(ОПД. Ф.17) Защита информационных процессов
в компьютерных системах
Основные угрозы информации в компьютерных системах; параллельный анализ целей и возможностей злоумышленника в компьютерной сети и в ситуации при наличии изолированного компьютера; специфика возникновения угроз в открытых сетях; особенности защиты информации на узлах компьютерной сети; системные вопросы защиты программ и данных; основные категории требований к программной и программно-аппаратной реализации средств защиты информации; требования к защите автоматизированных систем от несанкционированного доступа НСД.
Содержание лекций и контрольные вопросы
Раздел I. Информационные технологии и их поддержка
Тема 1.1 Информационные технологии и информационные системы
Примеры информационных технологий: SAP/R3, операционный день банка, рабочее место брокера.
Контрольные вопросы
1. Дайте определения информационным технологиям?
2. В чём заключается сущность информационных технологий?
3. Охарактеризуйте, в каких областях и как слияние технологий и средств вычислительной техники со средствами связи формируют то, что мы понимаем под информационными технологиями?
4. Что вы понимаете под термином клиент-серверная система (архитектура)?
5. В чём заключается направление дальнейшего развития (трансформации) клиент-серверной архитектуры в сторону уже получившей распространение сетевой центрической?
6. Проанализируйте спиральность развития информационных систем по ступеням развития: «мэйнфрэймы» с терминальным доступом, одноранговые сети, клиент серверная среда, сетевая центрическая архитектура?
7. Каково, по вашему мнению, дальнейшее направление развития информационно-связных систем с точки зрения данной эволюционной спирали?
8. Что вы понимаете под ИТ-структурой организации, предприятия, компании?
9. Какие задачи решает информационная система предприятия?
10. Что такое корпоративная информационная система?
11. Что такое корпоративная информационная система ERP (Enterprise Resource Planning) класса?
12. Что такое SAP/R3?
13. На предприятия какого масштаба ориентирована система SAP R3?
14. Какой принцип построения имеют приложения R3?
15. Что подразумевает модульный принцип построения приложений SAP/R3?
16. Могут ли приложения SAP/R3 быть использованы как отдельно, так и в комбинации с внешними решениями?
17. Какие вам известны основные модули системы SAP/R3?
18. Каковы на ваш взгляд задачи модуля «финансовая бухгалтерия»?
19. Каковы на ваш взгляд задачи модуля «контроллинг»?
20. Каковы на ваш взгляд задачи модуля «управления материальными потоками»?
21. Каковы на ваш взгляд задачи модуля «техническое обслуживание и ремонт оборудования»?
22. Каковы на ваш взгляд задачи модуля «продажа, отгрузка, фактурование»?
23. Каковы на ваш взгляд задачи модуля «система проектов»?
24. Каковы на ваш взгляд задачи модуля «управление планирования и контроль основных средств»?
25. Каковы на ваш взгляд задачи модуля «управление персоналом»?
26. Каковы на ваш взгляд задачи модуля «управление качеством»?
27. Каковы на ваш взгляд задачи модуля «управление информационным потоком (документооборот)»?
28. Каковы на ваш взгляд задачи модуля «планирование продуктов»?
29. Опишите направление разработок компании SAP AG и другие её продукты?
30. Система SAP/R3, разработанная компанией SAP AG?
31. Как вы думаете, почему SAP/R3 относится к числу наиболее популярных ERP-систем во всем мире?
32. Что вы понимаете под такой характеристикой системы как интеграция с существующим программно-аппаратным окружением?
33. Что вы понимаете под такой характеристикой системы как единый внутренний коммуникационный стандарт?
34. Что вы понимаете под такой характеристикой системы как способность адаптировать новые технологии и стандарты?
35. Сформулируйте основное положение поддерживаемой SAP/R3 концепции открытой интеграционной среды - SAP Open Business Framework?
36. Приведите другие примеры корпоративных информационных систем ERP класса, зарубежные и отечественные аналоги?
37. Что такое автоматизированная банковская система (АБС) и каковы её составляющие?
38. Что такое операционный день банка, дайте определение?
39. Что представляет собой автоматизированная банковская система типа «операционный день банка»?
40. Какова область применения автоматизированной системы типа «операционный день банка»?
