в) техническая система проверки средств защиты информации на соответствие установленным нормам.
5. Где можно узнать, сертифицировано ли данное средство защиты информации?
а) в Государственном реестре сертифицированных средств защиты информации;
б) в сводке актов заключения испытательных лабораторий Системы сертификации средств защиты информации;
в) в информационном бюллетене органов аттестации Системы сертификации средств защиты информации.
6. Что такое аттестация объекта информатизации?
а) это комплекс организационно-технических мероприятий, в ходе которых проводится многоплановая проверка объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия требуемому уровню защищенности информации от утечки по техническим каналам;
б) это полная проверка наличия сертификатов качества на все оборудование объекта информатизации на используемые на нем средства защиты от утечки по сетевым каналам;
в) это проверка технических средств объекта на побочные электромагнитные излучения, а также его внешний осмотр на предмет защищенности.
7. Какой основной документ подтверждает, что объект прошел аттестацию?
а) «Аттестат проверки на побочные излучения» подтверждающий, что побочные излучения объекта не превышают нормы, установленные законодательством Российской Федерации;
б) «Аттестат защищенности» подтверждающий, что объект выдержал проверку защищенности обрабатываемой на нем информации, проведенную Федеральной службой безопасности Российской Федерации;
в) «Аттестат соответствия» подтверждающий, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экспортному контролю России.
8. Кто имеет право проводить аттестацию объектов информатизации?
а) Федеральная служба безопасности Российской Федерации;
б) Федеральная служба по техническому и экспортному контролю Российской Федерации;
в) организация, аккредитованная в качестве органа по аттестации объектов информатизации в системе сертификации ФСТЭК России.
9. Какой руководящий документ используется в качестве нормативного при оценке защищенности автоматизированной системы?
а) Показатели защищенности от несанкционированного доступа к информации ФСТЭК;
б) Федеральный закон Российской Федерации Об информации, информатизации и защите информации;
в) закон О защите прав потребителей.
10. Что излагает руководящий документ «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации»?
а) систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа;
б) нормативные требования по аттестации средств защиты информации, обрабатываемой в автоматизированных системах;
в) меру ответственности должностных лиц, в случае нарушения требований по защите информации в автоматизированных системах.
Раздел III. Американские и европейские стандарты по защите информации.
Тема 3.1 Американские стандарты обеспечения безопасности информации «Оранжевая книга», «Федеральные критерии».
1. Какой документ неформально называют «Оранжевой книгой»?
а) «Американский федеральный стандарт по обработке информации» (Federal Information Processing Standard, FIPS);
б) "Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC);
в) «Федеральные критерии безопасности информационных технологий» (Federal Criteria for Information Technology Security, FCITS).
2. Каким ведомством США была выпущена «Оранжевая книга»?
а) Министерство обороны;
б) ФБР;
в) ЦРУ.
3. Для чего предназначена «Оранжевая книга»?
а) для описания организационных и технических мероприятий по защите информации на объектах автоматизации;
б) для регламентации порядка проведения расследования в случае несанкционированных утечек информации;
в) для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.
4. Даёт ли «Оранжевая книга» ответ на вопросы как строить безопасные, надежные системы и как поддерживать режим безопасности?
а) не дает;
б) дает ответ на оба вопроса;
в) дает ответ только на один вопрос.
5. Что в «Оранжевой книге» понимается под надежной системой?
а) это совокупность защитных механизмов информационной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности;
б) система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа;
в) система, которая управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.
6. Что в «Оранжевой книге» понимается под доверенной системой?
а) это совокупность защитных механизмов информационной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности;
б) система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа;
в) система, которая управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.
7. Что в «Оранжевой книге» понимается под доверенной вычислительной базой?
а) это совокупность защитных механизмов информационной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности;
б) система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа;
в) система, которая управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.
8. Какая организация является автором «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard)?
а) Министерство обороны США;
б) Агентство национальной безопасности;
в) Национальный институт стандартов и технологий.
9. Какие организации являются авторами американских «Федеральных критериев безопасности информационных технологий» (Federal Criteria for Information Technology Security)?
а) Федеральное бюро расследований и полиция США;
б) Национальный институт стандартов и технологий и Агентство национальной безопасности;
в) Министерство обороны и Центральное разведывательное управление.
10. Что подразумевает такое ключевое понятие концепции информационной безопасности «Федеральных критериев» как «профиль защиты» (Protection Profile)?
