Fiszki
Skiba test
Test w formie fiszek
Ilość pytań: 19
Rozwiązywany: 756 razy
Zasada separacji obowiązkó pracowników (ang.SoD) w modelu Clarka-Wilsona:
Nie wymusza podział transakcji na rozdzielne etapy wykonywane przez różnych pracowników
Ma zapobiegać nadużyciom, które mogą powstać wtedy, gdy całą transakcję przeprowadza jeden pracownik
wymusza podział transakcji na rozdzielne etapy wykonywane przez tego samego pracownika
Ma zapewnić, że pracownik nie będzie przetwarzał danych w sposób dowolny, tylko zgodnie z ustalonymi regułami
Ma zapobiegać nadużyciom, które mogą powstać wtedy, gdy całą transakcję przeprowadza jeden pracownik
Podstawowa reguła unikania konfliktu interesów (w modelu Brewera-Nasha) brzmi:
Podmiot ma dostęp do dowolnej informacji (obiektu) dopóty, dopóki nie uzyska dostępu do informacji tej samej organizacji z tej samej klasy konfliktu interesów
Podmiot ma dostęp do konkretnej informacji (obiektu) dopóty, dopóki nie uzyska dostępu do informacji innej organizacji z tej samej klasy konfliktu interesów
Podmiot ma dostęp do konkretnej informacji (obiektu) dopóty, dopóki nie uzyska dostępu do informacji tej samej organizacji z tej samej klasy konfliktu interesów
Podmiot ma dostęp do dowolnej informacji (obiektu) dopóty, dopóki nie uzyska dostępu do informacji innej organizacji z tej samej klasy konfliktu interesów
Podmiot ma dostęp do dowolnej informacji (obiektu) dopóty, dopóki nie uzyska dostępu do informacji innej organizacji z tej samej klasy konfliktu interesów
Reguła niskiego znacznika dla podmiotu modelu Biby to:
podmiot może odczytać (obserwować) obiekt o dowolnej etykiecie integralności ale po tej operacji poziom integralności podmiotu jest zmieniany na niższy z dwóch: poziom integralności podmiotu, etykieta integralności obiektu
podmiot może odczytać (obserwować) obiekt o niższej etykiecie integralności ale po tej operacji poziom integralności podmiotu jest zmieniany na niższy z dwóch: poziom integralności podmiotu, etykieta integralności obiektu
podmiot może odczytać (obserwować) obiekt o niższej etykiecie integralności
podmiot może odczytać (obserwować) obiekt o dowolnej etykiecie integralności
podmiot może odczytać (obserwować) obiekt o dowolnej etykiecie integralności ale po tej operacji poziom integralności podmiotu jest zmieniany na niższy z dwóch: poziom integralności podmiotu, etykieta integralności obiektu
Wskaż zdanie prawdziwe. W modelu Brewera-Nasha:
Obiekt może być przypisany do konkretnego zbioru organizacji
formalną etykietą bezpieczeństwa dla obiektu oj jest para (cc(oj), cd(oj))
klasa konfliktów interesów może zawierać jedną lub więcej organizacji
organizacja może należeć do konkretnej klasy konfliktu interesów
klasa konfliktów interesów może zawierać jedną lub więcej organizacji
Przykładem zagrożenia systemu teleinformatycznego z kategorii sił wyższych jest:
nieuprawnione działania personelu
nieuprawnione działanie osób postronnych
emisja ujawniająca
podsłuch
emisja ujawniająca
Relewantność informacji:
oznacza, że informacja jest dostępna w ilości i stopniu szczegółowości zgodnym z wymaganiami jej użytkownika
określa, czy informacja jest istotna dla odbiorcy, związana z tym, czego odbiorca poszukuje
oznacza, że jest ona precyzyjna oraz zaprezentowana w sposób odpowiedni do poziomu wiedzy jej użytkownika
oznacza, że informacja jest zmieniana bez opóźnień, odpowiednio do zmian przedmiotu opisu
określa, czy informacja jest istotna dla odbiorcy, związana z tym, czego odbiorca poszukuje
Reguła niedostępności obiektu nieaktywnego w modelu Bella-LaPaduli oznacza, że:
Jeden podmiot nie ma uprawnień czytania r do obiektu nieaktywnego
Żaden podmiot nie ma uprawnień czytania r ani pisania w do obiektu nieaktywnego
Jeden podmiot nie ma uprawnień czytania r ani pisania w do obiektu nieaktywnego
