«Единые критерии безопасности информационных технологий» (Common Criteria). Понятия: «информационная безопасность», «профиль защиты», «проект защиты», «задачи защиты».
«Единые критерии безопасности информационных технологий» (Common Criteria). Причинно-следственные связи, установленные между базовыми понятиями «Единых критериев». Наиболее существенный аспект требований к ИТ-продукту. Понятие типовых требований и частного набора требований к ИТ-продукту.
«Единые критерии безопасности информационных технологий» (Common Criteria). Функциональные требования и требования по адекватности. Характеристика адекватности ИТ-продукта.
«Единые критерии безопасности информационных технологий» (Common Criteria). Классы требований. Иерархическая структура набора ранжированных требований. Содержание описания уровней иерархии: классы, разделы, требования.
«Единые критерии безопасности информационных технологий» (Common Criteria). Специфика ранжирования требований в «Единых критериях» по сравнению с «Федеральными критериями»?
«Единые критерии безопасности информационных технологий» (Common Criteria). Множество частных шкал и их упорядоченность. Объекты регистрации и учёта, описываемые в разделах требований к ИТ продукту.
«Единые критерии безопасности информационных технологий» (Common Criteria). Схема описания функционального требования. Таксономия классов функциональных требований. Классы функциональных требований.
«Единые критерии безопасности информационных технологий» (Common Criteria). Таксономия функциональных требований класса защиты информации и класса надёжности защиты.
«Единые критерии безопасности информационных технологий» (Common Criteria). Таксономия функциональных требований класса идентификации и аутентификации, а также класса аудита.
«Единые критерии безопасности информационных технологий» (Common Criteria). Таксономия функциональных требований класса управления безопасностью и класса криптографии.
«Единые критерии безопасности информационных технологий» (Common Criteria). Материалы, предоставляемые разработчиком ИТ-продукта для проведения квалификационного анализа. Процесс квалификационного анализа ИТ-продукта.
«Единые критерии безопасности информационных технологий» (Common Criteria). Квалификационный анализ ИТ-продукта. Этап анализа профиля защиты. Этап анализа проекта защиты.
«Единые критерии безопасности информационных технологий» (Common Criteria). Этап анализа ИТ-продукта на предмет соответствия проекту защиты. Заключение как результат квалификационного анализа.
«Единые критерии безопасности информационных технологий» (Common Criteria). Структура и содержание документа «Профиль защиты».
«Единые критерии безопасности информационных технологий» (Common Criteria). Структура и содержание документа «Проект защиты».
«Единые критерии безопасности информационных технологий» (Common Criteria). Схема технологического цикла применения «Единых критериев» к разработке, квалификационному анализу, эксплуатации и модернизации информационной системы.
«Единые критерии безопасности информационных технологий» (Common Criteria). Ранжирование и таксономия требований адекватности согласно «Единым критериям».
«Единые критерии безопасности информационных технологий» (Common Criteria). Уровни адекватности ИТ-продукта согласно «Единым критериям», их содержание.
Вопросы для самопроверки и дискуссии.
1. Что такое «Единые критерии безопасности информационных технологий» (Common Criteria of Information Technology Security Evaluation)?
2. На основе чего, и авторами каких национальных документов создавались «Единые критерии» (Common Criteria)?
3. Сохраняют ли «Единые критерии» совместимость с существующими национальными стандартами по безопасности?
4. Как «Единые критерии» развивают требования ранее разработанных стандартов по информационной безопасности?
5. Какая последняя версия «Единые критерии»?
6. Каким стандартом ISO утверждены «Единые критерии»?
7. Охарактеризуйте понятие «продукт информационных технологий» (ИТ-продукт) которым оперируют «Единые критерии»?
8. Назовите три группы специалистов, в расчёте на которых разрабатывались «Единые критерии»?
9. Охарактеризуйте группу «потребители», как они рассматривают квалификацию уровня безопасности ИТ-продукта?
10. На основании чего составляются запросы группы «потребители»?
11. Что подразумевается под тем, что «Единые критерии»? предоставляют «потребителям» механизм профилей защиты?
12. Как используются «Единые критерии» группой «производители»?
13. Дают ли «Единые критерии» производителям определить единый набор требованиям, которым должен удовлетворять ИТ-продукт?
14. Как производители используют «Единые критерии» для обоснования того, что их ИТ-продукт успешно противостоит угрозам?
15. Что представляет собой механизм «проект защиты» предлагаемый в «Единых требованиях»?
