Рабочая программа

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Майкопский государственный технологический университет»

Факультет Новых социальных технологий

Кафедра Организации и технологии защиты информации

«УТВЕРЖДАЮ»

Декан факультета

______________

«____» _____________20 ___г.

РАБОЧАЯ ПРОГРАММА

по дисциплине: ОПД. Ф.17 Защита информационных процессов в компьютерных системах

по специальности 090103 «Организация и технология защиты информации»

Факультет новых социальных технологий

форма обучения очная

Майкоп

Рабочая программа составлена на основании ГОС ВПО

специальности (направления) «________________________________________

_____________________________________________» и учебного плана МГТУ.

Составители рабочей программы:

доцент, канд. ф.-м. наук _______________

(подпись)

Рабочая программа утверждена на заседании кафедры «____________________

___________________________________________________________________»

Заведующий кафедрой

«____» __________20__г. ______________ _________________

(подпись)

Одобрено научно-методической комиссией

факультета НСТ «____» _______20__г.

Председатель

научно-методической

комиссии

факультета _________________ _________________

(подпись) (Ф. И.О.)

Декан факультета ______________ _________________ ____________________

(подпись) (Ф. И.О.)

СОГЛАСОВАНО:

Начальник УМУ

«____» __________20___г. ______________

(подпись)

§  основные положения РД Гостехкомиссии (ФСТЭК РФ);

§  основные положения TCSEC;

§  основные подходы к оценке защищенности в "Общих критериях оценки защищенности информационных технологий".

Студенты должны уметь:

- оценивать, защищенность компьютерных систем;

- анализировать, ряски в компьютерных системах.

Кроме того, они должны иметь навыки работы с нормативными документами по оценке защищенности компьютерных систем, а также навыки сбора и анализа материалов, необходимых для оценки защищенности компьютерных систем.

1.2. Краткая характеристика дисциплины, ее место в учебном процессе

Программа составлена в соответствии с требованиями государственного образовательного стандарта высшего профессионального образования по направлению подготовки 090103 «Организация и технология защиты информации». В связи с этим рассматриваются такие вопросы как: информационные технологии и их поддержка, проектирование и разработка информационных технологий, основные угрозы информации в компьютерных системах, политика безопасности для компьютерных систем, государственная политика в области безопасности компьютерных систем, Американские и европейские стандарты по защите информации, "Общие критерии оценки защищенности информационных технологий - Common Criteria (CC)".

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов организации (учреждения, компании) обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям отечественных стандартов, Конституции и федеральным законам, руководящим документам ФСТЭК и ФСБ России, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации организации (учреждения, компании).

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей компьютерной системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов организации (учреждения, компании). При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

1.3. Связь с предшествующими дисциплинами

Данный курс базируется на знаниях студентов, полученных при изучении таких дисциплин как «Информатика», «Введение в специальность», «Правовая защита информации» и предполагает интеграцию учебных дисциплин.

1.4. Связь с последующими дисциплинами

Особенностью «Защиты информационных процессов в компьютерных системах» как самостоятельной области науки служит ее междисциплинарный характер, так как в ней сходятся технические, правовые и организационные задачи (комплексность ЗИ - основной принцип). Кроме перечисленных в разделе 1.1.3. дисциплин, имеется связь как учебной дисциплины с курсом «Корпоративные информационные системы», «Администрирование в информационных системах», «Проектирование информационных систем», «Мониторинговые информационно-измерительные системы».

2. Распределение часов учебных занятий по семестрам

3. Содержание дисциплины

3.1 Лекционный курс

3.2. Практические (семинарские) занятия

3.3. Содержание и объем самостоятельной работы студентов

3.4. Организация и методика текущего и итогового контроля знаний

6. Положение по аттестации объектов информатизации по требованиям безопасности информации: Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г

7 «Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации». Утверждены Председателем Гостехкомиссии России 21.07.2002г.

8. ГОСТ Р ИСО/МЭК "Критерии оценки безопасности информационных технологий"

mon Criteria for Information Technology Security Evaluation // National Institute of Standards and Technology & National Security Agency (USA), Communication Security Establishment (Canada), Communications - Electronics Security Group (Un
Kingdom), Bundesamt fur Sicherheit in der Informationstechnik (Germany), Service Central de la Securite des Systemes d'Information (France), National Communication Security Agency (Netherlands). Version 2.1, August 1999

10. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany—Netherlands-United Kingdom. London: Department of Trade and Industry, 1991.

