- •1. Структура информационных ресурсов и соответствующих законодательных актов.
- •2. Государственная тайна и ее защита.
- •3. Федеральные требования по защите информации.
- •4. Уголовный кодекс рф и информационная безопасность.
- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •14. Подход клиент/сервер и информационная безопасность.
- •15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •4. Перехват трафика внутри сети:
- •1. Доступ к каналам связи:
- •2. Внешние атаки через internet:
- •3. Доступ через Internet с мобильного пользователя:
- •20. Проектирование средств защиты информации. Вертикальная структура.
4. Перехват трафика внутри сети:
1) Замена устройств типа Hub коммутаторами, где пакеты идут по специализированному маршруту, конкретно заданной машине.
5. Доступ к информации: несанкционированный доступ к информации, т.е. возможность доступа пользователя к той информации, которую он знать не должен:
Дискретный доступ к информации (создание для пользователей уникальных имени и пароля);
Идентификация должна осуществляться с уровня ОС. При этом на изменение параметров Bios уже должен быть выставлен пароль. Система должна быть защищена на всех уровнях (звеньях) – клиент, сервер-приложение, СУБД.
Требования к паролям пользователей:
пароль не должен быть простым, т.е. такой комбинацией символов, которую можно легко угадать, зная пользователя;
желательно чтобы пароль состоял как из чисел, и букв, а также из специальных символов;
пароль должен быть легко запоминаем пользователем во избежание его записи на бумаге;
пароли должны быть длиннее 6 символов (лучше 9-10);
необходимо предусмотреть периодическую смену паролей пользователей (не реже 1 раз в месяц, пароли при смене не должны повторяться);
желательно установить пароль на BIOS.
Хранение конфиденциальной информации в отдельной таблице БД.
6. Порча кабеля ЛВС: физическая порча кабеля (например, обрыв, электро-магнитные наводки):
Кабель должен быть проложен так, чтобы к нему не было физического доступа;
Не прокладывать кабель вблизи с силовыми кабелями;
Использовать экранированный кабель “витая пара”.
Внешние угрозы:
1. Доступ к каналам связи:
Использование технологии VPN (virtual private network). В сети предприятия VPN реализуется программно-аппаратно: пакет с помощью технологии VPN кодируется на маршрутизаторе отправителя (пакет в пакет, инкапсуляция пакетов) и расшифровывается на маршрутизаторе получателя.
2. Внешние атаки через internet:
Если не требуется постоянного доступа в Internet, то можно установить отдельно выделенный компьютер, который не подключен в общую сеть;
Если требуется дать доступ из ЛВС в Internet, то должна быть одна точка выхода;
На FireWall маршрутизатора прописать каким пользователям, что доступно.
3. Доступ через Internet с мобильного пользователя:
FireWall;
VPN.
20. Проектирование средств защиты информации. Вертикальная структура.
Для повышения надёжности защиты информации в сети необходимо защищать её на каждом уровне модели OSI.
Физический уровень
Данный уровень отвечает за кодирование передаваемых сигналов. В идеале для исключения возможности воздействия различных электромагнитных наводок, необходимо использовать специальные экранированные провода. Вокруг проводов передачи данных образуется электромагнитное поле, которое позволяет с помощью специальных устройств считывать передаваемую информацию. Для устранения данной угрозы провода необходимо прокладывать как можно дальше от окон.
Канальный уровень
На данном уровне происходит работа с МАС-адресами сетевых интерфейсов (адресами сетевых карт). Администратору необходимо осуществить привязку МАС-адреса к конкретным портам активного оборудования, например, коммутатора (при использовании устройства типа Hub этого сделать нельзя). Такая привязка исключает возможность подмены рабочего места пользователя.
Сетевой уровень
Этот уровень отвечает за маршрутизацию, т. е. за выбор оптимального пути доставки пакета данных адресату. В соответствии с этим целесообразно разбить сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), так как, не всем пользователям нужен постоянный доступ ко всем ресурсам.
Такое разбиение предполагает, что группы пользователей, относящихся к конкретному сегменту, будут иметь дело только с той конфиденциальной информацией, которая им необходима. Сегментация сети позволяет: уменьшить общий сетевой трафик (загрузку сети); увеличить гибкость сети; повысить безопасность данных; упростить управление сетью.
Транспортный уровень
Подобно механизму защиты на сетевом уровне, здесь также используются ACCESS-листы, однако в них можно указывать не только адреса сетей, но и адреса конкретных сервисов. Обязательно в конце любого ACCESS – листа необходимо указать «Все остальное запретить». Такие списки доступа настраиваются на серверах.
Прикладной уровень
Данный уровень сетевой модели отвечает за взаимодействие пользовательского приложения с сетью. На данном уровне необходимо осуществлять идентификацию и аутентификацию пользователей.
Кроме того, необходимо предусмотреть очистку памяти после выполнения задач, связанных с защищаемой информацией. Также на данном уровне производится разделение прав доступа пользователей к информации на сервере.