- •6.Для чого призначається комплексна система захисту інформації?
- •7.Який підрозділ в організації утворюється для здійснення організації та проведення робіт із захисту інформації в системі, його основні завдання?
- •8.Назвати спеціально уповноважений центральний орган виконавчої влади з питань організації захисту інформації та його основні завдання.
- •9.Назвати основні нормативно-правові акти, що регламентують захист інформації в кс. Склад документів:
- •Законодавча і нормативна база України
- •14.На кого в організації покладається відповідальність за забезпечення захисту інформації в системі.
- •21.Які завдання забезпечення безпеки інформації вирішуються на організаційному рівні?
- •22.Дати визначення терміну "користувач інформації в системі".
- •23. Які загрози в кс відносяться до навмисних.
- •24.Назвіть методи захисту інформації в кс.
- •25.Дати визначення Моделі загроз та стисло описати з чого вона складається.
- •26. Які завдання забезпечення безпеки інформації в кс на організаційному рівні?
- •28.Назвати вимоги до захисту в кс відкритої інформації.
- •29.Назвати вимоги до захисту в кс службової інформації.
- •30.Назвати вимоги до захисту в кс інформації, яка становить державну таємницю.
- •31. Відповідно до якого документу здійснюється захист інформації на всіх етапах створення та експлуатації системи, ким від розробляється і з чого складається?
- •32.Які події у системі реєструються у обов'язковому порядку?
1.Дати визначення терміну «виток інформації».
- результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї.
2.Дати визначення терміну «обробка інформації в системі».
- виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів
3.Дати визначення терміну «несанкціоновані дії щодо інформації в системі»;
- дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства.
4.Дати визначення терміну «автентифікація».
-процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора.
5.Назвати умови обробки інформації, яка є власністю держави, або інформації з обмеженим доступом в системі.Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
6.Для чого призначається комплексна система захисту інформації?
КСЗІ призначена для:
-захисту конфіденційності, цілісності, доступності конфіденційної інформації, що циркулює в системі, розпорядником якої є державний орган (персональні дані);
-захисту конфіденційності, цілісності та доступності технологічної інформації щодо функціонування системи, яка повинна бути доступна тільки уповноваженому персоналу, що забезпечує управління програмними та технічними засобами;
-захисту цілісності та доступності відкритої інформації.
7.Який підрозділ в організації утворюється для здійснення організації та проведення робіт із захисту інформації в системі, його основні завдання?
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
8.Назвати спеціально уповноважений центральний орган виконавчої влади з питань організації захисту інформації та його основні завдання.
Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
- розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
- визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
- організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
- здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
- здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та дає рекомендації з питань запобігання такій загрозі.
9.Назвати основні нормативно-правові акти, що регламентують захист інформації в кс. Склад документів:
НД ТЗІ 1.1-002-99: Загальні положення по захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.1-003-99: Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.4-001-2000: Типове положення про службу захисту інформації в автоматизованій системі.
НД ТЗІ 2.1-001-2001: Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення.
НД ТЗІ 2.5-004-99: Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
НД ТЗІ 2.5-008-02: Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.
НД ТЗІ 2.5-010-03: Вимоги до захисту інформації WEB – сторінки від несанкціонованого доступу.
НД ТЗІ 3.6-001-2000: Технічний захист інформації. Комп'ютерні системи. Порядок створення, упровадження, супроводи і модернізації засобів технічного захисту інформації від несанкціонованого доступу.
НД ТЗІ 3.7-001-99: Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (зі зміною №1, затвердженою наказом ДСТСЗІ СБУ 18.06.02 №37).