- •Вопросы к экзамену по оиБвИс
- •Второй блок
- •Каково место информационной безопасности в системе национальной безопасности Российской Федерации?
- •Сформулируйте основные положения доктрины информационной безопасности рф.
- •Каковы основные цели защиты информации?
- •Каковы основные задачи в области информационной безопасности?
- •Какова структура государственной системы защиты информации?
- •Кто несет ответственность за нарушение режима защиты информации?
- •Каковы функции руководителей предприятий при организации защиты информации?
- •Каковы основные функции фстэк?
- •Покажите роль различных министерств и ведомств в вопросах защиты информации.
- •1. Введение в этический хакинг, определение, основные цели, основные принципы.
- •2. Понимание кибератак и уязвимостей, природа кибератак, уязвимости и эксплойты.
- •3. Роль технических навыков в этичном хакерстве, примеры кибератак.
- •Понятие аудита безопасности ис, определение, цели, порядок проведения аудита ис. Стандарты безопасности при проведении аудита.
- •4 Лекция
- •Аудит информационной безопасности (иб) систем ip-телефонии. Методы аудита иб систем ip-телефонии. Нормативная база. Инструментарий аудита иб систем ip-телефонии.
- •Политика информационной безопасности. Системное содержание политики информационной безопасности Итерационный процесс разработки и реализации политики иб.
- •Структура политики информационной безопасности организации. Политика удаленного доступа. Процедура реагирования на события. Процедура управления конфигурацией.
- •Разработка политики безопасности организации. Основные требования к Политике безопасности. Схема разработки политики безопасности. Компоненты архитектуры безопасности.
- •Принципы обеспечения безопасности периметра сети телекоммуникационной системы.
- •Регулирование правил работы скуд. Нормативные документы. Рекомендации. Средства. Аудит.
- •Регулирование правил удаленного доступа средствами vpn. Законодательные нормы. Рекомендации. Средства.
- •Контроль безопасности конечных устройств. Методы. Средства. Правила. Угрозы.
- •Контроль безопасности ip-телефонии. Угрозы. Методы защиты. Средства. Рекомендации.
- •Роль стандартов информационной безопасности. Потребители. Производители. Эксперты по квалификации и специалисты по сертификации.
- •Принципы построения Государственных стандартов в области иб рф. Приоритет экономических факторов. Открытость проектирования. Юридическая значимость коммерческой информации.
- •Российские стандарты, регулирующие иб.
- •Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408.
- •Часть 1: Концептуальные основы и методология оценки.
- •Часть 2: Безопасностные функциональные требования.
- •Часть 3: Требования к процессу оценки.
- •Оранжевая книга. Международный стандарт iso/iec 15408. Критерии оценки безопасности информационных систем.
- •Стандарты iso/iec 17799:2002 (bs 7799:2000), Стандарт iso/iec 27001.
- •Стандарты для беспроводных сетей. Стандарт ieee 802.11. Стандарт ieee 802.11b. Стандарт ieee 802.11a. Стандарт ieee 802.11g. Стандарт ieee 802.11i.
- •Протоколы ssl, ipSec, set, pki.
- •Угрозы информационной безопасности в информационных системах. Задача обеспечения информационной безопасности ис.
- •Что относится к технологиям информационной защиты? Каковы цели средств информационного оружия?
- •Основные понятия информационной безопасности. Основные составляющие информационной безопасности.
- •Взаимодействие основных субъектов и объектов обеспечения информационной безопасности, и определения.
- •Определение политики безопасности по гост р исо/мэк 15408-1-2012. Понятия информационной безопасности и их взаимосвязь.
- •Лекция 1
- •Основные понятия защиты информации
- •Угрозы информационной безопасности в информационных системах, определение анализ и классификация угроз информационной безопасности
- •Классификация возможных угроз информационной безопасности.
- •Основные определения и критерии, угрозы целостности и конфиденциальности.
- •Какие цепочки цепочек обработки пакетов существуют в Dionis-nx? Какова их основная задача?
- •Что определяет порядок расположения правил в списке? в каком порядке система просматривает список правил?