Żaden podmiot nie ma uprawnień czytania r do obiektu nieaktywnego
Żaden podmiot nie ma uprawnień czytania r ani pisania w do obiektu nieaktywnego
Tryb systemowy pracy systemu komputerowego to taki, w którym są spełnione łącznie dwa warunki:
wszyscy użytkownicy mają uzasadnioną do dostępu do wszystkich informacji przetwarzanych w tym systemie komputerowym
jeden użytkownik ma uprawnienia do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie komputerowym
wszyscy użytkownicy mają uzasadnioną do dostępu do wszystkich informacji przetwarzanych w tym systemie komputerowym
nie wszyscy użytkownicy mają uzasadnioną do dostępu do wszystkich informacji przetwarzanych w tym systemie komputerowym
wszyscy użytkownicy mają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie komputerowym
jeden użytkownik ma uprawnienia do dostępu do informacji niejawnych o najniższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie komputerowym
nie wszyscy użytkownicy mają uzasadnioną do dostępu do wszystkich informacji przetwarzanych w tym systemie komputerowym
wszyscy użytkownicy mają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie komputerowym
Uznaniowe sterowanie dostępem (ang. Directionary Access Control, DAC) to takie gdzie:
rodki ochronne ograniczające dostęp do obiektów wykorzystują przypisane do podmiotów i obiektów atrybuty, warunki opisujące środowisko i zbiory zasad wyspecyfikowane w terminach opisujących ww. atrybuty i warunki
Uprawnienia dostępu do obiektów zamiast podmiotowi są przypisane rolom, które taki podmiot może odgrywać. Podmiot może odgrywać różne role ale zawsze powinien mieć tylko takie uprawnienia, jakie są niezbędne do wypełnienia aktualnej roli
Środki ochronne ograniczające dostęp do obiektów wykorzystują atrybut własności obiektu umożliwiający podmiotowi-właścicielowi nadanie lub odebranie innemu podmiotowi (lub grupie podmiotów) prawa dostępu do obiektu, którego jest właścicielem
Środki ochronne ograniczające dostęp do obiektów wykorzystują przypisane do obiektów etykiety określające wymagany poziom siły ochrony obiektu oraz formalnie nadane podmiotom poziomy uprawnień (ang. Clerance level)
Środki ochronne ograniczające dostęp do obiektów wykorzystują atrybut własności obiektu umożliwiający podmiotowi-właścicielowi nadanie lub odebranie innemu podmiotowi (lub grupie podmiotów) prawa dostępu do obiektu, którego jest właścicielem
Źródłem incydentów w systemie teleinformatycznym są:
Zrealizowane zagrożenia
Testy penetracyjne
Zagrożenia
Ataki
Zrealizowane zagrożenia
Obowiązkowe sterowanie dostępem (Mandatory Access Control, MAC) to takie, gdzie:
rodki ochronne ograniczające dostęp do obiektów wykorzystują przypisane do podmiotów i obiektów atrybuty, warunki opisujące środowisko i zbiory zasad wyspecyfikowane w terminach opisujących ww. atrybuty i warunki
Środki ochronne ograniczające dostęp do obiektów wykorzystują przypisane do obiektów etykiety określające wymagany poziom siły ochrony obiektu oraz formalnie nadane podmiotom poziomy uprawnień (ang. Clerance level)
Uprawnienia dostępu do obiektów zamiast podmiotowi są przypisane rolom, które taki podmiot może odgrywać. Podmiot może odgrywać różne role ale zawsze powinien mieć tylko takie uprawnienia, jakie są niezbędne do wypełnienia aktualnej roli
Środki ochronne ograniczające dostęp do obiektów wykorzystują atrybut własności obiektu umożliwiający podmiotowi-właścicielowi nadanie lub odebranie innemu podmiotowi (lub grupie podmiotów) prawa dostępu do obiektu, którego jest właścicielem
Środki ochronne ograniczające dostęp do obiektów wykorzystują przypisane do obiektów etykiety określające wymagany poziom siły ochrony obiektu oraz formalnie nadane podmiotom poziomy uprawnień (ang. Clerance level)
Typy obiektów (danych) stosowanych w modelu Clarka-Wilsona to (2 odp.)
