.1 Основні напрями національної інформаційної політики у сфері суспільних відносин
- 5.2.2 Основні напрями національної інформаційної політики в економічній сфері
- 5.2.3 Основні напрями національної інформаційної політики в організаційній сфері
- 5.3 Державна політика забезпечення інформаційної безпеки
- 5.3.1 Основні поняття політики забезпечення інформаційної безпеки держави
- 5.3.2 Основні загрози інформаційній безпеці держави
- 5.3.3 Організаційний напрям протидії загрозам усфері інформаційної безпеки
- 5.3.5Розвиток матеріально-технічної бази системи інформаційної безпеки особи, держави та суспільства
- 5.3.6 Науково-практична робота щодо забезпечення інформаційної безпеки
- 5.3.7 Вдосконалення нормативно-правової бази забезпечення загальнодержавної системи інформаційної безпеки
- Частина II
- 6.1.2 Форми адекватності інформації
- 6.1.3 Міри інформації
- 6.1.4 Якість інформації
- 6.1.5 Основні властивості інформації як предмета захисту
- 6.2 Інформаційні системи як об'єкти захисту
- 6.2.1 Загальні відомості про інформаційні системи
- 6.2.2 Структура інформаційної системи
- 6.2.3 Класифікація інформаційних систем
- 6.2.4 Основні характеристики інформаційної системи як об'єкта захисту
- 6.3 Інформаційні технології та проблеми їхньої безпеки
- 6.3.1 Визначення інформаційної технології
- 6.3.2 Співвідношення інформаційної технології та інформаційної системи
- 6.3.3 Класифікація та види інформаційних технологій
- 6.3.4 Основні проблеми безпеки інформаційних технологій
- 7.1 Загрози безпеці інформації та інформаційних ресурсів
- 7.1.1 Загальні положення
- 7.1.2 Збитки як категорія класифікації загроз
- 7.1.3 Класифікація загроз безпеці інформації
- 7.1.4 Класифікація джерел загроз
- 7.1.5 Ранжирування джерел загроз
- 7.1.6 Класифікація уразливостей безпеці
- 7.1.7 Ранжирування уразливостей
- 7.1.8 Класифікація актуальних загроз
- 7.2 Основні напрями забезпечення безпеки інформації та інформаційних ресурсів
- 7.2.1 Основні визначення
- 7.2.2 Правовий захист
- 7.2.3 Організаційний захист
- 7.2.4 Інженерно-технічний захист
- 7.3 Архітектура захисту інформації в мережах телекомунікацій
- 7.3.1 Архітектура відкритих систем
- 7.3.2 Загрози в архітектурі відкритих мереж
- 7.3.3 Процедури захисту
- 7.3.4 Сервісні служби захисту
- 7.3.5 Реалізація захисту
- 8.1 Загальні відомості про вимоги та критерії оцінки безпеки інформаційних технологій
- 8.1.1 Основні поняття про стандарти інформаційної безпеки
- 8.1.2 Критерії безпеки комп'ютерних систем
- 8.1.3 Європейські критерії безпеки інформаційнихтехнологій
- 8.1.4 Федеральні критерії безпеки інформаційних технологій
- 8.1.5 Канадські критерії безпеки комп'ютерних систем
- 8.2 Основні положення загальних критеріїв безпеки інформаційних технологій
- 8.2.1 Мета розробки, основні положення та склад "Загальних критеріїв"
- 8.2.2 Потенційні загрози безпеці та типові завдання захисту
- 8.2.3 Політика безпеки
- 8.2.4 Продукт інформаційних технологій
- 8.2.5 Профіль захисту
- 8.2.6 Проект захисту
- 8.3 Функціональні вимоги до засобів захисту 8.3.1 Загальна характеристика фвб
- 8.3.2 Класи функціональних вимог безпеки
- 8.4 Вимоги гарантій засобів захисту
- 8.4.1 Загальна характеристика вимог гарантій безпеки
- 8.4.2 Класи вимог гарантій безпеки
- 8.4.3 Рівні гарантій безпеки
- 8.5 Шляхи і перспективи застосування "Загальних критеріїв"
- 9.1 Стандарти менеджменту інформаційної безпеки та їх основні положення
- 9.2 Політика інформаційної безпеки організації
- 9.2.1 Визначення політики інформаційної безпеки організації
- 9.2.2 Концепція інформаційної безпеки в організації
- 9.2.3 Аналіз та оцінка ризиків
- 9.3 Основні правила інформаційної безпеки організації
- 9.3.1 Правила побудови системи забезпечення інформаційної безпеки
- 9.3.2 Організація проведення відновлювальних робіт і забезпечення неперервного функціонування об'єктів організації та організації в цілому
- 9.3.3 Правила розмежування доступу користувачів та процесів до ресурсів інформаційної сфери організації
- 9.3.4 Документальне оформлення політики безпеки
- 9.4 Система менеджменту інформаційної безпеки та її оцінка
- Частина III
- 10.2 Загрози інформаційній безпеці України
- 10.3 Джерела загроз інформаційній безпеці України
- 10.4 Стан інформаційної безпеки України
- 10.5 Завдання із забезпечення інформаційної безпеки України
- 11.1 Загальні методи забезпечення інформаційної безпеки України
- 11.2 Особливості забезпечення інформаційної
- 11.2.1 Забезпечення інформаційної безпеки України всфері економіки
- 11.2.2 Забезпечення інформаційної безпеки України всфері внутрішньої політики
- 11.2.3 Забезпечення інформаційної безпеки України в сфері зовнішньої політики
- 11.2.4 Забезпечення інформаційної безпеки України у галузі науки та техніки
- 11.2.5 Забезпечення інформаційної безпеки України у сфері духовного життя
- 11.2.6 Забезпечення інформаційної безпеки України у загальнодержавних інформаційних і телекомунікаційних системах
- 11.2.7 Забезпечення інформаційної безпеки України у сфері оборони
- 11.2.8 Забезпечення інформаційної безпеки України управоохоронній і судовій сферах
- 11.2.9 Забезпечення інформаційної безпеки України в умовах надзвичайних ситуацій
- 11.3 Міжнародне співробітництво України в галузізабезпечення інформаційної безпеки
- 12.1 Основні функції системи забезпечення інформаційної безпеки України
- 12.2 Основні елементи організаційної основи системи забезпечення інформаційної безпеки України
- 12.3 Основні положення політики забезпечення інформаційної безпеки України
- 12.4 Першочергові заходи щодо реалізації політики забезпечення інформаційної безпеки України
- Словник додаткових термінів і понять
- 491 Бібліоґрафія
- 1 Основи національної безпеки держави 12
- 2Основні положення інформаційної безпеки 35
- 3 Основи інформаційного протиборства 52
- 4 Психологічна війна та інформаційно-психологічна безпека держави 103
- 5 Основи державної інформаційної політики 186
- 6 Інформаційні системи та технології як об'єкти інформаційної безпеки 200
- 7 Основи безпеки інформаційних
- 8 Критерії безпеки інформаційних технологій 315
- 9 Основи управління інформаційною безпекою 379
- 10 Інформаційна безпека україни 397
- 11 Методи та заходи забезпечення інформаційної безпеки україни 411
- 12 Система та політика забезпечення інформаційної безпеки україни 440
- Інформаційна
- Безпека держави