Основы информационной безопасности. Основные понятия программно-технического уровня информационной безопасности

Программно-технические меры направлены на контроль оборудования, программ, данных и образуют последний рубеж ИБ. Центральным для программно-технического уровня является понятие сервиса безопасности. Существуют следующие сервисы:
1) Идентификация и аутентификация
2) Управление доступом
3) Протоколирование и аудит
4) Шифрование
5) Контроль целостности
6) Экранирование
7) Анализ защищенности
8) Обеспечение отказоустойчивости
9) Обеспечение безопасного восстановления
10) Туннелирование
11) Управление
Совокупность перечисленных выше сервисов можно назвать полным набором и считается что его достаточно для обеспечения надежной защиты на программном уровне. Сервисы безопасности классифицируют по определенным видам.
Идентификация и аутентификация . Идентификация позволяет субъекту назвать себя. Аутентификация убеждается в том, что субъект тот, за кого себя выдает (проверка подлинности). Аутентификация может быть односторонней – когда клиент доказывает свою подлинность, и двухсторонней. У рассматриваемого сервиса есть 2 аспекта: 1) что служит аутентификатором 2) и как защищен обмен данными аутентификации и идентификации.
Аутентификатором пользователя может служить одна из следующей сущностей: 1) нечто, что он знает (пароль, ключ); 2) нечто, чем он владеет (карточка доступа); 3) нечто, что является частью его самого (отпечатки пальцев).
Парольная аутентификация.
Самая удобная для пользователя форма защиты. Существует ряд стандартных приемов, применяемых злоумышленником с целью обойти парольную защиту. Для каждого из этих приемов выработан прием противодействия. На основе этих механизмов можно сформулировать правила выбора безопасного пароля и работы с ним.
Способы атак на пароль:
1) Перебор. Самая простая атака на пароль, перебор всех допустимых комбинаций и символов. Современные средства могут перебрать пароль из 5 6 символов за несколько секунд. Некоторые системы не позволяют реализовать такую атаку, поскольку реагируют на несколько неправильных попыток ввода пароля.
Механизм защиты: длина пароля. Современный пароль должен иметь длину не менее 12 символов.
2) Перебор в ограниченном диапазоне. Известно, что многие пользователи, выбирая пароль, используют символы, находящиеся в одном диапазоне. Такой пароль значительно легче запомнить, однако задача противника значительно упрощается. Пусть n=70 количество символов, которое можно использовать в пароле. Из них 10 – цифры. 30 – буквы русского алфавита 30 – буквы другого алфавита. Пусть длина пароля m=4. Тогда количество комбинаций 70^4 = 24010000.
10^4+30^4+30^4= 1630000.
Таким образом, если злоумышленник оказался прав, то количество комбинаций уменьшилась в 140 раз. Программы подбора паролей включают опцию, которая позволяет использовать цифры при подборе пароля.
Механизм защиты: Использовать символы из различных диапазонов.
3) Атака по словарю. Бессмысленный абсолютно случайный пароль запомнить трудно, и для многих пользователей забыть пароль выглядит более вероятно, чем подвергнуться атаке. Поэтому выбирают часто какое-либо слово. В этом случае задача перебора для злоумышленника значительно упрощается, так как программа автоматического подбора может подбирать слова, содержащиеся в файле со словарем. Существуют огромное количество словарей разного рода, разных языков. Словарь и 200 тысяч слов проверяется за несколько секунд. Многие пользователи считают, что если применить к слову некоторые простые преобразование (написать задом наперед, русскими буквами в английской раскладке), то это повысит безопасность, но по сравнению с простым перебором, подбор слов с преобразование делает задачу выполнимой.
Надежный пароль - не должен строиться на словах естественного языка
4) Атака по персональному словарю. Злоумышленник может воспользоваться тем фактом, что для облегчения запоминания, некоторые пользователи выбирают личные данные. В том случае, если злоумышленнику нужно обойти пароль, он может составить словарь личных данных.
Надежный пароль должен быть полностью бессмысленный.
5) Сбор паролей, хранящийся в общедоступных местах. Во многих организациях пароли создаются и распространяются администратором. Однако, поскольку пароль сложно запомнить, пользователи часто хранят его под рукой в записанном виде. Проблема в том, что пользователи зачастую не серьезно относятся к вопросу обеспечения безопасности своего служебного пароля. Они считают, что, так как в организации все свои, то небрежное хранение вреда не нанесет.
Пароль не должен храниться в общедоступном месте. Идеальный вариант запомнить и нигде не хранить.
6) Социальный инжиниринг. Манипулирование людьми с целью проникновения в защищенные системы. Если подобрать или украсть пароль не удается, злоумышленник может попытаться заставить пользователя самого раскрыть пароль. Классическая тактика социального инжиниринга: звонок жертве, от имени того, кто имеет право знать запрашиваемую информацию. Методом соц. инжиниринга является: заманивание на подставной сайт, открытие ссылки. Приемы, которые используют злоумышленники, могут быть самые разные.
Правила защиты: сообщать пароль посторонним лицам нельзя, даже если это лицо имеет право его знать.
7) Фишинг. Процедура выуживания пароля случайных пользователей интернета. Обычно заключается в создании подставных сайтов, которые обманом вынуждают пользователя внести свой пароль. Например, чтобы получить пароль к банковскому счету, может быть создан сайт с дизайном такого же сайта. Так же могут рассылаться электронные письма с содержанием, типа проверьте счет, где содержится ссылка на подставной сайт. Когда клиент попадает на сайт злоумышленника, ему так же предлагается ввести логин и пароль. Эта информация сохраняется в базе злоумышленника. После чего клиент отправляется на главную страницу настоящего сайта.
Многие пользователи используют один и тот же пароль для разных ресурсов. В результате проведя атаку на менее защищенный ресурс можно получить доступ в более защищенному. Например, создается сайт интересный некоторому кругу пользователей. Информация об этом сайте доносится до потенциальных жертв. Пользователь регистрируется и придумывает себе пароль. Дальше злоумышленнику остается посмотреть, не подходит ли этот пароль для других ресурсов.
Чтобы противостоять угрозам фишинга: надо проверять адреса сайтов прежде, чем вводить пароль. Лучше поместить адрес в закладки и не переходить по ссылкам из электронных писем. Рекомендуется использовать разные пароли для доступа к разным сервисам.
Таким образом, укажем меры, позволяющие повысить надежность защиты:
1) Наложение технических ограничений. На длину и содержание пароля
2) Управление сроком действия пароля и периодическая смена.
3) Ограничение доступа в плане пароля.
4) Увеличение числа неудачных попыток входы
5) Обучение пользователей
6) Использование программных генераторов паролей.
Рассмотренные выше пароли можно назвать многоразовыми. Их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Более сильным средством с точки зрения безопасности являются одноразовые пароли.



