- •Билеты для экзамена по дисциплине «Основы информационной безопасности» (оиб).
- •Билет 1
- •1. Типы объектов защиты информации и их определения.
- •21. Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41. Сферы применения симметричного и асимметричного шифрования.
- •Билет 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22. Законодательные акты, регламентирующие работу с персональными данными.
- •42. Примеры криптографических средств защиты информации.
- •Билет 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23. Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43. Виды лицензируемой деятельности по криптографической защите информации.
- •Билет 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24. Основные функции фсб России в области обеспечения информационной безопасности.
- •44. Требования по сертификации криптографических средств защиты информации.
- •Билет 5
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25. Основные функции фстэк России в области обеспечения информационной безопасности.
- •45. Нормативные документы фсб России по защите персональных данных.
- •Билет 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26. Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •46. Методы программно-аппаратной защиты информации.
- •Билет 7
- •7. Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47. Примеры средств программно-аппаратной защиты информации.
- •Билет 8
- •8. Угрозы целостности информации, представленной в различных формах.
- •28. Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48. Виды сертификатов соответствия средств защиты информации.
- •Билет 9
- •9. Угрозы доступности информации, представленной в различных формах.
- •29. Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет 10
- •10. Способы реализации угроз, направленных на акустическую информацию.
- •30. Стандарты семейства iso 27000.
- •50. Нормативные документы фстэк России по защите персональных данных.
- •Билет 11
- •11. Способы реализации угроз, направленных на видовую информацию.
- •31. Этапы анализа объектов защиты.
- •51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет 12
- •12. Способы реализации угроз информации, представленной в виде сигналов.
- •32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет 13
- •13. Способы реализации угроз, направленных на компьютерную информацию.
- •Выбор цели:
- •Подготовка ботнета:
- •Запуск атаки:
- •33. Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет 14
- •14. Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •34. Примеры технических и инженерно-технических средств защиты информации.
- •54. Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет 15
- •15. Понятие «система защиты информации». Направления защиты информации.
- •35. Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55. Требования фстэк России по обеспечению безопасности асутп.
- •Билет 16
- •16. Элементы информационной системы, являющиеся объектами защиты.
- •36. Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56. Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет 17
- •17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •57. Способы использования информационных технологий террористическими группами.
- •Билет 18
- •18. Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38. Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58. Классификация информационного терроризма.
- •Билет 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39. Законы и стандарты в области криптографической защиты информации.
- •59. Задачи по защите от кибертерроризма.
- •Билет 20
- •20. Понятие «Уязвимость». Причины возникновения уязвимостей.
- •40. Основные определения в области криптографической защиты информации.
- •60. Понятие кибербезопасности в iso/iec 27032:2012.
52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учётом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, её средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных.
Билет 13
13. Способы реализации угроз, направленных на компьютерную информацию.
*Нужно сочинить красивую историю, как злоумышленник будет реализовывать. Какая у него будет последовательность действий
Возможный пример:
DDoS атака
Цель: Вывод целевого сервиса или сети из строя путем перегрузки его запросами.
Последовательность действий:
Выбор цели:
Определение веб-сайта, сервиса или сети для атаки.
Подготовка ботнета:
Компиляция или арендование ботнета (сети зараженных компьютеров) для проведения атаки.
Запуск атаки:
Одновременная отправка большого количества запросов к целевому ресурсу с использованием ботнета.
33. Основные определения в области технической защиты информации.
ПЭМИН (Побочные электромагнитные излучения и наводки) – Электромагнитные поля, создаваемые электронной аппаратурой, способны создавать электромагнитные изучения и наводки в расположенных рядом кабельных, электрических и электронный системах.
Перехватывая и декодирую эти излучения, можно получить сведения обо всей информации, обрабатываемой в компьютере.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в защищаемых помещениях (на них могут воздействовать эл., магн. и ак. поля опасного сигнала).
К ВТСС относятся:
различного рода телефонные средства и системы;
средства передачи данных в системе радиосвязи;
системы охранной и пожарной сигнализации;
средства оповещения и сигнализации;
контрольно-измерительная аппаратура;
системы кондиционирования;
системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
средства электронной оргтехники;
средства и системы электрочасофикации;
иные технические средства и системы.
Объект защиты – информация, носители информации, технические средства и технология их обработки, а также средства защиты информации.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены.
Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т. д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т. п.).
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функции.
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных, технических и иных материальных средств.
Специальные исследования (СИ) – это выявление с использованием контрольно-измерительной аппаратуры возможных каналов утечки защищаемой информации от основных и вспомогательных технических средств, и систем.
Специальная проверка (СП) – это проверка технических средств и систем объекта защиты с целью выявления возможно внедренных электронных устройств съема информации (закладочных устройств).
Специальные обследования помещений – комплекс мер в области защиты информации в части проведения работ по выявлению электронных устройств, предназначенных для негласного получения сведений в помещениях, где циркулирует информация ограниченного пользования.