- •Ответы к экзаменационным вопросам по курсу «Информационная безопасность»
- •Понятие «информация». Свойства информации. Почему ее необходимо защищать?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Характеристика этих методов.
- •Система правового обеспечения защиты информации рф.
- •Федеральный закон (фз) №5485 «о государственной тайне»: область применения и действия, основные обязанности и ответственность должностных, работающих с государственной тайной.
- •1. Верховный Совет Российской Федерации:
- •2. Президент Российской Федерации:
- •3. Правительство Российской Федерации:
- •5. Органы судебной власти:
- •Фз №152 «о персональных данных»: основные понятия и положения закона, обязанности и ответственность должностных лиц, работающих с персональными данными.
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •Фз № 98 «о коммерческой тайне»: область применения и основные положения закона.
- •Федеральный закон Российской Федерации 27 июля 2006 года n 149-фз "Об информации, информационных технологиях и о защите информации" область применения и основные положения.
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •1 Область применения
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006 : назначение и основные положения стандарта.
- •Основные активы организации, рассматриваемые с позиции защиты информации.
- •Основные механизмы защиты информации (стандарты исо 17799 и исо 13335).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •Какие другие механизмы защиты информации используются на практике? обеспечения.
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Какие направления включает в себя комплекс мер по защите информации?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Информационные риски: определение, особенности, методы измерения.
- •Рекомендации стандартов исо 17799-3 и исо 13335-3 по анализу и обработке информационных рисков. Достоинства и недостатки методик обработки рисков в этих стандартах.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации? Специалист по защите информации
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Простая перестановка
- •Одиночная перестановка по ключу
- •Двойная перестановка
- •Перестановка «Магический квадрат»
- •Проблемы использования симметричных криптосистем. Достоинства
- •Недостатки
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Принципы обеспечения целостности информации Кларка и Вильсона.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
-
Конфиденциальность информации и механизмы ее обеспечения.
Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.
Авторизация предполагает:
Идентификацию – логин
Аутентификацию – пароль
Конфиденциальность (ФЗ №149) – обязательное для выполнения лицом, получившим доступ к информации, требование не передавать информацию другим лицам без согласия ее обладателя.
Механизмы обеспечения:
- Путем идентификации и аутентификации пользователя (пароль, смарт-карты, и т.п.);
- Разграничение доступа к информации, активам организации;
- Криптографическими методами обеспечения конфиденциальности информации (для конфиденциальной информации);
- Методы защиты внешнего периметра охраняемой зоны (при необходимости);
- Протоколирование и аудит (при включении как минимум механизма «Н»).
-
Целостность информации и механизмы ее обеспечения.
Целостность – обеспечение достоверности и полноты информации и методов ее обработки (ИСО 17799).
Целостность – состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на это право.
Механизмы обеспечения:
- Корректность транзакций (невозможность произвольной модификации);
- Аутентификация пользователей;
- Минимизация привилегий;
- Разделение обязанностей (двойное управление);
- Аудит событий;
- Объективный контроль;
- Управление передачей привилегий.
Криптографические методы обеспечения целостности информации:
- цифровые подписи (зашифрованный хэш, который добавляется к документу);
- криптографические хеш-функции;
- коды проверки подлинности.
-
Доступность информации и механизмы ее обеспечения.
Доступность – обеспечение доступа к информации и связанным с ней активам авторизованным пользователям по мере необходимости.
Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут получать ее беспрепятственно.
Механизмы обеспечения:
- дублирование каналов связи;
- дублирование шлюзов и межсетевых экранов;
- резервное копирование;
- восстановление среды.
-
Какие другие механизмы защиты информации используются на практике? обеспечения.
Достоверность информации - в криптографии - общая точность и полнота информации. Достоверность информации обратно пропорциональна вероятности возникновения ошибок в информационной системе.
Достоверность информации - свойство информации быть правильно воспринятой. В общем случае достоверность информации достигается:
- указанием времени свершения событий, сведения о которых передаются;
- сопоставлением данных, полученных из различных источников;
- своевременным вскрытием дезинформации;
- исключением искаженной информации и др.
неотказуемость или апеллируемость — невозможность отказа от авторства;
подотчётность — обеспечение идентификации субъекта доступа и регистрации его действий;
достоверность — свойство соответствия предусмотренному поведению или результату;
аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Обеспечение:
* Средства защиты от несанкционированного доступа (НСД):
-
Средства авторизации;
-
Мандатное управление доступом;
-
Избирательное управление доступом;
-
Управление доступом на основе ролей;
-
Журналирование (так же называется Аудит).
* Системы анализа и моделирования информационных потоков (CASE-системы).
* Системы мониторинга сетей:
-
Системы обнаружения и предотвращения вторжений (IDS/IPS).
-
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
* Анализаторы протоколов.
* Антивирусные средства.
* Межсетевые экраны.
* Криптографические средства:
-
Шифрование;
-
Цифровая подпись.
* Системы резервного копирования.
* Системы бесперебойного питания:
-
Источники бесперебойного питания;
-
Резервирование нагрузки;
-
Генераторы напряжения.
* Системы аутентификации:
o Пароль;
o Сертификат;
o Биометрия (создание механизма однозначной идентификации человека по отпечаткам, геометрии руки, строению кровеносных сосудов, термографии лица, форме лица, голосу, подписи, динамике печатанья, походке, радужной оболочке глаза, сетчатке глаза).
-
Средства предотвращения взлома корпусов и краж оборудования.
-
Средства контроля доступа в помещения.
-
Инструментальные средства анализа систем защиты:
-
Мониторинговый программный продукт.