dane weryfikacji integralności (ang. Integrity Verification Procedure, IVP)
dane weryfikacji poufności (ang. Confidentiality Verification Procedure, CVP)
dane, które nie podlegają ustalonym dla CDI regułom przetwarzania (ang. Unconstrained Data Items, UDI)
dane weryfikacji rozliczalności (ang. Accounting Verification Procedure, AcVP)
dane przetwarzane zgodnie z ustalonymi regułami (ang. Constrained Data Items, CDI)
dane weryfikacji uwierzytelniania (ang. Authencity Verification Procedure, AVP)
dane, które nie podlegają ustalonym dla CDI regułom przetwarzania (ang. Unconstrained Data Items, UDI)
dane przetwarzane zgodnie z ustalonymi regułami (ang. Constrained Data Items, CDI)
Dobrze opisane reguły przetwarzania danych w modelu Clarka-Wilsona:
Mają zapobiegać nadużyciom, które mogą powstawać wtedy, gdy całą transakcję przeprowadza jeden pracownik
Nie wymuszają podziału transakcji na rozdzielne etapy wykonywane przez różnych pracowników
Mają zapewnić, że pracownik nie będzie przetwarzał danych w sposób dowolny, tylko zgodnie z ustalonymi regułami
Wymuszają podział transakcji na rozdzielne etapy wykonywane przez tego samego pracownika
Mają zapewnić, że pracownik nie będzie przetwarzał danych w sposób dowolny, tylko zgodnie z ustalonymi regułami
Model liniowy cyklu życia systemu opisuje systematyczne podejście do wytwarzania systemu:
Polegające na przechodzeniu kolejno przez etapy: analizowania, projektowania, wytwarzania (w przypadku systemów programowych - kodowania), testowania i pielęgnacji
Polegające na przechodzeniu kolejno przez etapy: analizowania, projektowania, wytwarzania (w przypadku systemów programowych - kodowania), testowania
Polegające na przechodzeniu kolejno przez etapy: analizowania, testowania i pielęgnacji
Polegające na przechodzeniu kolejno przez etapy: analizowania, projektowania, wytwarzania
Polegające na przechodzeniu kolejno przez etapy: analizowania, projektowania, wytwarzania (w przypadku systemów programowych - kodowania), testowania i pielęgnacji
Autoryzacja to proces składający się z dwóch podprocesów (2 odpowiedzi):
Sprawdzający, po podaniu przez podmiot kodu operacji, jakie uprawnienia w systemie ma ten podmiot
W razie poztywynej identyfikacji dopuszczający podmiot do dalszych działań w systemie
sprawdzający, po podaniu przez podmiot kodu operacji, jakich uprawnień w systemie ten podmiot nie ma
Sprawdzający, czy podmiot podający konkretne dane uwierzytelniające jest uprawniony do działania w systemie
Organizacyjnego (poza systemem teleinformatycznym)
Technicznego (w systemie teleinformatycznym)
Organizacyjnego (poza systemem teleinformatycznym)
Technicznego (w systemie teleinformatycznym)
Podstawowe elementy modelu Biby to (4 odpowiedzi)
Macierz dostępu
Funckja zwracająca wyższy z dwóch poziomów integralności
Krata dostępu do danych
Zbiór aktualnych uprawnień podmiotów do obiektów
Zbiór aktualnych uprawnień obiektów do podmiotów
Funkcja zwracająca niższy z dwóch poziomów integralności
Przypisania: każdemu podmiotowi poziomu integralności i każdemu obiektowi etykiety integralności
Przypisania: każdemu obiektowi poziomu integralności i każdemu podmiotowi etykiety integralności
Macierz dostępu
Zbiór aktualnych uprawnień podmiotów do obiektów
Funkcja zwracająca niższy z dwóch poziomów integralności
Przypisania: każdemu podmiotowi poziomu integralności i każdemu obiektowi etykiety integralności
Model Bella-LaPaduli służy do opisu ochrony danych w zakresie .................. w systemach, w których jest stosowane obowiązkowe sterowanie dostępem.
Tajności
Integralności
Poufności
Rozliczalności
Tajności
Wskaż zdanie prawdziwe
Integralność danych to potwierdzenie, że dane, któe są wysłane, odbierane lub zapamiętywane, są kompletne lub niezmienione
Utrata integralności związana jest z nieodpowiednią modyfikacją informacji, modyfikacja jest rozumiana jako skasowanie istniejącej informacji
Właściwość polegająca na zapewnieniu dedykowanych aktywów
Integralność danych - potwierdzenie, że dane, które są wysyłane, odbierane lub zapamiętywane, są kompletne i niezmienione
Integralność danych - potwierdzenie, że dane, które są wysyłane, odbierane lub zapamiętywane, są kompletne i niezmienione
Reguła prostego warunku integralności dla modelu Biby to:
Tylko podmiot o poziomie poufności wyższym niż etykieta integralności danego obiektu może go modyfikować
Tylko podmiot o poziomie integralności wyższym niż etykieta integralności danego obiektu może go modyfikować
Tylko podmiot o poziomie integralności niższym niż etykieta integralności danego obiektu może go modyfikować
Tylko podmiot o poziomie poufności wyższym niż etykieta integralności danego obiektu może go modyfikować
Tylko podmiot o poziomie integralności wyższym niż etykieta integralności danego obiektu może go modyfikować