критериях» определены три уровня безопасности – базовый, средний и высокий. Безопасность считается базовой, если средства защиты способны противостоять отдельным случайным атакам. Безопасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями. Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией. набор возможностей и ресурсов которого выходит за рамки разумного.
Выводы: «Европейские критерии безопасности информационных технологий», появившиеся вслед за «Оранжевой книгой», оказали существенное влияние на стандарты безопасности и методику сертификации.
Главное достижение этого документа – введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. Как уже упоминалось, «Европейские критерии» придают адекватности средств защиты даже большее значение, чем их функциональности. Этот подход используется во многих появившихся позднее стандартах информационной безопасности. Необходимо отметить, что «Европейские критерии» тесно связаны с «Оранжевой книгой», что делает их не вполне самостоятельным документом. На первый взгляд довольно странным выглядит тот факт, что «Европейские критерии» признают возможность наличия недостатков в сертифицированных системах (критерий возможности использования недостатков защиты), однако на самом деле это свидетельствует о трезвом взгляде на существующее положение и признании того очевидного факта, что реальные системы еще весьма несовершенны и далеки от идеала.
«Европейские критерии» безопасности информационных технологий, наряду с «Оранжевой книгой» легли в основу многих стандартов безопасности компьютерных систем.
Лекция 4. Организационно-правовые аспекты деятельности службы безопасности предприятия
Учебные вопросы:
1. Создание концепции зашиты.
2. Правовые основы деятельности Службы безопасности.
3. Функции, задачи и особенности деятельности Службы безопасности Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах.
Введение
Обеспечение комплексной защиты объектов является индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты (стадии разработки, внедрения, эксплуатации), и рядом других обстоятельств. В предыдущих занятиях на основе анализа современного состояния проблемы защиты были сформулированы основные принципы защиты хозяйствующих субъектов. Необходимо обобщить их на концептуальном уровне для того, чтобы определить общую структуру службы безопасности (СБ), которая в конечном счете и создает СЗ. Поэтому в данной главе изложена концептуальная сторона проблемы обеспечения безопасной деятельности
