Меню
ГлавнаяБиос

Программно-технический уровень защиты

Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.

Программно-технический уровень.

С современной точки зрения информационным системам должны быть доступны следующие механизмы безопасности:

  • управление доступом,
  • экранирование,
  • проверка подлинности пользователей и их идентификация,
  • протоколирование и аудит,
  • обеспечение высокой доступности,
  • криптография.

Процедурный уровень.

К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:

Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.

Административный уровень.

Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.

Законодательный уровень.

Это важнейший уровень обеспечения информационной безопасности. В него входит комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям в этой области. Необходимо создать механизм, который позволил бы согласовывать разработку законов с постоянным совершенствованием информационных технологий. Государство должно выполнять координирующую и направляющую роль в этом вопросе.Российские стандарты информационных технологий и информационной безопасности должны соответствовать международному уровню. Это облегчит взаимодействие с зарубежными компаниями и зарубежными филиалами отечественных компаний. Сейчас эта проблема решается путем разовых разрешений, зачастую в обход действующего законодательства.

Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.

Программно-технические меры, направленные на контроль компьютерного оборудования, программ и хранящихся данных, образуют последний, но не менее важный рубеж информационной безопасности. На этом уровне становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по ИБ, но и у злоумышленников. Во-вторых, информационные системы все время модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.

Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов для учреждений и компаний государственного сектора входят:

  • идентификация и аутентификация;
  • управление доступом;
  • протоколирование и аудит;
  • шифрование;
  • контроль целостности;
  • экранирование;
  • анализ защищенности;
  • обеспечение отказоустойчивости;
  • обеспечение безопасного восстановления;
  • туннелирование;
  • управление.

В настоящее время повышение уровня информационной безопасности госпредприятий может достигаться путем внедрения современных технологий защиты, отличающихся все большей функциональностью, универсальностью и возможностью портирования на любые платформы. В области технической защиты информационных ресурсов можно выделить три основных направления, по которым действуют российские госпредприятия:

  • защита внутренней сети;
  • защита выхода в Интернет и международного информационного обмена;
  • защита взаимодействия с удаленными подразделениями.

При этом мы помним, что в госструктурах и государственных организациях используются только сертифицированные во ФСТЭК или ФСБ РФ средства обеспечения информационной безопасности. Для защиты внутренних ресурсов большинство федеральных и региональных органов государственной власти применяют встроенные в операционные системы механизмы аутентификации и авторизации пользователей. Некоторые ведомства имеют специальные сертифицированные системы защиты от несанкционированного доступа и электронные замки, такие как «Лабиринт-М», «Аккорд», SecretNet. В качестве средств шифрования, как правило, устанавливаются секретные ключи защиты информации «КриптоПро» или давно известные и до сих пор популярные системы семейства «Верба».

Для защиты рабочих станций и серверов внутренней сети от вредоносных программ (вирусов, червей, троянских коней) абсолютное большинство государственных организаций использует антивирусное программное обеспечение. Чаще всего это российские «Антивирус Касперского» или Dr.Web. Однако встречаются и решения Trend Micro, Symantec, McAfee, Eset.


Деление сети на сегменты с разными требованиями по информационной безопасности осуществляется при помощи механизмов фильтрации MAC- и IP-адресов на активном сетевом оборудовании и механизмов VLAN. Очень редко применяются системы контроля политики безопасности, которые сравнивают текущие настройки защитных механизмов и подсистем с эталонными значениями (Cisco, «Урядник»).

С целью защиты периметра сети госучреждения обычно используют различные сертифицированные межсетевые экраны. В основном это решения Cisco, Aladdin и Check Point. Но встречаются и продукты других производителей, в частности, Novell Border Manager, Microsoft ISA Server, ССПТ-1 и ССПТ-1М от ЦНИИ РТК, «Застава» от «Элвис-Плюс».

Системы обнаружения и предотвращения атак (так называемые HIPS) пока внедрены в очень немногих государственных организациях. Обычно здесь встречаются решения Symantec, S.N. Safe’n’Software и Cisco. В федеральных органах государственной власти защиту от спама и злоупотреблений в Интернете обеспечивают различные системы мониторинга электронной почты и веб-трафика, например eSafe Gateway, MAILsweeper, WEBsweeper и Websense.

В каналах связи с удаленными подразделениями применяются только российские системы криптографической защиты информации и VPN - «Застава», VipNet или «Континент».

11. Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

· Акты федерального законодательства:

· Международные договоры РФ;

· Конституция РФ;

· Законы федерального уровня (включая федеральные конституционные законы, кодексы);

· Указы Президента РФ;

· Постановления правительства РФ;

· Нормативные правовые акты федеральных министерств и ведомств;

· Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

1. Методические документы государственных органов России:

· Доктрина информационной безопасности РФ;

· Руководящие документы ФСТЭК (Гостехкомиссии России);

· Приказы ФСБ;

2. Стандарты информационной безопасности, из которых выделяют:

· Международные стандарты;

· Государственные (национальные) стандарты РФ;

· Методические указания.

Типы нормативных документов:

· Нормативные правовые акты: Законы РФ (О безопасности), Федеральные законы (О персональных данных, Об информации и информационных технологиях, Об электронно цифровой подписи), Указ Президента РФ (Об утверждении перечня сведений конфиденциального характера), Постановление правительства (О сертификации средств защиты информации, О лицензировании);

· Нормативно-методические и методические документы: Доктрина, Приказы ФСТЭК, Положения о сертификации средств защиты по требованиям безопасности, Положение по аттестации объектов, Типовые положения, Руководящие документы, Методики (оценки защищенности), Нормативно-методический документ;

· Стандарты: ГОСТ, РД, СанПин (Гигиенические требования к видеодисплейным терминалам), СНиП (защита от шума).

Пример иностранных законодательных документов:

Соединённые Штаты Америки

По состоянию на сегодняшний день США - юрисдикция с наибольшим количеством документов в Системе (более 12 000 документов).