а) профиль подготовки, специалиста, организующего информационную защиту конкретной операционной системы;
б) профиль пользователя, используемый при входе в систему, включающий настройки рабочей среды и разграничение доступа к информационным ресурсам;
в) нормативный документ, который регламентирует все аспекты безопасности ИТ-продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу.
Тема 3.2 Согласованные критерии оценки безопасности информационных технологий – «Европейские критерии».
1. Какой документ известен под названием «Европейские критерии»?
а) «Федеральные критерии безопасности информационных технологий» (Federal Criteria for Information Technology Security, FCITS);
б) «Критерии оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria, ITSEC);
в) «Единые критерии безопасности информационных технологий» (Common Criteria of Information Technology Security Evaluation, СС ITSE).
2. Какие составляющие информационной безопасности рассматривают «Европейские критерии»?
а) удобство, функциональность, восстанавливаемость;
б) простота, прозрачность, дешевизна;
в) конфиденциальность, целостность, доступность.
3. Что в «Европейских критериях» понимается под конфиденциальностью информации?
а) защита от несанкционированного изменения информации;
б) защита от несанкционированного получения информации;
в) защита от несанкционированного удержания информации и ресурсов.
4. Что в «Европейских критериях» понимается под целостностью информации?
а) защита от несанкционированного изменения информации;
б) защита от несанкционированного получения информации;
в) защита от несанкционированного удержания информации и ресурсов.
5. Что в «Европейских критериях» понимается под доступностью информации?
а) защита от несанкционированного изменения информации;
б) защита от несанкционированного получения информации;
в) защита от несанкционированного удержания информации и ресурсов.
6. Сколько классов безопасности системы предусмотрено в «Европейских критериях»?
а) десять;
б) пять;
в) два.
7. Что в «Европейских критериях» понимается под мощностью защитных механизмов?
а) способность всех критически важных защитных механизмов противостоять прямым атакам;
б) скорость выполнения защитных программ в системе;
в) устойчивость средств защиты от их изучения.
8. Какие уровни мощности защитных механизмов приняты в «Европейских критериях»?
а) удовлетворительный и неудовлетворительный;
б) базовый, средний и высокий;
в) любительский, профессиональный и экспертный.
9. Как определяется защищённость системы с точки зрения мощности защитных механизмов?
а) по самому слабому звену;
б) по самому сильному звену;
в) по усредненным оценкам.
10. Какое одно из главных новое понятие оценки безопасности введено в «Европейских критериях»?
а) защищённость;
б) безопасность;
в) адекватность.
Раздел IV. Общие критерии оценки защищенности информационных технологий (Common Criteria – СС).
Тема 4.1 Подход к безопасности компьютерных систем в «Общих критериях» и базовые концепции.
1. Что в «Общих критериях является объектом оценки»?
а) аппаратно-программный продукт или информационная система с соответствующей документацией;
б) персональный компьютер;
в) средство защиты информации.
2. Назовите группы специалистов, в расчёте на которых разрабатывались «Единые критерии»?
а) администраторы, пользователи и операторы;
б) продавцы, покупатели и контролёры;
в) потребители, разработчики и оценщики.
3. Какая иерархия требований безопасности введена в «Общих критериях»?
а) класс – семейство – компонент – элемент;
б) род – вид – подвид;
в) том – раздел – подраздел-параграф – пункт.
4. Какие основные два вида требований содержат «Общие критерии»?
а) требования масштабируемости и наращиваемости;
б) стоимостные требования и требования надёжности;
в) функциональные требования и требования доверия.
5. Что понимается под административной средой, как элементом среды безопасности в «Общих критериях»?
а) положения политик и программ безопасности, учитывающие особенности общих критериев;
б) административное руководство компании или организации;
в) персонал системного и сетевого администрирования, а также служба безопасности компании или организации.
6. Какой массив требований понимается в «Общих критериях» под элементом?
а) минимальный набор требований, фигурирующий как целое;
б) неделимое требование;
в) предметная группа требований.
7. Какой массив требований понимается в «Общих критериях» под компонентом?
а) минимальный набор требований, фигурирующий как целое;
б) неделимое требование;
в) предметная группа требований.
8. Какой массив требований понимается в «Общих критериях» под классом?
а) минимальный набор требований, фигурирующий как целое;
б) неделимое требование;
в) предметная группа требований.
9. Каков процент выборки свидетельств оценки при выборочной проверке свидетельств?
а) не менее 20%;
б) не менее 30%;
в) не менее 50%.
