[ОИБ] Ответы на вопросы к экзамену. Зима 2014

17. Основные нормативные правовые акты в области информационной безопасности и защиты информации. Доктрина информационной безопасности.

а тут надо раскрывать основные положения каждого?

наверное да

18. Угрозы информационной безопасности. Принципы обеспечения информационной безопасности. Общие методы обеспечения информационной безопасности.

Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Виды угроз информационной безопасности

Угрозы информационной безопасности – это возможные действия или события, которые могут вести к нарушениям ИБ.

Виды угроз информационной безопасности очень разнообразны и имеют множество классификаций:

Различные виды угроз информационной безопасности

Угрозы ИБ являются целями/конечными результатами деятельности нарушителей информационной безопасности.

Шесть основных видов угроз информационной безопасности (классифицированных по характеру нарушения)

Принцип :

o гибкость управления и применения

o открытость алгоритмов и механизмов защиты o простоты применения защитных мер и средств.

Принцип системности.

Системный подход к защите компьютерных систем предполагает необходимость взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления.

При обеспечении ИБ ОС необходимо учитывать все слабые и наиболее уязвимые места системы, а так же характер, возможные объекты и направления атак на систему со стороны нарушителя, пути проникновения распределенной системы и НСД к информации.

Принцип комплексности.

Для обеспечения защиты имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающие все существующие каналы угроз и не содержащие слабых мест на стыках отдельных её компонентов.

Принцип непрерывности защиты.

ЗИ это не разовое мероприятие и не конкретная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный направленный процесс предполагающий принятие соответствующих мер на всех этапах существования АС. Разработка системы защиты должна вестись параллельно обработке самой защищаемой системы.

Разумная достаточность.

Важно правильно выбрать тот уровень защиты при котором затраты риск и размер возможного ущерба были бы приемлемы и не создавали неудобств пользователю.

Гибкость системы защиты.

Часто приходится создавать систему защиты в условиях большой неопределенности поэтому принятые меры и средства защиты особенно в начальный период их эксплуатации могут оказывать как чрезмерный так и недостаточный уровень защиты. Для обеспечения уровня варьирования защищенности средство защиты должно обладать определенной гибкостью особенно если средство необходимо установить на работающую систему не нарушая процесса её нормального функционирования.

Принцип простоты применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в применении. Применение средств защиты не должно быть связано со знанием каких либо языков или требовать дополнительных затрат на её применение, а так же не должно требовать выполнения рутинных малопонятных операций.

Методы:

o Авторизация.

Этот метод позволяет создавать группы пользователей, наделять эти группы разными уровнями доступа к сетевым и информационным ресурсам и контролировать доступ пользователя к этим ресурсам.

o Иденификация и аутентификация.

Идентификация позволяет определить субъект (терминал пользователя, процесс) по уникальному номеру, сетевому имени и другим признакам. Аутентификация-проверка подлинности субъекта, например по паролю, PIN-коду, криптографическому ключу и т.д. Последние годы активно внедряются следующие методы аутентификации:

Биометрия. Используется аутентификация по геометрии руки, радужной оболочки сетчатки глаза, клавиатурный почерк, отпечатки глаза и т.п.

SMART-карты (интеллектуальные карты). Их удобство заключается в портативном и широком спектре функций, которые могут быть легко модифицированы. Недостатком SMART-карты является их дороговизна, так как требуют определенных устройств для считывания информации.

е-Token (электронный ключ) – аналог SMART-карты, выполненный в виде брелка, подключающегося через USB-порт. Достоинство e-Token заключается в том, что он не требует специальных, дорогостоящих карт -reader.

определение координат пользователя.

GPSглобальная система позиционирования

Система GSM. (100-300м).

Криптография.

o Протоколирование и аудит.

oЭкранирование – разделение информационных потоков между различными информационными системами.

oФизическая защита. Администратору сети необходимо знать все возможные точки физического проникновения в сеть или нанесения ущерба. Физические устройства защиты:

Физические устройства доступности к сетевым узлам и линиям связи.

Противопожарные меры

Защита поддержки инфраструктуры (электропитание, кондиционирование…)

Защита мобильных и радио систем.

Защита от перехвата данных.

oПоддержка текущей работоспособности.

Резервное копирование.

Управление носителями.

Регламентированные работы.

19. Деятельность по разработке и (или) производству средств защиты конфиденциальной информации.

Про лицензирование данных действий

Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю и ее территориальные органы, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, - Федеральная служба безопасности Российской Федерации (далее именуются - лицензирующие органы).)

Инфа по нормативам лицензирования, кому надо, тот прочтёт - http://www.aglex.ru/license_def02.htm

20. Понятие государственной тайны.

Государственная тайна - ст. 2 Закона РФ «О государственной тайне 21.07.1993». Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Виды тайны – государственная, служебная, коммерческая, тайна следствия, тайна усыновления, врачебная тайна, конфиденциальные сведения и т.д.

Основные понятия:

государственная тайна - защищаемые государством сведения, распространение которых может нанести ущерб безопасности РФ;

носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений;

доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Сведения, не подлежащие отнесению к государственной тайне и засекречиванию:

1)о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

2)о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

3)о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

4)о фактах нарушения прав и свобод человека и гражданина;

5)о размерах золотого запаса и государственных валютных резервах Российской Федерации;

6)о состоянии здоровья высших должностных лиц Российской Федерации;

7)о фактах нарушения законности органами государственной власти и их должностными лицами.

Степени секретности сведений и грифы секретности носителей этих сведений

Устанавливаются три степени секретности: «особой важности», «совершенно секретно» и «секретно». Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

21. Общие сведения о стандартах в информационной безопасности. «Оранжевая книга».

Orange book - оценочный стандарт министерства обороны США, опубликован в 1983. Даёт оценку набору прогарамных средств. О доверенных системах (не безопасных)

По orange book:

Безопасная система - система, управляемая с помощью соответствующих средств доступом к информации так, что только должным образом авторизированные лица или процессы, действующие от их имени, получают право записывать, читать, создавать, удалять информацию.

Доверенная система - система использующая различные программные и аппаратные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав пользователей.

Orange book не рассматривает доступность, только целостность и конфиденциальность.

Два основных критерия:

1.Политика безопасности (набор законов, норм, правил, определяющих как обрабатывается, защищается и распространяется информация)

2.Уровень гарантированности (мера доверия к техническим средствам)

Вроде это тоже про OB:

Подотчетность (протоколирование) - все события должны четко фиксироваться . Для раскрытия преступлений.

Концепция доверенной вычислительной базы - совокупность программ и железа, отвечающих за выполнение политики безопасности

.

Качество монитора ( журнал событий ) 1. Изолированность (независимость) 2.полнота

3. верифицируемость (защита от подмены)

Монитор - ядро системы безопасности.у

22. Руководящие документы Федеральной службы по техническому и экспортному контролю (РД ФСТЭК). Основные положения РД ФСТЭК.

Законодательная деятельность ФСТЭК

1. разрабатывает и вносит в установленном порядке Президенту РФ и в Правительство РФ проекты законодательных и иных нормативных правовых актов по вопросам своей деятельности;

2. издаёт нормативные правовые акты по вопросам своей деятельности;

3. разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание за счёт средств, выделяемых из федерального бюджета ФСТЭК России на эти цели;

4. вносит в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам своей деятельности;

5. организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации;

6. организует в соответствии с законодательством Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации;

СТР-К

1.Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

2.Требования и рекомендации настоящего документа распространяются на защиту: