Ошибка это нарушение работоспособности элемента системы - Решение и исправление самых разных ошибок на TopOshibok.ru

1.2. Угрозы безопасности информации

Угроза информации – это возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, логической структуры, несанкционированная модификация информации, несанкционированное получение и размножения информации.

Системная классификация угроз информации представлена в табл. 1.

Таблица 1

Системная классификация угроз информации

Случайная угроза – это угроза, обусловленная спонтанными и независящими от воли людей обстоятельствами, возникающими в системах обработки данных, принятия решений, ее функционирования и т. д.

Отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.

Сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.

Ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния.

Побочное влияние – негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

Количественная недостаточность – физическая нехватка одного или несколько элементов системы, вызывающая нарушения технологического процесса функционирования системы.

Качественная недостаточность – несовершенство конструкции (организации) элементов системы, вследствие чего могут появляться возможности случайного или преднамеренного негативного воздействия на информационные ресурсы.

Деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами. К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и доброжелателей) и техническая, включающая радиоразведку (перехват радиосредствами информации, циркулирующей в радиоканалах систем связи), радиотехническую (регистрацию спецсредствами сигналов, излучаемых техническими системами) и космическую (использование космических кораблей и искусственных спутников для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и т. д.).

Промышленный шпионаж – негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальных выгод.

Злоумышленные действия уголовных элементов – хищение информационных ресурсов в целях наживы или их разрушения в интересах конкурентов.

Злоумышленные действия недобросовестных сотрудников – хищение или уничтожение информационных ресурсов по эгоистическим или корыстным мотивам.

При обработке информации средствами ЭВТ (электронно-вычислительной техники) возникают угрозы прямого несанкционированного доступа к информации (НСД), так и косвенного с использованием технических средств разведки. Для ЭВТ существует пять угроз:

1. Хищение носителей информации.

2. Запоминание или копирование информации.

3. Несанкционированное подключение к аппаратуре.

4. НСД к ресурсам ЭВТ.

5. Перехват побочных излучений и наводок.

Существует три типа средств получения информации: человек, аппаратура, программа. Угрозы со стороны человека – хищение носителей, чтение информации с экрана, чтение информации с распечаток. Угрозы, реализованные аппаратными средствами, – подключение к устройствам и перехват излучений. Угрозы, обусловленные программным обеспечением, – несанкционированный программный доступ, программное дешифрование зашифрованных данных, программное копирование информации с носителей, уничтожение (искажение) или регистрация защищаемой информации с помощью программных закладок, чтение остаточной информации из оперативного запоминающего устройства (ОЗУ).

Также угрозы могут классифицироваться по их источнику:

1. Природные (стихийные бедствия, магнитные бури, радиоактивное излучение и наводки).

2. Технические (отключение или изменение характеристик электропитания, отказ и сбои аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи).

3. Субъективные (преднамеренные и непреднамеренные). Угрозу для ЭВТ представляют специальные программы, скрытно и преднамеренно внедряемые в различные функциональные программные системы и которые после одного или нескольких запусков разрушают хранящуюся в них информацию. Это программы: электронные вирусы, троянские кони, компьютерные черви.

Электронные вирусы – вредоносные программы, которые не только осуществляют несанкционированные действия, но обладают способностью к саморазмножению. Для размножения вирусов необходим носитель – файл, диск.

Троянские кони – вредоносные программы, которые злоумышленно вводятся в состав программного обеспечения и в процессе обработки информации осуществляют несанкционированные процедуры.

Компьютерные черви – вредоносные программы, подобные по своему воздействию электронным вирусам, но не требующие для своего размножения специального носителя.

Статья 272 уголовного кодекса Российской Федерации (УК РФ) предусматривает ответственность за деяния, сопряженные с неправомерным доступом к компьютерной информации, повлекшим за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Статьей 273 УК РФ предусматривается ответственность за создание, использование или распространение программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к последствиям, описанным в статье 272 УК РФ. Такие последствия как уничтожение, блокирование, модификация либо копирование информации, нарушающие работу ЭВМ, системы ЭВМ или их сети в исследованиях по информационной безопасности, рассматриваются, как угрозы системе защиты информации и «расшифровываются» при помощи трех свойств защищаемой информации: конфиденциальности (неизвестности третьим лицам), целостности и доступности.

С точки зрения информационной безопасности указанные действия считаются угрозой информационной безопасности только в том случае, если они производятся неавторизованным лицом, т. е. человеком, не имеющим права на их осуществление. Подобные действия считаются несанкционированными, только если доступ к данным во внутренней или внешней компьютерной памяти ограничен при помощи организационных, технических или программных мер и средств защиты.

В противном случае в качестве злоумышленников фигурировали бы все системные администраторы, настраивающие системы, и авторизованные пользователи, которые могут ошибиться или просто быть слишком любопытными.

«Взлом» компьютерной программы направлен на обход или преодоление встроенных в нее средств защиты авторских прав с целью бесплатного пользования «взломанной» программой. В принципе, это деяние является уголовно-наказуемым по статье 146 УК РФ, если ущерб от него превысит 50 000 рублей. Однако большинство «взламываемых» программ не превышает по стоимости 3000–6000 рублей, что делает «взломщиков» недосягаемыми для уголовного преследования. Для того, чтобы решить эту проблему, сотрудники управления «К» МВД РФ используют следующую логическую цепь:

1. Программа для ЭВМ, записанная на машинный носитель, является компьютерной информацией, следовательно, доступ к программе на машинном носителе подпадает под определение доступа к «информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети».

2. В результате запуска программы происходит ее воспроизведение, т. е. копирование информации, а при внесении изменений в двоичный код программы происходит модификация информации.

3. Поскольку программа для ЭВМ является объектом авторского права, то исключительные права на ее воспроизведение и модификацию принадлежат автору.

4. Без разрешения автора воспроизведение и модификация программы являются неправомерными.

5. Следовательно, при воспроизведении и модификации программы для ЭВМ без санкции на это ее автора происходит неправомерный доступ к компьютерной информации, влекущий за собой модификацию и копирование информации.

Данный текст является ознакомительным фрагментом.

Читайте также

Общий обзор средств безопасности: дескриптор безопасности

Общий обзор средств безопасности: дескриптор безопасности
Анализ дескриптора безопасности предоставляет хорошую возможность для общего ознакомления с наиболее важными элементами системы безопасности Windows. В этом разделе речь будет идти о самых различных элементах

Совет 66: Угрозы для всех систем

Совет 66: Угрозы для всех систем
Бытует мнение, что вредоносные программы пишутся лишь под Windows, другие же платформы от этой напасти избавлены. Это верно лишь для тех операционных систем, которые, как неуловимый Джо из известного анекдота, никому не нужны. Linux и Mac OS уже давно

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

5.2. Место информационной безопасности экономических систем в национальной безопасности страны
В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,

Центр обеспечения безопасности и компоненты безопасности

Центр обеспечения безопасности и компоненты безопасности
В обеспечении безопасности компьютера участвуют специализированные службы и программы. Важнейшие из них находятся под контролем Центра обеспечения безопасности. Этот компонент Windows отслеживает стабильность

6.1. Угрозы, подстерегающие пользователя

6.1. Угрозы, подстерегающие пользователя
Спрашивается, кому нужен самый обычный домашний пользователь и его сеть? Некоторые пользователи, наивно полагая «да кому я нужен?», попросту пренебрегают самыми основными правилами информационной безопасности.Итак, что же угрожает

1.2. Понятие информации. Общая характеристика процессов сбора, передачи, обработки и накопления информации

1.2. Понятие информации. Общая характеристика процессов сбора, передачи, обработки и накопления информации
Вся жизнь человека так или иначе связана с накоплением и обработкой информации, которую он получает из окружающего мира, используя пять органов чувств – зрение,

Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Omert@. Руководство по компьютерной безопасности и защите информации для Больших

Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил

Кафедра Ваннаха: Угрозы и технологии

Ваннах Михаил

Опубликовано 02 ноября 2010 года
23 октября 2010 года в Соединенных Штатах произошло очень интересное событие. Оно не сопровождалось роскошными визуальными эффектами, вроде тех, которые наблюдались при

Угрозы требуют действий

Угрозы требуют действий
Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа 2002 года, в котором говорится, что войска США в Афганистане в январе того же года захватили

Анализ поправок, принятых Госдумой, к закону «Об информации, информационных технологиях и о защите информации» Сергей Голубицкий

Анализ поправок, принятых Госдумой, к закону «Об информации, информационных технологиях и о защите информации»

Сергей Голубицкий

Опубликовано 26 июня 2013
21 июня Государственная Дума РФ приняла сразу во втором и третьем чтении Федеральный Закон «О

Характер угрозы

Характер угрозы
История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты – случаются каждый день . Возможно, прямо

Угрозы реальные и мнимые

Угрозы реальные и мнимые
Автор: Киви БердСамым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил

Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов

Угрозы, с которыми столкнутся приставки следующего поколения

Михаил Карпов

Опубликовано 04 февраля 2013
В конце февраля, похоже, Sony планирует объявить PlayStation 4. Несмотря на то что совсем недавно руководство Sony говорило о том, что спешить с анонсом

Компьютеризованные истории болезни: угрозы

Компьютеризованные истории болезни: угрозы
Врачи не строят оптимистичных иллюзий относительно угроз, которые возникают в связи с компьютеризацией историй болезни. Согласно проведенному в 1993 году Harris-Equifax опросу, 74 % врачей считают, что компьютерные системы «почти

Другие угрозы

Другие угрозы
Компьютеризация подвергает приватность и другим рискам, которые только сейчас становятся очевидными. Вспомним услугу по расшифровке диктофонных записей в Индии. Что, если служащий индийской фирмы узнает имя пациента, чью запись он расшифровывает и решит

•перехват данных, непосредственно передаваемых по каналам связи;

• дистанционная фото– и видеосьемка.

4.2. Угрозы, источник которых расположен в пределах контролируемой зоны, территории (помещения), на которой находится КС.

Например:

•хищение производственных отходов (распечаток, записей списанных носителей информации и т.п.);

•отключение или вывод из строя подсистем обеспечения функционирования компьютерных систем (электропитания, линий связи, систем охлаждения и вентиляции и т.п.);

•применение подслушивающих устройств.

4.3.Угрозы, источник которых имеет доступ к периферийным устройства КС (терминалам).

4.4. Угрозы, источник которых непосредственно расположен в КС и связан либо с некорректным использованием ресурсов КС, либо с количественной или качественной недостаточностью этих ресурсов, которая была изначально заложена на стадии проектирования компьютерной системы.

5. По степени активности КС.

5.1.Угрозы, проявляемые независимо от активности КС, например, хищение носителей информации (магнитных дисков, лент, микросхем памяти и др.).

5.2.Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных, например, угрозы распространения программных вирусов.

6. По степени воздействия на КС.

•Пассивные угрозы, которые ничего не меняют в структуре и функциональной организации КС, например, угроза копирования данных.

•Активные угрозы, при реализации которых вносятся изменения в структурную и функциональную организацию КС, например, угроза внедрения аппаратных и программных спецвложений.

7. По этапам доступа пользователей или программ к ресурсам КС.

•Угрозы, которые могут проявляться на этапе доступа к ресурсам КС.

•Угрозы, которые после разрешения доступа реализуются в результате несанкционированного или некорректного использования ресурсов КС.

8. По способу доступа к ресурсам КС.

• Угрозы, использующие прямой стандартный путь доступа к ресурсам КС с помощью незаконно полученных паролей или путем несанкционированного использования терминалов законных пользователей.

•Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

9. По текущему месту расположения информации, хранящейся и обрабатываемой в КС.

•Угроза доступа к информации на внешних запоминающих устройсвах (например, путем копирования данных с жесткого диска).

•Угроза доступа к информации в основной памяти (например, путем несанкционированного обращения к памяти).

•Угроза доступа к информации, циркулирующей в линиях связи (например, путем незаконного подключения).

• Угроза доступа к информации, отображаемой на терминале или печатающем принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).

Рассмотренные угрозы безопасности компьютерных систем обычно анализируются системно и комплексно с точки зрения вероятностей возникновения, а также с учетом тех последствий, к которым приводит их реализация.

3.1. Случайные угрозы информационной безопасности

Данные угрозы не связаны с преднамеренными действиями злоумышленников и реализуются в зависимости от случайных факторов в случайные моменты времени. При этом могут происходить уничтожение, модификация, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, хотя при этом создаются предпосылки для преднамеренного воздействия на информацию.

Механизм реализации случайных угроз в целом достаточно хорошо изучен, тем не менее, реальные последствия таких угроз являются в настоящее время весьма существенными. Так, по статистическим данным, до 80% ущерба, наносимого информационным ресурсам КС любыми угрозами, причиняется реализацией именно случайных угроз.

К случайным обычно относят следующие угрозы:

•сбои и отказы в работе технических средств;

•ошибки при разработке КС, в том числе алгоритмические и программные ошибки;

•ошибки обслуживающего персонала и пользователей;

•стихийные бедствия и аварии.

Сущность сбоев и отказов, возникающих в процессе эксплуатации технических средств, сводится к следующему:

Сбой – это временное нарушение работоспособности какого–либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

Отказ – это необратимое нарушение работоспособности какого–либо элемента системы, приводящее к невозможности выполнения им своих функций.

Для сложных компьютерных систем случайные сбои и отказы практически неизбежны. Их возникновение может быть вызвано не только внутренними технологическими причинами, но и побочным влиянием окружающей среды (ее температуры, влажности, радиоактивного фона и д.р.), а также случайными помехами и наводками, которые появляются в работающей компьютерной системе.

В результате сбоев или отказов нарушается необходимая работоспособность технических средств, что может привести к уничтожению или искажению данных, хранящихся и обрабатываемых в системе. Если это случается на программном уровне, то из-за изменения алгоритма работы отдельных устройств может произойти нарушение конфиденциальности информации в результате несанкционированной ее выдачи на запрещенные устройства (каналы связи, мониторы, печатающие устройства и т.п.).

Для компьютерных систем существует также случайная угроза, связанная с ошибками, допущенными при разработке технических и программных средств. Эти ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для негативного

воздействия на ресурсы компьютерной системы. Особую опасность представляют ошибки в операционных системах и в программных средствах защиты информации. На общее количество схемных, системотехнических, структурных, алгоритмических и программных ошибок влияют многие другие факторы: квалификация разработчиков системы, условия их работы, наличие опыта и др.

Определенную угрозу для информационной безопасности компьютерных систем представляют также ошибки обслуживающего персонала и пользователей. Согласно данным Национального Института Стандартов и Технологий США (NIST) до 65% случаев нарушения безопасности информации происходят именно из-за этих причин. Некомпетентное, небрежное или невнимательное выполнение сотрудниками своих функциональных обязанностей приводит к уничтожению, нарушению целостности, конфиденциальности информации, а также компрометации механизмов защиты.

К ошибочным действиям человека, обслуживающего компьютерную систему или являющегося ее пользователем, приводят также естественные для него особенности: утомляемость, эмоциональность, чувствительность к изменениям состояния окружающей среды и др.Трудно предсказуемыми источниками угроз информации являются стихийные бедствия и аварии, которые могут возникнуть на объекте размещения компьютерной системы. Пожар, наводнение, землетрясение, удар молнии, выход из строя электропитания и т.д. чреваты для компьютерной системы наиболее разрушительными последствиями.

3.2. Преднамеренные угрозы информационной безопасности

Преднамеренное происхождение таких угроз обуславливается злоумышленными воздействиями на компьютерную систему людей. Мотивациями для этого могут стать сугубо материальный интерес, желание навредить, простое развлечение с самоутверждением своих способностей и др.

Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к компьютерной системе.

Злоумышленником может быть:

•разработчик КС;

•сотрудник из числа обслуживающего персонала;

•пользователь;

•постороннее лицо.

Разработчик владеет наиболее полной информацией об аппаратных и программных средствах КС и имеет возможность внедрения «закладок» на этапах создания и модернизации систем. Однако он, как правило, не получает непосредственного доступа на эксплуатируемые объекты КС.

Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающие эти системы. При отсутствии на рабочем месте законного пользователя или при его халатном отношении к своим должностным обязанностям квалифицированный нарушитель может получить несанкционированный доступ к информации, а также ввести вредоносную программу, модифицировать данные, алгоритмы и т.д. При достаточно свободном доступе в помещение, где размещены средства КС, он может визуально наблюдать информацию на средствах отображения и документирования, похитить носители с информацией (дискеты, ленты, листинги и д.р.), либо снять с них копию.

Специалисты, обслуживающие КС, обладают различными потенциальными возможностями для злоумышленных действий. Наибольший вред могут нанести сотрудники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.

Достаточно опасна ситуация, когда нарушителем является пользователь компьютерной системы, который по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией осуществляет хищение (копирование) или уничтожение информационных массивов и (или) программ.

Посторонние лица, не имеющие отношения к КС, находятся, по сравнению в другими злоумышленниками, в наименее выгодном положении. Если предположить, что они не имеют доступа к объектам КС, то в их распоряжении имеются только дистанционные средства традиционного шпионажа и возможности диверсионной деятельности.

Говоря об угрозах преднамеренного характера в целом, нужно отметить, что в настоящее время они изучены еще недостаточно и постоянно пополняются новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по следующим группам:

•традиционных — шпионаж и диверсии;

•несанкционированный доступ к информации;

•электромагнитные излучения и наводки;

•модификация структур КС;

•вредительские программы.

Вусловиях применения компьютерных систем, по-прежнему, останутся действенными средства традиционного шпионажа и диверсий. Чаще всего они используются для получения сведений о системе защиты, а также для хищения и уничтожения информационных ресурсов.

Для этой цели применяются:

•подкуп, шантаж и вербовка сотрудников;

•подслушивание ведущихся переговоров;

•дистанционный видеоконтроль помещений;

•хищение атрибутов системы защиты;

•сбор и анализ отходов машинных носителей информации.

Нельзя также исключить возможность осуществления различных диверсий (взрывы, поджоги) или угрозу вооруженного нападения террористических групп.

Опыт применения компьютерных систем показал, что в них, помимо традиционного шпионажа, существует много других возможных направлений утечки информации и путей несанкционированного доступа к ней.

Несанкционированный доступ к информации (НСДИ) осуществляется обычно с использованием штатных аппаратных и программных средств компьютерной системы. В результате такого доступа нарушаются установленные разграничения доступа пользователей или процессов к шифровальным ресурсам.

Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Поскольку процессы в КС инициируются в интересах определенных лиц, то и на них также накладываются соответствующие ограничения по доступу к ресурсам. Для реализации установленных правил разграничения доступа в КС создается система разграничения доступа (СРД).

Если СРД отсутствует, то злоумышленник, имеющий навыки работы в КС, может получить без ограничений доступ к любой информации. По имеющейся СРД несанкционированный доступ возможен при фальсификации полномочий пользователей. НСДИ упрощается в результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей.

