- •Вопрос 01. Информационные системы. Термины и определения. Фз «Об инф., информационных технологиях и зи».
- •Вопрос 02. Автоматизированные системы. Термины и определения. Гост 34-003.
- •Вопрос 03. Системы обработки данных. Классификация и основные компоненты сод. Характеристики и параметры сод. Основные режимы работы сод.
- •Вопрос 04. Модели безопасности. Модель матрицы доступов hru.
- •Вопрос 05. Модель распространения прав доступа Take-Grand.(брать-давать)
- •Вопрос 06. Модели безопасности. Расширенная модель распространения прав доступа Take-Grant.
- •Вопрос 07. Управление доступом. Реализация дискреционного доступа. Достоинства и недостатки дискреционного доступа.
- •Вопрос 08. Модели безопасности. Классическая модель Белла – ЛаПадула.
- •Вопрос 09. Модели безопасности. Модель Low-Water-Mark. Достоинства и недостатки модели Белла – ЛаПадула.
- •Вопрос 10. Политика mls.
- •Вопрос 11. Модели безопасности информационных потоков. Модель Goguen-Meseger (gм).
- •Вопрос 12. Модели безопасности. Модели адепт-50.
- •Вопрос 13. Модель «Пятимерное пространство безопасности Хартстона».
- •Вопрос 14. Модели безопасности. Модели на основе анализа угроз системе (игровая модель и модель с полным перекрытием).
- •Вопрос 15. Модели безопасности. Модели конечных состояний (Линдвера, Белла-ЛаПадула). Основная теорема безопасности.
- •Вопрос 17. Модели безопасности. Модель выявления нарушения безопасности.
- •Вопрос 18. Модели контроля целостности. Модель Биба.
- •Вопрос 19. Модели контроля целостности. Модель Кларка-Вилсона.
- •Вопрос 21. Объединение моделей безопасности и контроля целостности. Модель Липнера.
- •Вопрос 22. Политика иб. Определение. Структура документа. Формирование политики иб. Политика иб – набор правил и рекомендаций, определяющих управление, распределение и защиту информации в организации.
- •Вопрос 23. Модель нарушителя.
- •Вопрос 24. Модель Угроз
- •Вопрос 25. Реализация угроз. Атаки и вторжения. Характеристика атак. Виды атак по соотношению «нарушитель – атакуемый объект». Типовые удаленные атаки.
- •Вопрос 26. Реализация угроз. Атаки и вторжения. Определение вторжения. Типовой сценарий. Описание атак и вторжений.
- •Вопрос 27. Политика иб. Формирование политики иб. Основные принципы.
- •Вопрос 28. Политика иб. Ответственность за иб. Реакция на инциденты иб (цели реакции, мониторинг, ответные меры).
- •Вопрос 29. Политика иб. Основные подходы к разработке политики иб. Жизненный цикл политики иб.
- •Жизненный цикл политики иб.
- •Вопрос 30. Парольные системы. Назначение и структура парольных систем. Угрозы для парольных систем.
- •Вопрос 31. Парольные системы. Выбор пароля. Требования к паролю. Количественные характеристики пароля.
- •Вопрос 32. Парольные системы. Хранение и передача пароля по сети
- •Вопрос 33. Атаки на парольные системы. Примеры практической реализации атак на парольные системы.
- •Вопрос 34. Протоколы аутентификации. Простая аутентификация.
- •Вопрос 35. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на симметричных алгоритмах.
- •Вопрос 36. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на асимметричных алгоритмах. Аутентификация с нулевым разглашением.
- •Вопрос 37. Методология построения систем защиты информации в ас. Общие методы разработки защищенных ас.
- •Вопрос 38. Методология построения систем защиты информации в ас. Доверенная вычислительная среда (теория безопасных систем)
- •Вопрос 39. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост 34.601.
- •Вопрос 40. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост р исо/мэк 15288.
- •Вопрос 41. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл по. Гост р исо/мэк 12207.
- •Вопрос 43. Принципы разработки защищенных ас.
- •Вопрос 51. Защита от внедрения недокументированных возможностей, при разработке по.
- •Вопрос 52. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Основные принципы.
- •Вопрос 53. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Научно-исследовательская разработка.
- •Вопрос 54. Методология построения систем защиты информации в ас. Методы моделирования и подходы к оценке комплексных систем защиты информации;
- •Основные принципы создания.
- •Вопрос 55. Методология построения систем защиты информации в ас. Построение организационной структуры
- •Вопрос 56. Каскадные модели.
- •Вопрос 57. V-образная модель. Спираль.
- •Вопрос 58. Средства защиты от атак и вторжений. Системы обнаружения вторжений. Структура сов и их классификация.
- •Вопрос 59. Системы обнаружения вторжений. Методы анализа для выявления атак
- •Методы на основе искусственного интеллекта
- •Вопрос 26. Уязвимости. Причины их возникновения. Ошибки, приводящие к уязвимостям
- •27. Уязвимости. Поиск уязвимостей в процессе разработки и анализа систем. Методы и средства поиска уязвимостей
- •Вопрос 60. Политика иб. Правила политики иб.
