Учебный модуль: Основы информационной безопасности Тема 2: Основы защиты компьютерной информации Лопухов Виталий Михайлович к.т.н., доцент информационных кафедр ВУЗов г.Барнаула 2013 1 План лекции: 1) Концептуальная модель информационной безопасности (ИБ) -Основные концептуальные положения системы защиты информации. -Основные положения теории информационной безопасности информационных систем. 2) Компоненты концептуальной модели информационной безопасности (угрозы, их источники и объекты, цели злоумышленников, направления, способы и средства защиты информации). - Виды угроз информационной безопасности. Основные виды атак на автоматизированные системы обработки информации. Противоправные действия с информацией, неправомерное овладение конфиденциальной информацией (разглашение, утечка и несанкционированный доступ). Способы нарушения информационной безопасности. - Система защиты информации, её цели и задачи, и требования к ней. Структура и концепция защиты. Основные уровни зашиты информации 3 Комплексное использование всего арсенала имеющихся средств защиты 4 5 Защита информации должна быть: • • • • • • • непрерывной плановой целенаправленной конкретной активной универсальной комплексной 6 Система защиты информации должна: • охватывать весь технологический комплекс информационной деятельности; • быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; • быть открытой для изменения и дополнения мер обеспечения безопасности информации; • быть нестандартной, разнообразной; • быть простой для технического обслуживания и удобной для эксплуатации пользователями; • быть надежной; • быть комплексной, 7 Требования к системе безопасности: • четкость определения полномочий и прав пользователей на доступ к определенным видам информации; • предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; • сведение к минимуму числа общих для нескольких пользователей средств защиты; • учет случаев и попыток несанкционированного доступа к конфиденциальной информации; • обеспечение оценки степени конфиденциальной информации; • обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 8 Методы определения требований к ЗИ Оценка параметров защищаемой информации Показатели, характеризующие информацию как обеспечивающий ресурс важность полнота адекватность релевантность толерантность Показатели, характеризующие информацию как объект труда способ кодирования объем 9 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты Характер обрабатываемой информации Организация работы АС Архитектура АС Технология обработки информации Условия функционирования АС 10 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты Характер обрабатываемой информации • Конфиденциальность • • • • очень высокая высокая средняя невысокая • • • • очень большой большой средний малый • • • • очень высокая высокая средняя низкая • Объем • Интенсивность обработки 11 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты • Геометрические размеры • • • • очень большие большие средние незначительные • • • • очень большая большая средняя незначительная • • • • полная достаточно высокая частичная полностью отсутствует • Территориальная распределенность Архитектура АС • Структурированность компонентов 12 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты • Расположение в населенном пункте • очень неудобное • создает значительные трудности для защиты • создает определенные трудности • хорошее • Расположение на территории объекта • • • • хаотично разбросанное разбросанное распределенное компактное • • • • очень плохая плохая средняя хорошая • Обустроенность Условия функционирования АС 13 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты • Общая постановка дела Организация работы АС • • • • хорошая средняя слабая очень плохая • • • • полная средняя слабая очень слабая • • • • высокий средний низкий очень низкий • • • • высокий средний низкий очень низкий • Укомплектованность кадрами • Уровень подготовки и воспитания кадров • Уровень дисциплины 14 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты • Масштаб обработки • • • • очень большой большой средний незначительный • • • • регулярная достаточно упорядоченная частично стабильная отсутствует • • • • общедоступная с незначительными ограничениями с существенными ограничениями с регулярным доступом • • • • полная достаточно высокая частичная полностью отсутствует • Стабильность информации Технология обработки информации • Доступность информации • Структурированность информации 15 Общая структурная схема системы защиты информации (СЗИ) Ресурсы АС С З И Лингвистическое обеспечение Информационное обеспечение Программное обеспечение Математическое обеспечение Техническое обеспечение Организационноправовое обеспечение Организационно-правовые нормы Организационно-технические мероприятия Человеческий компонент Системные программисты Обслуживающий персонал Администраторы банков данных Диспетчеры и операторы АС Администрация АС Пользователи 17 Служба защиты информации Основные направления защиты информации ПРАВОВАЯ ЗАЩИТА ОРГАНИЗАЦИОННАЯ ЗАЩИТА ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА 18 Модель построения системы защиты информации 19 ГОСТ Р 50922-96 — Защита информации. Основные термины и определения. Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности. 20 Модель безопасности Модель безопасности отображает: - окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично; - активы организации; - уязвимости, присущие данным активам; - меры для защиты активов; - приемлемые для организации остаточные риски. 21 Определения • • • • • информационная безопасность: Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки; безопасность информационно-телекоммуникационных технологий (безопасность ИТТ): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационнотелекоммуникационных технологий; аутентичность: Свойство, гарантирующее, что субъект или ресурс идентичны заявленным; доступность: Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. конфиденциальность: Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса; 22 Определения • целостность: Свойство сохранения правильности и полноты активов; • неотказуемость: Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты; • достоверность: Свойство соответствия предусмотренному поведению и результатам; • угроза: Потенциальная причина инцидента, который может нанести ущерб системе или организации; • уязвимость: Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. • активы: Все, что имеет ценность для организации; • инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. 23 Защитные меры Защитные меры могут выполнять одну или несколько из следующих функций: - предотвращение; - сдерживание; - обнаружение; - ограничение; - исправление; - восстановление; - мониторинг; - осведомление. Области, в которых могут использоваться защитные меры, включают в себя: - физическую среду; - техническую среду (аппаратно-программное обеспечение и средства связи); - персонал; - администрирование. 24 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 25 Тайна (конфиденциальная информация) информация о действиях (состоянии и иных обстоятельствах) определенного лица (гражданина, организации, государства), не подлежащих разглашению. Закон РФ N 5485-1 "О государственной тайне", ст. 275, 276, 283 и 284 УК РФ N 98-ФЗ "О коммерческой тайне" ст. 183 УК РФ ст. 137 УК РФ, тайна усыновления ребёнка (ст. 139 СК РФ) Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциальн. характера" адвокатская тайна (ст. 8 N 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации«) 26 Источники конфиденциальной информации 27 Угрозы конфиденциальной информации - потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. РАЗРУШЕНИЕ (уничтожение) ОЗНАКОМЛЕ-НИЕ (получение) 29 Классификация угроз • по величине принесенного ущерба: • предельный, после которого фирма может стать банкротом; • значительный, но не приводящий к банкротству; • незначительный, который фирма за какое-то время может компенсировать и др.; • по вероятности возникновения: • весьма вероятная угроза; • вероятная угроза; • маловероятная угроза; • по причинам появления: • стихийные бедствия; • преднамеренные действия; • по характеру нанесенного ущерба: • материальный; • моральный; • по характеру воздействия: • активные; • пассивные; • по отношению к объекту: • внутренние; • внешние. 30 Системная классификация угроз Виды угроз Нарушение физической целостности Уничтожение (искажение) Нарушение логической структуры Искажение структуры Нарушение содержания Несанкционированная модификация Нарушение конфиденциальности Несанкционированное получение Нарушение права собственности Присвоение чужого права 31 Системная классификация угроз Природа происхождения угроз Случайная Отказы Сбои Ошибки Стихийные бедствия Побочные влияния Преднамеренная Злоумышленные действия людей 32 Системная классификация угроз Предпосылки появления угроз Объективные Количественная недостаточность элементов системы Качественная недостаточность элементов системы Субъективные Разведорганы иностранных государств Промышленный шпионаж Уголовные элементы Недобросовестные сотрудники 33 34 Специфические виды угроз для компьютерных сетей - несанкционированный обмен информацией между пользователями; - несанкционированный межсетевой доступ к информационным и техническим ресурсам сети; - отказ от информации, т.