Одноразовые пароли. Одноразовые пароли – пароли действительные для одного сеанса аутентификации. Действие одноразового пароля может ограничиваться определенным промежутком времени. Преимущество такого пароля – его нельзя использовать повторно. Человек не в состоянии запомнить одноразовые пароли, поэтому требуются дополнительные технологии для реализации этого механизма.
Способы создания и распространения одноразовых паролей:
Алгоритмы создания одноразовых паролей используются случайные числа. Это необходимо для того, чтобы невозможно было предугадать следующего пароля. Конкретные алгоритмы создания таких паролей могут значительно различаться в деталях.
Для создания одноразовых паролей можно выделить следующие основные подходы:
1) Алгоритмы, использующие математические алгоритмы для создания нового пароля.
2) Подходы, основанные на временной синхронизации между сервером и клиентом.
3) Пароли, использующие мат алгоритмы, где новый пароль основан на запросе или счетчике.
Существуют различные способы сообщить пользователю следующий пароль. Некоторые системы используют специальные электронные токены, которые пользователи носят с собою. Так же системы могут использовать программы, которые пользователь запускает с мобильного телефона. Некоторые системы генерируют одноразовые пароли на сервере, затем отправляют их пользователю, используя посторонние каналы, так как смс.
Создание одноразовых паролей на основе математических алгоритмов.
Рассмотрим подход, использующие одностороннюю функцию f. Система начинает работать с начального числа s. Генерируется пароль f(s), f(f(s)), f(f(f(s))). Каждый пароль распределяется в обратном порядке, начиная с последнего и заканчивая f(s). Если злоумышленнику удается получить одноразовый пароль, то для вычисления следующего пароля цепочки, его необходимо найти способ вычисления обратной функции. А т.к. f была односторонняя, то сделать этого невозможно. Если f криптографическая кеш-функция, которая обычно используется, то это будет технически невыполнимая задача.
Синхронизация по времени.
Связаны с физическими аппаратными токенами. Внутри токена встроены точные часы, которые синхронизированы с часами на сервере. И в таких системах, время является важной частью алгоритма создания одноразового пароля, так как генерация пароля основывается на текущем времени. Так же для синхронизированных одноразовых паролей могут использоваться и мобильные телефоны. Использование одноразовых паролей с запросом требует от пользователя обеспечение синхронизируемого по времени запроса.
Сервис аутентификации Kerberos.
Сервер предназначен для решения следующей задачи: Имеется открытая не защищенная сеть, в узлах которой находятся субъекты. Каждый субъект обладает секретным ключом. Чтобы субъект А мог доказать свою подлинность субъекту В, он должен не только назвать себя, но и продемонстрировать знание секретного ключа. А не может просто сообщить В свой секретный ключ, потому что сеть открыта и А его не знает. Требуется некоторый способ демонстрации знания секретного ключа. И система Kerberos является 3-й стороной, владеющая секретными ключами всех субъектов и помогающая им в попарной аутентификации.
Чтобы получить доступ к В, А посылает запрос, содержащий сведения о нем и о запрашиваемой услуге. В ответ Kerberos посылает так называемый билет, зашифрованный секретным ключом сервера, и копию части билета, зашифрованную секретным ключом А. А должен расшифровать 2 порцию данных и переслать ее серверу. Сервер, расшифровав билет, может сравнить ее содержимое с дополнительной информацией, присланной клиентом А. Совпадение свидетельствует о том, что А смог расшифровать предназначенные ему данные, то есть продемонстрировал знание секретного ключа. Значит, А именно тот, за кого себя выдает. Секретные ключи здесь не передавались по сети, а лишь использовались для проверки.
Аутентификация и идентификация с помощью биометрических данных.
Биометрия представляет собою совокупность аутентификации и идентификации на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик относят: отпечатки пальцев, сетчатка глаза. К поведенческим характеристикам относится: ручная подпись, стиль работы с клавиатурой. На стыке физиологии и поведения находятся особенности голоса и распознавания речи.
В общем виде работа с биометрическими данными образованна следующим образом: Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики снимаются, обрабатываются, и результаты заносятся в базу данных. В дальнейшем для аутентификации процесс снятия и обработки данных повторяется, после чего происходит поиск в базе данных шаблонов. В случае успешного поиска личность установлена. Биометрические методы не надежны, чем базы данных шаблонов. Биометрические данные человека меняются и база шаблонов нуждается в сопровождении.

