- •Вопрос 01. Информационные системы. Термины и определения. Фз «Об инф., информационных технологиях и зи».
- •Вопрос 02. Автоматизированные системы. Термины и определения. Гост 34-003.
- •Вопрос 03. Системы обработки данных. Классификация и основные компоненты сод. Характеристики и параметры сод. Основные режимы работы сод.
- •Вопрос 04. Модели безопасности. Модель матрицы доступов hru.
- •Вопрос 05. Модель распространения прав доступа Take-Grand.(брать-давать)
- •Вопрос 06. Модели безопасности. Расширенная модель распространения прав доступа Take-Grant.
- •Вопрос 07. Управление доступом. Реализация дискреционного доступа. Достоинства и недостатки дискреционного доступа.
- •Вопрос 08. Модели безопасности. Классическая модель Белла – ЛаПадула.
- •Вопрос 09. Модели безопасности. Модель Low-Water-Mark. Достоинства и недостатки модели Белла – ЛаПадула.
- •Вопрос 10. Политика mls.
- •Вопрос 11. Модели безопасности информационных потоков. Модель Goguen-Meseger (gм).
- •Вопрос 12. Модели безопасности. Модели адепт-50.
- •Вопрос 13. Модель «Пятимерное пространство безопасности Хартстона».
- •Вопрос 14. Модели безопасности. Модели на основе анализа угроз системе (игровая модель и модель с полным перекрытием).
- •Вопрос 15. Модели безопасности. Модели конечных состояний (Линдвера, Белла-ЛаПадула). Основная теорема безопасности.
- •Вопрос 17. Модели безопасности. Модель выявления нарушения безопасности.
- •Вопрос 18. Модели контроля целостности. Модель Биба.
- •Вопрос 19. Модели контроля целостности. Модель Кларка-Вилсона.
- •Вопрос 21. Объединение моделей безопасности и контроля целостности. Модель Липнера.
- •Вопрос 22. Политика иб. Определение. Структура документа. Формирование политики иб. Политика иб – набор правил и рекомендаций, определяющих управление, распределение и защиту информации в организации.
- •Вопрос 23. Модель нарушителя.
- •Вопрос 24. Модель Угроз
- •Вопрос 25. Реализация угроз. Атаки и вторжения. Характеристика атак. Виды атак по соотношению «нарушитель – атакуемый объект». Типовые удаленные атаки.
- •Вопрос 26. Реализация угроз. Атаки и вторжения. Определение вторжения. Типовой сценарий. Описание атак и вторжений.
- •Вопрос 27. Политика иб. Формирование политики иб. Основные принципы.
- •Вопрос 28. Политика иб. Ответственность за иб. Реакция на инциденты иб (цели реакции, мониторинг, ответные меры).
- •Вопрос 29. Политика иб. Основные подходы к разработке политики иб. Жизненный цикл политики иб.
- •Жизненный цикл политики иб.
- •Вопрос 30. Парольные системы. Назначение и структура парольных систем. Угрозы для парольных систем.
- •Вопрос 31. Парольные системы. Выбор пароля. Требования к паролю. Количественные характеристики пароля.
- •Вопрос 32. Парольные системы. Хранение и передача пароля по сети
- •Вопрос 33. Атаки на парольные системы. Примеры практической реализации атак на парольные системы.
- •Вопрос 34. Протоколы аутентификации. Простая аутентификация.
- •Вопрос 35. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на симметричных алгоритмах.
- •Вопрос 36. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на асимметричных алгоритмах. Аутентификация с нулевым разглашением.
- •Вопрос 37. Методология построения систем защиты информации в ас. Общие методы разработки защищенных ас.
- •Вопрос 38. Методология построения систем защиты информации в ас. Доверенная вычислительная среда (теория безопасных систем)
- •Вопрос 39. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост 34.601.
- •Вопрос 40. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост р исо/мэк 15288.
- •Вопрос 41. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл по. Гост р исо/мэк 12207.
- •Вопрос 43. Принципы разработки защищенных ас.
- •Вопрос 51. Защита от внедрения недокументированных возможностей, при разработке по.
- •Вопрос 52. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Основные принципы.
- •Вопрос 53. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Научно-исследовательская разработка.
- •Вопрос 54. Методология построения систем защиты информации в ас. Методы моделирования и подходы к оценке комплексных систем защиты информации;
- •Основные принципы создания.
- •Вопрос 55. Методология построения систем защиты информации в ас. Построение организационной структуры
- •Вопрос 56. Каскадные модели.
- •Вопрос 57. V-образная модель. Спираль.