10. Как называется главный выходной документ, по результатам оценки безопасности системы (информационных технологий) согласно единым критериям?
а) краткий обзор результатов оценивания;
б) список замечаний;
в) технический отчёт оценки.
Тема 4.2 Классы функциональных требований в «Общих критериях».
1. Сколько классов функциональных требований выделено в «Общих критериях»?
а) два класса;
б) 11 классов;
в) 270 классов.
2. Что рассматривает в классе аудита безопасности (FAU) семейство генерации данных аудита безопасности (FAU_GEN)?
а) включение или исключение событий, которые будут реально подвергаться протоколированию;
б) защиту журнала событий от удаления, и регламент действий в случае превышения объёма журнала установленного порога;
в) потенциально подвергаемые протоколированию и аудиту события.
3. Что рассматривает в классе аудита безопасности (FAU) семейство выбора событий аудита безопасности (FAU_SEL)?
а) включение или исключение событий, которые будут реально подвергаться протоколированию;
б) защиту журнала событий от удаления, и регламент действий в случае превышения объёма журнала установленного порога;
в) потенциально подвергаемые протоколированию и аудиту события.
4. Что рассматривает в классе аудита безопасности (FAU) семейство хранения событий аудита безопасности (FAU_SEL)?
а) включение или исключение событий, которые будут реально подвергаться протоколированию;
б) защиту журнала событий от удаления, и регламент действий в случае превышения объёма журнала установленного порога;
в) потенциально подвергаемые протоколированию и аудиту события.
5. Что рассматривает в классе аудита безопасности (FAU) семейство просмотра событий аудита безопасности (FAU_SAR)?
а) требования к средствам автоматического анализа функционирования объекта оценки, позволяющим выявлять возможные нарушения безопасности;
б) право на чтение регистрационного журнала уполномоченными пользователями и запрет на доступ к журналу прочих пользователей;
в) действия, которые необходимо предпринять при выявлении возможных нарушений безопасности.
6. Что рассматривает в классе аудита безопасности (FAU) семейство анализа аудита безопасности (FAU_SAA)?
а) требования к средствам автоматического анализа функционирования объекта оценки, позволяющим выявлять возможные нарушения безопасности;
б) право на чтение регистрационного журнала уполномоченными пользователями и запрет на доступ к журналу прочих пользователей;
в) действия, которые необходимо предпринять при выявлении возможных нарушений безопасности.
7. Что рассматривает в классе аудита безопасности (FAU) семейство автоматической реакции событий аудита безопасности (FAU_SAR)?
а) требования к средствам автоматического анализа функционирования объекта оценки, позволяющим выявлять возможные нарушения безопасности;
б) право на чтение регистрационного журнала уполномоченными пользователями и запрет на доступ к журналу прочих пользователей;
в) действия, которые необходимо предпринять при выявлении возможных нарушений безопасности.
8. Что рассматривает в классе идентификации/аутентификации (FIA) семейство идентификации пользователя (FIA_UID)?
а) специфицирует механизмы подтверждения подлинности пользователя и используемые при этом атрибуты;
б) специфицирует дополнительные атрибуты пользователя, помимо его идентификаторов;
в) специфицирует набор действий (например, получение справочной информации), которые разрешается выполнять до идентификации.
9. Что рассматривает в классе идентификации/аутентификации (FIA) семейство аутентификации пользователя (FIA_UAU)?
а) специфицирует механизмы подтверждения подлинности пользователя и используемые при этом атрибуты;
б) специфицирует дополнительные атрибуты пользователя, помимо его идентификаторов;
в) специфицирует набор действий (например, получение справочной информации), которые разрешается выполнять до идентификации.
10. Что рассматривает в классе идентификации/аутентификации (FIA) семейство определения атрибутов пользователя (FIA_UID)?
а) специфицирует механизмы подтверждения подлинности пользователя и используемые при этом атрибуты;
б) специфицирует дополнительные атрибуты пользователя, помимо его идентификаторов;
в) специфицирует набор действий (например, получение справочной информации), которые разрешается выполнять до идентификации.
Тема 4.3 Гарантии (доверие) безопасности компьютерных систем в «Общих требованиях».
1. Что понимается под доверием к безопасности в трактовке «Общих критериев»?
а) наличие юридического документа, подтверждающего, что изделие проходило проверку с учётом «Общих критериев»;
б) основа для уверенности в том, что изделие ИТ отвечает целям безопасности;
в) знание системным администратором перечня выявленных уязвимостей в защите системы при её проверке в соответствии с «Общими критериями».