16. Подходят ли «Единые критерии» для определения границ ответственности «производителей» и для прохождения ИТ-продуктом квалификационного анализа?
17. Как использует «Единые критерии» группа «эксперты»?
18. Насколько детально в «Единых критериях» описывается проведение квалификационного анализа и сертификации ИТ-продукта?
19. Как «Единые критерии» рассматривают понятие информационной безопасности?
20. Сформулируйте базовое понятие «Единых критериев» «профиль защиты»?
21. Сформулируйте базовое понятие «Единых критериев» «проект защиты»?
22. Сформулируйте базовое понятие «Единых критериев» «задачи защиты»?
23. Опишите причинно-следственные связи, установленные между базовыми понятиями «Единых критериев»?
24. Какой с позиции «Единых критериев наиболее существенный аспект требований к ИТ-продукту?
25. Что такое типовые требования и частный набор требований к ИТ-продукту?
26. На какие две категории разделяются все требования безопасности по «Единым критериям»?
27. Что регламентируют по «Единым критериям» функциональные требования?
28. Что регламентируют согласно «Единым критериям» требования по адекватности?
29. Дайте характеристику адекватности ИТ-продукта?
30. Что такое класс требований?
31. Опишите иерархическую структуру набора ранжированных требований?
32. Что входит в описание каждого уровня иерархии: классы, разделы, требования?
33. В чём специфика ранжирования требований в «Единых критериях» по сравнению с «Федеральными критериями»?
34. Что такое множество частных шкал и насколько они упорядочены?
35. Что такое объекты регистрации и учёта, описываемые в разделах требований к ИТ продукту?
36. По какой схеме описывается функциональное требование согласно «Единым критериям»?
37. Опишите таксономию классов функциональных требований по «Единым критериям»?
38. Какие классы функциональных требований согласно «Единым критериям» вы знаете?
39. Опишите таксономию функциональных требований класса защиты информации?
40. Опишите таксономию функциональных требований класса надёжности защиты?
41. Опишите таксономию функциональных требований класса идентификации и аутентификации?
42. Опишите таксономию функциональных требований класса аудита?
43. Опишите таксономию функциональных требований класса управления безопасностью?
44. Опишите таксономию функциональных требований класса криптографии?
45. Как, согласно «Единым критериям» может быть достигнута безопасность информационных технологий?
46. Какие материалы должен согласно «Единым критериям» предоставить разработчик ИТ-продукта для проведения квалификационного анализа?
47. Какие стадии включает процесс квалификационного анализа ИТ-продукта?
48. Этап анализа профиля защиты, – на предмет чего он анализируется?
49. Этап анализа проекта защиты, – на предмет чего он анализируется?
50. Охарактеризуйте этап анализа ИТ-продукта на предмет соответствия проекту защиты?
51. Из чего состоит заключение как результат квалификационного анализа?
52. Опишите структуру и содержание документа «Профиль защиты»?
53. Опишите структуру и содержание документа «Проект защиты»?
54. Охарактеризуйте виды каналов утечки информации согласно «Единым требованиям»?
55. .Охарактеризуйте методологию каналов утечки информации согласно «Единым требованиям»?
56. Опишите схему технологического цикла применения «Единых критериев» к разработке, квалификационному анализу, эксплуатации и модернизации информационной системы?
57. Опишите ранжирование и таксономию требований адекватности согласно «Единым критериям»?
58. Перечислите уровни адекватности ИТ-продукта согласно «Единым критериям»?
59. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – функциональное тестирование?
60. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – структурное тестирование?
61. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – методическое тестирование и проверка?
62. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – методическая разработка, тестирование и анализ?
63. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – полуформальные методы разработки и тестирование?
64. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – поуформальные методы верификации разработки и тестирование?
65. Формальные методы верификации разработки и тестирование?
66. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – функциональное тестирование?
новые технологии и стандарты?
34. Сформулируйте основное положение поддерживаемой SAP/R3 концепции открытой интеграционной среды - SAP Open Business Framework?
35. Приведите другие примеры корпоративных информационных систем ERP класса, зарубежные и отечественные аналоги?
36. Что такое автоматизированная банковская система (АБС) и каковы её составляющие?
37. Что такое операционный день банка, дайте определение?
38. Что представляет собой автоматизированная банковская система типа «операционный день банка»?
39. Какова область применения автоматизированной системы типа «операционный день банка»?
40. Какие вы можете сформулировать требования к АБС типа «операционный день банка»?
