- •Ответы к экзаменационным вопросам по курсу «Информационная безопасность»
- •Понятие «информация». Свойства информации. Почему ее необходимо защищать?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Характеристика этих методов.
- •Система правового обеспечения защиты информации рф.
- •Федеральный закон (фз) №5485 «о государственной тайне»: область применения и действия, основные обязанности и ответственность должностных, работающих с государственной тайной.
- •1. Верховный Совет Российской Федерации:
- •2. Президент Российской Федерации:
- •3. Правительство Российской Федерации:
- •5. Органы судебной власти:
- •Фз №152 «о персональных данных»: основные понятия и положения закона, обязанности и ответственность должностных лиц, работающих с персональными данными.
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •Фз № 98 «о коммерческой тайне»: область применения и основные положения закона.
- •Федеральный закон Российской Федерации 27 июля 2006 года n 149-фз "Об информации, информационных технологиях и о защите информации" область применения и основные положения.
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •1 Область применения
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006 : назначение и основные положения стандарта.
- •Основные активы организации, рассматриваемые с позиции защиты информации.
- •Основные механизмы защиты информации (стандарты исо 17799 и исо 13335).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •Какие другие механизмы защиты информации используются на практике? обеспечения.
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Какие направления включает в себя комплекс мер по защите информации?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Информационные риски: определение, особенности, методы измерения.
- •Рекомендации стандартов исо 17799-3 и исо 13335-3 по анализу и обработке информационных рисков. Достоинства и недостатки методик обработки рисков в этих стандартах.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации? Специалист по защите информации
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Простая перестановка
- •Одиночная перестановка по ключу
- •Двойная перестановка
- •Перестановка «Магический квадрат»
- •Проблемы использования симметричных криптосистем. Достоинства
- •Недостатки
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Принципы обеспечения целостности информации Кларка и Вильсона.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
Все смарт-карты можно разделить по способу обмена со считывающим устройством на:
Контактные смарт-карты с интерфейсом ISO 7816.
Контактные смарт-карты с USB интерфейсом.
Бесконтактные (RFID) смарт-карты.
Существуют карты, которые включают в себя как контактные, так и бесконтактные интерфейсы.
По функциональности карты можно разделить на
карты памяти (содержат некоторое количество данных и механизм разграничения доступа к ним)
интеллектуальные карты (содержат микропроцессор и возможность управлять данными на карте)
Назначение смарт-карт:
-одно- и двухфакторная аутентификация пользователей
-хранение ключевой информации и проведение криптографических операций в доверенной среде.
Смарт-карты находят всё более широкое применение в различных областях, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта GSM и проездных билетов.
Смарт-карты, USB-ключи и другие интеллектуальные устройства могут повысить надёжность служб инфраструктуры открытых ключей (технологии аутентификации с помощью открытых ключей): смарт-карта может использоваться для безопасного хранения закрытых ключей пользователя, а также для безопасного выполнения криптографических преобразований. Безусловно, интеллектуальные устройства аутентификации не обеспечивают абсолютную защиту, но их защита намного превосходит возможности обычного настольного компьютера.
Хранить и использовать закрытый ключ можно по-разному, и разные разработчики используют различные подходы. Наиболее простой из них – использование интеллектуального устройства в качестве дискеты: при необходимости карта экспортирует закрытый ключ, и криптографические операции осуществляются на рабочей станции. Этот подход является не самым совершенным с точки зрения безопасности, зато относительно легко реализуемым и предъявляющим невысокие требования к интеллектуальному устройству. Два других подхода более безопасны, поскольку предполагают выполнение интеллектуальным устройством криптографические операций. При первом пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства. При втором пользователь генерирует ключи при помощи устройства. В обоих случаях, после того как закрытый ключ сохранён, его нельзя извлечь из устройства и получить любым другим способом.
Генерирование ключа вне устройства: пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ на новой карте. Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения, и т. д., зашифрованные с помощью соответствующего открытого ключа, но это кратковременные проблемы в обеспечении аутентификации. Кроме того, при этом закрытый ключ пользователя подвергается риску быть похищенным.
Генерирование ключа с помощью устройства: закрытый ключ не появляется в открытом виде, и нет риска, что злоумышленник украдёт его резервную копию. Единственный способ использования закрытого ключа — это обладание интеллектуальным устройством. Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям интеллектуального устройства: оно должно генерировать ключи и осуществлять криптографические преобразования. Это решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя, и т. п. Об этом необходимо беспокоиться при использовании закрытого ключа для шифрования, но не там, где он используется для аутентификации или в других службах, где используется цифровая подпись.
Некоторые системы дискового шифрования, такие как FreeOTFE, TrueCrypt и Microsoft Windows 7BitLocker, могут использовать смарт-карты для безопасного хранения ключей и также для добавления дополнительного уровня шифрования для критичных частей на защищаемом диске. Смарт-карты также используются для единого входа в систему.
Приложения смарт-карт включают их использование в банковских, дисконтных, телефонных карточках и карточках оплаты проезда, различных бытовых услуг и т. д. Смарт-карты также могут использоваться как электронные кошельки. На чип смарт-карты может быть загружена информация о средствах, которыми владелец может расплачиваться в различных торговых точках. Криптографические протоколы защищают обмен денег между смарт-картой и банкоматом. При этом нет непосредственной связи с банком, то есть работа с картой проходит в режиме off-line в отличие от магнитных карт, которые делают запрос в банк, и уже он дает разрешение на операции с картой.
Быстро развивается применение смарт-карт в цифровой идентификации. В этой сфере карты используются для удостоверения личности. Смарт-карта сохраняет зашифрованный цифровой сертификат, полученный от PKI вместе с некоторой другой информацией о владельце. При совмещении подобных смарт-карт с биометрическими данными получается двух- или трехфакторная аутентификация. Первая система водительских прав, основанная на смарт-картах, была введена в провинции Мендоса в Аргентине. Там был высокий уровень аварий на дорогах и низкий уровень по оплате штрафов. Смарт-права отвечали современным требованиям записей нарушений правил и неоплаченных штрафов. Они также содержали личную информацию водителя, его фотографию, и по желанию владельца медицинскую информацию. Правительство ожидало, что новая система поможет собрать более $10 млн за штрафы. К началу 2009 года все население Испании и Бельгии имело eID-карты, которые были выданы правительством и использовались для удостоверения личности. Эти карточки содержат 2 сертификата: один для аутентификации, другой для подписи. Все больше и больше услуг в этих странах используют eID-карты для авторизации.
Смарт-карты широко используются для защиты потоков цифрового телевидения. Там применяется система кодирования Videoguard, до сих пор не расшифрованная, а потому очень популярная во всем мире.
Проблемы:
1) возможный отказ. Пластиковая карта, в которую встроен чип, довольно гнущаяся и чем больше чип, тем больше вероятность его повредить. Смарт-карты в основном носят в кошельке или кармане – довольно жесткие условия эксплуатации для чипа. Однако, у крупных банковских систем затраты, связанные с отказами смарт-карт, компенсируют возможные затраты, связанные с мошенничеством.
2)Использование смарт-карт в общественном транспорте представляет собой угрозу для конфиденциальности, потому что такая система дает возможность третьим лицам следить за передвижением владельцев карт.
3)Использование смарт-карт для идентификации и аутентификации владельца это наиболее безопасный способ для банковских интернет-приложений, но безопасность все равно не стопроцентная. Если на ПК установлено какое-то вредоносное ПО, то безопасное выполнение интернет-приложений не гарантировано. Например, это ПО может незаметно для владельца изменить операции. Пример подобного ПО - Троян Silent banker. Но некоторые банки (Fortis и Dexia в Бельгии) дополняют свои смарт-карты бесконтактным считывателем. Владелец делает запрос на сайте банка, вводя свой ПИН-код, желаемую операцию и цифровую подпись, полученную от считывателя, и эта подпись сравнивается банком. В дополнение к техническим сложностям есть проблема нехватки стандартов для смарт-карт. Для решения этой проблемы был запущен проект ERIDANE, который занимается разработкой новой структуры смарт-карт, которые будут работать на оборудовании Point Of Interaction (POI).