Какие договоры могут быть заключены с использованием электронных документов, удостоверенных электронной цифровой подписью. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности сочинения и курсовые

1. "Общие критерии" содержат следующие виды требований:

2. Melissa - это:

3. Melissa - это:

4. Melissa подвергает атаке на доступность:

5. Агрессивное потребление ресурсов является угрозой:

6. Архитектурными элементами систем управления являются:

7. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

8. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:

9. Аутентификация на основе пароля, переданного по сети в открытом виде, плоха, потому что не обеспечивает защиты от:

10. Большинство людей не совершают противоправных действий потому, что это:

11. В законопроекте "О совершенствовании информационной безопасности " (США, 2001 год) особое внимание обращено на:

12. В законопроекте "О совершенствовании информационной безопасности" (США, 2001 год) особое внимание обращено на:

13. В качестве аутентификатора в сетевой среде могут использоваться:

14. В качестве аутентификатора в сетевой среде могут использоваться:

15. В рамках программы безопасности нижнего уровня определяются:

16. В рамках программы безопасности нижнего уровня осуществляются:

17. В следующих странах сохранилось жесткое государственное регулирование разработки и распространения криптосредств на внутреннем рынке:

18. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

19. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

20. В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

21. В число возможных стратегий нейтрализации рисков входят:

22. В число возможных стратегий нейтрализации рисков входят:

23. В число возможных стратегий нейтрализации рисков входят:

24. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

25. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

26. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

27. В число классов мер процедурного уровня входят:

28. В число классов мер процедурного уровня входят:

29. В число классов мер процедурного уровня входят:

30. В число классов требований доверия безопасности "Общих критериев" входят:

31. В число классов функциональных требований "Общих критериев" входят:

32. В число направлений повседневной деятельности на процедурном уровне входят:

33. В число направлений повседневной деятельности на процедурном уровне входят:

34. В число направлений повседневной деятельности на процедурном уровне входят:

35. В число направлений физической защиты входят:

36. В число направлений физической защиты входят:

37. В число направлений физической защиты входят:

38. В число основных понятий ролевого управления доступом входит:

39. В число основных понятий ролевого управления доступом входит:

40. В число основных принципов архитектурной безопасности входят:

41. В число основных принципов архитектурной безопасности входят:

42. В число основных принципов архитектурной безопасности входят:

43. В число основных угроз доступности входят:

44. В число понятий объектного подхода входят:

45. В число принципов управления персоналом входят:

46. В число принципов управления персоналом входят:

47. В число принципов физической защиты входят:

48. В число универсальных сервисов безопасности входят:

49. В число универсальных сервисов безопасности входят:

50. В число универсальных сервисов безопасности входят:

51. В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:

52. В число целей политики безопасности верхнего уровня входят:

53. В число целей политики безопасности верхнего уровня входят:

54. В число целей политики безопасности верхнего уровня входят:

55. В число целей программы безопасности верхнего уровня входят:

56. В число целей программы безопасности верхнего уровня входят:

57. В число целей программы безопасности верхнего уровня входят:

58. В число целей программы безопасности нижнего уровня входят:

59. В число этапов жизненного цикла информационного сервиса входят:

60. В число этапов жизненного цикла информационного сервиса входят:

61. В число этапов жизненного цикла информационного сервиса входят:

62. В число этапов процесса планирования восстановительных работ входят:

63. В число этапов процесса планирования восстановительных работ входят:

64. В число этапов процесса планирования восстановительных работ входят:

66. В число этапов управления рисками входят:

67. В число этапов управления рисками входят:

68. Включение в число основных аспектов безопасности подотчетность...

69. Выберите вредоносную программу, которая открыла новый этап в развитии данной области:

70. Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:

71. Главная цель мер, предпринимаемых на административном уровне:

72. Действие Закона "О лицензировании отдельных видов деятельности " не распространяется на:

73. Действие Закона "О лицензировании отдельных видов деятельности" распространяется на:

74. Деление на активные и пассивные сущности противоречит:

75. Демилитаризованная зона располагается:

76. Для внедрения бомб чаще всего используются ошибки типа:

77. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

78. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

79. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

80. Достоинствами асинхронного тиражирования являются:

81. Достоинствами синхронного тиражирования являются:

82. Доступность достигается за счет применения мер, направленных на повышение:

83. Доступность достигается за счет применения мер, направленных на повышение:

84. Доступность достигается за счет применения мер, направленных на повышение:

85. Дублирование сообщений является угрозой:

86. Затраты организаций на информационную безопасность:

87. Из принципа разнообразия защитных средств следует, что:

88. Интенсивности отказов независимых компонентов:

89. Информационная безопасность - это дисциплина:

90. Информационный сервис считается недоступным, если:

91. К межсетевым экранам целесообразно применять следующие принципы архитектурной безопасности:

92. Каркас необходим системе управления для придания:

93. Комплексное экранирование может обеспечить:

94. Компьютерная преступность в мире:

95. Контейнеры в компонентных объектных средах предоставляют:

96. Контроль целостности может использоваться для:

97. Криптография необходима для реализации следующих сервисов безопасности:

98. Криптография необходима для реализации следующих сервисов безопасности:

99. Криптография необходима для реализации следующих сервисов безопасности:

100. Любой разумный метод борьбы со сложностью опирается на принцип:

101. Меры информационной безопасности направлены на защиту от:

102. Метод объекта реализует волю:

103. На законодательном уровне информационной безопасности особенно важны:

104. На межсетевой экран целесообразно возложить функции:

105. На межсетевые экраны целесообразно возложить следующие функции:

106. На межсетевые экраны целесообразно возложить следующие функции:

107. На межсетевые экраны целесообразно возложить следующие функции:

108. На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:

109. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:

110. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:

111. Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:

112. Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией органов лицензирования и сертификации по данной тематике:

113. Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:

114. Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией о методах использования уязвимостей:

115. Обеспечение высокой доступности можно ограничить:

116. Обеспечение информационной безопасности зависит от:

117. Объектно-ориентированный подход использует:

118. Объектно-ориентированный подход помогает справляться с:

119. Окно опасности - это:

120. Окно опасности перестает существовать, когда:

121. Окно опасности появляется, когда:

122. Основными функциями ПО промежуточного слоя, существенными для обеспечения высокой доступности, являются:

123. Оценка рисков позволяет ответить на следующие вопросы:

124. Оценка рисков позволяет ответить на следующие вопросы:

125. Оценка рисков позволяет ответить на следующие вопросы:

126. Первый шаг в анализе угроз - это:

127. Перехват данных является угрозой:

128. Под определение средств защиты информации , данное в Законе "О государственной тайне", подпадают:

129. Политика безопасности строится на основе:

130. Политика безопасности:

131. Пороговый метод выявления атак хорош тем, что он:

132. После идентификации угрозы необходимо оценить:

133. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:

134. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:

135. Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на текстовый редактор могут быть наложены следующие ограничения:

136. При анализе стоимости защитных мер следует учитывать:

137. При использовании версии сервера аутентификации Kerberos, описанной в курсе:

138. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:

139. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование:

140. При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:

141. При использовании сервера аутентификации Kerberos пароли по сети:

142. Принцип усиления самого слабого звена можно переформулировать как:

143. Программно-технические меры безопасности подразделяются на:

144. Программно-технические меры безопасности подразделяются на:

145. Протоколирование и аудит могут использоваться для:

146. Протоколирование само по себе не может обеспечить неотказуемость, потому что:

147. Протоколирование само по себе не может обеспечить неотказуемость, потому что:

148. Протоколирование само по себе не может обеспечить неотказуемость, потому что:

149. Реализация протоколирования и аудита преследует следующие главные цели:

150. Реализация протоколирования и аудита преследует следующие главные цели:

151. Реализация протоколирования и аудита преследует следующие главные цели:

152. Риск является функцией:

153. Риск является функцией:

154. Риск является функцией:

155. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:

156. С информацией о новых уязвимых местах достаточно знакомиться:

157. Самым актуальным из стандартов безопасности является:

158. Самыми опасными источниками внутренних угроз являются:

159. Самыми опасными источниками угроз являются:

160. Самыми опасными угрозами являются:

161. Сервер аутентификации Kerberos:

162. Сервисы безопасности подразделяются на:

163. Сигнатурный метод выявления атак хорош тем, что он:

164. Системы анализа защищенности выявляют уязвимости путем:

165. Системы анализа защищенности помогают предотвратить:

166. Системы анализа защищенности помогают:

167. Сложность обеспечения информационной безопасности является следствием:

168. Сложность обеспечения информационной безопасности является следствием:

169. Сложность обеспечения информационной безопасности является следствием:

171. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:

172. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:

173. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:

174. Согласно Закону "О лицензировании отдельных видов деятельности", лицензия, это:

181. Согласно стандарту X.700, в число задач управления входят:

182. Согласно стандарту X.700, в число задач управления входят:

183. Согласно стандарту X.700, в число задач управления входят:

184. Согласно стандарту X.700, в число функций управления безопасностью входят:

185. Согласно стандарту X.700, в число функций управления конфигурацией входят:

186. Согласно стандарту X.700, в число функций управления отказами входят:

187. Среди нижеперечисленного выделите троянские программы:

188. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:

189. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:

190. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:

191. Среднее время наработки на отказ:

192. Средний ущерб от компьютерного преступления в США составляет примерно:

193. Статистический метод выявления атак хорош тем, что он:

194. Структурный подход опирается на:

195. Требование безопасности повторного использования объектов противоречит:

196. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:

197. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:

198. Туннелирование может использоваться на следующих уровнях эталонной семиуровневой модели:

199. Туннелирование может применяться для достижения следующих целей:

200. Туннелирование может применяться для достижения следующих целей:

201. Уголовный кодекс РФ не предусматривает наказания за:

202. Уголовный кодекс РФ не предусматривает наказания за:

203. Уголовный кодекс РФ не предусматривает наказания за:

204. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

205. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

206. Управление рисками включает в себя следующие виды деятельности:

207. Управление рисками включает в себя следующие виды деятельности:

208. Управление рисками включает в себя следующие виды деятельности:

209. Уровень безопасности A, согласно "Оранжевой книге", характеризуется:

210. Уровень безопасности B, согласно "Оранжевой книге", характеризуется:

211. Уровень безопасности C, согласно "Оранжевой книге", характеризуется:

212. Цифровой сертификат содержит:

213. Цифровой сертификат содержит:

214. Цифровой сертификат содержит:

215. Что из перечисленного не относится к числу основных аспектов информационной безопасности:

216. Что из перечисленного не относится к числу основных аспектов информационной безопасности:

217. Что из перечисленного не относится к числу основных аспектов информационной безопасности:

218. Что из перечисленного относится к числу основных аспектов информационной безопасности:

219. Что из перечисленного относится к числу основных аспектов информационной безопасности:

220. Что из перечисленного относится к числу основных аспектов информационной безопасности:

221. Что понимается под информационной безопасностью:

222. Что такое защита информации:

223. Экран выполняет функции:

224. Экран выполняет функции:

225. Экран выполняет функции:

226. Экранирование может использоваться для:

227. Экранирование на сетевом и транспортном уровнях может обеспечить:

228. Экранирование на сетевом уровне может обеспечить:

229. Элементом процедурного уровня ИБ является:

230. Эффективность информационного сервиса может измеряться как:

Актуальная информация по учебным программам ИНТУИТ расположена по адресу: http://www. *****/.

