“ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ”
1.Понятие информации, информационного объекта.
2.Свойства информации.
3.Информационно-технические и информационно-психологические объекты.
4.Структура информационных объектов. Понятие «информационной сферы».
5.Сущность информационной безопасности. Объекты информационной безопасности.
6.Становление и развитие понятия «информационная безопасность». Современные подходы к определению понятия.
7.Определение понятия «информационная безопасность».
8.Сущность и понятие защиты информации. Цели и значение защиты информации.
9.Системы защиты информации. Требования к системе защиты информации.
10.Угрозы информационной безопасности. Понятие уязвимости.
11.Коммерческая тайна. Профессиональная тайна. Персональные данные.
12.Классификация угроз информационной безопасности. Базовые угрозы информационной безопасности.
13.Место и роль информационной безопасности в системе национальной безопасности Российской Федерации.
14.Понятие и современная концепция национальной безопасности. Система национальной безопасности. Военная безопасность. Экономическая безопасность.
15.Место и роль информационной безопасности в системе национальной безопасности.
16.Основные положения закона РФ «Об информации, информационных технологиях и защите информации».
17.Основные нормативные правовые акты в области информационной безопасности и защиты информации. Доктрина информационной безопасности.
18.Угрозы информационной безопасности. Принципы обеспечения информационной безопасности. Общие методы обеспечения информационной безопасности.
19.Деятельность по разработке и (или) производству средств защиты конфиденциальной информации.
20.Понятие государственной тайны.
21.Общие сведения о стандартах в информационной безопасности. «Оранжевая книга».
22.Руководящие документы Федеральной службы по техническому и экспортному контролю (РД ФСТЭК). Основные положения РД ФСТЭК.
1.Понятие информации, информационного объекта.
Информация — сведения о чем либо независимо от формы их представления.
С точки зрения философии информация — свойство материи и отображает ее свойства (состояние или способ взаимодействия) и количество (меру) путём взаимодействия.
Информация — полезные данные (текст на русском).
Информация — сведения, сообщения, данные независимо от формы их представления (Закон об информации, ИТ и защите информации).
Информационный объект это представление объекта предметной области в информационной системе, определяющее его структуру, атрибуты, ограничение целостности и, возможно, поведение.
Информационный объект — сущность, обладающая набором индентифицирующих свойств, отличающим ее от набора других аналогичных сущностей.
Информационные объекты — объекты материального мира, реализующие функции получения, обработки, хранения и передачи информации ( Доктрина ИБ).
Субъект выполняет действия над объектом.
Информационная система — совокупность содержащейся в БД информации и обеспечивающая ее обработку информационных технологий и технических средств.
Структуру ИС составляет совокупность отдельных ее частей, называемых подсистемами.
2.Свойства информации.
Основные:
—объективность (не зависит от чьего-либо мнения)
—достоверность (отражает истинное положение дел)
—полнота ( достаточность информации для принятия решений)
—актуальность ( существенна для настоящего времени)
—ценность (полезность, значимость)
—понятность (ясность, доступность для понимания)
Второстепенные:
—атрибутивность (дискретность, непрерывность)
—динамичность (изменяемость во времени)
>Копирование
>Передача
>Перевод
>Перенос
>Старение ( физическое, моральное)
—практические свойства ( информационный объем и информационная плотность)
3 Информационно-технические и информационнопсихологические объекты.
В связи с появлением и ускоренным развитием средств массовой информации резко усилилась роль общественного мнения, которое стало влиять колоссальным образом
на политические процессы в обществе, особенности функционирования информационно-
психологической среды общества. Поэтому система формирования общественного мнения
также является одним из основных объектов информационно-психологического обеспечения.
Психика человека — информационно-психологическое противоборство.
Объектом информационного противоборства может стать любой компонент или сегмент информационно-психологического пространства, в том числе — следующие виды:
o массовое и индивидуальное сознание граждан; o социально-политические системы и процессы; o информационная инфраструктура;
o информационные и психологические ресурсы.
Под психологическими ресурсами понимаются следующие компоненты информационного пространства [1]:
o система ценностей общества;
oпсихологическая толерантность системы ценностей (устойчивость системы ценностей по отношению к внешним или внутренним деструктивным воздействиям);
o индивидуальное и массовое сознание граждан;
oпсихологическая толерантность сознания граждан (устойчивость сознания граждан к манипулятивному воздействию и вовлечению в противоправную деятельность манипулятивными методами тайного принуждения личности);
o психическое здоровье граждан;
oтолерантность психического здоровья граждан (устойчивость психического здоровья по отношению к внешним или внутренним деструктивным воздействиям).
o Субъекты информационного противоборства: o государства, их союзы и коалиции;
o международные организации;
oнегосударственные незаконные (в том числе — незаконные международные) вооруженные формирования и организации террористической, экстремистской,
радикальной политической, радикальной религиозной направленности; o транснациональные корпорации;
o виртуальные социальные сообщества;
oмедиа-корпорации (контролирующие средства массовой информации и массовой коммуникации — СМИ и МК);
o виртуальные коалиции.
4.Структура информационных объектов. Понятие «информационной сферы».
Информационный объект (ИО) — это сущность , обладающая набором идентификационных свойств , отличающих её от других однотипных сущностей.
— объекты материального мира, реализующие функции получения, обработки, хранения информации (Доктрина)
Имеют определенную структуру, которую можно описать в определенном формате , в котором хранится вся его симантика и симантические связи.
Это условие справедливо, когда вся информация об объекте хранится в самом объекте (Самодостаточность).
Структуру ИО можно опред. на совокупность идентиф. свойств(размеры,цвет и т.д.), описывающих его с разных сторон
Информационная сфера — представляет собой совокупность информации, информационной инфраструктуры субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования, возникающих при этих отношениях.
Информационная сфера — среда деятельности субъектов, связанных с созданием, преобразованием и потреблением(?! использованием!?) информации.
5.Сущность информационной безопасности. Объекты информационной безопасности.
Политическая , экономическая, военная,личная, эокологическая безопасность.
ИБ — связь между ними
ИБ — свойство информации сохранять свою конфидецеальность, целостность и доступность.
ИБ — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. ( согласно ФЗ от 28 декабря 2010)
Основные объекты ИБ:
—Личность (интересы и свободы)
—Общество ( материальные и духовные ценности)
—Государство (конституционный строй, суверинитет, территориальная целостность)
Основные субъекты ИБ:
—Государство ( через органы законодательной, исполнительной и судебной власти)
—Общественные и иные организации
—Граждане, которые в соответствии с законодательством имеют свои права и обязанности по обеспечению информационной безопасности
Можно выделить несколько уровней обеспечения ИБ:
—Личностный ( организации и гражданское общество)
—На государственном уровне
Главную роль в обеспечении ИБ играет государство.
Основной регулятор — право.
6.Становление и развитие понятия «информационная безопасность». Современные подходы к определению понятия.
ИБ — явление социальное.
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
Класс «Приватность» содержит 4 семейства функциональных требований.
Анонимность. Позволяет выполнять действия без раскрытия идентификатора пользователя другим пользователям, субъектам и/или объектам. Анонимность может быть полной или выборочной. В последнем случае она может относиться не ко всем операциям и/или не ко всем пользователям (например, у уполномоченного пользователя может оставаться возможность выяснения идентификаторов пользователей).
Псевдонимность. Напоминает анонимность, но при применении псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей.
Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования информационных сервисов, но не позволяет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения профилей поведения пользователей (и, следовательно, от получения информации на основе подобных профилей).
Скрытность. Требования данного семейства направлены на то, чтобы можно было использовать информационный сервис с сокрытием факта использования. Для реализации скрытности может применяться, например, широковещательное распространение информации, без указания конкретного адресата. Годятся для реализации скрытности и методы стеганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки.
