- •1. Информация, её свойства. Подходы к измерению количества информации.
- •2. Политика информационной безопасности. Инструментарий информационной безопасности
- •3. Понятие системы. Классификация систем
- •4. Понятие сложной системы: элементы и подсистемы, управление и информация, самоорганизация.
- •5. Основные принципы системного подхода при создании сложных систем
- •6. Методология системного подхода при решении задач проектирования ас
- •7. Понятие автоматизированной информационной системы (аис). Классификация аис.
- •8. Структура автоматизированной информационной системы. Функциональная и обеспечивающая части
- •9. Угрозы безопасности ас. Классификация угроз.
- •1. Традиционный шпионаж и диверсии
- •1.1. Подслушивание
- •1.2. Визуальное наблюдение
- •1.3. Методы традиционного шпионажа
- •2. Несанкционированный доступ к информации
- •3. Электромагнитные излучения и наводки
- •4. Несанкционированная модификация структур
- •5 Вредительские программы
- •10. Защита информации в ас от случайных угроз
- •1 Дублирование информации
- •2. Повышение надежности ас
- •3. Создание отказоустойчивых ас
- •4. Блокировка ошибочных операций
- •5. Оптимизация взаимодействия пользователей и обслуживающего персонала с ас
- •6. Минимизация ущерба от аварий и стихийных бедствий
- •11. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Система охраны объекта ас
- •12. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Организация работ с конфиденциальными информационными ресурсами на объектах кс
- •13. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Противодействие наблюдению в оптическом диапазоне
- •14. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Противодействие подслушиванию
- •15. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Средства борьбы с закладными подслушивающими устройствами
- •1. Средства радиоконтроля помещений
- •2. Средства поиска неизлучающих закладок
- •3. Средства подавления закладных устройств
- •16. Методы и средства защиты информации в ас от традиционного шпионажа и диверсий. Защита от злоумышленных действий обслуживающего персонала и пользователей
- •17. Методы защиты от несанкционированного изменения структур ас. Защита от закладок при разработке программ
- •1. Современные технологии программирования
- •2 Автоматизированная система разработки программных средств
- •3. Контрольно-испытательный стенд
- •4 Представление готовых программ на языках высокого уровня
- •5 Наличие трансляторов для обнаружения закладок
- •18. Методы защиты от несанкционированного изменения структур ас. Защита от внедрения аппаратных закладок на этапе разработки и производства
- •19. Методы защиты от несанкционированного изменения структур ас. Защита от несанкционированного изменения структур ас в процессе эксплуатации
- •1.3 Противодействие несанкционированному подключению устройств
- •1.4 Защита внутреннего монтажа, средств управления и коммутации от несанкционированного вмешательства
- •1.5 Контроль целостности программной структуры в процессе эксплуатации
- •20. Защита информации в ас от несанкционированного доступа. Система разграничения доступа к информации в ас
- •1 Управление доступом
- •1.2. Состав системы разграничения доступа
- •1.3. Концепция построения систем разграничения доступа
- •1.4. Современные системы защиты пэвм от несанкционированного доступа к информации
- •21. Защита информации в ас от несанкционированного доступа. Система защиты программных средств от копирования и исследования
- •1. Методы, затрудняющие считывание скопированной информации
- •2. Методы, препятствующие использованию скопированной информации
- •22. Эффективность защищённой ас. Управление рисками
- •1 Методики оценки рисков
- •1.1 Модель качественной оценки
- •1.2. Количественная модель рисков
- •1.3. Наиболее вероятные атаки
- •23. Архитектура распределённых ас. Особенности защиты информации
- •1. Архитектура распределённых ас
- •2. Особенности защиты информации в ркс
- •2.1. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных ас
- •2.2. Защита информации на уровне подсистемы управления ркс
- •2.3. Подтверждение подлинности информации, получаемой по коммуникационной подсети
- •24. Концепция создания защищённых ас
- •25. 40. Основы построения комплексных систем защиты информации автоматизированых систем
- •26. Научно-исследовательская разработка комплексной системы защиты информации ас
- •27. 38. Моделирование комплексной системы защиты информации ас
- •1 Специальные методы неформального моделирования
- •2 Декомпозиция общей задачи оценки эффективности функционирования ксзи
- •3 Макромоделирование
- •29. Этапы проектирования системы.
- •I вариант: проектирование сзи для новой ас
- •1) Предпроектная стадия
- •2) Разработка проекта сзи
- •3) Ввод в действие сзи
- •II варинт: проектирование сзи для функционирующей системы в ходе её модернизации.
- •30. Организация работ, функции заказчиков и разработчиков.
- •31. Способы представления информации о правах доступа.