Повышение квалификации Интернет-университета информационных технологий INTUIT (ИНТУИТ). Мы ответили на экзаменационные вопросы 380 курсов INTUIT (ИНТУИТ) , всего вопросов, ответов (некоторые вопросы курсов INTUIT имеют несколько правильных ответов). Текущий каталог ответов на экзаменационные вопросы курсов ИНТУИТ опубликован на сайте объединения Developer Project по адресу: http://www. dp5.su/ Подтверждения правильности ответов можно найти в разделе «ГАЛЕРЕЯ», верхнее меню, там опубликованы результаты сдачи экзаменов по 100 курсам (удостоверения, сертификаты и приложения с оценками). Болеевопросов по 70 курсам и ответы на них, опубликованы на сайте http://www. dp5.su/, и доступны зарегистрированным пользователям. По остальным экзаменационным вопросам курсов ИНТУИТ мы оказываем платные услуги (см. вкладку верхнего меню «ЗАКАЗАТЬ УСЛУГУ». Условия поддержки и помощи при сдаче экзаменов по учебным программам ИНТУИТ опубликованы по адресу: http://www. dp5.su/ Примечания: - ошибки в текстах вопросов являются оригинальными (ошибки ИНТУИТ) и не исправляются нами по следующей причине - ответы легче подбирать на вопросы со специфическими ошибками в текстах; - часть вопросов могла не войти в настоящий перечень, т. к. они представлены в графической форме. В перечне возможны неточности формулировок вопросов, что связано с дефектами распознавания графики, а так же коррекцией со стороны разработчиков курсов.

3) Требование безопасности повторного использования объектов противоречит:
инкапсуляции +
наследованию
полиморфизму

4) Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:
запрет на чтение каких-либо файлов, кроме конфигурационных
запрет на изменение каких-либо файлов, кроме конфигурационных +
запрет на установление сетевых соединений

5)Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
это простой способ придать информационной безопасности научный вид
объектно-ориентированный подход - универсальное средство борьбы со сложностью современных информационных систем +
в информационной безопасности с самого начала фигурируют понятия объекта и субъекта

6)В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
меры обеспечения целостности
административные меры +
меры административного воздействия

2Контейнеры в компонентных объектных средах предоставляют:
общий контекст взаимодействия с другими компонентами и с окружением +
средства для сохранения компонентов
механизмы транспортировки компонентов

Дублирование сообщений является угрозой:
доступности
конфиденциальности
целостности +

Melissa подвергает атаке на доступность:
системы электронной коммерции
геоинформационные системы
системы электронной почты +

Выберите вредоносную программу, которая открыла новый этап в развитии данной области:
Melissa +
Bubble Boy
ILOVEYOU

Самыми опасными источниками внутренних угроз являются:
некомпетентные руководители +
обиженные сотрудники
любопытные администраторы

5. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
просчеты при администрировании информационных систем
необходимость постоянной модификации информационных систем
сложность современных информационных систем +

Агрессивное потребление ресурсов является угрозой: доступности конфиденциальности целостности

Melissa - это:
бомба
вирус +
червь

Для внедрения бомб чаще всего используются ошибки типа:
отсутствие проверок кодов возврата
переполнение буфера +
нарушение целостности транзакций

Окно опасности появляется, когда:
становится известно о средствах использования уязвимости
появляется возможность использовать уязвимость +
устанавливается новое П

Среди нижеперечисленного выделите троянские программы:
ILOVEYOU
Back Orifice +
Netbus +

1. Уголовный кодекс РФ не предусматривает наказания за:
создание, использование и распространение вредоносных программ
ведение личной корреспонденции на производственной технической базе +
нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

В законопроекте "О совершенствовании информационной безопасности" (США, 2001 год) особое внимание обращено на: смягчение ограничений на экспорт криптосредств
разработку средств электронной аутентификации +
создание инфраструктуры с открытыми ключами

4. Под определение средств защиты информации, данное в Законе "О государственной тайне", подпадают:
средства выявления злоумышленной активности
средства обеспечения отказоустойчивости
средства контроля эффективности защиты информации +

1. Уровень безопасности B, согласно "Оранжевой книге", характеризуется:
принудительным управлением доступом +
верифицируемой безопасностью

3. В число классов требований доверия безопасности "Общих критериев" входят:
разработка +
оценка профиля защиты +
сертификация

4. Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:
периметр безопасности
метки безопасности +
сертификаты безопасности

1. Уровень безопасности A, согласно "Оранжевой книге", характеризуется:
произвольным управлением доступом
принудительным управлением доступом
верифицируемой безопасностью +

решение сформировать или пересмотреть комплексную программу безопасности +

обеспечение конфиденциальности почтовых сообщений

4. В число целей программы безопасности верхнего уровня входят:
управление рисками +
определение ответственных за информационные сервисы
определение мер наказания за нарушения политики безопасности

5. В рамках программы безопасности нижнего уровня осуществляются:
стратегическое планирование
повседневное администрирование +
отслеживание слабых мест защиты +

"1. Политика безопасности строится на основе:
общих представлений об ИС организации
изучения политик родственных организаций
анализа рисков +

2. В число целей политики безопасности верхнего уровня входят:
формулировка административных решений по важнейшим аспектам реализации программы безопасности +
выбор методов аутентификации пользователей
обеспечение базы для соблюдения законов и правил +

1. Риск является функцией:

1. Риск является функцией: размера возможного ущерба числа уязвимостей в системе уставного капитала организации

3. В число этапов управления рисками входят: идентификация активов+ ликвидация пассивов выбор анализируемых объектов+