Еще один показательный (с нашей точки зрения) класс функциональных требований — «Использование ресурсов», содержащий требования доступности. Он включает три семейства.
Отказоустойчивость. Требования этого семейства направлены на сохранение доступности информационных сервисов даже в случае сбоя или отказа. В ОК различаются активная и пассивная отказоустойчивость. Активный механизм содержит специальные функции, которые активизируются в случае сбоя. Пассивная отказоустойчивость подразумевает наличие избыточности с возможностью нейтрализации ошибок.
Обслуживание по приоритетам. Выполнение этих требований позволяет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным.
Распределение ресурсов. Требования направлены на защиту (путем применения механизма квот) от несанкционированной монополизации ресурсов.
Подробнее: http://www.securitylab.ru/informer/240650.php
7.Определение понятия «информационная безопасность».
ИБ — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. ( согласно ФЗ от 28 декабря 2010)
ИБ — состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные,ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)[1]; Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006).
ИБ-деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»).[2] Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005).
8.Сущность и понятие защиты информации. Цели и значение защиты информации.
В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ «Об участии в международном информационном обмене» (закон утратил силу, в настоящее время действует «Об информации, информационных технологиях и о защите информации») информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором – «да нет у нас никаких секретов, лишь бы все работало».
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Основные составляющие информационной безопасности
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Поясним понятия доступности, целостности и конфиденциальности.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Правильные ответы выделены зелёным цветом.
Все ответы: В курс включены сведения, необходимые всем специалистам в области информационной безопасности.
Меры информационной безопасности направлены на защиту от:
(1) нанесения неприемлемого ущерба
(2) нанесения любого ущерба
(3) подглядывания в замочную скважину
В качестве аутентификатора в сетевой среде могут использоваться:
(1) год рождения субъекта
(2) фамилия субъекта
(3) секретный криптографический ключ
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
(1) регистрационная информация, как правило, имеет низкоуровневый характер, а неотказуемость относится к действиям прикладного уровня
(2) регистрационная информация имеет специфический формат, непонятный человеку
(3) регистрационная информация имеет слишком большой объем
Экран выполняет функции:
(1) разграничения доступа
(2) облегчения доступа
(3) усложнения доступа
Информационный сервис считается недоступным, если:
(1) его эффективность не удовлетворяет наложенным ограничениям
(2) подписка на него стоит слишком дорого
(3) не удается найти подходящий сервис
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
(1) сетевом
(2) транспортном
(3) сеансовом
Структурный подход опирается на:
(1) семантическую декомпозицию
(2) алгоритмическую декомпозицию
(3) декомпозицию структур данных
Окно опасности перестает существовать, когда:
(1) администратор безопасности узнает об угрозе
(2) производитель ПО выпускает заплату
(3) заплата устанавливается в защищаемой ИС
Уголовный кодекс РФ не предусматривает наказания за:
(1) создание, использование и распространение вредоносных программ
(2) ведение личной корреспонденции на производственной технической базе
(3) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
Уровень безопасности A, согласно «Оранжевой книге», характеризуется:
(1) произвольным управлением доступом
(2) принудительным управлением доступом
(3) верифицируемой безопасностью
Главная цель мер, предпринимаемых на административном уровне:
(1) сформировать программу безопасности и обеспечить ее выполнение
(2) выполнить положения действующего законодательства
(3) отчитаться перед вышестоящими инстанциями
Риск является функцией:
(1) вероятности реализации угрозы
(2) размера возможного ущерба
(3) числа уязвимостей в системе
В число классов мер процедурного уровня входят:
(1) логическая защита
(2) физическая защита
(3) планирование восстановительных работ
Протоколирование и аудит могут использоваться для:
(1) предупреждения нарушений ИБ
(2) обнаружения нарушений
(3) восстановления режима ИБ
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
(1) доступность
(2) целостность
(3) конфиденциальность
(4) правдивое отражение действительности
Аутентификация на основе пароля, переданного по сети в открытом виде, плоха, потому что не обеспечивает защиты от:
(1) перехвата
(2) воспроизведения
(3) атак на доступность
Сигнатурный метод выявления атак хорош тем, что он:
(1) поднимает мало ложных тревог
(2) способен обнаруживать неизвестные атаки
(3) прост в настройке и эксплуатации
На межсетевой экран целесообразно возложить функции:
(1) активного аудита
(2) анализа защищенности
(3) идентификации/аутентификации удаленных пользователей
Среднее время наработки на отказ:
(1) пропорционально интенсивности отказов
(2) обратно пропорционально интенсивности отказов
(3) не зависит от интенсивности отказов
Согласно стандарту X.700, в число функций управления конфигурацией входят:
(1) запуск и остановка компонентов
(2) выбор закупаемой конфигурации
(3) изменение конфигурации системы
На законодательном уровне информационной безопасности особенно важны:
(1) направляющие и координирующие меры
(2) ограничительные меры
(3) меры по обеспечению информационной независимости
Контейнеры в компонентных объектных средах предоставляют:
(1) общий контекст взаимодействия с другими компонентами и с окружением
(2) средства для сохранения компонентов
(3) механизмы транспортировки компонентов
Самыми опасными источниками внутренних угроз являются:
(1) некомпетентные руководители
(2) обиженные сотрудники
(3) любопытные администраторы
Действие Закона «О лицензировании отдельных видов деятельности»
распространяется на:
(1) деятельность по использованию шифровальных (криптографических) средств
(2) деятельность по рекламированию шифровальных (криптографических) средств
(3) деятельность по распространению шифровальных (криптографических) средств
Согласно рекомендациям X.800, неотказуемость может быть реализована на:
(1) сетевом уровне
(2) транспортном уровне
(3) прикладном уровне
В число целей политики безопасности верхнего уровня входят:
(1) решение сформировать или пересмотреть комплексную программу безопасности
(2) обеспечение базы для соблюдения законов и правил
(3) обеспечение конфиденциальности почтовых сообщений
В число возможных стратегий нейтрализации рисков входят:
(1) ликвидация риска
(2) игнорирование риска
(3) принятие риска
В число принципов управления персоналом входят:
(1) «разделяй и властвуй»
(2) разделение обязанностей
(3) инкапсуляция наследования
Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
(1) доминирование платформы Wintel
(2) наличие подключения к Internet
(3) наличие разнородных сервисов
Затраты организаций на информационную безопасность:
(1) растут
(2) остаются на одном уровне
(3) снижаются
В число основных понятий ролевого управления доступом входит:
(1) роль
(2) исполнитель роли
(3) пользователь роли
Цифровой сертификат содержит:
(1) открытый ключ пользователя
(2) секретный ключ пользователя
(3) имя пользователя
Экранирование на сетевом уровне может обеспечить:
(1) разграничение доступа по сетевым адресам
(2) выборочное выполнение команд прикладного протокола
(3) контроль объема данных, переданных по TCP-соединению
Достоинствами синхронного тиражирования являются:
