Учебно - методический комплекс (стр. 6 )

236. Какие существуют требования по управлению доступом к информации в автоматизированных системах?

237. Какие существуют требования по регистрации и учёту в автоматизированных системах?

238. Какие существуют требования по управлению доступом к информации в автоматизированных системах?

239. Какие существуют требования по вопросам криптографии?

240. Какие органы, участвующие в сертификации средств защиты информации в Российской Федерации вы знаете?

241. Какова роль в сертификации ФСТЭК; ФСБ; Министерства Обороны; Службы внешней разведки?

242. Какие органы занимаются сертификацией средств защиты информации по требованиям ФСТЭК, как формируется перечень этих органов?

243. Что включает в себя система сертификации средств защиты информации по требованиям безопасности информации?

244. Что понимается под объектом информатизации, аттестуемым по требованиям безопасности информации?

245. Какой государственный орган организует деятельность системы сертификации по требованиям защиты информации?

246. Кто составляет перечень средств информатизации, подлежащих и обязательной сертификации?

247. Опишите схему сертификации для единичных образцов средств защиты информации?

248. Опишите схему сертификации для серийных образцов средств защиты информации?

249. Назовите основные руководящие документы Российской Федерации, посвящённые вопросам защиты от несанкционированного доступа к информации?

250. Обрисуйте роль документа «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации» как идейной основы остальных документов?

НЕ нашли? Не то? Что вы ищете?

251. Какова роль документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»?

252. Что такое комплекс средств защиты, согласно этому документу?

253. На сколько уровней распределяются показатели класса защищённости средств вычислительной техники (СВТ) от (НСД), согласно этому документу?

254. Какова роль документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»?

255. Сколько этим документом устанавливается классов защищённости автоматизированных систем (АС) от НСД?

256. По каким группам, согласно специфики обрабатываемой в АС информации разделяются классы защищённости?

257. Какова роль документа «Защита от несанкционированного доступа к информации. Термины и определения»?

258. Какие зарубежные нормативные документы оказали наибольшее влияние на разработку отечественных документов по защите информации?

259. Что такое аттестация защищенных систем и как она осуществляется?

260. Какие вы знаете структуры в РФ, обеспечивающие лицензирование и сертификацию?

261. Как распределяется ответственность между должностными лицами организации за защиту информации в компьютерных системах?

262. Руководящий документ ФСТЭК по оценке защищенности АС?

263. Какая основная задача по обеспечению безопасности выделяется в этих документах, и какие задачи упущены?

264. Что рассматривается в данных документах под обеспечением защиты от несанкционированного доступа?

265. На что сказывается недостаточное внимание в нормативных документах средствам контроля и обеспечения целостности, а также поддержке работоспособности систем обработки информации?

266. Что вы знаете про "Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC), так называемую «Оранжевую книгу»?

267. Каким ведомством США, и в каком году она выпущена?

268. Даёт ли «Оранжевая книга» ответ на вопрос как строить безопасные, надежные системы?

269. Даёт ли «Оранжевая книга» ответ на вопрос как поддерживать режим безопасности?

270. Почему она не даёт ответа на эти вопросы?

271. На кого ориентирована «Оранжевая книга»?

272. Что вы понимаете под понятием критериев оценки надёжных компьютерных систем описанных в «Оранжевой книге»?

273. Чем понятие надёжной системы отличается от понятия безопасной системы?

274. Как в «Оранжевой книге» трактуются понятие «надёжный», «надёжная система»?

275. Как поясняется понятие безопасной системы в оранжевой книге?

276. Что в «Оранжевой книге» понимается под основным назначением надежной вычислительной базы – выполнением функции монитора обращений?

277. Выполнение каких трёх свойств требуется от монитора обращений?

278. Раскройте понятие свойств изолированности, полноты, верифицируемости?

279. Почему реализация монитора обращений называется ядром безопасности?

280. Поясните определение границы надежной вычислительной базы как периметра безопасности?

281. Какой новый смысл придан периметру безопасности с развитием распределённых систем?

282. Что в «оранжевой книге» понимается под политикой безопасности?

283. Перечислите основные элементы политики безопасности, описанные в «оранжевой книге»?

284. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как добровольное управление доступом?

285. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как безопасность повторного использования объектов?

286. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как метки безопасности?

287. Перечислите метки безопасности?

288. Что, согласно «Оранжевой книге» понимается под таким элементом политики безопасности, как принудительное управление доступом?

289. Какие средства подотчётности описаны в «Оранжевой книге»?

290. Прокомментируйте кратко каждое из средств подотчётности по «Оранжевой книге» (идентификация и аутентификация, предоставление надежного пути, анализ регистрационной информации)?

291. Что в «Оранжевой книге» понимается под гарантированностью?

292. Прокомментируйте кратко согласно «Оранжевой книге» проверку каждого из элементов гарантированности (архитектура системы, целостность системы, анализ тайных каналов передачи информации, надежное администрирование, надежное восстановление после сбоев)?

293. Какие тома согласно "Оранжевой книге", должны входить в комплект документации надежной системы?

294. Прокомментируйте кратко содержание томов, которые должны входить в комплект документации надёжной системы по «Оранжевой книге» (руководство пользователя по средствам безопасности, руководство администратора по средствам безопасности, тестовая документация, описание архитектуры)?

295. Опишите ранжирование информационных систем по степени надежности согласно «Оранжевой книге»?

296. Что вы знаете про «Американский федеральный стандарт по обработке информации» (Federal Information Processing Standard)?

297. Что такое «Федеральные критерии безопасности информационных технологий» (Federal Criteria for Information Technology Security)?

298. Когда были разработаны «Федеральные критерии», какие цели при этом преследовались?

299. Какие основные объекты требований безопасности «Федеральных критериев»?

300. Что в «Федеральных критериях» понимается под продуктом информационных технологий (ИТ-продуктом)?

301. В чём различие между ИТ-продуктом и системой обработки информации согласно «Федеральным критериям»?

302. Являются ли предметом рассмотрения «Федеральных критериев» вопросы построения систем обработки информации из набора ИТ-критериев?

303. Чем, согласно «Федеральным критериям» определяется безопасность ИТ-продукта?

304. Что такое профиль защиты согласно «Федеральным критериям»?

305. Раскройте понятие профиля защиты как ключевого элемента информационной безопасности по «Федеральным критериям»?

306. Охарактеризуйте назначение, структуру и этапы разработки профиля защиты?

307. Какие этапы разработки систем обработки информации описывают «Федеральные критерии»?

308. Охарактеризуйте функциональные требования к ИТ-продукту, таксономию и ранжирование согласно «Федеральным критериям»?

309. Охарактеризуйте требования к технологии разработки ИТ-продукта согласно «Федеральным критериям»?

310. Охарактеризуйте требования к процессу квалификационного анализа ИТ-продукта согласно «Федеральным критериям»?

311. В чём состоит преимущество «Федеральных критериев» по сравнению с «Оранжевой книгой»?

312. Охарактеризуйте коротко разработанные в Европе согласованные «Критерии безопасности информационных технологий» (Information Technology Security Evaluation Criteria – ITSEC) – «Европейские критерии»?

313. Какие задачи средств информационной безопасности рассматривают «Европейские критерии»?

314. В чём состоит согласно «Европейским критериям» задача защиты информации от несанкционированного доступа с целью обеспечения конфиденциальности?

315. В чём состоит согласно «Европейским критериям» задача обеспечения целостности информации посредством защиты от её несанкционированной модификации или уничтожения?

316. В чём состоит согласно «Европейским критериям» задача обеспечения работоспособности систем с помощью противодействия угрозам отказа в обслуживании?

317. Что составляет понятие адекватности (assurance) в «Европейских критериях»?

318. Что в «Европейских критериях» входит в понятие эффективности как одного из аспектов адекватности?

319. Что в «Европейских критериях» входит в понятие корректности как одного из аспектов адекватности?

320. Из чего складывается общая оценка уровня безопасности системы согласно «Европейским критериям»?

321. Что представляет собой функциональная мощность средств защиты (функциональные критерии) как составляющая общей оценки уровня безопасности системы по «Европейским критериям»?

322. Сколько и каких уровней детализации входит в функциональные критерии?

323. Что рассматривает уровень целей обеспечения безопасности?

324. Что (какие требования) рассматривает уровень спецификации функций защиты?

325. Что рассматривает уровень реализующих защиту механизмов?

326. Сколько и каких существует в «Европейских критериях» заранее определённых классов-шаблонов с ссылками, на которые может специфицироваться набор функций безопасности?

