127. Что представляет собой процесс управления уровнем услуг?
128. Что представляет собой процесс управления мощностями (емкостью)?
129. Что представляет собой процесс управления доступностью?
130. Что представляет собой процесс управления непрерывностью?
131. Что представляет собой процесс управления финансами?
132. Какую роль в структуре процессов ITSM играет служба поддержки пользователей?
133. Существуют ли программные продукты для автоматизации описанных в Библиотеке процессов?
134. Существуют ли консультационные услуги по внедрению подхода ITIL?
135. Защищена ли авторскими правами и возможно ли воспроизведение или публикация материалов библиотеки ITIL?
136. Ограничивается ли авторскими правами использование подхода, процессов и практик, описанных в ITIL?
137. Какие уровни включает в себя, кем поддерживается (какими компаниями) и кому могут быть выданы (организациям или отдельным специалистам) квалификационные свидетельства ITIL?
138. Что используется для "доказательства" соответствия ПО рекомендациям ITIL, и предоставляет ли услуги по проверке соответствия ITIL организация OGC?
139. Назовите основные причины, обеспечившие ITIL высокую популярность?
140. Существуют ли аналогичные библиотеке ITIL наборы рекомендаций, разработанные другими организациями компаниями?
141. Можете ли указать на какие-либо особенности в рекомендациях разработанных самими производителями информационных систем (например, HP ITSM, IBM Information Management System – IMS, Microsoft Operations Framework – MOF)?
142. По каким доверенным источникам, кроме самих книг, следует изучать ITIL (серия карманных руководств – itSMF Pocket Guides, стартовый комплект – ITIL and IT Service Management Starter Kit, рекомендации для малых организаций – ITIL Small Scale Implementations)?
Семинарское занятие № 2
Тема 2: «Технологии защиты информации».
Обсуждаемый вопрос. Основные угрозы информации в компьютерных системах, политики безопасности. Политика безопасности России в области компьютерных систем.
Темы докладов, рефератов, сообщений.
Ценность информационной составляющей функционирования организации и предприятия. Опасности, потери, риски связаны с несанкционированным доступом к информации, с утерей или порчей информации.
Понятие угрозы для высокоорганизованной системы. Различие, с точки зрения защиты, между работой человека, с информацией, представленной в бумажном документе, и работой пользователя, с информацией, циркулирующей в компьютерных системах.
Понятие угрозы как совокупности факторов, стремящихся нарушить работу системы. Особенности угроз для компьютерных систем. Примеры угроз, которые могут быть для компьютерных систем.
Виды угроз, традиционно выделяемые для компьютерных систем. Угрозы конфиденциальности и целостности информации, угрозы отказа в обслуживании.
Характер возникновения угроз для компьютерных систем. Примеры и характеристика случайных (объективных) угроз, целенаправленных (субъективных) угроз. «Традиционные» и новые угрозы.
Специфика возникновения угроз в открытых компьютерных сетях. Особенности защиты информации на узлах компьютерной сети?
Системные вопросы защиты программ и данных. Понятие риска. Сравнение понятия «риск» и «угроза» применительно к защищённости компьютерных систем.
Анализ рисков, порядок его проведения, роль анализа рисков в процессе создания корпоративной системы информационной безопасности.
Списки факторов риска и их использование. Принцип документирования рисков, шаблон для описания фактора риска.
Перечень необходимых данных на этапе изучения фактического состояния объекта. Требования по составу информации, предоставляемой предприятием для проведения работ по анализу рисков применительно к его информационной системе.
Перечень и требования к содержанию отчетных документов для анализа рисков компании, их роль в анализе рисков.
Основные этапы проведения анализа рисков информационной системы, последовательность и содержание.
Ранжирование ценности информации и ранжирование угроз при количественном анализе рисков, какова роль персонала организации.
Способы и результаты качественной оценки рисков для информационных систем. Приемлемые и неприемлемые риски.
Что следует включить после анализа рисков в экспертное заключение по защищённости системы?
Специфика анализа рисков в российских условиях. Вопросы, которые следует задать поставщику средств защиты информации декларирующему поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet.
Управление рисками для информационных систем. Материализация риска для информационной системы в проблему. Принятие риска.