В базу входят документы из двух основных американских федеральных правовых источников: Свода законов США (US Code, USC) и Кодекса федерального регулирования (Code of Federal Regulations, CFR). Первый представляет собой систематизированный свод федерального статутного законодательства и состоит из 52 разделов, посвященных регулированию тех или иных правовых отраслей или институтов.

В Систему включены три раздела Свода законов США: Раздел 26 - Налоговый кодекс США (US Internal Revenue Code), Раздел 12 - Банки и банковская деятельность (Banks and Banking) и Раздел 15 - Коммерция и торговля (Commerce and Trade), включающий законодательные акты, регулирующие деятельность на рынке ценных бумаг. Свод законов переиздаётся Конгрессом каждые 6 лет и публикуется Службой Свода законов (US Code Service). В отличие от большинства общедоступных источников, в системе WBL приведен не только текст данных документов, но и история всех вносимых в них поправок, а также примечания и наиболее значимые судебные прецеденты в данной области.

В Систему также включены подзаконные акты, изданные федеральными органами исполнительной власти и включенные в Кодекс федерального регулирования Они публикуются Федеральном реестре (Federal Register) - органе Национального управления по делам архивов.

12. Разработка политики безопасности. Основные положения информационной безопасности. Область применения. Цели и задачи обеспечения информационной безопасности. Распределение ролей и ответственности. Общие обязанности.

Разработка.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать - вольно или невольно - сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.

Политика безопасности - документ «верхнего» уровня, в котором должны быть указаны:

· лица, ответственные за безопасность функционирования фирмы;

· полномочия и ответственность отделов и служб в отношении безопасности;

· организация допуска новых сотрудников и их увольнения;

· правила разграничения доступа сотрудников к информационным ресурсам;

· организация пропускного режима, регистрации сотрудников и посетителей;

· использование программно-технических средств защиты;

· другие требования общего характера.

Затраты на обеспечение безопасности информации должны быть не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности:

Разработка политики безопасности предполагает осуществление ряда предварительных шагов:

· оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия в целом или отдельные направления его деятельности;

· анализ потенциально уязвимых информационных объектов;

· выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.

При разработке политик безопасности всех уровней необходимо придерживаться следующих основных правил:

· Политики безопасности на более низких уровнях должны полностью подчиняться соответствующей политике верхнего уровня, а также действующему законодательству и требованиям государственных органов.

· Текст политики безопасности должен содержать только четкие и однозначные формулировки, не допускающие двойного толкования.

· Текст политики безопасности должен быть доступен для понимания тех сотрудников, которым он адресован.

Общий жизненный цикл политики информационной безопасности включает в себя ряд основных шагов.

· Проведение предварительного исследования состояния информационной безопасности.

· Собственно разработку политики безопасности.

· Внедрение разработанных политик безопасности.

· Анализ соблюдения требований внедренной политики безопасности и формулирование требований по ее дальнейшему совершенствованию (возврат к первому этапу, на новый цикл совершенствования).

Политика безопасности организации (англ. organizational security policies ) - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.

Политика безопасности зависит:

  • от конкретной технологии обработки информации;
  • от используемых технических и программных средств;
  • от расположения организации;

Защиту большой информационной системы невозможно решить без грамотно разработанной документации по информационной безопасности - Политики безопасности помогает

· убедиться в том, что ничто важное не упущено из виду;

· установить четкие правила обеспечения безопасности.

Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае - защищенной.

В документе политики безопасности следует описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности , как правило, является обеспечение конфиденциальности, целостности и доступности информационных активов, а также обеспечение непрерывности ведения бизнеса компании.

Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности и пр.