41. Охарактеризуйте программно-аппаратную среду функционирования АБС “Операционный день банка”?
42. Какие основные функции должна обеспечивать АБС «операционный день банка»?
43. Какие функции должна обеспечивать АБС «операционный день банка» по ведению клиентских счетов?
44. Какие функции должна обеспечивать АБС «операционный день банка» по ведению бухгалтерских операций?
45. Какие функции должна обеспечивать АБС «операционный день банка» по осуществлению межбанковских расчётов?
46. Что такое сеть SWIFT?
47. Какие функции должна обеспечивать АБС «операционный день банка» по формированию ?
48. Какие функции должна обеспечивать АБС «операционный день банка» по проведению кассовых операций?
49. Какие функции должна обеспечивать АБС «операционный день банка» по учёту доходов и расходов?
50. Какие функции должна обеспечивать АБС «операционный день банка» по формированию электронных журналов запросов пользователей?
51. Какие функции должна обеспечивать АБС «операционный день банка» по накоплению статистики?
52. ? Какие функции должна обеспечивать АБС «операционный день банка» по формированию отчётов?
53. Какие функции должна обеспечивать АБС «операционный день банка» по ведению нормативно-справочной информации?
54. Охарактеризуйте информационное взаимодействие АБС «операционный день банка» со смежными системами?
55. Сформулируйте требование по обеспечению внутреннего контроля АБС «операционный день банка»?
56. Какие должны быть требования к надежности АБС типа “операционный день банка”?
57. Какие должны быть требования к качеству программного обеспечения АБС типа “операционный день банка”?
58. Охарактеризуйте требования к АБС типа “операционный день банка” по одному из направлений (к устойчивости функционирования, к работоспособности, к доступности программных документов, к согласованности, к логической корректности, к проверенности, к защищенности)?
59. Какие вы можете назвать виды обеспечения АБС типа “операционный день банка”?
60. Охарактеризуйте виды обеспечения к АБС типа “операционный день банка” по одному из направлений (математическому, лингвистическому, техническому, методологическому, технике безопасности, технической эстетике и эргономике, защите от влияния внешних воздействий)?
61. Какие вы знаете наиболее известные примеры (названия) конкретных реализаций АБС типа “операционный день банка”?
62. Опишите своими словами, каким вы видите «рабочее место брокера»?
63. Что такое система интернет-трейдинга, и какова её роль в деятельности брокера?
64. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают большое количество операций – «скальперов»?
65. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, разрабатывающих механические торговые системы, в которых аналитическая программа (дополнительное внешнее приложение) генерирует сигналы на покупку или продажу и дает их терминалу для выставления заявок на биржу?
66. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают операции каждый день, но не очень много («интрадейщики»)?
67. Какова роль автоматизации, интернет-трейдинга, настольных приложений для брокеров, которые совершают операции нерегулярно?
68. Для чего предназначена система электронных торгов?
69. Каковы основные функции типовой системы электронных торгов?
70. Каковы основные компоненты (модули) структуры системы электронных торгов?
71. Какие операционные возможности должны быть у брокера на его автоматизированном рабочем месте?
72. Какую оперативную информацию о ходе торгов должен получать брокер на своём автоматизированном рабочем месте?
73. Какие отчёты по окончании торговой сессии должна быть способна формировать автоматизированная система на рабочем месте брокера?
74. Какие элементы пользовательского программного интерфейса неотъемлемы на терминале рабочего места брокера и почему?
75. Охарактеризуйте с точки зрения автоматизации операционный зал (площадку для торгов)?
76. Какая технология описывает взаимодействие открытых информационных систем?
77. В чем исторические и технологические особенности модели взаимодействия открытых информационных систем по отношению к реальным информационно-телекоммуникационным сетям?
78. В чем заключается научно-техническая политика в области стандартизации информационных технологий и проектирования систем в России?
79. Чем обуславливается для России необходимость разработки базовых стандартов и преимущественно путем прямого применения международных, региональных и зарубежных документов по стандартизации?
80. Опишите коротко современное состояние стандартизации информационно-связных систем в мире?
81. Какие вы знаете международные организации по стандартизации в области информационно-связных систем?
82. Дайте краткую характеристику направленности деятельности одной из стандартизирующих организаций (Международной организации по стандартизации — ИСО (International Organization for Standardization — ISO), Международной электротехнической комиссии — МЭК (International Electrotechnical Commission — IEC) и Международного союза электросвязи — МСЭ (International Telecommunication Union — ITU); его сектора по телекоммуникациям МСЭ-Т)?
