- •Цели функции и задачи защиты информации в компьютерных сетях.
- •Какова роль программного обеспечения промежуточного уровня в распределенных системах?
- •Угрозы в сетях передачи данных. Задачи защиты в сетях передачи данных.
- •Что такое прозрачность (распределения) и приведите примеры различных видов прозрачности?
- •Задачи защиты информации на различных уровнях модели osi (вос).
- •Что такое открытая распределенная система, и какие преимущества дает открытость?
- •Особенности защиты информации в вычислительных сетях
- •Разграничение доступа к ресурсам автоматизированной системы на уровне ос.
- •Показатели и методы оценки уязвимости информации в компьютерных сетях.
- •Опишите точно, что такое масштабируемая система.
- •Компоненты компьютерной системы и виды угроз, которым они подвергаются.
- •Защита субд.
- •Недостатки защиты от несанкционированных действий пользователей и программ
- •Какие методики позволяют добиться масштабируемости?
- •Недостатки защиты от потери информации и нарушения работоспособности компьютерной системы
- •Мультипроцессорная и мультикомпьютерная система.
- •Недостатки административного управления сетью
- •Распределенные и сетевые операционные системы.
- •Нападения на постоянные и сменные компоненты системы защиты
- •Использование микроядра в организации операционной системы, работающей в режиме клиент-сервер.
- •Защита памяти. Контроль доступа, ориентированный на данные, и контроль доступа, ориентированный на пользователя.
- •2. Контроль доступа, ориентированный на пользователя
- •3. Контроль доступа, ориентированный на данные
- •Средства защиты от несанкционированного доступа на охраняемую территорию, в помещение и от вскрытия аппаратуры.
- •2. Защита от утечки информации через побочн электромагнитн методы излучения и наводки (пэмин).
- •Трехзвенная архитектура клиент-сервер
- •Защита от утечек информации через пэмин.
- •Горизонтальное и вертикальное распределение
- •Стеганография
- •Защита каналов связи. Межсетевые экраны.
- •Оценка стойкости криптосистем
- •Показатели и методы оценки уязвимости информации в компьютерных сетях
- •Основные принципы парольной защиты.
- •Защита архитектуры клиент-сервер
- •Вредоносные программы
- •Компьютерные вирусы
- •Защита от вредоносных программ
Задачи защиты информации на различных уровнях модели osi (вос).
Опр-я: OSI/BOC – "модель взаимосвязи открытых систем"
Открытая система - это система, которая способна взаимодействовать с другой системой посредством реализации международных стандартных протоколов. Открытыми системами являются как конечные, так и промежуточные системы. Однако открытая система не обязательно может быть доступна другим открытым системам. Эта изоляция может быть обеспечена или путем физического отделения или путем использования технических возможностей, основанных на защите информации в компьютерах и средствах коммуникаций.
Открытая система - это система, реализующая открытые спецификации на интерфейсы, службы и форматы данных, достаточные для того, чтобы обеспечить:
- возможность переноса (мобильность) прикладных систем, разработанных должным образом, с минимальными изменениями на широкий диапазон систем;
- совместную работу (интероперабельность) с другими прикладными системами на локальных и удаленных платформах;
- взаимодействие с пользователями в стиле, облегчающем последним переход от системы к системе (мобильность пользователей).
Защита информации в открытых системах.
Термин "защита информации в открытых системах" звучит как своего рода парадокс. Однако, как известно, защита информации от несанкционированного доступа в той или иной форме необходима всем пользователям (ключи, пароли и т.д. вплоть до вооруженной охраны), в том числе и пользователям открытых систем. При этом уровень необходимой защиты для разных пользователей и разных систем меняется в широком диапазоне. Вообще говоря, возникает противоречие между степенью защиты и легкостью доступа. Управление защитой потенциально может влиять на производительность системы в целом, легкость использования (пользовательский интерфейс), взаимодействие приложений и общее управление системой.
Открытая система не должна быть незащищенной системой, но такие свойства как интероперабельность и мобильность приложений, вообще говоря, несут в себе источник уязвимости для защищенности информации, например, опасность внесения вирусов, или "троянских коней", или облегчение неавторизованного доступа.
Поэтому защита информации в открытых системах представляет собой особую проблему, разрабатываются механизмы и стандарты, направленные на обеспечение защиты информации в открытых системах.
Разрабатываемые стандарты можно разделить на две категории:
- стандарты, относящиеся к коммуникациям;
- стандарты, относящиеся к операционным системам.
Шифрование применяется в двух случаях - для передачи, обработки и хранения данных и для установления подлинности сторон. Если два персональных компьютера или две сети связаны между собой обычной сетью общего пользования, то никакая стена не поможет защитить пароли и идентификаторы от любопытных глаз. В этом случае информацию нужно как-то спрятать. Шифрование используется для защиты информации, которая передается, хранится и обрабатывается электронным образом.
6.
Cбой и восстановление в распределенной системе.
7.