Модели управления доступом
Основную роль в методе формальной разработке системы играет модель безопасности. Она определяет поток информации, разрешенный в системе и правила доступа к этой информации.
Рассмотрим 3 модели:
1) Модель дискреционного доступа. В рамках этой модели контролируется доступ субъектов (пользователей, приложений) к объектам (файлам, приложениям). Для каждого объекта существует субъект владелец, который определяет тех, кто имеет доступ к объекту, а так же разрешенные права. Основными операциями доступа являются чтение, запись и выполнение. Таким образом, модели дискреционного доступа для каждой пары субъект объект устанавливается набор разрешенных операций. При запросе доступа к объекту система ищет субъекта в списке прав доступа объекта и разрешает доступ, если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Классическая система дискреционного доступа является закрытой, т.е. объект изначально не доступен никому, а в списке доступа описывается набор разрешений. Такую модель доступа можно встретить в операционных системах Windows, Linux. Одним из недостатков модели является то, что не каждому объекту можно назначить владельца. Так же при большой количестве объектов субъектов в системе происходит администрирование большого количества таких пар, что затрудняет работу.
2) Модель Белла-ЛаПадулы (мандатного управления доступом). В этой модели даются определения объекта, субъекта и прав доступа, а так же математический аппарат для их описания. Это модель известна в основном 2 правилами безопасности, одно относится к чтению, а другое к записи данных. Пусть в системе имеются 2 типа файлов: секретные и не секретные. А пользователь относится к 2 категориям: с уровнем доступа к не секретным файлам (не секретные), к секретным (секретные). Правило 1: Не секретный пользователь или процесс, запущенный от его имени не может читать данные из секретного файла.
Правило 2: Пользователь, с уровнем доступа к секретным файлам, не может записывать данные в не секретные файлы.
Рассмотренные правила легко распределяются в системе, в которой есть более 2 уровней доступа.
Общее правило: Пользователи могут читать только документы, уровень секретности которых не превышает их доступа, и не могут создавать документы ниже уровня своего доступа.
Данная модель математическая. Основной упор делается на конфиденциальность.
3) Ролевая модель контроля доступом. Ролевой метод контролирует доступ пользователей к информации на основе типа их активности в системе (ролей). Под ролью понимается совокупность действий и обязанностей, связанных с определенным родом деятельности. Пример ролей: бухгалтер, администратор и т.п. Каждому пользователю настраиваются свои роли. Объект-роль. В некоторых случаях пользователю разрешено выполнять несколько ролей одновременно. При этом роли имеют иерархическую структуру. Основные достоинства ролевой модели: А) простота администрирования, нет необходимости прописывать правила для каждого объекта субъекта, вместо этого прописываются объект-роль. При изменении обязанностей пользователя изменяется и его роль. Иерархия ролей упрощает администрирование. Б) Принцип наименьший привилегий. Регистрироваться в системе ролью минимально необходимой для выполнения задач.

Протоколирование и аудит.
Под протоколированием понимают сбор и накопление информации, произошедшей в системе. При этом события каждого сервиса можно разделить на: внешние, внутренние и клиентские.
Аудит – это анализ накопленной информации, проводимой оперативно в реальном времени или периодически. Оперативный документ с автоматическим реагированием на выявленные вне штатные ситуации называется активным.
Протоколирование и аудит решают следующие задачи: Обеспечение подотчётности пользователей и администратора. Обеспечение возможности, реконструкции последовательности событий. Обнаружение попыток нарушения ИБ. Предоставление информации для выявления и анализа проблем.
Протоколирование требует здравого смысла, чтобы ответить какие события в системе регистрировать и с какой степенью детализации, при этом должны выполняться цели безопасности и не перерасходоваться ресурсы. Универсального ответа нет, но можно выделить некоторые рекомендации. Применительно к операционной системе рекомендуется записывать события: вход в системы, выход из системы, обращение к удаленной системе, операции с файлами, смена привилегий и иных атрибутов безопасности. При протоколирование рекомендуется записывать: тату и время, идентификатор пользователя и действия, тип события, результат действия, источник запроса, имена затронутых объектов и описание изменений. Обеспечение подотчетности важно как сдерживающее средство. Обнаружение попыток нарушения ИБ функция активного аудита. Обычный аудит позволяет выявлять атаки с опозданием.
*Активный аудит. Подозрительная активность – поведение пользователя или компонента системы, являющееся подозрительным с точки зрения определенных правил или не типичным. Задача активного аудита оперативно выявлять подозрительную активность и предоставлять средства автоматического реагирования. При этом активность целесообразно разделить на атаки, направленные на не законное получение полномочий. Для описания и выявления атак применяют метод сигнатуры. Сигнатура атаки – это совокупность условий, при которых атака является имеющей место, что вызывает реакцию. Действия, которые выполняются в рамках полномочий, но нарушают политику безопасности, называются злоупотребление полномочиями. Не типичное поведение обычно выявляется статистическими методами. Применяют системы порогов, превышение которых является подозрительными. Применительно к средствам активного аудита различают ошибки 1 и 2 рода: пропуск атак и ложные тревоги. Достоинство сигнатурного метода-малое число ошибок 2 рода (малое число ложных тревог). Недостаток неумение обнаруживать новые атаки. Достоинство статистического метода – это универсальность, возможность обнаруживать не известные атаки. Минус – высокая доля ошибок 2 рода.

