- •Билеты для экзамена по дисциплине «Основы информационной безопасности» (оиб).
- •Билет 1
- •1. Типы объектов защиты информации и их определения.
- •21. Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41. Сферы применения симметричного и асимметричного шифрования.
- •Билет 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22. Законодательные акты, регламентирующие работу с персональными данными.
- •42. Примеры криптографических средств защиты информации.
- •Билет 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23. Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43. Виды лицензируемой деятельности по криптографической защите информации.
- •Билет 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24. Основные функции фсб России в области обеспечения информационной безопасности.
- •44. Требования по сертификации криптографических средств защиты информации.
- •Билет 5
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25. Основные функции фстэк России в области обеспечения информационной безопасности.
- •45. Нормативные документы фсб России по защите персональных данных.
- •Билет 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26. Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •46. Методы программно-аппаратной защиты информации.
- •Билет 7
- •7. Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47. Примеры средств программно-аппаратной защиты информации.
- •Билет 8
- •8. Угрозы целостности информации, представленной в различных формах.
- •28. Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48. Виды сертификатов соответствия средств защиты информации.
- •Билет 9
- •9. Угрозы доступности информации, представленной в различных формах.
- •29. Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет 10
- •10. Способы реализации угроз, направленных на акустическую информацию.
- •30. Стандарты семейства iso 27000.
- •50. Нормативные документы фстэк России по защите персональных данных.
- •Билет 11
- •11. Способы реализации угроз, направленных на видовую информацию.
- •31. Этапы анализа объектов защиты.
- •51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет 12
- •12. Способы реализации угроз информации, представленной в виде сигналов.
- •32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет 13
- •13. Способы реализации угроз, направленных на компьютерную информацию.
- •Выбор цели:
- •Подготовка ботнета:
- •Запуск атаки:
- •33. Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет 14
- •14. Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •34. Примеры технических и инженерно-технических средств защиты информации.
- •54. Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет 15
- •15. Понятие «система защиты информации». Направления защиты информации.
- •35. Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55. Требования фстэк России по обеспечению безопасности асутп.
- •Билет 16
- •16. Элементы информационной системы, являющиеся объектами защиты.
- •36. Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56. Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет 17
- •17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •57. Способы использования информационных технологий террористическими группами.
- •Билет 18
- •18. Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38. Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58. Классификация информационного терроризма.
- •Билет 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39. Законы и стандарты в области криптографической защиты информации.
- •59. Задачи по защите от кибертерроризма.
- •Билет 20
- •20. Понятие «Уязвимость». Причины возникновения уязвимостей.
- •40. Основные определения в области криптографической защиты информации.
- •60. Понятие кибербезопасности в iso/iec 27032:2012.
Билет 20
20. Понятие «Уязвимость». Причины возникновения уязвимостей.
Уязвимость (брешь) ИС – свойство информационной системы, обусловливающее возможность реализации угроз безопасности, обрабатываемой в ней информации.
Причины возникновения уязвимостей:
Ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
Преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;
Неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
Несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
Внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
Несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
Сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надёжности, внешними воздействиями электромагнитных полей технических устройств и др.).
40. Основные определения в области криптографической защиты информации.
Шифрование (для обеспечения конфиденциальности):
Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки.
Зашифровка данных – процесс преобразования открытых данных в зашифрованные при помощи ключа.
Расшифровка данных – процесс преобразования зашифрованных данных в открытые при помощи ключа.
Ключ шифрования:
Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определённым правилам с применением ключей (то, что на выходе шифрования, в итоге зашифровки).
Ключ – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразования (то, с помощью чего происходит шифрование).
Имитозащита:
Имитозащита – защита системы шифрованной связи от навязывания ложных данных.
Имитовставка – отрезок информации фиксированной длины, полученной по определённому правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты (заменена на электронную подпись).
Хэширование:
Хэширование нужно для контроля целостности, работы с паролями, то есть на сервере хранятся только хэши паролей и мы при вводе паролей передаём на сервер только хэш (хэш-код).
Хэширование – необратимое преобразование!
Если зашифровать данные, то их можно потом расшифровать, а вот, если хешировать, то сделать обратную операцию не получится.
Хэш-код – строка бит, являющаяся выходным результатом хэш-функции (результат хеширования).
Хэш-функция – функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:
Из хеша исходные данные получить невозможно;
Разные данные имеют разное значение хэша;
Не может быть разных хэшей по одним и тем же исходным данным.
Электронная подпись (используется асимметричное шифрование – закрытым ключом подписывается сообщение, а открытым ключом принимающие сообщение пробуют расшифровать и если удаётся получить то, чтобы должны были получить, значит всё в порядке, иначе сообщение нелегально, то есть отправлено кем-то другим):
Электронная подпись – строка бит, полученная в процессе формирования подписи.
Процесс формирования подписи – процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись.
Процесс проверки подписи – процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи.
Подписанное сообщение – набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения.
Параметр схемы ЭЦП – элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам.
Ключи электронной подписи:
Ключ подписи – элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи.
Ключ проверки подписи – элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.
Сертификат ключа проверки электронной подписи:
Сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата этого ключа.
В сертификате содержится открытый ключ для зашифровки сообщения сайту с https или для расшифровки при проверки электронной подписи.
Квалифицированный сертификат:
Квалифицированный сертификат ключа проверки электронной подписи – сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра.
Удостоверяющий центр:
Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей.
Владелец сертификата ключа проверки электронной подписи – лицо, которому выдан сертификат ключа проверки электронной подписи (также ему выдают закрытый ключ, и если это усиленная электронная подпись, то выдают usb-токен (в нём закрытый ключ)).