- •6. Доктрина информационной безопасности рф. Политика сбалансированного обеспечения безопасного развития личности, общества и государства в информационной сфере.
- •7. Общедоступная инфо и инфо с ограниченным доступом.Классификация инфо с огранич доступом по видам тайн . Государственная, коммерческая, профессиональная, личная и другие виды тайны.
- •9. Методологические принципы и организационные мероприятия, реализуемые в процессе защиты информации.
- •10. Обобщенные модели систем защиты информации. Одноуровневые, многоуровневые и многозвенные модели. Общая характеристика средств, методов и мероприятий, применяемых для защиты информации.
- •11 Компьютерная система (кс) как объект защиты информации. Эволюция концептуальных основ реализации ее защиты. Общая характеристика случайных и преднамеренных угроз в кс.
- •12.Реализация информационных угроз компьютерным системам пу¬тем несанкционированного доступа (нсд). Классификация кана¬лов нсд. Собирательный образ потенциального нарушителя.
- •13 Основные противодействия случайным угрозам в компьютерных системах. Помехоустойчивое кодирование. Дублирование информации и резервирование технических средств.
- •16 Общие понятия и классификация криптографических средств. Методы шифрования (?)
- •17 Общая характеристика и классификация компьютерных вирусов. Антивирусные средства, методы и мероприятияого способа взлома, кроме как полным перебором всех возможных ключей шифрования.
- •18. Отечественные нормативные документы и зарубежные стандарты в области защиты информации и безопасности информационных технологий
- •20.Общетеоретическая постановка задачи оптимизации ксзи на основе выбранного критерия эффективности защиты.
- •21 . Виды информации по категориям доступа. Общедоступная информация и информация ограниченного доступа. Конфиденциальная информация
- •23 Организационно-правовая структура правового обеспечения защиты информации в России.(уточнить)
- •24 Порядок лицензирования деятельности по технической защите конфиденциальных сведений.
- •25. Коммерческая тайна. Правовой порядок установления режима коммерческой тайны.
- •26 Особенности правовой защиты интеллектуальной собственности. Виды интеллектуальной собственности. Право авторства и авторские (исключительные) права на интеллектуальную собственность.
- •27 Особенности правовой защиты персональных данных.(уточнить (дописать))
- •28 Принципы и порядок отнесения сведений к гос. Тайне. Грифы секретности носителей этих сведений.
- •29 Порядок допуска и доступа должностных лиц и граждан к сведениям, составляющим государственную тайну.
- •30 Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет.
- •31. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов
- •32Специфика технологии защищенного документооборота
- •33 Стадии обработки и защиты конфиденциальных документов входного потока.
- •34 Стадии обработки и защиты конфиденциальных документов выходного потока.
- •35. Систематизация и оперативное хранение конфиденциальных до¬кументов и дел.
- •36 Проверка наличия конфиденциальных документов, дел и носите¬лей информации.
- •37 .Политика информационной безопасности предприятия как сово¬купность нормативно-правовых и распорядительных документов по защите информации
- •38 Угрозы безопасности информации. Каналы утечки информации от информационных и телекоммуникационных систем и направление организационной защиты информации в этих системах.(дописать каналы)
- •39 Особенности поиска, оформления и приема на работу сотрудни¬ков, допущенных к конфиденциальной информации
- •40 Текущая работа с персоналом, допущенным к конфиденциальной информации. Меры поощрения и взыскивания, используемые для поддержания дисциплины
- •42 Принципы и задачи ограничения и разграничения доступа к кон¬фиденциальной информации
- •43 Организация внутриобъектового и пропускного режимов на предприятии. Организация охраны объектов информатизации.
- •44 Организация защиты информации при чрезвычайных обстоятельствах.