- •32. Технические средства силового деструктивного воздействия и основные рекомендации по защите ас от них
- •33. Защита информации в каналах связи
- •1. Межсетевое экранирование
- •2 Подтверждение подлинности взаимодействующих процессов
- •34. Выбор показателей эффективности и критериев оптимальности защиты информации в ас
- •35. Подходы к оценке эффективности защиты информации в ас
- •1 Классический подход
- •2 Официальный подход
- •3 Экспериментальный подход
- •36. Создание организационной структуры защиты информации в ас
- •37. Особенности защиты информации в базах данных
- •39. Организация работ по функционированию систем защиты информации в ас
- •1. Применение ксзи по назначению
- •1.1. Организация доступа к ресурсам ас
- •1.2. Обеспечение целостности и доступности информации в ас
- •2. Техническая эксплуатация ксзи
- •41. Принципы построения защищённых ас
- •42. Средства контроля эффективности защиты информации в ас
- •1. Классификация методов и средств контроля эффективности зи в ас
- •2. Сканеры безопасности ас
- •43. Понятие информационного конфликта
- •44. Принципы проектировния защищенных ас в условиях информационного конфликта
- •2. Принцип рациональной декомпозиции
- •4. Принципы дополнительности и действия
- •5. Принципы консервативности и базовой точки
- •6. Принципы ограниченности целенаправленности поведения и неопределённости
- •45. Типовое содержание работ по этапам создания ас в защищённом исполнении по гост 34.601
- •1. Предпроектная стадия
- •2 Разработка проекта сзи
- •3. Ввод в действие сзи
- •46. Разработка технического задания
- •1 Раздел «Общие положения»
- •2 Раздел «Назначение и цели создания системы»
- •9. Раздел «Источники разработки»
3. Контрольно-испытательный стенд
Одним из наиболее эффективных путей является создание комплексного контрольно-испытательного стенда разрабатываемой системы. Он позволяет анализировать программные средства путем подачи многократных входных воздействий на фоне изменяющихся внешних факторов, с помощью которых имитируется воздействие возможных закладок.Обеспечить всесторонний анализ функционирования разрабатываемого программного средствав условиях воздействия закладок.
Контрольно-испытательный стенд должен отвечать следующим требованиям:
Стенд строится как открытая система, допускающая модернизациюи наращивание возможностей.
Стенд должен обеспечивать адекватность структуры и информационных потоковструктуре.
Необходимо поддерживать взаимозаменяемость программных модулеймодели и реальной системы.
Стенд должен позволять проводить как автономные испытаниямодулей,так и всего программного средства в целом.
4 Представление готовых программ на языках высокого уровня
Программы должны представляться на сертификацию в виде исходных программ на языках высокого уровня и в виде выполняемого модуля. Наличие программы на языке высокого уровня значительно упрощает процесс контроля программы на отсутствие закладок.
Проверка программных средств осуществляется с помощью специальных программ, которые позволяют автоматизировать анализ на ошибки и закладки.
Особое внимание уделяется участкам программ, написанных на языках более низкого уровня, а также попыткам выполнения действий в обход операционной системы(если это допускает система программирования).
5 Наличие трансляторов для обнаружения закладок
Выполняемые модули программных средств проверяются в процессе сертификации на специальных аппаратно-программных стендах, способных имитировать функционирование испытываемого программного средства на допустимом множестве входных и внешних воздействий.
При контроле выполняется операция, обратная транслированию - дизассемблирование.
Для упрощения анализа выполняемых модулей применяются также отладчики, программы - трассировщики, которые позволяют проконтролировать последовательность событий, порядок выполнения команд.
18. Методы защиты от несанкционированного изменения структур ас. Защита от внедрения аппаратных закладок на этапе разработки и производства
Аппаратные закладки могут внедряться не только в процессе разработки и модернизации, но и в процессе серийного производства, транспортирования и хранения аппаратных средств.
1. Необходимо обеспечить всестороннюю проверку комплектующих изделий, поступающих к разработчику (производителю) извне. Комплектующие изделия должны подвергаться тщательному осмотруи испытанию на специальных стендах. Для исследования неразборных конструкций (микросхем, конденсаторов, резисторов, печатных плат и др.) используютсярентгеновские установки.
2. В процессе производства основное внимание уделяется автоматизации технологических процессови контролю за соблюдением технологической дисциплины. Особо ответственные операции могут производиться под наблюдением должностных лиц с последующим документальным оформлением.
3. Этапы разработки, производства и модернизации аппаратных средств АСзавершаются контролем на наличие конструктивных ошибок, производственного брака и закладок.
4. Блоки и устройства, успешно прошедшие контроль, хранятся и транспортируютсятаким образом,чтобы исключалась возможность внедрения закладок.