Программа дисциплины «Информационная безопасность и защита информации» Направление 230200 Информационные системы Специальность 230201 Информационные системы и технологии Форма обучения очная
Вид материала | Программа дисциплины |
- Программа дисциплины "Информационно-поисковые системы" Направление 230200 Информационные, 236.78kb.
- Программа обучения студентов (Syllabus) по дисциплине Информационная безопасность, 350.16kb.
- Самостоятельная работа студентов 34 Курсовой проект. Форма итогового контроля: экзамен, 371.54kb.
- Учебная программа (syllabus) дисциплины «информационная безопасность и защита информации», 122.18kb.
- Программа дисциплины «информационные сети» Индекс дисциплины по учебному плану: опд., 123.28kb.
- Многоуровневая учебная программа дисциплины электротехника и электроника для подготовки, 409.29kb.
- Программа государственного экзамена по специальности: 230201. 65 «Информационные системы, 450.31kb.
- Рабочая программа По дисциплине «Информационная безопасность и защита информации», 462.23kb.
- Программа дисциплины «вычислительная математика» Индекс дисциплины по учебному плану:, 550.42kb.
- Рабочая программа по дисциплине "алгоритмизация и программирование" для специальности, 136.78kb.
Федеральное агентство по образованию
ГОУ ВПО Самарский государственный архитектурно-строительный университет
Факультет информационных систем и технологий
-
Утверждаю
Декан факультета ИСТ
_____________ (Пиявский С.А.)
___________________________ .
Программа дисциплины
«Информационная безопасность и защита информации»
Направление 230200 Информационные системы
Специальность 230201 Информационные системы и технологии
Форма обучения очная
Всего часов на дисциплину: 136
в том числе аудиторных часов -85 часов.
самостоятельная работа студента 51 час.
Форма итогового контроля экзамен
Курс обучения 3
Семестр обучения 6
Разработана: доц. каф. ПМ и ВТ
к.п.н. _____________(М. Додонов)
Рассмотрена и одобрена на заседании кафедры ПМ и ВТ
от «___» ___________ ____ г., протокол № _____
Зав. кафедрой ПМ и ВТ ________________(С. Пиявский)
Рассмотрена и одобрена на заседании методической комиссии
по спец. № 230201
от «___» ___________ ____ г., протокол № _____
Председатель методической комиссии _______________(С.Пиявский)
Самара 2006 г.
1. Цели и задачи изучения дисциплины, ее место в учебном процессе
Основной целью дисциплины является ознакомление студентов с тенденцией развития информационной безопасности, с моделями возможных угроз, терминологией и основными понятиями теории безопасности информации, а так же с нормативными документами России, по данному вопросу и правилами получения соответствующих лицензий.
Изучение дисциплины «Информационная безопасность» направлено на решение следующих задач:
- получения студентами знаний по существующим угрозам безопасности информации, подбору и применению современных методов и способов защиты информации;
- формирование навыков, необходимых студентам по защите информации и администраторам локальных сетей.
В результате изучения дисциплины студент должен:
знать:
- основные понятия и определения, используемые при изучении информационной безопасности;
- классификацию угроз информационной безопасности;
- классические и современные методы взлома интрасетей;
- классификацию "компьютерных вирусов", какую угрозу они представляют для безопасности информации и правила защиты от "компьютерных вирусов";
- как организовать информационную безопасность на предприятии
- нормы и требования российского законодательства в области лицензирования и сертификации;
уметь:
- правильно выбрать и использовать антивирусную программу;
- восстанавливать пораженные "компьютерными вирусами" объекты;
- подключить организацию к Internet с соблюдением требований информационной безопасности;
- классифицировать автоматизированные системы согласно руководящих документов Гостехкомиссии Российской Федерации.
Изучение дисциплины предусматривает проведение лекционных и лабораторных занятий, тестирование по темам разделов.
2. Содержание дисциплины
Основные разделы
- Общая проблема информационной безопасности информационных систем.
- Защита информации при реализации информационных процессов (ввод, вывод, передача, обработка, накопление, хранение).
- Организационное обеспечение информационной безопасности.
- Защита информации от несанкционированного доступа.
- Методы и средства защиты информации.
- Математические средства защиты информации.
- Методические средства защиты информации.
- Компьютерные средства реализации защиты в информационных системах.
- Программа информационной безопасности России и пути ее реализации.
Объем дисциплины и виды учебной работы (час)
Вид занятий | Всего часов | Семестр 6 |
Общая трудоемкость | 136 | 136 |
Аудиторные занятия: | | |
- лекции | 51 | 51 |
- практические занятия (ПЗ) | | |
- семинары (С) | | |
- лабораторные работы | 34 | 34 |
- другие виды аудиторных занятий | | |
Самостоятельная работа | 85 | 85 |
- курсовой проект | 1 | 1 |
Вид итогового контроля | экзамен | экзамен |
Содержание лекционных занятий
Вводная лекция (2 часа)
Задачи и содержание курса, порядок его изучения. Материально-техническая и учебно-методическая база. Современное состояние защиты информации.
Актуальность информационной безопасности в современных условиях (4 часа)
Международные стандарты информационного обмена. Получение статистических знаний об атаках, которым подвергаются компьютерные системы и потерях банков. Изучение основных понятий и определений, используемых при изучении дисциплины.
Классификация угроз информации (4 часа)
Понятие угрозы. Получение знаний о видах угроз, путей и каналов утечки информации, от кого они исходят и к чему приводят. Изучение видов атак и методов взлома интрасетей злоумышленниками. Три вида возможных нарушений информационной системы. Виды противников или «нарушителей». Информационная безопасность в условиях функционирования в России глобальных сетей.
Понятие и классификация «компьютерных вирусов» (2 часа)
Понятия о видах вирусов. Получение знаний о существующих "компьютерных вирусах". Классификация "компьютерных вирусов". Угроза вирусов безопасности информации. Алгоритмы работы "компьютерных вирусов" и пути их внедрения в систему. Индивидуальные признаки, используемые для определения "компьютерных вирусов" различных классов.
Защита от «компьютерных вирусов» (2 часа)
Основные правила защиты от "компьютерных вирусов". Обзор антивирусных программ. Методика использования антивирусных программ. Восстановление пораженных "компьютерными вирусами" объектов.
Современные методы защиты информации (6 часов)
Рассматриваются методы защиты информации: ограничение доступа, разграничение доступа, разделение доступа, криптографическое преобразование информации, контроль и учет доступа, законодательные меры, обеспечение информационной безопасности в Internet. Основные технологии построения защищенных ИС. Место информационной безопасности в национальной безопасности страны. Концепция информационной безопасности.
Модели безопасности и их применение (4 часа)
Дискреционная и мандатная модели политики безопасности. Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование. Анализ способов нарушений информационной безопасности. Использование защищенных компьютерных систем.
Методы криптографии (6 часов)
Традиционные и современные криптосистемы. Методы шифрования данных. Основные криптографические алгоритмы. Абонентское и пакетное шифрование. Взаимное подтверждение подлинности (аутентификация) абонентов и объектов сети. Обеспечение целостности информации на основе электронной цифровой подписи.
Лицензирование и сертификация в области информационной безопасности (4 часа)
Нормы и требования российского законодательства в области лицензирования и сертификации. Правила построения и функционирования системы лицензирования ФАПСИ. Порядок оформления и получения лицензий и сертификатов в области информационной безопасности. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
Концепция безопасности реляционных баз данных (4 часа)
Угрозы безопасности БД: общие и специфические. Требования безопасности БД. Защита от несанкционированного доступа (НСД). Защита от вывода. Целостность БД. Аудит. Задачи и средства администратора безопасности баз данных. Многоуровневая защита.
Модели и механизмы обеспечения безопасности в СУБД (4 часа)
Классификация моделей. Особенности применения моделей безопасности в СУБД Oracle и DB2. Механизмы обеспечения целостности СУБД. Метаданные и словарь данных. Доступ к словарю данных. Транзакции как средство изолированности пользователей. Правила согласования блокировок. Тупиковые ситуации, их распознавание и разрушение. Способы поддержания ссылочной целостности. Механизмы правил и событий. Механизмы обеспечения конфиденциальности в СУБД. Причины, виды, основные методы нарушения конфиденциальности. Получение несанкционированного доступа к конфиденциальной информации путем логических выводов. Методы защиты информации. Особенности применения криптографических методов. Средства идентификации и аутентификации. Средства управления доступом. Аудит и подотчетность.
Критерии безопасности компьютерных систем «Оранжевая книга» (4 часа)
Рассмотрение критериев, с помощью которых оценивается защищенность вычислительных систем. Ознакомление со стандартом США "Оранжевая книга".
