Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Критерии безопасности компьютерных систем «Оранжевая книга».
Руководящие документы Гостехкомиссии
277
2. В стандарте США «Оранжевой книге» фундаментальное тре-
бование, которое относится к группе Стратегия:
1. управляющие доступом метки должны быть связаны с объек- тами;
2. контрольная информация должна храниться отдельно и за- щищаться так, чтобы со стороны ответственной за это группы име- лась возможность отслеживать действия, влияющие на безопасность;
3. индивидуальные субъекты должны идентифицироваться;
4. вычислительная система в своем составе должна иметь аппа- ратные/программные механизмы, допускающие независимую оценку на предмет того, что система обеспечивает выполнение из- ложенных требований;
5. гарантированно защищенные механизмы, реализующие пе- речисленные требования, должны быть постоянно защищены от
«взламывания» и/или несанкционированного внесения изменений.
3. В стандарте США «Оранжевой книге» фундаментальное тре-
бование, которое относится к группе Подотчетность:
1. управляющие доступом метки должны быть связаны с объек- тами;
2. необходимо иметь явную и хорошо определенную систему обеспечения безопасности;
3. индивидуальные субъекты должны идентифицироваться;
4. вычислительная система в своем составе должна иметь аппа- ратные/программные механизмы, допускающие независимую оценку на предмет того, что система обеспечивает выполнение из- ложенных требований;
5. гарантированно защищенные механизмы, реализующие пе- речисленные требования, должны быть постоянно защищены от
«взламывания» и/или несанкционированного внесения изменений.
4. В стандарте США «Оранжевой книге» фундаментальное тре-
бование, которое относится к группе Подотчетность:
1. управляющие доступом метки должны быть связаны с объек- тами;
2. необходимо иметь явную и хорошо определенную систему обеспечения безопасности;
3. гарантированно защищенные механизмы, реализующие пе- речисленные требования, должны быть постоянно защищены от
«взламывания» и/или несанкционированного внесения изменений;

Основы информационная безопасность
278 4. вычислительная система в своем составе должна иметь аппа- ратные/программные механизмы, допускающие независимую оценку на предмет того, что система обеспечивает выполнение из- ложенных требований;
5. контрольная информация должна храниться отдельно и за- щищаться так, чтобы со стороны ответственной за это группы име- лась возможность отслеживать действия, влияющие на безопасность.
5. В стандарте США «Оранжевой книге» фундаментальное тре-
бование, которое относится к группе Гарантии:
1. управляющие доступом метки должны быть связаны с объек- тами;
2. необходимо иметь явную и хорошо определенную систему обеспечения безопасности;
3. индивидуальные субъекты должны идентифицироваться;
4. вычислительная система в своем составе должна иметь аппа- ратные/программные механизмы, допускающие независимую оценку на предмет того, что система обеспечивает выполнение из- ложенных требований;
5. контрольная информация должна храниться отдельно и за- щищаться так, чтобы со стороны ответственной за это группы име- лась возможность отслеживать действия, влияющие на безопасность.
6. В стандарте США «Оранжевой книге» фундаментальное тре-
бование, которое относится к группе Гарантии:
1. управляющие доступом метки должны быть связаны с объектами;
2. защищенные механизмы, реализующие перечисленные тре- бования, должны быть постоянно защищены от «взламывания» и/или несанкционированного внесения изменений;
3. индивидуальные субъекты должны идентифицироваться;
4. необходимо иметь явную и хорошо определенную систему обеспечения безопасности;
5. контрольная информация должна храниться отдельно и за- щищаться так, чтобы со стороны ответственной за это группы име- лась возможность отслеживать действия, влияющие на безопасность.
7. В стандарте США «Оранжевой книге» минимальная защита –
это группа:
1. A;
2. B;
3. C;
4. D;
5. E.

Критерии безопасности компьютерных систем «Оранжевая книга».
Руководящие документы Гостехкомиссии
279
8. В стандарте США «Оранжевой книге» индивидуальная защи-
та – это группа:
1. A;
2. B;
3. C;
4. D;
5. E.
9. В стандарте США «Оранжевой книге» мандатная защита –
это группа:
1. A;
2. B;
3. C;
4. D;
5. E.
10. В стандарте США «Оранжевой книге» верифицированная за-
щита – это группа:
1. A;
2. B;
3. C;
4. D;
5. E.
11. В стандарте США «Оранжевой книге» системы, подвергну-
тые оцениванию, но не отвечающие требованиям более высоких
классов, – это группа:
1. A;
2. B;
3. C;
4. D;
5. E.
12. В стандарте США «Оранжевой книге» системы, обеспечи-
вающие разделение пользователей и данных, – это группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.