Модель, определение и сущность. Виды моделей и их назначение. Задачи моделирования систем. Основные понятия, связанные с моделированием.
Модель противника применительно к компьютерной системе. Отображение (имитация, анализ) в модели возможностей противника по атаке на компьютерную систему.
Параллельный анализ, его сущность. Параллельный анализ целей и возможностей злоумышленника в компьютерной сети. Анализ критических технологий.
Понятие программного инструментального средства анализа рисков, определение его ценности. Известные программные продукты анализа рисков, представленные на рынке, особенности реализации в них количественного и качественного подходов к анализу рисков.
Политика безопасности её понятие. Нормы и правила политики информационной безопасности в организации, на предприятии.
Дискреционное и мандатное управление доступом, сущность и основные различия. Идентификация и аутентификация в информационных системах, определения, различие.
Многоуровневая политика безопасности (политика MLS). Понятия решетки ценностей и информационного потока как основа политики MLS. Придерживается ли государственный сектор России политики MLS в повседневном секретном делопроизводстве?
Понятие целостности объекта. Целостность информации в компьютерных системах. Понятие защиты целостности.
Основные методы обеспечения целостности информации (данных) при хранении в автоматизированных системах.
Требования к защите информации в компьютерных системах с позиции системного подхода. Характеристика требований.
Типовые нормативные документы, определяющие необходимые требования к защите информации. Основные и дополнительные требования к защите информации.
Группы критериев безопасности информации и требований формулируемые в руководящих документах ФСТЭК России.
Требования по регистрации и учёту, по управлению доступом, по вопросам криптографии в автоматизированных системах формулируемые в руководящих документах ФСТЭК.
Органы, участвующие в сертификации средств защиты информации в Российской Федерации. Роль в сертификации ФСТЭК, ФСБ, Министерства Обороны, Службы внешней разведки.
Система сертификации средств защиты информации по требованиям безопасности информации. Понятие объекта информатизации, аттестуемого по требованиям безопасности информации.
Деятельность системы сертификации по требованиям защиты информации. Определение перечня средств информатизации, подлежащих и обязательной сертификации.
Схема сертификации для единичных образцов средств защиты информации для России.
Схема сертификации для серийных образцов средств защиты информации для России.
Основные руководящие документы Российской Федерации, посвящённые вопросам защиты от несанкционированного доступа к информации.
Нормативный документ «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации», назначение и содержание.
Нормативный документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» назначение и содержание.
Нормативный документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», назначение и содержание.
Нормативный документ «Защита от несанкционированного доступа к информации. Термины и определения», его назначение и содержание.
Зарубежные нормативные документы, оказавшие наибольшее влияние на разработку отечественных документов по защите информации.
Аттестация защищенных систем, порядок ее проведения структуры в РФ, обеспечивающие лицензирование и сертификацию. Руководящий документ ФСТЭК по оценке защищенности АС.
Вопросы для самопроверки и дискуссии.
1. Охарактеризуйте обобщённо, какую ценность для организации и предприятия представляет информационная составляющая его функционирования?
2. Какие опасности, потери, риски связаны с несанкционированным доступом к информации?
3. Какие опасности, потери, риски связаны с утерей или порчей информации?
4. Сформулируйте обобщённо понятие угрозы для любой высокоорганизованной системы?
5. В чём принципиальное различие, с точки зрения защиты, между работой человека, с информацией, представленной в бумажном документе, и работой пользователя, с информацией, циркулирующей в компьютерных системах?
6. Охарактеризуйте понятие угрозы как совокупности факторов, стремящихся нарушить работу системы?
7. Какие особенности угроз могут быть для компьютерных систем?
8. Назовите своими словами угрозы, которые могут быть для компьютерных систем?
9. Какие виды угроз традиционно выделяют для компьютерных систем?
10. Что следует понимать под угрозами конфиденциальности информации?
11. Что следует понимать под угрозами целостности информации?
12. Что следует понимать под угрозами отказа в обслуживании?
13. Каков может быть характер возникновения угроз?
14. Назовите примеры случайных (объективных) угроз, охарактеризуйте их?