Процессы обработки и передачи информации техническими средствам КС обычно сопровождаются электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземления и других проводниках. Они получили название побочных электромагнитных излучений и наводок (ПЭМИН). Наибольший уровень электромагнитного излучения в КС присущ работающим устройствам отображения информации на электронно-лучевых трубках. С помощью специального оборудования злоумышленник может на расстоянии зафиксировать такие излучения, а затем выделить из них необходимую информацию.

Следует также отметить, что электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения. Мощные электромагнитные импульсы и сверхвысокочастотные излучения способны уничтожить информацию на магнитных носителях, могут вывести из строя электронные блоки компьютерной системы. Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Такая модификация может осуществляться на любом жизненном цикле КС. Несанкционированное изменение структуры КС на этапах разработки и модификации получило название «закладка». Закладки, внедренные на этапе разработки, очень сложно выявить.

Программные и аппаратные закладки используются либо для непосредственного вредительского воздействия, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия закладок на КС осуществляются при получении соответствующий команды извне (это характерно обычно для аппаратных закладок) или при наступлении определенных событий в системе. Программные и аппаратные закладки, способствующие реализации неконтролируемого входа в систему, получили название «люки». Для компьютерной системы могут произойти наиболее негативные последствия, если такой вход осуществляется в обход имеющихся средств защиты информации.

Среди вредительских программ, представляющих собой угрозу безопасности информации в КС, стали весьма распространенными так называемые компьютерные вирусы. Компьютерный вирус – это специально написанная небольшая по размерам программа, которая после внедрения в программную среду КС способна самопроизвольно присоединяться к другим программам (т.е. заражать их), самостоятельно распространяться путем создания своих копий, а при выполнении определенных условий оказывать негативное воздействие на КС. Компьютерный вирус, однажды внесенный в систему распространяется лавинообразно подобно биологической инфекции и может причинить большой вред данным и программному обеспечению.

4. Государственные нормативные акты по защите информации

Закон Российской Федерации «О государственной тайне» от

25.07.1999г.

Субъектами правоотношений являются органы государственного управления; любые юридические лица, независимо от их организационноправовых форм деятельности и вида собственности; физические лица в случае их допуска к закрытым сведениям в добровольном порядке.

Объектами правоотношений являются сведения из военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной сфер деятельности.

Принципы, механизм и процедуры засекречивания:

1)Принцип законности;

2)Принцип обоснованности;

3)Принцип своевременности.

1.Принцип законности.

Только закон определяет перечень сведений, подлежащих засекречиванию и не подлежащих засекречиванию.

2.Принцип обоснованности.

Заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, исходя из баланса жизненно важных интересов государства, общества и отдельных граждан.

3.Принцип своевременности.

Ограничение на распространение сведений должны быть установлены не позже момента их получения.

В законе существуют 3 степени секретности и 3 грифа секретности для носителей информации:

С	– секретно	3 форма допуска;
СС – совершенно секретно	2 форма допуска;
ОВ – особой важности	1 форма допуска.

1.На общефедеральном уровне формируется перечень, утвержденный президентом и подлежащий открытой публикации. В этом перечне указаны федеральные органы управления, наделяемые полномочиями по распоряжению конкретным блоком сведений.

2.На основании общефедерального перечня указанные органы управления разрабатывают развернутые перечни и устанавливают степени их секретности.

Так как засекречивание информации приводит к ограничением прав собственника на ее распространение и использование, законом предписывается возмещение собственнику за счет государства материального ущерба, размер которого определяется договором между собственником и органами государственного управления. В этом договоре указывается ограничение на информацию.

Процедура засекречивания сводится к оформлению реквизитов носителей информации, составляющих государственную тайну.

Реквизиты:

1)Степень секретности со ссылкой на соответствующий пункт действующего перечня (совершенно секретно, …);

2)Орган, осуществляющий засекречивание (первый отдел, …);

3)Регистрационный номер;

4)Дата или условие рассекречивания (установлен предельный пятилетний срок полного пересмотра действующих перечней; максимальный срок засекречивания – 30 лет; в исключительных случаях данный срок может быть продлен).

Уголовный Кодекс Российской Федерации

1.Статья №283 «Разглашение государственной тайны».

1) Разглашение сведений, составляющих государственную тайну лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц при отсутствии

признаков государственной измены, наказывается арестом на срок от 4 до 6 месяцев, либо лишением свободы на срок до 4 лет.

2) То же деяние, повлекшее тяжкие последствия, наказывается лишением свободы на срок от 3 до 7 лет.

2. Статья №284 «Утрата документов, содержащих государственную тайну».

Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, если это повлекло по неосторожности их утрату и наступление тяжких последствий наказывается ограничением свободы на срок до 3 лет, либо арестом на срок до 4 месяцев, либо лишением свободы на срок до 3 лет.

Глава №28 Уголовного Кодекса «Преступление в сфере компьютерной информации».

3. Статья №272 «Неправомерный доступ к компьютерной информации».

1)Неправомерный доступ к компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сетей наказывается штрафом в размере от 200 до 500 МРОТ или исправительными работами на срок от 6 до 12 месяцев или лишением свободы на срок до 2 лет.

2)То же деяние, совершенное группой лиц, по предварительному сговору или организованной группой, либо лицом с использованием служебного положения, а равно имеющего доступ к ЭВМ, системе ЭВМ, или их сети наказывается штрафом в размере от 500 до 800 МРОТ или исправительными работами на срок от 1 до 2 лет или арестом на срок от 3 до 6 месяцев или лишением свободы на срок до 5 лет.

4. Статья №273 «Создание, использование и распространение вредоносных программ для ЭВМ».

1)Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации, либо копированию информации, нарушению работы ЭВМ, систем ЭВМ или их сети, а равно использование, либо распространение таких программ или машинных носителей с такими программами, наказывается лишением свободы на срок до 5 лет со штрафом в размере от 200 до 500 МРОТ.

2)То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от 3 до 7 лет.

ВВЕДЕНИЕ В ЗАЩИТУ ИНФОРМАЦИИ

План лекции

1.1 Защита компьютерной информации: основные понятия и определения

1.2 Классификация угроз безопасности информации

1.3 Формы атак на объекты информационных систем

1.4 Анализ угроз и каналов утечки информации

1.5 Анализ рисков и управление ими

1.1 Защита компьютерной информации: основные понятия и определения

Безопасность информации — степень (мера) защищенности информации, хранимой и обрабатываемой в автоматизированной системе (АС), от негативного воздействия на нее, с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.

Автоматизированная система — организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения определенного круга прикладных задач.

Защищенность информации — поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования.

Защита информации (ЗИ) — процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности.

Комплексная защита информации — целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также осуществление комплекса мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения обеспечения безопасности информации.

Безопасная информационная система — это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным.

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность “незаконного” использования которых может привести к нарушению безопасности системы. Например, неограниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интерпретировать так: доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает необходимость, а свойство целостности может быть определено как свойство неизменности параметров настройки данного устройства.

Важным для понимания дальнейших определений являются такие понятия, как объект, субъект, доступ.

Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию.

Субъект – активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которому может потребоваться обращение к объекту или системе.

Доступ – взаимодействие между субъектом и объектом, обеспечивающее передачу информации между ними, или изменение состояния системы.

Доступ к информации – обеспечение субъекту возможности ознакомления с информацией и ее обработки, в частности, копирования, модификации или уничтожения информации.

Идентификация – присвоение субъектам и объектам доступа уникального идентификатора в виде номера, шифра, кода и т.п. с целью получения доступа к информации.

Аутентификация – проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.

Угроза – любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов информационной системы (ИС).

Уязвимость информации – возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации. Атака – реализованная угроза.

Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.

Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Изначально защищенная информационная технология – информационная технология, которая изначально содержит все необходимые механизмы для обеспечения требуемого уровня защиты информации.

Качество информации – совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.

1.2 Классификация угроз безопасности информации

Известно большое количество разноплановых угроз безопасности информации различного происхождения. В качестве критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации. Дадим краткий комментарий к параметрам классификации, их значениям и содержанию.

Критерии классификации (1):

Виды угроз. Данный критерий является основополагающим, определяющим целевую направленность защиты информации.

Значениями данного параметра являются – физическая целостность, логическая целостность, содержание, конфиденциальность, право собственности.

Критерии классификации (2):

Происхождение угроз. Обычно выделяют два значения данного критерия: случайное и преднамеренное.

Под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в автоматизированной системе (АС) в процессе ее функционирования.

Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния. Сущность перечисленных событий (кроме стихийных бедствий, сущность которых ясна) определяется следующим образом.

Отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.

Сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.

Ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния.

Побочное влияние – негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей.

Критерии классификации (3):

Предпосылки появления угроз. Обычно приводятся две возможные разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные.

К последним относятся — деятельность разведорганов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, действия недобросовестных сотрудников системы.

Перечисленные разновидности предпосылок интерпретируются следующим образом.

Количественная недостаточность – физическая нехватка одного или нескольких элементов системы, вызывающая нарушения технологического процесса обработки данных и/или перегрузку имеющихся элементов.

Качественная недостаточность – несовершенство конструкции (организации) элементов системы, в силу этого могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию.

Деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации любыми способами и средствами.

К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых доброжелателей) и техническая, включающая радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в телеком-муникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми другими доступными способами).

Еще рассматриваются — промышленный шпионаж – негласная деятельность организации (в лице ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция); злоумышленные действия уголовных элементов – хищение информации или компьютерных программ в целях наживы;

Действия недобросовестных сотрудников – хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.

Критерии классификации (4):

Источники угроз. Под источником угроз понимается непосредственный их генератор или носитель. Таким источником могут быть люди, технические средства, модели (алгоритмы), а также — программы, технологические схемы обработки, внешняя среда.

Попытаемся теперь, опираясь на приведенную системную классификацию угроз безопасности информации, определить полное множество угроз, потенциально возможных в современных автоматизированных системах. При этом мы должны учесть не только все известные (ранее проявлявшиеся) угрозы, но и такие угрозы, которые ранее не проявлялись, но потенциально могут возникнуть при применении новых концепций архитектурного построения АС и технологических схем обработки информации.

Классифицируем все возможные каналы утечки информации (КУИ) по двум критериям: по необходимости доступа к элементам АС для реализации того или иного КУИ и по зависимости появления КУИ от состояния АС.

По первому критерию КУИ могут быть разделены на не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС), и требующие доступа в помещения АС. В свою очередь КУИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на КУИ, не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях), и на КУИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).

По второму критерию КУИ делятся на потенциально существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).

Приведем ориентировочную характеристику каналов несанкционированного получения информации выделенных нами классов.

КУИ 1-го класса – каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы.

Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств.

КУИ 2-го класса – каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС.

Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и т.д.

КУИ 3-го класса – каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних.

•перехват данных, непосредственно передаваемых по каналам связи;

• дистанционная фото– и видеосьемка.

Например:

•хищение производственных отходов (распечаток, записей списанных носителей информации и т.п.);

•применение подслушивающих устройств.

4.3.Угрозы, источник которых имеет доступ к периферийным устройства КС (терминалам).

5. По степени активности КС.

6. По степени воздействия на КС.

7. По этапам доступа пользователей или программ к ресурсам КС.

•Угрозы, которые могут проявляться на этапе доступа к ресурсам КС.

8. По способу доступа к ресурсам КС.

•Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

9. По текущему месту расположения информации, хранящейся и обрабатываемой в КС.

•Угроза доступа к информации в основной памяти (например, путем несанкционированного обращения к памяти).

•Угроза доступа к информации, циркулирующей в линиях связи (например, путем незаконного подключения).

3.1. Случайные угрозы информационной безопасности

К случайным обычно относят следующие угрозы:

•сбои и отказы в работе технических средств;

•ошибки при разработке КС, в том числе алгоритмические и программные ошибки;

•ошибки обслуживающего персонала и пользователей;

•стихийные бедствия и аварии.

Сущность сбоев и отказов, возникающих в процессе эксплуатации технических средств, сводится к следующему:

3.2. Преднамеренные угрозы информационной безопасности

Злоумышленником может быть:

•разработчик КС;

•сотрудник из числа обслуживающего персонала;

•пользователь;

•постороннее лицо.

•традиционных — шпионаж и диверсии;

•несанкционированный доступ к информации;

•электромагнитные излучения и наводки;

•модификация структур КС;

•вредительские программы.

Для этой цели применяются:

•подкуп, шантаж и вербовка сотрудников;

•подслушивание ведущихся переговоров;

•дистанционный видеоконтроль помещений;

•хищение атрибутов системы защиты;

•сбор и анализ отходов машинных носителей информации.

4. Государственные нормативные акты по защите информации

Закон Российской Федерации «О государственной тайне» от

25.07.1999г.

Принципы, механизм и процедуры засекречивания:

1)Принцип законности;

2)Принцип обоснованности;

3)Принцип своевременности.

1.Принцип законности.

Только закон определяет перечень сведений, подлежащих засекречиванию и не подлежащих засекречиванию.

2.Принцип обоснованности.

3.Принцип своевременности.

Ограничение на распространение сведений должны быть установлены не позже момента их получения.

В законе существуют 3 степени секретности и 3 грифа секретности для носителей информации:

С	– секретно	3 форма допуска;
СС – совершенно секретно	2 форма допуска;
ОВ – особой важности	1 форма допуска.

Реквизиты:

1)Степень секретности со ссылкой на соответствующий пункт действующего перечня (совершенно секретно, …);

2)Орган, осуществляющий засекречивание (первый отдел, …);

3)Регистрационный номер;

Уголовный Кодекс Российской Федерации

1.Статья №283 «Разглашение государственной тайны».

2) То же деяние, повлекшее тяжкие последствия, наказывается лишением свободы на срок от 3 до 7 лет.

2. Статья №284 «Утрата документов, содержащих государственную тайну».

Глава №28 Уголовного Кодекса «Преступление в сфере компьютерной информации».

3. Статья №272 «Неправомерный доступ к компьютерной информации».

4. Статья №273 «Создание, использование и распространение вредоносных программ для ЭВМ».

Тест
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1. Под информационной безопасностью понимается…

А)
защищенность информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или случайного характера, которые
могут нанести неприемлемый ущерб субъектам информационных отношений в том числе
владельцам и пользователям информации и поддерживающей инфраструктуре.

Б) программный продукт и базы данных должны быть защищены по
нескольким направлениям от воздействия
В) нет правильного ответа

2. Защита информации – это..

А)
комплекс мероприятий, направленных на обеспечение информационной
безопасности.

Б) процесс
разработки структуры базы данных в соответствии с требованиями пользователей
В) небольшая программа для выполнения определенной задачи

От чего зависит информационная безопасность?

А) от
компьютеров
Б) от поддерживающей инфраструктуры
В) от информации

Основные составляющие информационной
безопасности:

А) целостность
Б) достоверность
В) конфиденциальность

Доступность – это…

А)
возможность за приемлемое время получить требуемую информационную услугу.

Б) логическая
независимость
В) нет правильного ответа

Целостность – это..

А) целостность
информации
Б) непротиворечивость информации
В) защищенность от разрушения

Конфиденциальность – это..

А) защита от
несанкционированного доступа к информации

Б) программ и программных комплексов, обеспечивающих
технологию разработки, отладки и внедрения создаваемых программных продуктов
В) описание процедур

Для чего создаются информационные системы?

А) получения
определенных информационных услуг
Б) обработки информации
В) все ответы правильные

Целостность можно подразделить:

А) статическую
Б) динамичную
В) структурную

Где применяются средства контроля
динамической целостности?

А) анализе
потока финансовых сообщений

Б) обработке данных
В) при выявлении кражи, дублирования отдельных сообщений

Какие трудности возникают в информационных
системах при конфиденциальности?

А) сведения о
технических каналах утечки информации являются закрытыми
Б) на пути пользовательской криптографии стоят многочисленные технические
проблемы
В) все ответы правильные

Угроза – это…

А) потенциальная
возможность определенным образом нарушить информационную безопасность

Б) система
программных языковых организационных и технических средств, предназначенных для
накопления и коллективного использования данных
В) процесс определения отвечает на текущее состояние разработки требованиям
данного этапа

Атака
– это…

А) попытка
реализации угрозы
Б) потенциальная возможность определенным образом нарушить информационную
безопасность
В) программы, предназначенные для
поиска необходимых программ.

Источник угрозы – это..

А)
потенциальный злоумышленник
Б) злоумышленник
В) нет правильного ответа

Окно опасности – это…

А)
промежуток времени от момента, когда появится
возможность слабого места и до момента, когда пробел ликвидируется.

Б)
комплекс взаимосвязанных программ для
решения задач определенного класса конкретной предметной области

В)
формализованный язык для описания задач алгоритма решения задачи пользователя
на компьютере

Какие события должны
произойти за время существования окна опасности?

А) должно стать известно о средствах использования пробелов в защите.

Б) должны быть выпущены
соответствующие заплаты.

В) заплаты должны быть установлены в
защищаемой И.С.

17. Угрозы можно классифицировать по нескольким критериям:

А)
по спектру И.Б.
Б) по способу осуществления
В) по компонентам И.С.

По каким компонентам
классифицируется угрозы доступности:

А)
отказ пользователей
Б) отказ поддерживающей инфраструктуры
В) ошибка в программе

Основными источниками
внутренних отказов являются:

А)
отступление от установленных правил эксплуатации
Б) разрушение данных
В) все ответы правильные

Основными источниками
внутренних отказов являются:

А)
ошибки при конфигурировании системы
Б) отказы программного или аппаратного обеспечения
В) выход системы из штатного режима эксплуатации

21. По отношению к поддерживающей инфраструктуре
рекомендуется рассматривать следующие угрозы:

А)
невозможность и нежелание обслуживающего персонала или пользователя
выполнять свои обязанности
Б) обрабатывать большой объем программной информации
В) нет правильного ответа

Какие существуют грани
вредоносного П.О.?

А)
вредоносная функция
Б) внешнее представление
В) способ распространения

По механизму
распространения П.О. различают:

А)
вирусы
Б) черви
В) все ответы правильные

Вирус – это…

А)
код обладающий способностью к распространению путем внедрения в другие
программы
Б) способность объекта реагировать на запрос сообразно
своему типу, при этом одно и то же имя метода может использоваться для
различных классов объектов
В) небольшая программа для выполнения определенной задачи

Черви – это…

А)
код способный самостоятельно, то есть без внедрения в другие программы
вызывать распространения своих копий по И.С. и их выполнения
Б) код обладающий способностью к распространению путем внедрения в другие
программы
В) программа действий над объектом или его свойствами

Конфиденциальную
информацию можно разделить:

А)
предметную
Б) служебную
В) глобальную

Природа происхождения
угроз:

А)
случайные
Б) преднамеренные
В) природные

Предпосылки появления
угроз:

А)
объективные
Б) субъективные
В) преднамеренные

К какому виду угроз
относится присвоение чужого права?