Программно-технические меры направлены на контроль оборудования, программ, данных и образуют последний рубеж ИБ. Центральным для программно-технического уровня является понятие сервиса безопасности. Существуют следующие сервисы:
1) Идентификация и аутентификация
2) Управление доступом
3) Протоколирование и аудит
4) Шифрование
5) Контроль целостности
6) Экранирование
7) Анализ защищенности
8) Обеспечение отказоустойчивости
9) Обеспечение безопасного восстановления
10) Туннелирование
11) Управление
Совокупность перечисленных выше сервисов можно назвать полным набором и считается что его достаточно для обеспечения надежной защиты на программном уровне. Сервисы безопасности классифицируют по определенным видам.
Идентификация и аутентификация . Идентификация позволяет субъекту назвать себя. Аутентификация убеждается в том, что субъект тот, за кого себя выдает (проверка подлинности). Аутентификация может быть односторонней – когда клиент доказывает свою подлинность, и двухсторонней. У рассматриваемого сервиса есть 2 аспекта: 1) что служит аутентификатором 2) и как защищен обмен данными аутентификации и идентификации.
Аутентификатором пользователя может служить одна из следующей сущностей: 1) нечто, что он знает (пароль, ключ); 2) нечто, чем он владеет (карточка доступа); 3) нечто, что является частью его самого (отпечатки пальцев).
Парольная аутентификация.
Самая удобная для пользователя форма защиты. Существует ряд стандартных приемов, применяемых злоумышленником с целью обойти парольную защиту. Для каждого из этих приемов выработан прием противодействия. На основе этих механизмов можно сформулировать правила выбора безопасного пароля и работы с ним.
Способы атак на пароль:
1) Перебор. Самая простая атака на пароль, перебор всех допустимых комбинаций и символов. Современные средства могут перебрать пароль из 5 6 символов за несколько секунд. Некоторые системы не позволяют реализовать такую атаку, поскольку реагируют на несколько неправильных попыток ввода пароля.
Механизм защиты: длина пароля. Современный пароль должен иметь длину не менее 12 символов.
2) Перебор в ограниченном диапазоне. Известно, что многие пользователи, выбирая пароль, используют символы, находящиеся в одном диапазоне. Такой пароль значительно легче запомнить, однако задача противника значительно упрощается. Пусть n=70 количество символов, которое можно использовать в пароле. Из них 10 – цифры. 30 – буквы русского алфавита 30 – буквы другого алфавита. Пусть длина пароля m=4. Тогда количество комбинаций 70^4 = 24010000.
10^4+30^4+30^4= 1630000.
Таким образом, если злоумышленник оказался прав, то количество комбинаций уменьшилась в 140 раз. Программы подбора паролей включают опцию, которая позволяет использовать цифры при подборе пароля.
Механизм защиты: Использовать символы из различных диапазонов.
3) Атака по словарю. Бессмысленный абсолютно случайный пароль запомнить трудно, и для многих пользователей забыть пароль выглядит более вероятно, чем подвергнуться атаке. Поэтому выбирают часто какое-либо слово. В этом случае задача перебора для злоумышленника значительно упрощается, так как программа автоматического подбора может подбирать слова, содержащиеся в файле со словарем. Существуют огромное количество словарей разного рода, разных языков. Словарь и 200 тысяч слов проверяется за несколько секунд. Многие пользователи считают, что если применить к слову некоторые простые преобразование (написать задом наперед, русскими буквами в английской раскладке), то это повысит безопасность, но по сравнению с простым перебором, подбор слов с преобразование делает задачу выполнимой.
Надежный пароль - не должен строиться на словах естественного языка
4) Атака по персональному словарю. Злоумышленник может воспользоваться тем фактом, что для облегчения запоминания, некоторые пользователи выбирают личные данные. В том случае, если злоумышленнику нужно обойти пароль, он может составить словарь личных данных.
Надежный пароль должен быть полностью бессмысленный.
5) Сбор паролей, хранящийся в общедоступных местах. Во многих организациях пароли создаются и распространяются администратором. Однако, поскольку пароль сложно запомнить, пользователи часто хранят его под рукой в записанном виде. Проблема в том, что пользователи зачастую не серьезно относятся к вопросу обеспечения безопасности своего служебного пароля. Они считают, что, так как в организации все свои, то небрежное хранение вреда не нанесет.
Пароль не должен храниться в общедоступном месте. Идеальный вариант запомнить и нигде не хранить.
6) Социальный инжиниринг. Манипулирование людьми с целью проникновения в защищенные системы. Если подобрать или украсть пароль не удается, злоумышленник может попытаться заставить пользователя самого раскрыть пароль. Классическая тактика социального инжиниринга: звонок жертве, от имени того, кто имеет право знать запрашиваемую информацию. Методом соц. инжиниринга является: заманивание на подставной сайт, открытие ссылки. Приемы, которые используют злоумышленники, могут быть самые разные.
Правила защиты: сообщать пароль посторонним лицам нельзя, даже если это лицо имеет право его знать.
7) Фишинг. Процедура выуживания пароля случайных пользователей интернета. Обычно заключается в создании подставных сайтов, которые обманом вынуждают пользователя внести свой пароль. Например, чтобы получить пароль к банковскому счету, может быть создан сайт с дизайном такого же сайта. Так же могут рассылаться электронные письма с содержанием, типа проверьте счет, где содержится ссылка на подставной сайт. Когда клиент попадает на сайт злоумышленника, ему так же предлагается ввести логин и пароль. Эта информация сохраняется в базе злоумышленника. После чего клиент отправляется на главную страницу настоящего сайта.
Многие пользователи используют один и тот же пароль для разных ресурсов. В результате проведя атаку на менее защищенный ресурс можно получить доступ в более защищенному. Например, создается сайт интересный некоторому кругу пользователей. Информация об этом сайте доносится до потенциальных жертв. Пользователь регистрируется и придумывает себе пароль. Дальше злоумышленнику остается посмотреть, не подходит ли этот пароль для других ресурсов.
Чтобы противостоять угрозам фишинга: надо проверять адреса сайтов прежде, чем вводить пароль. Лучше поместить адрес в закладки и не переходить по ссылкам из электронных писем. Рекомендуется использовать разные пароли для доступа к разным сервисам.
Таким образом, укажем меры, позволяющие повысить надежность защиты:
1) Наложение технических ограничений. На длину и содержание пароля
2) Управление сроком действия пароля и периодическая смена.
3) Ограничение доступа в плане пароля.
4) Увеличение числа неудачных попыток входы
5) Обучение пользователей
6) Использование программных генераторов паролей.
Рассмотренные выше пароли можно назвать многоразовыми. Их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Более сильным средством с точки зрения безопасности являются одноразовые пароли.