Основы информационная безопасность
280
13. В стандарте США «Оранжевой книге» системы, осуществ-
ляющие не только разделение пользователей, но и разделение их по
осуществляемым действиям, – это группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.
14. В стандарте США «Оранжевой книге» системы, дополни-
тельно должны быть формальные модели механизмов обеспечения
безопасности, присваивания имен защищаемым данным и средства
мандатного управления доступом ко всем поименованным субъек-
там и объектам, группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.
15. В стандарте США «Оранжевой книге» системы, дополни-
тельно должны быть формальные модели механизмов обеспечения
безопасности, присваивания имен защищаемым данным и средства
мандатного управления доступом ко всем поименованным субъек-
там и объектам, – это группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.
16. В стандарте США «Оранжевой книге» системы, построенные
на основе ясно определенной формально задокументированной мо-
дели, с мандатным управлением доступом ко всем субъектам и объ-
ектам, располагающие усиленными средствами тестирования и
средствами управления со стороны администратора системы, –
это группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.

Критерии безопасности компьютерных систем «Оранжевая книга».
Руководящие документы Гостехкомиссии
281
17. В стандарте США «Оранжевой книге» системы, монитор об-
ращений которых контролирует все запросы на доступ субъектов
к объектам, не допускающие несанкционированных изменений, –
это группа:
1. A1;
2. B1;
3. B2;
4. B3;
5. C1.
18. В стандарте США «Оранжевой книге» управление системой
осуществляется по строго определенным процедурам, обязательно
введение должности администратора безопасности, – это группа:
1. A1;
2. B1;
3. B2;
4. C1;
5. C2.
19. В руководящем документе Гостехкомиссии системы, в кото-
рых работает один пользователь, допущенный ко всей обрабаты-
ваемой информации, размещенной на носителях одного уровня
конфиденциальности, – относятся к группе:
1. первой;
2. второй;
3. третьей;
4. четвертой;
5. пятой.
20. В руководящем документе Гостехкомиссии системы, в кото-
рых работает несколько пользователей, которые имеют одинако-
вые права доступа ко всей информации, обрабатываемой и/или
хранимой на носителях различного уровня конфиденциальности, –
относятся к группе:
1. первой;
2. второй;
3. третьей;
4. четвертой;
5. пятой.

Основы информационная безопасность
282
21. В руководящем документе Гостехкомиссии многопользова-
тельские системы, в которых одновременно обрабатывается и/или
хранится информация разных уровней конфиденциальности, при-
чем различные пользователи имеют различные права на доступ к
информации, – относятся к группе:
1. первой;
2. второй;
3. третьей;
4. четвертой;
5. пятой.
Для итогового контроля необходимо проведение:
 коллоквиумов для закрепления знаний, полученных из лекци- онного материала;
 аудиторных практических заданий;
 написание эссе;
 зачета и экзамена (как семестровый и итоговый контроль зна- ний по окончанию изучения всей дисциплины).

Информационная информация
283
Глоссарий
Алгоритмический
контроль
–
заключается в том, что задача, решенная по какому-либо алгоритму, проверяется по- вторно по сокращенному алгоритму с доста- точной степенью точности.
Атака
–
действие, предпринимаемое нарушителем в поиске и использовании той или иной уяз- вимости. Угрозы могу быть разделены на угрозы не зависящие от деятельности чело- века, и искусственные угрозы, связанные с деятельностью человека.
Аутентификация –установление подлинности, заключается в проверке, является ли проверяемый объект
(субъект) в самом деле тем, за кого себя выдает.
Биометрические
технологии
–
идентификация человека по уникальным, присущим только ему биологическим при- знакам.
Владелец
информации
–
субъект, осуществляющий владение и поль- зование информацией и реализующий пол- номочия распоряжения в пределах прав, установленных законом и/или собственни- ком информации.
Владелец
сертификата
ключа подписи
–
физическое лицо, на имя которого удосто- веряющим центром выдан сертификат клю- ча подписи и которое владеет соответст- вующим закрытым ключом электронной цифровой подписи, позволяющим с помо- щью средств электронной цифровой подпи- си создавать свою электронную цифровую подпись в электронных документах (подпи- сывать электронные документы).
Вредоносные
программы
–
программы, к которым относятся: классиче- ские файловые вирусы, сетевые черви, тро- янские программы, спам, хакерские утилиты и прочие программы, наносящие заведомый