А)
нарушение права собственности
Б) нарушение содержания
В) внешняя среда

Отказ, ошибки, сбой –
это:

А)
случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы

Отказ — это…

А)
нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
Б) некоторая последовательность действий, необходимых
для выполнения конкретного задания
В) структура, определяющая последовательность выполнения
и взаимосвязи процессов

Ошибка – это…

А)
неправильное выполнение элементом одной или нескольких функций происходящее
в следствии специфического состояния
Б) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
В) негативное воздействие на программу

Сбой – это…

А)
такое нарушение работоспособности какого-либо элемента системы в следствии
чего функции выполняются неправильно в заданный момент

Б)
неправильное выполнение элементом одной или нескольких функций происходящее в
следствие специфического состояния
В) объект-метод

Побочное влияние – это…

А)
негативное воздействие на систему в целом или отдельные элементы
Б) нарушение работоспособности какого-либо элемента системы в следствии чего
функции выполняются неправильно в заданный момент
В) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций

СЗИ (система защиты
информации) делится:

А)
ресурсы автоматизированных систем
Б) организационно-правовое обеспечение
В) человеческий компонент

Что относится к
человеческому компоненту СЗИ?

А)
системные порты
Б) администрация
В) программное обеспечение

Что относится к ресурсам
А.С. СЗИ?

А)
лингвистическое обеспечение
Б) техническое обеспечение
В) все ответы правильные

По уровню обеспеченной
защиты все системы делят:

А)
сильной защиты
Б) особой защиты
В) слабой защиты

По активности
реагирования СЗИ системы делят:

А)
пассивные
Б) активные
В) полупассивные

Правовое обеспечение
безопасности информации – это…

А)
совокупность законодательных актов, нормативно-правовых документов,
руководств, требований, которые обязательны в системе защиты информации
Б) система программных языковых организационных и
технических средств, предназначенных для накопления и коллективного
использования данных
В) нет правильного ответа

Правовое обеспечение
безопасности информации делится:

А)
международно-правовые нормы
Б) национально-правовые нормы
В) все ответы правильные

Информацию с
ограниченным доступом делят:

А)
государственную тайну
Б) конфиденциальную информацию
В) достоверную информацию

Что относится к
государственной тайне?

А)
сведения, защищаемые государством в области военной, экономической …
деятельности
Б) документированная информация
В) нет правильного ответа

Вредоносная программа —
это…

А)
программа, специально разработанная для нарушения нормального
функционирования систем
Б) упорядочение абстракций, расположение их по уровням
В) процесс разделения элементов абстракции, которые
образуют ее структуру и поведение

Основополагающие
документы для обеспечения безопасности внутри организации:

А)
трудовой договор сотрудников
Б) должностные обязанности руководителей
В) коллективный договор

К организационно —
административному обеспечению информации относится:

А)
взаимоотношения исполнителей
Б) подбор персонала
В) регламентация производственной деятельности

Что относится к
организационным мероприятиям:

А)
хранение документов
Б) проведение тестирования средств защиты информации
В) пропускной режим

Какие средства
используется на инженерных и технических мероприятиях в защите информации:

А)
аппаратные
Б) криптографические
В) физические

Программные средства –
это…

А)
специальные программы и системы защиты информации в информационных системах
различного назначения

Б)
структура, определяющая последовательность выполнения и
взаимосвязи процессов, действий и задач на протяжении всего жизненного цикла
В) модель знаний в форме графа в основе таких моделей лежит
идея о том, что любое выражение из значений можно представить в виде
совокупности объектов и связи между ними

50. Криптографические
средства – это…

А)
средства специальные математические и алгоритмические средства защиты
информации, передаваемые по сетям связи, хранимой и обрабатываемой на
компьютерах с использованием методов шифрования
Б) специальные программы и системы защиты информации в информационных системах
различного назначения

В)
механизм, позволяющий получить новый класс на основе
существующего

1.2. Угрозы безопасности информации

Системная классификация угроз информации представлена в табл. 1.

Таблица 1

Системная классификация угроз информации

1. Хищение носителей информации.

2. Запоминание или копирование информации.

3. Несанкционированное подключение к аппаратуре.

4. НСД к ресурсам ЭВТ.

5. Перехват побочных излучений и наводок.

Также угрозы могут классифицироваться по их источнику:

1. Природные (стихийные бедствия, магнитные бури, радиоактивное излучение и наводки).

4. Без разрешения автора воспроизведение и модификация программы являются неправомерными.

Данный текст является ознакомительным фрагментом.

Читайте также

Общий обзор средств безопасности: дескриптор безопасности

Совет 66: Угрозы для всех систем

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Центр обеспечения безопасности и компоненты безопасности

6.1. Угрозы, подстерегающие пользователя

1.2. Понятие информации. Общая характеристика процессов сбора, передачи, обработки и накопления информации

Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Omert@. Руководство по компьютерной безопасности и защите информации для Больших

Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил

Кафедра Ваннаха: Угрозы и технологии

Ваннах Михаил

Угрозы требуют действий

Анализ поправок, принятых Госдумой, к закону «Об информации, информационных технологиях и о защите информации» Сергей Голубицкий

Сергей Голубицкий

Характер угрозы

Угрозы реальные и мнимые

Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов

Угрозы, с которыми столкнутся приставки следующего поколения

Михаил Карпов

Компьютеризованные истории болезни: угрозы

Другие угрозы

МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ГАПОУ CО «Режевской политехникум»

Рассмотрено ЦК

информационных дисциплин

Протокол №___ от ______2018г

Председатель _________ Я.А. Кочнева

УТВЕРЖДАЮ

Директор

_________ С.А. Дрягилева

«____» _________ 20___ г

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ВНЕАУДИТОРНОЙ САМОСТОЯТЕЛЬНОЙ РАБОТЕ ДЛЯ СТУДЕНТОВ

ПО МДК 05.03 «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
ПО ППССЗ 09.02.01 «КОМПЬЮТЕРНЫЕ СИСТЕМЫ И КОМПЛЕКСЫ»

Реж 2018г.

УВАЖАЕМЫЕ СТУДЕНТЫ!

Кроме занятий в аудиториях под руководством преподавателей, Вы ежедневно должны уделять внимание самостоятельной работе, в ходе которой вырабатываются привычки и навыки умственной деятельности. В это время Вы работаете с учебниками и научной литературой, конспектируете первоисточники, готовитесь к семинарам, практическим и лабораторным занятиям, выполняете домашние задания различного рода, курсовые работы, готовите рефераты, ведете научные исследования и т. д.

Методические рекомендации по выполнению самостоятельных работ созданы Вам в помощь для работы на занятиях и во внеурочное время.

Наличие положительной оценки (отметки о выполнении) каждого вида самостоятельной работы необходимо для получения итоговой оценки дисциплине или междисциплинарному курсу, поэтому в случае невыполнения работы по любой причине или получения неудовлетворительной оценки за самостоятельную работу Вы должны найти время для ее выполнения или пересдачи.

Самостоятельная работа выполняется в соответствии с методическими указаниями по самостоятельной работе студентов всех специальностей технического и социально-экономического профиля, размещенная на WEB-сайте колледжа.

Внимание!

Если в процессе выполнения заданий для самостоятельной работы возникают вопросы, разрешить которые Вам не удается, необходимо обратиться к преподавателю для получения разъяснений.

ПЕРЕЧЕНЬ САМОСТОЯТЕЛЬНЫХ РАБОТ

№	Наименование разделов, тем УД/МДК	Вид самостоятельной работы	Количество часов на самостоятельную работу
1	Введение	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК № 1	2
2	Тема 1.1 Концепция информационной безопасности	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций, изучение. ИК № 2	4
3	Тема 1.2. Политики безопасности в компьютерных сетях	Чтение и анализ литературы Домашнее задание: работа с конспектом лекций, изучение. ИК № 3	4
4	Тема 1.3. Угрозы информационной безопасности в компьютерных системах	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №4	2
5	Тема 2.1. Защита информации от несанкционированного доступа.	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №5	4
6	Тема 2.2 Криптографические методы защиты информации	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №6	2
7	Тема 3.1 . Технологии межсетевых экранов	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №7	2
8	Тема 3.2. Технологии виртуальных защищенных сетей VPN	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №8	4
9	Тема 3.3. Безопасность сетевых протоколов уровней модели OSI	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №9	4
10	Тема 4.1 Вирусы как угроза ИБ	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №10	2
11	Тема 4.2 Средства антивирусной защиты	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №11	4

	ИТОГО:	34

ЗАДАНИЯ ДЛЯ ВЫПОЛНЕНИЯ ВНЕАУДИТОРНЫХ САМОСТОЯТЕЛЬНЫХ РАБОТ

Инструкционная карта №

Тема Введение

Цель:

систематизировать знания по теме «Введение»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

Вариант-1

• Задание

Ответьте на вопросы теста.

Инструкция. К каждому вопросу дано несколько ответов, среди которых может быть только один правильный. Имеются открытые вопросы, в которых необходимо дописать предложение, а также установить соответствие номера вопроса и номера ответа.

№	Формулировка вопроса	Варианты предлагаемых ответов
1	Угроза – это	свойство системы, которое при некоторых условиях вызывает опасные события нанесение ущерба компьютерной системе характеристики, свойства системы, которые могут вызывать опасные события
2	Защищаемые программы могут находиться	в ОЗУ и на ЖМД в ОЗУ и на ГМД в ОЗУ, на ЖМД и на ГМД
3	Система, представляемая в виде некоторого декартового произведения множеств – это	модели на основе анализа рисков модели на основе конечных состояний модели на основе дискретных компонентов
4	Межсетевой экран устанавливается	на стыке внутренней сети с монитором на стыке внутренней и внешней сетей на внешней сети
5	Дописать предложение.	Программные и информационные средства, защищаемые от угроз, называются ______________________ _______________________________
6	Фильтры, ключи для блокировки клавиатуры, устройства аутентификации – это	организационные меры защиты технические меры защиты программные меры защиты
7	Соблюдение международных прав по обеспечению информационной безопасности – это	равенство законность государственная поддержка
8	Угроза автоматизированной системе, вызванная деятельностью человека, называется	естественной угрозой искусственной угрозой ошибкой
9	Выберите субъективные предпосылки появления угроз	количественная недостаточность промышленный шпионаж уголовные элементы качественная недостаточность
10	Дописать предложение	Избирательным методом управления доступа субъектов системы к объектам называется __________________ ________________________________ _______________________________

Проверьте себя:

Что такое информационная безопасность?
Назовите цели информационной безопасности.
Назовите направления мер информационной безопасности.
Перечислите механизмы информационной безопасности.
Что такое несанкционированный доступ?
Перечислите способы несанкционированного доступа.

Вариант-2

Задание

Ответьте на вопросы теста.

№	Формулировка вопроса	Варианты предлагаемых ответов
1	Идентификация – это	определение каждого участника процесса информационного взаимодействия обеспечение уверенности в том, что участник процесса определен правильно регулярное отслеживание событий
2	Управление персоналом, физическая защита, планирование восстановительных работ – это меры	административного уровня защиты законодательного уровня защиты процедурного уровня защиты
3	Дописать предложение.	Мандатным методом управления доступа субъектов к информационным ресурсам называется ___________________________________ ______________________________________________________________________ ___________________________________ ___________________________________
4	Модели, исследующие вероятность вскрытия системы защиты за определенное время Т, относятся к	моделям на основе анализа рисков моделям на основе конечных состояний моделям на основе дискретных компонентов
5	Временное нарушение работоспособности какого-либо элемента системы называется	сбоем ошибкой атакой
6	Парольный доступ, блокировка экрана клавиатуры с помощью комбинации клавиш – это	организационные меры безопасности технические меры безопасности программные меры безопасности
7	Физическая целостность, логическая структура, конфиденциальность – это	виды угроз природа угроз источники угроз
8	То, что защищает от угроз, называется	субъектом безопасности объектом безопасности обеспечением безопасности
9	Выберите объективные предпосылки появления угроз	количественная недостаточность промышленный шпионаж уголовные элементы качественная недостаточность
10	Дописать предложение.	Невозможность нанесения вреда объектам вследствие появления уг- роз – это ______________________ ______________________________

Инструкционная карта №

Тема 1. 3 Угрозы информационной безопасности в компьютерных системах

Цель:

систематизировать знания по теме «Угрозы информационной безопасности»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

1 вриант

Заполните пропущенные названия блоков в схеме «Источники угроз информационной безопасности»

2 вариант

Заполните пропущенные названия блоков в схеме «Источники угроз информационной безопасности»

Инструкционная карта №

Тема № 1.1. Концепция информационной безопасности

Цель:

систематизировать знания по теме «Концепция информационной безопасности»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Заполните пропущенные названия блоков в схеме «Угрозы безопасности».

✍

• Задание 2

Найдите неправильные предложения и исправьте их:

Отказ – это временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.
Сбой – это неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического его состояния.
Ошибка – это нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.
Побочное влияние – это негативное воздействие на систему в целом или отдельные элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

✍Ответ:

• Задание 3

✍

Заполните таблицу, используя знания, полученные при изучении темы «Защита ПК от вредоносных закладок»:

Вредоносные закладки	Классификация вредоносных закладок
Характеристика вредоносного воздействия	Способ реализации	Способ проникновения	Способность к саморазмножению
Бомба
Ловушка
Люк
Троянский конь
Червь
Вирус

Инструкционная карта №

Тема 1. 3 Угрозы информационной безопасности в компьютерных системах

Цель:

систематизировать знания по теме «Угрозы информационной безопасности в компьютерных системах»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Вставьте в текст пропущенные термины:

_____________________________ нацелены на перехват ________________ пользователей операционной системы, а также на определение ____________________________ полномочий.
Службы всех уровней ______________________ в _______________ вычислительную систему (образуют __________________ инфраструктуру), посредством _____________________ вычислительной сети.
Автоматическое ______________________ антивирусной базы должно предусматривать возможность автоматического получения ____________________ антивирусной базы и ______________ антивирусной базы на клиентах.

• Задание 2

Каким общим понятием объединены следующие высказывания?

А. 1. Повтор определенных событий

2. распознание уязвимостей.

✍mm

Ответ: ______________________________________________________________________________________________________________________________

Б. 1. Копирование защищенного диска специальными программами

2. эмуляция диска

3. эмуляция электронного ключа

4. генерация регистрационного кода по серийным номерам аппаратного

обеспечения

✍

5. «отключение» защиты взлома программного кода.

Ответ:

______________________________________________________________________________________________________________________________________

Инструкционная карта №

Тема Правовая защита информационных ресурсов ограниченного доступа.

Цель:

систематизировать знания по теме «Правовая защита информационных ресурсов ограниченного доступа.

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Каким общим понятием объединены следующие высказывания?

А. 1. Политика безопасности

2. аудит

✍

3. корректность.

Ответ: _________________________________________________________

Б. 1. Минимальная защита

2. дискреционная защита

3. мандатная защита

✍

4. верификационная защита.

Ответ: _________________________________________________________

В. 1. Защита с применением меток безопасности

2. структурированная защита

3. домены безопасности.

✍Ответ: _________________________________________________________

Г. 1. Эффективность, отражающая соответствие средств безопасности ре-

шаемых задач

2. корректность, характеризующая процесс разработки и функциониро-

вания задач.

Ответ: _________________________________________________________

• Задание 2

Заполните схему «Задачи средств информационной безопасности по «Европейским критериям» » и дайте краткую характеристику каждому элементу данной системы.

✍

______________________________________________________________________________________________________________________________________________
______________________________________________________________________________________________________________________________________________
______________________________________________________________________________________________________________________________________________

• Задание 3

Перечислите основные признаки, по которым контрафактный товар можно отличить от оригинального.

______________________________________________________________________________________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________

• Задание 4

✍

Заполните схему «Составляющие авторского права»

• Задание 5

✍

Нарисуйте структуру классов безопасности компьютерных систем «Оранжевой книги»

✍

• Задание 6

Ответьте на вопросы теста

Инструкция. К каждому вопросу дано несколько вариантов ответов, среди которых может быть только один правильный.

№

Формулировка вопроса

Варианты предлагаемых ответов

Возможность осуществления субъектом доступа к объектам определяется на основании их идентификации и набора правил управления доступа – это

политика безопасности
непрерывность защиты
домены безопасности

Допишите определение

Группа D класса безопасности компьютерных систем – это группа _______________________________

_______________________________

Впервые законодательная охрана права на печатание была введена в …

Англии
России
древней Венеции

Для определения степени ответственности пользователей за действия в системе все события отслеживаются с помощью

метки безопасности
регистрации и учета безопасности
контроля корректности функционирования средств защиты

На протяжении какого времени после смерти авторов за ними остается исключительное право на собственное произведение?

25 лет
35 лет
50 лет

В каком году Государственная техническая комиссия при Президенте РФ опубликовала документы, посвященные вопросам защиты информации?

1. в 1992 году

2. в 1993 году

3. в 1994 году

Средства защиты, содержащие независимые аппаратные и программные компоненты, представляют собой

политику безопасности
контроль корректности
непрерывную защиту

Выберите класс защиты системы, при котором ядро защиты системы должно включать монитор взаимодействий

дискреционная защита
мандатная защита
верификационная защита

Физическое лицо, творческий труд которого создал то или иное произведение, называют

автором
монополией
хозяином

Поставьте соответствие между классами безопасности по документу «Европейский критерий» и их характеристиками

класс F – DX класс F-AV класс F-DI	характеризуется повышенными требованиями к работоспособности системы предъявляет повышенные требования к целостности и конфиденциальности информации ориентирован на распределенные системы обработки информации
ОТВЕТ:

Инструкционная карта №

Тема 2.1. Защита информации от несанкционированного доступа.

Цель:

систематизировать знания по теме «Защита информации от несанкционированного доступа»

Развивать способности студентов:

Исследовательские: исследовать методы защиты информации от несанкционированного доступа

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

Установите необходимые связи в структуре антивирусной защиты банковской информационной системы.

Инструкционная карта №

Тема . Программно-аппаратная защита информации

Цель:

систематизировать знания по теме «Программно-аппаратная защита информации»

Развивать способности студентов:

Исследовательские: исследовать

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

✍

Ответьте на вопросы теста.

Инструкция. К каждому вопросу дано несколько вариантов ответов, среди которых может быть только один правильный. Имеются открытые вопросы, в которых необходимо дописать предложение, а также установить соответствие номера вопроса и номера ответа.

№

Формулировка вопроса

Варианты предлагаемых ответов

Действия общего характера, предпринимаемые руководством организации — это

законодательный уровень защиты
административный уровень защиты
процедурный уровень защиты

Поддержание на заданном уровне тех параметров информации, которые обеспечивают установленный статус- это

защита информации
защищенность информации
комплексная защита информации

Хищение информации или компьютерных программ с целью наживы называется

промышленным шпионажем
деятельностью недобросовестных сотрудников
деятельностью уголовных элементов

Поставьте соответствие

1. воздействие на информацию

2. воздействие на систему

1. вывод из строя

2. уничтожение

3. модификация

4. искажение исполняемых файлов

ОТВЕТ:

Конкретные меры безопасности, имеющие дело с людьми — это

законодательный уровень защиты
административный уровень защиты
процедурный уровень защиты

Дописать предложение.