(1) идейная простота
(2) простота реализации
(3) устойчивость к отказам сети
Каркас необходим системе управления для придания:
(1) гибкости
(2) жесткости
(3) устойчивости
Принцип усиления самого слабого звена можно переформулировать как:
(1) принцип равнопрочности обороны
(2) принцип удаления слабого звена
(3) принцип выявления главного звена, ухватившись за которое, можно вытянуть всю цепь
Метод объекта реализует волю:
(1) вызвавшего его пользователя
(2) владельца информационной системы
(3) разработчика объекта
Агрессивное потребление ресурсов является угрозой:
(1) доступности
(2) конфиденциальности
(3) целостности
В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
(1) смягчение ограничений на экспорт криптосредств
(2) разработку средств электронной аутентификации
(3) создание инфраструктуры с открытыми ключами
В число классов требований доверия безопасности «Общих критериев» входят:
(1) разработка
(2) оценка профиля защиты
(3) сертификация
В число этапов жизненного цикла информационного сервиса входят:
(1) закупка
(2) продажа
(3) выведение из эксплуатации
В число этапов управления рисками входят:
(1) идентификация активов
(2) ликвидация пассивов
(3) выбор анализируемых объектов
В число этапов процесса планирования восстановительных работ входят:
(1) выявление критически важных функций организации
(2) определение перечня возможных аварий
(3) проведение тестовых аварий
В число основных принципов архитектурной безопасности входят:
(1) применение наиболее передовых технических решений
(2) применение простых, апробированных решений
(3) сочетание простых и сложных защитных средств
Что из перечисленного относится к числу основных аспектов информационной безопасности:
(1) доступность — возможность за приемлемое время получить требуемую информационную услугу
(2) неотказуемость — невозможность отказаться от совершенных действий
(3) конфиденциальность – защита от несанкционированного доступа к информации
При использовании сервера аутентификации Kerberos пароли по сети:
(1) не передаются
(2) передаются в зашифрованном виде
(3) передаются в открытом виде
Реализация протоколирования и аудита преследует следующие главные цели:
(1) обнаружение попыток нарушений информационной безопасности
(2) недопущение попыток нарушений информационной безопасности
(3) недопущение атак на доступность
На межсетевые экраны целесообразно возложить следующие функции:
(1) антивирусный контроль «на лету»
(2) антивирусный контроль компьютеров внутренней сети
(3) антивирусный контроль компьютеров внешней сети
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
(1) апробированность всех процессов и составных частей информационной системы
(2) унификация процессов и составных частей
(3) минимизация привилегий
Туннелирование может применяться для достижения следующих целей:
(1) передача через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается
(2) расширение спектра поддерживаемых протоколов
(3) уменьшение нагрузки на сеть
Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
(1) да, поскольку обеспечение информационной безопасности — проблема комплексная
(2) нет, поскольку информационная безопасность — техническая дисциплина
(3) не имеет значения, поскольку если что-то понадобится, это легко найти
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:
(1) запрет на чтение каких-либо файлов, кроме конфигурационных
(2) запрет на изменение каких-либо файлов, кроме конфигурационных
(3) запрет на установление сетевых соединений
Melissa подвергает атаке на доступность:
(1) системы электронной коммерции
(2) геоинформационные системы
(3) системы электронной почты
Большинство людей не совершают противоправных действий потому, что это:
(1) осуждается и/или наказывается обществом
(2) технически невозможно
(3) сулит одни убытки
Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
(1) безопасность повторного использования объектов
(2) подотчетность
(3) неотказуемость
В число целей программы безопасности верхнего уровня входят:
(1) управление рисками
(2) определение ответственных за информационные сервисы
(3) определение мер наказания за нарушения политики безопасности
Первый шаг в анализе угроз — это:
(1) идентификация угроз
(2) аутентификация угроз
(3) ликвидация угроз
В число направлений физической защиты входят:
(1) противопожарные меры
(2) межсетевое экранирование
(3) контроль защищенности
В число универсальных сервисов безопасности входят:
(1) управление доступом
(2) управление информационными системами и их компонентами
(3) управление носителями
Сложность обеспечения информационной безопасности является следствием:
(1) комплексного характера данной проблемы, требующей для своего решения привлечения специалистов разного профиля
(2) наличия многочисленных высококвалифицированных злоумышленников
(3) развития глобальных сетей
При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:
(1) интерфейсам объектов
(2) методам объектов (с учетом значений фактических параметров вызова)
(3) классам объектов
Криптография необходима для реализации следующих сервисов безопасности:
(1) шифрование
(2) туннелирование
(3) разграничение доступа
Системы анализа защищенности помогают предотвратить:
(1) известные атаки
(2) новые виды атак
(3) нетипичное поведение пользователей
Доступность достигается за счет применения мер, направленных на повышение:
(1) безотказности
(2) лояльности
(3) дисциплинированности
Согласно стандарту X.700, в число задач управления входят:
(1) мониторинг компонентов
(2) отладка компонентов
(3) консалтинг компонентов
Информационная безопасность — это дисциплина:
(1) комплексная
(2) техническая
(3) программистская
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
(1) с программно-технической точки зрения, информационная безопасность — ветвь информационных технологий и должна развиваться по тем же законам
(2) объектно-ориентированный подход популярен в академических кругах
(3) объектно-ориентированный подход поддержан обширным инструментарием
Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
(1) отсутствие целостной концепции безопасности при проектировании базового программного обеспечения
(2) просчеты при реализации базового программного обеспечения
(3) недостаточное тестирование базового программного обеспечения
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
(1) аутентификация
(2) идентификация
(3) туннелирование
В число целей программы безопасности нижнего уровня входят:
(1) обеспечение надежной защиты конкретного информационного сервиса
(2) обеспечение экономичной защиты группы однородных информационных сервисов
(3) координация деятельности в области информационной безопасности
Управление рисками включает в себя следующие виды деятельности:
(1) оценка рисков
(2) выбор защитных средств
(3) ликвидация источников угроз
В число направлений повседневной деятельности на процедурном уровне входят:
(1) поддержка пользователей
(2) поддержка программного обеспечения
(3) поддержка унаследованного оборудования
Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
(1) выработка и проведение в жизнь единой политики безопасности
(2) унификация аппаратно-программных платформ
(3) минимизация числа используемых приложений
Программно-технические меры безопасности подразделяются на:
(1) превентивные, препятствующие нарушениям информационной безопасности
(2) меры обнаружения нарушений
(3) меры воспроизведения нарушений
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
(1) законодательные меры
(2) меры обеспечения доступности
(3) профилактические меры
Выберите вредоносную программу, которая открыла новый этап в развитии данной области:
(1) Melissa
(2) Bubble Boy
(3) ILOVEYOU
Оценка рисков позволяет ответить на следующие вопросы:
(1) существующие риски приемлемы?
(2) кто виноват в том, что риски неприемлемы?
(3) что делать, чтобы риски стали приемлемыми?
