- •Билеты для экзамена по дисциплине «Основы информационной безопасности» (оиб).
- •Билет 1
- •1. Типы объектов защиты информации и их определения.
- •21. Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41. Сферы применения симметричного и асимметричного шифрования.
- •Билет 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22. Законодательные акты, регламентирующие работу с персональными данными.
- •42. Примеры криптографических средств защиты информации.
- •Билет 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23. Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43. Виды лицензируемой деятельности по криптографической защите информации.
- •Билет 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24. Основные функции фсб России в области обеспечения информационной безопасности.
- •44. Требования по сертификации криптографических средств защиты информации.
- •Билет 5
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25. Основные функции фстэк России в области обеспечения информационной безопасности.
- •45. Нормативные документы фсб России по защите персональных данных.
- •Билет 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26. Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •46. Методы программно-аппаратной защиты информации.
- •Билет 7
- •7. Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47. Примеры средств программно-аппаратной защиты информации.
- •Билет 8
- •8. Угрозы целостности информации, представленной в различных формах.
- •28. Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48. Виды сертификатов соответствия средств защиты информации.
- •Билет 9
- •9. Угрозы доступности информации, представленной в различных формах.
- •29. Задачи организационной защиты информации.
- •1. Начальный анализ объекта защиты и средств защиты:
- •2. Организация подразделения безопасности:
- •3. Работа с персоналом:
- •4. Организация защищённого документооборота:
- •5. Организация пропускного режима и физической защиты объекта:
- •6. Оценка соответствия стандартам иб:
- •49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет 10
- •10. Способы реализации угроз, направленных на акустическую информацию.
- •30. Стандарты семейства iso 27000.
- •50. Нормативные документы фстэк России по защите персональных данных.
- •Билет 11
- •11. Способы реализации угроз, направленных на видовую информацию.
- •31. Этапы анализа объектов защиты.
- •51. Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет 12
- •12. Способы реализации угроз информации, представленной в виде сигналов.
- •32. Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52. Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет 13
- •13. Способы реализации угроз, направленных на компьютерную информацию.
- •Выбор цели:
- •Подготовка ботнета:
- •Запуск атаки:
- •33. Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет 14
- •14. Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •34. Примеры технических и инженерно-технических средств защиты информации.
- •54. Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет 15
- •15. Понятие «система защиты информации». Направления защиты информации.
- •35. Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55. Требования фстэк России по обеспечению безопасности асутп.
- •Билет 16
- •16. Элементы информационной системы, являющиеся объектами защиты.
- •36. Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56. Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет 17
- •17. Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •37. Нормативные документы, регламентирующие сертификацию средств защиты информации.
- •57. Способы использования информационных технологий террористическими группами.
- •Билет 18
- •18. Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38. Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58. Классификация информационного терроризма.
- •Билет 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39. Законы и стандарты в области криптографической защиты информации.
- •59. Задачи по защите от кибертерроризма.
- •Билет 20
- •20. Понятие «Уязвимость». Причины возникновения уязвимостей.
- •40. Основные определения в области криптографической защиты информации.
- •60. Понятие кибербезопасности в iso/iec 27032:2012.
29. Задачи организационной защиты информации.
*Назвать пункты и кратко пояснить, что в них входит.
Организационное обеспечение информационной безопасности заключается в установлении правил и норм, а также в контроле их исполнения.
Задачи организационного обеспечения ИБ:
1. Начальный анализ объекта защиты и средств защиты:
Составление и регулярное обновление состава защищаемой информации предприятия, составление перечня защищаемых бумажных, машиночитаемых и электронных документов, регламентация обновления и ведения перечня защищаемой информации и её носителей.
Выявление угроз защищаемой информации и угроз системе, в которой обрабатывается эта информация.
Выявление помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, определение необходимости проведения аттестации этих помещений.
Определение средств защиты информации и охраны, предназначенных для обработки защищаемой информации.
2. Организация подразделения безопасности:
Формирование и организация деятельности подразделения по обеспечению безопасности (включая физическую охрану) или информационной безопасности.
Регламентация работы по управлению системой защиты информации.
Регламентация эксплуатации средств защиты информации.
3. Работа с персоналом:
Определение методов отбора персонала для работ с защищаемой информацией, методов воспитательной работы с персоналом, требований к обучению и инструктированию сотрудников.
Регламентация порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий персонала, а также при внештатных ситуациях.
Осуществление и регламентация контроля соблюдения сотрудниками порядка защиты информации.
4. Организация защищённого документооборота:
Создание и регламентация технологии защиты, обработки и хранения бумажных, электронных документов предприятия, внемашинной технологии защиты электронных документов.
Ведение перечня защищаемых бумажных, электронных документов, регламентация обновления и ведения перечня защищаемой информации и её носителей.
5. Организация пропускного режима и физической защиты объекта:
Создание и регламентация пропускного и внутриобъектового режима на территории, в здании и помещениях предприятия, предназначенных для обработки защищаемой информации. Оснащение техническими средствами защиты.
Регламентация порядка защиты информации при проведении совещаний, заседаний, переговоров, приёме посетителей, работе с представителями рекламных агентств, средств массовой информации.
6. Оценка соответствия стандартам иб:
Определение критериев и регламентация порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Оценка соответствия международным и отраслевым стандартам в области информационной безопасности.
49. Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
*Классы, что к каким классам относится, требования к средствам техники и автоматизированным системам.
Руководящий документ ГТК РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г.
Разделяет на 3 группы автоматизированные системы:
Третья группа включает автоматизированные системы (АС), в которых работает один пользователь, допущенный ко всей информации АС,размещённой на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищённости АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ (средства вычислительной техники):
Не ниже 4 класса - для класса защищённости АС 1В;
Не ниже 3 класса - для класса защищённости АС 1Б;
Не ниже 2 класса - для класса защищённости АС 1А.
Дополнительно:
«Положение о сертификации средств защиты информации по требованиям безопасности информации», утв. Приказом ГТК РФ от 27.10.1995 № 199.
Руководящий документ Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» от 4 июня 1999 г. № 114.
Руководящий документ ГТК РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г.
Руководящий документ ГТК РФ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» от 30 марта 1992 г.
Руководящий документ ГТК РФ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» от 19 июня 2002 г. № 187.