Руководящие документы Гостехкомиссии (5 часов)
Изучение руководящих документов Гостехкомиссии Российской Федерации.
ИТОГО: 51 час.
Темы для самостоятельной работы студентов
Поиск в Интернете, журналах “Информационные технологии”, “Программные продукты и системы”, «Альма матер», «Дополнительное образование».
3. Учебно-методическое обеспечение дисциплины
Перечень основных и дополнительных литературных источников по дисциплине.
а) основные
- Доктрина информационной безопасности Российской Федерации. Российская газета от 28.09.2000г.
- Информационные технологии на железноодорожном транспорте: Учебник для вузов железнодорожного транспорта / Э.К. Лецкий, В.И. Панкратов, В.В. Яковлев и др.; Под ред. Э.К. Лецкого, Э.С. Поддавашкина, В.В Яковлева.- М.: УМК МПС России, 2000. - 680 с.
- Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных: Учебное пособие. М.: СИНТЕГ, 2000. —248 с.
- Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. М.: Горячая линия— Телеком, 2000.— 452 с.
- Девянин П.Н., Михальский ОО, Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 1999. —192 с.
- Проскурин В.Г., Крутов С.В., Мацкевич И.В. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах: Учебное пособие для вузов. М.: Радио и связь, 2000. — 168 с.
- Романцев Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 1999. — 328с
б) дополнительная
- Телекоммуникационные технологии на железнодорожном транспорте: Учебник для вузов железнодорожного транспорта / Г.В. Горелов, А.В. Кудряшов, В.В. Шмытинский и др.; Под ред. Г.В. Горелова. М.: УМК МПС России, 1999. — 576 с.
- Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения. М.: Гостехкомиссия России, 1992. — 13 с.
- Руководящий документ: Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа. М.: Гостехкомиссия России, 1997. — 17 с.
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
- ГОСТ Р 50922-96. Защита информации. Основные требования и определения.
- ОСТ 45.127-99. Система обеспечения информационной безопасности взаимоувязанной сети связи РФ. Термины и определения.
- Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика —Электроинформ,1997. — 368 с.
- Ростовцев А.Г., Маховенко Е.Б. Введение в криптографию с открытым ключом. СПб.: Мир и семья, 2000. — 336с.
- Эдвардс М.Дж.. Безопасность в Интернете на основе Windows NT / Пер.с англ. М.: Русская редакция,1998.
- Кульгин М. Технология корпоративных сетей. Энциклопедия. СПб.: Питер, 1999. —704 с.
- Информационные технологии на железнодорожном транспорте: Доклады 5-ой международной научно-практической конференции «ИНФОТРАНС-2000». СПб.: ПГУПС, 2000. —304 с.
- Введение в криптографию / Под общ. ред. В.В, Ященко. – М.: МЦНМО, «ЧеРо», 1998. – 272 с.
- В. Гайкович, А.Першин. Безопасность электронных банковских систем. - М.: Компания «Единая Европа», - 1994 г. - 324 с.
- Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - М.: Энергоатомиздат, -1994 г. - 400 с.
- ISO/DIS 2382/8. Data processing/ Vocabulary Part 8: Control integrity and security // ISO, 1985
- ISO/DIS 7498/2. Information Processing Systems Open Systems Interconnection Reference Model/ Part 2: Security Architecture // ISO/ 1989/
Технические средства обеспечения освоения дисциплины
Компьютерный класс с выходом в Интернет, Интернет-портал www.sciyouth.ru.
Методические рекомендации преподавателю дисциплины
Основными видами обучения студентов являются лекции, лабораторные занятия в дисплейном классе и самостоятельная работа студентов, прежде всего, при выполнении курсового проекта.
При чтении лекций особое внимание следует уделить выработке у студентов понимания того, что современное информационное общество в корне меняет парадигму высшего образования, превращая его в непрерывное образование в течение всей жизни на базе централизованных электронных информационных ресурсов. Необходимо широко использовать мультимедийную технику, демонстрировать не только статичные иллюстрацитонные материалы, но и вести непосредственно компьютеное моделирование, обсуждая с аудиторией его ход и результаты.
Лабораторный практикум ориентируется на использование Интернет для информационного поиска под контролем преподавателя. Необходимо, чтобы студенты самостоятельно выбирали направление исследования по теме занятия. Очень важно, чтобы результаты каждого занятия оформлялись в соответствии с обычными требованиями и сохранялись студентами до завершения всего курса.
Самостоятельная работа ориентирована на домашнюю или классную работу как с компьютером, так и без него. Студенты должны систематически работать с литературой и конспектом лекций, с материалами Интернет. Оценка самостоятельной работы должна входить в оценку контрольных точек практикума с учётом контроля остаточных знаний по тестовым вопросам.
Методические указания для студентов
Основными методами обучения являются лекции, лабораторные занятия в дисплейном классе и самостоятельная работа.
При прослушивании и проработке лекций особое внимание следует уделить терминологии, используемой в дисциплине, и основным понятиям. Записывать следует только основные положения, формулируемые преподавателем и ссылки на информационные источники, которые вы проработаете самостоятельно. Необходимо активно участвовать в обсуждении предлагаемых преподавателем тем, высказывать собственные соображения, тем более, что объект курса – система высшего образования – хорошо вам знаком.
При подготовке к лабораторному практикуму необходимо по заданию сделать заготовки к будущему занятию и согласовать их в начале занятия с преподавателем, чтобы не терять время на переделки и доработки проекта или реализации системы. Если в размещенной в Интернете технологической карте указано, что вы должны до занятия отправить преподавателю информацию по электронной почте, нужно сделать это не в последний момент, а заблаговременно, чтобы преподаватель успел с нею ознакомиться.
Следует учесть, что без самостоятельной работы по подготовке выполнить график лабораторного практикума практически невозможно, так как работы имеют элемент творчества и исследований, а не просто демонстрируют возможности какой-либо системы.
Документирование и формирование итоговой отчётности следует начинать заблаговременно и вести в соответствии со стандартами оформления учебных документов и научно-исследовательских отчётов. Без предоставления отчётов студенты не могут быть аттестованы по дисциплине в целом.
Важной частью промежуточной аттестации является контроль остаточных знаний, соответствующие вопросы следует попросить у преподавателя заранее и самостоятельно к ним подготовиться.
Помимо листинга основного модуля студенты в отчётной документации по лабораторному практикуму должны представить полные исходные тексты программ и данные контрольного примера на машинном носителе.
4. Требования к уровню содержания и освоения дисциплины. Формы текущего, промежуточного и итогового контроля
Знания в объеме, определяемом банком контрольных вопросов на экзамене.
Текущий контроль
Осуществляется отметкой посещения каждого занятия и выставлением оценки по лабораторным работам в электронной технологической карте. Еженедельно выставляется комплексный рейтинг учебной активности, в соответствии с которым ведется индивидуальная работа со студентами.
Промежуточный контроль
Осуществляется по контрольным точкам. Сдача задания, предусмотренного контрольной точкой, оценивается и вносится в электронную технологическую карту. Еженедельно выставляется комплексный рейтинг учебной активности, в соответствии с которым ведется индивидуальная работа со студентами.
Итоговый контроль
Экзамен.
Вопросы теста
- Кто разрабатывает и согласовывает программы аттестационных испытаний?
а). Орган по аттестации и Гостехкомиссия России.
б). Орган по аттестации и Заявитель.
в). Гостехкомиссия России и Орган по аттестации совместно с Заявителем.
- Сколько классов защищенности СВТ от НСД к информации установлено в РД «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации»:
а) - 9 классов б) - 5 классов в) -7 классов г) - 3 класса
- На каком этапе аттестационных испытаний осуществляется проверка правильности классификации АС?
а). На этапе проверки состояния технологического процесса обработки информации.
б). На этапе подготовки Заявителем исходных данных для проведения испытаний,
в). На этапе проверки АС на соответствие организационно- техническим требованиям по защите информации.
- Уязвимость - это характеристика АС, которая:
а).Может привести к реализации угрозы,
б). Неизбежно влечет реализацию угрозы.
в). Никак не влияет на показатели защищенности АС.
г). Ни один из ответов не является верным.
- Какой из перечисленных документов излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа?
а). Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
б). Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
в). Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
г). Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Основная система взглядов.
д). Ни один из ответов не является верным.
- Классы защищенности АС от НСД к информации по РД АС подразделяются на группы. Отметьте правильный вариант:
а) - первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Все пользователи имеют право доступа ко всей информации АС.
б) - первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.