Что такое защита информации:
(1) защита от несанкционированного доступа к информации
(2) выпуск бронированных коробочек для дискет
(3) комплекс мероприятий, направленных на обеспечение информационной безопасности
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
(1) регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС
(2) целостность регистрационной информации может быть нарушена
(3) должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность
Экран выполняет функции:
(1) ускорения обмена информацией
(2) протоколирования обмена информацией
(3) замедления обмена информацией
Эффективность информационного сервиса может измеряться как:
(1) рентабельность работы сервиса
(2) максимальное время обслуживания запроса
(3) количество одновременно обслуживаемых пользователей
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
(1) сетевом
(2) сеансовом
(3) уровне представления
Любой разумный метод борьбы со сложностью опирается на принцип:
(1) не следует умножать сущности сверх необходимого
(2) отрицания отрицания
(3) разделяй и властвуй
Окно опасности появляется, когда:
(1) становится известно о средствах использования уязвимости
(2) появляется возможность использовать уязвимость
(3) устанавливается новое ПО
Уголовный кодекс РФ не предусматривает наказания за:
(1) увлечение компьютерными играми в рабочее время
(2) неправомерный доступ к компьютерной информации
(3) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
Уровень безопасности B, согласно «Оранжевой книге», характеризуется:
(1) произвольным управлением доступом
(2) принудительным управлением доступом
(3) верифицируемой безопасностью
Политика безопасности:
(1) фиксирует правила разграничения доступа
(2) отражает подход организации к защите своих информационных активов
(3) описывает способы защиты руководства организации
Риск является функцией:
(1) размера возможного ущерба
(2) числа уязвимостей в системе
(3) уставного капитала организации
В число классов мер процедурного уровня входят:
(1) управление персоналом
(2) управление персоналками
(3) реагирование на нарушения режима безопасности
Экранирование может использоваться для:
(1) предупреждения нарушений ИБ
(2) обнаружения нарушений
(3) локализации последствий нарушений
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
(1) доступность
(2) масштабируемость
(3) целостность
(4) конфиденциальность
Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
(1) перехвата
(2) воспроизведения
(3) атак на доступность
Статистический метод выявления атак хорош тем, что он:
(1) поднимает мало ложных тревог
(2) способен обнаруживать неизвестные атаки
(3) прост в настройке и эксплуатации
Демилитаризованная зона располагается:
(1) перед внешним межсетевым экраном
(2) между межсетевыми экранами
(3) за внутренним межсетевым экраном
Интенсивности отказов независимых компонентов:
(1) складываются
(2) умножаются
(3) возводятся в квадрат и складываются
Согласно стандарту X.700, в число функций управления отказами входят:
(1) предупреждение отказов
(2) выявление отказов
(3) изоляция отказов
Самым актуальным из стандартов безопасности является:
(1) «Оранжевая книга»
(2) рекомендации X.800
(3) «Общие критерии»
В число понятий объектного подхода входят:
(1) инкапсуляция
(2) наследование
(3) полиморфизм
Самыми опасными источниками угроз являются:
(1) внутренние
(2) внешние
(3) пограничные
Действие Закона «О лицензировании отдельных видов деятельности» не
распространяется на:
(1) деятельность по технической защите конфиденциальной информации
(2) образовательную деятельность в области защиты информации
(3) предоставление услуг в области шифрования информации
Согласно рекомендациям X.800, целостность с восстановлением может быть
реализована на:
(1) сетевом уровне
(2) транспортном уровне
(3) прикладном уровне
В число целей политики безопасности верхнего уровня входят:
(1) формулировка административных решений по важнейшим аспектам реализации программы безопасности
(2) выбор методов аутентификации пользователей
(3) обеспечение базы для соблюдения законов и правил
В число возможных стратегий нейтрализации рисков входят:
(1) уменьшение риска
(2) сокрытие риска
(3) афиширование риска
В число принципов управления персоналом входят:
(1) минимизация привилегий
(2) минимизация зарплаты
(3) максимизация зарплаты
Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
(1) низкая пропускная способность большинства коммуникационных каналов
(2) сложность администрирования пользовательских компьютеров
(3) отсутствие достаточного набора криптографических аппаратно-программных продуктов
Компьютерная преступность в мире:
(1) остается на одном уровне
(2) снижается
(3) растет
В число основных понятий ролевого управления доступом входит:
(1) объект
(2) субъект
(3) метод
Цифровой сертификат содержит:
(1) открытый ключ удостоверяющего центра
(2) секретный ключ удостоверяющего центра
(3) имя удостоверяющего центра
Экранирование на сетевом и транспортном уровнях может обеспечить:
(1) разграничение доступа по сетевым адресам
(2) выборочное выполнение команд прикладного протокола
(3) контроль объема данных, переданных по TCP-соединению
Достоинствами асинхронного тиражирования являются:
(1) идейная простота
(2) простота реализации
(3) устойчивость к отказам сети
Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
(1) систем анализа защищенности
(2) систем активного аудита
(3) систем идентификации
Из принципа разнообразия защитных средств следует, что:
(1) в разных точках подключения корпоративной сети к Internet необходимо устанавливать разные межсетевые экраны
(2) каждую точку подключения корпоративной сети к Internet необходимо защищать несколькими видами средств безопасности
(3) защитные средства нужно менять как можно чаще
Деление на активные и пассивные сущности противоречит:
(1) классической технологии программирования
(2) основам объектно-ориентированного подхода
(3) стандарту на язык программирования Си
Перехват данных является угрозой:
(1) доступности
(2) конфиденциальности
(3) целостности
В следующих странах сохранилось жесткое государственное регулирование разработки и распространения криптосредств на внутреннем рынке:
(1) Китай
(2) Россия
(3) Франция
В число классов функциональных требований «Общих критериев» входят:
(1) анонимность
(2) приватность
(3) связь
В число этапов жизненного цикла информационного сервиса входят:
(1) инициация
(2) терминация
(3) установка
В число этапов управления рисками входят:
(1) оценка рисков
(2) выбор уровня детализации анализируемых объектов
(3) наказание за создание уязвимостей
В число этапов процесса планирования восстановительных работ входят:
(1) идентификация персонала
(2) проверка персонала
(3) идентификация ресурсов
В число основных принципов архитектурной безопасности входят:
(1) следование признанным стандартам
(2) применение нестандартных решений, не известных злоумышленникам
(3) разнообразие защитных средств
Что из перечисленного относится к числу основных аспектов информационной безопасности:
(1) подлинность — аутентичность субъектов и объектов
(2) целостность — актуальность и непротиворечивость информации, защищенность информации и поддерживающей инфраструктуры от разрушения и несанкционированного изменения
(3) стерильность — отсутствие недекларированных возможностей
При использовании версии сервера аутентификации Kerberos, описанной в курсе:
(1) шифрование не применяется
(2) применяется симметричное шифрование
(3) применяется асимметричное шифрование
Реализация протоколирования и аудита преследует следующие главные цели:
(1) обеспечение возможности воспроизведения последовательности событий
(2) обеспечение возможности реконструкции последовательности событий
(3) недопущение попыток воспроизведения последовательности событий
На межсетевые экраны целесообразно возложить следующие функции:
(1) верификация базового программного обеспечения
(2) верификация Java-аплетов
(3) верификация прикладного программного обеспечения
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
(1) управляемость процессов, контроль состояния частей
(2) невозможность обхода защитных средств
(3) автоматизация процессов
Туннелирование может применяться для достижения следующих целей:
(1) защита паролей от перехвата
(2) обеспечение конфиденциальности трафика
(3) защита от воспроизведения трафика
Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией органов лицензирования и сертификации по данной тематике:
(1) да, поскольку наличие лицензий и сертификатов при прочих равных условиях является важным достоинством
(2) нет, поскольку реально используемые продукты все равно не могут быть сертифицированы
(3) не имеет значения, поскольку если информация о лицензиях или сертификатах понадобится, ее легко найти
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:
(1) запрет на чтение файлов, кроме просматриваемых и конфигурационных
(2) запрет на изменение файлов, кроме просматриваемых и конфигурационных
(3) запрет на изменение каких-либо файлов
Melissa — это:
(1) макровирус для файлов MS-Word
(2) макровирус для файлов PDF
(3) макровирус для файлов Postscript
