- •«Экзамен по основам информационной безопасности. 25 апреля 2023»
- •1. Типы объектов защиты информации и их определения.
- •2. Свойства информации, обеспечиваемые при её защите.
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •Информация
- •Гос. Тайна
- •4. Виды информации, относящейся к сведениям конфиденциального характера. Конфиденциальная информация
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •7.Угрозы конфиденциальности информации, представленной в различных формах.
- •8.Угрозы целостности информации, представленной в различных формах.
- •9.Угрозы доступности информации, представленной в различных формах.
- •10.Способы реализации угроз, направленных на акустическую информацию.
- •11.Способы реализации угроз, направленных на видовую информацию.
- •12.Способы реализации угроз информации, представленной в виде сигналов.
- •13.Способы реализации угроз, направленных на компьютерную информацию.
- •14.Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •Организационно-правовые
- •Инженерно-технические:
- •15.Понятие «система защиты информации». Направления защиты информации.
- •16.Элементы информационной системы, являющиеся объектами защиты.
- •17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •Угрозы от утечки по техническим каналам.
- •Угрозы несанкционированного доступа к информации.
- •18.Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •20.Понятие «Уязвимость». Причины возникновения уязвимостей.
- •21.Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •22.Законодательные акты, регламентирующие работу с персональными данными.
- •23.Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •24.Основные функции фсб России в области обеспечения информационной безопасности.
- •25.Основные функции фстэк России в области обеспечения информационной безопасности.
- •26.Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •28.Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Глава 14. Защита персональных данных работника.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •29.Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •30.Стандарты семейства iso 27000.
- •31.Этапы анализа объектов защиты.
- •32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •33.Основные определения в области технической защиты информации.
- •34.Примеры технических и инженерно-технических средств защиты информации.
- •35.Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •36.Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •37.Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •38.Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •39.Законы и стандарты в области криптографической защиты информации.
- •40.Основные определения в области криптографической защиты информации.
- •41.Сферы применения симметричного и асимметричного шифрования.
- •42.Примеры криптографических средств защиты информации.
- •43.Виды лицензируемой деятельности по криптографической защите информации.
- •44.Требования по сертификации криптографических средств защиты информации.
- •45.Нормативные документы фсб России по защите персональных данных.
- •46.Методы программно-аппаратной защиты информации.
- •47.Примеры средств программно-аппаратной защиты информации.
- •48.Виды сертификатов соответствия средств защиты информации.
- •49.Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •50.Нормативные документы фстэк России по защите персональных данных.
- •51.Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •52.Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •54.Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •55.Требования фстэк России по обеспечению безопасности асутп.
- •56.Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •57.Способы использования информационных технологий террористическими группами.
- •58.Классификация информационного терроризма.
- •59.Задачи по защите от кибертерроризма.
- •60.Понятие кибербезопасности в iso/iec 27032:2012.
17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
Угрозы от утечки по техническим каналам.
Угрозы утечки акустической информации.
Угрозы утечки видовой информации.
Угрозы утечки информации по каналам ПЭМИН.
Угрозы несанкционированного доступа к информации.
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путём физического доступа к элементам ИСПДн. (Кража ПЭВМ; Кража носителей информации; Кража ключей и атрибутов доступа; Кражи, модификации, уничтожения информации; Вывод из строя узлов ПЭВМ, каналов связи; Несанкционированное отключение средств защиты.)
Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
(Действия вредоносных программ; Недекларированные возможности системного ПО и ПО для обработки персональных данных; Установка ПО не связанного с исполнением служебных обязанностей.)
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
(Утрата ключей и атрибутов доступа; Непреднамеренная модификация (уничтожение) информации сотрудниками; Непреднамеренное отключение средств защиты; Выход из строя аппаратно-программных средств; Сбой системы электроснабжения; Стихийное бедствие.)
Угрозы преднамеренных действий внутренних нарушителей.
(Доступ к информации, модификация, уничтожение лиц не допущенных к её обработке; Разглашение информации, модификация, уничтожение сотрудниками допущенными к её обработке.)
Угрозы несанкционированного доступа по каналам связи.
(Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: перехват за переделами с контролируемой зоны, перехват в пределах контролируемой зоны внешними нарушителями, перехват в пределах контролируемой зоны внутренними нарушителями.
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
Угрозы выявления паролей по сети. o Угрозы навязывание ложного маршрута сети;
18.Угрозы конфиденциальности и целостности, направленные на персонал организации.
Для нейтрализации и минимизации внутренних угроз конфиденциальной информации со стороны собственного персонала организации необходимо принять следующие меры:
- Организационные мероприятия по защите информации (комплекс административных и ограничительных мер);
- Контрольно-правовые меры (контроль за выполнением персоналом требований соответствующих инструкций, распоряжений, приказов, нормативных документов);
- Профилактические мероприятия (направленные на формирование у персонала мотивов поведения, которые побуждают их к безусловному выполнению в полном объеме требований режима, правил проведения работ и др., а также на формирование соответствующего морально-нравственного состояния в коллективе);
- Инженерно-технические мероприятия (кодирование информации, ограничение прав доступа к электронным носителям и т.п.);
- Работа с кадрами (подбор персонала, инструктажи, обучение персонала по вопросам обеспечения защиты информации, воспитание бдительности сотрудников, повышение их квалификации);
- Психологические мероприятия (установка видеонаблюдения, обнародование инцидентов с попыткой вынесения служебной информации за пределы организации).
Для того, чтобы предотвратить возможность несанкционированного доступа к конфиденциальной информации, необходимо ввести надежную систему защиты документооборота. При этом следует принимать во внимание тот факт, что внедрение системы защиты всегда приводит к осложнениям в работе, следовательно, внедрение системы защиты должно быть экономически обоснованным и целесообразным.
Подмена сотрудника (угр. целост.), разглашение ПДн сотрудника (угр. конф.)