15. Назовите примеры целенаправленных (субъективных) угроз, охарактеризуйте их?
16. Что понимается под «традиционными» и новыми угрозами, как защита системы должна соответствовать тем и другим?
17. В чём состоит специфика возникновения угроз в открытых компьютерных сетях?
18. Каковы особенности защиты информации на узлах компьютерной сети?
19. Какие существуют системные вопросы защиты программ и данных?
20. Что такое риск?
21. Сравните понятия «риск» и «угроза» применительно к защищённости компьютерных систем?
22. Что такое анализ рисков, как он проводится?
23. Какова роль анализа рисков в процессе создания корпоративной системы информационной безопасности?
24. Что такое списки факторов риска и для чего они используются?
25. По какому принципу лучше производить документирование рисков?
26. Что бы вы внесли в шаблон для описания фактора риска?
27. Что должно входить в перечень необходимых данных на этапе изучения фактического состояния объекта?
28. Сформулируйте требования по составу информации, предоставляемой Предприятием для проведения работ по анализу рисков применительно к его информационной системе?
29. Сформулируйте перечень, требования и содержание отчетных документов для анализа рисков компании?
30. Какова роль в анализе рисков списка полномочий должностных лиц применительно к информационной системе?
31. Какова роль в анализе рисков списка полномочий администрирующего информационную систему персонала?
32. Какова роль в анализе рисков схемы границ безопасности?
33. Применительно к чему определяются границы безопасности в компьютерной системе?
34. Назовите основные этапы проведения анализа рисков информационной системы?
35. Что вы понимаете под ранжированием ценности информации и ранжированием угроз при количественном анализе рисков, какова в нём роль персонала организации?
36. Что такое приемлемые и неприемлемые риски?
37. Какие вы знаете способы качественной оценки рисков?
38. Какие могут быть результаты качественной оценки рисков?
39. В чём заключается специфика анализа рисков в российских условиях?
40. Что следует включить после анализа рисков в экспертное заключение по защищённости системы?
41. Для того чтобы определить возможные риски, какие вопросы следует задать поставщику средств защиты информации декларирующему поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet?
42. Что такое материализация риска в проблему?
43. Что такое управление рисками?
44. В каких случаях может быть допустимо принятие риска?
45. Что такое модель?
46. В каких случаях и для чего проводится моделирование системы?
47. Какие виды моделей вы знаете?
48. Что такое модель противника применительно к компьютерной системе?
49. Какой тип модели в данном случае подходит?
50. Как отобразить (сымитировать, проанализировать) в модели возможности противника по атаке на компьютерную систему?
51. Что такое параллельный анализ, в чем его сущность?
52. В чем состоит параллельный анализ целей и возможностей злоумышленника в компьютерной сети?
53. Анализ критических технологий.
54. Что такое программное инструментальное средство анализа рисков?
55. Как определить ценность инструментального средства анализа рисков?
56. Какие известные программные продукты анализа рисков в настоящий момент представлены на рынке?
57. Знаете ли вы что-нибудь про такие средства анализа рисков как RiskWatch (США), CRAMM (Великобритания), COBRA (Великобритания), Авангард (Россия), какие вы знаете другие средства?
58. Как в данных средствах реализуются количественный и качественный подходы к анализу рисков?
59. Какие рекомендации по применению инструментальных средств анализа защищенности корпоративных систем Inranet/Internet. существуют?
60. Что такое критические технологии?
61. В чем состоит анализ критических технологий?
62. Что такое политика безопасности?
63. Раскройте понятие политики безопасности как совокупности норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности?
64. В чем состоят нормы политики информационной безопасности в организации, на предприятии?
65. В чем состоят правила политики информационной безопасности в организации, на предприятии?
66. В чем заключается дискреционное или произвольное управление доступом (Discretionary Access Control)?
67. В чем заключается мандатное или нормативное управление доступом (Mandatory Access Control)?
68. Что такое идентификация и аутентификация и в чем их различие?
69. Что такое многоуровневая политика безопасности (политика MLS)?
70. В чем суть решетки ценностей как основы политики MLS?
71. В чем состоит понятие информационного потока как основы политики MLS?