Дисассемблирование – это ________

________________________________

Характеристика вредоносного воздействия, способ реализации, способ возникновения, способность к саморазмножению – это

классификация вредоносных закладок
обстоятельства появления вредоносных закладок
виды защиты от вредоносных закладок

Люди, технические устройства, программы, модели, алгоритмы – это

виды угроз
природа происхождения угроз
источники угроз

Попытка реализации угрозы — это

атака
риск
сбой

Отказ в исполнении запроса, предупреждение злоумышленника о более серьезных санкциях, уничтожение защищаемой программы — это

реагирование на попытки несанкционированного копирования
противодействие изучению алгоритмов работы системы защиты

Невозможность нанесения вреда свойствам объекта вследствие появления угроз — это

безопасность
информационная безопасность
обеспечение

Установка специального флага, приводящая к генерированию после каждой команды исключительной ситуации – прерывания int 1 представляет собой

отладочный механизм контрольных точек останова
отладочный механизм трассировки программы

Закладки, попадающие на ПК в процессе его изготовления, ремонта или проведения профилактических работ называются

аппаратные
программные
организационные

Массовый обмен информацией, широкое распространение копий программ, приобретенных незаконным путем, возможности дистанционного воздействия на ПК – это

классификация вредоносных закладок
обстоятельства появления вредоносных закладок
виды защиты от вредоносных закладок

Несаморазмножающаяся программа, осуществляющая несанкционированный перехват информации и запись ее в соответствующее поле записывающего устройства или выдачу в канал связи — это

ловушка
бомба
троянский конь

Задание 2

Часто встречается следующая инструкция для восстановления после вирусной атаки:

Загрузите зараженную систему.
Заархивируйте все файлы на внешний носитель.
Отформатируйте диск программой fdisk.
Переустановите ОС с оригинала CD-ROM.
Перезагрузите файлы с внешнего носителя.

В данной инструкции есть ошибки, найдите их и приведите правильную формулировку, если есть необходимость – дополните инструкцию недостающими (пропущенными) действиями.

✍Ответ:

________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________

• Задание 3

✍

Заполните таблицу, используя знания, полученные при изучении темы «Компьютерный вирус»:

Методы защиты от компьютерных вирусов
Виды защиты	Методы защиты	Суть метода
От сбоев оборудования и программного обеспечения

От случайной потери или искажения
От случайной потери или искажения

От преднамеренной потери или искажения

От несанкционированного доступа

• Задание 4

Допишите признаки появления вирусов:

Прекращение работы или неправильная работа ранее успешно функционировавших программ;
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________

Задание 5

Перечислите средства исследования программ.
Назовите универсальный метод противодействия дисассемблированию программ и наиболее распространенные ошибки данного метода.
Перечислите основные разновидности вредоносного воздействия.
Дайте характеристику аппаратным закладкам.
Дайте характеристику программным закладкам.

Инструкционная карта №

Тема 4.1 . Компьютерные вирусы и средства антивирусной защиты.

Цель:

систематизировать знания по теме «Антивирусная защита.»

Развивать способности студентов:

Исследовательские:

исследовать инструкцию по восстановлению персонального компьютера от вирусной атаки;
исследовать суть и результат метода защиты от компьютерных вирусов.

Проектировочные: разрабатывать алгоритмы решения задач на основе предложенной модели

Технологические: выбирать методы, средства и способы решения поставленных задач

Коммуникативные: находить выход из различных ситуаций

Рефлексивные: закрепить полученные знания об антивирусных программах

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, тетрадь с лекциями.

• Задание 1

✍

Заполните таблицу, используя знания, полученные при изучении темы «Защита ПК от вредоносных закладок»:

Вредоносные закладки	Классификация вредоносных закладок
Характеристика вредоносного воздействия	Способ реализации	Способ проникновения	Способность к саморазмножению
Бомба
Ловушка
Люк
Троянский конь
Червь
Вирус

• Задание 2

Вставьте в текст пропущенные термины:

__________________________ __________________ — это специально написанная небольшая _________________, которая может приписывать себя к другим _______________, создавать свои _____________ и внедрять их в ________________ и системные области компьютера.
Под ___________________________ программным обеспечением понимаются такие программы или программный компонент, которые имеют своей _________________ выполнение некоторых _________________, ________________________________ или неосознанных действий, направленных на принесение _____________________ или ______________________ ущерба.

• Задание 3

Найдите неправильное предложение и исправьте его.

Программа-сканер — это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера с целью ее последующей демонстрации.
Шпионское программное обеспечение может попасть на компьютер пользователя в ходе посещения Интернет-сайтов и при установке бесплатной или условно-бесплатной программы.
Adware – программное обеспечение, собирающее и передающее какую-либо информацию о пользователе без его согласия
Trojan – Downloader – это программа, основным назначением которой является тайная и несанкционированная загрузка Интернета.

✍Ответ: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

• Задание 4

✍

Заполните таблицу, используя знания, полученные при изучении темы «Проблема вирусного заражения и структура современных вирусов»:

«Программы-шпионы»
Название	Цели применения	Пути попадания на ПК

• Задание 5

Вставьте в текст пропущенные термины:

________________________________– это специализированная __________________, которая предназначена для поиска и уничтожения _______________________ _______________, а также для предохранения от заражения _________________.
Основной принцип, положенный в основу разработки технологии защиты от _______________, состоит: в создании _______________________ распределенной системы защиты, регламентирующей проведение работ на ПЭВМ; в применении _________________________ средств защиты; в использовании специальных _________________________средств.
Монитор – это программа, обеспечивающая _____________ потенциально опасных ___________________, характерных для вирусов.

• Задание 6

Найдите неправильные предложения и исправьте их.

Программы — детекторы позволяют обнаруживать файлы, зараженные одним из известных вирусов
Программы – доктора располагаются резидентно в оперативной памяти персонального компьютера и перехватывают обращения к операционной системе, которые используются вирусами.
Программы – ревизоры выполняют функции свойственные детекторам, и излечивают инфицированные программы.
Эффективная защита может быть обеспечена при комплексном использовании различных средств защиты в рамках единой операционной среды.

✍

Ответ:

Задание 7

Приведите классификацию компьютерных вирусов.
Назовите среды обитания компьютерных вирусов.
Перечислите способы заражения компьютерными вирусами.
Назовите основную питательную среду для массового распространения вируса в персональном компьютере.
Приведите классификацию вредоносного программного обеспечения.
Перечислите функции вредоносного программного обеспечения.
Перечислите функции шпионского программного обеспечения.
Приведите способы создания парольной комбинации.
Приведите меры предосторожности, которые необходимо соблюдать при использовании пароля.

Инструкционная карта №

Тема 1.2 Политика безопасности в компьютерных сетях. Основные направления деятельности службы безопасности по защите информационных ресурсов.

Цель:

систематизировать знания по теме «Основные направления деятельности службы безопасности по защите информационных ресурсов.»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

Перечислите инструментарий хакера и дайте краткую характеристику каждому элементу, используясь знания, полученные при изучении темы «Взлом парольной системы. Защита программы от взлома»:

✍

• Задание 2

Перечислите меры или действия, позволяющие затруднить взлом пароля.

Применение нестандартной функции.
_____________________________________________________________
_____________________________________________________________
____________________________________________________________

Задание 3

Ответьте на вопросы теста

№

Формулировка вопроса

Варианты предлагаемых ответов

политика безопасности
непрерывность защиты
домены безопасности

Допишите определение

Группа D класса безопасности компьютерных систем – это группа _______________________________

_______________________________

Впервые законодательная охрана права на печатание была введена в …

Англии
России
древней Венеции

метки безопасности
регистрации и учета безопасности
контроля корректности функционирования средств защиты

25 лет
35 лет
50 лет

1. в 1992 году

2. в 1993 году

3. в 1994 году

Средства защиты, содержащие независимые аппаратные и программные компоненты, представляют собой

политику безопасности
контроль корректности
непрерывную защиту

Выберите класс защиты системы, при котором ядро защиты системы должно включать монитор взаимодействий

дискреционная защита
мандатная защита
верификационная защита

Физическое лицо, творческий труд которого создал то или иное произведение, называют

автором
монополией
хозяином

класс F – DX класс F-AV класс F-DI	характеризуется повышенными требованиями к работоспособности системы предъявляет повышенные требования к целостности и конфиденциальности информации ориентирован на распределенные системы обработки информации
ОТВЕТ:

Инструкционная карта №

Тема 2.1. Методы защиты от несанкционированного доступа.

Цель:

систематизировать знания по теме «Методы защиты от несанкционированного доступа. Инженерно-техническая защита.»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

Ответьте на вопросы теста.

✍

№

Формулировка вопроса

Варианты предлагаемых ответов

К принципам обеспечения информационной безопасности относятся

законность, открытость, сбалансированность
системность, реальность выдвигаемых задач
все выше перечисленное

Программа, предназначенная для анализа поведения другой программы, обеспечивающая обновку в указанных точках и позволяющая просматривать (редактировать) содержимое ячеек памяти, регистров процессора и команды программы — это

дисассемблер
отладчик
интерактивный дисассемблер

Метод «рукопожатие» — это

метод, основанный на некоторой функции F
метод, основанный на массиве вопросов
метод, основанный на идентификации пользователя

В результате каких действий можно получить локальный отказ в обслуживании?

атаки, нарушающей функционирование системы
атаки, приводящей к получению несанкционированного доступа к узлу, на котором она запущена
атаки, позволяющей нарушить функционирование системы или перезагрузить ПК через Internet

Формирование двумерной матрицы, по строкам которой содержатся идентификаторы регистрации пользователя, а по столбцам – идентификаторы защищаемых элементов данных –

разграничение доступа по специальным спискам
разграничение по мандатам
разграничение по матрицам полномочий

Несаморазмножащаяся программа одноразового использования приводится в действие при определенных условиях и осуществляет крупномасштабное уничтожение информации — это

бомба
ловушка
троянский конь

Дописать предложение.

Модель атаки по принципу «один-к-одному» или «один-ко-многим» называется _________________________________

_________________________________

Идентификация и аутентификация технических средств включает

установление подлинности терминала с использованием паролей
применение криптографических методов защиты
присвоение объекту уникального имени

Периодический контроль системы защиты в оперативной памяти, проверку корректности параметров настройки называют

организацией контроля
контролем правильности функционирования системы защиты
анализом вычислительной системы защиты

Поставьте соответствие

1.системы парольной защиты

2.аппаратно-программные системы с электронными ключами

3. системы «привязки» программного обеспечения к компьютерному пользователю

1. ключевая информация считывается с микросхемы

2. ключевая информация вводится пользователем

3. ключевая информация содержится в параметрах компьютерной системы пользователя

ОТВЕТ:

К признакам атак относятся

непредвиденные атрибуты
повтор определенных событий
разграничение доступа по мандатам

Персонал, криптография, нормативное обеспечение – это

механизмы информационной безопасности
инструментарий информационной безопасности
основные направления информационной безопасности

Программные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
проведении профилактических работ

Нанесение повреждения с помощью лазера на часть поверхности и нестандартное форматирование – это

идентификация дискеты
аутентификация дискеты
идентификация диска

Контрольные суммы содержимого файлов программ, файлов конфигурации, их системные характеристики — это

анализ вычислительных систем
формирование эталонных характеристик
установка требуемых режимов

Установление контроля над атакуемым звеном относится к

реализации атаки
завершению атаки
сбору информации

Комплекс мероприятий, обеспечивающих конфиденциальность, доступность и целостность информации – это

информационная безопасность
безопасность
компьютерная безопасность

Аномалия сетевого трафика – это

любое отклонение показателей сети от любого показателя
любое отклонение показателей сети от эталонного показателя
отклонение в работе ПК

Аутентификация, разграничение доступа, криптографическое закрытие информации – это

особенности защиты ПК
защита от НСД в ПК
основные средства защиты информации в ПК

К уровням защиты информации относят

законодательный и административный
административный и процедурный
верного ответа нет

Создание средств опасного воздействия на информационные сферы других стран мира, нарушение функционирования информационных систем — это

информационная война
политическая война
информационно-политическая война

Аппаратные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
проведения профилактических работ

Дописать предложение

Отладочным механизмом контрольных точек останова является

______________________________

К средствам защиты информации можно отнести

системы парольной защиты
аппаратно-программные системы с электронными ключами
все выше перечисленное

Формирование единой государственной политики, совершенствование законодательства РФ, организация международного сотрудничества – это

задачи в сфере обеспечения информационной безопасности
цели в сфере обеспечения информационной безопасности
нет верного ответа

Управление персоналом, физическая защита, планирование восстановительных работ – это меры

административного уровня защиты
законодательного уровня защиты
процедурного уровня защиты

LOVESAN – это

сетевой червь
троянский конь
вирус

Метод атаки зависит от

результата воздействия атаки и средства воздействия
механизма воздействия и типа инициатора атаки
все выше перечисленное

Организационные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
описание инструкции

Поставьте соответствие между способами разграничения доступа и их характеристиками

по уровням (кольцам) секретности
по специальным спискам
по матрицам полномочий
по специальным мандатам

каждый массив содержит данные одного уровня секретности
каждому защищаемому элементу присваивается уникальная метка
формируется двумерная матрица
для каждого элемента защищаемых данных составляется список пользователей

ОТВЕТ:

СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ

Нормативная литература

Конституция Российской Федерации – М.: Айрис ПРЕСС,2003
Федеральный закон Российской Федерации от 23 сентября 1992 г. №3523-I “О правовой охране программ для электронных вычислительных машин и баз данных”// Российская газета.- № 229.-20.10.1992
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологий и о защите информации»//Собрание законодательства РФ, 31.07.2006,№31 (1ч), ст.3448
Российская Федерация. Закон. Гражданский кодекс Российской Федерации: (часть четвертая) от 24 ноября 2006 г., №230 –ФЗ.- М.: Омега-л, 2007

Основная литература

Байбурин В.Б., Бровков М.Б. и др. Введение в защиту информации: Учебное пособие. – М., ФОРУМ: ИНФРА-М, 2004
Воробьев А.В., Воробьева Т.В. «Основы построения систем защиты информации». –Учебное пособие М., 2004
Конев И.Р., Беляев А.В. «Информационная безопасность предприятия» — СПб.: БХВ-Петербург, 2003
Куприянов А.И. «Основы защиты информации»: Учебное пособие для студентов высших учебных заведений. – М.: Издательский центр «Академия», 2006
Лукацкий А.В. «Обнаружение атаки» – СПб.: БХВ-Петербург, 2003
Партыка Т.Л., Попов И.И. «Информационная безопасность». Учебное пособие для студентов среднего профессионального образования. – М., ФОРУМ: ИНФРА-М, 2004.
Степанова Е.Е., Хмелевская Н.В. «Информационное обеспечение управленческой деятельности»: Учебное пособие – М.ФОРУМ: ИНФРА-М, 2004

Электронные ресурсы

Официальный сайт «Лаборатория Касперского».[Электронный ресурс].- Режим доступа: http://www.kaspersky.ru
Министерство национальной безопасности.[Электронный ресурс].- Режим доступа: http://www.dhs.gov
Сетевая газета по вопросам информационной безопасности.[Электронный ресурс].- Режим доступа: http://www.infosecurity.ru

Компьютерные преступления. Элеонора Мелик, информационно-аналитический обзор.[Электронный ресурс].-Режим доступа: http://www.melik.narod.ru

Источник

Тест
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1. Под информационной безопасностью понимается…

2. Защита информации – это..

А)
комплекс мероприятий, направленных на обеспечение информационной
безопасности.

От чего зависит информационная безопасность?

А) от
компьютеров
Б) от поддерживающей инфраструктуры
В) от информации

Основные составляющие информационной
безопасности:

А) целостность
Б) достоверность
В) конфиденциальность

Доступность – это…

А)
возможность за приемлемое время получить требуемую информационную услугу.

Б) логическая
независимость
В) нет правильного ответа

Целостность – это..

А) целостность
информации
Б) непротиворечивость информации
В) защищенность от разрушения

Конфиденциальность – это..

А) защита от
несанкционированного доступа к информации

Для чего создаются информационные системы?

А) получения
определенных информационных услуг
Б) обработки информации
В) все ответы правильные

Целостность можно подразделить:

А) статическую
Б) динамичную
В) структурную

Где применяются средства контроля
динамической целостности?

А) анализе
потока финансовых сообщений

Б) обработке данных
В) при выявлении кражи, дублирования отдельных сообщений

Какие трудности возникают в информационных
системах при конфиденциальности?

Угроза – это…

А) потенциальная
возможность определенным образом нарушить информационную безопасность

Атака
– это…

Источник угрозы – это..

А)
потенциальный злоумышленник
Б) злоумышленник
В) нет правильного ответа

Окно опасности – это…

Б)
комплекс взаимосвязанных программ для
решения задач определенного класса конкретной предметной области

В)
формализованный язык для описания задач алгоритма решения задачи пользователя
на компьютере

Какие события должны
произойти за время существования окна опасности?

А) должно стать известно о средствах использования пробелов в защите.

Б) должны быть выпущены
соответствующие заплаты.

В) заплаты должны быть установлены в
защищаемой И.С.

17. Угрозы можно классифицировать по нескольким критериям:

А)
по спектру И.Б.
Б) по способу осуществления
В) по компонентам И.С.

По каким компонентам
классифицируется угрозы доступности:

А)
отказ пользователей
Б) отказ поддерживающей инфраструктуры
В) ошибка в программе

Основными источниками
внутренних отказов являются:

А)
отступление от установленных правил эксплуатации
Б) разрушение данных
В) все ответы правильные

Основными источниками
внутренних отказов являются:

21. По отношению к поддерживающей инфраструктуре
рекомендуется рассматривать следующие угрозы:

Какие существуют грани
вредоносного П.О.?

А)
вредоносная функция
Б) внешнее представление
В) способ распространения

По механизму
распространения П.О. различают:

А)
вирусы
Б) черви
В) все ответы правильные

Вирус – это…

Черви – это…

Конфиденциальную
информацию можно разделить:

А)
предметную
Б) служебную
В) глобальную

Природа происхождения
угроз:

А)
случайные
Б) преднамеренные
В) природные

Предпосылки появления
угроз:

А)
объективные
Б) субъективные
В) преднамеренные

К какому виду угроз
относится присвоение чужого права?

А)
нарушение права собственности
Б) нарушение содержания
В) внешняя среда

Отказ, ошибки, сбой –
это:

А)
случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы

Отказ — это…

Ошибка – это…

Сбой – это…

Побочное влияние – это…

СЗИ (система защиты
информации) делится:

А)
ресурсы автоматизированных систем
Б) организационно-правовое обеспечение
В) человеческий компонент

Что относится к
человеческому компоненту СЗИ?

А)
системные порты
Б) администрация
В) программное обеспечение

Что относится к ресурсам
А.С. СЗИ?