- •45 Организация служебного расследования по фактам утраты информации и инцидентам в информационных и телекоммуникационных сетях
- •46 Порядок аттестации объектов информатизации
- •47 Способы и средства добывания информации техническими средствами.(так же см 49)
- •48 Технические каналы утечки инфо
- •5. Радиационная разведка
- •6. Магнитометрическая разведка
- •49 Методы способы и средства инженерно-технической охраны объекта
- •50 Способы и средства защиты информации от наблюдения
- •51 Способы и средства защиты информации от подслушивания
- •52 Способы и средства предотвращения утечки информации с помощью закладных устройств.
- •53 Средства и способы предотвращения утечки информации через побочные электромагнитные излучения и наводки
- •54 Способы предотвращения утечки информации по материально-вещественному каналу
- •55 Организация инженерно-технической защиты информации.
- •56 Основы методического обеспечения инженерно-технической защиты информации.(найти оч мало )
- •58 Симметричные криптосистемы. Блочные шифры. Определение. Режимы применения блочных шифров
- •59 Блочные шифры. Российский стандарт шифрования гост 28147-89. Режимы применения алгоритма шифрования гост 28147-89.
- •60 Потоковые шифры (шифры гаммирования). Определение. Общие сведения о потоковых шифрах. Самосинхронизирующиеся шифры. Синхронные шифры.
- •61 . Потоковые шифры. Определение. Общие сведения о потоковых шифрах. Использование блочного шифра в режиме потокового шифрования.
- •62 Асимметричные криптосистемы. Схемы функционирования. Односторонние функции. Функции-ловушки. Криптосистема Эль-Гамаля(
- •66 . Понятие политики безопасности при программно-аппаратной защите информации
- •67 Модели компьютерных систем. Доступ и мониторинг безопасности.
- •68 Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов нет
- •69 Проектирование средств реализации механизмов безопасности на аппаратном уровне
- •70Политика безопасности для различных операционных систем.
- •71 Управление безопасностью в компьютерных системах
- •72 Средства и методы ограничения доступа к файлам(мало дописать)
- •73 Защита программ от несекционированного копирования
- •74 Средства защиты информационных процессов в локальной эвм. Средства разграничения прав доступа (аппаратные)(?)
- •75 Модели сетевых сред(?)
- •76 Создание механизмов безопасности в распределенной компьютерной системе
- •77. Методы и средства защиты от компьютерных вирусов.
- •78 Основные требования, предъявляемые к межсетевым экранам. Основные ф-ции мэ. Основные компоненты мэ
- •79Понятие и назначение ксзи
- •80 Определение компонентов ксзи
- •3)Техническая компонента
- •4)Криптографическая компонента
- •5)Программно-аппаратная компонента
- •81 Концепция создания ксзи
- •82 Технология разработки ксзи, основные этапы разработки
- •83 Структура и содержание цикла работ по защите информации на предприятии.
- •84 Источники и способы дестабилизирующего воздействия на информацию
- •85 Организационная компонента ксзи.
13 Основные противодействия случайным угрозам в компьютерных системах. Помехоустойчивое кодирование. Дублирование информации и резервирование технических средств.