4. Первый шаг в анализе угроз - это: идентификация угроз+ аутентификация угроз ликвидация угроз

Определение ответственных за анализ рисков измерение рисков выбор эффективных защитных средств

5. Управление рисками включает в себя следующие виды деятельности: определение ответственных за анализ рисков- измерение рисков выбор эффективных защитных средств

6. Оценка рисков позволяет ответить на следующие вопросы: чем рискует организация, используя информационную систему? чем рискуют пользователи информационной системы? чем рискуют системные администраторы?-

1. В число классов мер процедурного уровня входят: поддержание работоспособности+ поддержание физической формы физическая защита+

2. В число принципов управления персоналом входят: минимизация привилегий+ минимизация зарплаты максимизация зарплаты

3. В число этапов процесса планирования восстановительных работ входят: выявление критически важных функций организации+ определение перечня возможных аварий+ проведение тестовых аварий

5. В число направлений повседневной деятельности на процедурном уровне входят: ситуационное управление конфигурационное управление оптимальное управление-

1. Протоколирование и аудит могут использоваться для: предупреждения нарушений ИБ+ обнаружения нарушений+ восстановления режима ИБ

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС: низкая пропускная способность большинства коммуникационных каналов сложность администрирования пользовательских компьютеров отсутствие достаточного набора криптографических аппаратно-программных продуктов

Применение наиболее передовых технических решений применение простых, апробированных решений+ сочетание простых и сложных защитных средств

Выработка и проведение в жизнь единой политики безопасности+ унификация аппаратно-программных платформ минимизация числа используемых приложений

1. Экранирование может использоваться для: предупреждения нарушений ИБ обнаружения нарушений локализации последствий нарушений

3. В число основных принципов архитектурной безопасности входят: следование признанным стандартам применение нестандартных решений, не известных злоумышленникам- разнообразие защитных средств

3. В число основных принципов архитектурной безопасности входят: усиление самого слабого звена+ укрепление наиболее вероятного объекта атаки эшелонированность обороны+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: использование собственных линий связи обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ полный анализ сетевого трафика

Управление доступом+ управление информационными системами и их компонентами управление носителями

Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации разделение статических и динамических данных формирование составных сервисов по содержательному принципу +

1. Контроль целостности может использоваться для: предупреждения нарушений ИБ обнаружения нарушений+ локализации последствий нарушений

4. В число универсальных сервисов безопасности входят: средства построения виртуальных локальных сетей экранирование + протоколирование и аудит+

Кардиограмма субъекта+ номер карточки пенсионного страхования результат работы генератора одноразовых паролей+

2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от: перехвата воспроизведения+ атак на доступность+

Роль+ исполнитель роли пользователь роли

4. При использовании версии сервера аутентификации Kerberos, описанной в курсе: шифрование не применяется- применяется симметричное шифрование применяется асимметричное+ шифрование

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда учитывается иногда не учитывается+

1. В качестве аутентификатора в сетевой среде могут использоваться: год рождения субъекта фамилия субъекта секретный криптографический ключ+

3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода: инкапсуляция наследование+ полиморфизм

4. Сервер аутентификации Kerberos: не защищает от атак на доступность+ частично защищает от атак на доступность- полностью защищает от атак на доступность

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде: матрицы субъекты/объекты - предикатов над объектами списков доступа к методам объектов

3. В число основных понятий ролевого управления доступом входит: объект+ субъект метод

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов методам объектов (с учетом значений фактических параметров вызова) классам объектов

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к: интерфейсам объектов+ методам объектов (с учетом значений фактических параметров вызова)+ классам объектов

Протоколирование и аудит, шифрование, контроль целостности:

Сигнатурный метод выявления атак хорош тем, что он: поднимает мало ложных тревог+ способен обнаруживать неизвестные атаки прост в настройке и эксплуатации+

3. Цифровой сертификат содержит: открытый ключ пользователя+ секретный ключ пользователя имя пользователя+

4. Реализация протоколирования и аудита преследует следующие главные цели: обнаружение попыток нарушений информационной безопасности+ недопущение попыток нарушений информационной безопасности недопущение атак на доступность

2. Пороговый метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки- прост в настройке и эксплуатации+

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем

2. Статистический метод выявления атак хорош тем, что он: поднимает мало ложных тревог способен обнаруживать неизвестные атаки+ прост в настройке и эксплуатации-

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности администраторов перед пользователями обеспечение подотчетности пользователей и администраторов+ предоставление информации для выявления и анализа проблем+

5. Криптография необходима для реализации следующих сервисов безопасности: контроль защищенности контроль целостности+ контроль доступа

4. Реализация протоколирования и аудита преследует следующие главные цели: обеспечение возможности воспроизведения последовательности событий обеспечение возможности реконструкции последовательности событий+ недопущение попыток воспроизведения последовательности событий

1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация, как правило, имеет низкоуровневый характер, а неотказуемость относится к действиям прикладного уровня регистрационная информация имеет специфический формат, непонятный человеку регистрационная информация имеет слишком большой объем+

5. Криптография необходима для реализации следующих сервисов безопасности: идентификация экранирование аутентификация+

1. Протоколирование само по себе не может обеспечить неотказуемость, потому что: регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС+ целостность регистрационной информации может быть нарушена должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность

Идентификация и аутентификация, управление доступом

1. В качестве аутентификатора в сетевой среде могут использоваться:
кардиограмма субъекта+
номер карточки пенсионного страхования
результат работы генератора одноразовых паролей+

2. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
перехвата
воспроизведения+
атак на доступность+

3. В число основных понятий ролевого управления доступом входит:
роль+
исполнитель роли
пользователь роли

4. При использовании версии сервера аутентификации Kerberos, описанной в курсе:
шифрование не применяется-
применяется симметричное шифрование
применяется асимметричное шифрование

