- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 1 – Классификация и виды основных угроз.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 2 – Основные методы реализации угроз иб.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 3 – Причины, виды и каналы утечки информации.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 4– Парольные системы для защиты от нсд.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 5 – Организационно-режимные меры защиты носителей информации в ас.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 6 – Общие подходы к построению парольных систем.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 7 – Особенности сертификации и стандартизации криптографических средств.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 8 – Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 9 – Атаки на протоколы.
- •1.1. Прослушивание сети
- •1.2. Сканирование сети
- •1.3. Генерация пакетов
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 10 – Организационно-технологические меры защиты целостности информации на машинных носителях
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 11 – Защита от угрозы нарушения целостности информации на уровне содержания.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 12 – Защита от сбоев программно-аппаратной среды.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 13 – Предотвращение неисправностей в по ас.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 14 – Защита семантического анализа и актуальности информации.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 15 – Цифровая подпись. Деревья цифровых подписей.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 16 – Построение систем защиты от угрозы раскрытия параметров ис.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 17 – Понятие и основные типы политики безопасности. Формальные модели безопасности.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 18 – Криптографические методы защиты.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 19 – Основные положения модели «Матрицы доступов».
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 20 – Основные положения модели Take-Grant. Расширенная модель Take-Grant.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 21 – Правила преобразования графа доступов «Де-юре» и «Де-факто».
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 22 – Межсетевое экранирование. Преимущества использования и архитектура.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 23 – Динамическая трансляция ip-адресов.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 24 – Статическая трансляция ip-адресов.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 25 – Динамическая трансляция ip-адресов.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 26 – Антивирусная защита.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 27 – Аутентификация.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 28 – Роль и анализ стандартов иб.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 29 – Концепция защиты свт и ас он нсд.
- •Раздел – Информационная безопасность и защита информации.
- •Вопрос 30– Классы защищенности ас.
- •Основные этапы классификации ас:
- •Необходимые исходные данные для классификации конкретной ас:
Раздел – Информационная безопасность и защита информации.
Вопрос 28 – Роль и анализ стандартов иб.
Политика безопасности (SecurityPolicy) — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.
Модель безопасности (SecurityModel) — формальное представление политики безопасности.
Дискреционное управление доступом (DiscretionaryAccessControl) —управление доступом, осуществляемое на основании заданного администратором множества разрешенных отношений доступа.
Мандатное управление доступом (MandatoryAccessControl) — управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов.
Ядро безопасности (TrustedComputingBase,TCB) — совокупность аппаратных, программных и специальных компонент вычислительной системы (ВС), реализующих функции защиты и обеспечения безопасности.
Идентификация (Identification)—процесс распознавания сущностей путем присвоения им уникальных меток.
Главной задачей стандартов безопасности является создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.
Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их потребностям. Для этого им необходима шкала оценки безопасности. К тому же потребители нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют лишь характеристики и свойства конечного продукта, а не методы его получения.
Производителям стандарты необходимы в качестве средства сравнения возможностей их продуктов. Кроме того стандарты необходимы для процедуры сертификации, которая является механизмом объективной оценки свойств продуктов. С этой точки зрения требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор, а производителям—получить объективную оценку возможностей своего продукта.
Наиболее значимыми стандартами информационной безопасности являются:«Критерии безопасности компьютерных систем министерства обороны США», руководящие документы Гостехкомиссии России,«Европейские критерии безопасности информационных технологий»,«Федеральные критерии безопасности информационных технологий США»,«Канадские критерии безопасности компьютерных систем» и «Единые критерии безопасности информационных технологий».
«Оранжевая книга» быларазработана министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к программному, аппаратному и специальному программному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся в последствии стандартов безопасности.
В «Оранжевой книге» предложены три критерия безопасности:
политика безопасности
аудит
корректность
В рамках этих критериев сформулированы шесть базовых требований безопасности:
политика безопасности
метки
идентификация и аутентификация
регистрация и учет
контроль корректности функционирования средств защиты
непрерывность защиты