5. Фонды оценочных средств

5.1. Контрольные задания для проведения текущего контроля знаний

1. Протокол IP, встроенные команды

2.  Учетные записи. Профиль защиты. Восстановление системы.

3.  Политики безопасности. ММС. Хранилище сертификатов. Брандмауэер.

4.  Виртуальные частные сети. Сетевые сканеры

5.  Анализ рисков.

6.  Модель противника, потенциал нападения противника

7.  Стандарты ITIL и CobIT.

8.  ФЦП «Электронная Россия».

9. Система межведомственного электронного взаимодействия (СМЭВ)

5.2. Вопросы к зачету для проведения промежуточной аттестации

§ Введение. Предмет, цель, задачи.

§ Правовое регулирование области связи и информатизации

§ Новые нормативные документы в области связи и информатизации

§ Открытые системы

§ Модель OSI

§ Стратегии межсетевого взаимодействия

§ Общие сведения о CASE-технологии.

§ Стандарт ITIL.

§ Ошибки для CobiT и ITIL

§ Основные угрозы информации в компьютерных системах Основные виды и источники атак на информацию.

§ Классификация сетевых атак.

§ Модель безопасности информационной системы

§ Модель сетевой безопасности. Специфика возникновения угроз в открытых сетях; особенности защиты информации на узлах компьютерной сети

§ Параллельный анализ целей и возможностей злоумышленника в компьютерной сети и в ситуации при наличии изолированного компьютера.

§ Современная ситуация в области информационной безопасности.

§ История создания и текущий статус "Общих критериев"

§ Подход к безопасности компьютерных систем в СС и базовые концепции.

§ Классификация функциональных требований безопасности

§ Основные понятия и классификация требований доверия безопасности.

§ Общие положения. .

§ Мониторинг безопасности.

§ Средства мониторинга в ОС.

§ Применение средств мониторинга в защите операционных систем.

§ Средства сканирования в компьютерных сетях.

§ Системные требования для эффективной работы сканера.

§ Процесс создания сканеров и вопрос их легальности

§ История появления сканеров

§ Удаленный мониторинг или сетевое зондирование

§ Обзор американских и европейских стандартов по защите информации в компьютерных системах

§ Роль стандартов и спецификации.

§ Краткие аннотации стандартов и спецификаций

§ Зеленая книга о доступе и использовании информации государственного сектора в информационном обществе

§ На пути к политике Евросоюза в области информации государственного сектора история и аргументация.

§ Обзор нормативных документов, регламентирующих вопросы сертификации безопасности

§ Государственная политика в области безопасности компьютерных систем.

§ Концепции национальной безопасности Российской Федерации применительно к информационной сфере. Доктрина информационной безопасности.

§ Ключевые проблемы информационной безопасности государства. Основные направления деятельности государства в области информационной безопасности

§ Основные категории требований к программной и программно-аппаратной реализации средств защиты информации.

§ Системные вопросы защиты программ и данных; основные категории требований к программной и программно-аппаратной реализации средств защиты информации

§ Система лицензирования и сертификации средств защиты.

§ Аттестация защищенных систем.

5.3. Тестовые задания для контроля остаточных знаний

Раздел №1 Информационные технологии и их поддержка

1. Кто из перечисленных субъектов не несет ответственность за обеспечение создания АСЗИ?

Заказчик. Предприятие-разработчик. Предприятие-изготовитель. Орган защиты информации.

2. Что не может являться основанием для прекращения эксплуатации АСЗИ?

Принятое собственником (владельцем) АСЗИ решение, оформленное в установленном порядке. Смена юридического адреса пользователя. Решение органа надзора (контроля) из-за несоответствия требованиям НД по защите информации или по другим причинам, приводящим к утечке ЗИ или другим угрозам защищаемой информации. Решение суда.

3. Что означает термин GOSIP?

Правительственный профиль взаимосвязи открытых систем (GOSIP - Government Open Systems Interconnection Profile). Проблема невозможности создания схемы "великого порядка"(GOSIP - Great Order Scheme Impossible Problem). Межгосударственный протокол открытых систем (GOSIP - Government Open Systems International Protocol). Полномочия, позволяющие устанавливать стандарты (GOSIP - Give Operation Standards In Principals).