41. Какие вы можете сформулировать требования к АБС типа «операционный день банка»?
42. Охарактеризуйте программно-аппаратную среду функционирования АБС “Операционный день банка”?
43. Какие основные функции должна обеспечивать АБС «операционный день банка»?
44. Какие функции должна обеспечивать АБС «операционный день банка» по ведению клиентских счетов?
45. Какие функции должна обеспечивать АБС «операционный день банка» по ведению бухгалтерских операций?
46. Какие функции должна обеспечивать АБС «операционный день банка» по осуществлению межбанковских расчётов?
47. Что такое сеть SWIFT?
48. Какие функции должна обеспечивать АБС «операционный день банка» по формированию ?
49. Какие функции должна обеспечивать АБС «операционный день банка» по проведению кассовых операций?
50. Какие функции должна обеспечивать АБС «операционный день банка» по учёту доходов и расходов?
51. Какие функции должна обеспечивать АБС «операционный день банка» по формированию электронных журналов запросов пользователей?
52. Какие функции должна обеспечивать АБС «операционный день банка» по накоплению статистики?
53. ? Какие функции должна обеспечивать АБС «операционный день банка» по формированию отчётов?
54. Какие функции должна обеспечивать АБС «операционный день банка» по ведению нормативно-справочной информации?
55. Охарактеризуйте информационное взаимодействие АБС «операционный день банка» со смежными системами?
56. Сформулируйте требование по обеспечению внутреннего контроля АБС «операционный день банка»?
57. Какие должны быть требования к надежности АБС типа “операционный день банка”?
58. Какие должны быть требования к качеству программного обеспечения АБС типа “операционный день банка”?
59. Охарактеризуйте требования к АБС типа “операционный день банка” по одному из направлений (к устойчивости функционирования, к работоспособности, к доступности программных документов, к согласованности, к логической корректности, к проверенности, к защищенности)?
60. Какие вы можете назвать виды обеспечения АБС типа “операционный день банка”?
61. Охарактеризуйте виды обеспечения к АБС типа “операционный день банка” по одному из направлений (математическому, лингвистическому, техническому, методологическому, технике безопасности, технической эстетике и эргономике, защите от влияния внешних воздействий)?
62. Какие вы знаете наиболее известные примеры (названия) конкретных реализаций АБС типа “операционный день банка”?
63. Опишите своими словами, каким вы видите «рабочее место брокера»?
64. Что такое система интернет-трейдинга, и какова её роль в деятельности брокера?
65. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают большое количество операций – «скальперов»?
66. Какова роль автоматизации, интернет-трейдинга и настольных приложений для брокеров, разрабатывающих механические торговые системы, в которых аналитическая программа (дополнительное внешнее приложение) генерирует сигналы на покупку или продажу и дает их терминалу для выставления заявок на биржу?
67. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают операции каждый день, но не очень много («интрадейщики»)?
68. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают операции нерегулярно?
69. Для чего предназначена система электронных торгов?
70. Каковы основные функции типовой системы электронных торгов?
71. Каковы основные компоненты (модули) структуры системы электронных торгов?
72. Какие операционные возможности должны быть у брокера на его автоматизированном рабочем месте?
73. Какую оперативную информацию о ходе торгов должен получать брокер на своём автоматизированном рабочем месте?
74. Какие отчёты по окончании торговой сессии должна быть способна формировать автоматизированная система на рабочем месте брокера?
75. Какие элементы пользовательского программного интерфейса неотъемлемы на терминале рабочего места брокера и почему?
76. Охарактеризуйте с точки зрения автоматизации операционный зал (площадку для торгов)?
Тема 1.2 Проектирование и разработка информационных технологий
Государственные стандарты на разработку и создание информационных систем. CASE-технологии создания информационных систем. Стандарт ITIL.
Контрольные вопросы
1. Какая технология описывает взаимодействие открытых информационных систем?
2. В чем исторические и технологические особенности модели взаимодействия открытых информационных систем по отношению к реальным информационно-телекоммуникационным сетям?
3. В чем заключается научно-техническая политика в области стандартизации информационных технологий и проектирования систем в России?