На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:
(1) меры ограничительной направленности
(2) направляющие и координирующие меры
(3) меры по обеспечению информационной независимости
Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
(1) периметр безопасности
(2) метки безопасности
(3) сертификаты безопасности
В число целей программы безопасности верхнего уровня входят:
(1) составление карты информационной системы
(2) координация деятельности в области информационной безопасности
(3) пополнение и распределение ресурсов
После идентификации угрозы необходимо оценить:
(1) вероятность ее осуществления
(2) ущерб от ее осуществления
(3) частоту ее осуществления
В число направлений физической защиты входят:
(1) физическая защита пользователей
(2) защита поддерживающей инфраструктуры
(3) защита от перехвата данных
В число универсальных сервисов безопасности входят:
(1) шифрование
(2) средства построения виртуальных частных сетей
(3) туннелирование
Сложность обеспечения информационной безопасности является следствием:
(1) злого умысла разработчиков информационных систем
(2) объективных проблем современной технологии программирования
(3) происков западных спецслужб, встраивающих «закладки» в аппаратуру и программы
При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:
(1) матрицы субъекты/объекты
(2) предикатов над объектами
(3) списков доступа к методам объектов
Криптография необходима для реализации следующих сервисов безопасности:
(1) контроль защищенности
(2) контроль целостности
(3) контроль доступа
Системы анализа защищенности помогают:
(1) оперативно пресечь известные атаки
(2) предотвратить известные атаки
(3) восстановить ход известных атак
Доступность достигается за счет применения мер, направленных на повышение:
(1) морозоустойчивости
(2) отказоустойчивости
(3) неотказуемости
Согласно стандарту X.700, в число задач управления входят:
(1) выдача указаний
(2) выдача и реализация управляющих воздействий
(3) реализация политики безопасности
В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:
(1) законодательный
(2) исполнительный
(3) судебный
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
(1) это простой способ придать информационной безопасности научный вид
(2) объектно-ориентированный подход — универсальное средство борьбы со сложностью современных информационных систем
(3) в информационной безопасности с самого начала фигурируют понятия объекта и субъекта
Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
(1) использование недостаточно апробированных технологий
(2) архитектурные просчеты при построении информационных систем
(3) использование приложений, полученных из ненадежных источников
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
(1) управление квотами
(2) управление доступом
(3) экранирование
В рамках программы безопасности нижнего уровня определяются:
(1) совокупность целей безопасности
(2) набор используемых механизмов безопасности
(3) наиболее вероятные угрозы безопасности
Управление рисками включает в себя следующие виды деятельности:
(1) определение ответственных за анализ рисков
(2) измерение рисков
(3) выбор эффективных защитных средств
В число направлений повседневной деятельности на процедурном уровне входят:
(1) ситуационное управление
(2) конфигурационное управление
(3) оптимальное управление
Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
(1) использование собственных линий связи
(2) обеспечение конфиденциальности и целостности при сетевых взаимодействиях
(3) полный анализ сетевого трафика
Сервисы безопасности подразделяются на:
(1) глобализующие, расширяющие зону поиска нарушителя
(2) локализующие, сужающие зону воздействия нарушений
(3) буферизующие, сглаживающие злоумышленную активность
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
(1) меры обеспечения целостности
(2) административные меры
(3) меры административного воздействия
Для внедрения бомб чаще всего используются ошибки типа:
(1) отсутствие проверок кодов возврата
(2) переполнение буфера
(3) нарушение целостности транзакций
Оценка рисков позволяет ответить на следующие вопросы:
(1) чем рискует организация, используя информационную систему?
(2) чем рискуют пользователи информационной системы?
(3) чем рискуют системные администраторы?
Что понимается под информационной безопасностью:
(1) защита душевного здоровья телезрителей
(2) защита от нанесения неприемлемого ущерба субъектам информационных отношений
(3) обеспечение информационной независимости России
В качестве аутентификатора в сетевой среде могут использоваться:
(1) кардиограмма субъекта
(2) номер карточки пенсионного страхования
(3) результат работы генератора одноразовых паролей
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
(1) регистрационная информация относится к разным уровням стека сетевых протоколов
(2) объем регистрационной информации очень быстро растет, ее приходится перемещать на вторичные носители, чтение с которых сопряжено с техническими проблемами
(3) регистрационная информация для разных компонентов распределенной системы может оказаться рассогласованной
Экран выполняет функцию:
(1) очистки некоторых элементов передаваемых данных
(2) пополнения некоторых элементов передаваемых данных
(3) преобразования некоторых элементов передаваемых данных
Обеспечение высокой доступности можно ограничить:
(1) критически важными серверами
(2) сетевым оборудованием
(3) всей цепочкой от пользователей до серверов
Туннелирование может использоваться на следующих уровнях эталонной семиуровневой модели:
(1) канальном
(2) сетевом
(3) транспортном
Объектно-ориентированный подход помогает справляться с:
(1) сложностью систем
(2) недостаточной реактивностью систем
(3) некачественным пользовательским интерфейсом
Окно опасности — это:
(1) промежуток времени
(2) часть пространства
(3) плохо закрепленная деталь строительной конструкции
Уголовный кодекс РФ не предусматривает наказания за:
(1) неправомерный доступ к компьютерной информации
(2) создание, использование и распространение вредоносных программ
(3) массовую рассылку незапрошенной рекламной информации
Уровень безопасности C, согласно «Оранжевой книге», характеризуется:
(1) произвольным управлением доступом
(2) принудительным управлением доступом
(3) верифицируемой безопасностью
Политика безопасности строится на основе:
(1) общих представлений об ИС организации
(2) изучения политик родственных организаций
(3) анализа рисков
Уровень риска является функцией:
(1) вероятности реализации угрозы
(2) стоимости защитных средств
(3) числа уязвимостей в системе
В число классов мер процедурного уровня входят:
(1) поддержание работоспособности
(2) поддержание физической формы
(3) физическая защита
Контроль целостности может использоваться для:
(1) предупреждения нарушений ИБ
(2) обнаружения нарушений
(3) локализации последствий нарушений
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
(1) доступность
(2) целостность
(3) защита от копирования
(4) конфиденциальность
Аутентификация на основе пароля, переданного по сети в зашифрованном виде и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:
(1) перехвата
(2) воспроизведения
(3) атак на доступность
Пороговый метод выявления атак хорош тем, что он:
(1) поднимает мало ложных тревог
(2) способен обнаруживать неизвестные атаки
(3) прост в настройке и эксплуатации
К межсетевым экранам целесообразно применять следующие принципы архитектурной безопасности:
(1) усиление самого слабого звена
(2) эшелонированность обороны
(3) невозможность перехода в небезопасное состояние
В число основных угроз доступности входят:
(1) отказ пользователей
(2) повышение цен на услуги связи
(3) отказ поддерживающей инфраструктуры
Согласно стандарту X.700, в число функций управления безопасностью входят:
(1) создание инцидентов
(2) реагирование на инциденты
(3) устранение инцидентов
Элементом процедурного уровня ИБ является:
(1) логическая защита
(2) техническая защита
(3) физическая защита
Объектно-ориентированный подход использует:
(1) семантическую декомпозицию
(2) объектную декомпозицию
(3) алгоритмическую декомпозицию
Самыми опасными угрозами являются:
(1) непреднамеренные ошибки штатных сотрудников
(2) вирусные инфекции
(3) атаки хакеров
Согласно Закону «О лицензировании отдельных видов деятельности»,
лицензия, это:
(1) специальное разрешение на осуществление конкретного вида деятельности
(2) удостоверение, подтверждающее высокое качество изделия
(3) документ, гарантирующий безопасность программного продукта
Согласно рекомендациям X.800, аутентификация может быть реализована на:
(1) сетевом уровне
(2) транспортном уровне
(3) прикладном уровне
В число целей политики безопасности верхнего уровня входят:
(1) определение правил разграничения доступа
(2) формулировка целей, которые преследует организация в области информационной безопасности
(3) определение общих направлений в достижении целей безопасности
В число возможных стратегий нейтрализации рисков входят:
(1) переадресация риска
(2) деноминация риска
(3) декомпозиция риска
В число принципов физической защиты входят:
(1) беспощадный отпор