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде наследование: учитывается всегда
учитывается иногда
не учитывается+

1. В качестве аутентификатора в сетевой среде могут использоваться:
год рождения субъекта
фамилия субъекта
секретный криптографический ключ+

3. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
инкапсуляция
наследование+
полиморфизм

4. Сервер аутентификации Kerberos:
не защищает от атак на доступность+
частично защищает от атак на доступность
полностью защищает от атак на доступность

3. В число основных понятий ролевого управления доступом входит:
объект+
субъект
метод

5. При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:
интерфейсам объектов +
методам объектов (с учетом значений фактических параметров вызова) +
классам объектов

Основные программно-технические меры:

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
низкая пропускная способность большинства коммуникационных каналов +
сложность администрирования пользовательских компьютеров
отсутствие достаточного набора криптографических аппаратно-программных продуктов+

3. В число основных принципов архитектурной безопасности входят:
применение наиболее передовых технических решений
применение простых, апробированных решений+
сочетание простых и сложных защитных средств

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
выработка и проведение в жизнь единой политики безопасности+
унификация аппаратно-программных платформ
минимизация числа используемых приложений

3. В число основных принципов архитектурной безопасности входят:
следование признанным стандартам +
применение нестандартных решений, не известных злоумышленникам-
разнообразие защитных средств+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами: шифрование всей информации- разделение статических и динамических данных формирование составных сервисов по содержательному принципу+

3. В число основных принципов архитектурной безопасности входят:
усиление самого слабого звена+
укрепление наиболее вероятного объекта атаки
эшелонированность обороны+

5. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
использование собственных линий связи
обеспечение конфиденциальности и целостности при сетевых взаимодействиях+ п
олный анализ сетевого трафика

4. В число универсальных сервисов безопасности входят:
управление доступом+
управление информационными системами и их компонентами
управление носителями

Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
шифрование всей информации
разделение статических и динамических данных
формирование составных сервисов по содержательному принципу +

4. В число универсальных сервисов безопасности входят:
средства построения виртуальных локальных сетей
экранирование + протоколирование и аудит+

Процедурный уровень информационной безопасности

1. В число классов мер процедурного уровня входят:
поддержание работоспособности+
поддержание физической формы
физическая защита+

2. В число принципов управления персоналом входят:
минимизация привилегий+ минимизация зарплаты
максимизация зарплаты

3. В число этапов процесса планирования восстановительных работ входят:
выявление критически важных функций организации+
определение перечня возможных аварий+ проведение тестовых аварий

4. В число направлений физической защиты входят:
физическая защита пользователей-
защита поддерживающей инфраструктуры+
защита от перехвата данных+

5. В число направлений повседневной деятельности на процедурном уровне входят:
ситуационное управление
конфигурационное управление
оптимальное управление-

Управление рисками

1. Риск является функцией:
размера возможного ущерба +
числа уязвимостей в системе
уставного капитала организации

3. В число этапов управления рисками входят:
идентификация активов+
ликвидация пассивов
выбор анализируемых объектов+

4. Первый шаг в анализе угроз - это:
идентификация угроз+
аутентификация угроз
ликвидация угроз

5. Управление рисками включает в себя следующие виды деятельности:
определение ответственных за анализ рисков
измерение рисков выбор эффективных защитных средств

5. Управление рисками включает в себя следующие виды деятельности:
определение ответственных за анализ рисков-
измерение рисков +
выбор эффективных защитных средств+

6. Оценка рисков позволяет ответить на следующие вопросы:
чем рискует организация, используя информационную систему? +
чем рискуют пользователи информационной системы? +
чем рискуют системные администраторы?-

ТЕСТ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ»

1. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

a) меры обеспечения целостности;

b) административные меры;

c) меры обеспечения конфиденциальности.

2. Дублирование сообщений является угрозой:

a) доступности;

b) конфиденциальности;

c) целостности.

3. Вредоносное ПО Melissa подвергает атаке на доступность:

a) системы электронной коммерции;

b) геоинформационные системы;

c) системы электронной почты.

4. Выберите вредоносную программу, которая открыла новый этап в развитии данной области.

5. Самыми опасными источниками внутренних угроз являются:

a) некомпетентные руководители;

b) обиженные сотрудники;

c) любопытные администраторы.

6. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности.

a) просчеты при администрировании информационных систем;

b) необходимость постоянной модификации информационных систем;

c) сложность современных информационных систем.

7. Агрессивное потребление ресурсов является угрозой:

a) доступности

b) конфиденциальности

c) целостности

• 8. Программа Melissa - это:
  • а) бомба;

9. Для внедрения бомб чаще всего используются ошибки типа:

a) отсутствие проверок кодов возврата;

b) переполнение буфера;

c) нарушение целостности транзакций.

10. Окно опасности появляется, когда:

a) становится известно о средствах использования уязвимости;

b) появляется возможность использовать уязвимость;

c) устанавливается новое ПО.

11 .Среди ниже перечисленных отметьте две троянские программы:

b) Back Orifice;

12. Уголовный кодекс РФ не предусматривает наказания за:

a) создание, использование и распространение вредоносных программ;

b) ведение личной корреспонденции на производственной технической базе;

c) нарушение правил эксплуатации информационных систем.

13. Под определение средств защиты информации, данное в Законе «О государственной тайне», подпадают:

a) средства выявления злоумышленной активности;

b) средства обеспечения отказоустойчивости;

c) средства контроля эффективности защиты информации.

14. Уровень безопасности В согласно «Оранжевой книге» характеризуется:

15. В число классов требований доверия безопасности «Общих критериев» входят:

a) разработка;

b) оценка профиля защиты;

c) сертификация.

