- •2. Основні компоненти ризику.
- •3. Інформаційна складова ризику.
- •4. Поняття інформаційного ризику.
- •5. Показники якості інформації.
- •6. Дія інформаційних ризиків на процес функціонування підприємства.
- •7. Інформаційні ризики.
- •8. Мінімізація іт - ризиків.
- •9. Якість інформації.
- •10. Загрози безпеки інформації.
- •11. Шкідливі програми, та їх класи.
- •14. Криптографічний захист інформації.
- •15. Віруси, їх типи та класифікація.
- •16. Виявлення вірусів та блокування роботи програм-вірусів, усунення наслідків.
- •17. Профілактика зараження вірусами кс.
- •18. Особливості захисту інформації в бд.
- •19. Моделювання загроз.
- •20. Зниження ризиків.
- •21. Кількісна оцінка моделей загроз.
- •22. Нешкідливі, небезпечні, дуже небезпечні віруси.
- •23. Профілактика зараження вірусами кс.
- •25. Особливостізахисту інформації в бд.
- •27. Попередження можливих загроз і протиправних дій.
- •28. Способи запобігання розголошення.
- •29. Захист інформації від витоку по течнічним каналам.
- •30. Захист від витоку по візуально-оптичним каналам.
- •31. Реалізація захисту від витоку по акустичним каналам.
- •33. Захис від витоку за рахунок мікрофрнного ефекту.
- •34. 10 Основних ризиків при розробці пз.
- •35. Аналіз ризиків.
- •36. Цикли тотальної інтеграції.
- •37. Інтегральна безпека та її особливості.
- •38. Інтегральні системи управління технічними засобами.
- •39. Біометричні технології стз.
- •40. Цифрові методи і технології в стз.
- •41. Смарт-карти в ст.
- •43. Скриті цифрові маркери та вимоги до них.
- •44. Перспективні стеганографічні технології.
- •45. Енергоінформаційні технології.
- •46. Сучасні методики розробки політик безпеки.
- •47. Модель побудови корпоративної системи захисту системи інформації.
- •48. Мініатюризація та нанотехнології у сфері іот.
- •49. Інтелектуалізація і автоматизація у сфері іот.
- •50. Тенденції універсалізації у сфері іот.
- •51. Динаміка можливостей потенційних зловмисників у найближчій перспективі.
- •52. Перевірка пристроїв на наявність модулів з несанкціонованими діями.
- •53. Використання потенційними зловмисниками факторів збільшення продуктивності обчислювльних систем (ос).
- •54. Можливості інтелектуалізації функцій обчислювальної системи з точки зору вразливості Обчислювальних систем.
- •55. Співвідношення засобів захисту і засобів нападу на обчислювальну систему.
- •56. Актуальність методів шифрування мовного трафіку.
- •57. Зростання мережевих швидкостей і безпека іт.
- •58. Багатофункціональні пристрої та інтеграція захисних механізмів в інфраструктуру.
- •59. Молекулярна обчислювальна техніка.
- •60. Штучний інтелект і перспективна обчислювльна техніка.
- •61. Нейронні мережі і перспективна обчислювальна техніка.
- •62. Квантовий комп’ютер, переваги технології.
- •63. Технологія Інтернет-2.
- •64. Ціль оцінки ризику.
- •65. Табличні методи оцінки ризиків компанії.
- •66. Оцінка ризиків на основі нечіткої логіки.
- •67. Програмні засоби оцінки ризиків на основі нечіткої логіки.
- •68. Цінність інструментальних методів аналізу ризиків.
- •70. Інструментальний засіб cram.
- •71. Система cobra.
- •73. Програмний комплекс гриф.
- •74. Комплексна експертна система "АванГард".
- •75. Апаратно-програмний комплекс шифрування "Континент".
- •76. Засоби захисту інформації від несанкціонованого доступу.
- •77. Захист від витоків по технічним каналам.
- •78. Засоби активного захисту акустичної мовної інформації.
- •79. Вимоги нормативних документів до реалізації прикладного рівня рівня захисту.
- •80. Принципова особливість захисту інформації на прикладному рівні.
- •Что такое ксзи «Панцирь-к» для ос Windows 2000/xp/2003?