72. Придерживается ли госсектор России политики MLS в повседневном секретном делопроизводстве?
73. Охарактеризуйте MLS как своего рода «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись?
74. Решаются ли и как вопросы целостности в политике MLS?
75. Дайте понятие целостности объекта?
76. Что вы понимаете под целостностью информации в компьютерных системах?
77. Что вы понимаете под целостностью данных в компьютерных системах?
78. Что вы понимаете под целостностью объектов в компьютерных системах, какое понятие шире?
79. За счет чего, как правило, достигается целостность объектов в информационных системах?
80. Дайте понятие защиты целостности?
81. Назовите основные методы обеспечения целостности информации (данных) при хранении в автоматизированных системах?
82. Какие можно определить требования к защите информации с позиции системного подхода?
83. Что подразумевается под непрерывностью и плановостью защиты информации?
84. Что подразумевается под целенаправленностью, конкретностью и активностью защиты информации?
85. Что подразумевается надежностью, универсальностью и комплексностью защиты информации?
86. Что такое необходимые требования к защите информации?
87. Какими нормативными документами определяются необходимые требования к защите информации?
88. Чем оправдана частичная обобщённость требований, изложенных в нормативных документах?
89. Что такое дополнительные требования к защите информации, на остове чего они формулируются?
90. Чем обоснована необходимость разработки дополнительных требований к защите информации?
91. Какие две группы критериев безопасности и требований формулируют руководящие документы ФСТЭК?
92. Что формализует группа требований к защите средств вычислительной техники?
93. Что формализует группа требований к защите автоматизированных систем?
94. Какие существуют требования по управлению доступом к информации в автоматизированных системах?
95. Какие существуют требования по регистрации и учёту в автоматизированных системах?
96. Какие существуют требования по управлению доступом к информации в автоматизированных системах?
97. Какие существуют требования по вопросам криптографии?
98. Какие органы, участвующие в сертификации средств защиты информации в Российской Федерации вы знаете?
99. Какова роль в сертификации ФСТЭК; ФСБ; Министерства Обороны; Службы внешней разведки?
100. Какие органы занимаются сертификацией средств защиты информации по требованиям ФСТЭК, как формируется перечень этих органов?
101. Что включает в себя система сертификации средств защиты информации по требованиям безопасности информации?
102. Что понимается под объектом информатизации, аттестуемым по требованиям безопасности информации?
103. Какой государственный орган организует деятельность системы сертификации по требованиям защиты информации?
104. Кто составляет перечень средств информатизации, подлежащих и обязательной сертификации?
105. Опишите схему сертификации для единичных образцов средств защиты информации?
106. Опишите схему сертификации для серийных образцов средств защиты информации?
107. Назовите основные руководящие документы Российской Федерации, посвящённые вопросам защиты от несанкционированного доступа к информации?
108. Обрисуйте роль документа «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации» как идейной основы остальных документов?
109. Какова роль документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»?
110. Что такое комплекс средств защиты, согласно этому документу?
111. На сколько уровней распределяются показатели класса защищённости средств вычислительной техники (СВТ) от (НСД), согласно этому документу?
112. Какова роль документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»?
113. Сколько этим документом устанавливается классов защищённости автоматизированных систем (АС) от НСД?
114. По каким группам, согласно специфики обрабатываемой в АС информации, разделяются классы защищённости?
115. Какова роль документа «Защита от несанкционированного доступа к информации. Термины и определения»?
116. Какие зарубежные нормативные документы оказали наибольшее влияние на разработку отечественных документов по защите информации?
117. Что такое аттестация защищенных систем и как она осуществляется?
118. Какие вы знаете структуры в РФ, обеспечивающие лицензирование и сертификацию?
119. Как распределяется ответственность между должностными лицами организации за защиту информации в компьютерных системах?
120. Руководящий документ ФСТЭК по оценке защищенности АС?
121. Какая основная задача по обеспечению безопасности выделяется в этих документах, и какие задачи упущены?
122. Что рассматривается в данных документах под обеспечением защиты от несанкционированного доступа?
123. На что сказывается недостаточное внимание в нормативных документах средствам контроля и обеспечения целостности, а также поддержке работоспособности систем обработки информации?