Зарубежные стандарты в области информационной безопасности.
Задача стандартов в области информационной безопасности - это создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.
В качестве основополагающего и наиболее «общего» среди международных стандартов можно назвать ISO/IEC 27001:2005, который был разработан Британским институтом стандартов (BSI). Данный стандарт описывает общую методологию подхода к обеспечению информационной безопасности в организации и акцентирует внимание на наиболее критичных составляющих информационной системы. Он охватывает элементы управления системой информационной безопасности, актуальные для всех без исключения сфер бизнеса, такие как: политика информационной безопасности, распределение ответственности за информационную безопасность, проведение обучения в этой области, отчетность по инцидентам, защита от вирусов, обеспечение непрерывности работы, контроль копирования лицензионного ПО, защита архивной документации и защита персональных данных. Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью такого важного актива компании как информация. Элементы управления системой информационной безопасности разделены в стандарте по нескольким группам, и включают в себя разделы:
• Политика безопасности – поддержка политики в области информационной безопасности со стороны руководства предприятия;
• Инфраструктура системы безопасности - создание организационной структуры, которая будет обеспечивать работоспособность системы информационной безопасности в организации;
• Классификация ресурсов и управление – приоритезация информационных ресурсов по степени их ценности и распределение ответственности за них;
• Сотрудники – снижение риска человеческих ошибок, кражи и неправильного использования оборудования (обучение сотрудников и отслеживание инцидентов);
• Физическая и внешняя безопасность - предотвращение несанкционированного доступа и нарушения работы информационной системы организации;
• Управление сетями и компьютерными ресурсами – обеспечение безопасного функционирования компьютеров и сетей;
• Управление доступом – управление доступом к бизнес-информации;
• Развитие и обслуживание системы - выполнение требований безопасности при создании или развитии информационной системы организации, поддержание безопасности приложений и данных;
• Обеспечение непрерывности бизнеса - план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации;
• Соответствие требованиям законодательства - выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.
Международный стандарт ISO/TR 13569, который является руководством при создании системы информационной безопасности в кредитно-финансовой отрасли. Он описывает политики, а также организационный, инфраструктурные и законодательные компоненты системы информационной безопасности в организации-представителе финансовой сферы. Основные отличия связаны как с особенностями нормативных актов для этой отрасли, так и с особенностями ведения бизнеса. Так, например, стандарт предписывает необходимость использования «двойного управления» - при проведении определенных транзакций, процесс должен контролироваться двумя лицами независимо друг от друга. Основные цели, реализация которых входит в задачу данного стандарта, перекликаются с целями ISO/IEC 27001: интегрировать подсистему безопасности в бизнес-процессы; сделать систему управления ИБ прозрачной и унифицированной для всех банков, ранжируемой по уровням зрелости; отслеживать процесс выполнения политики безопасности; распределить ответственность за обеспечение ИБ.
Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408. Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования. Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.
8.
К каким проблемам приводит реализация максимально возможной степени прозрачности?
9.
Отечественные стандарты в области информационной безопасности.
В настоящее время существуют международные и отечественные стандарты, предназначенные для оценки безопасности АС. Эти стандарты можно разделить на два класса. Стандарты 1-го класса определяют конкретные технические решения средств защиты информации и конкретные технические параметры СВТ, определяющие их защищенность. Стандарты 2-го класса определяют общие критерии оценки безопасности СВТ и АС.
К 1-му классу относятся следующие действующие на сегодняшний день в России нормативные документы:
в части защиты информации от утечки через посредство ПЭМИН(перехват побочных электромагн излуч и наводки):
ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при обработке ее СВТ»;
ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний»;
«Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН»;
«Специальные требования и рекомендации по защите объектов ЭВТ II и III категории от утечки информации за счет ПЭМИН;
в части криптографической защиты:
ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
ГОСТ Р.34.10-2001 «Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма»;
ГОСТ Р.34.11-94 «Функция хэширования».
Ко второму классу относится ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности». Стандарт состоит из трех частей.
1-я часть «Введение и общая модель» устанавливает общий подход к формализации требований к оценке безопасности.
2-я часть «Функциональные требования безопасности» содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность и детализации и расширения по определенным правилам.
3-я часть «Требования доверия к безопасности» включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявляемым к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют оценить правильность реализации функций безопасности, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Действующие на сегодняшний день документы Гостехко-миссии устанавливают девять классов защищенности АС от несанкционированного доступа, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, определяемые на основании следующих признаков: 1.наличием в АС информации различного уровня конфиденциальности; 2.уровнем полномочий пользователей на доступ к конфиденциальной информации; 3.режимом обработки информации (коллективный или индивидуальный), причем важное значение имеет то, обладают ли пользователи одинаковыми или разными правами доступа.
Все средства вычислительной техники так же, как и программное обеспечение защищенных АС, подлежат обязательной сертификации в соответствии с указанными выше нормативными документами. Сертификация средств криптографической защиты проводится ФСБ, сертификация
10.