- •10. Класифікація каналів витоку інформації. Загальна характеристика.
- •11. Комп'ютерні методи з’йому інформації.
- •13. Політика безпеки: правові аспекти
- •15. Причини і джерела утворення технічних каналів витоку інформації.
- •16.Инвертаризация автоматизированных информационных технологических систем
- •1. Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих.
- •20.Назвіть основні причини появі вразливостей в икс
- •21. Назвіть охарактерні особливості стандартів, орієнтованих на застосування військовими та спецслужбами? Які вони мають переваги та недоліки?
- •22. Загальні положення
- •26. Інструкції про порядок обліку, зберігання і
- •27. Охарактеризувати основні положення, що стосуються галузі захисту інформації,
- •31. Нд тзі 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
- •32. Нд тзі 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
- •34. Нд тзі 3.7-001-99: Методичні вказівки з розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.
- •36. Лінійний рекурентний регістр. Переваги та недоліки.
- •38. Тестування джерел сп та пвп на основі методики fips-140-1. Тести серій та довжин серій.
- •1. Монобитный тест
- •2. Блочный тест
- •3. Тест серий
- •4. Тест длин серий.
- •39. Тестування джерел вп та пвп за допомогою теста Маурера.
- •40. Фізичний датчик Гряда 1м.
- •41. Основні вимоги до криптостійкого генератора псевдо випадкових послідовностей (пвп).
- •42. Критерій Мізеса (2)
- •43. Критерій Колмогорова.
- •44. Фізичні датчики випадкових процесів. Схема.
20.Назвіть основні причини появі вразливостей в икс
Найчастішими і самими небезпечними (з погляду розміру збитку) є ненавмисні помилки користувачів, операторів, системних адміністраторів і інших осіб, обслуговуючих інформаційні системи. Іноді такі помилки приводять до прямого збитку (неправильно введені дані, помилка в програмі, що викликала зупинку або руйнування системи). Іноді вони створюють слабкі місця, якими можуть скористатися зловмисники (такі звичайно помилки адміністрування).
Згідно даним Національного Інституту Стандартів і Технологій США (NIST), 65% випадків порушення безпеки ІС - слідство ненавмисних помилок.
На другому місці за розмірами збитку розташовуються крадіжки і фальсифікації. В більшості розслідуваних випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи і захисними заходами.
21. Назвіть охарактерні особливості стандартів, орієнтованих на застосування військовими та спецслужбами? Які вони мають переваги та недоліки?
Згідно з документом TCSEC, безпечна комп'ютерна система — це система, що підтримує таке керування доступом до інформації, що в ній обробляється, за якого лише відповідним чином авторизованим користувачам або процесам, що діють від їхнього імені, надається можливість читати, записувати, створювати, а також видаляти інформацію.
Виходячи з визначення безпечної системи, до неї ставиться низка вимог:
безпечна система має бути здатною розрізняти користувачів;
кожний процес у системі має діяти від імені певного користувача;
система має підтримувати розмежування доступу суб'єктів до об'єктів, які містять інформацію;
до об'єктів системи можна застосовувати такі дії: читання, записування, створення і видалення.
У TCSECзапропоновано три категорії вимог безпеки — політика безпеки, аудит і коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири спрямовані безпосередньо на забезпечення безпеки інформації, а дві останні — на якість засобів захисту.
Недоліки:
У документі найбільше уваги приділено міткам конфіденційності (грифам таємності) та правилам експорту секретної інформації, менше — забезпеченню цілісності інформації і майже не розглянуто її доступність.
Вимоги забезпечення політики безпеки в документі також відображено доволі поверхово (відповідний розділ містить лише вимоги контролю цілісності засобів захисту і підтримки їх працездатності, які наразі є недостатніми).
Найвищий клас безпеки (А1) надають ПЗ, яке відповідає своїм специфікаціям, хоча це ще не є доказом коректності та адекватності реалізації політики безпеки.
Єдина ієрархічна шкала класів безпеки КС дає змогу порівнювати рівні захищеності різних систем, але не є такою гнучкою, щоб враховувати переваги окремих систем. Часто у сертифікатах відповідності вимогам TCSEC окрім основного класу безпеки системи визначають додаткові рівні безпеки для окремих її компонентів, наприклад: сама ОС може належати до класу С2, дискреційне керування доступом у ній — до класу ВЗ, керування безпекою — до класу В2. Це новий підхід в оцінюванні, який відходить від концепції оцінювання систем TCSEC.
Завдяки інтенсивному розвитку комп'ютерних технологій і внаслідок переходу від централізованих обчислювальних комплексів на основі мейнфреймів до робочих станцій, персональних комп'ютерів і розподіленого оброблення інформації, деякі положення TCSEC застаріли.
Керівні документи Державної технічної комісії при Президенті Російської Федерації мають ті самі недоліки і обмеження, що й TCSEC: їх орієнтовано на системи військового застосування, у стандарті використано єдину універсальну шкалу для визначення рівня захищеності, ранжирування вимог по класах максимально спрощене, поняття «політика безпеки» у цих документах трактують виключно як підтримку режиму таємності та відсутність НСД. Стандарт не забезпечує весь спектр вимог:
засоби захисту орієнтовано лише на протидію зовнішнім загрозам;
відсутні вимоги до захисту від загроз роботоздатності;
відсутні вимоги до адекватності реалізації політики безпеки;
не висунуто вимог до структури самої системи та її функціонування.