- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Требования к подсистеме аутентификации и управления доступом
для управления доступом используются следующие атрибуты:
идентификатор пользователя и права доступа на чтение, запись, выполнение программ;
профиль пользователя;
подразделение.
должны быть определены правила доступа, основанные на атрибутах доступа, и правила доступа по умолчанию;
доступ к устройствам ввода/вывода должен быть регламентирован административными и программно-техническими мерами;
в базе данных должны быть определены атрибуты доступа для объектов и субъектов, для объектов атрибуты должны устанавливаться в процессе операций импорта/экспорта;
правила доступа распространяются только на пользователей, прошедших авторизацию;
должны существовать утвержденные списки управления доступом или правила управления доступом;
если права доступа для объектов и субъектов различаются, они должны быть проверены на согласованность;
в базе данных должна быть обеспечена защита от чтения и модификации информации, относящейся к политике безопасности, в частности:
данных, относящихся к идентификации;
данных, относящихся к аутентификации;
точек входа и соответствующих им параметров (системных и пользовательских).
атрибуты, относящиеся к политике безопасности и устанавливаемые по умолчанию, не должны разглашаться;
пользователи должны иметь возможность в любой момент закрыть (приостановить) свой сеанс и возобновить его после повторной аутентификации.
Требования к подсистеме криптографической защиты информации
Требования к криптографической подсистеме
Подсистема защиты криптографической информации предназначена для обеспечения конфиденциальности, целостности и авторизации информации, хранящейся, передаваемой и обрабатываемой в замкнутом контуре.
Подсистема криптографической защиты информации обеспечивает выполнение функций шифрования согласно ГОСТ 28147-89 и формирование/проверку электронной цифровой подписи (далее – ЭЦП). Следует использовать только стандартизированные алгоритмы цифровой подписи.
Подсистема защиты криптографической информации должна включать в себя компонент управления и распространения ключевой информации, а также компоненты, работающие на объектах управления, серверах и рабочих станциях администраторов и операторов ИС.
Компонент управления и распространения ключевой информации подсистемы криптографической защиты информации должен включать в себя формирование ключевых элементов шифрования и ЭЦП.
Подсистема криптографической защиты информации должна обеспечивать:
– шифрование всей секретной информации, которая записывается на совместно используемых различными субъектами носителей доступа (разделенных) данных, а также на съемных портативных носителях данных (дискетах, компакт-дисках, флэш-носителях и т.д.) долговременной внешней памяти для хранения вне сеансов уполномоченных субъектов доступа. Необходимо выполнить принудительную очистку областей внешней памяти, содержащих ранее незашифрованную информацию. Доступ субъектов к операциям шифрования и соответствующим криптографическим ключам должен далее контролироваться подсистемой управления доступом. Порядок работы с ключевыми материалами криптографических систем защиты информации регулируется;
– использование различных ключей шифрования для групп пользователей в соответствии с их полномочиями для доступа к защищенным ресурсам при использовании криптографических средств для контроля доступа уполномоченных пользователей к информационным ресурсам «закрытого» контура. Ключи шифрования должны быть защищены;
– формирование и проверка ЭЦП;
– формирование ключевых элементов шифрования для пользователей «закрытого» контура ЛВС, пользователей «открытого» контура и для пользователей «закрытых» контуров взаимодействующих систем ведомственных сегментов;
– управление ключевой информацией и ее распространение;
– криптографическую стойкость и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням защиты и областям их взаимодействия между собой и пользователями других уровней;
– криптографическую защиту межсетевого обмена между ЛВС «закрытого» контура и взаимодействующими системами ведомственных сегментов. Информация должна быть зашифрована перед отправкой по сети. При передаче секретной информации на носителе - перед записью на носитель.
– раздельное шифрование всей конфиденциальной информации, которая записывается на совместно используемую различными субъектами внешнюю память, а также на съемных носителях данных (компакт-дисках, носителях USB и т. д.
– принудительную очистку участков внешней памяти, содержащих ранее незашифрованную информацию. Доступ субъектов к операциям шифрования и соответствующим криптографическим ключам должен контролироваться подсистемой управления доступом и др.
Должны использоваться сертифицированные средства криптографической защиты.