- •Вопросы для подготовки к Итоговой государственной аттестации для студентов, обучающихся по специальности 090108 «Информационная безопасность автоматизированных систем».
- •Что понимается под информационной безопасностью?’
- •Что такое защита информации?
- •Что характеризует политика безопасности?
- •Что относится к числу основных аспектов информационной безопасности?
- •Что является самыми опасными источниками внутренних угроз?
- •Что входит в число универсальных сервисов безопасности?
- •Следствием чего является сложность обеспечения информационной безопасности?
- •Что можно отнести к числу мер восстановления режима безопасности?
- •Чем характеризуется уровень безопасности a, согласно «Оранжевой книге»?
- •Чем характеризуется уровень безопасности b, согласно «Оранжевой книге»?
- •Чем характеризуется уровень безопасности c, согласно «Оранжевой книге»?
- •Какие элементы, согласно «Оранжевой книге», включает в себя политика безопасности?
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •За что предусматривает наказание Уголовный кодекс рф в сфере информационной безопасности?
- •Что входит в число основных принципов архитектурной безопасности?
- •Набор правил, по которым осуществляется полное опознавание пользователя в компьютерной системе, называется:
- •Что такое «окно опасности» и когда окно опасности перестает существовать?
- •Для чего может быть использовано экранирование?
- •Что такое организационная защита и что она обеспечивает?
Что входит в число основных принципов архитектурной безопасности?
Теоретической основой решения проблемы архитектурной безопасности является следующее фундаментальное утверждение: "Пусть каждый субъект заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее пусть каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации". Следует обратить внимание на три принципа, содержащиеся в приведенном утверждении: * необходимость выработки и проведения в жизнь единой политики безопасности; * необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях; * необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал полным набором защитных средств и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).
Набор правил, по которым осуществляется полное опознавание пользователя в компьютерной системе, называется:
Протоколом аутентификации и идентификации
Что такое «окно опасности» и когда окно опасности перестает существовать?
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется
Для чего может быть использовано экранирование?
По материалам руководящего документа Государственной технической комиссии России межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Он может использоваться для разграничения доступа, или как фильтр
Межсетевые экраны также целесообразно классифицировать по уровню фильтрации:
·· канальному,
· сетевому,
· транспортному,
· прикладному.
Для чего может быть использован контроль целостности?
Для выявления и предотвращения несанкционированного изменения информации
Для чего является угрозой агрессивное потребление ресурсов?
Угрозой неотказуемости системы
Для чего является угрозой перехват данных?
В зависимости от качества перехваченной информации ущерб может варвировться от незначительного до фатального. Хоть перехват и не влечет за собой потерю данных, однако он может значительно или полностью снизить актуальность, ценность этой информации для фирмы. Подобные действия могут нанести ущерб экономике фирмы, её репутации, безопасности и т.д.
Для чего можно использовать протоколирование и аудит?
Динамическое протоколирование и аудит(когда действия сразу обрабатываются на выявления противоправных действи) обеспечивают защиту информации, а также позволяет вычислить в последствии местонахождения бреши в системе, то каким образом была взломана система
Какой принцип гарантирует, что информация доступна только авторизованным лицам или процессам?
минимизация привилегий
Какого типа ошибки используются чаще всего для внедрения «бомб»?
Для внедрения "бомб" часто используются ошибки типа "переполнение буфера", когда программа, работая с областью памяти, выходит за границы допустимого и записывает в нужные злоумышленнику места определенные данные.
Как часто нужно знакомиться с информацией о новых уязвимых местах?
при получении очередного сообщения по соответствующему списку рассылки
.В.
Уровень В. Дайте правильный ответ, определение, установите соответствие, заполните пропуски, ответьте на вопрос.
«Организационное обеспечение информационной безопасности»
Перечислите цели политики безопасности верхнего уровня.
Политика информационной безопасности представляет собой комплекс документов, отражающих все основные требования к обеспечению защиты информации и направления работы предприятия в этой сфере. При построении политики безопасности можно условно выделить три ее основных уровня: верхний, средний и нижний.
Верхний уровень политики информационной безопасности предприятия служит:
для формулирования и демонстрации отношения руководства предприятия к вопросам информационной безопасности и отражения общих целей всего предприятия в этой области;
основой для разработки индивидуальных политик безопасности (на более низких уровнях), правил и инструкций, регулирующих отдельные вопросы;
средством информирования персонала предприятия об основных задачах и приоритетах предприятия в сфере информационной безопасности.
Политики информационной безопасности среднего уровня определяют отношение предприятия (руководства предприятия) к определенным аспектам его деятельности и функционирования информационных систем:
отношение и требования (более детально по сравнению с политикой верхнего уровня) предприятия к отдельным информационным потокам и информационным системам, обслуживающим различные сферы деятельности, степень их важности и конфиденциальности, а также требования к надежности (например, в отношении финансовой информации, а также информационных систем и персонала, которые относятся к ней);
отношение и требования к определенным информационным и телекоммуникационным технологиям, методам и подходам к обработке информации и построения информационных систем;
отношение и требования к сотрудникам предприятия как к участникам процессов обработки информации, от которых напрямую зависит эффективность многих процессов и защищенность информационных ресурсов, а также основные направления и методы воздействия на персонал с целью повышения информационной безопасности.
Политики безопасности на самом низком уровне относятся к отдельным элементам информационных систем и участкам обработки и хранения информации и описывают конкретные процедуры и документы, связанные с обеспечением информационной безопасности.
Разработка политики безопасности предполагает осуществление ряда предварительных шагов:
оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия в целом или отдельные направления его деятельности;
анализ потенциально уязвимых информационных объектов;
выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.
http://www.intuit.ru/studies/courses/563/419/lecture/5365?page=2