4. Чем обуславливается для России необходимость разработки базовых стандартов и преимущественно путем прямого применения международных, региональных и зарубежных документов по стандартизации?
5. Опишите коротко современное состояние стандартизации информационно-связных систем в мире?
6. Какие вы знаете международные организации по стандартизации в области информационно-связных систем?
7. Дайте краткую характеристику направленности деятельности одной из стандартизирующих организаций (Международной организации по стандартизации — ИСО (International Organization for Standardization — ISO), Международной электротехнической комиссии — МЭК (International Electrotechnical Commission — IEC) и Международного союза электросвязи — МСЭ (International Telecommunication Union — ITU); его сектора по телекоммуникациям МСЭ-Т)?
8. Охарактеризуйте коротко состояние и проблемы стандартизации в области информационных технологий в России?
9. Как вы думаете, для чего нужны собственные стандарты на терминологию, электрическую и механическую безопасность и электромагнитную совместимость средств вычислительной техники (СВТ), языки программирования, организацию работы систем и сетей, оценку качества и документирование программных средств, требования к АС и документирование их создания, системы кодирования и защиты информации, организацию взаимосвязи открытых систем (ВОС) и профилей, качество служебной информации, компьютерное сопровождение и поддержку жизненного цикла наукоемкой продукции (CALS-технологии)?
10. Объясните, почему существующие международные стандарты в области информационных технологий уже документированные и фактически применяемые все равно необходимо «ГОСТ-ировать»?
11. Какие вы знаете принятые российские стандарты в области информационных технологий?
12. Какие вы знаете готовящиеся российские стандарты в области информационных технологий?
13. Какие вы можете отметить проблемы в области стандартизации информационных технологий в России?
14. Какие вы видите направления решения проблем развития и совершенствования нормативной базы в области проектирования информационных систем в России?
15. Что представляют собой CASE (Computer Aided Software/System Engineering) технологии?
16. Раскройте понятие технология автоматизированной разработки программного обеспечения (систем)?
17. Какие проблемы разработки информационных систем позволяют решить CASE технологии?
18. Что определяет и предлагает для разработчиков CASE-технология?
19. Охарактеризуйте рынок прикладных программ, обеспечивающих собой CASE технологии?
20. Какие особенности развития информационных систем привели к созданию CASE технологий?
21. Назовите наиболее популярные программные продукты, обеспечивающие полный цикл анализа, проектирования и кодогенерации информационных систем?
22. Охарактеризуйте роль одного из элементов CASE технологий (методология функционального моделирования (IDEF0) для реорганизации бизнес-процессов и проектирования организационной структуры; методология разработки модели описания бизнес-процессов (IDEF3); создание имитационной модели и расчет её характеристик; формирование диаграммы потоков данных и модели документооборота; методология функционально-стоимостного анализа (Activity Based Costing – ABC) для оценки затрат на реализацию бизнес-процедур, проектирование нормализованной базы данных, на основе одной из популярных СУБД; объектно-ориентированное проектирование; язык объектного проектирования (Unify Modeling Language – UML))?
23. Какие вы знаете фирмы-поставщики CASE-средств?
24. Что такое ITIL?
25. Что, применительно к ITIL, следует понимать под взаимосвязанным набором методов и лучших практик (best practice), взятых как из опыта общественных и государственных организаций, так и предприятий частного сектора?
26. Что описывает библиотека ITIL?
27. Какой лозунг ITIL?
28. Что понимается под лозунгом ITIL «усваивание и приспосабливание»?
29. Где, по чьему заказу и когда появилась библиотека ITIL?
30. Кому формально принадлежит библиотека ITIL?
31. Кто занимается развитием и популяризацией ITIL?
32. О чём вам говорят названия Британское Правительственное Агентство (Office of Government Commerce – OGC) и Независимое Профессиональное Сообщество (IT Service Management Forum – itSMF)?
33. Что понимается под используемым в библиотеке ITIL процессным подходом?
34. Что описывается в стандартах ISO 9000 (ГОСТ Р ИСО 9000), какое отношение они имеют к ITIL?
35. Что вы знаете о стандартах BSI 15 000 и ISO 20000, какое отношение они имеют к ITIL?
36. Какая редакция ITIL в настоящий момент является последней?