Одноразовые пароли. Одноразовые пароли – пароли действительные для одного сеанса аутентификации. Действие одноразового пароля может ограничиваться определенным промежутком времени. Преимущество такого пароля – его нельзя использовать повторно. Человек не в состоянии запомнить одноразовые пароли, поэтому требуются дополнительные технологии для реализации этого механизма.
Способы создания и распространения одноразовых паролей:
Алгоритмы создания одноразовых паролей используются случайные числа. Это необходимо для того, чтобы невозможно было предугадать следующего пароля. Конкретные алгоритмы создания таких паролей могут значительно различаться в деталях.
Для создания одноразовых паролей можно выделить следующие основные подходы:
1) Алгоритмы, использующие математические алгоритмы для создания нового пароля.
2) Подходы, основанные на временной синхронизации между сервером и клиентом.
3) Пароли, использующие мат алгоритмы, где новый пароль основан на запросе или счетчике.
Существуют различные способы сообщить пользователю следующий пароль. Некоторые системы используют специальные электронные токены, которые пользователи носят с собою. Так же системы могут использовать программы, которые пользователь запускает с мобильного телефона. Некоторые системы генерируют одноразовые пароли на сервере, затем отправляют их пользователю, используя посторонние каналы, так как смс.
Создание одноразовых паролей на основе математических алгоритмов.
Рассмотрим подход, использующие одностороннюю функцию f. Система начинает работать с начального числа s. Генерируется пароль f(s), f(f(s)), f(f(f(s))). Каждый пароль распределяется в обратном порядке, начиная с последнего и заканчивая f(s). Если злоумышленнику удается получить одноразовый пароль, то для вычисления следующего пароля цепочки, его необходимо найти способ вычисления обратной функции. А т.к. f была односторонняя, то сделать этого невозможно. Если f криптографическая кеш-функция, которая обычно используется, то это будет технически невыполнимая задача.
Синхронизация по времени.
Связаны с физическими аппаратными токенами. Внутри токена встроены точные часы, которые синхронизированы с часами на сервере. И в таких системах, время является важной частью алгоритма создания одноразового пароля, так как генерация пароля основывается на текущем времени. Так же для синхронизированных одноразовых паролей могут использоваться и мобильные телефоны. Использование одноразовых паролей с запросом требует от пользователя обеспечение синхронизируемого по времени запроса.
Сервис аутентификации Kerberos.
Сервер предназначен для решения следующей задачи: Имеется открытая не защищенная сеть, в узлах которой находятся субъекты. Каждый субъект обладает секретным ключом. Чтобы субъект А мог доказать свою подлинность субъекту В, он должен не только назвать себя, но и продемонстрировать знание секретного ключа. А не может просто сообщить В свой секретный ключ, потому что сеть открыта и А его не знает. Требуется некоторый способ демонстрации знания секретного ключа. И система Kerberos является 3-й стороной, владеющая секретными ключами всех субъектов и помогающая им в попарной аутентификации.
Чтобы получить доступ к В, А посылает запрос, содержащий сведения о нем и о запрашиваемой услуге. В ответ Kerberos посылает так называемый билет, зашифрованный секретным ключом сервера, и копию части билета, зашифрованную секретным ключом А. А должен расшифровать 2 порцию данных и переслать ее серверу. Сервер, расшифровав билет, может сравнить ее содержимое с дополнительной информацией, присланной клиентом А. Совпадение свидетельствует о том, что А смог расшифровать предназначенные ему данные, то есть продемонстрировал знание секретного ключа. Значит, А именно тот, за кого себя выдает. Секретные ключи здесь не передавались по сети, а лишь использовались для проверки.
Аутентификация и идентификация с помощью биометрических данных.
Биометрия представляет собою совокупность аутентификации и идентификации на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик относят: отпечатки пальцев, сетчатка глаза. К поведенческим характеристикам относится: ручная подпись, стиль работы с клавиатурой. На стыке физиологии и поведения находятся особенности голоса и распознавания речи.
В общем виде работа с биометрическими данными образованна следующим образом: Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики снимаются, обрабатываются, и результаты заносятся в базу данных. В дальнейшем для аутентификации процесс снятия и обработки данных повторяется, после чего происходит поиск в базе данных шаблонов. В случае успешного поиска личность установлена. Биометрические методы не надежны, чем базы данных шаблонов. Биометрические данные человека меняются и база шаблонов нуждается в сопровождении.

Модели управления доступом
Основную роль в методе формальной разработке системы играет модель безопасности. Она определяет поток информации, разрешенный в системе и правила доступа к этой информации.
Рассмотрим 3 модели:
1) Модель дискреционного доступа. В рамках этой модели контролируется доступ субъектов (пользователей, приложений) к объектам (файлам, приложениям). Для каждого объекта существует субъект владелец, который определяет тех, кто имеет доступ к объекту, а так же разрешенные права. Основными операциями доступа являются чтение, запись и выполнение. Таким образом, модели дискреционного доступа для каждой пары субъект объект устанавливается набор разрешенных операций. При запросе доступа к объекту система ищет субъекта в списке прав доступа объекта и разрешает доступ, если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Классическая система дискреционного доступа является закрытой, т.е. объект изначально не доступен никому, а в списке доступа описывается набор разрешений. Такую модель доступа можно встретить в операционных системах Windows, Linux. Одним из недостатков модели является то, что не каждому объекту можно назначить владельца. Так же при большой количестве объектов субъектов в системе происходит администрирование большого количества таких пар, что затрудняет работу.
2) Модель Белла-ЛаПадулы (мандатного управления доступом). В этой модели даются определения объекта, субъекта и прав доступа, а так же математический аппарат для их описания. Это модель известна в основном 2 правилами безопасности, одно относится к чтению, а другое к записи данных. Пусть в системе имеются 2 типа файлов: секретные и не секретные. А пользователь относится к 2 категориям: с уровнем доступа к не секретным файлам (не секретные), к секретным (секретные). Правило 1: Не секретный пользователь или процесс, запущенный от его имени не может читать данные из секретного файла.
Правило 2: Пользователь, с уровнем доступа к секретным файлам, не может записывать данные в не секретные файлы.
Рассмотренные правила легко распределяются в системе, в которой есть более 2 уровней доступа.
Общее правило: Пользователи могут читать только документы, уровень секретности которых не превышает их доступа, и не могут создавать документы ниже уровня своего доступа.
Данная модель математическая. Основной упор делается на конфиденциальность.
3) Ролевая модель контроля доступом. Ролевой метод контролирует доступ пользователей к информации на основе типа их активности в системе (ролей). Под ролью понимается совокупность действий и обязанностей, связанных с определенным родом деятельности. Пример ролей: бухгалтер, администратор и т.п. Каждому пользователю настраиваются свои роли. Объект-роль. В некоторых случаях пользователю разрешено выполнять несколько ролей одновременно. При этом роли имеют иерархическую структуру. Основные достоинства ролевой модели: А) простота администрирования, нет необходимости прописывать правила для каждого объекта субъекта, вместо этого прописываются объект-роль. При изменении обязанностей пользователя изменяется и его роль. Иерархия ролей упрощает администрирование. Б) Принцип наименьший привилегий. Регистрироваться в системе ролью минимально необходимой для выполнения задач.

Протоколирование и аудит.
Под протоколированием понимают сбор и накопление информации, произошедшей в системе. При этом события каждого сервиса можно разделить на: внешние, внутренние и клиентские.
Аудит – это анализ накопленной информации, проводимой оперативно в реальном времени или периодически. Оперативный документ с автоматическим реагированием на выявленные вне штатные ситуации называется активным.
Протоколирование и аудит решают следующие задачи: Обеспечение подотчётности пользователей и администратора. Обеспечение возможности, реконструкции последовательности событий. Обнаружение попыток нарушения ИБ. Предоставление информации для выявления и анализа проблем.
Протоколирование требует здравого смысла, чтобы ответить какие события в системе регистрировать и с какой степенью детализации, при этом должны выполняться цели безопасности и не перерасходоваться ресурсы. Универсального ответа нет, но можно выделить некоторые рекомендации. Применительно к операционной системе рекомендуется записывать события: вход в системы, выход из системы, обращение к удаленной системе, операции с файлами, смена привилегий и иных атрибутов безопасности. При протоколирование рекомендуется записывать: тату и время, идентификатор пользователя и действия, тип события, результат действия, источник запроса, имена затронутых объектов и описание изменений. Обеспечение подотчетности важно как сдерживающее средство. Обнаружение попыток нарушения ИБ функция активного аудита. Обычный аудит позволяет выявлять атаки с опозданием.
*Активный аудит. Подозрительная активность – поведение пользователя или компонента системы, являющееся подозрительным с точки зрения определенных правил или не типичным. Задача активного аудита оперативно выявлять подозрительную активность и предоставлять средства автоматического реагирования. При этом активность целесообразно разделить на атаки, направленные на не законное получение полномочий. Для описания и выявления атак применяют метод сигнатуры. Сигнатура атаки – это совокупность условий, при которых атака является имеющей место, что вызывает реакцию. Действия, которые выполняются в рамках полномочий, но нарушают политику безопасности, называются злоупотребление полномочиями. Не типичное поведение обычно выявляется статистическими методами. Применяют системы порогов, превышение которых является подозрительными. Применительно к средствам активного аудита различают ошибки 1 и 2 рода: пропуск атак и ложные тревоги. Достоинство сигнатурного метода-малое число ошибок 2 рода (малое число ложных тревог). Недостаток неумение обнаруживать новые атаки. Достоинство статистического метода – это универсальность, возможность обнаруживать не известные атаки. Минус – высокая доля ошибок 2 рода.

Шифрование.
Шифрование – обратимое преобразование открытого (исходного) текста на основе секретного алгоритма или ключа в шифрованный (закрытый) текст. Шифрование является средством обеспечения конфиденциальности информации.
Алгоритмы шифрования делятся на 2 группы:
1) Симметричные алгоритмы. Один и тот же ключ К используется для шифровки и расшифровки. M’=EnGrypt(M,K) функция шифрования M=DeCrypt(M’,K) расшифровывание.
Все алгоритмы симметричного шифрования можно разделить на 3 группы:
А) Подстановочные Б) Перестановочные В) Блочные шифры.
*Подстановочные алгоритмы. Работают по следующему принципу: каждый символ исходного текста заменяются другим символом или последовательностью символов. При этом могут использоваться символы разных алфавитов. Если для замены используются символы 1 алфавита, подстановка называется моно алфавитной. Несколько символов – поли алфавитной подстановкой.
- Простейшей подстановкой является шифры Цезаря. Каждая буква исходного сообщения заменяется буквой, находящейся в алфавите на 3 позиции после нее. Особенностью шифров Цезаря является отсутствие ключа, число 3 не является ключом, является частью алгоритма. В настоящее время первым правилом криптографии является: стойкость любого шифра заключается в том, что противнику полностью известен механизм шифрования и единственной информацией, которой он не располагает, является ключ. Шифр цезаря становиться полноценный шифром с ключом, если число 3 не задавать, а выбирать произвольно, согласно договоренности. В качестве ключа могут быть выбраны лишь числа от 1 до32. Таким образом, модифицированный шифр Цезаря является не устойчивым к взлому методом перебора ключей.
- Шифр простой замены. Каждому символу алфавита открытого текста ставиться в соответствии некоторый символ того же или другого алфавита. Ключом данному шифру будет являться таблица соответствий. Общее количество ключей равно перестановки мощности алфавита 33! Данный шифр достаточно просто поддается крипто анализу, по определению частоты встречаемости символов. Таким образом, моно алфавитные шифры имеют серьезную слабость на основе статистических особенностей исходного текста, который наследует шифрованный текст.
- Пример многоалфавитной подстановки шифр Гронсфельда. Представляет собою модификацию шифра Цезаря. В качестве ключа используется последовательность цифр произвольной фиксированной длины. М=ИНФОРМАТИКА К=123. Каждый символ ключа записывается под исходным текстом, если длина ключа меньше исходного текста он циклически повторяется. К=12312312. M’=ЙПЧТПЛБОЛЛВ. Данный шифр относится к семейству много алфавитных. Таким образом, статистические особенности данного текста будут проявляться с цикличностью n-длина ключа (=3). При этом таблица частот дает погрешность, и восстановление текста становится не возможной.
*Перестановочные алгоритмы. Символы открытого текста изменяют порядок следования в соответствии с правилом и ключом.
- Классическим примером является перестановка букв по определенному правилу в таблице, заданного размера. Текст вписывается по столбцам, а читается по строкам.
*Блочные шифры. Симметричное шифрование использует как подстановку, так и перестановку. Практическим стандартом является несколько раундов шифрования с разными ключами, которые генерируются на основе 1 общего ключа. Большинство современных алгоритмов имеют структуру аналогичную структуре сети Фейстела (на основе Шенона). Надежный алгоритм шифрования должен удовлетворять 2 свойствам: диффузии и коффузии. Диффузия – каждый бит открытого текста должен влиять на каждый бит зашифрованного текста. Суть диффузии заключается в рассеивание статистических характеристик открытого текста внутри шифрованного. Коффузия – отсутствие статистической взаимосвязи между ключом и шифрованным текстом. Даже если противник определит статистические особенности текста их должно быть не достаточно для расшифровки.
Рассмотрим структуру сети Фейстела.
2) Алгоритмы с открытым ключом.