- •Какой командой удаляется правило из списка?
- •Вспомните, по каким параметрам осуществляется фильтрация iр-датаграмм в Dionis-nx?
- •Можно ли заблокировать удаленный доступ к Dionis-nx по протоколу ssh при помощи списка доступа на этом Dionis-nx?
- •Какой трафик и почему будет заблокирован при установке списка доступа следующего содержания на вход интерфейса?
- •Какие типы nat используются в Dionis-nx? Какова их основная задача?
- •Ответы по первому блоку лаба 1
- •2. Что должен содержать аттестат соответствия?
- •3. Назовите порядок проведения аттестации объектов информатизации по требованиям безопасности информации.
- •4. Какие документы предоставляет заявитель для проведения испытаний органу по аттестации?
- •5. Какие функции осуществляет фстэк в рамках системы аттестации?
- •2. Каким документом определяются требования к защите персональных данных?
- •1) Структура нормативных документов предприятия.
- •2) Какой документ по защите информации является первичным нормативным актов на предприятии?
- •3) Законы, регулирующие порядок работы с конфиденциальной информаицей.
- •4) Что регулирует закон об архивном деле?
- •5) Что регулирует Федеральный закон «о защите персональных данных?
- •6) Что регулирует Федеральный закон «о коммерческой тайне»?
- •7) Что регулирует Федеральный закон «о связи»?
- •8) Общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации.
- •2. Какая главная цель создания сзи?
- •4. Какие исходные данные используются для составления плана по улучшению защищённости объекта информатизации?
- •5. Какими документами должен руководствоваться специалист по защите информации при составлении плана мероприятий по улучшению защищённости объекта информатизации?
- •1) Основные компоненты подсистемы защиты базы данных.
- •2) Какие наиболее общие подходы к вопросу обеспечения безопасности данных поддерживаются в современных субд?
- •3) Наиболее известные современные субд.
- •4) Алгоритм проверки аутентификации пользователя в mssqlServer.
- •5) Для чего используется механизм разграничения доступа на уровне субд?
- •1) Что называется телекоммуникационной инфраструктурой предприятия?
- •2) Основные уровни модели osi, используемые для защиты телекоммуникационной инфраструктуры.
- •3) Основные компоненты защищённой телекоммуникационной инфраструктуры.
- •4) Основные методы защиты телекоммуникационной инфраструктуры на канальном уровне.
- •5) Основные методы защиты телекоммуникационной инфраструктуры на сетевом уровне.
- •1) Что называется системой управления информационной безопасностью?
- •2) Какие стадии включает в себя процесс контроля целостности системы защиты информации?
- •3) Основные компоненты системы управления информационной безопасностью.
- •4) Основные методы защиты систем управления информационной безопасностью.
- •1) Порядок проведения испытаний системы защиты.
- •2) Порядок разработки методики испытаний.
- •3) Какой нормативный документ устанавливает 7 классов защищенности средств защиты информации?
- •4) Порядок тестирования функций мэ.
- •5) Каким рядом заметных достоинств обладает программный комплекс «Сканер-вс»?
Часть 1: Концептуальные основы и методология оценки.
Определяет общие понятия, концепции и терминологию, используемые в рамках стандартов Common Criteria. Включает классификацию объектов оценки (например, операционные системы, базы данных, приложения и устройства связи).
Основные компоненты части 1 включают:
- Определение целей оценки,
- Типы угроз и рисков,
- Методы защиты и механизмы безопасности,
- Оценочные уровни доверия (EALs),
- Основные требования к продуктам ИТ и процессам разработки.
Часть 2: Безопасностные функциональные требования.
Предоставляет детализированные рекомендации относительно функциональности и характеристик безопасности продукта. Эти требования охватывают широкий спектр аспектов безопасности, включая управление доступом, аутентификацию пользователей, шифрование данных, защиту от атак и аудит действий.
Типичные категории функциональных требований включают:
- Идентификация и аутентификация,
- Управление доступом,
- Конфиденциальность и целостность данных,
- Аудит и регистрация действий,
- Устойчивость к отказам и восстановление после сбоев.