(2) непрерывность защиты в пространстве и времени
(3) минимизация защитных средств
Средний ущерб от компьютерного преступления в США составляет примерно:
(1) сотни тысяч долларов
(2) десятки долларов
(3) копейки
Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
(1) инкапсуляция
(2) наследование
(3) полиморфизм
Цифровой сертификат содержит:
(1) ЭЦП пользователя
(2) ЭЦП доверенного центра
(3) ЭЦП генератора криптографических ключей
Комплексное экранирование может обеспечить:
(1) разграничение доступа по сетевым адресам
(2) выборочное выполнение команд прикладного протокола
(3) контроль объема данных, переданных по TCP-соединению
Основными функциями ПО промежуточного слоя, существенными для обеспечения высокой доступности, являются:
(1) маршрутизация запросов
(2) балансировка загрузки
(3) доступность свободно распространяемых реализаций
Архитектурными элементами систем управления являются:
(1) агенты
(2) клиенты
(3) менеджеры
С информацией о новых уязвимых местах достаточно знакомиться:
(1) раз в день
(2) раз в неделю
(3) при получении очередного сообщения по соответствующему списку рассылки
Требование безопасности повторного использования объектов противоречит:
(1) инкапсуляции
(2) наследованию
(3) полиморфизму
Дублирование сообщений является угрозой:
(1) доступности
(2) конфиденциальности
(3) целостности
В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
(1) системы электронной коммерции
(2) инфраструктуру для электронных цифровых подписей
(3) средства электронной аутентификации
«Общие критерии» содержат следующие виды требований:
(1) функциональные
(2) доверия безопасности
(3) экономической целесообразности
В число этапов жизненного цикла информационного сервиса входят:
(1) эксплуатация
(2) спецификация прав человека
(3) выведение из эксплуатации
В число этапов управления рисками входят:
(1) анализ угроз
(2) угрозы проведения анализа
(3) выявление уязвимых мест
В число этапов процесса планирования восстановительных работ входят:
(1) разработка стратегии восстановительных работ
(2) сертификация стратегии
(3) проверка стратегии
В число основных принципов архитектурной безопасности входят:
(1) усиление самого слабого звена
(2) укрепление наиболее вероятного объекта атаки
(3) эшелонированность обороны
Что из перечисленного относится к числу основных аспектов информационной безопасности:
(1) подотчетность — полнота регистрационной информации о действиях субъектов
(2) приватность — сокрытие информации о личности пользователя
(3) конфиденциальность — защита от несанкционированного ознакомления
Сервер аутентификации Kerberos:
(1) не защищает от атак на доступность
(2) частично защищает от атак на доступность
(3) полностью защищает от атак на доступность
Реализация протоколирования и аудита преследует следующие главные цели:
(1) обеспечение подотчетности администраторов перед пользователями
(2) обеспечение подотчетности пользователей и администраторов
(3) предоставление информации для выявления и анализа проблем
На межсетевые экраны целесообразно возложить следующие функции:
(1) балансировка нагрузки на серверы внешней сети
(2) балансировка нагрузки на другие межсетевые экраны
(3) балансировка нагрузки на серверы внутренней сети
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
(1) разделение обязанностей
(2) модульность архитектуры
(3) ориентация на простоту решений
Совместно с криптографическими сервисами туннелирование может применяться для достижения следующих целей:
(1) обеспечение гарантированной полосы пропускания
(2) обеспечение высокой доступности сетевых сервисов
(3) обеспечение конфиденциальности и целостности передаваемых данных
Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией о методах использования уязвимостей:
(1) да, поскольку знание таких методов помогает ликвидировать уязвимости
(2) нет, поскольку это плодит новых злоумышленников
(3) не имеет значения, поскольку если информация об использовании уязвимостей понадобится, ее легко найти
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на текстовый редактор могут быть наложены следующие ограничения:
(1) запрет на чтение каких-либо файлов, кроме редактируемых и конфигурационных
(2) запрет на изменение каких-либо файлов, кроме редактируемых и конфигурационных
(3) запрет на выполнение каких-либо файлов
Melissa — это:
(1) бомба
(2) макровирус
(3) троян
Под определение средств защиты информации, данное в Законе «О государственной тайне», подпадают:
(1) средства выявления злоумышленной активности
(2) средства обеспечения отказоустойчивости
(3) средства контроля эффективности защиты информации
Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
(1) логическое управление доступом
(2) произвольное управление доступом
(3) принудительное управление доступом
В число целей политики безопасности верхнего уровня входят:
(1) определение понятия информационной безопасности организации
(2) стратегическое планирование
(3) контроль деятельности в области информационной безопасности
При анализе стоимости защитных мер следует учитывать:
(1) расходы на закупку оборудования
(2) расходы на закупку программ
(3) расходы на обучение персонала
В число направлений физической защиты входят:
(1) мобильная защита систем
(2) системная защита средств мобильной связи
(3) защита мобильных систем
В число универсальных сервисов безопасности входят:
(1) средства построения виртуальных локальных сетей
(2) экранирование
(3) протоколирование и аудит
Сложность обеспечения информационной безопасности является следствием:
(1) невнимания широкой общественности к данной проблематике
(2) все большей зависимости общества от информационных систем
(3) быстрого прогресса информационных технологий, ведущего к постоянному изменению информационных систем и требований к ним
При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование:
(1) учитывается всегда
(2) учитывается иногда
(3) не учитывается
Криптография необходима для реализации следующих сервисов безопасности:
(1) идентификация
(2) экранирование
(3) аутентификация
Системы анализа защищенности выявляют уязвимости путем:
(1) диалогов с пользователями
(2) пассивного анализа
(3) активного опробования
Доступность достигается за счет применения мер, направленных на повышение:
(1) культуры обслуживания пользователей
(2) подотчетности системных администраторов
(3) обслуживаемости
Согласно стандарту X.700, в число задач управления входят:
(1) координация работы пользователей
(2) координация работы системных и сетевых администраторов
(3) координация работы компонентов системы
Обеспечение информационной безопасности зависит от:
(1) руководства организаций
(2) системных и сетевых администраторов
(3) пользователей
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
(1) существует обширная литература по объектно-ориентированному подходу
(2) объектно-ориентированный подход применим как на стадии проектирования информационных систем, так и при их реализации
(3) объектно-ориентированный подход позволяет успешно справляться с модификацией сложных информационных систем
Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
(1) просчеты при администрировании информационных систем
(2) необходимость постоянной модификации информационных систем
(3) сложность современных информационных систем
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
(1) отказоустойчивость
(2) наказуемость
(3) неотказуемость
В рамках программы безопасности нижнего уровня осуществляются:
(1) стратегическое планирование
(2) повседневное администрирование
(3) отслеживание слабых мест защиты
Управление рисками включает в себя следующие виды деятельности:
(1) переоценка рисков
(2) нейтрализация источников угроз
(3) нейтрализация рисков
В число направлений повседневной деятельности на процедурном уровне входят:
(1) резервное копирование
(2) управление носителями
(3) изготовление резервных носителей
Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
(1) шифрование всей информации
(2) разделение статических и динамических данных
(3) формирование составных сервисов по содержательному принципу
Программно-технические меры безопасности подразделяются на:
(1) меры по прослеживанию нарушителя
(2) меры наказания нарушителя
(3) меры восстановления режима безопасности
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
(1) меры обеспечения конфиденциальности
(2) процедурные меры
(3) программно-технические меры
Среди нижеперечисленного выделите троянские программы:
(1) ILOVEYOU
(2) Back Orifice
(3) Netbus
Оценка рисков позволяет ответить на следующие вопросы:
(1) как спроектировать надежную защиту?
(2) какую политику безопасности предпочесть?
(3) какие защитные средства экономически целесообразно использовать?
Для студентов КФУ по предмету Информационная безопасностьЭкзамен — Ответы на вопросыЭкзамен — Ответы на вопросы
2022-01-082022-01-08СтудИзба
Ответы: Экзамен — Ответы на вопросы
Описание
Ответы на вопросы к экзамену по дисциплине «Информационная безопасность». Ответы на многие вопросы будут полезны также на семинарских занятиях (поскольку вопросы и доклады на семинары в большинстве случаев совпадали с вопросами на экзамен).
Всего 40 вопросов:
1. Понятие информационной безопасности
2. Уровни решения проблемы информационной безопасности
3. Угрозы информационной безопасности: понятие и виды
4. Компьютерные преступления: понятие и причины
5. Меры защиты информационной безопасности
6. Меры защиты носителей информации
7. Основные положения законодательства РФ об информации, информационных технологиях и защите информации
8. Модели безопасности: понятие и их применение
9. Политика безопасности
10. Коммерческая тайна
11. Показатели информации: важность, полнота, адекватность, релевантность, толерантность
12. Комплексность системы защиты информации: инструментальная, структурная, функциональная, временная
13. Функции защиты информации
14. Правовые методы обеспечения информационной безопасности
15. Криптографические методы защиты информации
16. Противодействия угрозам информационной безопасности
17. Структура государственной системы обеспечения информационной безопасности РФ
18. Понятие информации. Фазы обращения информации в информационных системах
19. Место информационной безопасности в национальной безопасности РФ
20. Виды и источники угроз информационной безопасности РФ
21. Политики безопасности компьютерных систем
22. Современные методы и средства обеспечения сетевой безопасности
23. Вредоносное программное обеспечение и методы борьбы с ним
24. Правовое обеспечение информационной безопасности
25. Средства обеспечения информационной безопасности
26. Защита информации от вредоносных программ
27. Вредоносное программное обеспечение как угроза информационной безопасности
28. Защита информации: государственный стандарт и правила
29. Задачи и функции защиты информации
30. Классификационная структура задач комплексной защиты информации
31. Стандарты информационной безопасности в России
32. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа информации
33. Организация работ по защите информации
34. Автоматизированные системы защиты от несанкционированного доступа к информации
35. Государственное регулирование информационной безопасности в РФ
36. Международное регулирование информационной безопасности
37. Информационная безопасность граждан
38. Доктрина информационной безопасности РФ
39. Государственная тайна: перечень сведений и юридическая ответственность за разглашение
40. Государственные органы власти и управления обеспечивающие информационную безопасность в России
Характеристики ответов (шпаргалок)
Качество
Идеальное компьютерное
Список файлов
-
ib_ekzamen.docx 260,26 Kb
Комментарии
Сопутствующие материалы
Свежие статьи
Популярно сейчас
Ответы на популярные вопросы
То есть уже всё готово?
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
А я могу что-то выложить?
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
А если в купленном файле ошибка?
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Отзывы студентов
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
652
Средний доход
с одного платного файла
Обучение Подробнее
Тесты по теме — Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком +
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
— Разработка аппаратных средств обеспечения правовых данных
— Разработка и установка во всех компьютерных правовых сетях журналов учета действий
+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
— Хищение жестких дисков, подключение к сети, инсайдерство
+ Перехват данных, хищение данных, изменение архитектуры системы
— Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
+ Персональная, корпоративная, государственная
— Клиентская, серверная, сетевая
— Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
+ несанкционированного доступа, воздействия в сети
— инсайдерства в организации
— чрезвычайных ситуаций
5) Основные объекты информационной безопасности:
+ Компьютерные сети, базы данных
— Информационные системы, психологическое состояние пользователей
— Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
— Искажение, уменьшение объема, перекодировка информации
— Техническое вмешательство, выведение из строя оборудования сети
+ Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
+ Экономической эффективности системы безопасности
— Многоплатформенной реализации системы
— Усиления защищенности всех звеньев системы
Основными субъектами информационной безопасности являются:
— руководители, менеджеры, администраторы компаний
+ органы права, государства, бизнеса
— сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
+ Установление регламента, аудит системы, выявление рисков
— Установка новых офисных приложений, смена хостинг-компании
— Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
+ Неоправданных ограничений при работе в сети (системе)
— Рисков безопасности сети, системы
— Презумпции секретности
11) Принципом политики информационной безопасности является принцип:
+ Невозможности миновать защитные средства сети (системы)
— Усиления основного звена сети, системы
— Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
+ Усиления защищенности самого незащищенного звена сети (системы)
— Перехода в безопасное состояние работы сети, системы
— Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
— Одноуровневой защиты сети, системы
— Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
— Компьютерный сбой
+ Логические закладки («мины»)
— Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
— Прочитать приложение, если оно не содержит ничего ценного – удалить
— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама
+ Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
— Секретность ключа определена секретностью открытого сообщения
— Секретность информации определена скоростью передачи данных
+ Секретность закрытого сообщения определяется секретностью ключа
17) ЭЦП – это:
— Электронно-цифровой преобразователь
+ Электронно-цифровая подпись
— Электронно-цифровой процессор
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
— Покупка нелицензионного ПО
+ Ошибки эксплуатации и неумышленного изменения режима работы системы
— Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
— Распределенный доступ клиент, отказ оборудования
— Моральный износ сети, инсайдерство
+ Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
— Слабый трафик, информационный обман, вирусы в интернет
+ Вирусы в сети, логические мины (закладки), информационный перехват
— Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
+ Потерей данных в системе
— Изменением формы информации
— Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
+ Целостность
— Доступность
— Актуальностьl
23) Угроза информационной системе (компьютерной сети) – это:
+ Вероятное событие
— Детерминированное (всегда определенное) событие
— Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
— Регламентированной
— Правовой
+ Защищаемой
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
+ Программные, технические, организационные, технологические
— Серверные, клиентские, спутниковые, наземные
— Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
+ Владелец сети
— Администратор сети
— Пользователь сети
27) Политика безопасности в системе (сети) – это комплекс:
+ Руководств, требований обеспечения необходимого уровня безопасности
— Инструкций, алгоритмов поведения пользователя в сети
— Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
— Аудит, анализ затрат на проведение защитных мер
— Аудит, анализ безопасности
+ Аудит, анализ уязвимостей, риск-ситуаций
1) Информационная безопасность — это защищенность информации и поддерживающей инфраструктуры
от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением
ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
По своему содержанию ИБ включает:
– компьютерную безопасность;
– безопасность информационных систем и процессов;
– безопасность среды для реализации информационных процессов.
К основным аспектам проблемы обеспечения ИБ относятся:
– защита государственной тайны, т.е. секретной и другой конфиденциальной информации, являющейся
собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
– защита прав граждан на владение, распоряжение и управление принадлежащей им информацией;
– защита прав предпринимателей при осуществлении ими коммерческой деятельности;
– защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
– защита технических и программных средств от ошибочных действий персонала и техногенных воздействий, а
также стихийных бедствий и иных обстоятельств с целью сохранения возможности управления процессом обработки.
Все мероприятия по обеспечению ИБ должны привести к достижению следующих целей:
– предупреждение появления угроз информации;
– выявление возможных направлений и степени нарастания опасности нарушения ИБ;
– обнаружение реальных фактов нарушения ИБ;
– пресечение разглашения, утечки и несанкционированного доступа к информации, нарушения ее целостности;
– ликвидация или снижение уровня ущерба от нарушения ИБ и ее использования злоумышленниками.
ИБ в узком смысле — это совокупность свойств информации, связанной с обеспечением запрещения
несанкционированного доступа, а также любых других действий с личной, конфиденциальной или секретной информацией,
представленной в любом физическом виде.
3) Классификация тайн по характеру относимых к ним сведений
Тайна — это охраняемые законом конфиденциальные и секретные сведения в области частной жизни граждан,
предпринимательской, финансовой, политической, экономической, военной и иных сферах, известные или доверенные
определенному кругу лиц в силу их профессиональных, служебных и иных обязанностей, незаконное получение, использование,
разглашение которых причиняет вред или создает угрозу причинения вреда правам и законным интересам граждан,
общества, государства и влечет за собой ответственность виновных лиц в соответствии с действующим
законодательством.
Тайна частной жизни. В содержание тайны частной жизни входят конфиденциальные сведения, составляющие
личную, семейную тайну лица, тайну переписки, почтовых, телефонных переговоров и иных сообщений, тайну голосования,
тайну усыновления.