Классификацию мер защиты можно представить в виде трех Уровней.

Законодательный уровень. В Уголовном кодексе РФ имеется глава 28. Преступления в сфере компьютерной информации. Она содержит три следующих статьи:

статья 272. Неправомерный доступ к компьютерной информа­ции;

статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ;

статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Административный и процедурный уровни. На административ­ном и процедурном уровнях формируются политика безопаснос­ти и комплекс процедур, определяющих действия персонала в штатных и критических ситуациях. Этот уровень зафиксирован в руководящих документах, выпущенных Гостехкомиссией РФ и ФАПСИ.

Программно-технический уровень. К этому уровню относятся программные и аппаратные средства, которые составляют техни­ку информационной безопасности. К ним относятся и идентифи­кация пользователей, и управление доступом, и криптография, и экранирование, и многое другое.

И если законодательный и административный уровни защиты не зависят от конкретного пользователя компьютерной техники, то программно-технический уровень защиты информации каждый пользователь может и должен организовать на своем компьютере.

1.3. Программно-технический уровень защиты

Не будем рассматривать существующие сложные программно-аппаратные криптографические комплексы, ограничивающие до­ступ к информации за счет шифров, а также программы тайнопи­си, которые могут «растворять» конфиденциальные материалы в объемных графических и звуковых файлах. Использование таких программ может быть оправдано лишь в исключительных случаях.

Обычный пользователь, такой как мы с вами, как правило, не является профессиональным шифровальщиком или программис­том, поэтому нас интересуют «подручные» средства защиты ин­формации. Рассмотрим средства защиты информации и попробу­ем оценить их надежность. Ведь знание слабых мест защиты может уберечь нас от многих неприятностей.

Первое, что обычно делает пользователь персонального ком­пьютера - ставит два пароля: один пароль в настройках BIOS и другой - на заставку экрана. Защита на уровне BIOS будет требо­вать ввод пароля при загрузке компьютера, а защита на заставке экрана перекроет доступ к информации при прошествии опреде­ленного, вами заданного, времени бездействия компьютера.

Установка пароля на уровне BIOS - достаточно тонкий про­цесс, требующий определенных навыков работы с настройками компьютера, поэтому желательно его устанавливать с коллегой, имеющим достаточный опыт такой деятельности. Пароль на заставку экрана поставить не так сложно, и его может поставить сам пользователь.

Для задания пароля на заставку необходимо выполнить следу­ющие действия: нажмите кнопку Пуск, выберите команды На­стройка и Панель управления, дважды щелкните по значку Экран и в открывшемся окне Свойства экрана выберите вклад­ку Заставка. Задайте вид заставки, установите временной интер­вал (предположим, 1 мин), установите флажок Пароль и нажмите на кнопку Изменить.

В открывшемся окне Изменение пароля введите па­роль на заставку экрана, затем повторно его наберите для под­тверждения и нажмите на кнопку ОК.

Если вы решили сами снять пароль на заставку, то проделайте все вышеизложенные процедуры, только в окне Изменение пароля не следует ничего набирать, а просто нажмите на кнопку ОК. Па­роль будет снят.

Первый способ - воспользоваться одной из лазеек, часто преду­смотренных производителями системной платы, так называемым «универсальным паролем для забывчивых людей». Обычный пользо­ватель, каковыми мы и являемся, как правило, его не знает.

Можно использовать второй способ взлома секретности: сни­мите кожух компьютера, выньте примерно на 20...30 мин литие­вую батарейку на системной плате, после чего вставьте ее обрат­но. После этой операции BIOS на 99 % забудет все пароли и пользо­вательские настройки. Кстати, если вы сами забыли пароль, что достаточно часто случается на практике, то можно воспользоваться именно этим способом.

Третий способ узнать постороннему лицу нашу защищенную информацию - вынуть из компьютера жесткий диск и подключить его к другому компьютеру в качестве второго устройства. А дальше без проблем можно читать и копировать чужие секреты. При опре­деленном навыке эта процедура занимает 15...20 мин.

Так что постарайтесь при вашем длительном отсутствии про­сто не допускать посторонних лиц в помещение, где находится компьютер.

3) Требование безопасности повторного использования объектов противоречит:
инкапсуляции +
наследованию
полиморфизму

4) Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:
запрет на чтение каких-либо файлов, кроме конфигурационных
запрет на изменение каких-либо файлов, кроме конфигурационных +
запрет на установление сетевых соединений

5)Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
это простой способ придать информационной безопасности научный вид
объектно-ориентированный подход - универсальное средство борьбы со сложностью современных информационных систем +
в информационной безопасности с самого начала фигурируют понятия объекта и субъекта

6)В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
меры обеспечения целостности
административные меры +
меры административного воздействия

2Контейнеры в компонентных объектных средах предоставляют:
общий контекст взаимодействия с другими компонентами и с окружением +
средства для сохранения компонентов
механизмы транспортировки компонентов

Дублирование сообщений является угрозой:
доступности
конфиденциальности
целостности +

Melissa подвергает атаке на доступность:
системы электронной коммерции
геоинформационные системы
системы электронной почты +

Выберите вредоносную программу, которая открыла новый этап в развитии данной области:
Melissa +
Bubble Boy
ILOVEYOU