2. В чём состоит одна из главных целей формулирования требований доверия «Общих критериев»?
а) многократное увеличение усилий разработчиков и оценщиков, направленных на обеспечение заданного уровня доверия;
б) минимизация усилий разработчиков и оценщиков, направленных на обеспечение заданного уровня доверия;
в) составление различного рода отчётных документов.
3. Что в «Общих критериях подразумевается под оценочным уровнем доверия?
а) рассчитанная на многократное применение комбинация требований доверия, содержащая не более одного компонента из каждого семейства доверия;
б) рассчитанная на многократное применение комбинация требований доверия, содержащая четыре и более компонентов из некоторой выборки семейств доверия;
в) уровень, установленный по договорённости системного администратора и проверяющего лица, на основе их знаний и практического опыта.
4. Сколько в «Общих критериях» введено оценочных уровней доверия?
а) два;
б) пять;
в) семь.
5. Какая часть (книга) «Общих критериев рассматривает требования доверия?
а) первая;
б) вторая;
в) третья.
6. Является ли допустимым исключение какого-либо составляющего компонента из оценочного уровня доверия?
а) нет, исключение недопустимо;
б) можно исключать не более трёх компонентов;
в) можно исключать компоненты по своему усмотрению, главное, чтобы осталось не более трёх.
7. Могут ли к каталогу функциональных требований предусмотренных в «Общих критериях» в случае необходимости добавляться другие требования по безопасности?
а) нет, не могут;
б) да могут;
в) могут добавляться, но только в явном виде.
8. Как в «Общих критериях» называют наиболее общую совокупность требований доверия?
а) модулем;
б) классом;
в) областью.
9. Что означает согласно «Общим требованиям» активное исследование?
а) это передача продукта на время третьим лицам для тестирования его на «прочность»;
б) это умышленный вывод системы из строя с последующей попыткой её восстановить;
в) это оценка продукта или системы ИТ для определения его свойства безопасности.
10. Каким международным стандартом представлены «Общие требования»?
а) ISO/IEC “Common Criteria for Information Technology Security Evaluation”;
б) ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management systems - Requirements”;
в) ISO/IEC 17799:2005 “Information technology – Security techniques – Code of practice for information security management”.
Тема 4.4 Уязвимость, стойкость, и их анализ по «Общим критериям».
1. По отношению к каким функциям безопасности системы проводится анализ уязвимостей?
а) по отношению к случайной выборке функций (не менее 20%);
б) по отношению ко всем функциям;
в) по отношению к наиболее существенным функциям.
2. Какие функции безопасности согласно «Общим критериям» подвергаются анализу стойкости?
а) только функции безопасности, реализованные с помощью вероятностных или перестановочных механизмов;
б) все функции;
в) случайная выборка функций (не менее 20%).
3. Что означает согласно «Единым критериям» базовый уровень стойкости по результатам анализа на стойкость?
а) защищенность от нарушителя с высоким потенциалом нападения;;
б) защищенность от нарушителя с низким потенциалом нападения;
в) защищенность от всех нарушителей.
4. Если уязвимость можно идентифицировать и/или использовать несколькими способами, то как проводится оценка уязвимости по условным баллам «Единых критериев»?
а) для каждого из способов вычисляется рейтинг и полученные значения складываются;
б) для каждого из способов вычисляется рейтинг и полученные значения усредняются;
в) для каждого из способов вычисляется рейтинг и из полученных значений выбирается минимальное, то есть уязвимость характеризуется самым простым методом успешного нападения.
5. Рассматривается ли фаза идентификации уязвимости при оценке стойкости какой-либо функции защиты?
а) не рассматривается (предполагается, что уязвимость известна);
б) рассматривается (предполагается, что уязвимость неизвестна;
в) на выбор тестирующих.
6. Какой из нескольких сценариев нападения выбирается при оценке потенциала нападения возможного злоумышленника?
а) наиболее мягкий сценарий;
б) наиболее вероятный сценарий;
в) худший сценарий.
7. Какое нападение при оценке уязвимостей может считаться успешным?
а) если его потенциал не меньше рейтинга уязвимости;
б) если его потенциал меньше рейтинга уязвимости;
в) любое возможное нападение.
8. Что «Общие критерии» рассматривают в классе оценка уязвимостей (AVA) семейство анализа скрытых каналов (AVA_CCA)?