Профессиональная тайна. Из действующего законодательства можно выделить такие виды профессиональных тайн:
врачебная тайна, адвокатская тайна, банковская тайна, нотариальная тайна, тайна переписки, телефонных и иных
переговоров, тайна усыновления, тайна страхования и ряд других видов тайн.
Коммерческая тайна — это защищаемые предприятием сведения в области производства, новых технологий,
организационной, коммерческой и иной деятельности, имеющие для предприятия действительную или потенциальную
коммерческую ценность в силу неизвестности ее другим лицам, раскрытие (утечка, разглашение) которых может нанести
ущерб интересам предприятия.
К служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности
государственных органов. К служебной тайне отнесены предусмотренные действующим законодательством
конфиденциальные сведения, содержащие служебную информацию о деятельности государственных органов,
подведомственных им организаций, учреждений, предприятий, ограничения на распространение которых установлены
законом.
Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической,
экономической, разведывательной и оперативно-розыскной деятельности, распространение которых может нанести
ущерб безопасности Российской Федерации.
5) Базовые грани (категории) информации, подлежащие защите
Спектр интересов субъектов, связанных с использованием информационных систем, можно подразделить на
следующие основные категории (грани):
– доступность (возможность за приемлемое время получить требуемую информационную услугу);
– целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и
несанкционированного изменения);
– конфиденциальность (свойство конкретной информации быть доступной только тому кругу лиц, для которого она
предназначена; нарушение этой категории называется хищением либо раскрытием информации);
– аутентичность (гарантия того, что источником информации является именно то лицо, которое заявлено как ее
автор; нарушение этой категории называется фальсификацией, но уже автора сообщения).
Нарушение безопасности информации — событие, при котором компрометируется один или несколько аспектов
безопасности информации (доступность, конфиденциальность, целостность и аутентичность).
В отношении информационных систем применяются иные категории ИБ:
– надежность — гарантия того, что система ведет себя в нормальном и внештатном режимах так, как
запланировано;
– точность — гарантия точного и полного выполнения всех команд;
Ответы на Защита информации
07,348
При качественном подходе риск измеряется в терминах
заданных с помощью шкалы или ранжирования
При полномочной политике безопасности совокупность меток с одинаковыми значениями образует
область равной критичности
Проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы — это
Программный модуль, который имитирует приглашение пользователю зарегистрироваться для того, чтобы войти в систему, является клавиатурным шпионом типа
С помощью закрытого ключа информация
С точки зрения ГТК основной задачей средств безопасности является обеспечение
надежности функционирования
Совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением, называется
Согласно «Европейским критериям» минимальную адекватность обозначает уровень
Согласно «Европейским критериям» предъявляет повышенные требования и к целостности, и к конфиденциальности информации класс
Согласно «Европейским критериям» формальное описание функций безопасности требуется на уровне
Согласно «Оранжевой книге» дискреционную защиту имеет группа критериев
Согласно «Оранжевой книге» минимальную защиту имеет группа критериев
Согласно «Оранжевой книге» уникальные идентификаторы должны иметь
Соответствие средств безопасности решаемым задачам характеризует
Степень защищенности информации от негативного воздействия на неё с точки зрения нарушения её физической и логической целостности или несанкционированного использования — это
Конкретизацией модели Белла-ЛаПадула является модель политики безопасности
Метод управления доступом, при котором каждому объекту системы присваивается метка критичности, определяющая ценность информации, называется
На многопользовательские системы с информацией одного уровня конфиденциальности согласно «Оранжевой книге» рассчитан класс
Наименее затратный криптоанализ для криптоалгоритма DES
перебор по выборочному ключевому пространству
разложение числа на сложные множители
перебор по всему ключевому пространству
разложение числа на простые множители
Наукой, изучающей математические методы защиты информации путем ее преобразования, является
Ответы для государственного экзамена по курсу Информационная безопасность (ИБ) специальность Бизнес-информатика 080500 — файл n1.doc
приобрести
Ответы для государственного экзамена по курсу Информационная безопасность (ИБ) специальность Бизнес-информатика 080500
скачать (359.5 kb.)
Доступные файлы (1):
- Смотрите также:
- Ответы для государственного экзамена по курсу Проектирование информационных систем (ПрИС) специальность Бизнес-информатика 080500 (Шпаргалка)
- Шпаргалки — Прикладная информатика в экономике (Шпаргалка)
- Ответы — Основы бизнеса (Шпаргалка)
- Ответы — Прикладная информатика в экономике (Шпаргалка)
- Ответы к билетам для экзамена по МуП (Шпаргалка)
- Артемьева Е.Б., Мурашова Н.С. Библиотечно-информационная деятельность (Документ)
- Мельников В.П. Информационная безопасность и защита информации (Документ)
- Шпаргалка — Прикладная информатика в экономике (Шпаргалка)
- Занятие № Процессный подход и информационная безопасность Цель: Ознакомится с процессным подходом (Документ)
- Ответы для государственного экзамена по ТЭА (Шпаргалка)
- ЕГЭ 2007 Физика. Вопросы и ответы. Экзаменационные материалы для подготовки к ЕГЭ (Документ)
- Молоткова Н.В., и др. Бизнес-информатика (Документ)
n1.doc
1.Информационная безопасность: сущность, понятие, схема обеспечения.
Информационная безопасность (information security) — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам и пользователям информации и поддерживающей её структуре.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Термин «компьютерная безопасность» (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на «горчичнике», прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.
Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.
В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
Информационная безопасность РФ — состояние защищённости национальных интересов в информационной сфере, определяющихся сбалансированной совокупностью интересов личности, общества и государства.
information security – информационная безопасность, защита информации
информационная безопасность — это состояние защищенности информационной среды (имеет чаще всего научный, теоретический окрас)
защита информации — представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния (практическая направленность, практические мероприятия).
Безопасность информации — состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.
Информационная безопасность имеет три основные составляющие:
-1- конфиденциальность — защита чувствительной информации от несанкционированного доступа;
-2- целостность — защита точности и полноты информации и программного обеспечения;
-3- доступность — обеспечение доступности информации и основных услуг для пользователя в нужное для него время.
Защита информации достигается решением 3 проблем:
— защита находящейся в системе информации от внутренних и внешних угроз
-защита элементов системы
— защита внешней среды
Основные компоненты безопасности: персонал, матер-е и фин-е рес-сы, инф-я.
2. Модель безопасности CIA, другие категории модели безопасности.
Стандартная модель безопасности — CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эта модель из трёх составляющих является общепризнанной при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности. Ниже модель CIA описана более подробно:
Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц. Неправомерная передача и использование информации должны быть запрещены. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи личности или использования чужой кредитной карточки.
Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены. Неавторизованные пользователи не должны иметь возможность изменять или разрушать важную информацию.
Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность — это гарантия того, что информацию можно получать в оговорённом временном интервале. Часто этот интервал определяется в процентах и оговаривается в договоре поддержки, заключаемом между провайдерами сетевой службы и их клиентами.
Другие категории модели безопасности:
Аутентичность — возможность установления автора информации;
Апеллируемость — возможность доказать, что автором является именно заявленный человек, и никто другой.
Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Существуют специальные модели безопасности — системы, функционирующие в соответствии со строго определенным набором формализованных правил, и реализующие какую-либо политику безопасности.
Остановимся на трех ключевых математических моделях безопасности компьютерных систем, как на наиболее эффективных и используемых в настоящее время. Это модели систем дискреционного, мандатного и ролевого разграничений доступа.
Модель систем дискреционного разграничения доступа
Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект—объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:
- каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
- система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
1.Информационная безопасность: сущность, понятие, схема обеспечения