37. Сколько книг, и каких включает в себя последняя редакция ITIL?
38. Что описывает книга ITIL «Поддержка услуг» (Service Support)?
39. Что описывает книга ITIL «Предоставление услуг» (Service Delivery)?
40. Что описывает книга ITIL «Планирование внедрения управления услугами»(Planning to Implement Service Management)?
41. Что описывает книга ITIL «Управление приложениями» (Application Management)?
42. Что описывает книга ITIL «Управление инфраструктурой информационно-коммуникационных технологий» (ICT Infrastructure Management)?
43. Что описывает книга ITIL «Управление безопасностью» (Security Management)?
44. Что описывает книга ITIL «Бизнес-перспектива» (The Business Perspective)?
45. Какие из перечисленных выше книг не вошли в самую последнюю редакцию ITIL V3?
46. Перечислите десять базовых процессов, являющихся наиболее известной частью ITIL, которые обеспечивают поддержку и предоставление ИТ-сервисов (IT Service Management – ITSM)?
47. Что представляет собой процесс управления инцидентами?
48. Что представляет собой процесс управления проблемами?
49. Что представляет собой процесс управления конфигурациями?
50. Что представляет собой процесс управления изменениями?
51. Что представляет собой процесс управления релизами?
52. Что представляет собой процесс управления уровнем услуг?
53. Что представляет собой процесс управления мощностями (емкостью)?
54. Что представляет собой процесс управления доступностью?
55. Что представляет собой процесс управления непрерывностью?
56. Что представляет собой процесс управления финансами?
57. Какую роль в структуре процессов ITSM играет служба поддержки пользователей?
58. Существуют ли программные продукты для автоматизации описанных в Библиотеке процессов?
59. Существуют ли консультационные услуги по внедрению подхода ITIL?
60. Защищена ли авторскими правами и возможно ли воспроизведение или публикация материалов библиотеки ITIL?
61. Ограничивается ли авторскими правами использование подхода, процессов и практик, описанных в ITIL?
62. Какие уровни включает в себя, кем поддерживается (какими компаниями) и кому могут быть выданы (организациям или отдельным специалистам) квалификационные свидетельства ITIL?
63. Что используется для "доказательства" соответствия ПО рекомендациям ITIL, и предоставляет ли услуги по проверке соответствия ITIL организация OGC?
64. Назовите основные причины, обеспечившие ITIL высокую популярность?
65. Существуют ли аналогичные библиотеке ITIL наборы рекомендаций, разработанные другими организациями компаниями?
66. Можете ли указать на какие-либо особенности в рекомендациях разработанных самими производителями информационных систем (например, HP ITSM, IBM Information Management System – IMS, Microsoft Operations Framework – MOF)?
67. По каким доверенным источникам, кроме самих книг, следует изучать ITIL (серия карманных руководств – itSMF Pocket Guides, стартовый комплект – ITIL and IT Service Management Starter Kit, рекомендации для малых организаций – ITIL Small Scale Implementations)?
Раздел II. Технология защиты информации
Тема 2.1 Основные угрозы информации в компьютерных системах
Ценности, опасности, потери, риски, угрозы в компьютерных системах. Основные угрозы информации в компьютерных системах; специфика возникновения угроз в открытых сетях; особенности защиты информации на узлах компьютерной сети; системные вопросы защиты программ и данных. Анализ рисков. Модель противника, возможности противника; параллельный анализ целей и возможностей злоумышленника в компьютерной сети. Анализ критических технологий.
Контрольные вопросы
1. Охарактеризуйте обобщённо, какую ценность для организации и предприятия представляет информационная составляющая его функционирования?
2. Какие опасности, потери, риски связаны с несанкционированным доступом к информации?
3. Какие опасности, потери, риски связаны с утерей или порчей информации?
4. Сформулируйте обобщённо понятие угрозы для любой высокоорганизованной системы?
5. В чём принципиальное различие, с точки зрения защиты, между работой человека, с информацией, представленной в бумажном документе, и работой пользователя, с информацией, циркулирующей в компьютерных системах?
6. Охарактеризуйте понятие угрозы как совокупности факторов, стремящихся нарушить работу системы?