83. Охарактеризуйте коротко состояние и проблемы стандартизации в области информационных технологий в России?
84. Как вы думаете, для чего нужны собственные стандарты терминологию, электрическую и механическую безопасность и электромагнитную совместимость средств вычислительной техники (СВТ), языки программирования, организацию работы систем и сетей, оценку качества и документирование программных средств, требования к АС и документирование их создания, системы кодирования и защиты информации, организацию взаимосвязи открытых систем (ВОС) и профилей, качество служебной информации, компьютерное сопровождение и поддержку жизненного цикла наукоемкой продукции (CALS-технологии)?
85. Объясните, почему существующие международные стандарты в области информационных технологий уже документированные и фактически применяемые все равно необходимо «ГОСТ-ировать»?
86. Какие вы знаете принятые российские стандарты в области информационных технологий?
87. Какие вы знаете готовящиеся российские стандарты в области информационных технологий?
88. Какие вы можете отметить проблемы в области стандартизации информационных технологий в России?
89. Какие вы видите направления решения проблем развития и совершенствования нормативной базы в области проектирования информационных систем в России?
90. Что представляют собой CASE (Computer Aided Software/System Engineering) технологии?
91. Раскройте понятие технология автоматизированной разработки программного обеспечения (систем)?
92. Какие проблемы разработки информационных систем позволяют решить CASE технологии?
93. Что определяет и предлагает для разработчиков CASE-технология?
94. Охарактеризуйте рынок прикладных программ, обеспечивающих собой CASE технологии?
95. Какие особенности развития информационных систем привели к созданию CASE технологий?
96. Назовите одни из наиболее популярных программных продуктов, обеспечивающих полный цикл анализа, проектирования и кодогенерации информационных систем?
97. Охарактеризуйте роль одного из элементов CASE технологий (методология функционального моделирования (IDEF0) для реорганизации бизнес-процессов и проектирования организационной структуры; методология разработки модели описания бизнес-процессов (IDEF3); создание имитационной модели и расчет её характеристик; формирование диаграммы потоков данных и модели документооборота; методология функционально-стоимостного анализа (Activity Based Costing – ABC) для оценки затрат на реализацию бизнес-процедур, проектирование нормализованной базы данных, на основе одной из популярных СУБД; объектно-ориентированное проектирование; язык объектного проектирования (Unify Modeling Language – UML))?
98. Какие вы знаете Фирмы-поставщики CASE-средств?
99. Что такое ITIL?
100. Что, применительно к ITIL, следует понимать под взаимосвязанным набором методов и лучших практик (best practice), взятых как из опыта общественных и государственных организаций, так и предприятий частного сектора?
101. Что описывает библиотека ITIL?
102. Какой лозунг ITIL?
103. Что понимается под лозунгом ITIL «усваивание и приспосабливание»?
104. Где, по чьему заказу и когда появилась библиотека ITIL?
105. Кому формально принадлежит библиотека ITIL?
106. Кто занимается развитием и популяризацией ITIL?
107. О чём вам говорят названия Британское Правительственное Агентство (Office of Government Commerce – OGC) и Независимое Профессиональное Сообщество (IT Service Management Forum – itSMF)?
108. Что понимается под используемым в библиотеке ITIL процессным подходом?
109. Что описывается в стандартах ISO 9000 (ГОСТ Р ИСО 9000), какое отношение они имеют к ITIL?
110. Что вы знаете о стандартах BSI 15 000 и ISO 20000, какое отношение они имеют к ITIL?
111. Какая редакция ITIL в настоящий момент является последней?
112. Сколько книг, и каких включает в себя последняя редакция ITIL?
113. Что описывает книга ITIL «Поддержка услуг» (Service Support)?
114. Что описывает книга ITIL «Предоставление услуг» (Service Delivery)?
115. Что описывает книга ITIL «Планирование внедрения управления услугами»(Planning to Implement Service Management)?
116. Что описывает книга ITIL «Управление приложениями» (Application Management)?
117. Что описывает книга ITIL «Управление инфраструктурой информационно-коммуникационных технологий» (ICT Infrastructure Management)?
118. Что описывает книга ITIL «Управление безопасностью» (Security Management)?
119. Что описывает книга ITIL «Бизнес-перспектива» (The Business Perspective)?
120. Какие из перечисленных выше книг не вошли в самую последнюю редакцию ITIL V3?
