- •Вопрос 01. Информационные системы. Термины и определения. Фз «Об инф., информационных технологиях и зи».
- •Вопрос 02. Автоматизированные системы. Термины и определения. Гост 34-003.
- •Вопрос 03. Системы обработки данных. Классификация и основные компоненты сод. Характеристики и параметры сод. Основные режимы работы сод.
- •Вопрос 04. Модели безопасности. Модель матрицы доступов hru.
- •Вопрос 05. Модель распространения прав доступа Take-Grand.(брать-давать)
- •Вопрос 06. Модели безопасности. Расширенная модель распространения прав доступа Take-Grant.
- •Вопрос 07. Управление доступом. Реализация дискреционного доступа. Достоинства и недостатки дискреционного доступа.
- •Вопрос 08. Модели безопасности. Классическая модель Белла – ЛаПадула.
- •Вопрос 09. Модели безопасности. Модель Low-Water-Mark. Достоинства и недостатки модели Белла – ЛаПадула.
- •Вопрос 10. Политика mls.
- •Вопрос 11. Модели безопасности информационных потоков. Модель Goguen-Meseger (gм).
- •Вопрос 12. Модели безопасности. Модели адепт-50.
- •Вопрос 13. Модель «Пятимерное пространство безопасности Хартстона».
- •Вопрос 14. Модели безопасности. Модели на основе анализа угроз системе (игровая модель и модель с полным перекрытием).
- •Вопрос 15. Модели безопасности. Модели конечных состояний (Линдвера, Белла-ЛаПадула). Основная теорема безопасности.
- •Вопрос 17. Модели безопасности. Модель выявления нарушения безопасности.
- •Вопрос 18. Модели контроля целостности. Модель Биба.
- •Вопрос 19. Модели контроля целостности. Модель Кларка-Вилсона.
- •Вопрос 21. Объединение моделей безопасности и контроля целостности. Модель Липнера.
- •Вопрос 22. Политика иб. Определение. Структура документа. Формирование политики иб. Политика иб – набор правил и рекомендаций, определяющих управление, распределение и защиту информации в организации.
- •Вопрос 23. Модель нарушителя.
- •Вопрос 24. Модель Угроз
- •Вопрос 25. Реализация угроз. Атаки и вторжения. Характеристика атак. Виды атак по соотношению «нарушитель – атакуемый объект». Типовые удаленные атаки.
- •Вопрос 26. Реализация угроз. Атаки и вторжения. Определение вторжения. Типовой сценарий. Описание атак и вторжений.
- •Вопрос 27. Политика иб. Формирование политики иб. Основные принципы.
- •Вопрос 28. Политика иб. Ответственность за иб. Реакция на инциденты иб (цели реакции, мониторинг, ответные меры).
- •Вопрос 29. Политика иб. Основные подходы к разработке политики иб. Жизненный цикл политики иб.
- •Жизненный цикл политики иб.
- •Вопрос 30. Парольные системы. Назначение и структура парольных систем. Угрозы для парольных систем.
- •Вопрос 31. Парольные системы. Выбор пароля. Требования к паролю. Количественные характеристики пароля.
- •Вопрос 32. Парольные системы. Хранение и передача пароля по сети
- •Вопрос 33. Атаки на парольные системы. Примеры практической реализации атак на парольные системы.
- •Вопрос 34. Протоколы аутентификации. Простая аутентификация.
- •Вопрос 35. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на симметричных алгоритмах.
- •Вопрос 36. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на асимметричных алгоритмах. Аутентификация с нулевым разглашением.
- •Вопрос 37. Методология построения систем защиты информации в ас. Общие методы разработки защищенных ас.
- •Вопрос 38. Методология построения систем защиты информации в ас. Доверенная вычислительная среда (теория безопасных систем)
- •Вопрос 39. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост 34.601.
- •Вопрос 40. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост р исо/мэк 15288.
- •Вопрос 41. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл по. Гост р исо/мэк 12207.
- •Вопрос 43. Принципы разработки защищенных ас.
- •Вопрос 51. Защита от внедрения недокументированных возможностей, при разработке по.
- •Вопрос 52. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Основные принципы.
- •Вопрос 53. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Научно-исследовательская разработка.
- •Вопрос 54. Методология построения систем защиты информации в ас. Методы моделирования и подходы к оценке комплексных систем защиты информации;
- •Основные принципы создания.
- •Вопрос 55. Методология построения систем защиты информации в ас. Построение организационной структуры
- •Вопрос 56. Каскадные модели.
- •Вопрос 57. V-образная модель. Спираль.
- •Вопрос 58. Средства защиты от атак и вторжений. Системы обнаружения вторжений. Структура сов и их классификация.
- •Вопрос 59. Системы обнаружения вторжений. Методы анализа для выявления атак
- •Методы на основе искусственного интеллекта
- •Вопрос 26. Уязвимости. Причины их возникновения. Ошибки, приводящие к уязвимостям
- •27. Уязвимости. Поиск уязвимостей в процессе разработки и анализа систем. Методы и средства поиска уязвимостей
- •Вопрос 60. Политика иб. Правила политики иб.