Существующие методы контроля работоспособности КС могут быть разделены на два вида: программный и аппаратный. Программный контроль основан на использовании специальных программ, контролирующих работоспособность системы. Он подразделяется на программно-логический и тестовый.Программно-логический контроль основан на том, что в основную рабочую программу вводятся дополнительные операции, при выполнении которых получается избыточная информация, необходимая для обнаружения ошибок. Тестовый контроль предназначен для проверки работоспособности КС с помощью специальных испытательных программ - тестов. В отличие от программно-логического тестовый контроль проверяет не процесс обработки информации, а пребывание КС или её части в работоспособном состоянии. Все тесты делятся на наладочные, проверочные и диагностические. Проверочные и диагностические программы работают под управлением операционной системы. Аппаратный контроль обеспечивает проверку правильности функционирования КС без снижения её быстродействия. Аппаратный контроль позволяет обнаружить неисправности в работе КС непосредственно в момент их возникновения. В основе аппаратного контроля обычно лежит использование так называемых избыточных кодов для представления информации. Для обнаружения и исправления случайных ошибок в КС применяется помехоустойчивое кодирование. При операциях с машинными кодами случайное изменение в любом разряде нуля на единицу или наоборот превращает данную информационную комбинацию в ошибочную. Для обнаружения таких ошибок необходимо иметь некоторую дополнительную информацию, выполняющую контролирующие функции. С этой целью обычно применяются избыточные коды, в которых часть возможных знаковых комбинаций используется для представления информации, а другая часть является запрещенной. К числу избыточных кодов, получивших распространение для обнаружения и исправления ошибок, можно отнести циклические коды, код Хэмминга, равновесные коды и др. Циклические коды обычно применяются в системах с последовательной передачей двоичных разрядов контролируемого кода, в частности при записи и считывании информации в накопителях на магнитных дисках. При незначительном увеличении избыточного оборудования такие коды способны с высокой эффективностью обнаруживать не только одиночные, но и групповые сигналы. Дублирование информации обеспечивает сохранение ее целостности не только от случайных угроз, но и от преднамеренных воздействий. Методы дублирования разделяются на методы, использующие специально выделенные области памяти на несъемных машинных носителях, дополнительные внешние запоминающие устройства, съемные носители информации. Надежным методом оперативного дублирования является применение зеркальных дисков. Используется отдельный жесткий магнитный диск, на котором хранится информация, полностью идентичная информации на рабочем диске. Достигается это за счет параллельного выполнения всех операций записи на оба диска Введение избыточности аппаратных (технических) средств, которые являются причиной случайных ошибок в работе КС - резервирования. По способу включения резерва различают постоянное резервирование (резервные элементы параллельно подсоединены к основным рабочим элементам и постоянно находятся в одинаковом с ними режиме) и резервирование замещением (включение резервных элементов производится только после выхода из строя основных элементов).
14. Общая характеристика средств и методов защиты информации в компьютерных системах от утечки по техническим каналам.
15. Базовые принципы, лежащие в основе моделей политики безопасности в компьютерных системах. Матричная модель и мандатная модель управления доступом к ресурсам КС. Идентификация и аутентификация субъектов доступа.
Политика безопасности – совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности компьютерной системы
Модели безопасности основаны на базовых представлениях.
1. КС является совокупностью взаимодействующих сущностей - субъектов и объектов. Объекты - контейнеры, содержащие информацию, субъекты - выполняющиеся программы, которые воздействуют на объекты различными способами. При таком представлении безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с тем набором правил и ограничений, которые образуют политику безопасности.
2. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами.
3. Все операции между субъектами и объектами, контролируемые монитором взаимодействий, либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.
4. Политика безопасности задается в виде правил, определяющих все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
5. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. В этом пространстве состояний каждое состояние системы является либо безопасным, либо небезопасным в соответствии с принятым в модели критерием безопасности.
6. Основной элемент модели безопасности - это доказательство того, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
Матричное управление доступом позволяет управление доступом происходит путем наделения субъектов полномочиями осуществлять определенные операции над определенными объектами
Мандатная модель подразумевает, что: задан набор меток секретности (например, секретно, совершенно секретно и т.д.), каждому объекту системы присвоен уровень секретности, каждому субъекту присвоен уровень доступа. Уполномоченное лицо имеет право читать только те документы, уровень секретности которых не превышает его собственный уровень, уровень секретности которых не ниже его собственного уровня.
Методы идентификации и аутентификации основаны на использовании паролей, представляющий собой некоторую последовательность символов, сохраняемую в секрете и подъявляемую при обращении к компьютерной системе. Для установления подлинности пользователей широко используется процедура "рукопожатий" - в системе формируется и защищается массив вопросов, относящиеся к конкретному пользователю и касающиеся. Достоинством метода «рукопожатия» является то, что при этом между пользователем и КС не передается никакой КИ.
Идентификация субъекта (объекта) представляет собой присвоение этому субъекту (объекту) уникального имени (идентификатора). Когда какой-либо субъект обращается к ресурсам системы, необходимо установить его подлинность, опознать его. Процесс установления подлинности называется аутентификация