- •Экзаменационные вопросы и билеты Теоретические вопросы
- •Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
- •Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- •Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- •Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- •Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- •Понятие политики безопасности информационных систем. Назначение политики безопасности.
- •Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- •Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
- •Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
- •Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- •Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- •Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- •Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- •Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- •Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- •Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- •Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- •Биометрические средства идентификации и аутентификации пользователей.
- •Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- •Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- •Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- •Законодательный уровень применения цифровой подписи.
- •Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- •Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- •Средства обеспечения информационной безопасности в ос Windows’2000. Разграничение доступа к данным. Групповая политика.
Экзаменационные вопросы и билеты Теоретические вопросы
Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
Удаленные угрозы классифицируются по следующим признакам:
по характеру воздействия (пассивные, активные);
по цели воздействия (нарушение конфиденциальности, нарушение целостности и нарушение доступности информации);
по условию начала осуществления воздействия (атака по запросу от атакуемого объекта, атака по наступлению ожидаемого события на атакуемом объекте и безусловная атака);
по наличию обратной связи с атакуемым объектом (с обратной и без обратной связи);
по расположению субъекта атаки относительно атакуемого объекта (внутрисегментное и межсегментное);
по уровню модели ISO/OSI, на котором осуществляется воздействие.
Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы.
Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.
Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими, социальными и т. д.
Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.