А)
лингвистическое обеспечение
Б) техническое обеспечение
В) все ответы правильные

По уровню обеспеченной
защиты все системы делят:

А)
сильной защиты
Б) особой защиты
В) слабой защиты

По активности
реагирования СЗИ системы делят:

А)
пассивные
Б) активные
В) полупассивные

Правовое обеспечение
безопасности информации – это…

Правовое обеспечение
безопасности информации делится:

А)
международно-правовые нормы
Б) национально-правовые нормы
В) все ответы правильные

Информацию с
ограниченным доступом делят:

А)
государственную тайну
Б) конфиденциальную информацию
В) достоверную информацию

Что относится к
государственной тайне?

Вредоносная программа —
это…

Основополагающие
документы для обеспечения безопасности внутри организации:

А)
трудовой договор сотрудников
Б) должностные обязанности руководителей
В) коллективный договор

К организационно —
административному обеспечению информации относится:

А)
взаимоотношения исполнителей
Б) подбор персонала
В) регламентация производственной деятельности

Что относится к
организационным мероприятиям:

А)
хранение документов
Б) проведение тестирования средств защиты информации
В) пропускной режим

Какие средства
используется на инженерных и технических мероприятиях в защите информации:

А)
аппаратные
Б) криптографические
В) физические

Программные средства –
это…

А)
специальные программы и системы защиты информации в информационных системах
различного назначения

50. Криптографические
средства – это…

В)
механизм, позволяющий получить новый класс на основе
существующего

Источник

МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ГАПОУ CО «Режевской политехникум»

Рассмотрено ЦК

информационных дисциплин

Протокол №___ от ______2018г

Председатель _________ Я.А. Кочнева

УТВЕРЖДАЮ

Директор

_________ С.А. Дрягилева

«____» _________ 20___ г

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ВНЕАУДИТОРНОЙ САМОСТОЯТЕЛЬНОЙ РАБОТЕ ДЛЯ СТУДЕНТОВ

ПО МДК 05.03 «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
ПО ППССЗ 09.02.01 «КОМПЬЮТЕРНЫЕ СИСТЕМЫ И КОМПЛЕКСЫ»

Реж 2018г.

УВАЖАЕМЫЕ СТУДЕНТЫ!

Внимание!

ПЕРЕЧЕНЬ САМОСТОЯТЕЛЬНЫХ РАБОТ

№	Наименование разделов, тем УД/МДК	Вид самостоятельной работы	Количество часов на самостоятельную работу
1	Введение	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК № 1	2
2	Тема 1.1 Концепция информационной безопасности	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций, изучение. ИК № 2	4
3	Тема 1.2. Политики безопасности в компьютерных сетях	Чтение и анализ литературы Домашнее задание: работа с конспектом лекций, изучение. ИК № 3	4
4	Тема 1.3. Угрозы информационной безопасности в компьютерных системах	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №4	2
5	Тема 2.1. Защита информации от несанкционированного доступа.	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №5	4
6	Тема 2.2 Криптографические методы защиты информации	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №6	2
7	Тема 3.1 . Технологии межсетевых экранов	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №7	2
8	Тема 3.2. Технологии виртуальных защищенных сетей VPN	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №8	4
9	Тема 3.3. Безопасность сетевых протоколов уровней модели OSI	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №9	4
10	Тема 4.1 Вирусы как угроза ИБ	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №10	2
11	Тема 4.2 Средства антивирусной защиты	Чтение и анализ литературы: Домашнее задание: работа с конспектом лекций. ИК №11	4

	ИТОГО:	34

ЗАДАНИЯ ДЛЯ ВЫПОЛНЕНИЯ ВНЕАУДИТОРНЫХ САМОСТОЯТЕЛЬНЫХ РАБОТ

Инструкционная карта №

Тема Введение

Цель:

систематизировать знания по теме «Введение»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

Вариант-1

• Задание

Ответьте на вопросы теста.

№	Формулировка вопроса	Варианты предлагаемых ответов
1	Угроза – это	свойство системы, которое при некоторых условиях вызывает опасные события нанесение ущерба компьютерной системе характеристики, свойства системы, которые могут вызывать опасные события
2	Защищаемые программы могут находиться	в ОЗУ и на ЖМД в ОЗУ и на ГМД в ОЗУ, на ЖМД и на ГМД
3	Система, представляемая в виде некоторого декартового произведения множеств – это	модели на основе анализа рисков модели на основе конечных состояний модели на основе дискретных компонентов
4	Межсетевой экран устанавливается	на стыке внутренней сети с монитором на стыке внутренней и внешней сетей на внешней сети
5	Дописать предложение.	Программные и информационные средства, защищаемые от угроз, называются ______________________ _______________________________
6	Фильтры, ключи для блокировки клавиатуры, устройства аутентификации – это	организационные меры защиты технические меры защиты программные меры защиты
7	Соблюдение международных прав по обеспечению информационной безопасности – это	равенство законность государственная поддержка
8	Угроза автоматизированной системе, вызванная деятельностью человека, называется	естественной угрозой искусственной угрозой ошибкой
9	Выберите субъективные предпосылки появления угроз	количественная недостаточность промышленный шпионаж уголовные элементы качественная недостаточность
10	Дописать предложение	Избирательным методом управления доступа субъектов системы к объектам называется __________________ ________________________________ _______________________________

Проверьте себя:

Что такое информационная безопасность?
Назовите цели информационной безопасности.
Назовите направления мер информационной безопасности.
Перечислите механизмы информационной безопасности.
Что такое несанкционированный доступ?
Перечислите способы несанкционированного доступа.

Вариант-2

Задание

Ответьте на вопросы теста.

№	Формулировка вопроса	Варианты предлагаемых ответов
1	Идентификация – это	определение каждого участника процесса информационного взаимодействия обеспечение уверенности в том, что участник процесса определен правильно регулярное отслеживание событий
2	Управление персоналом, физическая защита, планирование восстановительных работ – это меры	административного уровня защиты законодательного уровня защиты процедурного уровня защиты
3	Дописать предложение.	Мандатным методом управления доступа субъектов к информационным ресурсам называется ___________________________________ ______________________________________________________________________ ___________________________________ ___________________________________
4	Модели, исследующие вероятность вскрытия системы защиты за определенное время Т, относятся к	моделям на основе анализа рисков моделям на основе конечных состояний моделям на основе дискретных компонентов
5	Временное нарушение работоспособности какого-либо элемента системы называется	сбоем ошибкой атакой
6	Парольный доступ, блокировка экрана клавиатуры с помощью комбинации клавиш – это	организационные меры безопасности технические меры безопасности программные меры безопасности
7	Физическая целостность, логическая структура, конфиденциальность – это	виды угроз природа угроз источники угроз
8	То, что защищает от угроз, называется	субъектом безопасности объектом безопасности обеспечением безопасности
9	Выберите объективные предпосылки появления угроз	количественная недостаточность промышленный шпионаж уголовные элементы качественная недостаточность
10	Дописать предложение.	Невозможность нанесения вреда объектам вследствие появления уг- роз – это ______________________ ______________________________

Инструкционная карта №

Тема 1. 3 Угрозы информационной безопасности в компьютерных системах

Цель:

систематизировать знания по теме «Угрозы информационной безопасности»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

1 вриант

Заполните пропущенные названия блоков в схеме «Источники угроз информационной безопасности»

2 вариант

Заполните пропущенные названия блоков в схеме «Источники угроз информационной безопасности»

Инструкционная карта №

Тема № 1.1. Концепция информационной безопасности

Цель:

систематизировать знания по теме «Концепция информационной безопасности»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Заполните пропущенные названия блоков в схеме «Угрозы безопасности».

✍

• Задание 2

Найдите неправильные предложения и исправьте их:

Отказ – это временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.
Сбой – это неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического его состояния.
Ошибка – это нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.
Побочное влияние – это негативное воздействие на систему в целом или отдельные элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

✍Ответ:

• Задание 3

✍

Заполните таблицу, используя знания, полученные при изучении темы «Защита ПК от вредоносных закладок»:

Вредоносные закладки	Классификация вредоносных закладок
Характеристика вредоносного воздействия	Способ реализации	Способ проникновения	Способность к саморазмножению
Бомба
Ловушка
Люк
Троянский конь
Червь
Вирус

Инструкционная карта №

Тема 1. 3 Угрозы информационной безопасности в компьютерных системах

Цель:

систематизировать знания по теме «Угрозы информационной безопасности в компьютерных системах»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Вставьте в текст пропущенные термины:

_____________________________ нацелены на перехват ________________ пользователей операционной системы, а также на определение ____________________________ полномочий.
Службы всех уровней ______________________ в _______________ вычислительную систему (образуют __________________ инфраструктуру), посредством _____________________ вычислительной сети.
Автоматическое ______________________ антивирусной базы должно предусматривать возможность автоматического получения ____________________ антивирусной базы и ______________ антивирусной базы на клиентах.

• Задание 2

Каким общим понятием объединены следующие высказывания?

А. 1. Повтор определенных событий

2. распознание уязвимостей.

✍mm

Ответ: ______________________________________________________________________________________________________________________________

Б. 1. Копирование защищенного диска специальными программами

2. эмуляция диска

3. эмуляция электронного ключа

4. генерация регистрационного кода по серийным номерам аппаратного

обеспечения

✍

5. «отключение» защиты взлома программного кода.

Ответ:

______________________________________________________________________________________________________________________________________

Инструкционная карта №

Тема Правовая защита информационных ресурсов ограниченного доступа.

Цель:

систематизировать знания по теме «Правовая защита информационных ресурсов ограниченного доступа.

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор

• Задание 1

Каким общим понятием объединены следующие высказывания?

А. 1. Политика безопасности

2. аудит

✍

3. корректность.

Ответ: _________________________________________________________

Б. 1. Минимальная защита

2. дискреционная защита

3. мандатная защита

✍

4. верификационная защита.

Ответ: _________________________________________________________

В. 1. Защита с применением меток безопасности

2. структурированная защита

3. домены безопасности.

✍Ответ: _________________________________________________________

Г. 1. Эффективность, отражающая соответствие средств безопасности ре-

шаемых задач

2. корректность, характеризующая процесс разработки и функциониро-

вания задач.

Ответ: _________________________________________________________

• Задание 2

✍

______________________________________________________________________________________________________________________________________________
______________________________________________________________________________________________________________________________________________
______________________________________________________________________________________________________________________________________________

• Задание 3

Перечислите основные признаки, по которым контрафактный товар можно отличить от оригинального.

______________________________________________________________________________________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________

• Задание 4

✍

Заполните схему «Составляющие авторского права»

• Задание 5

✍

Нарисуйте структуру классов безопасности компьютерных систем «Оранжевой книги»

✍

• Задание 6

Ответьте на вопросы теста

№

Формулировка вопроса

Варианты предлагаемых ответов

политика безопасности
непрерывность защиты
домены безопасности

Допишите определение

Группа D класса безопасности компьютерных систем – это группа _______________________________

_______________________________

Впервые законодательная охрана права на печатание была введена в …

Англии
России
древней Венеции

метки безопасности
регистрации и учета безопасности
контроля корректности функционирования средств защиты

25 лет
35 лет
50 лет

1. в 1992 году

2. в 1993 году

3. в 1994 году

Средства защиты, содержащие независимые аппаратные и программные компоненты, представляют собой

политику безопасности
контроль корректности
непрерывную защиту

Выберите класс защиты системы, при котором ядро защиты системы должно включать монитор взаимодействий

дискреционная защита
мандатная защита
верификационная защита

Физическое лицо, творческий труд которого создал то или иное произведение, называют

автором
монополией
хозяином

класс F – DX класс F-AV класс F-DI	характеризуется повышенными требованиями к работоспособности системы предъявляет повышенные требования к целостности и конфиденциальности информации ориентирован на распределенные системы обработки информации
ОТВЕТ:

Инструкционная карта №

Тема 2.1. Защита информации от несанкционированного доступа.

Цель:

систематизировать знания по теме «Защита информации от несанкционированного доступа»

Развивать способности студентов:

Исследовательские: исследовать методы защиты информации от несанкционированного доступа

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

Установите необходимые связи в структуре антивирусной защиты банковской информационной системы.

Инструкционная карта №

Тема . Программно-аппаратная защита информации

Цель:

систематизировать знания по теме «Программно-аппаратная защита информации»

Развивать способности студентов:

Исследовательские: исследовать

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

✍

Ответьте на вопросы теста.

№

Формулировка вопроса

Варианты предлагаемых ответов

Действия общего характера, предпринимаемые руководством организации — это

законодательный уровень защиты
административный уровень защиты
процедурный уровень защиты

Поддержание на заданном уровне тех параметров информации, которые обеспечивают установленный статус- это

защита информации
защищенность информации
комплексная защита информации

Хищение информации или компьютерных программ с целью наживы называется

промышленным шпионажем
деятельностью недобросовестных сотрудников
деятельностью уголовных элементов

Поставьте соответствие

1. воздействие на информацию

2. воздействие на систему

1. вывод из строя

2. уничтожение

3. модификация

4. искажение исполняемых файлов

ОТВЕТ:

Конкретные меры безопасности, имеющие дело с людьми — это

законодательный уровень защиты
административный уровень защиты
процедурный уровень защиты

Дописать предложение.

Дисассемблирование – это ________

________________________________

классификация вредоносных закладок
обстоятельства появления вредоносных закладок
виды защиты от вредоносных закладок

Люди, технические устройства, программы, модели, алгоритмы – это

виды угроз
природа происхождения угроз
источники угроз

Попытка реализации угрозы — это

атака
риск
сбой

реагирование на попытки несанкционированного копирования
противодействие изучению алгоритмов работы системы защиты

Невозможность нанесения вреда свойствам объекта вследствие появления угроз — это

безопасность
информационная безопасность
обеспечение

отладочный механизм контрольных точек останова
отладочный механизм трассировки программы

аппаратные
программные
организационные

классификация вредоносных закладок
обстоятельства появления вредоносных закладок
виды защиты от вредоносных закладок

ловушка
бомба
троянский конь

Задание 2

Часто встречается следующая инструкция для восстановления после вирусной атаки:

Загрузите зараженную систему.
Заархивируйте все файлы на внешний носитель.
Отформатируйте диск программой fdisk.
Переустановите ОС с оригинала CD-ROM.
Перезагрузите файлы с внешнего носителя.

✍Ответ:

________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________

• Задание 3

✍

Заполните таблицу, используя знания, полученные при изучении темы «Компьютерный вирус»:

Методы защиты от компьютерных вирусов
Виды защиты	Методы защиты	Суть метода
От сбоев оборудования и программного обеспечения

От случайной потери или искажения
От случайной потери или искажения

От преднамеренной потери или искажения

От несанкционированного доступа

• Задание 4

Допишите признаки появления вирусов:

Прекращение работы или неправильная работа ранее успешно функционировавших программ;
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________

Задание 5

Перечислите средства исследования программ.
Назовите универсальный метод противодействия дисассемблированию программ и наиболее распространенные ошибки данного метода.
Перечислите основные разновидности вредоносного воздействия.
Дайте характеристику аппаратным закладкам.
Дайте характеристику программным закладкам.

Инструкционная карта №

Тема 4.1 . Компьютерные вирусы и средства антивирусной защиты.

Цель:

систематизировать знания по теме «Антивирусная защита.»

Развивать способности студентов:

Исследовательские:

исследовать инструкцию по восстановлению персонального компьютера от вирусной атаки;
исследовать суть и результат метода защиты от компьютерных вирусов.

Проектировочные: разрабатывать алгоритмы решения задач на основе предложенной модели

Технологические: выбирать методы, средства и способы решения поставленных задач

Коммуникативные: находить выход из различных ситуаций

Рефлексивные: закрепить полученные знания об антивирусных программах

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, тетрадь с лекциями.

• Задание 1

✍

Заполните таблицу, используя знания, полученные при изучении темы «Защита ПК от вредоносных закладок»:

Вредоносные закладки	Классификация вредоносных закладок
Характеристика вредоносного воздействия	Способ реализации	Способ проникновения	Способность к саморазмножению
Бомба
Ловушка
Люк
Троянский конь
Червь
Вирус

• Задание 2

Вставьте в текст пропущенные термины:

__________________________ __________________ — это специально написанная небольшая _________________, которая может приписывать себя к другим _______________, создавать свои _____________ и внедрять их в ________________ и системные области компьютера.
Под ___________________________ программным обеспечением понимаются такие программы или программный компонент, которые имеют своей _________________ выполнение некоторых _________________, ________________________________ или неосознанных действий, направленных на принесение _____________________ или ______________________ ущерба.

• Задание 3

Найдите неправильное предложение и исправьте его.

Программа-сканер — это приложение, предназначенное для загрузки на ПК пользователя информации рекламного характера с целью ее последующей демонстрации.
Шпионское программное обеспечение может попасть на компьютер пользователя в ходе посещения Интернет-сайтов и при установке бесплатной или условно-бесплатной программы.
Adware – программное обеспечение, собирающее и передающее какую-либо информацию о пользователе без его согласия
Trojan – Downloader – это программа, основным назначением которой является тайная и несанкционированная загрузка Интернета.

• Задание 4

✍

«Программы-шпионы»
Название	Цели применения	Пути попадания на ПК

• Задание 5

Вставьте в текст пропущенные термины:

________________________________– это специализированная __________________, которая предназначена для поиска и уничтожения _______________________ _______________, а также для предохранения от заражения _________________.
Основной принцип, положенный в основу разработки технологии защиты от _______________, состоит: в создании _______________________ распределенной системы защиты, регламентирующей проведение работ на ПЭВМ; в применении _________________________ средств защиты; в использовании специальных _________________________средств.
Монитор – это программа, обеспечивающая _____________ потенциально опасных ___________________, характерных для вирусов.

• Задание 6

Найдите неправильные предложения и исправьте их.

Программы — детекторы позволяют обнаруживать файлы, зараженные одним из известных вирусов
Программы – доктора располагаются резидентно в оперативной памяти персонального компьютера и перехватывают обращения к операционной системе, которые используются вирусами.
Программы – ревизоры выполняют функции свойственные детекторам, и излечивают инфицированные программы.
Эффективная защита может быть обеспечена при комплексном использовании различных средств защиты в рамках единой операционной среды.

✍

Ответ:

Задание 7

Приведите классификацию компьютерных вирусов.
Назовите среды обитания компьютерных вирусов.
Перечислите способы заражения компьютерными вирусами.
Назовите основную питательную среду для массового распространения вируса в персональном компьютере.
Приведите классификацию вредоносного программного обеспечения.
Перечислите функции вредоносного программного обеспечения.
Перечислите функции шпионского программного обеспечения.
Приведите способы создания парольной комбинации.
Приведите меры предосторожности, которые необходимо соблюдать при использовании пароля.

Инструкционная карта №

Цель:

систематизировать знания по теме «Основные направления деятельности службы безопасности по защите информационных ресурсов.»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

✍

• Задание 2

Перечислите меры или действия, позволяющие затруднить взлом пароля.