Семинарское занятие № 3
Тема 3: «Американские и европейские стандарты по защите информации».
Обсуждаемый вопрос. «Оранжевая книга и Федеральные критерии безопасности информационных систем (США), ITSEC (Европа).
Темы докладов, рефератов, сообщений.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» (Trusted Computer Systems Evaluation Criteria – TCSEC), – «Оранжевая книга». Появление, назначение, содержание. Понятия: «безопасная система», «надёжный», «надёжная система».
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Основное назначение надежной вычислительной базы. Свойства, требуемые от монитора сообщений.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Границы надежной вычислительной базы, определение как периметра безопасности. Новый смысл периметра безопасности, применительно к распределённым системам.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Понятие политики безопасности. Основные элементы политики безопасности.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Средства подотчётности, понятие и характеристика каждого из средств.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Гарантированность, элементы гарантированности и их характеристика.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Тома комплекта документации надёжной системы, их содержание.
Стандарт МО США «Критерии оценки надёжных компьютерных систем» («Оранжевая книга»). Ранжирование информационных систем по степени надежности.
«Американский федеральный стандарт по обработке информации» (Federal Information Processing Standard). Появление, назначение, содержание.
«Федеральные критерии безопасности информационных технологий» США (Federal Criteria for Information Technology Security). Появление, назначение, содержание. Преимущества «Федеральных критериев» по сравнению с «Оранжевой книгой».
«Федеральные критерии безопасности информационных технологий» США. История разработки «Федеральных критериев», преследовавшиеся при этом цели.
«Федеральные критерии безопасности информационных технологий» США. Основные объекты требований безопасности, понятие продукта информационных технологий (ИТ-продукта). Различие между ИТ-продуктом и системой обработки информации Чем, согласно «Федеральным критериям» определяется безопасность ИТ-продукта.
Федеральные критерии безопасности информационных технологий» США. Понятие профиля защиты. Назначение, структура и этапы разработки профиля защиты.
«Федеральные критерии безопасности информационных технологий» США. Этапы разработки систем обработки информации описываемые «Федеральными критериями», их характеристика.
«Федеральные критерии безопасности информационных технологий» США. Функциональные требования к ИТ-продукту, их таксономию и ранжирование согласно «Федеральным критериям».
«Федеральные критерии безопасности информационных технологий» США. Требования к технологии разработки ИТ-продукта согласно «Федеральным критериям», их характеристика.
«Федеральные критерии безопасности информационных технологий» США. Требования к процессу квалификационного анализа ИТ-продукта согласно «Федеральным критериям», их характеристика.
Европейские согласованные «Критерии безопасности информационных технологий» (Information Technology Security Evaluation Criteria – ITSEC) – «Европейские критерии». Появление назначение содержание.
«Европейские критерии» безопасности информационных технологий (ITSEC). Рассматриваемые в них задачи средств информационной безопасности. Задача защиты информации от несанкционированного доступа с целью обеспечения конфиденциальности.
«Европейские критерии» безопасности информационных технологий (ITSEC). Задача обеспечения целостности информации посредством защиты от её несанкционированной модификации или уничтожения. Задача обеспечения работоспособности систем с помощью противодействия угрозам отказа в обслуживании.
«Европейские критерии» безопасности информационных технологий (ITSEC). Понятие адекватности (assurance). Понятия эффективности и корректности как аспектов адекватности.
«Европейские критерии» безопасности информационных технологий (ITSEC). Слагаемые общей оценка уровня безопасности системы.
«Европейские критерии» безопасности информационных технологий (ITSEC). Функциональная мощность средств защиты (функциональные критерии) как составляющая общей оценки уровня безопасности системы.
«Европейские критерии» безопасности информационных технологий (ITSEC). Уровни детализации входящие в функциональные критерии. Уровень целей обеспечения безопасности.
Европейские критерии» безопасности информационных технологий (ITSEC). Уровни детализации входящие в функциональные критерии. Уровень спецификации функций защиты.
Европейские критерии» безопасности информационных технологий (ITSEC). Уровни детализации входящие в функциональные критерии. Уровень реализующих защиту механизмов?