- К каким компонентам подсистемы контроля доступа следует отнести АРМ администратора сети?
а). К субъектам доступа, б). К объектам доступа.
в). К тем и другим. г). Правильный ответ отсутствует.
- Для АС какого класса защищенности требуется применение в подсистеме обеспечения целостности применение аттестованного алгоритма контрольного суммирования?
а). Ни для какого класса защищенности, б). Для всех классов защищенности.
в). 1А. г). ЗБ.
- Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводятся Гостехкомиссией России:
а) только в процессе аттестации
б) только по завершении аттестации
в) как в процессе аттестации, так и по завершении аттестации
- Кто определяет схему аттестации объектов информатизации?
а). Заявитель по согласованию с Гостехкомиссией России,
б). Гостехкомиссия России.
в). Орган по аттестации совместно с Заявителем,
г). Орган по аттестации.
- На сколько групп, отличающихся качественным уровнем защиты, подразделяются классы защищенности СВТ от НСД к информации согласно РД «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации»:
а) - 3 группы б) - 5 групп в) - 4 группы г) - 7 групп
- Является ли необходимым условием для выдачи аттестата соответствия на АС класса 2А обязательность наличия отдельного подразделения по защите информации?
а). Да, является.
б). Нет, не является.
в). Не является, но тогда обязательно должно быть лицо, выполняющее функции Администратора защиты информации в АС.
- В ходе атаки нарушитель реализует:
а). Свой высокий технический потенциал,
б). Свои врожденные криминальные наклонности.
в). Предварительно найденную уязвимость,
г). Ни один из ответов не является верным.
- В руководящих документах нарушителя классифицируют по:
а). Двум уровням, б). Трем уровням. в). Четырем уровням. г). Пяти уровням,
- Для контроля какого механизма (подсистемы) системы защиты информации от НСД может использоваться инструментальное средство «Ревизор»:
а) - подсистемы управления доступом; б) - регистрации и учета;
г) - обеспечения целостности
- Можно ли распространять результаты конкретного аттестационного испытания на аналогичные системы?
а). Можно. б). Нельзя.
в). Можно распространять результаты испытаний отдельных элементов и подсистем.
- Какими способами, в соответствии с требованиями руководящих документов, может быть проверена надежность функций контроля целостности программных средств при проведении аттестационных испытаний?
а). При помощи внесения изменений в отдельные программы или их подмены с последующим отслеживанием реакции системы защиты на произведенные нарушения.
б). При помощи внесения изменений в документацию на средства защиты информации.
в). Путем правильного отключения ПЭВМ.
г). Надежность функций контроля целостности программных средств при проведении аттестационных испытаний не проверяется.
- Концентратор:
а), регенерирует и передает сигналы;
б), направляет пакеты по доступным соединениям и маршрутам;
в), осуществляет маршрутизацию пакетов через множество сетей;
г), осуществляет фильтрацию широковещательных сообщений.
- Укажите три определяющих признака, по которым производится группировка АС в различные классы:
а) - наличие в АС сертифицированных СВТ;
б) - наличие в АС информации различного уровня конфиденциальности;
в) - условий размещения АС;
г) - уровень полномочий субъектов доступа АС на доступ к информации ограниченного распространения;
д) - режим обработки данных в АС - коллективный или индивидуальный;
е)- обеспечения охраны объекта, на котором расположена защищаемая АС.
- Какие методы проверок и испытаний используются при аттестации объектов информатизации?
а). Экспертно -документальный. б). Опрос и анкетирование персонала.
в). Измерение и оценка степени опасности каналов утечки информации.
г). Проверка функций защиты информации от НСД:
г. 1. С использованием тестирующих средств.
г.2. С использованием таблиц проверки паролей и идентификаторов.
г.З. Методом пробного пуска.
г.4. Попытками «взлома» систем защиты.
г. 5. Методом повторной инсталляции.
д). Расчет вероятностей реализации угроз безопасности информации.
- Выберите правильное определение (Положение по аттестации объектов информатизации).
а). Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации ограниченного доступа и ведения конфиденциальных переговоров.
б). Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей служебную и государственную тайну.
в). Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации ограниченного доступа.
г). Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управление экологически опасными объектами, ведения секретных переговоров.
- Является ли необходимым условием для выдачи аттестата соответствия на АС класса ЗА обязательность наличия Администратора (службы) защиты информации в АС?
а). Да, является, б). Нет, не является.