Применение нестандартной функции.
_____________________________________________________________
_____________________________________________________________
____________________________________________________________

Задание 3

Ответьте на вопросы теста

№

Формулировка вопроса

Варианты предлагаемых ответов

политика безопасности
непрерывность защиты
домены безопасности

Допишите определение

Группа D класса безопасности компьютерных систем – это группа _______________________________

_______________________________

Впервые законодательная охрана права на печатание была введена в …

Англии
России
древней Венеции

метки безопасности
регистрации и учета безопасности
контроля корректности функционирования средств защиты

25 лет
35 лет
50 лет

1. в 1992 году

2. в 1993 году

3. в 1994 году

Средства защиты, содержащие независимые аппаратные и программные компоненты, представляют собой

политику безопасности
контроль корректности
непрерывную защиту

Выберите класс защиты системы, при котором ядро защиты системы должно включать монитор взаимодействий

дискреционная защита
мандатная защита
верификационная защита

Физическое лицо, творческий труд которого создал то или иное произведение, называют

автором
монополией
хозяином

класс F – DX класс F-AV класс F-DI	характеризуется повышенными требованиями к работоспособности системы предъявляет повышенные требования к целостности и конфиденциальности информации ориентирован на распределенные системы обработки информации
ОТВЕТ:

Инструкционная карта №

Тема 2.1. Методы защиты от несанкционированного доступа.

Цель:

систематизировать знания по теме «Методы защиты от несанкционированного доступа. Инженерно-техническая защита.»

Развивать способности студентов:

Исследовательские: исследовать методы шифрования и понятия информационной безопасности

Проектировочные: анализировать задания и проектировать пути (способы) их решения

Технологические: выбирать методы и способы решения поставленных задач

Коммуникативные: организовать работу в коллективе

Рефлексивные: проверить полученные знания о методах шифрования и понятиях информационной безопасности.

Время выполнения: 2 часа

Средства занятия: рабочая тетрадь, калькулятор.

• Задание 1

Ответьте на вопросы теста.

✍

№

Формулировка вопроса

Варианты предлагаемых ответов

К принципам обеспечения информационной безопасности относятся

законность, открытость, сбалансированность
системность, реальность выдвигаемых задач
все выше перечисленное

дисассемблер
отладчик
интерактивный дисассемблер

Метод «рукопожатие» — это

метод, основанный на некоторой функции F
метод, основанный на массиве вопросов
метод, основанный на идентификации пользователя

В результате каких действий можно получить локальный отказ в обслуживании?

атаки, нарушающей функционирование системы
атаки, приводящей к получению несанкционированного доступа к узлу, на котором она запущена
атаки, позволяющей нарушить функционирование системы или перезагрузить ПК через Internet

разграничение доступа по специальным спискам
разграничение по мандатам
разграничение по матрицам полномочий

бомба
ловушка
троянский конь

Дописать предложение.

Модель атаки по принципу «один-к-одному» или «один-ко-многим» называется _________________________________

_________________________________

Идентификация и аутентификация технических средств включает

установление подлинности терминала с использованием паролей
применение криптографических методов защиты
присвоение объекту уникального имени

организацией контроля
контролем правильности функционирования системы защиты
анализом вычислительной системы защиты

Поставьте соответствие

1.системы парольной защиты

2.аппаратно-программные системы с электронными ключами

3. системы «привязки» программного обеспечения к компьютерному пользователю

1. ключевая информация считывается с микросхемы

2. ключевая информация вводится пользователем

3. ключевая информация содержится в параметрах компьютерной системы пользователя

ОТВЕТ:

К признакам атак относятся

непредвиденные атрибуты
повтор определенных событий
разграничение доступа по мандатам

Персонал, криптография, нормативное обеспечение – это

механизмы информационной безопасности
инструментарий информационной безопасности
основные направления информационной безопасности

Программные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
проведении профилактических работ

Нанесение повреждения с помощью лазера на часть поверхности и нестандартное форматирование – это

идентификация дискеты
аутентификация дискеты
идентификация диска

Контрольные суммы содержимого файлов программ, файлов конфигурации, их системные характеристики — это

анализ вычислительных систем
формирование эталонных характеристик
установка требуемых режимов

Установление контроля над атакуемым звеном относится к

реализации атаки
завершению атаки
сбору информации

Комплекс мероприятий, обеспечивающих конфиденциальность, доступность и целостность информации – это

информационная безопасность
безопасность
компьютерная безопасность

Аномалия сетевого трафика – это

любое отклонение показателей сети от любого показателя
любое отклонение показателей сети от эталонного показателя
отклонение в работе ПК

Аутентификация, разграничение доступа, криптографическое закрытие информации – это

особенности защиты ПК
защита от НСД в ПК
основные средства защиты информации в ПК

К уровням защиты информации относят

законодательный и административный
административный и процедурный
верного ответа нет

информационная война
политическая война
информационно-политическая война

Аппаратные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
проведения профилактических работ

Дописать предложение

Отладочным механизмом контрольных точек останова является

______________________________

К средствам защиты информации можно отнести

системы парольной защиты
аппаратно-программные системы с электронными ключами
все выше перечисленное

задачи в сфере обеспечения информационной безопасности
цели в сфере обеспечения информационной безопасности
нет верного ответа

Управление персоналом, физическая защита, планирование восстановительных работ – это меры

административного уровня защиты
законодательного уровня защиты
процедурного уровня защиты

LOVESAN – это

сетевой червь
троянский конь
вирус

Метод атаки зависит от

результата воздействия атаки и средства воздействия
механизма воздействия и типа инициатора атаки
все выше перечисленное

Организационные закладки появляются при следующих обстоятельствах

массовом обмене данными
в процессе изготовления ПК
описание инструкции

Поставьте соответствие между способами разграничения доступа и их характеристиками

по уровням (кольцам) секретности
по специальным спискам
по матрицам полномочий
по специальным мандатам

каждый массив содержит данные одного уровня секретности
каждому защищаемому элементу присваивается уникальная метка
формируется двумерная матрица
для каждого элемента защищаемых данных составляется список пользователей

ОТВЕТ:

СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ

Нормативная литература

Конституция Российской Федерации – М.: Айрис ПРЕСС,2003
Федеральный закон Российской Федерации от 23 сентября 1992 г. №3523-I “О правовой охране программ для электронных вычислительных машин и баз данных”// Российская газета.- № 229.-20.10.1992
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологий и о защите информации»//Собрание законодательства РФ, 31.07.2006,№31 (1ч), ст.3448
Российская Федерация. Закон. Гражданский кодекс Российской Федерации: (часть четвертая) от 24 ноября 2006 г., №230 –ФЗ.- М.: Омега-л, 2007

Основная литература

Байбурин В.Б., Бровков М.Б. и др. Введение в защиту информации: Учебное пособие. – М., ФОРУМ: ИНФРА-М, 2004
Воробьев А.В., Воробьева Т.В. «Основы построения систем защиты информации». –Учебное пособие М., 2004
Конев И.Р., Беляев А.В. «Информационная безопасность предприятия» — СПб.: БХВ-Петербург, 2003
Куприянов А.И. «Основы защиты информации»: Учебное пособие для студентов высших учебных заведений. – М.: Издательский центр «Академия», 2006
Лукацкий А.В. «Обнаружение атаки» – СПб.: БХВ-Петербург, 2003
Партыка Т.Л., Попов И.И. «Информационная безопасность». Учебное пособие для студентов среднего профессионального образования. – М., ФОРУМ: ИНФРА-М, 2004.
Степанова Е.Е., Хмелевская Н.В. «Информационное обеспечение управленческой деятельности»: Учебное пособие – М.ФОРУМ: ИНФРА-М, 2004

Электронные ресурсы

Официальный сайт «Лаборатория Касперского».[Электронный ресурс].- Режим доступа: http://www.kaspersky.ru
Министерство национальной безопасности.[Электронный ресурс].- Режим доступа: http://www.dhs.gov
Сетевая газета по вопросам информационной безопасности.[Электронный ресурс].- Режим доступа: http://www.infosecurity.ru

Источник

это именованная совокупность привилегий пользователя информационной системы, которую защищают паролями.

Роль

______ безопасности ОС — набор программ, управляющих частями ОС, ответственными за безопасность.

Ядро

______ шифр — шифр, который представляет собой последовательность (с возможным повторением и чередованием) основных методов криптографического преобразования, применяемую к части шифруемого текста.

Блочный

_______ – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.

Сбой

_______ – средство идентификации доступа, представляющее собой кодовое слово в буквенной, цифровой или буквенно-цифровой форме, которое вводится в ЭВМ перед началом диалога с нею с клавиатуры терминала или при помощи идентификационной (кодовой) карты.

Пароль

________ – конкретное значение некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из семейства.

Ключ

________ – это избыточный массив независимых дисков, на который возлагается задача обеспечения отказоустойчивости и повышения производительности.

RAID

_________ – право субъекта (терминала, программы, системы) осуществлять те или иные процедуры над защищенными объектами (файлами, устройствами, ресурсами).

Полномочия

_________ – присвоение субъектам и объектам доступа уникального номера в виде шифра, кода и т.п. с целью получения доступа к информации.

Идентификация

_________ к информации – предоставление субъекту возможности ознакомления с информацией и ее обработки, копирования, модификации или уничтожения.

Доступ

__________ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.

Отказ

__________ защиты информации – абстрактное описание комплекса программно-технических средств и организационных мер защиты от несанкционированного доступа к информации.

Модель

___________ — использование третьей стороны, пользующейся доверием двух общающихся субъектов, для обеспечения подтверждения характеристик передаваемых данных

Нотаризация

___________ безопасности — конкретные меры для реализации услуг безопасности в информационной системе.

Механизмы

___________ безопасности информации – любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов информационной системы.

Угроза

___________ информационной безопасности – совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации.

Политика

___________ программа — программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.

Троянская

___________ риском – процесс, состоящий в последовательном выполнении трех основных частей: определение риска в незащищенной информационной системе, применение средств защиты для сокращения риска и затем определение, приемлем ли остаточный риск.

Управление

____________ — использование криптографии для преобразования данных, чтобы сделать их нечитаемыми или неосмысленными.

Шифрование

____________ – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) либо по ошибке и незнанию, либо осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) с использованием для этого различных возможностей, методов и средств.

Нарушитель

____________ аудита – это совокупность правил, определяющих, какие события должны регистрироваться в журнале аудита.

Политика

______________ – проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам информационной системы.

Аутентификация

______________ — процесс сбора и накопления информации о событиях, происходящих в информационной системе.

Протоколирование

______________ включает математические методы нарушения конфиденциальности и аутентичности информации без знания ключей.

Криптоанализ

_______________ – процесс, обратный зашифрованию, т.е. процесс преобразования зашифрованных данных в открытые при помощи ключа.

Расшифрование

_______________ — характеристика шифра, определяющая его стойкость к расшифрованию без знания ключа (т.е. криптоатаке).

Криптостойкость

________________ – наука, изучающая методы преобразования информации, обеспечивающие ее конфиденциальность и аутентичность.

Криптография

_________________ доступ к информации — доступ к информации, который нарушает правила использования информационных ресурсов компьютерной системы, установленные для ее пользователей.

Несанкционированный

“Критерии безопасности компьютерных систем”, получившие неформальное, но прочно закрепившееся название “________________ книга”, были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах.

Оранжевая

RSA — криптосистема с открытым ________.

ключом

Американский стандарт криптографического закрытия данных _____ является типичным представителем семейства блочных шифров.

DES

Безопасная информационная система по определению обладает свойствами конфиденциальности, ________ и целостности.

доступности

Большинство методов подтверждения подлинности получаемых зашифрованных сообщений использует определенную _____________ исходного текста сообщения.

избыточность

Брандмауэр с фильтрацией ________ — маршрутизатор или работающая на сервере программа, предназначенные для фильтрации входящей и исходящей информации.

пакетов

В ______________ криптосистемах для зашифрования и расшифрования используется один и тот же ключ.

симметричных

В Российской Федерации установлен стандарт криптографического преобразования текста для информационных систем ГОСТ 28147-89, который является типичным представителем семейства _______ шифров.

блочных

Концепция ____________ безопасности определяет основные направления государственной политики в области обеспечения безопасности личности, общества и государства, защищенности страны от внешних и внутренних угроз.

национальной

Международный стандарт ISO/IEC 15408 регламентирует — ___________ критерии оценки безопасности информационных технологий.

общие

Межсетевой ________ — устройство, программа, которые осуществляют фильтрацию данных на основе заранее заданной базы правил.

экран

Метод Диффи — Хеллмана — метод распределения ___________.

ключей

Обеспечением скрытности информации в информационных массивах занимается _____________.

стеганография

Оценка ____________ состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т.д.

риска

Принцип минимума ____________ – один из основополагающих принципов организации системы защиты, гласящий, что каждый субъект должен иметь минимально возможный набор привилегий, необходимый для решения поставленных перед ним задач.

привилегий

Программная ___________ – несанкционированно внедренная программа, осуществляющая угрозу информации

закладка

Сети, позволяющие организовать прозрачное для пользователей соединение сетей, включенных в Интернет, сохраняя секретность и целостность передаваемой информации с помощью шифрования, называются

виртуальными

Укажите задачи защиты информации применительно к различным уровням модели OSI:

Канальный уровень == служит для проверки доступности среды передачи, реализации механизмов обнаружения и коррекции ошибок, обеспечения корректности передачи каждого кадра,, Сеансовый уровень == обеспечивает управление диалогом: фиксирует, какая из сторон является активной в настоящий момент, предоставляет средства синхронизации,, Сетевой уровень == служит для образования единой транспортной системы, объединяющей несколько сетей, причем эти сети могут использовать различные принципы передачи сообщений между конечными узлами и обладать произвольной структурой связей,, Транспортный уровень == обеспечивает приложениям или верхним уровням стека – прикладному и сеансовому – передачу данных с той степенью надежности, которая им требуется

Укажите соответствие между базовым классом симметричных криптосистем и его описанием:

Гаммирование == вид преобразований, при котором его символы складываются (по модулю, равному размеру алфавита) с символами псевдослучайной последовательности, вырабатываемой по некоторому правилу,, Перестановки == вид преобразований, заключающийся в перестановке местами символов исходного текста по некоторому правилу,, Подстановки == вид преобразований, заключающийся в замене символов исходного текста на другие по более или менее сложному правилу

Укажите соответствие между базовыми услугами для обеспечения безопасности информационных систем и их описанием:

аутентификация == достоверность происхождения (источника) данных; достоверность объекта коммуникации.,, контроль доступа == предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом,, конфиденциальность == гарантия того, что информация не может быть доступна или раскрыта для неавторизованных (неуполномоченных) личностей, объектов или процессов,, целостность == состояние данных или компьютерной системы, в которой данные или программы используются установленным образом, обеспечивающим устойчивую работу системы

Укажите соответствие между критерием классификации угроз информационной безопасности сетей и соответствующей классификацией:

По положению источника угроз == вне контролируемой зоны системы в пределах контролируемой зоны системы непосредственно в системе,, По предпосылкам появления угроз == объективные угрозы субъективные угрозы,, По природе происхождения угроз == случайные угрозы преднамеренные угрозы

Укажите соответствие между моделью воздействия программных закладок на компьютеры и ее описанием:

Искажение == программная закладка изменяет информацию, которая записывается в память компьютерной системы в результате работы программ, либо подавляет/инициирует возникновение ошибочных ситуаций в компьютерной системе,, Компрометация == программная закладка позволяет получать доступ к информации, перехваченной другими программными закладками,, Наблюдение == программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение, следит за всеми процессами обработки информации в компьютерной системе, может осуществлять установку и удаление других программных закладок,, Перехват == программная закладка внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних устройств компьютерной системы или выводимую на эти устройства, в скрытой области памяти локальной или удаленной компьютерной системы

Укажите соответствие между органом государственной власти и выполняемой функцией в определении и реализации политики обеспечения национальной безопасности РФ:

Правительство РФ == обеспечение реализации Концепции национальной безопасности РФ,, Президент РФ == руководство органами и силами обеспечения национальной безопасности в пределах конституционных полномочий,, Совет Федерации и Государственная Дума Федерального Собрания РФ == формирование законодательной базы в сфере обеспечения безопасности

Укажите соответствие между основным понятием в области защиты информации и его описанием:

Атака на объекты информационных систем == реализованная угроза безопасности информации,, Риск реализации угроз безопасности информации == вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса,, Уязвимость информации == возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации

Укажите соответствие между основным понятием в области защиты информации и его описанием:

Безопасность информации == степень защищенности информации, хранимой и обрабатываемой в автоматизированной системе, от негативного воздействия на нее с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования,, Защита информации == процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности,, Защищенность информации == поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования

Укажите соответствие между поколениями брандмауэров и выполняемыми ими функциями:

Брандмауэры второго поколения == «Уполномоченные серверы», фильтрующие пакеты на уровне приложений,, Брандмауэры первого поколения == Проверяют адреса отправителя и получателя в проходящих пакетах TCP/IP,, Брандмауэры третьего поколения == Используют для фильтрации специальные многоуровневые методы анализа состояния пакетов SMLT, используют программное обеспечение для анализа данных, способное создавать многоуровневую копию целого пакета

Укажите соответствие между свойством безопасности операционной системы и его описанием:

Безопасная регистрация == Системный администратор может потребовать от всех пользователей наличия пароля для входа в систему,, Дискреционное управление доступом == Владелец файла или другого объекта указывает, кто может пользоваться объектом и каким образом,, Управление привилегированным действием == Системный администратор может получать доступ к объекту, несмотря на установленные его владельцем разрешения доступа

Укажите соответствие между составляющей информационной безопасности и ее описанием:

Доступность информации == гарантия того, что авторизованные пользователи всегда получат доступ к данным,, Конфиденциальность информации == гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен,, Целостность информации == гарантия сохранности данных в неискаженном виде (неизмененном по отношению к некоторому фиксированному их состоянию), которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные

Укажите соответствие между способами воздействия угроз на объекты информационной безопасности РФ и соответствующими примерами:

Информационные == нарушение адресности и своевременности информационного обмена,, Организационно-правовые == неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию,, Программно-математические == внедрение программ-вирусов,, Радиоэлектронные == перехват информации в технических каналах ее утечки,, Физические == хищение программных или аппаратных ключей и средств криптографической защиты информации

Укажите соответствие между способом хранения разрешений доступа к объектам и его описанием:

Матрица защиты == Рядами являются домены, колонками — объекты, на пересечении располагаются ячейки, содержащие права доступа для данного домена к данному объекту,, Перечни возможностей == С каждым процессом ассоциирован список объектов, к которым может быть получен доступ, вместе с информацией о том, какие операции разрешены с каждым объектом, доменом защиты объекта,, Списки управления доступом == С каждым объектом ассоциируется список (упорядоченный), содержащий все домены, которым разрешен доступ к данному объекту, а также тип доступа

Укажите соответствие между средствами защиты информации в сетях и их описанием:

Административные средства защиты == действия, предпринимаемые руководством предприятия или организации,, Законодательные средства защиты == законы, постановления Правительства, нормативные акты и стандарты,, Технические средства защиты == контроль доступа, аудит, шифрование информации, контроль сетевого трафика,, Физические средства защиты == экранирование помещений для защиты от излучения; проверка поставляемой аппаратуры; устройства, блокирующие физический доступ к отдельным блокам компьютера

Укажите соответствие между средством защиты информации и способом действия:

Авторизация == предоставление легальным пользователям дифференцированных прав доступа к ресурсам системы,, Аудит == запись определенных событий в журнал безопасности,, Контроль доступа == предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом,, Мониторинг == система сбора/регистрации, хранения и анализа признаков/параметров описания объекта для вынесения суждения о поведении/состоянии данного объекта в целом

Укажите соответствие между термином и его определением:

Анализ рисков == мероприятия по обследованию безопасности информационной системы с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите,, Обнаружение атак == процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или политики информационной безопасности,, Предотвращение атак == процесс блокировки выявленных вторжений

Укажите соответствие между угрозами национальной безопасности России и соответствующими примерами:

В информационной сфере == нарушение сохранности информационных ресурсов, получение несанкционированного доступа к ним,, В международной сфере == опасность ослабления политического, экономического и военного влияния России в мире, распространение оружия массового уничтожения и средств его доставки,, В сфере экономики == существенное сокращение внутреннего валового продукта, рост внешнего и внутреннего государственного долга,, В экологической сфере == неразвитость законодательной основы природоохранительной деятельности

Укажите соответствие между уровнем безопасности информационной системы и его описанием:

Внешний уровень == определяющий взаимодействие информационной системы организации с глобальными ресурсами и системами других организаций,, Сетевой уровень == связан с доступом к информационным ресурсам внутри локальной сети организации,, Системный уровень == связан с управлением доступом к ресурсам ОС,, Уровень приложений == связан с использованием прикладных ресурсов информационной системы

Укажите соответствие между факторами, влияющими на состояние информационной безопасности РФ, и соответствующими примерами:

Организационно-технические факторы == недостаточная нормативно-правовая база в области информационных отношений, в том числе, в области обеспечения информационной безопасности,, Политические факторы == становление новой российской государственности на принципах законности, демократии, информационной открытости,, Экономические факторы == критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защитыинформации

Управление _________ — основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и до некоторой степени их доступность (путем запрещения обслуживания неавторизованных пользователей)

доступом

Целью атаки «_________ в обслуживании» является частичный или полный вывод из строя операционной системы.

отказ

Электронная (цифровая) _______ — присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

подпись

Источник

A software bug is an error, flaw or fault in the design, development, or operation of computer software that causes it to produce an incorrect or unexpected result, or to behave in unintended ways. The process of finding and correcting bugs is termed «debugging» and often uses formal techniques or tools to pinpoint bugs. Since the 1950s, some computer systems have been designed to deter, detect or auto-correct various computer bugs during operations.

Bugs in software can arise from mistakes and errors made in interpreting and extracting users’ requirements, planning a program’s design, writing its source code, and from interaction with humans, hardware and programs, such as operating systems or libraries. A program with many, or serious, bugs is often described as buggy. Bugs can trigger errors that may have ripple effects. The effects of bugs may be subtle, such as unintended text formatting, through to more obvious effects such as causing a program to crash, freezing the computer, or causing damage to hardware. Other bugs qualify as security bugs and might, for example, enable a malicious user to bypass access controls in order to obtain unauthorized privileges.^[1]

Some software bugs have been linked to disasters. Bugs in code that controlled the Therac-25 radiation therapy machine were directly responsible for patient deaths in the 1980s. In 1996, the European Space Agency’s US$1 billion prototype Ariane 5 rocket was destroyed less than a minute after launch due to a bug in the on-board guidance computer program.^[2] In 1994, an RAF Chinook helicopter crashed, killing 29; this was initially blamed on pilot error, but was later thought to have been caused by a software bug in the engine-control computer.^[3] Buggy software caused the early 21st century British Post Office scandal, the most widespread miscarriage of justice in British legal history.^[4]

In 2002, a study commissioned by the US Department of Commerce’s National Institute of Standards and Technology concluded that «software bugs, or errors, are so prevalent and so detrimental that they cost the US economy an estimated $59 billion annually, or about 0.6 percent of the gross domestic product».^[5]

History[edit]

The Middle English word bugge is the basis for the terms «bugbear» and «bugaboo» as terms used for a monster.^[6]

The term «bug» to describe defects has been a part of engineering jargon since the 1870s^[7] and predates electronics and computers; it may have originally been used in hardware engineering to describe mechanical malfunctions. For instance, Thomas Edison wrote in a letter to an associate in 1878:^[8]

… difficulties arise—this thing gives out and [it is] then that «Bugs»—as such little faults and difficulties are called—show themselves^[9]

Baffle Ball, the first mechanical pinball game, was advertised as being «free of bugs» in 1931.^[10] Problems with military gear during World War II were referred to as bugs (or glitches).^[11] In a book published in 1942, Louise Dickinson Rich, speaking of a powered ice cutting machine, said, «Ice sawing was suspended until the creator could be brought in to take the bugs out of his darling.»^[12]

Isaac Asimov used the term «bug» to relate to issues with a robot in his short story «Catch That Rabbit», published in 1944.

A page from the Harvard Mark II electromechanical computer’s log, featuring a dead moth that was removed from the device

The term «bug» was used in an account by computer pioneer Grace Hopper, who publicized the cause of a malfunction in an early electromechanical computer.^[13] A typical version of the story is:

In 1946, when Hopper was released from active duty, she joined the Harvard Faculty at the Computation Laboratory where she continued her work on the Mark II and Mark III. Operators traced an error in the Mark II to a moth trapped in a relay, coining the term bug. This bug was carefully removed and taped to the log book. Stemming from the first bug, today we call errors or glitches in a program a bug.^[14]

Hopper was not present when the bug was found, but it became one of her favorite stories.^[15] The date in the log book was September 9, 1947.^[16]^[17]^[18] The operators who found it, including William «Bill» Burke, later of the Naval Weapons Laboratory, Dahlgren, Virginia,^[19] were familiar with the engineering term and amusedly kept the insect with the notation «First actual case of bug being found.» This log book, complete with attached moth, is part of the collection of the Smithsonian National Museum of American History.^[17]

The related term «debug» also appears to predate its usage in computing: the Oxford English Dictionary‘s etymology of the word contains an attestation from 1945, in the context of aircraft engines.^[20]

The concept that software might contain errors dates back to Ada Lovelace’s 1843 notes on the analytical engine, in which she speaks of the possibility of program «cards» for Charles Babbage’s analytical engine being erroneous:

… an analysing process must equally have been performed in order to furnish the Analytical Engine with the necessary operative data; and that herein may also lie a possible source of error. Granted that the actual mechanism is unerring in its processes, the cards may give it wrong orders.

Terminology[edit]

While the use of the term «bug» to describe software errors is common, many have suggested that it should be abandoned. One argument is that the word «bug» is divorced from a sense that a human being caused the problem, and instead implies that the defect arose on its own, leading to a push to abandon the term «bug» in favor of terms such as «defect», with limited success.^[21]

The term «bug» may also be used to cover up an intentional design decision. In 2011, after receiving scrutiny from US Senator Al Franken for recording and storing users’ locations in unencrypted files,^[22] Apple called the behavior a bug. However, Justin Brookman of the Center for Democracy and Technology directly challenged that portrayal, stating «I’m glad that they are fixing what they call bugs, but I take exception with their strong denial that they track users.»^[23]

In software engineering, mistake metamorphism (from Greek meta = «change», morph = «form») refers to the evolution of a defect in the final stage of software deployment. Transformation of a «mistake» committed by an analyst in the early stages of the software development lifecycle, which leads to a «defect» in the final stage of the cycle has been called ‘mistake metamorphism’.^[24]

Different stages of a «mistake» in the entire cycle may be described as «mistakes», «anomalies», «faults», «failures», «errors», «exceptions», «crashes», «glitches», «bugs», «defects», «incidents», or «side effects».^[24]

Prevention[edit]

Error resulting from a software bug displayed on two screens at La Croix de Berny station in France

The software industry has put much effort into reducing bug counts.^[25]^[26] These include:

Typographical errors[edit]

Bugs usually appear when the programmer makes a logic error. Various innovations in programming style and defensive programming are designed to make these bugs less likely, or easier to spot. Some typos, especially of symbols or logical/mathematical operators, allow the program to operate incorrectly, while others such as a missing symbol or misspelled name may prevent the program from operating. Compiled languages can reveal some typos when the source code is compiled.

Development methodologies[edit]

Several schemes assist managing programmer activity so that fewer bugs are produced. Software engineering (which addresses software design issues as well) applies many techniques to prevent defects. For example, formal program specifications state the exact behavior of programs so that design bugs may be eliminated. Unfortunately, formal specifications are impractical for anything but the shortest programs, because of problems of combinatorial explosion and indeterminacy.

Unit testing involves writing a test for every function (unit) that a program is to perform.

In test-driven development unit tests are written before the code and the code is not considered complete until all tests complete successfully.

Agile software development involves frequent software releases with relatively small changes. Defects are revealed by user feedback.

Open source development allows anyone to examine source code. A school of thought popularized by Eric S. Raymond as Linus’s law says that popular open-source software has more chance of having few or no bugs than other software, because «given enough eyeballs, all bugs are shallow».^[27] This assertion has been disputed, however: computer security specialist Elias Levy wrote that «it is easy to hide vulnerabilities in complex, little understood and undocumented source code,» because, «even if people are reviewing the code, that doesn’t mean they’re qualified to do so.»^[28] An example of an open-source software bug was the 2008 OpenSSL vulnerability in Debian.

Programming language support[edit]

Programming languages include features to help prevent bugs, such as static type systems, restricted namespaces and modular programming. For example, when a programmer writes (pseudocode) LET REAL_VALUE PI = "THREE AND A BIT", although this may be syntactically correct, the code fails a type check. Compiled languages catch this without having to run the program. Interpreted languages catch such errors at runtime. Some languages deliberately exclude features that easily lead to bugs, at the expense of slower performance: the general principle being that, it is almost always better to write simpler, slower code than inscrutable code that runs slightly faster, especially considering that maintenance cost is substantial. For example, the Java programming language does not support pointer arithmetic; implementations of some languages such as Pascal and scripting languages often have runtime bounds checking of arrays, at least in a debugging build.

Code analysis[edit]

Tools for code analysis help developers by inspecting the program text beyond the compiler’s capabilities to spot potential problems. Although in general the problem of finding all programming errors given a specification is not solvable (see halting problem), these tools exploit the fact that human programmers tend to make certain kinds of simple mistakes often when writing software.

Instrumentation[edit]

Tools to monitor the performance of the software as it is running, either specifically to find problems such as bottlenecks or to give assurance as to correct working, may be embedded in the code explicitly (perhaps as simple as a statement saying PRINT "I AM HERE"), or provided as tools. It is often a surprise to find where most of the time is taken by a piece of code, and this removal of assumptions might cause the code to be rewritten.

Testing[edit]

Software testers are people whose primary task is to find bugs, or write code to support testing. On some efforts, more resources may be spent on testing than in developing the program.

Measurements during testing can provide an estimate of the number of likely bugs remaining; this becomes more reliable the longer a product is tested and developed.^{[citation needed]}

Debugging[edit]

The typical bug history (GNU Classpath project data). A new bug submitted by the user is unconfirmed. Once it has been reproduced by a developer, it is a confirmed bug. The confirmed bugs are later fixed. Bugs belonging to other categories (unreproducible, will not be fixed, etc.) are usually in the minority.

Finding and fixing bugs, or debugging, is a major part of computer programming. Maurice Wilkes, an early computing pioneer, described his realization in the late 1940s that much of the rest of his life would be spent finding mistakes in his own programs.^[29]

Usually, the most difficult part of debugging is finding the bug. Once it is found, correcting it is usually relatively easy. Programs known as debuggers help programmers locate bugs by executing code line by line, watching variable values, and other features to observe program behavior. Without a debugger, code may be added so that messages or values may be written to a console or to a window or log file to trace program execution or show values.

However, even with the aid of a debugger, locating bugs is something of an art. It is not uncommon for a bug in one section of a program to cause failures in a completely different section,^{[citation needed]} thus making it especially difficult to track (for example, an error in a graphics rendering routine causing a file I/O routine to fail), in an apparently unrelated part of the system.

Sometimes, a bug is not an isolated flaw, but represents an error of thinking or planning on the part of the programmer. Such logic errors require a section of the program to be overhauled or rewritten. As a part of code review, stepping through the code and imagining or transcribing the execution process may often find errors without ever reproducing the bug as such.

More typically, the first step in locating a bug is to reproduce it reliably. Once the bug is reproducible, the programmer may use a debugger or other tool while reproducing the error to find the point at which the program went astray.

Some bugs are revealed by inputs that may be difficult for the programmer to re-create. One cause of the Therac-25 radiation machine deaths was a bug (specifically, a race condition) that occurred only when the machine operator very rapidly entered a treatment plan; it took days of practice to become able to do this, so the bug did not manifest in testing or when the manufacturer attempted to duplicate it. Other bugs may stop occurring whenever the setup is augmented to help find the bug, such as running the program with a debugger; these are called heisenbugs (humorously named after the Heisenberg uncertainty principle).

Since the 1990s, particularly following the Ariane 5 Flight 501 disaster, interest in automated aids to debugging rose, such as static code analysis by abstract interpretation.^[30]

Some classes of bugs have nothing to do with the code. Faulty documentation or hardware may lead to problems in system use, even though the code matches the documentation. In some cases, changes to the code eliminate the problem even though the code then no longer matches the documentation. Embedded systems frequently work around hardware bugs, since to make a new version of a ROM is much cheaper than remanufacturing the hardware, especially if they are commodity items.

Benchmark of bugs[edit]

To facilitate reproducible research on testing and debugging, researchers use curated benchmarks of bugs:

the Siemens benchmark
ManyBugs^[31] is a benchmark of 185 C bugs in nine open-source programs.
Defects4J^[32] is a benchmark of 341 Java bugs from 5 open-source projects. It contains the corresponding patches, which cover a variety of patch type.

Bug management[edit]

Bug management includes the process of documenting, categorizing, assigning, reproducing, correcting and releasing the corrected code. Proposed changes to software – bugs as well as enhancement requests and even entire releases – are commonly tracked and managed using bug tracking systems or issue tracking systems.^[33] The items added may be called defects, tickets, issues, or, following the agile development paradigm, stories and epics. Categories may be objective, subjective or a combination, such as version number, area of the software, severity and priority, as well as what type of issue it is, such as a feature request or a bug.

A bug triage reviews bugs and decides whether and when to fix them. The decision is based on the bug’s priority, and factors such as development schedules. The triage is not meant to investigate the cause of bugs, but rather the cost of fixing them. The triage happens regularly, and goes through bugs opened or reopened since the previous meeting. The attendees of the triage process typically are the project manager, development manager, test manager, build manager, and technical experts.^[34]^[35]

Severity[edit]

Severity is the intensity of the impact the bug has on system operation.^[36] This impact may be data loss, financial, loss of goodwill and wasted effort. Severity levels are not standardized. Impacts differ across industry. A crash in a video game has a totally different impact than a crash in a web browser, or real time monitoring system. For example, bug severity levels might be «crash or hang», «no workaround» (meaning there is no way the customer can accomplish a given task), «has workaround» (meaning the user can still accomplish the task), «visual defect» (for example, a missing image or displaced button or form element), or «documentation error». Some software publishers use more qualified severities such as «critical», «high», «low», «blocker» or «trivial».^[37] The severity of a bug may be a separate category to its priority for fixing, and the two may be quantified and managed separately.

Priority[edit]

Priority controls where a bug falls on the list of planned changes. The priority is decided by each software producer. Priorities may be numerical, such as 1 through 5, or named, such as «critical», «high», «low», or «deferred». These rating scales may be similar or even identical to severity ratings, but are evaluated as a combination of the bug’s severity with its estimated effort to fix; a bug with low severity but easy to fix may get a higher priority than a bug with moderate severity that requires excessive effort to fix. Priority ratings may be aligned with product releases, such as «critical» priority indicating all the bugs that must be fixed before the next software release.

A bug severe enough to delay or halt the release of the product is called a «show stopper»^[38] or «showstopper bug».^[39] It is named so because it «stops the show» – causes unacceptable product failure.^[39]

Software releases[edit]

It is common practice to release software with known, low-priority bugs. Bugs of sufficiently high priority may warrant a special release of part of the code containing only modules with those fixes. These are known as patches. Most releases include a mixture of behavior changes and multiple bug fixes. Releases that emphasize bug fixes are known as maintenance releases, to differentiate it from major releases that emphasize feature additions or changes.

Reasons that a software publisher opts not to patch or even fix a particular bug include:

A deadline must be met and resources are insufficient to fix all bugs by the deadline.^[40]
The bug is already fixed in an upcoming release, and it is not of high priority.
The changes required to fix the bug are too costly or affect too many other components, requiring a major testing activity.
It may be suspected, or known, that some users are relying on the existing buggy behavior; a proposed fix may introduce a breaking change.
The problem is in an area that will be obsolete with an upcoming release; fixing it is unnecessary.
«It’s not a bug, it’s a feature».^[41] A misunderstanding has arisen between expected and perceived behavior or undocumented feature.

Types[edit]

In software development, a mistake or error may be introduced at any stage. Bugs arise from oversight or misunderstanding by a software team during specification, design, coding, configuration, data entry or documentation. For example, a relatively simple program to alphabetize a list of words, the design might fail to consider what should happen when a word contains a hyphen. Or when converting an abstract design into code, the coder might inadvertently create an off-by-one error which can be a «<» where «<=» was intended, and fail to sort the last word in a list.

Another category of bug is called a race condition that may occur when programs have multiple components executing at the same time. If the components interact in a different order than the developer intended, they could interfere with each other and stop the program from completing its tasks. These bugs may be difficult to detect or anticipate, since they may not occur during every execution of a program.

Conceptual errors are a developer’s misunderstanding of what the software must do. The resulting software may perform according to the developer’s understanding, but not what is really needed. Other types:

Arithmetic[edit]

In operations on numerical values, problems can arise that result in unexpected output, slowing of a process, or crashing.^[42] These can be from a lack of awareness of the qualities of the data storage such as a loss of precision due to rounding, numerically unstable algorithms, arithmetic overflow and underflow, or from lack of awareness of how calculations are handled by different software coding languages such as division by zero which in some languages may throw an exception, and in others may return a special value such as NaN or infinity.

Control flow[edit]

Control flow bugs are those found in processes with valid logic, but that lead to unintended results, such as infinite loops and infinite recursion, incorrect comparisons for conditional statements such as using the incorrect comparison operator, and off-by-one errors (counting one too many or one too few iterations when looping).