4. Что не относится к возможным преимуществам внедрения государственного ВОС?

Высокая экономичность. Значительное повышение эффективности. Необходимость дополнительных изделий для работы с несовместимыми системами снижается. Полностью исключается взаимосвязь оборудования ИТ различных организаций, что позволяет не допустить обмен данными и снизить степень коллективного использования ресурсов ИТ.

5. Решению каких задач не способствует Госпрофиль ВОС?

Придать статус государственной политики России в области информационной технологии ориентации на международные стандарты ИСО/МЭК, МСЭ-Т (МККТТ) по взаимосвязи открытых систем. Систематизировать международные и ГОСТ Р стандарты и рекомендации, отразив существующие между ними взаимоотношения. Конкретизировать набор взаимоувязанных цепочек ГОСТ и ГОСТ Р, направленных на решение самых различных прикладных задач (электронная почта, архитектура открытого документа, передача файлов, базы данных, обработка заданий и транзакций, факсимильные службы, видеотекс, банковские операции и др.) и на работу по различным типам объектов связи и информатизации (сетей общего пользования, АС, ЛВС и др.). Придать юридическую значимость ЭЦП при межведомственном и международном обмене электронными документами.

6. Каким терминам не даны определения в ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования"?

Служебная тайна. Защищаемая информация. Специальная проверка. Государственная тайна.

7. Какой не должна быть защита информации в АСЗИ?

Комплексной, осуществляемой в интересах защиты всего многообразия структурных элементов АСЗИ от всего спектра опасных для АСЗИ угроз. Управляемой, осуществляемой на всех стадиях жизненного цикла АСЗИ, в зависимости от важности обрабатываемой информации, состояния ресурсов АСЗИ, условий эксплуатации АСЗИ, результатов отслеживания угроз безопасности информации. Гарантированной; методы и средства защиты информации должны обеспечивать требуемый уровень защиты информации от её утечки по техническим каналам, несанкционированного доступа к информации, несанкционированным и непреднамеренным воздействиям на неё, независимо от форм её представления. Интуитивно понятной; методы и средства защиты информации должны быть просты в использовании и доступны для понимания необученных пользователей, обеспечивать четкое представление о важности применяемых средств защиты информации у посетителей.

8. На каком из рисунке Модель OSI изображена верно?

На каком из рисунке Модель OSI изображена верно? (с рисунком: 1.) На каком из рисунке Модель OSI изображена верно? (с рисунком: 2.) На каком из рисунке Модель OSI изображена верно? (с рисунком: 3.) На каком из рисунке Модель OSI изображена верно? (с рисунком: 4.)

9. Сколько уровней у модели OSI?

10 уровней. 7 уровней. 2 уровня. Количество уровней зависит от организации производителя.

10. Какой из перечисленных протоколов является протоколом верхнего уровня модели OSI?

FTP. Ethernet. TCP. IP.

11. Какой из перечисленных протоколов является протоколом транспортного уровня модели OSI?

SMTP. TCP. IP. IPX.

12. Какая из перечисленных организаций не является известным международным разработчиком стандартов ИТ?

Международный телекоммуникационный союз (ITU). Американский национальный институт стандартов (ANSI). ATM Forum Некоммерческая организация (консорциум), задачей которой является обеспечение интероперабельности оборудования на базе международных стандартов и обеспечение кооперации производителей оборудования. Японская ассоциация электронной промышленности (JEIA).

13. Из-за чего не могут возникнуть проблемы несовместимости оборудования разных производителей?

Неточная (с ошибками) реализация стандартов. Использование фирменных стандартов. Использование зарубежных стандартов. Улучшение стандартов - введение дополнительных функций и свойств.

14. Назовите три основных подхода к согласованию разных стеков протоколов?

Трансляция. Мультиплексирование. Маршрутизация. Инкапсуляция.

15. Что обеспечивает Трансляция протоколов?

Согласование двух протоколов путем преобразования (трансляции) сообщений, поступающих от одной сети, в формат другой сети. Транслирующий элемент в качестве которого могут выступать, например, программный или аппаратный шлюз, мост, коммутатор или маршрутизатор, размещается между взаимодействующими сетями и служит посредником в их "диалоге". Установку нескольких дополнительных стеков протоколов на одной из конечных машин, участвующих во взаимодействии. Работу пограничных маршрутизаторов, которые подключают объединяемые сети к транзитной, упаковывают пакеты транспортного протокола объединяемых сетей в пакеты транспортного протокола транзитной сети. Согласование протоколов на физическом уровне.

16. Что обеспечивает Мультиплексирование протоколов?

Согласование двух протоколов путем преобразования (трансляции) сообщений, поступающих от одной сети, в формат другой сети. Транслирующий элемент в качестве которого могут выступать, например, программный или аппаратный шлюз, мост, коммутатор или маршрутизатор, размещается между взаимодействующими сетями и служит посредником в их "диалоге". Согласование протоколов, методом установки нескольких дополнительных стеков протоколов на одной из конечных машин, участвующих во взаимодействии. Межсетевое взаимодействие по единому протоколу. Удобство пользователя.

17. Что не является достоинствами использования техники трансляции?

Сохраняется привычная среда пользователей и приложений, транслятор полностью прозрачен для них. Хорошая масштабируемость. Все проблемы межсетевого взаимодействия локализованы, следовательно упрощается администрирование, поиск неисправностей, обеспечение безопасности. Транслятор замедляет работу из-за относительно больших временных затрат на сложную процедуру трансляции, а также из-за ожидания запросов в очередях к единственному элементу, через который проходит весь межсетевой трафик.

18. Что является достоинствами мультиплексирования по сравнению с трансляцией протоколов?

Запросы выполняются быстрее, за счет отсутствия очередей к единственному межсетевому устройству и использования более простой, чем трансляция, процедуры переключения на нужный протокол. Более надежный способ - при отказе стека на одном из компьютеров доступ к ресурсам другой сети возможен посредством протоколов, установленных на других компьютерах. Высокая избыточность требует дополнительных ресурсов от рабочих станций, особенно если требуется установить несколько стеков для доступа к нескольким сетям. Менее удобен для пользователей по сравнению с транслятором, так как требует навыков работы с транспортными протоколами "чужих" сетей.

19. В каком примере согласования протоколов промежуточная сеть используется только как транзитная транспортная система?

Инкапсуляция. Туннелирование. Мультиплексирование. Трансляция.

20. Что включает в себя формирование кадра?

Размещение данных, поступивших с верхнего уровня, в поле данных кадра. Формирование заголовка, то есть определение и занесение в соответствующие поля кадра контрольной суммы, MAC-адресов отправителя и получателя, отметки о типе протокола верхнего уровня, пакет которого упакован в поле данных кадра. Проверку связи между оконечными компьютерами. Уничтожение кадра при несовпадении контрольной суммы.

21. Начиная с какого уровня модели OSI, все вышележащие протоколы реализуются программными средствами, обычно включаемыми в состав сетевой операционной системы?

Физический. Транспортный. Прикладной. Сетевой.

22. Какие уровни модели OSI являются сетезависимыми?

Прикладной, сетевой, транспортный. Транспортный, физический, канальный. Физический, канальный, сетевой. Сетевой, транспортный, представления.

23. На каком уровне модели OSI может выпоняться шифрование данных?

Сетевой. Сеансовый. Представления. Транспортный.

24. Какие уровни модели OSI ориентированы на приложения и мало зависят от технических особенностей построения сети?

Сеансовый, представления и прикладной. Все. Ни один. Физический, канальный, сетевой.

25. Как происходит обмен данными в вертикальной модели ISO?

требуется общий протокол для обмена данными. Соседние уровни обмениваются одним общим протоколом. Соседние уровни обмениваются данными с использованием интерфейсов API. Соседние уровни обмениваются данными с использованием интерфейсов APP.

26. Что такое маршрутизатор?

Устройство, которое собирает информацию и топологии межсетевых соединений и на ее основе пересылает пакеты сетевого уровня в сеть назначения. Устройство, которое собирает информацию и топологии межсетевых соединений и на ее основе пересылает пакеты канального уровня в сеть назначения. Устройство, обеспечивающее работу протоколов всех уровней. Устройство, обеспечивающее работу протоколов физического уровня.