Шифрование.
Шифрование – обратимое преобразование открытого (исходного) текста на основе секретного алгоритма или ключа в шифрованный (закрытый) текст. Шифрование является средством обеспечения конфиденциальности информации.
Алгоритмы шифрования делятся на 2 группы:
1) Симметричные алгоритмы. Один и тот же ключ К используется для шифровки и расшифровки. M’=EnGrypt(M,K) функция шифрования M=DeCrypt(M’,K) расшифровывание.
Все алгоритмы симметричного шифрования можно разделить на 3 группы:
А) Подстановочные Б) Перестановочные В) Блочные шифры.
*Подстановочные алгоритмы. Работают по следующему принципу: каждый символ исходного текста заменяются другим символом или последовательностью символов. При этом могут использоваться символы разных алфавитов. Если для замены используются символы 1 алфавита, подстановка называется моно алфавитной. Несколько символов – поли алфавитной подстановкой.
- Простейшей подстановкой является шифры Цезаря. Каждая буква исходного сообщения заменяется буквой, находящейся в алфавите на 3 позиции после нее. Особенностью шифров Цезаря является отсутствие ключа, число 3 не является ключом, является частью алгоритма. В настоящее время первым правилом криптографии является: стойкость любого шифра заключается в том, что противнику полностью известен механизм шифрования и единственной информацией, которой он не располагает, является ключ. Шифр цезаря становиться полноценный шифром с ключом, если число 3 не задавать, а выбирать произвольно, согласно договоренности. В качестве ключа могут быть выбраны лишь числа от 1 до32. Таким образом, модифицированный шифр Цезаря является не устойчивым к взлому методом перебора ключей.
- Шифр простой замены. Каждому символу алфавита открытого текста ставиться в соответствии некоторый символ того же или другого алфавита. Ключом данному шифру будет являться таблица соответствий. Общее количество ключей равно перестановки мощности алфавита 33! Данный шифр достаточно просто поддается крипто анализу, по определению частоты встречаемости символов. Таким образом, моно алфавитные шифры имеют серьезную слабость на основе статистических особенностей исходного текста, который наследует шифрованный текст.
- Пример многоалфавитной подстановки шифр Гронсфельда. Представляет собою модификацию шифра Цезаря. В качестве ключа используется последовательность цифр произвольной фиксированной длины. М=ИНФОРМАТИКА К=123. Каждый символ ключа записывается под исходным текстом, если длина ключа меньше исходного текста он циклически повторяется. К=12312312. M’=ЙПЧТПЛБОЛЛВ. Данный шифр относится к семейству много алфавитных. Таким образом, статистические особенности данного текста будут проявляться с цикличностью n-длина ключа (=3). При этом таблица частот дает погрешность, и восстановление текста становится не возможной.
*Перестановочные алгоритмы. Символы открытого текста изменяют порядок следования в соответствии с правилом и ключом.
- Классическим примером является перестановка букв по определенному правилу в таблице, заданного размера. Текст вписывается по столбцам, а читается по строкам.
*Блочные шифры. Симметричное шифрование использует как подстановку, так и перестановку. Практическим стандартом является несколько раундов шифрования с разными ключами, которые генерируются на основе 1 общего ключа. Большинство современных алгоритмов имеют структуру аналогичную структуре сети Фейстела (на основе Шенона). Надежный алгоритм шифрования должен удовлетворять 2 свойствам: диффузии и коффузии. Диффузия – каждый бит открытого текста должен влиять на каждый бит зашифрованного текста. Суть диффузии заключается в рассеивание статистических характеристик открытого текста внутри шифрованного. Коффузия – отсутствие статистической взаимосвязи между ключом и шифрованным текстом. Даже если противник определит статистические особенности текста их должно быть не достаточно для расшифровки.
Рассмотрим структуру сети Фейстела.
2) Алгоритмы с открытым ключом.

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия ле­гальных пользователей, по отношению к которым процедурные регулято­ры малоэффективны. Главные враги - некомпетентность и неаккурат­ность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человечес­кой деятельности. Вполне естественным представляется желание возло­жить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компью­терным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству.

Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможнос­ти, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. При­чин тому несколько:

    повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой си­лы преодолевать барьеры (прежде всего, криптографические), ранее казавшиеся неприступными;

    развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной спо­собности каналов расширяют круг злоумышленников, имею­щих техническую возможность организовывать атаки;

    появление новых информационных сервисов ведет и к образо­ванию новых уязвимых мест как «внутри» сервисов, так и на их стыках;

    конкуренция среди производителей программного обеспече­ния заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с де­фектами защиты;

    навязываемая потребителям парадигма постоянного наращива­ния мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробирован­ных конфигураций и, кроме того, вступает в конфликт с бюд­жетными ограничениями, из-за чего снижается доля ассигно­ваний на безопасность.

Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необхо­димость гибкой позиции при выборе и сопровождении программно-тех­нических регуляторов.

Центральным для программно-технического уровня является поня­тие сервиса безопасности.

Следуя объектно-ориентированному подходу, при рассмотрении ин­формационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Назовем их основными. Чтобы они могли функционировать и обладали требуемы­ми свойствами, необходимо несколько уровней дополнительных (вспо­могательных) сервисов - от СУБД и мониторов транзакций до ядра опе­рационной системы и оборудования.

К вспомогательным относятся сервисы безопасности (мы уже сталки­вались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Далее мы рассмотрим следующие сервисы:

    идентификация и аутентификация;

    управление доступом;

    протоколирование и аудит;

    шифрование;

    контроль целостности;

    экранирование;

    анализ защищенности;

    обеспечение отказоустойчивости;

    обеспечение безопасного восстановления;

    туннелирование;

    Основные программно-технические меры безопасности информации 1

    Источник 1

    1. Основные понятия программно-технического уровня информационной безопасности 1

    2. Особенности современных информационных систем, существенные с точки зрения безопасности 4

    3. Архитектурная безопасность 6

    (3.1) принципы архитектурной безопасности: 7

    (3.2) Для обеспечения высокой доступности (непрерывности функционирования) 8

    Литература 9

    Источник

    Основы информационной безопасности. В.А. Галатенко. Основные программно-технические меры [http://www.intuit.ru/department/security/secbasics/class/free/9/ ]

    1. Основные понятия программно-технического уровня информационной безопасности

    Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности.Напомним, чтоущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги -некомпетентностьинеаккуратностьпривыполнении служебных обязанностей, итолько программно-технические меры способны им противостоять.

    Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них иобеспечение собственной безопасности.Дажефизическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам,что позволяет одновременноотслеживать перемещения сотрудников и по организации, и по информационному пространству.

    Это вторая причина, объясняющая важность программно-технических мер.

    Следует, однако, учитывать, что быстроеразвитие информационных технологийне толькопредоставляет обороняющимся новые возможности, но и объективнозатрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня.Причинтому несколько:

      повышениебыстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяетметодом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;

      развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналоврасширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;

      появление новых информационных сервисов ведет и к образованиюновых уязвимых мест как "внутри" сервисов, так ина их стыках;

      конкуренция среди производителей программного обеспечениязаставляет сокращать сроки разработки, что приводит кснижению качества тестированияи выпуску продуктовс дефектами защиты;

      навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспеченияне позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.

    Перечисленные соображения лишний раз подчеркиваютважность комплексного подхода к информационной безопасности, а также необходимостьгибкой позиции при выборе и сопровождении программно-технических регуляторов.

    Центральным для программно-технического уровня являетсяпонятиесервиса безопасности.

    Следуя объектно-ориентированному подходу, при рассмотренииинформационной системыс единичным уровнем детализации мы увидимсовокупностьпредоставляемых еюинформационных сервисов. Назовем ихосновными. Чтобы они могли функционировать и обладали требуемыми свойствами,необходимонесколько уровнейдополнительных(вспомогательных)сервисов- отСУБД и мониторов транзакций до ядра операционной системы и оборудования.

    К вспомогательным относятся сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересоватьуниверсальные,высокоуровневые, допускающиеиспользование различными основными и вспомогательными сервисами. Далее мы рассмотрим следующиесервисы:

      идентификация и аутентификация;

      управление доступом;

      протоколирование и аудит;

      шифрование;

      контроль целостности;

      экранирование;

      анализ защищенности;

      обеспечение отказоустойчивости;

      обеспечение безопасного восстановления;

      туннелирование;

      управление.

    Будут описанытребования к сервисам безопасности, их функциональность, возможные методы реализации и место в общей архитектуре.

    Еслисопоставить приведенный перечень сервисов с классами функциональных требований "Общих критериев", то бросается в глаза их существенное несовпадение. Мы не будем рассматривать вопросы, связанные с приватностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В случае же с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается путем сохранения конфиденциальности серверной регистрационной информации и защитой от перехвата данных, для чего достаточно перечисленных сервисов безопасности).

    С другой стороны, нашперечень шире, чем в "Общих критериях", посколькув него входят экранирование, анализ защищенности и туннелирование.Этисервисыимеют важное значение сами по себе и, кроме того,могут комбинироваться с другими сервисами для получениятакихнеобходимых защитных средств, как, например, виртуальные частные сети.

    [Галатенко Лек5 Стандарты и спецификации]"Общие критерии" на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности , существующих для конкретной организации и/или конкретной информационной системы.

    Совокупностьперечисленных вышесервисов безопасностимы будем называтьполным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда,при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).

    Для проведенияклассификации сервисов безопасности и определения их места в общей архитектуремеры безопасностиможно разделить наследующие виды:

      превентивные, препятствующие нарушениям ИБ;

      меры обнаружения нарушений;

      локализующие, сужающие зону воздействия нарушений;

      меры по выявлению нарушителя;

      меры восстановления режима безопасности.

    Большинство сервисовбезопасности попадаетв число превентивных, и это, безусловно, правильно.Аудит и контроль целостности способны помочь в обнаружении нарушений;активный аудит,кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

    С учетом изложенного выделим три уровня формирования режима информационной безопасности:

    · законодательно-правовой;

    · административный (организационный);

    · программно-технический.

    Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры.

    Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

    Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.).

    Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows 2000, XP) или специальной программой шифрования.

    Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения.

    Основные задачи информационной безопасности:

    1. защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
    2. защита прав граждан на владение, распоряжение и управление принадлежащей им информации;
    3. защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
    4. защита технических и программных средств информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий;
    5. защита технических и программных средств информатизации от преднамеренных воздействий.

    2. Принципы построения систем защиты информации

    Системный подход к защите информации предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для обеспечения безопасности ИС.
    Возможность наращивания защиты. Система зашиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
    Комплексный подход предполагает согласованное применение разнородных средств защиты информации.

    Адекватность - обеспечение необходимого уровня защиты при минимальных издержках на создание механизма защиты и обеспечение его функционирования. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и масштаб возможного ущерба были бы приемлемыми (задача анализа риска).
    Минимизация привилегий в доступе, предоставляемых пользователям, т.е. каждому пользователю должны предоставляться только действительно необходимые ему права по обращению к ресурсам системы и данным.

    Полнота контроля - обязательный контроль всех обращений к защищаемым данным.
    Наказуемость нарушений. Наиболее распространенная мера наказания - отказ в доступе к системе.

    Экономичность механизма - обеспечение минимальности расходов на создание и эксплуатацию механизма.

    Принцип системности сводится к тому, что для обеспечения надежной защиты информации в современных ИС должна быть обеспечена надежная и согласованная защита во всех структурных элементах, на всех технологических участках автоматизированной обработки информации и во все время функционирования ИС.

    Специализация, как принцип организации защиты, предполагает, что надежный механизм защиты может быть спроектирован и организован лишь профессиональными специалистами по защите информации. Кроме того, для обеспечения эффективного функционирования механизма защиты в состав ИС должны быть включены соответствующие специалисты.

    Принцип неформальности означает, что методология проектирования механизма защиты и обеспечения его функционирования - неформальна. В настоящее время не существует инженерной (в традиционном понимании этого термина) методики проектирования механизма защиты. Методики проектирования, разработанные к настоящему времени, со держат комплексы требований, правил, последовательность и содержание этапов, которые сформулированы на неформальном уровне, т.е. механическое их осуществление в общем случае невозможно.

    Гибкость системы защиты . Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрез мерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.

    Принцип непрерывности защиты предполагает, что защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС. Разработка системы защиты должна осуществляться параллельно с разработкой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные защищенные информационные системы.

    3) Требование безопасности повторного использования объектов противоречит:
    инкапсуляции +
    наследованию
    полиморфизму

    4) Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:
    запрет на чтение каких-либо файлов, кроме конфигурационных
    запрет на изменение каких-либо файлов, кроме конфигурационных +
    запрет на установление сетевых соединений

    5)Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
    это простой способ придать информационной безопасности научный вид
    объектно-ориентированный подход - универсальное средство борьбы со сложностью современных информационных систем +
    в информационной безопасности с самого начала фигурируют понятия объекта и субъекта

    6)В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
    меры обеспечения целостности
    административные меры +
    меры административного воздействия

    2Контейнеры в компонентных объектных средах предоставляют:
    общий контекст взаимодействия с другими компонентами и с окружением +
    средства для сохранения компонентов
    механизмы транспортировки компонентов

    Дублирование сообщений является угрозой:
    доступности
    конфиденциальности
    целостности +

    Melissa подвергает атаке на доступность:
    системы электронной коммерции
    геоинформационные системы
    системы электронной почты +

    Выберите вредоносную программу, которая открыла новый этап в развитии данной области:
    Melissa +
    Bubble Boy
    ILOVEYOU

    Самыми опасными источниками внутренних угроз являются:
    некомпетентные руководители +
    обиженные сотрудники
    любопытные администраторы

    5. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
    просчеты при администрировании информационных систем
    необходимость постоянной модификации информационных систем
    сложность современных информационных систем +

    Агрессивное потребление ресурсов является угрозой: доступности конфиденциальности целостности

    Melissa - это:
    бомба
    вирус +
    червь

    Для внедрения бомб чаще всего используются ошибки типа:
    отсутствие проверок кодов возврата
    переполнение буфера +
    нарушение целостности транзакций

    Окно опасности появляется, когда:
    становится известно о средствах использования уязвимости
    появляется возможность использовать уязвимость +
    устанавливается новое П

    Среди нижеперечисленного выделите троянские программы:
    ILOVEYOU
    Back Orifice +
    Netbus +

    1. Уголовный кодекс РФ не предусматривает наказания за:
    создание, использование и распространение вредоносных программ
    ведение личной корреспонденции на производственной технической базе +
    нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

    В законопроекте "О совершенствовании информационной безопасности" (США, 2001 год) особое внимание обращено на: смягчение ограничений на экспорт криптосредств
    разработку средств электронной аутентификации +
    создание инфраструктуры с открытыми ключами

    4. Под определение средств защиты информации, данное в Законе "О государственной тайне", подпадают:
    средства выявления злоумышленной активности
    средства обеспечения отказоустойчивости
    средства контроля эффективности защиты информации +

    1. Уровень безопасности B, согласно "Оранжевой книге", характеризуется:
    принудительным управлением доступом +
    верифицируемой безопасностью

    3. В число классов требований доверия безопасности "Общих критериев" входят:
    разработка +
    оценка профиля защиты +
    сертификация