Европейские критерии» безопасности информационных технологий (ITSEC). Классы-шаблоны для спецификации набора функций безопасности.
«Европейские критерии» безопасности информационных технологий (ITSEC). Уровень адекватности реализации средств защиты (критерии адекватности) как составляющая общей оценки уровня безопасности системы.
Европейские критерии» безопасности информационных технологий (ITSEC). Понятие степени безопасности, определяемые уровни безопасности.
Вопросы для самопроверки и дискуссии.
1. Что вы знаете про "Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC), так называемую «Оранжевую книгу»?
2. Каким ведомством США, и в каком году она выпущена?
3. Даёт ли «Оранжевая книга» ответ на вопрос как строить безопасные, надежные системы?
4. Даёт ли «Оранжевая книга» ответ на вопрос как поддерживать режим безопасности?
5. Почему она не даёт ответа на эти вопросы?
6. На кого ориентирована «Оранжевая книга»?
7. Что вы понимаете под понятием критериев оценки надёжных компьютерных систем описанных в «Оранжевой книге»?
8. Чем понятие надёжной системы отличается от понятия безопасной системы?
9. Как в «Оранжевой книге» трактуются понятие «надёжный», «надёжная система»?
10. Как поясняется понятие безопасной системы в оранжевой книге?
11. Что в «Оранжевой книге» понимается под основным назначением надежной вычислительной базы – выполнением функции монитора обращений?
12. Выполнение каких трёх свойств требуется от монитора обращений?
13. Раскройте понятие свойств изолированности, полноты, верифицируемости?
14. Почему реализация монитора обращений называется ядром безопасности?
15. Поясните определение границы надежной вычислительной базы как периметра безопасности?
16. Какой новый смысл придан периметру безопасности с развитием распределённых систем?
17. Что в «оранжевой книге» понимается под политикой безопасности?
18. Перечислите основные элементы политики безопасности, описанные в «оранжевой книге»?
19. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как добровольное управление доступом?
20. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как безопасность повторного использования объектов?
21. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как метки безопасности?
22. Перечислите метки безопасности?
23. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как принудительное управление доступом?
24. Какие средства подотчётности описаны в «Оранжевой книге»?
25. Прокомментируйте кратко каждое из средств подотчётности по «Оранжевой книге» (идентификация и аутентификация, предоставление надежного пути, анализ регистрационной информации)?
26. Что в «Оранжевой книге» понимается под гарантированностью?
27. Прокомментируйте кратко согласно «Оранжевой книге» проверку каждого из элементов гарантированности (архитектура системы, целостность системы, анализ тайных каналов передачи информации, надежное администрирование, надежное восстановление после сбоев)?
28. Какие тома согласно "Оранжевой книге", должны входить в комплект документации надежной системы?
29. Прокомментируйте кратко содержание томов, которые должны входить в комплект документации надёжной системы по «Оранжевой книге» (руководство пользователя по средствам безопасности, руководство администратора по средствам безопасности, тестовая документация, описание архитектуры)?
30. Опишите ранжирование информационных систем по степени надежности согласно «Оранжевой книге»?
31. Что вы знаете про «Американский федеральный стандарт по обработке информации» (Federal Information Processing Standard)?
32. Что такое «Федеральные критерии безопасности информационных технологий» (Federal Criteria for Information Technology Security)?
33. Когда были разработаны «Федеральные критерии», какие цели при этом преследовались?
34. Какие основные объекты требований безопасности «Федеральных критериев»?
35. Что в «Федеральных критериях» понимается под продуктом информационных технологий (ИТ-продуктом)?
36. В чём различие между ИТ-продуктом и системой обработки информации согласно «Федеральным критериям»?
37. Являются ли предметом рассмотрения «Федеральных критериев» вопросы построения систем обработки информации из набора ИТ-критериев?
38. Чем, согласно «Федеральным критериям» определяется безопасность ИТ-продукта?
39. Что такое профиль защиты согласно «Федеральным критериям»?
40. Раскройте понятие профиля защиты как ключевого элемента информационной безопасности по «Федеральным критериям»?
41. Охарактеризуйте назначение, структуру и этапы разработки профиля защиты?