- Сканеры уязвимостей позволяют:
а). Находить известные уязвимости,
б). Находить неизвестные уязвимости.
в). Находить известные и неизвестные уязвимости,
г). Отражать атаки.
д). Влиять на координаты дрейфующих айсбергов,
е). Ни один из ответов не является верным.
- Автоматизированная система второй группы это:
а). Автоматизированная система, в которой пользователи имеют одинаковые права доступа ко всей информации АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.
б). Многопользовательская АС, в которой одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа по всей информации АС.
в). Автоматизированная система, в которой работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.
г). Автоматизированная система, в которой пользователи не имеют прав доступа ко всей информации АС.
д). Ни один из ответов не является верным.
- Классы защищенности АС от НСД к информации по РД АС подразделяются на группы. Отметьте правильные варианты:
а) - первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Все пользователи имеют право доступа ко всей информации АС;
б) - вторая группа включает АС, в которых пользователи имеют разные права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;
в) - третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности;
- Прекращается ли программа аттестационных испытаний если в ходе ее выполнения получены отрицательные промежуточные результаты:
а) аттестационные испытания проводятся до полного завершения
б) программы аттестационные испытания прекращаются
- Для АС какого класса защищенности не требуется применение сертифицированных средств защиты в подсистеме обеспечения целостности?
а). ЗБ, 2Б, 1Г, 1Д. б). 1А. в). 1Б.
г). Ни для какого класса защищенности, д). Требуется для всех.
- Сколько классов защищенности АС от НСД к информации установлено РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»:
а) - 9 классов б) - 5 классов в) - 7 классов г) - 3 класса
- Специальная проверка вычислительной техники, устанавливаемой для обработки секретной информации проводится для:
а) обнаружения возможно внедренных электронных устройств перехвата (уничтожения) информации;
б) выявления возможных каналов утечки секретной информации.
в) и того, и другого.
- Руководящий документ Гостехкомиссии России устанавливает N классов защищенности межсетевых экранов;
а) - N-3; б) -N-5; в) - N=7
- Какие разделы должна содержать программа аттестационных испытаний?
а). Цели и задачи испытаний.
б). Методы проверок и испытаний.
в). Перечень нормативных документов.
г). Перечень выполняемых проверок и испытаний.
д). Условия, порядок и продолжительность аттестации.
е).Используемая контрольно-измерительная аппаратура и тестовые средства.
ж). Формы отчетной документации,
з). Общие методические положения.
- Под аттестацией объектов информатизации понимается:
а). Комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата аккредитации» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
б). Комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
в). Комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается готовность объекта к проведению в нем (на нем) конфиденциальных переговоров..
г). Комплекс организационно технических мероприятий, в результате которых посредством специального документа - «Аттестата аккредитации» подтверждается способность объекта противостоять угрозам информационной безопасности в части НСД.
- К какому классу защищенности должны относиться средства защиты информации, используемые в АС7 классифицированной по классу 1В?
а). К классу не ниже 4-го. б). К классу не ниже 3-го. в). К классу не ниже 2-го.
- На сколько групп подразделяются классы защищенности АС от НСД к информации согласно РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»:
а) - 5 групп б) - 3 группы
г) - 4 группы д) - 7 групп
- Какая из приведенных подсистем не является подсистемой СЗИ от НСД.
а). Подсистема обеспечения целостности
б). Криптографическая подсистема.
в). Подсистема регистрации и учета,
г). Подсистема управления доступом.
д). Подсистема управления потоками
- Какие функции не свойственны подсистеме контроля доступа в помещение?
а). Контроль перемещений персонала. При, этом место нахождения того или иного служащего может фиксироваться во внутреннем журнале контроллера (управляющий элемент отпирания двери) и дистанционно отсылаться на центральный пост.
б). Антивирусное обеспечение.
- Какие показатели, в соответствии с требованиями руководящих документов, должны быть оценены при проведении аттестационных испытаний подсистемы обеспечения целостности автоматизированных систем?
а). Надежность функций контроля целостности, неизменность программной среды, выполнение требований по физической охране, работоспособность средств периодического тестирования, наличие и работоспособность технологии восстановления.
б). Вероятность необнаружения преднамеренных или непреднамеренных нарушений целостности информации при использовании алгоритмов контрольного суммирования.
в). Наличие режима тестирования оперативной памяти ПЭВМ в момент включения.