- •Вопрос 58. Средства защиты от атак и вторжений. Системы обнаружения вторжений. Структура сов и их классификация.
- •Вопрос 59. Системы обнаружения вторжений. Методы анализа для выявления атак
- •Методы на основе искусственного интеллекта
- •Вопрос 26. Уязвимости. Причины их возникновения. Ошибки, приводящие к уязвимостям
- •27. Уязвимости. Поиск уязвимостей в процессе разработки и анализа систем. Методы и средства поиска уязвимостей
- •Вопрос 60. Политика иб. Правила политики иб.
Вопрос 39. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост 34.601.
ГОСТ 34.601-90 (1 января 1992г.) АС.
По этому стандарту рассматривается только та часть жизненного цикла, которая относится к созданию АС. Создание делится на 8 стадий. Каждая стадия делится на этапы работ. Кол-во этапов работ в каждой стадии различно. Этапы работ взаимосвязаны и упорядочены во времени.
Состав стадий:
1.Формирование требований. Обследование объекта автоматизации. Местоположение АС. Автоматизируют деятельность, которую нужно автоматизировать. Результат является требование к АС. Эти требование должны быть согласованы между заказчиком и разработчиком. Документация оформляется виде отчета об обследовании.
2.Разработка концепции АС. Анализируются варианты построения АС. Результатом является определение варианта построения АС. Отчет о проделанной работе.
3.Техническое задание. Разработка основных документов, которые в дальнейшем используются на всех этапах разработки.
4.Эскизный проект. Разработка документации на техническую систему.
5.Технический проект. Окончательная разработка всех компонентов АС в целом. Разработка технической документации.
6.Рабочая документация. Разработка документации, которая содержит все дальнейшие сведения. Создание ПО АС.
7.Ввод в действие. Проводится испытание АС. Обучение персонала. Решение о вводе в эксплуатацию принимаемое после написание отчета.
8.Сорповождение АС. Сопровождение – это деятельность по оказанию услуг необходимой для устойчивого функционирования или развития АС. Включается два этапа работы исходя из срока гарантий:
а) гарантийное обслуживание
б) постгарантийное обслуживание
Особенности: рассмотрено только создание, не рассматривается эксплуатация, производство, ввод в действие. Он строго регламентирует состав стадий и этапов. Возможность модификации жизненного цикла ограниченно. Некоторые стадии могут объединятся: технический проект и рабочая документация в технорабочий проект. Есть возможность исключения эскизного проекта. Есть строгая оговорка, что следующую стадию можно начинать до того как закончится предыдущая.
Вопрос 40. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост р исо/мэк 15288.
Жизненный цикл – совокупность взаимосвязанных процессов создания и последовательного изменения состояния АС и формирования исходных требований к ней до окончания эксплуатации и утилизации комплекса средств автоматизации АС.
ГОСТ Р ИСО/МЭК 15288 (принят в 2002 г.)
Не задается строгой модели для жизненного цикла.
-
Процессы соглашения. Определяется взаимодействием сторон участвовавших в жизненном цикле АС. Для процесса определяется цель, которую нужно осуществить, а также указать результаты.
-
Процессы предприятия. Применяются к организации, которая будет эксплуатироваться. Включает в себя 5 процессов (процессы управления).
-
Процессы проекта. Эта группа, использующаяся для реализации разработки или эксплуатации системы в соответствии с документами. Процессы контроля. Управление рисками. Управление конфигурацией и управление информацией.
-
Технический процесс. Для определения требуются и преобразуются требования в саму систему, а также эксплуатации получения системы. Процессы, связанные с контролем реализации требований. Контроль со стороны пользователя этой системы. Процесс функционирования. Процесс изъятия и списания.
По мимо процессов в этом стандарте определены стадии жизненного цикла:
-
Замысла 2. Разработки 3. Производства 4.применения 5. поддержки применения 6.прекращение применения
Каждая стадия описана кратко. И для каждого описаны цели и результат.
Жесткой связи процессов и стадий нет и не устанавливается. Взаимосвязь между процессами устанавливается через создание модели жизненного цикла, которая состоит из стадий. Однако что, включает в себя модель и ее строго описания нет. Состав процессов определен для каждого разработчика. Состав стадий и процессов оговаривается взаимодействующими сторонами.
Процесс адаптации заключается в адаптации процессов описанных в стадиях в соответствии с требованиями сформулированными для АС.
В РФ введен в действие в РФ с января 2007: ГОСТ Р ИСО/МЭК 15288-2005 «Информационные технологии. Системная инженерия. Процессы жизненного цикла системы».