Основы информационная безопасность
284 вред компьютеру, на котором они запуска- ются на выполнение, или другим компьюте- рам в сети.
Дешифровывание
–
процесс, при котором из шифротекста извлека- ется открытый текст.
Доступ к
информации
–
получение субъектом возможности ознаком- ления с информацией, в том числе при по- мощи технических средств.
Естественные
угрозы
–
угрозы, вызванные воздействиями на АСОИ и ее элементы объективных физических процессов или стихийных природных явле- ний, не зависящих от человека.
Закрытый ключ
электронной
цифровой подписи
–
уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной циф- ровой подписи с использованием средств электронной цифровой подписи.
Защита
информации
–
деятельность по предотвращению утечки защищаемой информации, несанкциониро- ванных и непреднамеренных воздействий на защищаемую информацию.
Защита
информации от
агентурной
разведки
–
деятельность по предотвращению получения защищаемой информации агентурной раз- ведкой.
Защита
информации от
иностранной
технической
разведки
–
деятельность по предотвращению получе- ния защищаемой информации иностран- ной разведкой с помощью технических средств.
Защита
информации от
аварийных
ситуаций
–
создание средств предупреждения, контроля и организационных мер по исключению
НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, сис-

Глоссарий
285
тем жизнеобеспечения людей на объекте размещения и при возникновении стихий- ных бедствий.
Защита
информации от
иностранной
разведки
–
деятельность по предотвращению получе- ния защищаемой информации иностран- ной разведкой.
Защита
информации от
непреднамеренного
воздействия
–
деятельность по предотвращению воздействия на защищаемую информацию ошибок поль- зователя информацией, сбоя технических и программных средств информационных сис- тем, а также природных явлений или иных нецеленаправленных на изменение инфор- мации воздействий, связанных с функциони- рованием технических средств, систем или с деятельностью людей, приводящих к искаже- нию, уничтожению, копированию, блокиро- ванию доступа к информации, а также к утра- те, уничтожению или сбою функционирова- ния носителя информации.
Защита
информации от
несанкционированно
го воздействия
–
деятельность по предотвращению воздейст- вия на защищаемую информацию с нару- шением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита
информации от
несанкционированно
го доступа
–
деятельность по предотвращению получе- ния защищаемой информации заинтересо- ванным субъектом с нарушением установ- ленных правовыми документами или собст- венником, владельцем информации прав или правил доступа к защищаемой инфор- мации. Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут выступать: государство, юридическое лицо,

Основы информационная безопасность
286 группа физических лиц, в том числе обще- ственная организация, отдельное физиче- ское лицо.
Защита
информации от
разглашения
–
деятельность по предотвращению несанк- ционированного доведения защищаемой информации до неконтролируемого коли- чества получателей информации.
Защита
информации от
утечки
–
деятельность по предотвращению неконтро- лируемого распространения защищаемой информации от ее разглашения, несанкцио- нированного доступа к защищаемой инфор- мации и от получения защищаемой инфор- мации [иностранными] разведками.
Защищаемая
информация
–
информация, являющаяся предметом собст- венности и подлежащая защите в соответст- вии с требованиями правовых документов или требованиями, устанавливаемыми соб- ственником информации. Собственниками информации могут быть – государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Злоумышленник
–
нарушитель, намеренно идущий на нару- шение из корыстных побуждений.
Идентификация
–
присвоение какому-либо объекту или субъ- екту уникального образа, имени или числа.
Интернет
–
объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
Информационная
безопасность РФ
–
состояние защищенности ее национальных интересов в информационной сфере, опре- деляющихся совокупностью сбалансирован- ных интересов личности, общества и госу- дарства.
Информационная
система
–
совокупность документов и массивов доку- ментов и информационных технологий.

Глоссарий
287
Информационная
система общего
пользования
–
информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Информационные
процессы
–
процессы сбора, накопления, обработки хранения, распределения и поиска инфор- мации.
Информационные
ресурсы
–
документы или массив документов, сущест- вующие отдельно или в составе информаци- онной системы.