Вопрос 51. Защита от внедрения недокументированных возможностей, при разработке по.
-
Использование автоматизированной системы разработки и средств защиты.
- организация доступа
- средства контроля целостности
-
Использование специального испытательного стенда для проведения исследований специального ПО.
-
Использование проверенных ( сертифицированных ) средств разработки.
Разделение АС :
1 Разработчики имеют доступ только к рабочим местам. Администратор имеет доступ только на чтение ко всем местам.
2 Должно быть место администратора, откуда он осуществляет полное управление. На этом сервере должны находиться 3 базы данных:
- содержание описания алгоритмов
- БД, где хранятся исходники к прогам
- исполняемые файлы ( библиотеки )
На рабочем месте админа ставится специальное ПО, которое используется для контроля версий, листингов и исполняемых файлов.
Требования к данному ПО заключается в том, что оно должно разрабатываться третьей стороной.
Администратор в соответствии с утверждённым графиком считывает изменённые исходники и исполняемые файлы со всеми изменениями, что внёс разработчик. Далее сверяет считанные версии с версиями, которые хранятся в БД.Тем самым выявляет все изменения , что внёс разработчик. Эти результаты сравниваются с результатами педыдущего контроля.Приследуются недокументированные возможности. Если контроль прошёл успешно, то текущии версии записываются в БД и становятся эталонами. На АИБ ставится задача сохранения БД:
- сохранить БД
- не дать нарушителю её удалить
- обеспечить её целостность
- цель таких исследований – контроль выполнения требований , указанных в задании на разработку. Контролируется всё, что связано с ПО.
Что входит в состав:
-
база данных моделей угроз
-
модель формирования входных воздействий
-
модель анализа результатов
-
модель настройки
-
Модель документирования ( оформления) отчётов
Особенность этих исследований – исследуется заранее созданная модель.
Как организуется защита от внедрения аппаратных возможностей (закладок).
Закладки могут внедряться при разработке, ремонте, хранении, транспортировке.
Контроль комплектующих. Виды контроля: визуальный осмотр, исследования на испытательном стенде, в процессе производства. Контроль проводят под наблюдением уполномоченных должностных лиц. При хранении и транспортировке используется специальная упаковка.
Вопрос 52. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Основные принципы.
Для построения комплексных систем защиты информации сформулирован свой перечень принципов. КСЗИ является системой, которая обеспечивает только защищенность.
Принципы построения КСЗИ:
-
параллельная разработка КСЗИ и информационной системы. Для этого используют 2 подхода:
-
Престыкованый. сначала строится сама автоматизированная система, разрабатываются аппаратные средства, которые объединяются между собой. Система вводится в эксплуатацию. И затем вводится ее защита. При это подходе система ЗИ включается в состав автоматизированной системы после того как все готово. «-»: сложность при изменении структуры АС; возможность различных конфликтов (ПО, несовместимость программно-аппаратных средств между собой); этот способ не обеспечивает должный уровень защиты.
-
параллельная разработка.
-
-
системный подход при построении. – это учет всех факторов, влияющих на работу всех систем ЗТ (анализ угроз, контроль ЗИ на всех стадиях жизненного цикла).
-
многоуровневая структура. КСЗИ должна включать несколько уровней защиты, т.е. преодоление одного уровня не дает доступ к системе напр., создание охраняемого периметра (1 уровень), организация охраны внутренних зданий (2 ур.), контроль доступа в отдедбные помещения (3 ур.), контроль использования аппаратных и программных средств (4 ур.), защита информации (5 ур. Чаще используются криптографические средства).
-
иерархическое управление. Если защищаемая система небольшая, то назначается одно должностное лицо, которое отвечает за безопасность. Если система имеет большой размер, то также назначается одно должностное лицо, которое отвечает за все системы защиты. Он же делегирует свои полномочия ответственным за функционирование отдельных частей.
-
блочная архитектура системы защиты, означает, что КСЗИ разрабатывается не как единое целое, а как система, состоящая из отдельных компонентов. Ядро безопасности системы защиты реализует минимально необходимый объем безопасности. Все остальные защитные функции реализуются за счет отдельных компонентов, которые потом подсоединяются к ядру. «+»: каждый компонент можно разрабатывать отдельно, параллельно упрощается модернизация системы.
-
учет развития системы защиты при ее эксплуатации заключается в том, что при разработке системы ЗИ необходимо рассмотреть некий запас ресурсов (резервный объем памяти, резерв пропускной способности линии связи, вычислительный ресурс).
-
«дружественный» интерфейс. Пользователь не должен тратить значительное время на выполнение действий при использовании системы ЗИ. Использование такой системы не должно ограничивать профессиональные обязанности.
Основные этапы разработки КСЗИ:
-
разработка ТЗ.
-
эскизное проектирование.
-
техническое проектирование.
-
разработка документации.
-
этап производства.