327. Что представляет собой уровень адекватности реализации средств защиты (критерии адекватности) как составляющая общей оценки уровня безопасности системы по «Европейским критериям»?

328. Какое внимание уделяется критериям адекватности в «европейских критериях»?

329. Что такое согласно «Европейским критериям» степень безопасности, и какие уровни безопасности определяются?

330. Что в «Европейских критериях» представляет собой базовый уровень безопасности?

331. Что в «Европейских критериях» представляет собой средний уровень безопасности?

332. Что в «Европейских критериях» представляет собой высокий уровень безопасности?

333. Охарактеризуйте понятие адекватности как главного нового достижения разработанного в «Европейских критериях»?

334. Что такое «Единые критерии безопасности информационных технологий» (Common Criteria of Information Technology Security Evaluation)?

335. На основе чего, и авторами каких национальных документов создавались «Единые критерии» (Common Criteria)?

336. Сохраняют ли «Единые критерии» совместимость с существующими национальными стандартами по безопасности?

337. Как «Единые критерии» развивают требования ранее разработанных стандартов по информационной безопасности?

338. Какая последняя версия «Единые критерии»?

339. Каким стандартом ISO утверждены «Единые критерии»?

340. Охарактеризуйте понятие «продукт информационных технологий» (ИТ-продукт) которым оперируют «Единые критерии»?

341. Назовите три группы специалистов, в расчёте на которых разрабатывались «Единые критерии»?

342. Охарактеризуйте группу «потребители», как они рассматривают квалификацию уровня безопасности ИТ-продукта?

343. На основании чего составляются запросы группы «потребители»?

344. Что подразумевается под тем, что «Единые критерии»? предоставляют «потребителям» механизм профилей защиты?

345. Как используются «Единые критерии» группой «производители»?

346. Дают ли «Единые критерии» производителям определить единый набор требованиям, которым должен удовлетворять ИТ-продукт?

347. Как производители используют «Единые критерии» для обоснования того, что их ИТ-продукт успешно противостоит угрозам?

348. Что представляет собой механизм «проект защиты» предлагаемый в «Единых требованиях»?

349. Подходят ли «Единые критерии» для определения границ ответственности «производителей» и для прохождения ИТ-продуктом квалификационного анализа?

350. Как использует «Единые критерии» группа «эксперты»?

351. Насколько детально в «Единых критериях» описывается проведение квалификационного анализа и сертификации ИТ-продукта?

352. Как «Единые критерии» рассматривают понятие информационной безопасности?

353. Сформулируйте базовое понятие «Единых критериев» «профиль защиты»?

354. Сформулируйте базовое понятие «Единых критериев» «проект защиты»?

355. Сформулируйте базовое понятие «Единых критериев» «задачи защиты»?

356. Опишите причинно-следственные связи, установленные между базовыми понятиями «Единых критериев»?

357. Какой с позиции «Единых критериев наиболее существенный аспект требований к ИТ-продукту?

358. Что такое типовые требования и частный набор требований к ИТ-продукту?

359. На какие две категории разделяются все требования безопасности по «Единым критериям»?

360. Что регламентируют по «Единым критериям» функциональные требования?

361. Что регламентируют согласно «Единым критериям» требования по адекватности?

362. Дайте характеристику адекватности ИТ-продукта?

363. Что такое класс требований?

364. Опишите иерархическую структуру набора ранжированных требований?

365. Что входит в описание каждого уровня иерархии: классы, разделы, требования?

366. В чём специфика ранжирования требований в «Единых критериях» по сравнению с «Федеральными критериями»?

367. Что такое множество частных шкал и насколько они упорядочены?

368. Что такое объекты регистрации и учёта, описываемые в разделах требований к ИТ продукту?

369. По какой схеме описывается функциональное требование согласно «Единым критериям»?

370. Опишите таксономию классов функциональных требований по «Единым критериям»?

371. Какие классы функциональных требований согласно «Единым критериям» вы знаете?

372. Опишите таксономию функциональных требований класса защиты информации?

373. Опишите таксономию функциональных требований класса надёжности защиты?

374. Опишите таксономию функциональных требований класса идентификации и аутентификации?

375. Опишите таксономию функциональных требований класса аудита?

376. Опишите таксономию функциональных требований класса управления безопасностью?

377. Опишите таксономию функциональных требований класса криптографии?