Interfacing[edit]

Incorrect API usage.
Incorrect protocol implementation.
Incorrect hardware handling.
Incorrect assumptions of a particular platform.
Incompatible systems. A new API or communications protocol may seem to work when two systems use different versions, but errors may occur when a function or feature implemented in one version is changed or missing in another. In production systems which must run continually, shutting down the entire system for a major update may not be possible, such as in the telecommunication industry^[43] or the internet.^[44]^[45]^[46] In this case, smaller segments of a large system are upgraded individually, to minimize disruption to a large network. However, some sections could be overlooked and not upgraded, and cause compatibility errors which may be difficult to find and repair.
Incorrect code annotations.

Concurrency[edit]

Deadlock, where task A cannot continue until task B finishes, but at the same time, task B cannot continue until task A finishes.
Race condition, where the computer does not perform tasks in the order the programmer intended.
Concurrency errors in critical sections, mutual exclusions and other features of concurrent processing. Time-of-check-to-time-of-use (TOCTOU) is a form of unprotected critical section.

Resourcing[edit]

Null pointer dereference.
Using an uninitialized variable.
Using an otherwise valid instruction on the wrong data type (see packed decimal/binary-coded decimal).
Access violations.
Resource leaks, where a finite system resource (such as memory or file handles) become exhausted by repeated allocation without release.
Buffer overflow, in which a program tries to store data past the end of allocated storage. This may or may not lead to an access violation or storage violation. These are frequently security bugs.
Excessive recursion which—though logically valid—causes stack overflow.
Use-after-free error, where a pointer is used after the system has freed the memory it references.
Double free error.

Syntax[edit]

Use of the wrong token, such as performing assignment instead of equality test. For example, in some languages x=5 will set the value of x to 5 while x==5 will check whether x is currently 5 or some other number. Interpreted languages allow such code to fail. Compiled languages can catch such errors before testing begins.

Teamwork[edit]

Unpropagated updates; e.g. programmer changes «myAdd» but forgets to change «mySubtract», which uses the same algorithm. These errors are mitigated by the Don’t Repeat Yourself philosophy.
Comments out of date or incorrect: many programmers assume the comments accurately describe the code.
Differences between documentation and product.

Implications[edit]

The amount and type of damage a software bug may cause naturally affects decision-making, processes and policy regarding software quality. In applications such as human spaceflight, aviation, nuclear power, health care, public transport or automotive safety, since software flaws have the potential to cause human injury or even death, such software will have far more scrutiny and quality control than, for example, an online shopping website. In applications such as banking, where software flaws have the potential to cause serious financial damage to a bank or its customers, quality control is also more important than, say, a photo editing application.

Other than the damage caused by bugs, some of their cost is due to the effort invested in fixing them. In 1978, Lientz et al. showed that the median of projects invest 17 percent of the development effort in bug fixing.^[47] In 2020, research on GitHub repositories showed the median is 20%.^[48]

Residual bugs in delivered product[edit]

In 1994, NASA’s Goddard Space Flight Center managed to reduce their average number of errors from 4.5 per 1000 lines of code (SLOC) down to 1 per 1000 SLOC.^[49]

Another study in 1990 reported that exceptionally good software development processes can achieve deployment failure rates as low as 0.1 per 1000 SLOC.^[50] This figure is iterated in literature such as Code Complete by Steve McConnell,^[51] and the NASA study on Flight Software Complexity.^[52] Some projects even attained zero defects: the firmware in the IBM Wheelwriter typewriter which consists of 63,000 SLOC, and the Space Shuttle software with 500,000 SLOC.^[50]

Well-known bugs[edit]

A number of software bugs have become well-known, usually due to their severity: examples include various space and military aircraft crashes. Possibly the most famous bug is the Year 2000 problem or Y2K bug, which caused many programs written long before the transition from 19xx to 20xx dates to malfunction, for example treating a date such as «25 Dec 04» as being in 1904, displaying «19100» instead of «2000», and so on. A huge effort at the end of the 20th century resolved the most severe problems, and there were no major consequences.

The 2012 stock trading disruption involved one such incompatibility between the old API and a new API.

In politics[edit]

«Bugs in the System» report[edit]

The Open Technology Institute, run by the group, New America,^[53] released a report «Bugs in the System» in August 2016 stating that U.S. policymakers should make reforms to help researchers identify and address software bugs. The report «highlights the need for reform in the field of software vulnerability discovery and disclosure.»^[54] One of the report’s authors said that Congress has not done enough to address cyber software vulnerability, even though Congress has passed a number of bills to combat the larger issue of cyber security.^[54]

Government researchers, companies, and cyber security experts are the people who typically discover software flaws. The report calls for reforming computer crime and copyright laws.^[54]

The Computer Fraud and Abuse Act, the Digital Millennium Copyright Act and the Electronic Communications Privacy Act criminalize and create civil penalties for actions that security researchers routinely engage in while conducting legitimate security research, the report said.^[54]

In popular culture[edit]

In video gaming, the term «glitch» is sometimes used to refer to a software bug. An example is the glitch and unofficial Pokémon species MissingNo..
In both the 1968 novel 2001: A Space Odyssey and the corresponding 1968 film 2001: A Space Odyssey, a spaceship’s onboard computer, HAL 9000, attempts to kill all its crew members. In the follow-up 1982 novel, 2010: Odyssey Two, and the accompanying 1984 film, 2010, it is revealed that this action was caused by the computer having been programmed with two conflicting objectives: to fully disclose all its information, and to keep the true purpose of the flight secret from the crew; this conflict caused HAL to become paranoid and eventually homicidal.
In the English version of the Nena 1983 song 99 Luftballons (99 Red Balloons) as a result of «bugs in the software», a release of a group of 99 red balloons are mistaken for an enemy nuclear missile launch, requiring an equivalent launch response, resulting in catastrophe.
In the 1999 American comedy Office Space, three employees attempt (unsuccessfully) to exploit their company’s preoccupation with the Y2K computer bug using a computer virus that sends rounded-off fractions of a penny to their bank account—a long-known technique described as salami slicing.
The 2004 novel The Bug, by Ellen Ullman, is about a programmer’s attempt to find an elusive bug in a database application.^[55]
The 2008 Canadian film Control Alt Delete is about a computer programmer at the end of 1999 struggling to fix bugs at his company related to the year 2000 problem.

References[edit]

^ Mittal, Varun; Aditya, Shivam (January 1, 2015). «Recent Developments in the Field of Bug Fixing». Procedia Computer Science. International Conference on Computer, Communication and Convergence (ICCC 2015). 48: 288–297. doi:10.1016/j.procs.2015.04.184. ISSN 1877-0509.
^ «Ariane 501 – Presentation of Inquiry Board report». www.esa.int. Retrieved January 29, 2022.
^ Prof. Simon Rogerson. «The Chinook Helicopter Disaster». Ccsr.cse.dmu.ac.uk. Archived from the original on July 17, 2012. Retrieved September 24, 2012.
^ «Post Office scandal ruined lives, inquiry hears». BBC News. February 14, 2022.
^ «Software bugs cost US economy dear». June 10, 2009. Archived from the original on June 10, 2009. Retrieved September 24, 2012.{{cite web}}: CS1 maint: unfit URL (link)
^ Computerworld staff (September 3, 2011). «Moth in the machine: Debugging the origins of ‘bug’«. Computerworld. Archived from the original on August 25, 2015.
^ «bug». Oxford English Dictionary (Online ed.). Oxford University Press. (Subscription or participating institution membership required.) 5a
^ «Did You Know? Edison Coined the Term «Bug»«. August 1, 2013. Retrieved July 19, 2019.
^ Edison to Puskas, 13 November 1878, Edison papers, Edison National Laboratory, U.S. National Park Service, West Orange, N.J., cited in Hughes, Thomas Parke (1989). American Genesis: A Century of Invention and Technological Enthusiasm, 1870–1970. Penguin Books. p. 75. ISBN 978-0-14-009741-2.
^ «Baffle Ball». Internet Pinball Database. (See image of advertisement in reference entry)
^ «Modern Aircraft Carriers are Result of 20 Years of Smart Experimentation». Life. June 29, 1942. p. 25. Archived from the original on June 4, 2013. Retrieved November 17, 2011.
^ Dickinson Rich, Louise (1942), We Took to the Woods, JB Lippincott Co, p. 93, LCCN 42024308, OCLC 405243, archived from the original on March 16, 2017.
^ FCAT NRT Test, Harcourt, March 18, 2008
^ «Danis, Sharron Ann: «Rear Admiral Grace Murray Hopper»«. ei.cs.vt.edu. February 16, 1997. Retrieved January 31, 2010.
^ James S. Huggins. «First Computer Bug». Jamesshuggins.com. Archived from the original on August 16, 2000. Retrieved September 24, 2012.
^ «Bug Archived March 23, 2017, at the Wayback Machine», The Jargon File, ver. 4.4.7. Retrieved June 3, 2010.
^ ^a ^b «Log Book With Computer Bug Archived March 23, 2017, at the Wayback Machine», National Museum of American History, Smithsonian Institution.
^ «The First «Computer Bug», Naval Historical Center. But note the Harvard Mark II computer was not complete until the summer of 1947.
^ IEEE Annals of the History of Computing, Vol 22 Issue 1, 2000
^ Journal of the Royal Aeronautical Society. 49, 183/2, 1945 «It ranged … through the stage of type test and flight test and ‘debugging’ …»
^ «News at SEI 1999 Archive». cmu.edu. Archived from the original on May 26, 2013.
^ «Apple faces questions from Congress about iPhone tracking». Computerworld. April 21, 2011. Archived from the original on July 20, 2019.
^ «Apple denies tracking iPhone users, but promises changes». Computerworld. April 27, 2011. Archived from the original on March 29, 2023.
^ ^a ^b «Testing experience : te : the magazine for professional testers». Testing Experience. Germany: testingexperience: 42. March 2012. ISSN 1866-5705. (subscription required)
^ Huizinga, Dorota; Kolawa, Adam (2007). Automated Defect Prevention: Best Practices in Software Management. Wiley-IEEE Computer Society Press. p. 426. ISBN 978-0-470-04212-0. Archived from the original on April 25, 2012.
^ McDonald, Marc; Musson, Robert; Smith, Ross (2007). The Practical Guide to Defect Prevention. Microsoft Press. p. 480. ISBN 978-0-7356-2253-1.
^ «Release Early, Release Often» Archived May 14, 2011, at the Wayback Machine, Eric S. Raymond, The Cathedral and the Bazaar
^ «Wide Open Source» Archived September 29, 2007, at the Wayback Machine, Elias Levy, SecurityFocus, April 17, 2000
^ Maurice Wilkes Quotes
^ «PolySpace Technologies history». christele.faure.pagesperso-orange.fr. Retrieved August 1, 2019.
^ Le Goues, Claire; Holtschulte, Neal; Smith, Edward K.; Brun, Yuriy; Devanbu, Premkumar; Forrest, Stephanie; Weimer, Westley (2015). «The ManyBugs and IntroClass Benchmarks for Automated Repair of C Programs». IEEE Transactions on Software Engineering. 41 (12): 1236–1256. doi:10.1109/TSE.2015.2454513. ISSN 0098-5589.
^ Just, René; Jalali, Darioush; Ernst, Michael D. (2014). «Defects4J: a database of existing faults to enable controlled testing studies for Java programs». Proceedings of the 2014 International Symposium on Software Testing and Analysis – ISSTA 2014. pp. 437–440. CiteSeerX 10.1.1.646.3086. doi:10.1145/2610384.2628055. ISBN 9781450326452. S2CID 12796895.
^ Allen, Mitch (May–June 2002). «Bug Tracking Basics: A beginner’s guide to reporting and tracking defects». Software Testing & Quality Engineering Magazine. Vol. 4, no. 3. pp. 20–24. Retrieved December 19, 2017.
^ Rex Black (2002). Managing The Testing Process (2nd ed.). Wiley India Pvt. Limited. p. 139. ISBN 978-8126503131. Retrieved June 19, 2021.
^ Chris Vander Mey (2012). Shipping Greatness — Practical Lessons on Building and Launching Outstanding Software, Learned on the Job at Google and Amazon. O’Reilly Media. pp. 79–81. ISBN 978-1449336608.
^ Soleimani Neysiani, Behzad; Babamir, Seyed Morteza; Aritsugi, Masayoshi (October 1, 2020). «Efficient feature extraction model for validation performance improvement of duplicate bug report detection in software bug triage systems». Information and Software Technology. 126: 106344. doi:10.1016/j.infsof.2020.106344. S2CID 219733047.
^ «5.3. Anatomy of a Bug». bugzilla.org. Archived from the original on May 23, 2013.
^ Jones, Wilbur D. Jr., ed. (1989). «Show stopper». Glossary: defense acquisition acronyms and terms (4 ed.). Fort Belvoir, Virginia: Department of Defense, Defense Systems Management College. p. 123. hdl:2027/mdp.39015061290758 – via Hathitrust.
^ ^a ^b Zachary, G. Pascal (1994). Show-stopper!: the breakneck race to create Windows NT and the next generation at Microsoft. New York: The Free Press. p. 158. ISBN 0029356717 – via archive.org.
^ «The Next Generation 1996 Lexicon A to Z: Slipstream Release». Next Generation. No. 15. March 1996. p. 41.
^ Carr, Nicholas (2018). «‘It’s Not a Bug, It’s a Feature.’ Trite – or Just Right?». wired.com.
^ Di Franco, Anthony; Guo, Hui; Cindy, Rubio-González. «A Comprehensive Study of Real-World Numerical Bug Characteristics» (PDF). Archived (PDF) from the original on October 9, 2022.
^ Kimbler, K. (1998). Feature Interactions in Telecommunications and Software Systems V. IOS Press. p. 8. ISBN 978-90-5199-431-5.
^ Syed, Mahbubur Rahman (2001). Multimedia Networking: Technology, Management and Applications: Technology, Management and Applications. Idea Group Inc (IGI). p. 398. ISBN 978-1-59140-005-9.
^ Wu, Chwan-Hwa (John); Irwin, J. David (2016). Introduction to Computer Networks and Cybersecurity. CRC Press. p. 500. ISBN 978-1-4665-7214-0.
^ RFC 1263: «TCP Extensions Considered Harmful» quote: «the time to distribute the new version of the protocol to all hosts can be quite long (forever in fact). … If there is the slightest incompatibly between old and new versions, chaos can result.»
^ Lientz, B. P.; Swanson, E. B.; Tompkins, G. E. (1978). «Characteristics of Application Software Maintenance». Communications of the ACM. 21 (6): 466–471. doi:10.1145/359511.359522. S2CID 14950091.
^ Amit, Idan; Feitelson, Dror G. (2020). «The Corrective Commit Probability Code Quality Metric». arXiv:2007.10912 [cs.SE].
^ An overview of the Software Engineering Laboratory (PDF) (Report). Maryland: Goddard Space Flight Center, NASA. December 1, 1994. pp 41–42 Figure 18; pp 43–44 Figure 21. CR-189410; SEL-94-005. Archived (PDF) from the original on November 22, 2022. Retrieved November 22, 2022. (bibliography: An overview of the Software Engineering Laboratory)
^ ^a ^b Cobb, Richard H.; Mills, Harlan D. (1990). «Engineering software under statistical quality control». IEEE Software. 7 (6): 46. doi:10.1109/52.60601. ISSN 1937-4194. S2CID 538311 – via University of Tennessee – Harlan D. Mills Collection.
^ McConnell, Steven C. (1993). Code Complete. Redmond, Washington: Microsoft Press. p. 611. ISBN 978-1556154843 – via archive.org. (Cobb and Mills 1990)
^ Holzmann, Gerard (March 6, 2009). «Appendix D – Software Complexity» (PDF). In Dvorak, Daniel L. (ed.). NASA Study on Flight Software Complexity (Report). NASA. pdf frame 109/264. Appendix D p.2. Archived (PDF) from the original on March 8, 2022. Retrieved November 22, 2022. (under NASA Office of the Chief Engineer Technical Excellence Initiative)
^ Wilson, Andi; Schulman, Ross; Bankston, Kevin; Herr, Trey. «Bugs in the System» (PDF). Open Policy Institute. Archived (PDF) from the original on September 21, 2016. Retrieved August 22, 2016.
^ ^a ^b ^c ^d Rozens, Tracy (August 12, 2016). «Cyber reforms needed to strengthen software bug discovery and disclosure: New America report – Homeland Preparedness News». Retrieved August 23, 2016.
^ Ullman, Ellen (2004). The Bug. Picador. ISBN 978-1-250-00249-5.

External links[edit]

«Common Weakness Enumeration» – an expert webpage focus on bugs, at NIST.gov
BUG type of Jim Gray – another Bug type
Picture of the «first computer bug» at the Wayback Machine (archived January 12, 2015)
«The First Computer Bug!» – an email from 1981 about Adm. Hopper’s bug
«Toward Understanding Compiler Bugs in GCC and LLVM». A 2016 study of bugs in compilers

Источник

Читайте также

Общий обзор средств безопасности: дескриптор безопасности

Совет 66: Угрозы для всех систем

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Центр обеспечения безопасности и компоненты безопасности

6.1. Угрозы, подстерегающие пользователя

1.2. Понятие информации. Общая характеристика процессов сбора, передачи, обработки и накопления информации

Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил

Угрозы требуют действий

Анализ поправок, принятых Госдумой, к закону «Об информации, информационных технологиях и о защите информации» Сергей Голубицкий

Характер угрозы

Угрозы реальные и мнимые

Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов

Компьютеризованные истории болезни: угрозы

Другие угрозы

Читайте также

Общий обзор средств безопасности: дескриптор безопасности

Совет 66: Угрозы для всех систем

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Центр обеспечения безопасности и компоненты безопасности

6.1. Угрозы, подстерегающие пользователя

1.2. Понятие информации. Общая характеристика процессов сбора, передачи, обработки и накопления информации

Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил

Угрозы требуют действий

Анализ поправок, принятых Госдумой, к закону «Об информации, информационных технологиях и о защите информации» Сергей Голубицкий

Характер угрозы

Угрозы реальные и мнимые

Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов

Компьютеризованные истории болезни: угрозы

Другие угрозы

History[edit]

Terminology[edit]

Prevention[edit]

Typographical errors[edit]

Development methodologies[edit]

Programming language support[edit]

Code analysis[edit]

Instrumentation[edit]

Testing[edit]

Debugging[edit]

Benchmark of bugs[edit]

Bug management[edit]

Severity[edit]

Priority[edit]

Software releases[edit]

Types[edit]

Arithmetic[edit]

Control flow[edit]

Interfacing[edit]

Concurrency[edit]

Resourcing[edit]

Syntax[edit]

Teamwork[edit]

Implications[edit]

Residual bugs in delivered product[edit]

Well-known bugs[edit]

In politics[edit]

«Bugs in the System» report[edit]

In popular culture[edit]

See also[edit]

References[edit]

External links[edit]