а) определяется порядок анализа недостатков, которые могли быть внесены на различных этапах разработки;
б) определяется порядок выявления скрытых каналов передачи информации;
в) определяется порядок анализа стойкости функций безопасности объекта оценки, которые реализованы с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции).
9. Что «Общие критерии» рассматривают в классе оценка уязвимостей (AVA) семейство стойкости функций безопасности объекта оценки (AVA_SOF)?
а) определяется порядок анализа недостатков, которые могли быть внесены на различных этапах разработки;
б) определяется порядок выявления скрытых каналов передачи информации;
в) определяется порядок анализа стойкости функций безопасности объекта оценки, которые реализованы с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции).
10. Что «Общие критерии» рассматривают в классе оценка уязвимостей (AVA) семейство анализа уязвимостей (AVA_VLA)?
а) определяется порядок анализа недостатков, которые могли быть внесены на различных этапах разработки;
б) определяется порядок выявления скрытых каналов передачи информации;
в) определяется порядок анализа стойкости функций безопасности объекта оценки, которые реализованы с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции).
Тема 4.5 Безопасное функционирование по «Общим критериям». Профили защиты. Задания по безопасности.
1. Что такое профиль защиты, применительно к рассмотрению «Общих критериев»?
а) документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований;
б) не зависящая от конкретной реализации совокупность требований информационных технологий для некоторой категории объектов оценки;
в) полный перечень функциональных требований и требования доверия, предусмотренный в «Общих критериях».
2. Что такое задания по безопасности, применительно к рассмотрению «Общих критериев»?
а) документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований;
б) не зависящая от конкретной реализации совокупность требований информационных технологий для некоторой категории объектов оценки;
в) полный перечень функциональных требований и требования доверия, предусмотренный в «Общих критериях».
3. Что можно рассматривать в качестве технического задания на подсистему обеспечения информационной безопасности объекта оценки?
а) профиль безопасности;
б) задание по безопасности;
в) сами общие критерии.
4. Что означает операция итерации при выборе компонентов функциональных требований из части «Общих критериев»?
а) спецификация пунктов, которые выбираются из перечня, приведённого в компоненте;
б) неоднократное использование компонент при различном выполнении в нём операций;
в) спецификация параметра, устанавливаемого при использовании компонента.
5. Что означает операция назначения при выборе компонентов функциональных требований из части «Общих критериев»?
а) спецификация пунктов, которые выбираются из перечня, приведённого в компоненте;
б) неоднократное использование компонент при различном выполнении в нём операций;
в) спецификация параметра, устанавливаемого при использовании компонента.
6. Что означает операция выбора при выборе компонентов функциональных требований из части «Общих критериев»?
а) спецификация пунктов, которые выбираются из перечня, приведённого в компоненте;
б) неоднократное использование компонент при различном выполнении в нём операций;
в) спецификация параметра, устанавливаемого при использовании компонента.
7. Предусмотрены ли в «Единых критериях» вопросы (критерии) оценки, касающиеся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий (управление персоналом, вопросы физической безопасности и т. д.)?
а) да, предусмотрены.
б) нет, не предусмотрены;
в) скоро будут разработаны.
8. Предусмотрены ли в «Единых критериях» вопросы защиты информации от утечки по техническим каналам (такие как контроль побочных электромагнитных излучений и наводок)?
а) данные вопросы непосредственно не затрагиваются, хотя многие концепции «Общих критериев» потенциально применимы и в данной области.
б) да, данные вопросы подробно рассмотрены;
в) положения общих критериев даже косвенно не могут быть применимы к рассмотрению данных вопросов.
9. Какой вид объектов оценки по «Единым критериям» может являться наиболее классическим или полным, с точки зрения наличия различных функций?
а) аппаратные средства персональных компьютеров (рабочих станций).
б) пакеты прикладного программного обеспечения, ориентированного на документооборот;
10. Как лучше оформлять такой документ как задание по безопасности?
а) как угодно.
б) в) максимально обобщённым, ориентированным на изучение требований по безопасности, с большим количеством ссылок на внешние материалы;
в) максимально конкретным, ориентированным на пользователя, с минимумом ссылок на внешние материалы.
Материалы для промежуточного контроля знаний
Вопросы к экзамену
1. Ценность информационной составляющей функционирования организации и предприятия. Опасности, потери, риски связаны с несанкционированным доступом к информации, с утерей или порчей информации.
