- •Экзаменационные вопросы и билеты Теоретические вопросы
- •Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
- •Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- •Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- •Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- •Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- •Понятие политики безопасности информационных систем. Назначение политики безопасности.
- •Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- •Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
- •Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
- •Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- •Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- •Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- •Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- •Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- •Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- •Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- •Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- •Биометрические средства идентификации и аутентификации пользователей.
- •Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- •Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- •Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- •Законодательный уровень применения цифровой подписи.
- •Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- •Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- •Средства обеспечения информационной безопасности в ос Windows’2000. Разграничение доступа к данным. Групповая политика.
Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
Шифрование – использование криптографических сервисов безопасности.
Процедура шифрования – преобразование открытого текста сообщения в закрытый.
Криптографические требования
Эффективность применения злоумышленником определяется средней долей дешифрованной информации, являющейся средним значением отношения количества дешифрованной информации к общему количеству шифрованной информации, подлежащей дешифрованию, и трудоемкостью дешифрования единицы информации, измеряемой Q числом элементарных опробований.
Требования надежности.
Средства защиты должны обеспечивать заданный уровень надежности применяемых криптографических преобразований информации, определяемый значением допустимой вероятности неисправностей или сбоев, приводящих к получению злоумышленником дополнительной информации о криптографических преобразованиях.
Регламентные работы (ремонт и сервисное обслуживание) средств криптографической защиты не должно приводить к ухудшению свойств средств в части параметров надежности.
Требование по защите от несанкционированного доступа для средств криптографической информации в составе информационных систем.
В автоматизированных информационных системах, для которых реализованы программные или аппаратные средства криптографических защиты информации, при хранении и обработке информации должны быть предусмотрены следующие основные механизмы защиты:
идентификация и аутентификация пользователей и субъектов доступа;
управление доступом;
обеспечения целостности;
регистрация и учет.
Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры.
Закон Российской Федерации от 21 июля 1993 года №5485-1 "О государственной тайне" с изменениями и дополнениями, внесенными после его принятия, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
Закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 года №24-ФЗ – является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.