16. Согласно «Оранжевой книге» политика безопасности включает в себя следующие элементы:

a) периметр безопасности;

b) метки безопасности;

c) сертификаты безопасности.

a) управление квотами;

b) управление доступом;

c) экранирование.

18. Уровень безопасности А согласно «Оранжевой книге» характеризуется:

a) произвольным управлением доступом;

b) принудительным управлением доступом;

c) верифицируемой безопасностью.

a) сетевом уровне;

b) транспортном уровне;

c) прикладном уровне.

20. В число целей политики безопасности верхнего уровня входят:

a) решение сформировать или пересмотреть комплексную программу безопасности;

b) обеспечение базы для соблюдения законов и правил;

c) обеспечение конфиденциальности почтовых сообщений.

21. В число целей политики безопасности верхнего уровня входят:

a) управление рисками;

b) определение ответственных за информационные сервисы;

c) определение мер наказания за нарушения политики безопасности.

22. В рамках политики безопасности нижнего уровня осуществляются:

a) стратегическое планирование;

b) повседневное администрирование;

c) отслеживание слабых мест защиты.

23. Политика безопасности строится на основе:

a) общих представлений об ИС организации;

b) изучения политик родственных организаций;

c) анализа рисков.

24. В число целей политики безопасности верхнего уровня входят:

a) формулировка административных решений по важнейшим аспектам реализации программы безопасности;

b) выбор методов аутентификации пользователей;

c) обеспечение базы для соблюдения законов и правил.

25. Риск является функцией:

a) размера возможного ущерба;

b) числа пользователей информационной системы;

c) уставного капитала организации.

26. В число этапов управления рисками входят:

a) идентификация активов;

b) ликвидация пассивов;

c) выборобъектов оценки.

27. Первый шаг в анализе угроз - это:

a) идентификация угроз;

b) аутентификация угроз;

c) ликвидация угроз.

28. Управление рисками включает в себя следующие виды деятель ности:

a) определение ответственных за анализ рисков;

b) оценка рисков;

c) выбор эффективных защитных средств.

29. Оценка рисков позволяет ответить на следующие вопросы:

a) чем рискует организация, используя информационную систе му?

b) чем рискуют пользователи информационной системы?

c) чем рискуют системные администраторы?

30. В число классов мер процедурного уровня входят:

a) поддержание работоспособности;

b) поддержание физической формы;

c) физическая защита.

31. В число принципов управления персоналом входят:

a) минимизация привилегий;

b) минимизация зарплаты;

c) максимизация зарплаты.

32. В число этапов процесса планирования восстановительных ра бот входят:

a) выявление критически важных функций организации;

b) определение перечня возможных аварий;

c) проведение тестовых аварий.

33. В число направлений повседневной деятельности на процедур ном уровне входят:

a) ситуационное управление;

b) конфигурационное управление;

c) оптимальное управление.

34. Протоколирование и аудит могут использоваться для:

b) обнаружения нарушений;

c) восстановления режима И Б.

35. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) выработка и проведение в жизнь единой политики безопасности;

b) унификация аппаратно-программных платформ;

c) минимизация числа используемых приложений.

36. Экранирование может использоваться для:

a) предупреждения нарушений И Б;

b) обнаружения нарушений;

37. В число основных принципов архитектурной безопасности входят:

a) следование признанным стандартам;

b) применение нестандартных решений, не известных злоумышленникам;

c) разнообразие защитных средств.

38. В число основных принципов архитектурной безопасности входят:

a) усиление самого слабого звена;

b) укрепление наиболее вероятного объекта атаки;

c) эшелонированность обороны.

39. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) использование собственных линий связи;

b) обеспечение конфиденциальности и целостности при сетевых взаимодействиях;

c) полный анализ сетевого трафика.

40. В число универсальных сервисов безопасности входят:

a) управление доступом;

b) управление информационными системами и их компонентами;

c) управление носителями.

41. Контроль целостности может использоваться для:

a) предупреждения нарушений И Б;

b) обнаружения нарушений;

c) локализации последствий нарушений.

42. В число универсальных сервисов безопасности входят:

a) средства построения виртуальных локальных сетей;

b) экранирование;

c) протоколирование и аудит.

43. В качестве аутентификатора в сетевой среде могут использоваться:

a) кардиограмма субъекта;

b) номер карточки пенсионного страхования;

c) результат работы генератора одноразовых паролей.

44. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

a) перехвата;

b) воспроизведения;

c) атак на доступность.

45. В число основных понятий ролевого управления доступом входит:

b) исполнитель роли;

c) пользователь роли.

46. В качестве аутентификатора в сетевой среде могут использоваться:

a) год рождения субъекта;

b) фамилия субъекта;

c) секретный криптографический ключ.

47. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:

a) инкапсуляция;

b) наследование;

c) полиморфизм.

48. В число основных понятий ролевого управления доступом входит:

a) объект;

b) субъект;

49. Цифровой сертификат содержит:

a) открытый ключ пользователя;

b) секретный ключ пользователя;

c) имя пользователя.

50. Криптография необходима для реализации следующих сервисов безопасности:

a) идентификация;

b) экранирование;

c) аутентификация.

51. Криптография необходима для реализации следующих сервисов безопасности:

a) контроль конфиденциальности;

b) контроль целостности;

c) контроль доступа.

52. Экран выполняет функции:

a) разграничения доступа;

b) облегчения доступа;

c) усложнения доступа.

53. Демилитаризованная зона располагается:

a) перед внешним межсетевым экраном;

b) между межсетевыми экранами;

c) за внутренним межсетевым экраном.

54. Экранирование на сетевом и транспортном уровнях может обеспечить:

a) разграничение доступа по сетевым адресам;

b) выборочное выполнение команд прикладного протокола;

c) контроль объема данных, переданных по ТСР-соединению.