г). Наличие и исправность кодо-замковых устройств на дверях в помещения, в которых размещены ПЭВМ, наличие решеток на окнах, прочность корпусов ПЭВМ.
- Коммутатор:
а) регенерирует и передает сигналы;
б) направляет пакеты по доступным соединениям и маршрутам;
в) осуществляет фильтрацию широковещательных сообщений.
- При включении межсетевого экрана в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее межсетевого экрана:
а) - должен понижаться; б) - не должен понижаться .
- Какие подсистемы испытываются при испытаниях АС на соответствие требованиям по защите информации от НСД?
а). Подсистема оповещения. б). Подсистема регистрации и учета.
в). Подсистема управления доступом, г). Подсистема генерации паролей.
д). Подсистема защиты от взлома, е). Подсистема обеспечения целостности.
- Исходя из чего (с учетом требований каких документов) определяются требования к защите информации, составляющей государственную тайну, при обработке ее на объектах ВТ?
а). Исходя из принятой схемы обработки информации в АС.
б). Исходя из степени секретности обрабатываемой в АС информации.
в) Комплексно, с учетом принятой схемы обработки информации в АС, и исходя из степени секретности обрабатываемой в АС информации.
г). В соответствии с требованиями «Положения по аттестации объектов информатизации».
- В каких случаях требование управления потоками информации с помощью меток конфиденциальности является обязательным? (Выбрать наиболее полный ответ).
а). Для АС класса ЗА, 2А, 1А.
б). Для АС класса ЗА, 2А, 1Б и 1А.
в). Для АС класса 2А, 1В, 1Би 1А
г). Для АС класса ЗА, 2А, 1В, 1Б и 1А.
д). Для АС класса ЗА, 2А, 1Г, 1В, 1Б и 1А.
- Какой из принципов контроля доступа основан на классификационных метках,
а). Дискреционный принцип контроля доступа,
б). Матричный принцип контроля доступа.
в). Классификационный принцип контроля доступа,
г). Мандатный принцип контроля доступа.
д). Ни один из ответов не является верным.
- При разработке АС, предназначенной для обработки или хранения секретной информации необходимо ориентироваться в соответствии с РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» на классы защищенности АС не ниже:
а) - 3А б) - ЗБ, в) -2А, г) -2Б, д) -1В е) - 1Г, ж) - 1А з) – 1Б
- На какой максимальный срок выдается «Аттестат соответствия» владельцу аттестованного объекта информатизации:
а) - 2 года б) - 3 года в) - 5 лет
- Основное назначение виртуальной частной сети состоит в следующем:
а) обеспечить защиту внутренних ресурсов локальной сети организации от несанкционированного доступа;
б) обеспечить защиту данных организации от несанкционированного доступа в процессе их передачи по общедоступной сети;
в) обеспечить гарантируемое качество передачи данных организации по общедоступной сети;
г) выполнять функции по сокрытию структуры частной сети.
- Допускается ли засекречивание сведений, не отнесенных к государственной тайне?
а) - допускается; б) - не допускается.
- Для АС класса ЗБ, 2Б должны применяться межсетевые экраны:
а) - не ниже 4 класса; б) - не ниже 5 класса
- Когда проверяется оценка правильности классификации и категорирования объекта информации?
а). При изучении технологического процесса обработки информации.
б). При комплексных испытаниях объекта информатизации.
в). При проверке состояния организации работ и выполнения организационно-технических требований.
г). При обследовании объекта.
- Какой документ, выданный организации, дает право проводить работы по аттестации объектов информатизации?
а). Лицензия ФСБ России на право проведения работ, связанных с использованием сведений, составляющих государственную тайну.
б). Лицензия Гостехкомиссии России на деятельность в области защиты информации.
в). Аттестат аккредитации органа по аттестации, выданный Гостехкомиссией России.
г). Правильный ответ отсутствует.
- Какое из утверждений наиболее правильно описывает то, что регистрирует подсистема регистрации и учета.
а). Ошибки администратора.
б). Доступ пользователей в систему.
в). События различного характера.
г). Действия пользователей.
д). Ни один из ответов не является верным.