7. Какие особенности угроз могут быть для компьютерных систем?
8. Назовите своими словами угрозы, которые могут быть для компьютерных систем?
9. Какие виды угроз традиционно выделяют для компьютерных систем?
10. Что следует понимать под угрозами конфиденциальности информации?
11. Что следует понимать под угрозами целостности информации?
12. Что следует понимать под угрозами отказа в обслуживании?
13. Каков может быть характер возникновения угроз?
14. Назовите примеры случайных (объективных) угроз, охарактеризуйте их?
15. Назовите примеры целенаправленных (субъективных) угроз, охарактеризуйте их?
16. Что понимается под «традиционными» и новыми угрозами, как защита системы должна соответствовать тем и другим?
17. В чём состоит специфика возникновения угроз в открытых компьютерных сетях?
18. Каковы особенности защиты информации на узлах компьютерной сети?
19. Какие существуют системные вопросы защиты программ и данных?
20. Что такое риск?
21. Сравните понятия «риск» и «угроза» применительно к защищённости компьютерных систем?
22. Что такое анализ рисков, как он проводится?
23. Какова роль анализа рисков в процессе создания корпоративной системы информационной безопасности?
24. Что такое списки факторов риска и для чего они используются?
25. По какому принципу лучше производить документирование рисков?
26. Что бы вы внесли в шаблон для описания фактора риска?
27. Что должно входить в перечень необходимых данных на этапе изучения фактического состояния объекта?
28. Сформулируйте требования по составу информации, предоставляемой Предприятием для проведения работ по анализу рисков применительно к его информационной системе?
29. Сформулируйте перечень, требования и содержание отчетных документов для анализа рисков компании?
30. Какова роль в анализе рисков списка полномочий должностных лиц применительно к информационной системе?
31. Какова роль в анализе рисков списка полномочий администрирующего информационную систему персонала?
32. Какова роль в анализе рисков схемы границ безопасности?
33. Применительно к чему определяются границы безопасности в компьютерной системе?
34. Назовите основные этапы проведения анализа рисков информационной системы?
35. Что вы понимаете под ранжированием ценности информации и ранжированием угроз при количественном анализе рисков, какова в нём роль персонала организации?
36. Что такое приемлемые и неприемлемые риски?
37. Какие вы знаете способы качественной оценки рисков?
38. Какие могут быть результаты качественной оценки рисков?
39. В чём заключается специфика анализа рисков в российских условиях?
40. Что следует включить после анализа рисков в экспертное заключение по защищённости системы?
41. Для того чтобы определить возможные риски, какие вопросы следует задать поставщику средств защиты информации декларирующему поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet?
42. Что такое материализация риска в проблему?
43. Что такое управление рисками?
44. В каких случаях может быть допустимо принятие риска?
45. Что такое модель?
46. В каких случаях и для чего проводится моделирование системы?
47. Какие виды моделей вы знаете?
48. Что такое модель противника применительно к компьютерной системе?
49. Какой тип модели в данном случае подходит?
50. Как отобразить (сымитировать, проанализировать) в модели возможности противника по атаке на компьютерную систему?
51. Что такое параллельный анализ, в чем его сущность?
52. В чем состоит параллельный анализ целей и возможностей злоумышленника в компьютерной сети?
53. Анализ критических технологий.
54. Что такое программное инструментальное средство анализа рисков?
55. Как определить ценность инструментального средства анализа рисков?
56. Какие известные программные продукты анализа рисков в настоящий момент представлены на рынке?
57. Знаете ли вы что-нибудь про такие средства анализа рисков как RiskWatch (США), CRAMM (Великобритания), COBRA (Великобритания), Авангард (Россия), какие вы знаете другие средства?
58. Как в данных средствах реализуются количественный и качественный подходы к анализу рисков?
59. Какие рекомендации по применению инструментальных средств анализа защищенности корпоративных систем Inranet/Internet. существуют?
60. Что такое критические технологии?
61. В чем состоит анализ критических технологий?
Тема 2.2 Политика безопасности для компьютерных систем
Дискреционная и многоуровневая политика безопасности. Политика защиты целостности.
Контрольные вопросы
1. Что такое политика безопасности?