27. ISO означает?

Международной организацией по стандартам (International Standardization Organization - ISO). Международный порядок стандартов (International Standart Order - ISO). Организация по стандартам в сети Интернет (Internet Standardization Organization - ISO). Стандартное правило Интернета (Internet Standart Order - ISO).

28. Какие группы требований включают в себя Функциональные требования к АСЗИ?

Грифы секретности (конфиденциальности) обрабатываемой в АСЗИ информации;. Категорию (класс защищённости) АСЗИ;. Цели защиты информации;. Возможные технические каналы утечки информации и способы несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информацию в АСЗИ, класс защищённости АСЗИ;

29. Что в АСЗИ подлежит защите?

Информационные ресурсы в виде информационных массивов и баз данных, содержащих защищаемую информацию, и представленные на магнитных, оптических и других носителях. Средства автоматизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы). Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение). Автоматизированные системы управления, системы связи и передачи данных.

30. Что относится к Функциональным выгодам реализации ВОС?

Возможность взаимодействия без потери или ухудшения функциональной среды локальной системы (интерфейса пользователя). Расширенный набор услуг, доступный прикладным программам ВОС. Услуги надежной передачи, относительно которых могут быть написаны стандартные и нестандартные программы. Отсутствие выбора факультативных и функциональных возможностей, наилучшим образом удовлетворяющих текущим потребностям.

Раздел №2 Технология защиты информации

1. Аббревиатура SAP расшифровывается как -

Systems, Applications and Products in Data Processing Systems, Aperations and Products in Data Processing Systems, Administration and Provaydering in Data Processing Systems, Applications and Products in Data Pressing

2. Case средства - это программные средства -

поддерживающие процессы создания и сопровождения информационных систем поддерживающие процессы создания информационных систем поддерживающие процессы сопровождения информационных систем поддерживающие процессы закупки, создания и сопровождения информационных систем

3. Case - технологии включают в себя:

Case - методологии, которые базируются на структурных методологиях Case - средства, а также Case - методологии, которые базируются на структурных методологиях Case - средства и Case - продукты, а также Case - методологии, которые базируются на структурных методологиях Case - программное обеспечение

4. Case - средства:

стали использоваться в 70-х годах. В своем развитии они претерпели две генерации стали использоваться в 70-х годах. В своем развитии они претерпели три генерации стали использоваться в 60-х годах. В своем развитии они претерпели две генерации стали использоваться в 80-х годах. В своем развитии они претерпели три генерации

5. Case - средства 1-го поколения (Case - 1) - применялись до конца 80-х годов. Они позволяли осуществлять следующие функции:

Создание документации с использованием компьютера. Создание диаграмм с использованием компьютера. Автоматизированный анализ, разработка и проверка. Проектирование спецификации

6. Case - средства 2-го поколения (Case-2) - Развивались с конца 80-х годов, они поддерживают:

Автоматическую кода - генерацию на основании спецификаций Информационную поддержку управления проектированием Построение прототипов и моделей системы Контроль за соблюдением стандартов по всем этапам Ж. Ц.

7. CASE расшифровывается как

Computer Aplication Software Engineering Computer Aided Software Engineering Computer Aided Software Engineer Computer Apply Software Engineering

8. CASE - системы применяются в коллективах наших разработчиков, в основном, для документирования проектов, хотя этот класс инструментальных средств может в идеале обеспечить уникальные качества создаваемых приложений, а именно:

стандартизацию корпоративной методологии создания информационных систем возможность развития и восстановления (reengineering) устаревших систем (legacy systems) и данных возможность использовать несертифицированные СКЗИ в рамках сертифицированной технологии пересмотр проектных решений и создание их вариантов на разных стадиях ЖЦ.

9. Библиотека ITIL появилась по заказу

Британского правительства Японского правительства Германского правительства Американского правительства

10. ITIL расшифровывается как

IT Interface Library IT Infrastructure Library IT Internet Library IT Infranet Library

11. ITSM расшифровывается как

IT Service Management IT Server Management IT Servicing Management IT Standart Management

12. ITSM - совокупность 10 процессов, описанных в ядре

ITIL CobIT ISO CC

13. В CobiT следует выделить

три основополагающих этапа построения эффективной модели ИТ-департамента десять основополагающих этапа построения эффективной модели ИТ-департамента семь основополагающих этапа построения эффективной модели ИТ-департамента два основополагающих этапа построения эффективной модели ИТ-департамента

14. Вопрос № 14 >

В иерархической структуре стандарта CobiT процесс управления инфраструктурой представлен в домене

поставка и поддержка планирование и организация приобретение и внедрение контроль

15. Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) приступила к разработке "Критериев оценки безопасности информационных технологий" (Evaluation Criteria for IT Security, ECITS)

в 2000 году в 1990 году в 1987 году в 1992 году

16. Правительственные организации каких стран в 1993 году занялись составлением так называемых "Общих критериев оценки безопасности информационных технологий" (Common Criteria for IT Security Evaluation).