55. Системы анализа защищенности помогают предотвратить:

a) известные атаки;

b) новые виды атак;

c) нетипичное поведение пользователей.

56. Среднее время наработки на отказ:

a) пропорционально интенсивности отказов;

b) обратно пропорционально интенсивности отказов;

c) не зависит от интенсивности отказов.

57. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели 081:

a) сетевом;

b) сеансовом;

c) уровне представления.

58. Принцип усиления самого слабого звена можно переформулировать как:

a) принцип равнопрочности обороны;

b) принцип удаления слабого звена;

c) принцип выявления главного звена, ухватившись за которое, можно вытянуть всю цепь.

59. Политика безопасности:

a) фиксирует правила разграничения доступа;

b) отражает подход организации к защите своих информационных активов;

c) описывает способы защиты руководства организации.

60. При анализе стоимости защитных мер следует учитывать:

a) расходы на закупку оборудования

b) расходы на закупку программ

c) расходы на обучение персонала

Ответы к тесту

Комплекс тестовых заданий

по дисциплине специального цикла " Информационная безопасность"

для специальности СПО 080802 "Прикладная информатика (по отраслям"

Вариант

Выберите один вариант правильного ответа

1. Согласно Закону "Об информации, информатизации и защите информации" конфиденциальная информация это:

1. документированная информация, доступ к которой ограничивается в соответствии с Законодательством РФ

2. информация под грифом "секретно"

3. информация, составляющая коммерческую тайну

2. Уровень безопасности B, согласно "Оранжевой книге", характеризуется:
произвольным управлением доступом
принудительным управлением доступом
верифицируемой безопасностью

3 Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы :

1. периметр безопасности

2. сертификаты безопасности

3. метки безопасности

4 Политика безопасности строится на основе:

1. общих представлений об ИС организации

2. изучения политик родственных организаций

3. анализа рисков

5 Под определение средств защиты информации, данное в Законе "О государственной тайне", подпадают:

1. средства выявления злоумышленной активности

2. средства обеспечения отказоустойчивости

3. средства контроля эффективности защиты информации

6. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:

необходимость постоянной модификации информационных систем
сложность современных информационных систем

просчеты при администрировании информационных систем

1. разработка

2. оценка профиля защиты

3. сертификация

Установите соответствие

8. Установите соответствие между понятиями и их определениями

1.Конфиденци­альная информация
2.Служебная тайна
3. Профессиональная тайна
4 Коммерческая тайна

Выберите несколько вариантов ответа

9. К принципам построения системы защиты относятся:

1. Принцип системности

2. Принцип компетентности

3. Принцип разумной достаточности

4. Принцип неуправляемости

10 Какие два способа заражения среды обитания используют компьютерные вирусы?

1. Полурезидентный

2. Сетевой

3. Резидентный

4. Нерезидентный

Закончите фразу

11. Код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение называется ______

12. Возможность за приемлемое время получить требуемую информационную услугу -это _______________

13. Обеспечение уверенности в том, что участник процесса обмена информацией определен верно, -это ___________

14 Общие требования к АСЗИ включают следующие группы требований:

1. функциональные, к эффективности

2. технические и экономические требования

3. требования к документации

4. требования к стоимости

15. Какие два основных документа содержат совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации

2. Конвенция о защите информации Российской Федерации

3. Трактат о защите информации Российской Федерации

Вставьте необходимый термин

16 __________- устройства проверки качества функционирования модели безопасности для данной конкретной информационной системы;
17­­­­­­­­­­­­­­­­­__________- устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности

18 _________ - сохранение избыточных копий информационных ресурсов на случай их возможной утраты или повреждения;
19__________- создание альтернативных устройств, необходимых для функционирования информационной среды, предназначенных для случаев выхода из строя основных устройств;
20________- набор мероприятий, предназначенных для претворения в жизнь, в случае если события происходят или произошли не так, как было предопределено правилами информационной безопасности;
21______________ - подготовка активных участников

информационной среды для работы в условиях соответствия требованиям информационной безопасности.

Выберите один вариант ответа

22 Как называется модель криптографии, представленная на рисунке:

1. тайнопись.

2. криптография с открытым ключом.

3. потоковое шифрование.

4. криптография с «секретным» ключом.

5. криптография с закрытым ключом.

23. Как называется метод шифрования, являющийся частным случаем шифра простой замены и основанный на замене каждой буквы сообщения на другую букву того же алфавита, путем смещения от исходной буквы на K букв:

1. гаммирование.

2. шифр Гронсфельда.

3. шифр многоалфавитной замены.

4. полибианский квадрат.

5. шифр Цезаря.

24Как называется программно-аппаратный ко­мплекс, функции которого состоят в надежном хранении инфор­мации, предоставлении пользователю удобного интерфейса и вы­полнении специфических операций по преобразованию и поиску необходимой информации:

1. система управления базами данных.

2. электронная таблица.

3. информационная система.

4. экспертная система.

5. интеллектуальная система.

25.Как называется защищенность информации от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации:

1. владение.

2. атака на информацию.

3. тиражирование данных.

4. информационная безопасность.

5. защита.

26.Как называется гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена:

1. аутентичность.

2. апеллируемость.

3. конфиденциальность.

4. целостность.

5. надежность.

27. Как называется гарантия того, что информация сейчас суще­ствует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений:

1. аутентичность.

2. апеллируемость.

3. конфиденциальность.

4. целостность.

5. надежность.

28Как называется гарантия того, что источником информа­ции является именно то лицо, которое заявлено как ее ав­тор:

1. аутентичность.

2. апеллируемость.

3. конфиденциальность.

4. целостность.

5. надежность.

29. Как называется гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой:

1. аутентичность.

2. апеллируемость.

3. конфиденциальность.

4. целостность.

5. надежность.

30. Какую характеристику можно дать всем протоколамInternet:

1. открытые.

2. защищенные.

3. открытые, но защищенные.

4. открытые и доступные.

5. доступные.

2 ВАРИАНТ

Выберите один правильный ответ

1. Информация, составляющая государственную тайну не может иметь гриф…
«для служебного пользования»
«секретно»
«совершенно секретно»
2. Какое определение информации дано в Законе РФ "Об информации, информатизации и защите информации"?

1. Получение сведений из глобальной информационной сети

2. Систематизированные данные об экономике

3. сведения о лицах.предметах. явлениях, независимо от формы их представления

3. Как называют потен­циально возможное происшествие (преднамеренное или нет), которое может оказать нежелательное воздействие на саму компьютерную систему, а также на информацию, хранящуюся в ней:

1. фальсифика­ция сообщения.

4. Как называют неудач­ную характеристику компьютерной системы, которая делает возможным возникновение угрозы:

1. устойчивость к умышленным сбоям.

2. хи­щение или раскрытие информации.

3. угроза безопасности компьютерной системы.

4. уязвимость компьютерной системы.

5. атака на компьютерную систему.

5. Как называют действие, предпри­нимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости компьютерной системы:

1. удаленная атака.

2. хи­щение или раскрытие информации.

3. угроза безопасности компьютерной системы.

4. уязвимость компьютерной системы.

5. атака на компьютерную систему.

6 Как называют информационное разрушающее воз­действие на распределенную вычислительную систему, программно осуществляемое по каналам связи:

1. удаленная атака.

2. хи­щение или раскрытие информации.

3. угроза безопасности компьютерной системы.

4. уязвимость компьютерной системы.

5. атака на компьютерную систему.

Выберите несколько вариантов правильного ответа

7. В число классов требований доверия безопасности "Общих критериев" входят:

1. разработка

2. сертификация

3. оценка профиля защиты

Выберите один вариант ответа

8. Какая схема представлена на рисунке:

1. транспортного кодирования.

2. блочного шифра.

3. кодирование пароля.

4. симметричной криптосистемы.

5. генерация случайной последовательности

9 Как называется в криптографии алгоритм, основанный на том, что символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены:

1. гаммирование.

2. алгоритм замены (подстановки).

3. аналитическое преобразование.

4. алгоритм перестановки.

5. алгоритм хэширования.

Выберите несколько вариантов правильного ответа

10 Общие требования к АСЗИ включают следующие группы требований:

1. технические и экономические требования

2. требования к документации

3. требования к стоимости

4. функциональные, к эффективности

11 Какие два основных документа содержат совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации

2. Трактат о защите информации Российской Федерации

3. Конвенция о защите информации Российской Федерации

4. Концепция национальной безопасности Российской Федерации

Установите соответствие

12 Установите соответствие между понятиями и их определениями

1. Профессиональная тайна	А. охраняемые законом конфиденци­альные сведения, доверенные или ставшие известными лицу исключи­тельно в силу исполнения им своих профессиональных обязанностей
2.Служебная тайна	Б. доверительная, не подлежащая огласке информа­ция, доступ к которой ограничивается в соответствии с законодательст­вом
3. Конфиденци­альная информация	В.охраняемая законом конфиденциальная ин­формация о деятельности государственных органов, доступ к которой ог­раничен федеральным законом или в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании и в силу исполнения их представителями служебных обязанностей, имеющая действительную или потенциальную ценность в силу неизвестности ее третьим лицам
4 Коммерческая тайна	Д. охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, фи­нансовой деятельности организации, имеющие действительную или по­тенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании

Вставьте необходимый термин

объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность , простота и удобство использования .

Теоретической основой решения проблемы архитектурной безопасности является следующее фундаментальное утверждение, которое мы уже приводили, рассматривая интерпретацию "Оранжевой книги" для сетевых конфигураций.

"Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее пусть каждый компонент содержит свой монитор обращений , отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации."

Обратим внимание на три принципа, содержащиеся в приведенном утверждении:

• необходимость выработки и проведения в жизнь единой политики безопасности;
• необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях;
• необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).

Если какой-либо (составной) сервис не обладает полным набором защитных средств (состав полного набора описан выше), необходимо привлечение дополнительных сервисов, которые мы будем называть экранирующими. Экранирующие сервисы устанавливаются на путях доступа к недостаточно защищенным элементам; в принципе, один такой сервис может экранировать (защищать) сколь угодно большое число элементов.

С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности :

• непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
• следование признанным стандартам, использование апробированных решений;
• иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
• усиление самого слабого звена ;
• невозможность перехода в небезопасное состояние ;
• минимизация привилегий;
• разделение обязанностей;
• эшелонированность обороны ;
• разнообразие защитных средств;
• простота и управляемость информационной системы.

Поясним смысл перечисленных принципов.

Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Определенные выше экранирующие сервисы должны исключить подобную возможность.

Следование признанным стандартам и использование апробированных решений повышает надежность ИС и уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.

Иерархическая организация ИС с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. При нарушении данного принципа система станет неуправляемой и, следовательно, обеспечить ее безопасность будет невозможно.

Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не компьютер или программа , а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.)

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ . Образно говоря, если в крепости механизм подъемного моста ломается, мост оставляют поднятым, препятствуя проходу неприятеля.

Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Этот принцип позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. В частности, соблюдение данного принципа особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит . Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а благодаря наличию такого рубежа, как протоколирование и аудит , его действия не останутся незамеченными. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность . Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование . В этой связи важно отметить интегрирующую роль