-
Основные принципы создания.
А) Принцип системности. Заключается в необходимости учета всех факторов, влияющих на безопасность АС. Учитывается изменение факторов на безопасность системы. Возникают уязвимости. Предполагает учет воздействия нарушителя, также учет действий авторизированных пользователей.
Б) Принцип комплексности. Этот принцип заключается в том, что при построении системы защиты нужно учитывать особенности применяемых мер и средств.
В) Принцип непрерывности защиты. Защита должна обеспечиваться непрерывно. На каждом этапе нужно обеспечивать защиту. Непрерывное функционирование всех средств защиты.
Г) Принцип разумной достаточности. Этот принцип основывается на том, что нельзя обеспечить 100% защиту. Нужно применить большое кол-во защитных мер и средств обеспечения, тем больше тратится ресурсов по обработке информации.
Д) Принцип гибкости системы защиты. Возможность изменения уровня защищенности автоматизированной системы. Подключение новых средств защиты.
Е) Принцип открытости механизмов и алгоритмов защиты. Защита не должна основываться на секретности использование механизмов и алгоритмов, т.е. знание алгоритмов и механизмов не должно давать нарушителю преодолеть систему защиты.
Ж) Принцип простоты применения средств защиты. Для применения средств защиты не должно требоваться специальных знаний, а также значительных затрат.
Построение комплексных систем защиты информации.
1.На параллельную разработку информационной системы и комплексной системы защиты информации.
2.Система подходов к построению комплексной системы защиты информации.
3.Многоуровневая структура.
4.Иерархическое управление.
5.Блочная архитектура систем защиты.
6.Учет развития системной защиты при ее эксплуатации.
7. Дружественный интерфейс.
Оценка эффективности КСЗИ:
-
Классический способ оценки эффективности. Выбор характеристик комплексной системы защиты информации, значение которых оценивается. Сложность выбора характеристик.
-
Официальный. Разрабатываются документы, в которых перечисляются к системе защиты информации. И вся оценка заключается в проверке. В таких документах вводится ранжир требований.
-
Экспериментальный. После разработки системы защиты формируется группа экспертов, которая имитирует действия нарушителя, пытается преодолеть систему защиты.
Вопрос 55. Методология построения систем защиты информации в ас. Построение организационной структуры
Основные принципы создания системы защиты информации:
А) Принцип системности. Заключается в необходимости учета всех факторов, влияющих на безопасность АС. Учитывается изменение факторов на безопасность системы. Возникают уязвимости. Предполагает учет воздействия нарушителя, также учет действий авторизированных пользователей.
Б) Принцип комплексности. Этот принцип заключается в том, что при построении системы защиты нужно учитывать особенности применяемых мер и средств.
В) Принцип непрерывности защиты. Защита должна обеспечиваться непрерывно. На каждом этапе нужно обеспечивать защиту. Непрерывное функционирование всех средств защиты.
Г) Принцип разумной достаточности. Этот принцип основывается на том, что нельзя обеспечить 100% защиту. Нужно применить большое кол-во защитных мер и средств обеспечения, тем больше тратится ресурсов по обработке информации.
Д) Принцип гибкости системы защиты. Возможность изменения уровня защищенности автоматизированной системы. Подключение новых средств защиты.
Е) Принцип открытости механизмов и алгоритмов защиты. Защита не должна основываться на секретности использование механизмов и алгоритмов, т.е. знание алгоритмов и механизмов не должно давать нарушителю преодолеть систему защиты.
Ж) Принцип простоты применения средств защиты. Для применения средств защиты не должно требоваться специальных знаний, а также значительных затрат.
Организационный меры:
-
Организация и эксплуатация программно аппаратных средств
-
Проведение ремонта и технического обслуживания для аппаратных средств и поддержка для программных
В рамках организации:
-
Создание отдела. Назначение руководителей и его замов
-
Назначение документов обязанностей для сотрудников уже существующих отделов
Должностным лицом является администратор информационной безопасности.
При создании системы руководствуются:
-
документами по созданию комплексной системы защиты информации.
-
действующими нормативными и правовыми документами (действующие законы РФ которые это регулируют и кодексы), руководящие документы, стандарты, постановления, указы, распоряжения.
-
внутренние распорядительные документы, которые определяют статус и полномочия отдела по обеспечению ИБ.( полномочия т.е. перечень видов деятельности, должностные инструкции для руководителей и для сотрудников, различные регламенты и инструкции. В них определены правила эксплуатации, проведения ремонтно-технического обслуживания, литература поддержки программных средств).
Порядок создания организационной структуры.
1.Создается организационно-штатная структура(определяется состав).
2.Провести обучение должностных лиц в практической работе КСЗИ.
3.Разработка необходимой документации.
4.Оборудовать рабочие места для сотрудников.
5.Определить системное управление: (подчиненность самого отдела, взаимодействие с другими отделами, определяется система управления, которая формируется внутри отдела).