- •1. Назва та короткий зміст нд тзі 2.5-004-99
- •2. Ієрархічні класи ас
- •3. Що таке витік інформації в телефонному каналі зв`язку, шляхи одержання інформації в телефонному каналі зв`язку.
- •4. Засоби захисту з запитом інформації
- •5. Особливості умов провадження господарської діяльності в галузі тзі.
- •6. Поняття інтегровані системи.
- •1. Назва та короткий зміст нд тзі 2.5-005-99
- •2. Характеристики ас за сукупністю
- •3. Що таке програмна закладка та в чому полягає її основна небезпека?
- •4. Активні і пасивні засоби захисту пз.
- •5. Особливості ліцензування в галузі тзі.
- •6. Чим визначається для кожної конкретної ітс склад, структура та вимоги до ксзі.
ВАР1
1. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Цей нормативний документ технічного захисту інформації (НД ТЗІ) визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання:
- визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;
- створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;
- оцінки захищеності комп'ютерних систем і їх придатності для вирішення завдань споживача.
2. Принципи забезпечення захисту інформації:
планування захисту і керування системою захисту;
принципи керування доступом (безперервний захист, наявність атрибутів доступу, довірче й адміністративне керування доступом, забезпечення персональної відповідальності);
послуги безпеки;
гарантії;
3. Проблеми безпеки ЛОМ
Сервер може забезп. захист дост. тільки на рівні каталогу, якщо корист. дозволено досутп до каталогу, то він має доступ до всіх файлів, що є в ньому
Неадекв.мех. захисту лок. роб. станцій, недост. збереж. копіюв. файлів
Видал. обмежень повинні контр. таким чином, щоб тільки авториз. кор. могли отрим. доступ до вид. компонентів і додатків
Служба обмінц повідомл.
Неадекв. політика керув. І безпеки ЛОМ
Відсут. навчання особл. викор. ЛОМ і захисту
4. Власні засоби захисту ПЗ.
Засоби власного захисту визначають елементи захисту, що містяться в самому ПЗ чи супроводжують його. До таких засобів належать: документація, поширення продукції у вигляді виконуваних модулів, супроводження програм розробником, обмеження застосування, проектування на замовлення, ідентифікаційні мітки.
5. Види робіт, які виконуються в межах господарської діяльності у сфері ТЗІ, що підлягає ліцензуванню.
Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.
Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.
Розроблення, впровадження, дослідження ефективності, супроводження комплексів (систем) захисту інформації від несанкціонованих дій в інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах.
Виявлення технічних каналів витоку мовної і видової інформації, що утворюються за рахунок несанкціонованого використання закладних пристроїв.
Виробництво засобів забезпечення технічного захисту інформації.
Розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини.
6. Інформаційна система - організаційно-технічна система обробки інформації за допомогою технічних і програмних засобів.
ВАР2
НДТЗІ 1.1 003 99
«Термінологія всфері захисту інформації КС від НСД»
Цей документ установлює терміни і визначення понять у галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.
Терміни, що установлюються цим документом, обов’язкові для застосування в усіх видах документації і літератури, що входять до системи технічного захисту інформації.
Для кожного поняття встановлено один термін. Застосування синонімів терміна не допускається.
Для довідки наведені іноземні еквіваленти термінів, що запроваджуються, а також алфавітні покажчики термінів.
Принципи реалізації програмно-технічних засобів
Це електронні , електронно-механічні пристрої, програмне забезпечення , що включається до складу КС і виконують самостійно або в єдиному комплексі пені функції забезпечення інформаційної безпеки
Принципи реалізації програмно-технічних засобів:
визначаються функції механізмів захисту;
реалізація комплексу засобів захисту;
концепція диспетчера доступу
Можливі впливи що можуть використовуватися для класифікації загроз в середовищі ЛОМ.
3 Неавториз. доступ до ЛОМ
Невідпов. доступ до ресурсів ЛОМ
Розкриття даних
Неавториз. модиф. даних і програм
Розкриття трафіка ЛОМ
Підміна трафіка ЛОМ
Непроцезд. ЛОМ
Засоби захисту в складі КС
До засобів захисту в складі комп'ютерних систем належать: захист магнітних дисків, захисні механізми пристроїв КС, замки захисту, зміна функцій у системі.