121. Перечислите десять базовых процессов, являющихся наиболее известной частью ITIL, которые обеспечивают поддержку и предоставление ИТ-сервисов (IT Service Management – ITSM)?
122. Что представляет собой процесс управления инцидентами?
123. Что представляет собой процесс управления проблемами?
124. Что представляет собой процесс управления конфигурациями?
125. Что представляет собой процесс управления изменениями?
126. Что представляет собой процесс управления релизами?
127. Что представляет собой процесс управления уровнем услуг?
128. Что представляет собой процесс управления мощностями (емкостью)?
129. Что представляет собой процесс управления доступностью?
130. Что представляет собой процесс управления непрерывностью?
131. Что представляет собой процесс управления финансами?
132. Какую роль в структуре процессов ITSM играет служба поддержки пользователей?
133. Существуют ли программные продукты для автоматизации описанных в Библиотеке процессов?
134. Существуют ли консультационные услуги по внедрению подхода ITIL?
135. Защищена ли авторскими правами и возможно ли воспроизведение или публикация материалов библиотеки ITIL?
136. Ограничивается ли авторскими правами использование подхода, процессов и практик, описанных в ITIL?
137. Какие уровни включает в себя, кем поддерживается (какими компаниями) и кому могут быть выданы (организациям или отдельным специалистам) квалификационные свидетельства ITIL?
138. Что используется для "доказательства" соответствия ПО рекомендациям ITIL, и предоставляет ли услуги по проверке соответствия ITIL организация OGC?
139. Назовите основные причины, обеспечившие ITIL высокую популярность?
140. Существуют ли аналогичные библиотеке ITIL наборы рекомендаций, разработанные другими организациями компаниями?
141. Можете ли указать на какие-либо особенность в рекомендациях разработанных самими производителями информационных систем (например, HP ITSM, IBM Information Management System – IMS, Microsoft Operations Framework – MOF)?
142. По каким доверенным источникам, кроме самих книг, следует изучать ITIL (серия карманных руководств – itSMF Pocket Guides, стартовый комплект – ITIL and IT Service Management Starter Kit, рекомендации для малых организаций – ITIL Small Scale Implementations)?
143. Охарактеризуйте обобщённо, какую ценность для организации и предприятия представляет информационная составляющая его функционирования?
144. Какие опасности, потери, риски связаны с несанкционированным доступом к информации?
145. Какие опасности, потери, риски связаны с утерей или порчей информации?
146. Сформулируйте обобщённо понятие угрозы для любой высокоорганизованной системы?
147. В чём принципиальное различие, с точки зрения защиты, между работой человека, с информацией представленной в бумажном документе, и работой пользователя, с информацией циркулирующей в компьютерных системах?
148. Охарактеризуйте понятие угрозы как совокупности факторов, стремящихся нарушить работу системы?
149. Какие особенности угроз могут быть для компьютерных систем?
150. Назовите своими словами угрозы, которые могут быть для компьютерных систем?
151. Какие виды угроз традиционно выделяют для компьютерных систем?
152. Что следует понимать под угрозами конфиденциальности информации?
153. Что следует понимать под угрозами целостности информации?
154. Что следует понимать под угрозами отказа в обслуживании?
155. Каков может быть характер возникновения угроз?
156. Назовите примеры случайных (объективных) угроз, охарактеризуйте их?
157. Назовите примеры целенаправленных (субъективных) угроз, охарактеризуйте их?
158. Что понимается под «традиционными» и новыми угрозами, как защита системы должна соответствовать тем и другим?
159. В чём состоит специфика возникновения угроз в открытых компьютерных сетях?
160. Каковы особенности защиты информации на узлах компьютерной сети?
161. Какие существуют системные вопросы защиты программ и данных?
162. Что такое риск?
163. Сравните понятия «риск» и «угроза» применительно к защищённости компьютерных систем?
164. Что такое анализ рисков, как он проводится?
165. Какова роль анализа рисков в процессе создания корпоративной системы информационной безопасности?
166. Что такое списки факторов риска и для чего они используются?
167. По какому принципу лучше производить документирование рисков?
168. Что бы вы внесли в шаблон для описания фактора риска?
169. Что должно входить в перечень необходимых данных на этапе изучения фактического состояния объекта?
170. Сформулируйте требования по составу информации, предоставляемой Предприятием для проведения работ по анализу рисков применительно к его информационной системе?
171. Сформулируйте перечень, требования и содержание отчетных документов для анализа рисков компании?
172. Какова роль в анализе рисков списка полномочий должностных лиц применительно к информационной системе?
