- •1. Безопасность (согласно закону рф “о безопасности”) – это состояние защищенности жизненно важных интересов личности, общества и государства.
- •В соответствии с гост р исо/мэк 13335-1:
- •2. Средства борьбы с закладками делятся на:
- •Методы защиты речевой информации при передаче её по каналам связи.
- •2. К организационным мероприятиям по защите информации относятся:
- •1. К основным принципам обеспечения информационной безопасности можно отнести:
- •По гост р исо/мэк 13335-1 для создания эффективной программы безопасности итт фундаментальными являются следующие высокоуровневые принципы безопасности:
- •1. Угроза нарушения конфиденциальности, заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней.
- •Основные методы реализации угроз информационной безопасности.
- •2. Система разграничения доступа к информации должна содержать четыре функциональных блока:
- •2. Методы и средства защиты от электромагнитных излучений и наводок: пассивные методы защиты от побочных электромагнитных излучений и наводок (пэмин), активные методы защиты от пэмин.
- •1. Правовое обеспечение иб рф должно базироваться, прежде всего, на соблюдение принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
- •1. Безопасность (согласно закону рф “о безопасности”) – это состояние защищенности жизненно важных интересов личности, общества и государства.
- •В соответствии с гост р исо/мэк 13335-1:
- •1. К основным принципам обеспечения информационной безопасности можно отнести:
- •По гост р исо/мэк 13335-1 для создания эффективной программы безопасности итт фундаментальными являются следующие высокоуровневые принципы безопасности:
- •Основные методы реализации угроз информационной безопасности.
По гост р исо/мэк 13335-1 для создания эффективной программы безопасности итт фундаментальными являются следующие высокоуровневые принципы безопасности:
- менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
- обязательства — важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;
- служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;
- цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;
- управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
5 ВОПРОС Билет 5 |
(Понятия угрозы, уязвимости, источника угрозы, нападения…) |
1. В соответствии с Законом РФ «О безопасности» от 5 марта 1992г. № 2446-1 угроза безопасности – это совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Под угрозой в национальном стандарте ГОСТ Р ИСО/МЭК 13335 понимается потенциальная причина инцидента, способного нанести ущерб системе или организации.
В национальном стандарте ГОСТ Р ИСО/МЭК 15408 угроза раскрывается через описание следующих взаимосвязанных факторов и параметров:
– нападений пригодных для реализации угрозы (при описании нападения должны быть описаны возможность нападения, методы нападения, уязвимости, которые могут быть использованы при данном методе нападения);
– объектов нападений (информационные или аппаратные ресурсы ИС, идентифицированные их обладателем в качестве подлежащих защите);
– типа потери (конфиденциальность, целостность, доступность и т.д. в зависимости от объекта нападения, который был идентифицирован ранее с учетом возможной потери этих свойств объектов);
– масштаба возможного ущерба организации от реализации данной угрозы, т.е. данного нападения;
– источников угрозы. Для источников угроз антропогенного характера описание (модель угрозы) должно включать:
– указание их опыта,
– указание знаний,
– указание доступных ресурсов, необходимых для реализации угрозы,
– возможную мотивацию их действий.
Уязвимость по национальному стандарту ГОСТ Р ИСО/МЭК13335 – это слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
Источник угрозы – это субъект, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности. Нападение (при применении информационных технологий) – это действия, направленные на реализацию угроз информации или ресурсам ИС с применением программных или технических средств.
Идентификация возможных угроз ИБ проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценка вероятности их реализации, модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты ИС. Кроме идентификации возможных угроз должны быть проведены их анализ и классификация по различным классификационным признакам. Каждый из признаков классификации отражает одно обобщенное требование к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование. Классификация всех возможных угроз ИБ ИС может быть проведена по ряду базовых признаков, например по природе возникновения, степени преднамеренности появления и т.д.
6 ВОПРОС Билет 6 |
(Основные виды угроз и основные методы их реализации угроз в информационных системах) |