Вопросы к экзамену по курсу “Информационная безопасность”
- Классификация угроз информационной безопасности автоматизированных систем по базовым признакам.
- Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- Понятие политики безопасности информационных систем. Назначение политики безопасности.
- Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от НСД, требования к средствам разработки.
- Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты РФ в области защиты информации.
- Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- Основные положения руководящих документов Гостехкомиссии России. Классификация автоматизированных систем по классам защищенности. Показатели защищенности средств вычислительной техники от несанкционированного доступа.
- Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- Биометрические средства идентификации и аутентификации пользователей.
- Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- Законодательный уровень применения цифровой подписи.
- Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности.
- Средства обеспечения информационной безопасности в ОС Windows’2000. Разграничение доступа к данным. Групповая политика.
- Применение файловой системы NTFS для обеспечения информационной безопасности в Windows NT/2000/XP. Списки контроля доступа к данным (ACL) их роль в разграничении доступа к данным.
- Применение средств Windows 2000/XP для предотвращения угроз раскрытия конфиденциальности данных. Шифрование данных. Функции и назначение EFS.
- Разграничение доступа к данным в ОС семейства UNIX.
- Пользователи и группы в ОС UNIX.
- Пользователи и группы в ОС Windows’2000.
- Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.
- Причины нарушения безопасности информации при ее обработке криптографическими средствами.
- Понятие атаки на систему информационной безопасности. Особенности локальных атак.
- Распределенные информационные системы. Удаленные атаки на информационную систему.
- Каналы передачи данных. Утечка информации. Атаки на каналы передачи данных.
- Физические средства обеспечения информационной безопасности.
- Электронная почта. Проблемы обеспечения безопасности почтовых сервисов и их решения.
- Вирусы и методы борьбы с ними. Антивирусные программы и пакеты.
- Программно-аппаратные защиты информационных ресурсов в Интернет. Межсетевые экраны, их функции и назначения.
- Виртуальные частные сети, их функции и назначение.