2. Раскройте понятие политики безопасности как совокупности норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности?
3. В чем состоят нормы политики информационной безопасности в организации, на предприятии?
4. В чем состоят правила политики информационной безопасности в организации, на предприятии?
5. В чем заключается дискреционное или произвольное управление доступом (Discretionary Access Control)?
6. В чем заключается мандатное или нормативное управление доступом (Mandatory Access Control)?
7. Что такое идентификация и аутентификация и в чем их различие?
8. Что такое многоуровневая политика безопасности (политика MLS)?
9. В чем суть решетки ценностей как основы политики MLS?
10. В чем состоит понятие информационного потока как основы политики MLS?
11. Придерживается ли госсектор России политики MLS в повседневном секретном делопроизводстве?
12. Охарактеризуйте MLS как своего рода «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись?
13. Решаются ли и как вопросы целостности в политике MLS?
14. Дайте понятие целостности объекта?
15. Что вы понимаете под целостностью информации в компьютерных системах?
16. Что вы понимаете под целостностью данных в компьютерных системах?
17. Что вы понимаете под целостностью объектов в компьютерных системах, какое понятие шире?
18. За счет чего, как правило, достигается целостность объектов в информационных системах?
19. Дайте понятие защиты целостности?
20. Назовите основные методы обеспечения целостности информации (данных) при хранении в автоматизированных системах?
Тема 2.3 Государственная политика в области безопасности компьютерных систем
Основные категории требований к программной и программно-аппаратной реализации средств защиты информации. Система лицензирования и сертификации средств защиты. Аттестация защищенных систем. Структуры в РФ, обеспечивающие лицензирование и сертификацию. Нормативная база и ответственность за защиту информации в компьютерных системах. Руководящий документ ФСТЭК по оценке защищенности АС.
Контрольные вопросы
1. Какие можно определить требования к защите информации с позиции системного подхода?
2. Что подразумевается под непрерывностью и плановостью защиты информации?
3. Что подразумевается под целенаправленностью, конкретностью и активностью защиты информации?
4. Что подразумевается надежностью, универсальностью и комплексностью защиты информации?
5. Что такое необходимые требования к защите информации?
6. Какими нормативными документами определяются необходимые требования к защите информации?
7. Чем оправдана частичная обобщённость требований, изложенных в нормативных документах?
8. Что такое дополнительные требования к защите информации, на остове чего они формулируются?
9. Чем обоснована необходимость разработки дополнительных требований к защите информации?
10. Какие две группы критериев безопасности и требований формулируют руководящие документы ФСТЭК России?
11. Что формализует группа требований к защите средств вычислительной техники?
12. Что формализует группа требований к защите автоматизированных систем?
13. Какие существуют требования по управлению доступом к информации в автоматизированных системах?
14. Какие существуют требования по регистрации и учёту в автоматизированных системах?
15. Какие существуют требования по управлению доступом к информации в автоматизированных системах?
16. Какие существуют требования по вопросам криптографии?
17. Какие органы, участвующие в сертификации средств защиты информации в Российской Федерации вы знаете?
18. Какова роль в сертификации ФСТЭК; ФСБ; Министерства Обороны; Службы внешней разведки?
19. Какие органы занимаются сертификацией средств защиты информации по требованиям ФСТЭК России, как формируется перечень этих органов?
20. Что включает в себя система сертификации средств защиты информации по требованиям безопасности информации?
21. Что понимается под объектом информатизации, аттестуемым по требованиям безопасности информации?
22. Какой государственный орган организует деятельность системы сертификации по требованиям защиты информации?
23. Кто составляет перечень средств информатизации, подлежащих и обязательной сертификации?
24. Опишите схему сертификации для единичных образцов средств защиты информации?
25. Опишите схему сертификации для серийных образцов средств защиты информации?
26. Назовите основные руководящие документы Российской Федерации, посвящённые вопросам защиты от несанкционированного доступа к информации?
27. Обрисуйте роль документа «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации» как идейной основы остальных документов?
28. Какова роль документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»?
29. Что такое комплекс средств защиты, согласно этому документу?
30. На сколько уровней распределяются показатели класса защищённости средств вычислительной техники (СВТ) от (НСД), согласно этому документу?