Самыми опасными источниками внутренних угроз являются:
некомпетентные руководители +
обиженные сотрудники
любопытные администраторы

5. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
просчеты при администрировании информационных систем
необходимость постоянной модификации информационных систем
сложность современных информационных систем +

Агрессивное потребление ресурсов является угрозой: доступности конфиденциальности целостности

Melissa - это:
бомба
вирус +
червь

Для внедрения бомб чаще всего используются ошибки типа:
отсутствие проверок кодов возврата
переполнение буфера +
нарушение целостности транзакций

Окно опасности появляется, когда:
становится известно о средствах использования уязвимости
появляется возможность использовать уязвимость +
устанавливается новое П

Среди нижеперечисленного выделите троянские программы:
ILOVEYOU
Back Orifice +
Netbus +

1. Уголовный кодекс РФ не предусматривает наказания за:
создание, использование и распространение вредоносных программ
ведение личной корреспонденции на производственной технической базе +
нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

В законопроекте "О совершенствовании информационной безопасности" (США, 2001 год) особое внимание обращено на: смягчение ограничений на экспорт криптосредств
разработку средств электронной аутентификации +
создание инфраструктуры с открытыми ключами

4. Под определение средств защиты информации, данное в Законе "О государственной тайне", подпадают:
средства выявления злоумышленной активности
средства обеспечения отказоустойчивости
средства контроля эффективности защиты информации +

1. Уровень безопасности B, согласно "Оранжевой книге", характеризуется:
принудительным управлением доступом +
верифицируемой безопасностью

3. В число классов требований доверия безопасности "Общих критериев" входят:
разработка +
оценка профиля защиты +
сертификация

4. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:
периметр безопасности
метки безопасности +
сертификаты безопасности

1. Уровень безопасности A, согласно "Оранжевой книге", характеризуется:
произвольным управлением доступом
принудительным управлением доступом
верифицируемой безопасностью +


решение сформировать или пересмотреть комплексную программу безопасности +

обеспечение конфиденциальности почтовых сообщений

4. В число целей программы безопасности верхнего уровня входят:
управление рисками +
определение ответственных за информационные сервисы
определение мер наказания за нарушения политики безопасности

5. В рамках программы безопасности нижнего уровня осуществляются:
стратегическое планирование
повседневное администрирование +
отслеживание слабых мест защиты +

"1. Политика безопасности строится на основе:
общих представлений об ИС организации
изучения политик родственных организаций
анализа рисков +

2. В число целей политики безопасности верхнего уровня входят:
формулировка административных решений по важнейшим аспектам реализации программы безопасности +
выбор методов аутентификации пользователей
обеспечение базы для соблюдения законов и правил +

1. Риск является функцией:

1. Риск является функцией: размера возможного ущерба числа уязвимостей в системе уставного капитала организации

3. В число этапов управления рисками входят: идентификация активов+ ликвидация пассивов выбор анализируемых объектов+

4. Первый шаг в анализе угроз - это: идентификация угроз+ аутентификация угроз ликвидация угроз

Определение ответственных за анализ рисков измерение рисков выбор эффективных защитных средств

5. Управление рисками включает в себя следующие виды деятельности: определение ответственных за анализ рисков- измерение рисков выбор эффективных защитных средств

6. Оценка рисков позволяет ответить на следующие вопросы: чем рискует организация, используя информационную систему? чем рискуют пользователи информационной системы? чем рискуют системные администраторы?-

1. В число классов мер процедурного уровня входят: поддержание работоспособности+ поддержание физической формы физическая защита+

2. В число принципов управления персоналом входят: минимизация привилегий+ минимизация зарплаты максимизация зарплаты

3. В число этапов процесса планирования восстановительных работ входят: выявление критически важных функций организации+ определение перечня возможных аварий+ проведение тестовых аварий

5. В число направлений повседневной деятельности на процедурном уровне входят: ситуационное управление конфигурационное управление оптимальное управление-

1. Протоколирование и аудит могут использоваться для: предупреждения нарушений ИБ+ обнаружения нарушений+ восстановления режима ИБ

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС: низкая пропускная способность большинства коммуникационных каналов сложность администрирования пользовательских компьютеров отсутствие достаточного набора криптографических аппаратно-программных продуктов

Применение наиболее передовых технических решений применение простых, апробированных решений+ сочетание простых и сложных защитных средств

Выработка и проведение в жизнь единой политики безопасности+ унификация аппаратно-программных платформ минимизация числа используемых приложений

1. Экранирование может использоваться для: предупреждения нарушений ИБ обнаружения нарушений локализации последствий нарушений

3. В число основных принципов архитектурной безопасности входят: следование признанным стандартам применение нестандартных решений, не известных злоумышленникам- разнообразие защитных средств

3. В число основных принципов архитектурной безопасности входят: усиление самого слабого звена+ укрепление наиболее вероятного объекта атаки эшелонированность обороны+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: использование собственных линий связи обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ полный анализ сетевого трафика

Управление доступом+ управление информационными системами и их компонентами управление носителями

Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации разделение статических и динамических данных формирование составных сервисов по содержательному принципу +

1. Контроль целостности может использоваться для: предупреждения нарушений ИБ обнаружения нарушений+ локализации последствий нарушений

4. В число универсальных сервисов безопасности входят: средства построения виртуальных локальных сетей экранирование + протоколирование и аудит+

Кардиограмма субъекта+ номер карточки пенсионного страхования результат работы генератора одноразовых паролей+

2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от: перехвата воспроизведения+ атак на доступность+

Роль+ исполнитель роли пользователь роли

4. При использовании версии сервера аутентификации Kerberos, описанной в курсе: шифрование не применяется- применяется симметричное шифрование применяется асимметричное+ шифрование

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда учитывается иногда не учитывается+

1. В качестве аутентификатора в сетевой среде могут использоваться: год рождения субъекта фамилия субъекта секретный криптографический ключ+