Канады, США, Великобритании, Германии, Нидерландов и Франции Канады, США, Великобритании, Германии и Франции Канады, США, Великобритании, Италии, Германии, Нидерландов и Франции США и Великобритании

17. На первом этапе в "Проекте ОК" требовалось объединить и развить документы

"Гармонизированные критерии Европейских стран", а также "Канадские критерии оценки доверенных компьютерных продуктов" и "Федеральные критерии безопасности информационных технологий" (США) "Гармонизированные критерии Европейских стран" и "Федеральные критерии безопасности информационных технологий" (США) "Канадские критерии оценки доверенных компьютерных продуктов" и "Федеральные критерии безопасности информационных технологий" (США) "Гармонизированные критерии Европейских стран", "Канадские критерии оценки доверенных компьютерных продуктов", "Специальные требования по защите информации в Германии" и "Федеральные критерии безопасности информационных технологий" (США)

18. С какой целью в августе 1999 года была опубликована "Общая методология оценки безопасности информационных технологий" (Common Methodology for Information Technology Security Evaluation)

унификации процедуры сертификации по "Общим критериям" унификации процедуры вступления в соглашение по "Общим критериям" новых членов унификации процедуры продажи изделий сертифицированных по "Общим критериям" в рекламных целях

19. ГОСТ Р ИСО/МЭК "Критерии оценки безопасности информационных технологий" является

аутентичным переводом ОК аутентичным переводом "Оранжевой книги" аутентичным переводом "Зеленой книги" аутентичного перевода "Красной книги"

20. Продукт, согласно ОК, есть

совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы

средств ИТ предоставляющие определенные функциональные возможности и предназначенная для непосредственного использования

только прикладное программное обеспечение

любое изделие

21. Объект оценки в ОК рассматривается в определенном контексте - среде безопасности, в которую включаются все, что, имеет отношение к его безопасности, а именно:

законодательная среда - законы и нормативные акты, затрагивающие ОО;

административная среда - положения политик и программ безопасности, учитывающие особенности ОО; процедурная среда - физическая среда ОО и меры физической защиты, персонал и его свойства (знания, опыт и т. п.), принятые эксплуатационные и иные процедуры;

программно-техническая среда - предназначение объекта оценки и предполагаемые области его применения, активы (ресурсы), которые требуют защиты средствами ОО.

предположения безопасности. Они выделяют объект оценки из общего контекста, задают границы рассмотрения. Истинность этих предположений принимается без доказательства, а из множества возможных отбирается только то, что заведомо необходимо для обеспечения безопасности ОО;

22. Все атаки можно разделить на два класса:

пассивные и активные

пассивные и агрессивные

вялые и веселые

опасные и безвредные

23. К активным атакам относятся:

Отказ в обслуживании - DoS-атака (Denial of Service)

Модификация потока данных - атака "man in the middle"

Создание ложного потока (фальсификация)

Повторное использование

Replay-атака

24. Основными сервисами безопасности являются следующие:

Конфиденциальность - предотвращение пассивных атак для передаваемых или хранимых данных.

Аутентификация - подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает.

Целостность - сервис, гарантирующий, что информация при хранении или передаче не изменилась.

Контроль доступа - возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям.

Доступность - результатом атак может быть потеря или снижение доступности того или иного сервиса. Данный сервис предназначен для того, чтобы минимизировать возможность осуществления DoS-атак.

Объективность - возможность реально оценить настройки сделанные администратором безопасности

25. Три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности:

Разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противник не мог расшифровать перехваченное сообщение, не зная секретную информацию

Создать секретную информацию, используемую алгоритмом шифрования

Разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику

Разработать схему маршрутизации сетевого трафика

26. Каковы возможные последствия атак на информацию?

Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке

Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций

Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки

Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам

Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов

Многократные успешные атаки на фирму, приводят к полному отсутствию у хакеров интереса к ней

27. К категориям информационной безопасности относятся:

надежность - гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано.

точность - гарантия точного и полного выполнения всех команд.

контроль доступа - гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются.

контролируемость - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса.

контроль идентификации - гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает.

устойчивость к умышленным сбоям - гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

твердость - гарантия того, что система не будет взломана

28. Часть 2 "Общих критериев", представляет собой весьма обширную библиотеку функциональных требований безопасности и описывает:

11 классов, 66 семейств, 135 компонентов

11 классов, 86 семейств, 135 компонентов

11 классов, 66 семейств, 137 компонентов

7 классов, 66 семейств, 135 компонентов

29. К первой группе классов ОК относятся следующие классы:

FAU - аудит безопасности (описывает требования к сервису протоколирования/аудита)

FCO - связь (обслуживает неотказуемость отправителя/получателя)

FCS - криптографическая поддержка (обслуживает управление криптографическими ключами и криптографические операции)

FRU - использование ресурсов (прежде всего - обеспечение отказоустойчивости)

30. Требования доверия безопасности ОК охватывают весь жизненный цикл изделий ИТ и предполагают выполнение следующих действий:

оцениваются задания по безопасности (ЗБ) и профили защиты (ПЗ), ставшие источниками требований безопасности

анализируются различные представления проекта объекта оценки и соответствие между ними, а также соответствие каждого из них требованиям безопасности;

проверяются процессы и процедуры безопасности, их применение

анализируется документация

верифицируются представленные доказательства

анализируются тесты и их результаты

анализируются уязвимости объекта оценки

проводится независимое тестирование, в том числе тестовые "взломы" (называемые далее тестированием проникновения)

31. Каждое требование (элемент) доверия принадлежит одному из трех типов и элементы действий разработчика помечаются после номера элемента буквами:

элементы действий разработчика (помечаются буквой "D" после номера элемента); эти действия должны подтверждаться доказательным материалом (свидетельствами)

элементы представления и содержания свидетельств (помечаются буквой "C")

элементы действий оценщика (помечаются буквой "E"); оценщики обязаны проверить представленные разработчиками свидетельства, а также выполнить необходимые дополнительные действия (например, провести независимое тестирование)

элементы действий поставщика (помечаются буквой "S" после номера элемента); эти действия должны подтверждаться доказательным материалом (накладными и товарными чеками)

32. Сколько в "Общих критериях" определено упорядоченных по возрастанию оценочных уровней доверия (ОУД) безопасности, содержащих рассчитанные на многократное применение комбинации требований доверия (не более одного компонента из каждого семейства)

семь

десять

одиннадцать

три

33. Профили защиты в ОК, в отличие от заданий по безопасности, носят универсальный характер:

они характеризуют определенный класс изделий ИТ вне зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе "Общих критериев" (ОК) и используемую на практике нормативную базу в области информационной безопасности (ИБ).

они характеризуют определенный класс изделий ИТ в зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе "Общих критериев" (ОК) и используемую на практике нормативную базу в области информационной безопасности (ИБ).

они характеризуют все классы изделий ИТ вне зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе "Общих критериев" (ОК) и используемую на практике нормативную базу в области информационной безопасности (ИБ).

они характеризуют все классы изделий ИТ в зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе "Общих критериев" (ОК) и используемую на практике нормативную базу в области информационной безопасности (ИБ).

34. Уровнями модели мониторинга являются:

Стратегия

Персонал

Внешний разделитель

Закладка

35. Основными критериями оценивания достоверных систем являются:

политика безопасности

гарантированность

доступность

аутентификация

36. Инструменты сканирования не сообщают пользователю следующие моменты:

метод последовательных интервалов прерывания

вероятность, с которой конкретная деятельность по сканированию была зарегистрирована

достоверность, с которой конкретная деятельность по сканированию была зарегистрирована

метод сканирования

37. Как расшифровывается SNMP?