2. Понятие угрозы для высокоорганизованной системы. Различие, с точки зрения защиты, между работой человека, с информацией, представленной в бумажном документе, и работой пользователя, с информацией, циркулирующей в компьютерных системах.
3. Понятие угрозы как совокупности факторов, стремящихся нарушить работу системы. Особенности угроз для компьютерных систем. Примеры угроз, которые могут быть для компьютерных систем.
4. Виды угроз, традиционно выделяемые для компьютерных систем. Угрозы конфиденциальности и целостности информации, угрозы отказа в обслуживании.
5. Характер возникновения угроз для компьютерных систем. Примеры и характеристика случайных (объективных) угроз, целенаправленных (субъективных) угроз. «Традиционные» и новые угрозы.
6. Специфика возникновения угроз в открытых компьютерных сетях. Особенности защиты информации на узлах компьютерной сети.
7. Системные вопросы защиты программ и данных. Понятие риска. Сравнение понятия «риск» и «угроза» применительно к защищённости компьютерных систем.
8. Анализ рисков, порядок его проведения, роль анализа рисков в процессе создания корпоративной системы информационной безопасности.
9. Списки факторов риска и их использование. Принцип документирования рисков, шаблон для описания фактора риска.
10. Перечень необходимых данных на этапе изучения фактического состояния объекта. Требования по составу информации, предоставляемой предприятием для проведения работ по анализу рисков применительно к его информационной системе.
11. Перечень и требования к содержанию отчетных документов для анализа рисков компании, их роль в анализе рисков.
12. Основные этапы проведения анализа рисков информационной системы, последовательность и содержание.
13. Ранжирование ценности информации и ранжирование угроз при количественном анализе рисков, какова роль персонала организации.
14. Способы и результаты качественной оценки рисков для информационных систем. Приемлемые и неприемлемые риски.
15. Что следует включить после анализа рисков в экспертное заключение по защищённости системы?
16. Специфика анализа рисков в российских условиях. Вопросы, которые следует задать поставщику средств защиты информации декларирующему поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet.
17. Управление рисками для информационных систем. Материализация риска для информационной системы в проблему. Принятие риска.
18. Модель, определение и сущность. Виды моделей и их назначение. Задачи моделирования систем. Основные понятия, связанные с моделированием.
19. Модель противника применительно к компьютерной системе. Отображение (имитация, анализ) в модели возможностей противника по атаке на компьютерную систему.
20. Параллельный анализ, его сущность. Параллельный анализ целей и возможностей злоумышленника в компьютерной сети. Анализ критических технологий.
21. Понятие программного инструментального средства анализа рисков, определение его ценности. Известные программные продукты анализа рисков, представленные на рынке, особенности реализации в них количественного и качественного подходов к анализу рисков.
22. Политика безопасности её понятие. Нормы и правила политики информационной безопасности в организации, на предприятии.
23. Дискреционное и мандатное управление доступом, сущность и основные различия. Идентификация и аутентификация в информационных системах, определения, различие.
24. Многоуровневая политика безопасности (политика MLS). Понятия решетки ценностей и информационного потока как основа политики MLS. Придерживается ли государственный сектор России политики MLS в повседневном секретном делопроизводстве?
25. Понятие целостности объекта. Целостность информации в компьютерных системах. Понятие защиты целостности.
26. Основные методы обеспечения целостности информации (данных) при хранении в автоматизированных системах.
27. Требования к защите информации в компьютерных системах с позиции системного подхода. Характеристика требований.
28. Типовые нормативные документы, определяющие необходимые требования к защите информации. Основные и дополнительные требования к защите информации.
29. Группы критериев безопасности информации и требований формулируемые в руководящих документах ФСТЭК.
30. Требования по регистрации и учёту, по управлению доступом, по вопросам криптографии в автоматизированных системах формулируемые в руководящих документах ФСТЭК.
31. Органы, участвующие в сертификации средств защиты информации в Российской Федерации. Роль в сертификации ФСТЭК, ФСБ, Министерства Обороны, Службы внешней разведки.
32. Система сертификации средств защиты информации по требованиям безопасности информации. Понятие объекта информатизации, аттестуемого по требованиям безопасности информации.
33. Деятельность системы сертификации по требованиям защиты информации. Определение перечня средств информатизации, подлежащих и обязательной сертификации.
34. Основные руководящие документы Российской Федерации, посвящённые вопросам защиты от несанкционированного доступа к информации.
35. Зарубежные нормативные документы, оказавшие наибольшее влияние на разработку отечественных документов по защите информации.
