- •Экзаменационные вопросы и билеты Теоретические вопросы
- •Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
- •Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- •Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- •Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- •Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- •Понятие политики безопасности информационных систем. Назначение политики безопасности.
- •Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- •Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
- •Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
- •Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- •Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- •Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- •Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- •Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- •Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- •Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- •Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- •Биометрические средства идентификации и аутентификации пользователей.
- •Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- •Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- •Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- •Законодательный уровень применения цифровой подписи.
- •Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- •Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- •Средства обеспечения информационной безопасности в ос Windows’2000. Разграничение доступа к данным. Групповая политика.
Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями".
Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
http://www.wikisec.ru/index.php?title=%D0%A2%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%BA_%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%B0%D0%BC_%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%90%D0%A1
1.8. Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Основные положения руководящих документов Гостехкомиссии России. Классификация автоматизированных систем по классам защищенности. Показатели защищенности средств вычислительной техники от несанкционированного доступа.
В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является "проведение единой государственной политики в области технической защиты информации".
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии".
За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:
Руководящий документ "Положение по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.).
Руководящий документ "Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации" (Гостехкомиссия России, 1997 г.).
Руководящий документ "Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1992 г.).
Руководящий документ "Концепция защиты средств вычислительной техники от НСД к информации" (Гостехкомиссия России, 1992 г.).
Руководящий документ "Защита от НСД к информации. Термины и определения" (Гостехкомиссия России, 1992 г.).
Руководящий документ "Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997 г.).
Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999 г.).
Руководящий документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" (Гостехкомиссия России, 2001 г.).
Руководящий документ "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась "Оранжевая книга". Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.
Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и включает только первый класс.
Руководящий документ "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.
Всего выделяется пять показателей защищенности:
управление доступом;
идентификация и аутентификация;
регистрация событий и оповещение;
контроль целостности;
восстановление работоспособности.