3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода: инкапсуляция наследование+ полиморфизм

4. Сервер аутентификации Kerberos: не защищает от атак на доступность+ частично защищает от атак на доступность- полностью защищает от атак на доступность

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде: матрицы субъекты/объекты - предикатов над объектами списков доступа к методам объектов

3. В число основных понятий ролевого управления доступом входит: объект+ субъект метод

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов методам объектов (с учетом значений фактических параметров вызова) классам объектов

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов+ методам объектов (с учетом значений фактических параметров вызова)+ классам объектов

Протоколирование и аудит, шифрование, контроль целостности:

Сигнатурный метод выявления атак хорош тем, что он: поднимает мало ложных тревог+ способен обнаруживать неизвестные атаки прост в настройке и эксплуатации+

3. Цифровой сертификат содержит: открытый ключ пользователя+ секретный ключ пользователя имя пользователя+

4. Реализация протоколирования и аудита преследует следующие главные цели: обнаружение попыток нарушений информационной безопасности+ недопущение попыток нарушений информационной безопасности недопущение атак на доступность

2. Пороговый метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки- прост в настройке и эксплуатации+

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем

2. Статистический метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки+ прост в настройке и эксплуатации-

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем+

5. Криптография необходима для реализации следующих сервисов безопасности: контроль защищенности контроль целостности+ контроль доступа

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение возможности воспроизведения последовательности событий обеспечение возможности реконструкции последовательности событий+ недопущение попыток воспроизведения последовательности событий

1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация, как правило, имеет низкоуровневый характер, а неотказуемость относится к действиям прикладного уровня регистрационная информация имеет специфический формат, непонятный человеку регистрационная информация имеет слишком большой объем+

5. Криптография необходима для реализации следующих сервисов безопасности: идентификация экранирование аутентификация+

1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС+ целостность регистрационной информации может быть нарушена должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность

Идентификация и аутентификация, управление доступом

1. В качестве аутентификатора в сетевой среде могут использоваться:
кардиограмма субъекта+
номер карточки пенсионного страхования
результат работы генератора одноразовых паролей+

2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
перехвата
воспроизведения+
атак на доступность+

3. В число основных понятий ролевого управления доступом входит:
роль+
исполнитель роли
пользователь роли

4. При использовании версии сервера аутентификации Kerberos, описанной в курсе:
шифрование не применяется-
применяется симметричное шифрование
применяется асимметричное шифрование

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда
учитывается иногда
не учитывается+

1. В качестве аутентификатора в сетевой среде могут использоваться:
год рождения субъекта
фамилия субъекта
секретный криптографический ключ+

3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
инкапсуляция
наследование+
полиморфизм

4. Сервер аутентификации Kerberos:
не защищает от атак на доступность+
частично защищает от атак на доступность
полностью защищает от атак на доступность

3. В число основных понятий ролевого управления доступом входит:
объект+
субъект
метод

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:
интерфейсам объектов +
методам объектов (с учетом значений фактических параметров вызова) +
классам объектов

Основные программно-технические меры:

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
низкая пропускная способность большинства коммуникационных каналов +
сложность администрирования пользовательских компьютеров
отсутствие достаточного набора криптографических аппаратно-программных продуктов+

3. В число основных принципов архитектурной безопасности входят:
применение наиболее передовых технических решений
применение простых, апробированных решений+
сочетание простых и сложных защитных средств

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
выработка и проведение в жизнь единой политики безопасности+
унификация аппаратно-программных платформ
минимизация числа используемых приложений

3. В число основных принципов архитектурной безопасности входят:
следование признанным стандартам +
применение нестандартных решений, не известных злоумышленникам-
разнообразие защитных средств+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации- разделение статических и динамических данных формирование составных сервисов по содержательному принципу+

3. В число основных принципов архитектурной безопасности входят:
усиление самого слабого звена+
укрепление наиболее вероятного объекта атаки
эшелонированность обороны+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
использование собственных линий связи
обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ п
олный анализ сетевого трафика

4. В число универсальных сервисов безопасности входят:
управление доступом+
управление информационными системами и их компонентами
управление носителями

Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
шифрование всей информации
разделение статических и динамических данных
формирование составных сервисов по содержательному принципу +

4. В число универсальных сервисов безопасности входят:
средства построения виртуальных локальных сетей
экранирование + протоколирование и аудит+

Процедурный уровень информационной безопасности

1. В число классов мер процедурного уровня входят:
поддержание работоспособности+
поддержание физической формы
физическая защита+

2. В число принципов управления персоналом входят:
минимизация привилегий+ минимизация зарплаты
максимизация зарплаты

3. В число этапов процесса планирования восстановительных работ входят:
выявление критически важных функций организации+
определение перечня возможных аварий+ проведение тестовых аварий

4. В число направлений физической защиты входят:
физическая защита пользователей-
защита поддерживающей инфраструктуры+
защита от перехвата данных+

5. В число направлений повседневной деятельности на процедурном уровне входят:
ситуационное управление
конфигурационное управление
оптимальное управление-

Управление рисками

1. Риск является функцией:
размера возможного ущерба +
числа уязвимостей в системе
уставного капитала организации

3. В число этапов управления рисками входят:
идентификация активов+
ликвидация пассивов
выбор анализируемых объектов+

4. Первый шаг в анализе угроз - это:
идентификация угроз+
аутентификация угроз
ликвидация угроз

5. Управление рисками включает в себя следующие виды деятельности:
определение ответственных за анализ рисков
измерение рисков выбор эффективных защитных средств

5. Управление рисками включает в себя следующие виды деятельности:
определение ответственных за анализ рисков-
измерение рисков +
выбор эффективных защитных средств+

6. Оценка рисков позволяет ответить на следующие вопросы:
чем рискует организация, используя информационную систему? +
чем рискуют пользователи информационной системы? +
чем рискуют системные администраторы?-