е. непризнание получателем (отправителем) этой информации факта ее получения (отправления); - отказ в обслуживании, который может сопровождаться тяжелыми последствиями для пользователя, обратившегося с запросом на предоставление сетевых услуг; - распространение сетевых вирусов. Виды атак в IP-сетях Подслушивание (sniffing) – подключение к линиям связи Парольные атаки Изменение данных «Угаданный ключ» Подмена доверенного субъекта – хакер выдает себя за санкционированного пользователя (подмена IP-адреса) Перехват сеанса – хакер переключает установленное соединение на новый хост Посредничество в обмене незашифрованными ключами «Отказ в обслуживании» Атаки на уровне приложений – использование слабостей системного ПО (HTTP, FTP) Злоупотребление доверием Вирусы и приложения типа «троянский конь» Сетевая разведка – сбор информации о сети Модель информационной безопасности Модель информационной безопасности Уязвимость - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами Источники угроз •конкуренты, •преступники, •коррупционеры, •отдельные лица, •административноуправленческие органы, •администрация и персонал предприятия 39 Источники угроз Люди Посторонние лица Пользователи Персонал Технические устройства Регистрации Передачи Хранения Переработки Выдачи Модели, алгоритмы, программы Общего назначения Прикладные Вспомогательные Технологические схемы обработки Ручные Интерактивные Внутримашинные Сетевые Внешняя среда Состояние атмосферы Побочные шумы Побочные сигналы 40 Каналы утечки информации www.searchinform.ru Классификация каналов несанкционированного получения информации (КНПИ) 1 кл - проявляются безотносительно к обработке информации и без доступа злоумышленника к элементам АС 2 кл - проявляются в процессе обработки информации без доступа злоумышленника к элементам АС 3 кл - проявляются безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних 4 кл - проявляются в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних 5 кл - проявляются безотносительно к обработке информации с доступом злоумышленника к элементам АС с изменением последних 6 кл - проявляются в процессе обработки информации с доступом злоумышленника к элементам АС с изменением последних 42 Способы доступа к конфиденциальной информации «Примитивные» пути Действия, приводящие к неправомерному овладению хищения информации конфиденциальной • хищение носителей информацией: информации и Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. документальных отходов; • инициативное сотрудничество; • склонение к сотрудничеству со стороны взломщика; • выпытывание; • подслушивание; • наблюдение и другие пути. 43 Способы доступа к конфиденциальной информации Наиболее распространенные пути несанкционированного доступа к информации: 1. 2. 3. 4. 5. 6. 7. 8. 9. чтение остаточной информации в памяти системы после выполнения санкционированных запросов; копирование носителей информации с преодолением мер защиты маскировка под зарегистрированного пользователя; маскировка под запросы системы; использование недостатков языков программирования и операционных систем; незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации; вредоносные программы злоумышленный вывод из строя механизмов защиты; расшифровка специальными программами зашифрованной информации 44 Классификация причин несанкционированного получения информации отказы Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов сбои Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов ошибки Основной аппаратуры; программ; людей; систем передачи данных стихийные бедствия Пожар; наводнение; землетрясение; ураган; взрыв; авария злоумышленные действия Хищения; подмена; подключение; поломка (повреждение); диверсия побочные влияния Электромагнитные излучения устройств АС; паразитные наводки; внешние электромагнитные излучения; вибрация; внешние атмосферные 45 явления Угрозы доступности • Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. • По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. • Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. • Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль 46 Другие угрозы доступности • отказ пользователей; • внутренний отказ информационной системы; • отказ поддерживающей инфраструктуры. 47 Отказ пользователей • Нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); • Невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); • Невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). Внутренние отказы • Отступление (случайное или умышленное) от установленных правил эксплуатации; • Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); • Ошибки при (пере)конфигурировании системы; • Отказы программного и аппаратного обеспечения; • Разрушение данных; • Разрушение или повреждение аппаратуры. Отказ поддерживающей инфраструктуры • Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; • Разрушение или повреждение помещений; • Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). "обиженные" сотрудники • Весьма опасны так называемые "обиженные" сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например: • испортить оборудование; • встроить логическую бомбу, которая со временем разрушит программы и/или данные; • удалить данные. • Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались. стихийные бедствия • стихийные бедствия и события, воспринимаемые как стихийные бедствия,– грозы, пожары, наводнения, землетрясения, ураганы. • По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам 52 Вредоносное программное обеспечение • • • • Вредоносная функция; Способ распространения; Внешнее представление. "бомбы" предназначаются для: • • • • внедрения другого вредоносного ПО; получения контроля над атакуемой системой; агрессивного потребления ресурсов; изменения или разрушения программ и/или данных. Основные угрозы целостности • Статическая целостность • ввести неверные данные; • изменить данные. • Динамическая целостность • • • • нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). • Соответствующие действия в сетевой среде называются активным прослушиванием. Основные направления защиты информации 55 Способы и средства защиты информации в сетях Проектирование СЗИ (СОИБ) Используемые аббревиатуры: СЗИ – система защиты информации СОИБ – система обеспечения информационной безопасности ПО – программное обеспечение ТПР - типовое проектное решение ТСК - типовая структурная компонента АС – автоматизированная система ЗИ – защита информации КНПИ - канал несанкционированного получения информации 57 Цикл создания системы защиты от вредоносного ПО • • • • • • Определение стратегии защиты. Создание политики безопасности Идентификация защищаемых узлов и критериев их защиты Выработка требований к средствам защиты. Организация конкурса и закупок • Развертывание Поддержание тестового стенда. «уровня Проведение осведомленности» опытной пользователей эксплуатации Модернизация • Создание системы регламентов, Пересмотр системы инструкций организационноадминистраторов и распорядительных пользователей мероприятий системы. Обучение пользователей • Появление новых элементов в защищаемой сети • Внедрение системы в промышленную • Отслеживание новых угроз эксплуатацию • Выделение «узких» мест в работе системы защиты 58 Проектирование СЗИ Подходы к проектированию Использование типовых СЗИ Использование типовых структурно ориентированных компонентов СЗИ Использование функционально ориентированных компонентов СЗИ Разработка индивидуального проекта СЗИ, для реализации которого создаются индивидуальные средства защиты Разработка индивидуального проекта с использованием ТПР по средствам защиты Использование ТПР по семирубежной модели 59 Проектирование СЗИ Подходы к проектированию Использование ТПР по семирубежной модели На плане территориального размещения АС намечаются рубежи защиты. Для каждого рубежа выбирается один из типовых проектов подсистемы СЗИ. Осуществляется привязка проектов к условиям каждого реального рубежа. Все подсистемы объединяются в СЗИ. Целесообразно применять, когда 1. Требования к ЗИ не слишком высокие. 2. Компоненты АС распределены на значительной территории. 3. АС имеет сетевую структуру. 4. Требования и условия защиты в 60 различных компонентах АС различны. Проектирование СЗИ Подходы к проектированию Использование типовых СЗИ Выбирается один из имеющихся типовых проектов полной СЗИ. Осуществляется привязка типового проекта к условиям конкретной АС. Целесообразно применять, когда 1. Требования к ЗИ не очень высокие. 2. Строго определенная структура АС. 3. Архитектура АС близка к одной из типовых. 4. Требования и условия защиты во всех 62 однотипных ТСК однородны. Проектирование СЗИ Подходы к проектированию Использование типовых структурно ориентированных компонентов СЗИ Для каждого ТСК АС выбирается один из типовых проектов компонента СЗИ. Осуществляется привязка проектов к условиям ТСК. Производится объединение всех компонентов в СЗИ. Целесообразно применять, когда 1. Требования к ЗИ не очень высокие. 2. Строго определенная структура АС. 3. Архитектура АС близка к одной из типовых. 4. Требования и/или условия защиты в 63 различных ТСК различны. Проектирование СЗИ Подходы к проектированию Использование функционально ориентированных компонентов СЗИ Для каждой группы компонентов АС выбираются по одному из типовых функционально ориентированных компонентов СЗИ. Осуществляется привязка проектов к условиям группы. Производится объединение компонентов в подсистему СЗИ. Все подсистемы объединяются в СЗИ. Целесообразно применять, когда 1. Требования к ЗИ не очень высокие. 2. В АС выделяются компактно расположенные компоненты. 3. Требования и условия защиты в различных частях АС различны.64 Проектирование СЗИ Подходы к проектированию Разработка индивидуального проекта СЗИ, для реализации которого создаются индивидуальные средства защиты Разрабатывается проект индивидуальной СЗИ. Разрабатываются средства для реализации проекта. Осуществляется наладка СЗИ. Целесообразно применять, когда 1. Требования к ЗИ очень высокие. 2. Защищаемая информация имеет особую важность. 65 3. АС является уникальной. Проектирование СЗИ Подходы к проектированию Разработка индивидуального проекта с использованием ТПР по средствам защиты Разрабатывается проект индивидуальной СЗИ, для реализации которого используются ТПР по основным средствам защиты. Целесообразно применять, когда 1. Требования к ЗИ очень высокие. 