    4. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:
    периметр безопасности
    метки безопасности +
    сертификаты безопасности

    1. Уровень безопасности A, согласно "Оранжевой книге", характеризуется:
    произвольным управлением доступом
    принудительным управлением доступом
    верифицируемой безопасностью +


    решение сформировать или пересмотреть комплексную программу безопасности +

    обеспечение конфиденциальности почтовых сообщений

    4. В число целей программы безопасности верхнего уровня входят:
    управление рисками +
    определение ответственных за информационные сервисы
    определение мер наказания за нарушения политики безопасности

    5. В рамках программы безопасности нижнего уровня осуществляются:
    стратегическое планирование
    повседневное администрирование +
    отслеживание слабых мест защиты +

    "1. Политика безопасности строится на основе:
    общих представлений об ИС организации
    изучения политик родственных организаций
    анализа рисков +

    2. В число целей политики безопасности верхнего уровня входят:
    формулировка административных решений по важнейшим аспектам реализации программы безопасности +
    выбор методов аутентификации пользователей
    обеспечение базы для соблюдения законов и правил +

    1. Риск является функцией:

    1. Риск является функцией: размера возможного ущерба числа уязвимостей в системе уставного капитала организации

    3. В число этапов управления рисками входят: идентификация активов+ ликвидация пассивов выбор анализируемых объектов+

    4. Первый шаг в анализе угроз - это: идентификация угроз+ аутентификация угроз ликвидация угроз

    Определение ответственных за анализ рисков измерение рисков выбор эффективных защитных средств

    5. Управление рисками включает в себя следующие виды деятельности: определение ответственных за анализ рисков- измерение рисков выбор эффективных защитных средств

    6. Оценка рисков позволяет ответить на следующие вопросы: чем рискует организация, используя информационную систему? чем рискуют пользователи информационной системы? чем рискуют системные администраторы?-

    1. В число классов мер процедурного уровня входят: поддержание работоспособности+ поддержание физической формы физическая защита+

    2. В число принципов управления персоналом входят: минимизация привилегий+ минимизация зарплаты максимизация зарплаты

    3. В число этапов процесса планирования восстановительных работ входят: выявление критически важных функций организации+ определение перечня возможных аварий+ проведение тестовых аварий

    5. В число направлений повседневной деятельности на процедурном уровне входят: ситуационное управление конфигурационное управление оптимальное управление-

    1. Протоколирование и аудит могут использоваться для: предупреждения нарушений ИБ+ обнаружения нарушений+ восстановления режима ИБ

    2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС: низкая пропускная способность большинства коммуникационных каналов сложность администрирования пользовательских компьютеров отсутствие достаточного набора криптографических аппаратно-программных продуктов

    Применение наиболее передовых технических решений применение простых, апробированных решений+ сочетание простых и сложных защитных средств

    Выработка и проведение в жизнь единой политики безопасности+ унификация аппаратно-программных платформ минимизация числа используемых приложений

    1. Экранирование может использоваться для: предупреждения нарушений ИБ обнаружения нарушений локализации последствий нарушений

    3. В число основных принципов архитектурной безопасности входят: следование признанным стандартам применение нестандартных решений, не известных злоумышленникам- разнообразие защитных средств

    3. В число основных принципов архитектурной безопасности входят: усиление самого слабого звена+ укрепление наиболее вероятного объекта атаки эшелонированность обороны+

    5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: использование собственных линий связи обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ полный анализ сетевого трафика

    Управление доступом+ управление информационными системами и их компонентами управление носителями

    Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации разделение статических и динамических данных формирование составных сервисов по содержательному принципу +

    1. Контроль целостности может использоваться для: предупреждения нарушений ИБ обнаружения нарушений+ локализации последствий нарушений

    4. В число универсальных сервисов безопасности входят: средства построения виртуальных локальных сетей экранирование + протоколирование и аудит+

    Кардиограмма субъекта+ номер карточки пенсионного страхования результат работы генератора одноразовых паролей+

    2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от: перехвата воспроизведения+ атак на доступность+

    Роль+ исполнитель роли пользователь роли

    4. При использовании версии сервера аутентификации Kerberos, описанной в курсе: шифрование не применяется- применяется симметричное шифрование применяется асимметричное+ шифрование

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда учитывается иногда не учитывается+

    1. В качестве аутентификатора в сетевой среде могут использоваться: год рождения субъекта фамилия субъекта секретный криптографический ключ+

    3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода: инкапсуляция наследование+ полиморфизм

    4. Сервер аутентификации Kerberos: не защищает от атак на доступность+ частично защищает от атак на доступность- полностью защищает от атак на доступность

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде: матрицы субъекты/объекты - предикатов над объектами списков доступа к методам объектов

    3. В число основных понятий ролевого управления доступом входит: объект+ субъект метод

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов методам объектов (с учетом значений фактических параметров вызова) классам объектов

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов+ методам объектов (с учетом значений фактических параметров вызова)+ классам объектов

    Протоколирование и аудит, шифрование, контроль целостности:

    Сигнатурный метод выявления атак хорош тем, что он: поднимает мало ложных тревог+ способен обнаруживать неизвестные атаки прост в настройке и эксплуатации+

    3. Цифровой сертификат содержит: открытый ключ пользователя+ секретный ключ пользователя имя пользователя+