SNMP(простой протокол управления сетью - Simple Network Management Protocol

SNMP(простая защита управления сетью - Simple Network Management Protect)

SNMP(простой протокол жарнала сети - Simple Network Magazin Protocol

SNMP(лучший протокол управления сетью - Super Network Management Protocol

38. В модели управления SNMP, сетевая управляющая система включает в себя компоненты:

несколько управляемых узлов, каждый из которых содержит "агента"

хотя бы одну сетевую станцию управления, включающую одного или более менеджеров

сетевой протокол управления, использующийся управляющими узлами и "агентами" для обмена информацией управления

сетевой протокол управления, использующийся управляющими узлами и "агентами" для обмена информацией с другими сетями

39. Существует и несколько типов устройств, к которым осуществляется обращение из управляемого узла:

хост-система (конечная), типа рабочей станции, удаленного сервера (терминал) или принтера

системный маршрутизатор

системный администратор

медиа-устройство, типа моста, хаба или мультиплексора

40. Концептуально, управляемый узел может содержать следующие компоненты:

протоколы связи, которые обеспечивают узлу сетевую функцию

протокол управления, который определяет управление, то есть мониторинг и контроль управляемого узла

инструмент управления, который обеспечивает взаимодействие между протоколами связи и "агентом" управления

приложение "агента" управления

41. Термин сетевая станция управления (Network Management Station - NMS) относится к хост-системе, которая выполняет:

сетевой протокол управления

сетевые приложения управления

все сетевые протоколы

все сетевые приложения

42. В модели SNMP утверждается, что добавление возможностей управления должно:

минимально воздействать на управляемых узлах

максимально воздействать на управляемых узлах

не воздействать на управляемые узлы

дискретно воздействать на управляемые узлы

43. Виды операций на типах объекта, поддерживаемых в соответствии с протоколом управления (SNMP):

чтение: обеспечивает возможность проверки управляемого узла

запись: обеспечивает возможность контроля управляемого узла

обнаружение: обеспечивает операцию чтения следующей операции, чтобы позволить станциям управления определить, какие переменные управляемый узел поддерживает

уведомление: позволяет управляемому узлу сообщать "экстраординарное" событие станции управления

44. Регистрация событий относится к возможностям управляемой системы:

если что-то случилось с системой

если чья-то связанность потеряна

если чья-то связанность восстановлена после предшествующей потери

если появилась новая связь

45. Как выбрать сетевой сканер, какой критерий является главным?

количество обнаруживаемых уязвимостей

количество ложных срабатываний

удобство пользования

фирма производитель

46. Как расшифровывается MMC?

Microsoft Management Console

Master Management Console

Management Master Console

Microsoft Master Console

47. Какой папки нет в хранилище сертификатов Windows?

Личные

Другие пользователи

Промежуточные центры сертификации

Абоненты из адресной книги

48. Так называемая "Зеленая книга" это?

Сборник европейских стандартов по ИБ

Сборник американских стандартов по ИБ

Сборник африканских стандартов по ИБ

Сборник азиатских стандартов по ИБ

49. Так называемая "Оранжевая книга" это?

Сборник американских стандартов по ИБ

Сборник европейских стандартов по ИБ

Сборник китайских стандартов по ИБ

Сборник японских стандартов по ИБ

50. Хранилище Microsoft Windows может работать с сертификатами в форматах:

Файлы в DER-кодировке x.509

не отображает сведения о форматах

Стандарт CMS

Файлы в BASE64-кодировке x.509

5.4. Вопросы к экзамену для проведения итоговой аттестации

1. Информационные технологии и их поддержка

Государственные стандарты на разработку и создание информационных систем. Введение в открытые системы. Модель OSI. Примеры информационных технологий в защищенном исполнении. CASE-технологии создания информационных систем. Стандарты ITIL и CobIT.

2. Технология защиты информации

Основные угрозы информации в компьютерных системах Основные виды и источники атак на информацию. История создания и текущий статус «Общих критериев» (СС). Подход к безопасности компьютерных систем в СС и базовые концепции. Мониторинг безопасности. Обзор американских и европейских стандартов по защите информации в компьютерных системах.

3. Государственная политика в области безопасности компьютерных систем

Государственная политика в области безопасности компьютерных систем. Основные категории требований к программной и программно-аппаратной реализации средств защиты информации. Системные вопросы защиты программ и данных, основные категории требований к программной и программно-аппаратной реализации средств защиты информации Система лицензирования и сертификации средств защиты. Аттестация защищенных систем.