- •Билеты для экзамена по дисциплине «Основы информационной безопасности» (оиб).
- •Билет 1
- •1. Типы объектов защиты информации и их определения.
- •21. Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41. Сферы применения симметричного и асимметричного шифрования.
- •Билет 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22. Законодательные акты, регламентирующие работу с персональными данными.
- •42. Примеры криптографических средств защиты информации.
- •Билет 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23. Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43. Виды лицензируемой деятельности по криптографической защите информации.
- •Билет 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24. Основные функции фсб России в области обеспечения информационной безопасности.
- •44. Требования по сертификации криптографических средств защиты информации.
- •Билет 5
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25. Основные функции фстэк России в области обеспечения информационной безопасности.
- •45. Нормативные документы фсб России по защите персональных данных.
- •Билет 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26. Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •46. Методы программно-аппаратной защиты информации.
- •Билет 7
- •7. Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47. Примеры средств программно-аппаратной защиты информации.
- •Билет 8
- •8. Угрозы целостности информации, представленной в различных формах.
- •28. Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48. Виды сертификатов соответствия средств защиты информации.
- •Билет 9
- •9. Угрозы доступности информации, представленной в различных формах.
- •29. Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет 10
- •10. Способы реализации угроз, направленных на акустическую информацию.
- •30. Стандарты семейства iso 27000.
- •50. Нормативные документы фстэк России по защите персональных данных.
- •Билет 11
- •11. Способы реализации угроз, направленных на видовую информацию.
- •31. Этапы анализа объектов защиты.
- •51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет 12
- •12. Способы реализации угроз информации, представленной в виде сигналов.
- •32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет 13
- •13. Способы реализации угроз, направленных на компьютерную информацию.
- •Выбор цели:
- •Подготовка ботнета:
- •Запуск атаки:
- •33. Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет 14
- •14. Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •34. Примеры технических и инженерно-технических средств защиты информации.
- •54. Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет 15
- •15. Понятие «система защиты информации». Направления защиты информации.
- •35. Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55. Требования фстэк России по обеспечению безопасности асутп.
- •Билет 16
- •16. Элементы информационной системы, являющиеся объектами защиты.
- •36. Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56. Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет 17
- •17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •57. Способы использования информационных технологий террористическими группами.
- •Билет 18
- •18. Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38. Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58. Классификация информационного терроризма.
- •Билет 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39. Законы и стандарты в области криптографической защиты информации.
- •59. Задачи по защите от кибертерроризма.
- •Билет 20
- •20. Понятие «Уязвимость». Причины возникновения уязвимостей.
- •40. Основные определения в области криптографической защиты информации.
- •60. Понятие кибербезопасности в iso/iec 27032:2012.
51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
*Что такое профили защиты, сколько уровней доверия, какой высший, какой низший, типы профилей защиты. Сами документы не спрашивал.
Профиль защиты – независимая от реализации совокупность требований безопасности для некоторой категории объектов оценки, отвечающая специфическим запросам потребителя (общие требования к какому-то классу средств защиты).
Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Примеры:
Профили защиты операционных систем;
Профили защиты межсетевых экранов;
Профили защиты средств антивирусной защиты;
Профили защиты систем обнаружения вторжений;
Профили защиты средств доверенной загрузки
У профилей есть типы (A, Б, В и т. д.).
Методические документы «Профили защиты систем обнаружения вторжений», утв. ФСТЭК России 03.02.2012 г. Система обнаружения вторжений – система контролирующая сеть, рабочую станцию на предмет подозрительных действий, появления атак.
Методические документы «Профили защиты межсетевых экранов...»
Методические документы «Профили защиты средств доверенной загрузки» (к материнке подключается специальная плата по pci, которая перехватывает загрузку ОС сразу после того, как BIOS проверил работоспособность всех основных устройств; пока не будет пройдена аутентификация, ОС не будет загружаться; только те, кто смогут пройти аутентификацию смогут загружать ОС).
Методические документы «Профили защиты средств антивирусной защиты», утв. ФСТЭК России 14.06.2012 г.
Билет 12
12. Способы реализации угроз информации, представленной в виде сигналов.
*Нужно сочинить красивую историю, как злоумышленник будет реализовывать. Какая у него будет последовательность действий.
Возможный пример:
Злоумышленник должен выбрать конкретную цель, какой сигнал он будет перехватывать.
Разведка: Злоумышленник должен собрать информацию о цели, например, местоположение, режим работы, меры безопасности.
Выбор оборудования: Злоумышленник должен выбрать подходящее оборудование для перехвата видовой информации, например, средства регистрирующие ПЭМИН
Размещение оборудования: Злоумышленник должен незаметно разместить оборудование для перехвата вблизи цели.
Считывание сигналов: Злоумышленник должен сделать снимки или видеозаписи цели.
32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
*Инструкции, положения, списки, правила, регламенты. Назвать штук 5 конкретных.
Регламентация работы с информацией и её носителями:
Перечень конфиденциальной информации.
Обязательство о неразглашении конфиденциальной информации.
Положение о разграничении доступа к конфиденциальной информации.
Инструкция по работе с конфиденциальными документами.
Инструкция по резервному копированию.
Соглашения с физическими и юридическими лицами по обработке защищаемой информации.
Регламентация информационных процессов:
Перечень информационных систем.
Списки доступа к каждой информационной системе.
Перечень контролируемых зон (в т.ч. помещений).
Списки доступа в помещения.
Инструкции по документообороту, а также журналы учёта перемещений документов.
Инструкции по работе с электронной почтой и в Интернете.
Регламентация работы со средствами ЗИ:
Перечень средств защиты, их описание и инструкции по работе с ними.
Инструкция по пропускному и внутриобъектовому режиму.
Инструкции по парольной защите и по использованию средств аутентификации.
Инструкция по внесению изменений в списки пользователей.
Инструкция по модификации автоматизированных систем.
Инструкция по антивирусной защите.
Инструкции по работе с криптографическими средствами защиты информации.
Регламентация управления системой защиты информации:
Инструкции по предоставлению доступа сотрудников.
Положение и инструкции по контролю соблюдения сотрудниками правил защиты информации.
Положение и инструкции по действиям при возникновении внештатных ситуаций.
Инструкция по расследованию инцидентов.