173. Какова роль в анализе рисков списка полномочий администрирующего информационную систему персонала?
174. Какова роль в анализе рисков схемы границ безопасности?
175. Применительно к чему определяются границы безопасности в компьютерной системе?
176. Назовите основные этапы проведения анализа рисков информационной системы?
177. Что вы понимаете под ранжированием ценности информации и ранжированием угроз при количественном анализе рисков, какова в нём роль персонала организации?
178. Что такое приемлемые и неприемлемые риски?
179. Какие вы знаете способы качественной оценки рисков?
180. Какие могут быть результаты качественной оценки рисков?
181. В чём заключается специфика анализа рисков в российских условиях?
182. Что следует включить после анализа рисков в экспертное заключение по защищённости системы?
183. Для того чтобы определить возможные риски, какие вопросы следует задать поставщику средств защиты информации декларирующему поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet?
184. Что такое материализация риска в проблему?
185. Что такое управление рисками?
186. В каких случаях может быть допустимо принятие риска?
187. Что такое модель?
188. В каких случаях и для чего проводится моделирование системы?
189. Какие виды моделей вы знаете?
190. Что такое модель противника применительно к компьютерной системе?
191. Какой тип модели в данном случае подходит?
192. Как отобразить (сымитировать, проанализировать) в модели возможности противника по атаке на компьютерную систему?
193. Что такое параллельный анализ, в чем его сущность?
194. В чем состоит параллельный анализ целей и возможностей злоумышленника в компьютерной сети?
195. Анализ критических технологий.
196. Что такое программное инструментальное средство анализа рисков?
197. Как определить ценность инструментального средства анализа рисков?
198. Какие известные программные продукты анализа рисков в настоящий момент представлены на рынке?
199. Знаете ли вы что-нибудь про такие средства анализа рисков как RiskWatch (США), CRAMM (Великобритания), COBRA (Великобритания), Авангард (Россия), какие вы знаете другие средства?
200. Как в данных средствах реализуются количественный и качественный подходы к анализу рисков?
201. Какие рекомендации по применению инструментальных средств анализа защищенности корпоративных систем Inranet/Internet. существуют?
202. Что такое критические технологии?
203. В чем состоит анализ критических технологий?
204. Что такое политика безопасности?
205. Раскройте понятие политики безопасности как совокупности норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности?
206. В чем состоят нормы политики информационной безопасности в организации, на предприятии?
207. В чем состоят правила политики информационной безопасности в организации, на предприятии?
208. В чем заключается дискреционное или произвольное управление доступом (Discretionary Access Control)?
209. В чем заключается мандатное или нормативное управление доступом (Mandatory Access Control)?
210. Что такое идентификация и аутентификация и в чем их различие?
211. Что такое многоуровневая политика безопасности (политика MLS)?
212. В чем суть решетки ценностей как основы политики MLS?
213. В чем состоит понятие информационного потока как основы политики MLS?
214. Придерживается ли госсектор России политики MLS в повседневном секретном делопроизводстве?
215. Охарактеризуйте MLS как своего рода «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись?
216. Решаются ли и как вопросы целостности в политике MLS?
217. Дайте понятие целостности объекта?
218. Что вы понимаете под целостностью информации в компьютерных системах?
219. Что вы понимаете под целостностью данных в компьютерных системах?
220. Что вы понимаете под целостностью объектов в компьютерных системах, какое понятие шире?
221. За счет чего, как правило, достигается целостность объектов в информационных системах?
222. Дайте понятие защиты целостности?
223. Назовите основные методы обеспечения целостности информации (данных) при хранении в автоматизированных системах?
224. Какие можно определить требования к защите информации с позиции системного подхода?
225. Что подразумевается под непрерывностью и плановостью защиты информации?
226. Что подразумевается под целенаправленностью, конкретностью и активностью защиты информации?
227. Что подразумевается надежностью, универсальностью и комплексностью защиты информации?
228. Что такое необходимые требования к защите информации?
229. Какими нормативными документами определяются необходимые требования к защите информации?
230. Чем оправдана частичная обобщённость требований, изложенных в нормативных документах?
231. Что такое дополнительные требования к защите информации, на остове чего они формулируются?
232. Чем обоснована необходимость разработки дополнительных требований к защите информации?
233. Какие две группы критериев безопасности и требований формулируют руководящие документы ФСТЭК?
234. Что формализует группа требований к защите средств вычислительной техники?
235. Что формализует группа требований к защите автоматизированных систем?
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