378. Как, согласно «Единым критериям» может быть достигнута безопасность информационных технологий?

379. Какие материалы должен согласно «Единым критериям» предоставить разработчик ИТ-продукта для проведения квалификационного анализа?

380. Какие стадии включает процесс квалификационного анализа ИТ-продукта?

381. Этап анализа профиля защиты, – на предмет чего он анализируется?

382. Этап анализа проекта защиты, – на предмет чего он анализируется?

383. Охарактеризуйте этап анализа ИТ-продукта на предмет соответствия проекту защиты?

384. Из чего состоит заключение как результат квалификационного анализа?

385. Опишите структуру и содержание документа «Профиль защиты»?

386. Опишите структуру и содержание документа «Проект защиты»?

387. Охарактеризуйте виды каналов утечки информации согласно «Единым требованиям»?

388. .Охарактеризуйте методологию каналов утечки информации согласно «Единым требованиям»?

389. Опишите схему технологического цикла применения «Единых критериев» к разработке, квалификационному анализу, эксплуатации и модернизации информационной системы?

390. Опишите ранжирование и таксономию требований адекватности согласно «Единым критериям»?

391. Перечислите уровни адекватности ИТ-продукта согласно «Единым критериям»?

392. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – функциональное тестирование?

393. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – структурное тестирование?

394. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – методическое тестирование и проверка?

395. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – методическая разработка, тестирование и анализ?

396. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – полуформальные методы разработки и тестирование?

397. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – поуформальные методы верификации разработки и тестирование?

398. Формальные методы верификации разработки и тестирование?

399. Охарактеризуйте согласно «Единым критериям» уровень требований по адекватности – функциональное тестирование?

Вопросы для текущего тестирования

Раздел I. Информационные технологии и их поддержка.

Тема 1.1 Информационные технологии и информационные системы.

1. В чём заключается сущность информационных технологий, заложенная в их наиболее распространенном определении?

а) изобретение булевой алгебры;

б) изобретение полупроводниковых микросхем;

в) слияние научно-технических достижений в компьютерной и связной отрасли.

2. Что, прежде всего, представляется под термином клиент-серверная система (архитектура)?

а) «мэйнфрэйм» с терминалами;

б) серверы и рабочие станции;

в) компьютеры в одном помещении объединенные в локальную сеть.

3. Каково направление дальнейшего развития (трансформации) распределенных вычислительных сетей от клиент-серверной архитектуры?

а) смещение основных программных задач на сервер, оставляя персональному компьютеру лишь роль терминала;

б) равномерное распределение ролей, снижая в сетевой архитектуре роль сервера;

в) вырождение сервера и смещение всех ролей на персональный компьютер.

4. Что понимается под термином конвергенция?

а) четкое разделение функций информационно-связных сетей и персональных устройств;

б) слияние информационно-связных сетей и услуг;

в) внедрение в информационно связные технологии аналоговой техники.

5. Что такое корпоративная информационная система ERP класса?

а) банковская система;

б) система управления предприятием;

в) система управления компанией мелкого и среднего бизнеса.

6. Что такое SAP/R3?

а) популярная информационная система бухгалтерского учета на предприятии;

б) популярная система обеспечения безопасности информации в банке;

в) популярная корпоративная информационная система ERP класса.

7. Каково назначение автоматизированной банковской системы?

а) автоматизация банковских операций;

б) осуществление электронных биржевых торгов;

в) защита информации в банке.

8. Что такое сеть SWIFT?

а) система управления предприятием;

б) система брокерских торгов;

в) автоматизированная банковская система.

9. Что такое система интернет-трейдинга?

а) это программная система организации интернет-магазина;

б) это специальная программная система, предоставляющая прямой доступ к брокерскому счету
и оперативный доступ к биржевым котировкам;

в) программная система, позволяющая банкам обналичивать деньги.

10. Что обеспечивает автоматизированная банковская система «операционный день банка»?

а) автоматизирует операции той части банковского дня, во время которого банк принимает от своих клиентов платежные документы;

б) защиту информации в компьютерах банка;

в) отслеживание распорядка рабочего дня служащих банка.

Тема 1.2 Проектирование и разработка информационных технологий.

1. Какая модель в настоящее время призвана описывать взаимодействия открытых информационных систем?

а) четырёхуровневая модель интернета;

б) семиуровневая модель ISO/OSI;

в) стандарт X.500.