    4. Реализация протоколирования и аудита преследует следующие главные цели: обнаружение попыток нарушений информационной безопасности+ недопущение попыток нарушений информационной безопасности недопущение атак на доступность

    2. Пороговый метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки- прост в настройке и эксплуатации+

    4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем

    2. Статистический метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки+ прост в настройке и эксплуатации-

    4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем+

    5. Криптография необходима для реализации следующих сервисов безопасности: контроль защищенности контроль целостности+ контроль доступа

    4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение возможности воспроизведения последовательности событий обеспечение возможности реконструкции последовательности событий+ недопущение попыток воспроизведения последовательности событий

    1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация, как правило, имеет низкоуровневый характер, а неотказуемость относится к действиям прикладного уровня регистрационная информация имеет специфический формат, непонятный человеку регистрационная информация имеет слишком большой объем+

    5. Криптография необходима для реализации следующих сервисов безопасности: идентификация экранирование аутентификация+

    1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС+ целостность регистрационной информации может быть нарушена должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность

    Идентификация и аутентификация, управление доступом

    1. В качестве аутентификатора в сетевой среде могут использоваться:
    кардиограмма субъекта+
    номер карточки пенсионного страхования
    результат работы генератора одноразовых паролей+

    2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
    перехвата
    воспроизведения+
    атак на доступность+

    3. В число основных понятий ролевого управления доступом входит:
    роль+
    исполнитель роли
    пользователь роли

    4. При использовании версии сервера аутентификации Kerberos, описанной в курсе:
    шифрование не применяется-
    применяется симметричное шифрование
    применяется асимметричное шифрование

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда
    учитывается иногда
    не учитывается+

    1. В качестве аутентификатора в сетевой среде могут использоваться:
    год рождения субъекта
    фамилия субъекта
    секретный криптографический ключ+

    3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
    инкапсуляция
    наследование+
    полиморфизм

    4. Сервер аутентификации Kerberos:
    не защищает от атак на доступность+
    частично защищает от атак на доступность
    полностью защищает от атак на доступность

    3. В число основных понятий ролевого управления доступом входит:
    объект+
    субъект
    метод

    5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:
    интерфейсам объектов +
    методам объектов (с учетом значений фактических параметров вызова) +
    классам объектов

    Основные программно-технические меры:

    2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
    низкая пропускная способность большинства коммуникационных каналов +
    сложность администрирования пользовательских компьютеров
    отсутствие достаточного набора криптографических аппаратно-программных продуктов+

    3. В число основных принципов архитектурной безопасности входят:
    применение наиболее передовых технических решений
    применение простых, апробированных решений+
    сочетание простых и сложных защитных средств

    5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
    выработка и проведение в жизнь единой политики безопасности+
    унификация аппаратно-программных платформ
    минимизация числа используемых приложений

    3. В число основных принципов архитектурной безопасности входят:
    следование признанным стандартам +
    применение нестандартных решений, не известных злоумышленникам-
    разнообразие защитных средств+

    5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации- разделение статических и динамических данных формирование составных сервисов по содержательному принципу+

    3. В число основных принципов архитектурной безопасности входят:
    усиление самого слабого звена+
    укрепление наиболее вероятного объекта атаки
    эшелонированность обороны+

    5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
    использование собственных линий связи
    обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ п
    олный анализ сетевого трафика

    4. В число универсальных сервисов безопасности входят:
    управление доступом+
    управление информационными системами и их компонентами
    управление носителями

    Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
    шифрование всей информации
    разделение статических и динамических данных
    формирование составных сервисов по содержательному принципу +

    4. В число универсальных сервисов безопасности входят:
    средства построения виртуальных локальных сетей
    экранирование + протоколирование и аудит+

    Процедурный уровень информационной безопасности

    1. В число классов мер процедурного уровня входят:
    поддержание работоспособности+
    поддержание физической формы
    физическая защита+

    2. В число принципов управления персоналом входят:
    минимизация привилегий+ минимизация зарплаты
    максимизация зарплаты

    3. В число этапов процесса планирования восстановительных работ входят:
    выявление критически важных функций организации+
    определение перечня возможных аварий+ проведение тестовых аварий

    4. В число направлений физической защиты входят:
    физическая защита пользователей-
    защита поддерживающей инфраструктуры+
    защита от перехвата данных+

    5. В число направлений повседневной деятельности на процедурном уровне входят:
    ситуационное управление
    конфигурационное управление
    оптимальное управление-

    Управление рисками

    1. Риск является функцией:
    размера возможного ущерба +
    числа уязвимостей в системе
    уставного капитала организации

    3. В число этапов управления рисками входят:
    идентификация активов+
    ликвидация пассивов
    выбор анализируемых объектов+

    4. Первый шаг в анализе угроз - это:
    идентификация угроз+
    аутентификация угроз
    ликвидация угроз

    5. Управление рисками включает в себя следующие виды деятельности:
    определение ответственных за анализ рисков
    измерение рисков выбор эффективных защитных средств

    5. Управление рисками включает в себя следующие виды деятельности:
    определение ответственных за анализ рисков-
    измерение рисков +
    выбор эффективных защитных средств+

    6. Оценка рисков позволяет ответить на следующие вопросы:
    чем рискует организация, используя информационную систему? +
    чем рискуют пользователи информационной системы? +
    чем рискуют системные администраторы?-