42. Какие этапы разработки систем обработки информации описывают «Федеральные критерии»?
43. Охарактеризуйте функциональные требования к ИТ-продукту, таксономию и ранжирование согласно «Федеральным критериям»?
44. Охарактеризуйте требования к технологии разработки ИТ-продукта согласно «Федеральным критериям»?
45. Охарактеризуйте требования к процессу квалификационного анализа ИТ-продукта согласно «Федеральным критериям»?
46. В чём состоит преимущество «Федеральных критериев» по сравнению с «Оранжевой книгой»?
47. Охарактеризуйте коротко разработанные в Европе согласованные «Критерии безопасности информационных технологий» (Information Technology Security Evaluation Criteria – ITSEC) – «Европейские критерии»?
48. Какие задачи средств информационной безопасности рассматривают «Европейские критерии»?
49. В чём состоит согласно «Европейским критериям» задача защиты информации от несанкционированного доступа с целью обеспечения конфиденциальности?
50. В чём состоит согласно «Европейским критериям» задача обеспечения целостности информации посредством защиты от её несанкционированной модификации или уничтожения?
51. В чём состоит согласно «Европейским критериям» задача обеспечения работоспособности систем с помощью противодействия угрозам отказа в обслуживании?
52. Что составляет понятие адекватности (assurance) в «Европейских критериях»?
53. Что в «Европейских критериях» входит в понятие эффективности как одного из аспектов адекватности?
54. Что в «Европейских критериях» входит в понятие корректности как одного из аспектов адекватности?
55. Из чего складывается общая оценка уровня безопасности системы согласно «Европейским критериям»?
56. Что представляет собой функциональная мощность средств защиты (функциональные критерии) как составляющая общей оценки уровня безопасности системы по «Европейским критериям»?
57. Сколько и каких уровней детализации входит в функциональные критерии?
58. Что рассматривает уровень целей обеспечения безопасности?
59. Что (какие требования) рассматривает уровень спецификации функций защиты?
60. Что рассматривает уровень реализующих защиту механизмов?
61. Сколько и каких существует в «Европейских критериях» заранее определённых классов-шаблонов со ссылками, на которые может специфицироваться набор функций безопасности?
62. Что представляет собой уровень адекватности реализации средств защиты (критерии адекватности) как составляющая общей оценки уровня безопасности системы по «Европейским критериям»?
63. Какое внимание уделяется критериям адекватности в «европейских критериях»?
64. Что такое согласно «Европейским критериям» степень безопасности, и какие уровни безопасности определяются?
65. Что в «Европейских критериях» представляет собой базовый уровень безопасности?
66. Что в «Европейских критериях» представляет собой средний уровень безопасности?
67. Что в «Европейских критериях» представляет собой высокий уровень безопасности?
68. Охарактеризуйте понятие адекватности как главного нового достижения разработанного в «Европейских критериях»?
Семинарское занятие № 4
Тема 4: «Общие (единые) критерии оценки защищённости информационных технологий».
Обсуждаемый вопрос. Единые критерии как результат обобщения всех предыдущих достижений в области стандартизации безопасности информационных технологий.
Темы докладов, рефератов, сообщений.
«Единые критерии безопасности информационных технологий» (Common Criteria of Information Technology Security Evaluation) – «Единые критерии» (Common Criteria). Появление, историческая документальная основа, авторы, назначение, последняя версия, содержание. Соответствующие стандарты ISO.
«Единые критерии безопасности информационных технологий» (Common Criteria). Совместимость с существующими национальными стандартами по информационной безопасности. Развитие ранее разработанных стандартов. Группы специалистов, в расчёте на которых разрабатывались «Единые критерии».
Единые критерии безопасности информационных технологий» (Common Criteria). Понятие «продукт информационных технологий» (ИТ-продукт). Понятие единого набора требований, которым должен удовлетворять ИТ-продукт. Механизм «проект защиты».
«Единые критерии безопасности информационных технологий» (Common Criteria). Определение границ ответственности «производителей» для прохождения ИТ-продуктом квалификационного анализа. Порядок проведения квалификационного анализа и сертификации ИТ-продукта.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