- •Ксзи «Панцирь-к» предоставляет следующие возможности:
- •Почему ксзи «Панцирь-к» оптимальное решение?
- •Почему ксзи «Панцирь-к» эффективное средство защиты?
- •1. Механизмы формирования объекта защиты.
- •2. Механизмы защиты от инсайдерских атак.
- •Решение механизмами защиты ксзи:
- •3.Механизмы защиты от атак на уязвимости приложений.
- •Решение механизмами защиты ксзи:
- •4. Механизмы защиты от атак на уязвимости ос.
- •Решение механизмами защиты ксзи:
- •Как сравнить ксзи «Панцирь-к» с иными средствами защиты?
- •82. Альтернативна задача захисту інформації від нсд.
- •83. Робота адміністратора безпеки.
- •84. Інтерфейс настройки сценаріїв автоматичної реакції на стрічку подій.
- •85. Рівнева модель захисту інформації.
- •86. Засоби архівування інформації як програмний засіб захисту даних.
- •87. Програмні засоби захисту інформації.
- •Программные средства защиты информации
- •88. Основні засоби захисту інформації.
- •89. Організаційні засоби захисту інформації.
- •90. Змішані засоби захисту інформації.
- •91. Технічні засоби захисту інформації.
- •Защита телефонных аппаратов и линий связи
- •Блокиратор параллельного телефона
- •Защита информации от утечки по оптическому каналу
- •Адаптер для диктофона
- •92. Захист інформації від несанкціонованого доступу.
- •93. Захист інформації від копіювання та руйнування.
- •94. Існуючі підходи до управління ризиками.
- •95. Оцінка ризиків.
- •96. Кількісна оцінка ризиків.
- •98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
- •99. Процесна модель управління ризиками.
- •100. Інструментарій для управління ризиками.
- •101. Сутність поняття "інформаційна безпека".
- •Содержание понятия
- •] Стандартизированные определения (для дцтд4-1)
- •Существенные признаки понятия
- •Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •Объём (реализация) понятия «информационная безопасность»
- •102. Організаційно-технічні і режимні заходи і засоби захисту інформації. Организационно-технические и режимные меры и методы
- •103. Програмно-технічні способи і засоби забезпечення інформаційної безпеки. Засоби та методи захисту інформації
- •104. Організаційний захист об’єктів інформаціїї.
- •105. Цивільно-правова відповідальність за порушення інформаційної безпеки сайтів мережі Інтернет. Гражданско-правовая ответственность за нарушения информационнойбезопасности сайтов сети Интернет
- •106. Історичні аспекти виникнення і розвитку інформаційної безпеки.
- •107. Засоби захисту інформації.
- •108. Апаратні засоби захисту інформації.
- •Технические средства защиты информации
19. Моделювання загроз.
Термін "моделювання загроз" має безліч значень. Для відповіді на питання "що таке моделювання загроз"? я скористаюся дескриптивним підходом і опишу, як може використовуватися цей термін, замість того, щоб намагатися підібрати для нього одне строге визначення. Отже, розглянемо найбільш поширені значення: термін " загроза" використовується для позначення як зловмисників, тобто людей, що атакують систему, так і ризиків, тобто тих небажаних подій, які можуть статися. Моделювання загроз може відноситися як до методики встановлення вимог до системи("яка прийнята Вами модель загроз"?), так і до методики конструкторського аналізу("дозвольте поглянути на Ваш аналіз моделі загроз"?). Крім того, моделювання загроз може будуватися на розгляді ресурсів, зловмисників або програмного забезпечення. Моделювання загроз, орієнтоване на ресурси, часто включає різні рівні оцінки, апроксимації або ранжирування ризиків. Моделювання загроз з акцентом на зловмисниках іноді включає ранжирування ризиків або оцінку ресурсів, можливостей і мотивацій(виконання таких оцінок представляє украй складне завдання для розробників пакетів програм широкого застосування, оскільки різноманітність варіантів використання тягне і різноманітність загроз, пов'язаних з кожним конкретним застосуванням). Кожен підхід до моделювання загроз має свої сильні і слабкі сторони, на яких я при необхідності зупинятимуся, пояснюючи деякі інші аспекти або описуючи отриманий досвід. Крім того, про моделювання загроз можна говорити стосовно аналізу