Часть 3: Требования к процессу оценки.
Регламентирует процессы и процедуры оценки безопасности ИТ-продуктов и систем. Описывает методы тестирования, анализа документации и проверки соответствия требованиям безопасности.
Основные этапы процесса оценки:
- Анализ спецификаций и проектной документации,
- Проведение тестов и экспериментов,
- Проверка наличия уязвимостей и недостатков,
- Подготовка отчетов и сертификатов соответствия стандартам.
Практическое применение:
Стандарт используется организациями для сертификации продукции, особенно критически важной инфраструктуры, государственных учреждений и оборонных предприятий. Продукты, прошедшие сертификацию по ГОСТ Р ИСО/МЭК 15408, признаются безопасными и надежными для эксплуатации в условиях повышенного риска кибератак и утечек конфиденциальной информации.
Примеры сертифицированных решений:
- Операционные системы Linux и Windows Server,
- Средства криптографической защиты данных,
- Брандмауэры и антивирусные программы,
- Программные комплексы управления идентификацией и доступом.
Оранжевая книга. Международный стандарт iso/iec 15408. Критерии оценки безопасности информационных систем.
Международный стандарт ISO/IEC 15408, известный как Common Criteria for Information Technology Security Evaluation («Общие критерии»), является одним из ключевых документов, используемых для оценки безопасности информационных технологий и систем. Хотя часто возникает путаница с названием «Оранжевая книга», важно понимать различия между этими двумя стандартами.
Термином «Оранжевая книга» обозначают документ под названием Trusted Computer System Evaluation Criteria (TCSEC) («Критерии оценки доверенных компьютерных систем»). Она была разработана Министерством обороны США в 1985 году и представляла собой руководство по оценке безопасности компьютерных систем. Документ получил прозвище «Оранжевая книга» благодаря своему оранжевому цвету обложки.
Главная цель TCSEC: установить классификации уровней безопасности для компьютерной техники и программного обеспечения, исходя из степени защищённости систем от несанкционированного доступа и взлома.
Стандарты TCSEC включали четыре основных класса безопасности:
- D класс (Minimal Protection)
- C классы (Discretionary Protection)
- B классы (Mandatory Protection)
- A класс (Verified Protection)
Эти классы определяли степень контроля доступа, целостности данных и механизмов аудита, необходимых для каждой группы систем.
Однако, несмотря на свою популярность и широкое использование, «Оранжевая книга» имела ряд ограничений и устаревала по мере развития технологий. Поэтому возникла необходимость разработать новый международный стандарт, учитывающий современные угрозы и тенденции в области информационной безопасности.
Международные стандарты: ISO/IEC 15408 (Common Criteria)
Международный стандарт ISO/IEC 15408 был разработан совместными усилиями международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC) и стал заменой «Оранжевой книге».
Цель Common Criteria: создание универсального набора критериев и методов оценки безопасности информационных технологий и систем независимо от географического региона и конкретного производителя оборудования или ПО.
Этот стандарт включает три основные части:
1) Концептуальная основа и методология оценки. Эта часть определяет ключевые термины, концептуальные модели и общую структуру оценки безопасности.
2) Безопасностные функциональные требования. Здесь представлены конкретные требования к различным компонентам ИТ-инфраструктуры, таким как средства идентификации и аутентификации, контроль доступа, защита конфиденциальности и целостности данных, обработка ошибок и аварийных ситуаций.
3) Требования к процессу оценки. Данная часть описывает методики и подходы к проведению оценочных мероприятий, включая тестирование, проверку исходного кода и анализ технической документации.
ISO/IEC 15408 охватывает более широкие сферы, чем «Оранжевая книга», включая сетевые технологии, мобильные устройства, облачные сервисы и другие элементы современной ИТ-инфраструктуры
Применение стандартов:
Несмотря на некоторые сходства, Common Criteria значительно превосходит «Оранжевую книгу» по уровню охвата современных технологий и гибкости подходов к оценке безопасности. Сегодня большинство крупных производителей и поставщиков ИТ-решений используют именно этот международный стандарт для сертификации своей продукции.