2. В чем исторические и технологические особенности модели взаимодействия открытых информационных систем по отношению к реальным информационно-телекоммуникационным сетям?

а) разработана позже, чем сформировались реальные телекоммуникационные сети и не всегда полностью соответствует построению реальных систем;

б) разработана предварительно перед построением реальных телекоммуникационных сетей и точно соответствует построению реальных систем;

в) ещё до конца не разработана, находится на стадии согласования международным телекоммуникационным сообществом и стандартизирующими организациями.

3. Что представляют собой CASE технологии?

а) технологии проверки функциональности прикладного программного обеспечения;

б) проверки уровня безопасности автоматизированных систем;

в) технология автоматизированной разработки программного обеспечения (систем).

4. Что такое UML?

а) криптографический алгоритм;

б) язык объектного проектирования;

в) стандарт обеспечения безопасности.

5. Подходят ли CASE средства для разработки баз данных?

а) подходят;

б) не походят;

в) только после существенной доработки.

6. Что такое ITIL?

а) взаимосвязанный набор криптографических алгоритмов, внедрённых в автоматизированные системы;

б) взаимосвязанный набор методов обеспечения безопасности автоматизированных систем;

в) взаимосвязанный набор методов и лучших практик, взятых из опыта общественных и государственных организаций, а также предприятий частного сектора.

7. Какой лозунг ITIL?

а) «усваивание и приспосабливание»;

б) «постоянство и стабильность»;

в) «изменчивость и скорость».

8. Кому формально принадлежит библиотека ITIL?

а) королю Испании;

б) королеве Англии;

в) Альфреду Нобелю.

9. Кто занимается развитием и популяризацией ITIL?

а) Организация Объединённых Наций (UN);

б) Международная организация по стандартизации (ISO) и Международный союз Электросвязи (ITU);

в) Британское Правительственное Агентство (OGC) и Независимое Профессиональное Сообщество (itSMF).

10. Существуют ли аналогичные библиотеке ITIL наборы рекомендаций, разработанные другими организациями компаниями?

а) существуют;

б) не существуют;

в) только начали разрабатывать.

Раздел II. Технология защиты информации (лекции 10 часов, семинар 6 часов).

Тема 2.1 Основные угрозы информации в компьютерных системах.

1. Что такое компьютерная система?

а) отдельный компьютер;

б) компьютерная сеть;

в) широкое понятие, которое может включать и то и другое.

2. Что такое риск (применительно к защите информации)?

а) это очень низкая вероятность серьезного события, которую аналитики могут быть неспособными оценить;

б) возможная опасность (измеряемая или рассчитываемая вероятность) какого-либо неблагоприятного исхода;

в) это возможность возникновения обстоятельств, при которых несанкционированный доступ к информации или ее порча (утрата) может иметь негативные последствия.

3. Что такое угроза (применительно к защите информации)?

а) это очень низкая вероятность серьезного события, которую аналитики могут быть неспособными оценить;

б) возможная опасность (измеряемая или рассчитываемая вероятность) какого-либо неблагоприятного исхода;

4. Что такое опасность (применительно к защите информации)?

а) это очень низкая вероятность серьезного события, которую аналитики могут быть неспособными оценить;

б) возможная опасность (измеряемая или рассчитываемая вероятность) какого-либо неблагоприятного исхода;

5. Что следует понимать под угрозами конфиденциальности информации?

а) искажение информации на логическом уровне (формат пакета, файла), или повреждение (отказ) информационной системы, в результате чего информация не искажается, но становится недоступной для ее владельца;

б) это несанкционированные или непреднамеренные действия, в результате которых происходит изменение или искажение информации;

в) несанкционированные или непреднамеренные действия, в результате которых защищаемая информация становится достоянием круга лиц, не являющихся ее собственниками.

6. Что следует понимать под угрозами целостности информации?

7. Что следует понимать под угрозой доступности информации?

8. Что следует понимать под угрозами отказа в обслуживании?

а) ситуация, когда система перестает защищать информацию, и она становится полностью доступна;

б) вероятная ситуация, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы;

в) ситуация, когда сотрудник организации отказывается обслуживать систему.

9. О чем вам говорят названия таких программных продуктов, как RiskWatch (США), CRAMM (Великобритания), COBRA (Великобритания), Авангард (Россия)?