- Какого класса защищенности должны быть сертифицированные СВТ, используемые в АС для обработки информации особой важности:
а) - не ниже 4 класса по РД СВТ
б) -не ниже 3 класса по РД СВТ
в) - не ниже 2 класса по РД СВТ
- Кто несет ответственность за выполнение установленных условий функционирования, технологии обработки защищаемой информации и требований по безопасности информации аттестованного объекта информатизации;
а) - владелец аттестованного объекта информатизации
б) - орган по аттестации, выдавший «Аттестат соответствия»
в) - владелец аттестованного объекта информатизации и орган по аттестации, выдавший «Аттестат соответствия»
- Какими нормативными правовыми актами предусмотрена сертификация средств защиты конфиденциальной информации?
а). Закон Российской Федерации «О государственной тайне».
б) Федеральный закон Российской Федерации «Об информации, информатизации и защите информации».
в). Указ Президента Российской Федерации от 06.03.97г. №188 «Об утверждении перечня сведений конфиденциального характера».
г). Правильный ответ отсутствует.
- Подсистема обеспечения целостности должна обнаруживать:
а). Доступ пользователей в систему.
б) Любые воздействия на контролируемые объекты.
в). Сбой системы,
г). Атаку злоумышленника.
д) Ни один из ответов не является верным.
- В течении какого срока Орган по аттестации рассматривает заявку и прилагаемые исходные данные на проведение аттестации объекта информатизации и принимает решение о проведении аттестации объекта информатизации:
а) - в течении недели
б) - в течении месяца
в) - в течении двух месяцев
- Самый низкий класс защищенности, установленный РД, для МЭ;
а) - первый; б) - четвертый; в) - пятый
- Должна ли согласовываться программа аттестационных испытаний с Заявителем:
а) - да б) - нет в) - по решению Гостехкомиссии
- Для контроля какого механизма (подсистемы) системы защиты информации от НСД может использоваться программа «ФИКС»:
а) - подсистемы управления доступом;
б) - регистрации и учета;
в) - обеспечения целостности
- Обработка секретной информации разрешается:
а) - с использованием любых средств и систем защиты информации от НСД;
б) - только с использованием сертифицированных средств и систем защиты информации от НСД
- Заключение по результатам аттестации объекта информатизации:
а) - подписывается членами аттестационной комиссии и согласовывается с Заявителем
б) - подписывается членами аттестационной комиссии и утверждается Заявителем
в) -подписывается членами аттестационной комиссии и доводится до сведения Заявителя
- Классы защищенности АС от НСД к информации по РД АС подразделяются на группы. Отметьте правильный вариант:
а) - третья группа включает АС, в которых работает один пользователь, не допущенный ко всей информации АС, размещенной на носителях разного грифа секретности;
б) - третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного грифа секретности;
в) - третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях разного грифа секретности;
- Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводятся Гостехкомиссией России:
а) - только в процессе аттестации
б) - только по завершении аттестации
в) -как в процессе аттестации, так и по завершении аттестации
- Дают ли результаты испытаний конкретной АС право распространения ее результатов на однотипные АС:
а) - нет не дают
б) - дают при определенных условиях
в) -дают
- Система аттестации объектов информатизации по требованиям безопасности
а) - является составной частью единой системы сертификации;
б) - не является составной частью единой системы сертификации;
- На каком этапе аттестационных испытаний осуществляется проверка правильности классификации АС?
а). На этапе проверки состояния технологического процесса обработки информации.
б). На этапе подготовки Заявителем исходных данных для проведения испытаний.
в). На этапе проверки АС на соответствие организационно- техническим требованиям по защите информации.
- К каким компонентам подсистемы контроля доступа следует отнести АРМ администратора сети?
а). К субъектам доступа, б). К объектам доступа.
в). К тем и другим, г). Правильный ответ отсутствует.
- Аттестация предусматривает комплексную проверку защищаемого объекта информатизации
а) - в реальных условиях эксплуатации; б) - в типовых условиях эксплуатации.
- Подлежат ли обязательной аттестации объекты информатизации, предназначенные для управления экологически опасными объектами?
а) - нет; б) - да.
5. Перечень используемых инновационных методов и разработок
- Электронная рабочая программа и журнал преподавателя в Интернет
- Рейтинговая система учета академической активности студентов при изучении дисциплины
- Тестовая система ФИСТ
- Индивидуальное взаимодействие со студентами по электронной почте для предварительного ознакомления с их разработками при подготовке к аудиторным занятиям
- Включение в лабораторные работы индивидуального поиска, систематизации и анализа информации через Интернет