2. АС имеет ярко выраженные особенности. 66 Проектирование СЗИ Последовательность и содержание проектирования 1 Обоснование требований к защите и анализ условий защиты 10 Решение организационно-правовых вопросов ЗИ удовлетворительная 2 Определение функций зашиты 9 Технико-экономические оценки проекта неудовлетворительная 3 Определение перечня потенциально возможных КНПИ Обоснование структуры и техноло8 гических схем функционирования системы защиты достаточная 4 Обоснование перечня подлежащих решению задач защиты 7 Обоснование уточнений на проектирование недостаточная 5 Выбор средств, необходимых для решения задач защиты 6 Оценка ожидаемой эффективности выбранных механизмов защиты 67 Проектирование СЗИ Управление ЗИ Планирование Оперативно-диспетчерское управление Календарно-плановое руководство Обеспечение повседневной деятельности 68 Проектирование СЗИ Управление ЗИ Краткосрочное: Анализ планов обработки информации; анализ условий ЗИ; оценка уязвимости информации в процессе функционирования АС; определение потребностей в средствах защиты (СЗ); оценка потенциальных возможностей механизмов зашиты; распределение СЗ; формирование графика использования СЗ; оценка ожидаемой эффективности использования СЗ. Среднесрочное: Планирование Анализ выполнения работ в АС; прогнозирование условий ЗИ; определение требований к ЗИ; анализ СЗ и ресурсов защиты, которые могут быть использованы; определение заданий на ЗИ в ближайший интервал; ориентировочное определение заданий на ЗИ в последующие интервалы; распределение СЗ и ресурсов защиты. Долгосрочное: Анализ ожидаемых структур и технологических схем функционирования АС; анализ ожидаемого функционального использования АС; ориентировочное определение требований к ЗИ; оценка ожидаемых ресурсов защиты; оценка ожидаемого арсенала СЗИ; обоснование структуры и технологии функционирования СЗИ; разработка и уточнение программ развития СЗ и порядка их 69 использования; оценка ожидаемой эффективности защиты. Проектирование СЗИ Управление ЗИ Краткосрочное: Оперативнодиспетчерское управление Регулярное использование СЗ; сбор, обработка и регистрация оперативной информации; распознавание сложившейся ситуации; принятие решений на вмешательство в функционирование СЗИ; реализация принятых решений; анализ и прогнозирование развития ситуации; разработка предложений по корректировке планов защиты. 70 Проектирование СЗИ Управление ЗИ Краткосрочное: Текущая оценка состояния ЗИ; оценка требований к защите, определяемых нерегламентированными задачами; оценка влияния на защиту изменения условий функционирования АС; корректировка текущих планов защиты; разработка предложений по совершенствованию планирования защиты. Календарноплановое руководство Среднесрочное: Анализ соответствия фактического и требуемого уровней защиты; анализ изменения требований к защите; анализ изменения условий функционирования АС; корректировка среднесрочных планов защиты; разработка предложений по совершенствованию механизмов и развитию СЗ. Долгосрочное: Анализ уровня обеспечения ЗИ; анализ качества функционирования механизмов защиты; анализ ожидаемых изменений в функциональном использовании АС; анализ ожидаемых изменений условий функционирования АС; разработка предложений по совершенствованию структуры и технологии функционирования АС; организация разработки, производства и внедрения СЗ;71 совершенствование механизмов защиты. Проектирование СЗИ Управление ЗИ Краткосрочное: Сбор дополнительной информации; базовая обработка информации и формирование исходных данных; выдача информации. Обеспечение повседневной деятельности Среднесрочное: Аналитико-синтетическая обработка данных; формирование массива регламентных данных; выдача информации. 72 ТИПОВОЙ ПОРЯДОК ДЕЙСТВИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 74 Тест 1 Состояние защищённости информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций и государств - это 1)информационная безопасность. 2)информация. 3)арсенал технических средств защиты информации. 4)система защиты информации. 75 Тест 2 Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления это 1)информационная безопасность. 2)информация. 3)безопасность. 4)система защиты информации. 76 Тест 3 Укажите: что составляет структуру защиты? 1)арсенал технических средств защиты информации, производимых промышленностью. 2)фирмы, специализирующиеся на защите информации. 3)четкая система взглядов на проблему безопасности. 4)практический опыт в безопасности. (несколько ответов) 77 Тест 4 Укажите, какой должна быть защита информации? 1)непрерывной. 2)комплексной. 3)плановой. 4)универсальной. (несколько ответов) 78 Тест 5 Укажите, каким условиям должна удовлетворять система защиты информации 1)должна охватывать весь технологический комплекс информационной деятельности. 2)быть открытой для изменения и дополнения мер обеспечения безопасности информации. 3)быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа. 4)быть сложной для технического обслуживания и эксплуатации пользователями. 