програмних продуктів, організаційних мереж, систем або навіть промислових секторів. Моделювання протоколів часто виконується з використанням різноманітних формальних методів, іноді званих моделями мережевих загроз. Термін "моделювання мережевих загроз" також використовується при аналізі розгорнутої мережі. Нарешті, моделювання загроз може виконуватися експертами по безпеці з подальшою передачею результатів інженерам, спільно експертами і інженерами або одними інженерами без участі експертів. Фахівці з безпеки можуть засумніватися в цінності останнього підходу. Проте, існує, принаймні, дві причини, по яких варто проводити моделювання загроз без експертів. По-перше, експерти можуть бути просто відсутніми в організації по фінансових або іншим причинам. По-друге, залучення до процесу моделювання людей, які розроблятимуть систему, але які не є фахівцями з безпеки, дозволяє їм відчути свою причетність до захисту системи і набути розуміння моделі безпеки. Моделювання загроз включає безліч різних процедур по виявленню вимог до безпеки системи і по аналізу різних схем захисту. Не існує одного " кращого" або " правильнішого" методу моделювання загроз, навпаки, необхідно поєднувати і комбінувати різні альтернативи для того, щоб досягти явно заданих або прихованих цілей.
Сучасна методологія SDL . Сучасна методологія моделювання загроз в SDL є процесом, що складається з чотирьох етапів, розроблений для того, щоб скоротити об'єм експертних оцінок безпеки, які потрібні інженерам для побудови моделі загроз і упевненості в тому, що усі серйозні загрози дійсно були визначені. Цілями цієї процедури є підвищення рівня безпеки розробок, документування подій, пов'язаних із захистом продуктів, і навчання працівників питанням захисту системи в процесі розробки. Метод включає чотири основні етапи: побудову діаграм, перерахування загроз, зниження ризиків і перевірку.
Моделювання загроз як tabula rasa. Багато фахівців, маючи своє уявлення про те, як повинне виглядати моделювання загроз(термін, що має, як я вже відмітив в розділі 1.1, безліч значень), утілили ці представлення у своїх методологіях і доповненнях до існуючих методів. Найчастіше такі доповнення створюються без урахування і усвідомлення того, які витрати знадобляться на їх впровадження, які приношувані ними вигоди і витрати. Приклад - впровадження методики оцінки ризиків DREAD. Для деяких систем ця методика працює, але при моделюванні загроз з акцентом на програмному забезпеченні методика DREAD починає вводити числові змінні, не задаючи їх області визначення, що призводить до небезпеки прийняти оцінку ризиків за алгоритмічну, тоді як вона такий не являється. Проте, SDL- моделювання загроз в Microsoft явно потребує методики управління рисками, і тому DREAD була впроваджена.
Кількісна оцінка моделей загроз. Сьогодні нами створюється величезна кількість моделей загроз. Існує декілька тривіальних параметрів, які ми МОЖЕМО виміряти кількісно(число елементів, різні заходи повноти і словесного наповнення). Набагато складнішими є питання про те, які параметри ми ПОВИННІ вимірювати і ЧОМУ. Які властивості моделі загроз найточніше показують, чи досягнуті поставлені нами цілі аналізу, забезпечення безпеки і навчання? Говорячи інакше, які параметри системи відповідають певній меті і як вони з цими цілями пов'язані? Які витрати знадобляться для виміру таких параметрів? (Невеликий приклад: в одну з наших груп по обговоренню проблем забезпечення безпеки поступив електронний лист з питанням про те, як розв'язати певну проблему. Декілька чоловік відповіло на нього; після короткого обговорення група вибрала один із запропонованих варіантів. Навряд чи якесь з цих рішень було коли-небудь формальне описано і зафіксовано. Зроблений вибір повністю виправдав себе: ми змогли з невеликими витратами підвищити рівень безпеки. Таким чином, документування рішень, що повторюються, не має особливого сенсу.) Чи існує можливість проаналізувати модель і визначити вірогідність, з якою вона повторюється? Які ще підходи до виміру параметрів можуть бути корисні для розробників і фахівців, що займаються ухваленням рішень?