- •Ответы к экзаменационным вопросам по курсу «Информационная безопасность»
- •Понятие «информация». Свойства информации. Почему ее необходимо защищать?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Характеристика этих методов.
- •Система правового обеспечения защиты информации рф.
- •Федеральный закон (фз) №5485 «о государственной тайне»: область применения и действия, основные обязанности и ответственность должностных, работающих с государственной тайной.
- •1. Верховный Совет Российской Федерации:
- •2. Президент Российской Федерации:
- •3. Правительство Российской Федерации:
- •5. Органы судебной власти:
- •Фз №152 «о персональных данных»: основные понятия и положения закона, обязанности и ответственность должностных лиц, работающих с персональными данными.
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •Фз № 98 «о коммерческой тайне»: область применения и основные положения закона.
- •Федеральный закон Российской Федерации 27 июля 2006 года n 149-фз "Об информации, информационных технологиях и о защите информации" область применения и основные положения.
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •1 Область применения
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006 : назначение и основные положения стандарта.
- •Основные активы организации, рассматриваемые с позиции защиты информации.
- •Основные механизмы защиты информации (стандарты исо 17799 и исо 13335).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •Какие другие механизмы защиты информации используются на практике? обеспечения.
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Какие направления включает в себя комплекс мер по защите информации?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Информационные риски: определение, особенности, методы измерения.
- •Рекомендации стандартов исо 17799-3 и исо 13335-3 по анализу и обработке информационных рисков. Достоинства и недостатки методик обработки рисков в этих стандартах.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации? Специалист по защите информации
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Простая перестановка
- •Одиночная перестановка по ключу
- •Двойная перестановка
- •Перестановка «Магический квадрат»
- •Проблемы использования симметричных криптосистем. Достоинства
- •Недостатки
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Принципы обеспечения целостности информации Кларка и Вильсона.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
Конфиденциальность информации и механизмы ее обеспечения.
Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.
Авторизация предполагает:
Идентификацию – логин
Аутентификацию – пароль
Конфиденциальность (ФЗ №149) – обязательное для выполнения лицом, получившим доступ к информации, требование не передавать информацию другим лицам без согласия ее обладателя.
Механизмы обеспечения:
- Путем идентификации и аутентификации пользователя (пароль, смарт-карты, и т.п.);
- Разграничение доступа к информации, активам организации;
- Криптографическими методами обеспечения конфиденциальности информации (для конфиденциальной информации);
- Методы защиты внешнего периметра охраняемой зоны (при необходимости);
- Протоколирование и аудит (при включении как минимум механизма «Н»).
Целостность информации и механизмы ее обеспечения.
Целостность – обеспечение достоверности и полноты информации и методов ее обработки (ИСО 17799).
Целостность – состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на это право.
Механизмы обеспечения:
- Корректность транзакций (невозможность произвольной модификации);
- Аутентификация пользователей;
- Минимизация привилегий;
- Разделение обязанностей (двойное управление);
- Аудит событий;
- Объективный контроль;
- Управление передачей привилегий.
Криптографические методы обеспечения целостности информации:
- цифровые подписи (зашифрованный хэш, который добавляется к документу);
- криптографические хеш-функции;
- коды проверки подлинности.
Доступность информации и механизмы ее обеспечения.
Доступность – обеспечение доступа к информации и связанным с ней активам авторизованным пользователям по мере необходимости.
Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут получать ее беспрепятственно.
Механизмы обеспечения:
- дублирование каналов связи;
- дублирование шлюзов и межсетевых экранов;
- резервное копирование;
- восстановление среды.
Какие другие механизмы защиты информации используются на практике? обеспечения.
Достоверность информации - в криптографии - общая точность и полнота информации. Достоверность информации обратно пропорциональна вероятности возникновения ошибок в информационной системе.
Достоверность информации - свойство информации быть правильно воспринятой. В общем случае достоверность информации достигается:
- указанием времени свершения событий, сведения о которых передаются;
- сопоставлением данных, полученных из различных источников;
- своевременным вскрытием дезинформации;
- исключением искаженной информации и др.
неотказуемость или апеллируемость — невозможность отказа от авторства;
подотчётность — обеспечение идентификации субъекта доступа и регистрации его действий;
достоверность — свойство соответствия предусмотренному поведению или результату;
аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Обеспечение:
* Средства защиты от несанкционированного доступа (НСД):
Средства авторизации;
Мандатное управление доступом;
Избирательное управление доступом;
Управление доступом на основе ролей;
Журналирование (так же называется Аудит).
* Системы анализа и моделирования информационных потоков (CASE-системы).
* Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
* Анализаторы протоколов.
* Антивирусные средства.
* Межсетевые экраны.
* Криптографические средства:
Шифрование;
Цифровая подпись.
* Системы резервного копирования.
* Системы бесперебойного питания:
Источники бесперебойного питания;
Резервирование нагрузки;
Генераторы напряжения.
* Системы аутентификации:
o Пароль;
o Сертификат;
o Биометрия (создание механизма однозначной идентификации человека по отпечаткам, геометрии руки, строению кровеносных сосудов, термографии лица, форме лица, голосу, подписи, динамике печатанья, походке, радужной оболочке глаза, сетчатке глаза).
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты:
Мониторинговый программный продукт.