31. Какова роль документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»?
32. Сколько этим документом устанавливается классов защищённости автоматизированных систем (АС) от НСД?
33. По каким группам, согласно специфики обрабатываемой в АС информации, разделяются классы защищённости?
34. Какова роль документа «Защита от несанкционированного доступа к информации. Термины и определения»?
35. Какие зарубежные нормативные документы оказали наибольшее влияние на разработку отечественных документов по защите информации?
36. Что такое аттестация защищенных систем и как она осуществляется?
37. Какие вы знаете структуры в РФ, обеспечивающие лицензирование и сертификацию?
38. Как распределяется ответственность между должностными лицами организации за защиту информации в компьютерных системах?
39. Руководящий документ ФСТЭК по оценке защищенности АС?
40. Какая основная задача по обеспечению безопасности выделяется в этих документах, и какие задачи упущены?
41. Что рассматривается в данных документах под обеспечением защиты от несанкционированного доступа?
42. На что сказывается недостаточное внимание в нормативных документах средствам контроля и обеспечения целостности, а также поддержке работоспособности систем обработки информации?
Раздел III. Американские и европейские стандарты по защите информации
Тема 3.1 Американские стандарты обеспечения безопасности информации «Оранжевая книга», «Федеральные критерии»
"Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC). Построение гарантированно защищенных баз данных и их оценка по стандарту "Оранжевая книга". Американские Федеральные критерии безопасности информационных технологий.
Контрольные вопросы.
1. Что вы знаете про "Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC), так называемую «Оранжевую книгу»?
2. Каким ведомством США, и в каком году она выпущена?
3. Даёт ли «Оранжевая книга» ответ на вопрос как строить безопасные, надежные системы?
4. Даёт ли «Оранжевая книга» ответ на вопрос как поддерживать режим безопасности?
5. Почему она не даёт ответа на эти вопросы?
6. На кого ориентирована «Оранжевая книга»?
7. Что вы понимаете под понятием критериев оценки надёжных компьютерных систем описанных в «Оранжевой книге»?
8. Чем понятие надёжной системы отличается от понятия безопасной системы?
9. Как в «Оранжевой книге» трактуются понятие «надёжный», «надёжная система»?
10. Как поясняется понятие безопасной системы в оранжевой книге?
11. Что в «Оранжевой книге» понимается под основным назначением надежной вычислительной базы – выполнением функции монитора обращений?
12. Выполнение каких трёх свойств требуется от монитора обращений?
13. Раскройте понятие свойств изолированности, полноты, верифицируемости?
14. Почему реализация монитора обращений называется ядром безопасности?
15. Поясните определение границы надежной вычислительной базы как периметра безопасности?
16. Какой новый смысл придан периметру безопасности с развитием распределённых систем?
17. Что в «оранжевой книге» понимается под политикой безопасности?
18. Перечислите основные элементы политики безопасности, описанные в «оранжевой книге»?
19. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как добровольное управление доступом?
20. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как безопасность повторного использования объектов?
21. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как метки безопасности?
22. Перечислите метки безопасности?
23. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как принудительное управление доступом?
24. Какие средства подотчётности описаны в «Оранжевой книге»?
25. Прокомментируйте кратко каждое из средств подотчётности по «Оранжевой книге» (идентификация и аутентификация, предоставление надежного пути, анализ регистрационной информации)?
26. Что в «Оранжевой книге» понимается под гарантированностью?
27. Прокомментируйте кратко согласно «Оранжевой книге» проверку каждого из элементов гарантированности (архитектура системы, целостность системы, анализ тайных каналов передачи информации, надежное администрирование, надежное восстановление после сбоев)?
28. Какие тома согласно "Оранжевой книге", должны входить в комплект документации надежной системы?
29. Прокомментируйте кратко содержание томов, которые должны входить в комплект документации надёжной системы по «Оранжевой книге» (руководство пользователя по средствам безопасности, руководство администратора по средствам безопасности, тестовая документация, описание архитектуры)?
30. Опишите ранжирование информационных систем по степени надежности согласно «Оранжевой книге»?
31. Что вы знаете про «Американский федеральный стандарт по обработке информации» (Federal Information Processing Standard)?
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