Вимоги до кваліфікації організацій та технологій при ліцензуванні
1.Субєкт господарювання повинен мати штатних або найманих за договором спеціалістів , о відповідають заявленому виду діяльності та обсягу робіт за кількістю, освітою, стажем роботи( ВО за напрямом»інф безпека» або інженерно технічну освіту, стаж роботи в ТЗІ не менше 5 років)
2.Спеціаліст повинні знати:
-нпа
-НД що регламентують проведення обраних видів робіт
- принципи роботи і тех. характерстики засобів забезпеч ТЗІ
- технологію виробн стосовно своїх обов’язків
3. спеціаліст повинен вміти:
- користав наявним облад
- здійсн обробку результ робіт
- оформл звітних документів
4. Спеціаліст повинен забезп провед повного циклу виробн засобів ТЗІ, що може бути повязано з впровадженням технології вирбн,комплектув, випробуван та контролем по забезпечен якості ІБ
Технологічні вимоги Суб’єкт господарювання, його філії, інші відокремлені підрозділи повинні мати в обсязі, що забезпечує проведення обраних видів робіт:
актуалізовану нормативно-правову базу (нормативно-правові акти та нормативні документи з питань ТЗІ, нормативні документи у сфері стандартизації, що є офіційними виданнями, оприлюдненими та розповсюдженими уповноваженими на це органами), в тому числі атестовані встановленим порядком методики проведення вимірювань;
власне обладнання, в тому числі повірені засоби вимірювальної техніки. Склад обладнання визначається за документами з питань ТЗІ, в яких надані методики оцінювання захищеності інформації, проведення досліджень засобів ТЗІ, виявлення закладних пристроїв тощо;
атестовану встановленим порядком вимірювальну лабораторію для проведення вимірювань, результати яких використовуються під час виконання обраних видів робіт.
власну або таку, що використовується на інших законних підставах, виробничу базу, яка дає змогу виготовляти, випробовувати та проводити контроль якості засобів забезпечення ТЗІ згідно з вимогами державних стандартів, нормативно-правових актів та нормативних документів на ці засоби, узгоджених, затверджених та зареєстрованих в установленому порядку (для виду роботи, визначеному п. 3.5).
Суб’єкт господарювання, його філії, інші відокремлені підрозділи повинні виконувати вимоги нормативно-правових актів та нормативних документів з питань ТЗІ, які регламентують проведення обраних видів робіт.
Суб’єкт господарювання повинен розробити з урахуванням апаратурного забезпечення та погодити із Адміністрацією Держспецзв’язку Методику виявлення технічних каналів витоку мовної та видової інформації, що утворюються за рахунок несанкціонованого використання закладних пристроїв.
6.Поняття телекомунікаційної системи
Телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб.
ВАРІАНТ 3
1. Назва та короткий зміст нд тзі 2.5-004-99
Назва - Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.
Документ (далі — Критерії) — установлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу.
Документ є методологічною базою для визначення вимог з захисту інформації в комп'ютерних системах від несанкціонованого доступу; створення захищених комп'ютерних систем і засобів захисту від несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних системах і їх придатності для обробки критичної інформації (інформації, що вимагає захисту).
Документ надає: Порівняльну шкалу для оцінки надійності механізмів захисту інформації від несанкціонованого доступу, реалізованих в комп'ютерних системах. Базу для розробки комп'ютерних систем, в яких мають бути реалізовані функції захисту інформації.
Документ може застосовуватися до всього спектра комп'ютерних систем, включаючи однорідні системи, багатопроцесорні системи, бази даних, вбудовані системи, розподілені системи, мережі, об'єктно-орієнтовані системи та ін.
Документ призначено для постачальників, споживачів комп'ютерних систем, які використовуються для обробки, збирання, зберігання, передачі і т. ін. критичної інформації, а також для органів, що здійснюють функції оцінювання захищеності такої інформації та контролю за її обробкою.
2. Ієрархічні класи ас
Три ієрархічні класи АС:
Клас «1» — одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності.
Істотні особливості: в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється; технічні засоби з точки зору захищеності відносяться до однієї категорії і всі можуть використовуватись для збереження всієї інформації.
Приклад — автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас «2» — локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відміна від попереднього класу — наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності.
Приклад — ЛОМ
Клас «3» — розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відміна від попереднього класу — необхідність передачі інформації через незахищене середовище або, в загальному випадку, наявність вузлів, що реалізують різну політику безпеки.
Приклад — глобальна мережа.
3. Що таке витік інформації в телефонному каналі зв`язку, шляхи одержання інформації в телефонному каналі зв`язку.
Витік інф в тел. каналі зв`язку – це результат дій, внаслідок яких інформація в каналі телефонного зв`язку стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї.
Шляхи одержання інформації в телефонному каналі зв`язку: 1)пряме прослуховування – перехоплення зв’язку здійснюється безпосередньо підключенням до тел. мережі, включаючи зв’язну апаратуру або зняття ПЕМВН з ліній зв’язку. 2)підслуховування з використанням пристроїв, аналогічних митим, що застосовуються власником інф - доступ до інф практично необмежений. 3)записування інф з наступною її обробкою за допомогою СТЗ.