79 (несколько ответов) Тест 6 Требования, предъявляемые к системе безопасности информации: 1)четкость определения полномочий и прав пользователей на доступ к определенным видам информации. 2)обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 3)обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 4)приведение к максимуму числа общих для нескольких пользователей средств защиты . (несколько ответов) 80 Тест 7 Определите, какое обеспечение системы защиты информации включает в себя сведения, данные, показатели (доступа, учета, хранения), параметры, лежащие в основе решения задач, обеспечивающих функционирование системы? 1)информационное. 2)программное. 3)лингвистическое. 4)аппаратное. 5)правовое. 6)организационное. 7)математическое. 8)нормативно-методическое. 81 Тест 8 Определите, к какой компоненте концептуальной модели безопасности информации относится следующее определение: Сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов) - это 1)объекты угроз. 2)угрозы. 3)источники угроз. 4)источники информации. 5)цели угроз со стороны злоумышленников. 6)способы неправомерного овладения конфиденциальной информацией (способы доступа). 7)направления защиты информации (ЗИ). 82 8)способы ЗИ. 9)средства ЗИ. Тест 9 Определите, какое обеспечение системы защиты информации включает в себя совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации? 1)информационное. 2)программное. 3)лингвистическое. 4)аппаратное. 5)правовое. 6)организационное. 7)математическое. 83 8)нормативно-методическое. Тест 10 Определите, к какой компоненте концептуальной модели безопасности информации относится следующее определение. Конкуренты, преступники, коррупционеры, административно-управленческие органы, преследующие следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба - это 1)объекты угроз. 2)угрозы. 3)источники угроз. 4)источники информации. 5)цели угроз со стороны злоумышленников. 6)способы неправомерного овладения конфиденциальной информацией (способы доступа). 7)направления защиты информации (ЗИ). 8)способы ЗИ. 9)средства ЗИ. 84 Тест 11 В нарушении чего проявляются следующие угрозы информации: разглашение, утечка, несанкционированный доступ? 1)конфиденциальности. 2)достоверности. 3)целостности. 4)доступности. 85 Тест 12 Определите, к какой компоненте концептуальной модели безопасности информации относится следующее определение. Потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями - это 1)объекты угроз. 2)угрозы. 3)источники угроз. 4)источники информации. 5)цели угроз со стороны злоумышленников. 6)способы неправомерного овладения конфиденциальной информацией (способы доступа. 7)направления защиты информации (ЗИ). 8)способы ЗИ. 9)средства ЗИ. 86 Тест 13 В нарушении чего проявляются следующие угрозы информации: фальсификация, подделка, мошенничество? 1)конфиденциальности. 2)достоверности. 3)целостности. 4)доступности. 87 Тест 14 Определите, к какой компоненте концептуальной модели безопасности информации относится следующее определение. Правовая, организационная и инженернотехническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности - это 1)объекты угроз. 2)угрозы. 3)источники угроз. 4)источники информации. 5)цели угроз со стороны злоумышленников. 6)способы неправомерного овладения конфиденциальной информацией (способы доступа. 7)направления защиты информации (ЗИ). 8)способы ЗИ. 9)средства ЗИ. 88 Тест 15 Укажите к какому действию, приводящему к неправомерному овладению конфиденциальной информацией относится следующее определение: Умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним это 1)разглашение. 2)утечка. 3)несанкционированный доступ. 89 Тест 16 Укажите, к какому типу конфиденциальной информации (КИ) относятся сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них? 1)личная КИ. 2)судебно-следственная КИ. 3)служебная КИ. 4)профессиональная КИ. 5)коммерческая КИ. 6)производственная КИ. 90 Тест 17 Укажите к какому действию, приводящему к неправомерному овладению конфиденциальной информацией относится следующее определение: Противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам - это 1)разглашение. 2)утечка. 3)несанкционированный доступ. 91 Тест 18 Укажите, к какому типу конфиденциальной информации (КИ) относится информация, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду? 1)личная КИ. 2)судебно-следственная КИ. 3)служебная КИ. 4)профессиональная КИ. 5)коммерческая КИ. 6)производственная КИ. 92 Тест 19 Как расшифровывается аббревиатура ПЭМИН? 1)побочные электромагнитные излучения и наводки. 2)последствия от электромагнитных излучений и наводок. 3)побочные электромагнитные излучения накопителей. 4)последствия от электромагнитных излучений накопителей. 93 Тест 20 Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз: 1)организационная защита. 2)правовая защита. 3)инженерно-техническая защита. 4)нормативно-методическая защита. 94