36. Аттестация защищенных систем, порядок ее проведения структуры в РФ, обеспечивающие лицензирование и сертификацию. Руководящий документ ФСТЭК по оценке защищенности АС.
37. Стандарт МО США «Критерии оценки надёжных компьютерных систем» (Trusted Computer Systems Evaluation Criteria – TCSEC), – «Оранжевая книга». Появление, назначение, содержание. Понятия: «безопасная система», «надёжный», «надёжная система».
38. «Федеральные критерии безопасности информационных технологий» США (Federal Criteria for Information Technology Security). Появление, назначение, содержание. Преимущества «Федеральных критериев» по сравнению с «Оранжевой книгой».
39. «Европейские критерии» безопасности информационных технологий (ITSEC). Рассматриваемые в них задачи средств информационной безопасности. Задача защиты информации от несанкционированного доступа с целью обеспечения конфиденциальности.
40. «Единые критерии безопасности информационных технологий» (Common Criteria of Information Technology Security Evaluation) – «Единые критерии» (Common Criteria). Появление, историческая документальная основа, авторы, назначение, последняя версия, содержание. Утверждающие их ISO стандарты.
Список рекомендуемой литературы
Основная
1. Желнов, информационных процессов в компьютерных системах: для спец. 075300 "Организация и технология защиты информации"/ , .- М.: ИГУПИТ, 2011.
2. Васильков системы и их безопасность : Учебное пособие / , , – М. : Форум, 2012. – 528с. – 15 экз., Инв. № 000 – 1540 / 14
3. Запечников безопасность открытых систем : Учебник для вузов. В 2 – х томах. Т.2. – Средства защиты в сетях / , , . – М. : Горячая линия – Телеком, 2008. – 558 с., 10 экз., Инв. № 000 – 1047 / 9
4. Запечников безопасность открытых систем : Учебник для вузов. В 2 – х т. Т.1. Угрозы, уязвимости, атаки и подходы к защите / , , . – М. : Горячая линия – Телеком, 2006. – 536 с., 10 экз., Инв. № 000 – 1048 / 9
5. Защита информации в системах мобильной связи : Учебное пособие / , . – 2-е изд. испр. и доп. – М. : Горячая линия, 2005. – 171 с. – 11экз., Инв. № 000 – 1094 / 9
6. Малюк в защиту информации в автоматизированных системах. Учебное пособие / , , . – 4-е изд., стереотип. – М. : Горячая линия – Телеком, 2011. – 146с. – 15 экз., Инв. № 000 – 1537 / 14
7. Мартемьянов системы. Концепции построения и обеспечения безопасности. / , , . – М. : Горячая Линия – Телеком, 2011. – 332с. – 11 экз., Инв. № 000 – 1544 / 10
8. Мельников информации в автоматизированных системах. Учеб пособие / Мельников В. В. М. : Финансы и статистика, 2003. – 368 с. : ил. – 5 экз., Инв. № 000 – 585 / 4+25экз., Инв. № 000 / 5 – 585 / 29
Дополнительная
9. Выскуб систем системный анализ: Электронное учебное пособие для студентов высш. учеб. заведений обучающихся по специальности "Прикладная информатика", "Сервис", Организация и технология защиты информации" / - М. : ИГУПИТ, 20экз., Инв. № 000-263 / 4
10. Деднев информации в банковском деле и электронном бизнесе: / , , - М. : КУДИЦ - ОБРАЗ, 20С - (СКБ - специалисту по компьютерной безопасности). 10экз., инв № 000-861 / 9
11. Стандарты информационной безопасности: курс лекций: учебное пособие / Второе издание / . Под ред. Академика РАН / М. : Интеренет-Университет Информационных Технологий. БИНОМ. Лаборатория знаний, 20с., (Серия Основные информационных технологий)., 1 экз., Инв. №
12. Шаньгин компьютерной информации. Эффективные методы и средства: учебное пособие. / - М. : ДМК Пресс, 2с. : ил., эгз. 10., Инв. № м. 740-740 / 9
1. Шумский анализ в защите информации: Учебное пособие. / - М. : ГелиосАРВ, 20с. 5 экз.,, Инв. № 000 /
2. Девянин безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие. – М. : Горячая линия – Телеком, 2012. – 320 с. ISBN: 0147-6
Информационные сетевые ресурсы Интернета
1. http://*****/security/
2. http://*****/
3. http://*****/
4. http://www. *****
5. http://*****//
6. http://***** www. zki. *****/
7. http://www. academy. *****/
8. http://www. bezopasnik. org/
Учебно-методическое обеспечение дисциплины
Нормативные правовые акты
1. Федеральный закон от 01.01.2001 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
2. Указ Президента РФ от 01.01.2001 N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
Материально-техническое обеспечение
310 | TECHPOD – 7CD5B34: Дисковод: HL-DT-ST DVD RAM GE20NU10 USB Device EDE ATA/ATAPI контроллеры: Intel(R) ICH10D/D0 SATA ACHI Controller Видеоадаптер: Intel(R) Q45/Q43 Express Chipset Дисковые устройства: WDC WD1600AAJS-60B4A0 Звуковые устройства: SoundMax Integrated Digital HD Audio Клавиатура: HP KB-0316 Мышь: HP M-SBF96 Процессор: Pentium(R) Dual-Core CPU E5GHz Сетевые плата: Intel(R) 82567LM-3 Gigabit Network Connection ОЗУ: 972 МБ Проектор: BENQ PB-7110 Microsoft Windows XP Professional версия 2002 Service Pack 3 |
211 | Мониторы: Aser 16 шт. SAMSUNG 1 шт. 17 Тонких Клиентов: - Подлинная Windows® Embedded Standard 7 - Процессор Intel® Atom N280 1,66 ГГц - Основной флеш-диск 4 ГБ, 2 ГБ DDR3 SODIMM - Видеоподсистема Intel GL40 - 6 USB 2.0; 1 DisplayPort; 1 разъем VGA; 1 разъем RJ-45; 1 разъем для наушников; 1 вход для микрофона; 1 последовательный порт; 2 разъема PS/2 (клавиатура и мышь); 2 дополнительных порта USB 2.0 расположены в защищенном отсеке - 10/100/1000 Gigabit Ethernet, - 4,4 x 22,2 x 25,5 см - Начальный вес 1,58 кг - Соответствующий спецификациям Energy Star 2.0 блок питания на 65 Вт с автоматическим определением напряжения в сети 100-240 В переменного тока, 50-60 Гц, автоматическим переходом в режим энергосбережения и устойчивостью к скачкам напряжения |
215 компьютерный класс | Телевизор SAMSUNG Мониторы: Aser 13 шт. View Sonic 3 шт. PROVIEW 1 шт. 17 Тонких Клиентов: - Подлинная Windows® Embedded Standard 7 - Процессор Intel® Atom N280 1,66 ГГц - Основной флеш-диск 4 ГБ, 2 ГБ DDR3 SODIMM - Видеоподсистема Intel GL40 - 6 USB 2.0; 1 DisplayPort; 1 разъем VGA; 1 разъем RJ-45; 1 разъем для наушников; 1 вход для микрофона; 1 последовательный порт; 2 разъема PS/2 (клавиатура и мышь); 2 дополнительных порта USB 2.0 расположены в защищенном отсеке - 10/100/1000 Gigabit Ethernet, - 4,4 x 22,2 x 25,5 см - Начальный вес 1,58 кг - Соответствующий спецификациям Energy Star 2.0 блок питания на 65 Вт с автоматическим определением напряжения в сети 100-240 В переменного тока, 50-60 Гц, автоматическим переходом в режим энергосбережения и устойчивостью к скачкам напряжения |
220 Мультимедийная | ПК DEPO Neos – (Intel Seleron G530 2,4 GHz, 1,8 Gb ОЗУ, ЖМД 100Gb, Монитор Sumsung S19A300N, клавиатура Logitech, мышь Logitech,) – 5 компл. ПК FORUM – (Intel Core i5 3,1 GHz, 4 Gb ОЗУ, ЖМД 1 Tb, Монитор Sumsung S19A300N, клавиатура Defender, мышь Logitech,) – 1 компл. Осциллограф универсальный C1-114/1 – 1 шт.) Осциллограф универсальный Uni-T UT-2025 – 5 шт. Осциллограф универсальный Uni-T UT-9010C – 6 шт. Блок питания (выпрямитель) HY3005 – 10 шт. Принтер HP LaserJet P1102 – 1 шт. Сканер Must Page Express 2400 – 1 шт. Микроскоп METAM-P1 – 1 шт. Паяльная станция JLT-01 – 2 шт. |
Программное обеспечение:
1. Средство оценки безопасности Microsoft Security Assessment Tool (http://technet. )
2. Средство анализа защищённости компьютерных систем и ресурсов X-Spider (www. *****/xs7/)
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
