- •Билеты для экзамена по дисциплине «Основы информационной безопасности» (оиб).
- •Билет 1
- •1. Типы объектов защиты информации и их определения.
- •21. Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41. Сферы применения симметричного и асимметричного шифрования.
- •Билет 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22. Законодательные акты, регламентирующие работу с персональными данными.
- •42. Примеры криптографических средств защиты информации.
- •Билет 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23. Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43. Виды лицензируемой деятельности по криптографической защите информации.
- •Билет 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24. Основные функции фсб России в области обеспечения информационной безопасности.
- •44. Требования по сертификации криптографических средств защиты информации.
- •Билет 5
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25. Основные функции фстэк России в области обеспечения информационной безопасности.
- •45. Нормативные документы фсб России по защите персональных данных.
- •Билет 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26. Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •46. Методы программно-аппаратной защиты информации.
- •Билет 7
- •7. Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47. Примеры средств программно-аппаратной защиты информации.
- •Билет 8
- •8. Угрозы целостности информации, представленной в различных формах.
- •28. Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48. Виды сертификатов соответствия средств защиты информации.
- •Билет 9
- •9. Угрозы доступности информации, представленной в различных формах.
- •29. Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет 10
- •10. Способы реализации угроз, направленных на акустическую информацию.
- •30. Стандарты семейства iso 27000.
- •50. Нормативные документы фстэк России по защите персональных данных.
- •Билет 11
- •11. Способы реализации угроз, направленных на видовую информацию.
- •31. Этапы анализа объектов защиты.
- •51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет 12
- •12. Способы реализации угроз информации, представленной в виде сигналов.
- •32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет 13
- •13. Способы реализации угроз, направленных на компьютерную информацию.
- •Выбор цели:
- •Подготовка ботнета:
- •Запуск атаки:
- •33. Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет 14
- •14. Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •34. Примеры технических и инженерно-технических средств защиты информации.
- •54. Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет 15
- •15. Понятие «система защиты информации». Направления защиты информации.
- •35. Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55. Требования фстэк России по обеспечению безопасности асутп.
- •Билет 16
- •16. Элементы информационной системы, являющиеся объектами защиты.
- •36. Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56. Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет 17
- •17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •57. Способы использования информационных технологий террористическими группами.
- •Билет 18
- •18. Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38. Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58. Классификация информационного терроризма.
- •Билет 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39. Законы и стандарты в области криптографической защиты информации.
- •59. Задачи по защите от кибертерроризма.
- •Билет 20
- •20. Понятие «Уязвимость». Причины возникновения уязвимостей.
- •40. Основные определения в области криптографической защиты информации.
- •60. Понятие кибербезопасности в iso/iec 27032:2012.
Билет 17
17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
*Нужны конкретные угрозы, другие придумать не могу.
Конфиденциальность: Несанкционированный доступ к АИС, компрометация (подмена) АИС через фишинг, несанкционированный доступ (кража паролей, учетных записей).
Целостность: Внедрение вредоносного SQL-кода в запросы к базе данных, что может привести к изменению или уничтожению данных.
37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
Сертификат соответствия – документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
Федеральный закон «О техническом регулировании».
Постановление Правительства Российской Федерации «О сертификации средств защиты информации».
Положение о сертификации средств защиты информации по требованиям безопасности информации.
57. Способы использования информационных технологий террористическими группами.
Информирование о террористических движениях, их целях и задачах, обращение к массовой аудитории для пропаганды своих целей и идеологии, информирование о будущих и уже спланированных действиях, а также предание широкой гласности своей ответственности за совершение террористических актов.
Информационно-психологическое воздействие, в том числе инициация «психологического терроризма» – с помощью социальных сетей можно распространять различные слухи, в т. ч. и тревожные, посеять панику, ввести в заблуждение.
Детализация данных о предполагаемых целях, их местонахождении и характеристиках.
Сбор, в т. ч. вымогательство, денег для поддержки террористических движений.
Публикация сведений о взрывчатых веществах и взрывных устройствах, ядах, отравляющих газах, а также инструкций по их самостоятельному изготовлению.
Вовлечение в террористическую деятельность новых членов, в т. ч. ничего не подозревающих соучастников, например, хакеров, которым не известно к какой конечной цели приведут их действия.
Использование возможностей электронной почты или электронных досок объявлений для отправки зашифрованных сообщений, в т. ч. и визуальной информации в виде карт, военной и технической документации. Терроризм больше не ограничен территорией того государства, где скрываются террористы, базы подготовки террористических операций уже, как правило, не располагаются в тех странах, где находятся цели террористов, а сами террористические организации принимают сетевую структуру (одна организация распространяется по всему миру).
Замена информационного содержания сайтов, которая заключается в подмене электронных страниц или их отдельных элементов в результате взлома. Такие действия предпринимаются в основном для привлечения внимания к атакующей стороне, демонстрации своих возможностей или являются способом выражения определенной политической позиции.
Помимо прямой подмены страниц широко используется регистрация в поисковых системах сайтов противоположного содержания по одинаковым ключевым словам, а также перенаправление (подмена) ссылок на другой адрес, что приводит к открытию специально подготовленных противостоящей стороной страниц.
Семантические атаки, целью которых является взлом страниц и последующее размещение (без заметных следов взлома) на них заведомо ложной информации. Подобным атакам, как правило, подвергаются наиболее часто посещаемые информационные страницы, содержанию которых пользователи полностью доверяют.
Вывод из строя или снижение эффективности функционирования структурных элементов информационно-телекоммуникационных систем путём:
− применения специальных программных и аппаратно-программных средств на основе программного кода (программные и аппаратные закладки, компьютерные вирусы, «сетевые черви» и т. п.);
− массовой рассылки электронных писем (одна из форм «виртуальной блокады»);
− DOS-атак, проведение которых аналогично технологии массовой рассылки электронных писем, что приводит к замедлению работы обслуживающего сервера или полному прекращению внешнего доступа к его ресурсам.