а) это средства анализ работоспособности и производительности компьютерных систем;

б) это средства автоматизации деятельности крупных предприятий;

в) это средства анализа рисков.

10. Что такое анализ рисков?

а) это процесс, необходимый для установления приоритетов рисков или количественного определения риска;

б) это составление примерного списка рисков;

в) это подсчет возможных потерь от выхода системы из строя.

Тема 2.2 Политика безопасности для компьютерных систем.

1. Что такое политика безопасности (применительно к защите информации)?

а) взгляды руководства предприятия (компании) на финансирование обеспечения безопасности в среднесрочной и долгосрочной перспективе;

б) совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации;

в) составляющая политики государства, которая влияет на обеспечение безопасности информации на вашем предприятии (компании).

2. Что такое политика безопасности (применительно к защите информации в компьютерных системах)?

а) составляющая политики государства, которая влияет на обеспечение безопасности информации обрабатываемой в компьютерных системах предприятия (компании).;

б) взгляды руководства предприятия (компании) на то, как надо защищать информацию в компьютерных системах и сколько тратить на это финансовых средств;

в) совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.

3. Что представляет собой идентификация пользователя компьютерной системы?

а) процедура проверки подлинности пользователя;

б) определение лица, осуществившего несанкционированный доступ к данным;

в) распознавание пользователя компьютерной системы на основании ранее заданного описания.

4. Что представляет собой аутентификация пользователя компьютерной системы?

а) процедура проверки подлинности пользователя;

б) определение лица, осуществившего несанкционированный доступ к данным;

в) распознавание пользователя компьютерной системы на основании ранее заданного описания.

5. В чем заключается дискреционное или произвольное управление доступом (Discretionary Access Control)?

а) разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности;

б) управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа;

в) развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

6. В чем заключается мандатное или нормативное управление доступом (Mandatory Access Control, MAC)?

б) управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа;

7. Что представляет собой ролевое управление доступом (Role Based Access Control, RBAC)?

б) управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа;

8. Что такое многоуровневая политика безопасности (политика MLS)?

б) контроль взаимодействия субъектов и объектов системы путем применения строгой политики к потоку информации, где для каждого субъекта или объекта внутри отдела (compartment) устанавливается ''уровень допуска'';

в) управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

9. В чем суть политики MLS?

а) субъект с определенным уровнем допуска имеет право читать и создавать объекты с тем же уровнем допуска, читать менее секретные объекты и создавать объекты с более высоким уровнем, не сможет создавать объекты с уровнем допуска ниже, чем он сам имеет, а также прочесть объект более высокого уровня допуска;

б) субъект с определенным уровнем допуска имеет право читать и создавать объекты только с присвоенным ему уровнем допуска;

в) субъект с определенным уровнем допуска имеет право читать и создавать объекты только на любых уровнях допуска.

10. Что является основой политики MLS?

а) матрица доступа MLS;

б) мандат MLS;

в) решетка ценностей MLS.

Тема 2.3 Государственная политика в области безопасности компьютерных систем.

1. Какой документ формирует государственную политику Российской Федерации в области обеспечения информационной безопасности?

а) Показатели защищенности от несанкционированного доступа к информации ФСТЭК;

б) Федеральный закон Российской Федерации Об информации, информатизации и защите информации;

в) Доктрина информационной безопасности Российской Федерации.

2. Какой государственный орган координирует обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры, противодействие иностранным техническим разведкам, обеспечение технической защиты информации некриптографическими методами?

а) Федеральная служба безопасности РФ;

б) Федеральная служба по техническому и экспортному контролю РФ;

в) Министерство обороны РФ.

3. Какое отношение имеет Федеральная служба по техническому и экспортному контролю (ФСТЭК) к Гостехкомиссии Российской федерации?

а) ФСТЭК сотрудничает с Гостехкомиссией в области защиты информации;

б) Гостехкомиссия это бывшая ФСТЭК;

в) ФСТЭК это бывшая Гостехкомиссия.

4. Что такое система сертификации средств защиты информации согласно Положению о сертификации средств защиты информации?

а) совокупность контролирующих органов, выдающих сертификат по установленным правилам;

б) совокупность участников сертификации, осуществляющих ее по установленным правилам;

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7

Учебно - методический комплекс (стр. 6 )

Домашний очаг

Справочная информация

Техника

Общество

Образование и наука

Мир

Бизнес и финансы