ббилеты
.docx1.Типы объектов защиты информации и их определения
- физические
- логические
- организационные
- технические
2. Свойства информации, обеспечиваемые при её защите.
К – ограниченный доступ
Ц – огр. Изменение
Д – время выполнения каких либо работ
Аутентичность – субъект или ресурс идентичны заявленным
Достоверность – свойство соответствия предусмотренному
Подотчетность – обеспечение их идентификации
3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- общедоступная информация -секретное
- секретная - совершенно секретно
- конфиденциальная - особой важности
4. Виды информации, относящейся к сведениям конфиденциального характера.
- персональные данные, тайна следствия, служебная тайна, професс, коммерческая
5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
Нарушение ИБ – любое действие, приводящее к ущербу, утечке, потере или несонкц. Доступу к конфиденциальной информации (взломы, кражи паролей, вирусы)
Примеры атак: Фишинг, вирусы, ддос, спам, кража личных данных
6. Понятие «угроза информационной безопасности». Формы представления информации.
Угроза ИБ – возможность причинения ущерба информации или информационной системе
-Акустическая; в виде электрических сигналов; Видовая; Инф. представленная в виде бит, байт
7. Угрозы конфиденциальности информации, представленной в различных формах.
-утечка информации; разглашение; перехват
8. Угрозы целостности информации, представленной в различных формах.
- уничтожение данных; отправка ложных данных; откл устройства; помехи; искажение инф
9. Угрозы доступности информации, представленной в различных формах
- отказ пользователей; внутренний отказ инф системы
10.Способы реализации угроз, направленных на акустическую информацию.
К: перехват акустической инф с помощью: аппаратуры, спец эл устройства съема речевой инф
Ц: шум, фальсификация
Д: шум , выкачать воздух
11.Способы реализации угроз, направленных на видовую информацию.
К: перехват инф посторонними лицами, прямая видимость, спец электр устройства съема
Ц: изменение или уничтожение видовой информации
Д: отключение света, преграды прямой видимости
12.Способы реализации угроз информации, представленной в виде сигналов.
К: перехват инф по техническим каналам,
Ц: ЭМ бомбы, помехи
Д: глушилки, перерубить кабель.
13.Способы реализации угроз, направленных на комп информацию.
Вирусы, фишинг, поддельные сайты, несанкц доступ к БД, кража устройства хранения информации,
14.Понятие «обеспечение информационной безопасности организации».Примеры методов и средств защиты информации.
15.Понятие «система защиты информации». Направления защиты информации.
Система защиты информации – комплекс мер, направленных на обеспечение безопасности инф в организации. Включает 1.Технические средства, 2. Организационные средства
Направления защиты информации: - защита несанкц. доступа, - защита от вредоносных программ, - з от сетевых атак, - з от утечки конф информации, - з от потери данных
16.Элементы информационной системы, являющиеся объектами защиты.
Данные, ПО, АО, сет оборудование, устройства хранения данных
17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
18.Угрозы конфиденциальности и целостности, направленные на персонал организации.
19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
20.Понятие «Уязвимость». Причины возникновения уязвимостей.
Уязвимость – слабое место в системе, которое может быть использовано злоумышленником для получения несанкц доступа или нанесения вреда системе.
Причины: -ошибки при проектировании ПО, несанкц внедрение в ПО, внедрение вредоносного ПО, человеческий фактор
21.Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
ГОС ТАЙНА: ЗРФ-5485-1, ПП-870, УП-1286
22.Законодательные акты, регламентирующие работу с персональными данными.
ПЕРС ДАННЫЕ: ФЗ-152, ПП-1119, 211, 687, Прик Роскомнадзора - 996
23.Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
СЛУЖ ТАЙНА: ПП – 1233 КОМЕРЧ ТАЙНА: ФЗ - 98
24.Основные функции ФСБ России в области обеспечения информационной безопасности.
-сертификация, гостайна, лицензирование, криптография, терроризм в ИБ, контроль иностр спецслужб
25.Основные функции ФСТЭК России в области обеспечения информационной безопасности.
ФСТЭК – Федеральная служба по техническому и экспортному контролю. (ответственный за обеспеч ИБ в сфере ИТ
Сертификация, 2. Контроль за исп средст ЗИ, 3. Разработка стандартов ЗИ, 4. Обеспеч БИС гос органов
26.Правовые документы, устанавливающие ответственность за компьютерные преступления.
КОМП ПРЕСТ: УК – 272, 273, 274, КоАП: ст 13.12, 13.13, ФЗ – 242, ПП – 891
27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
РАЗГЛ СВЕД ОГР ДОСТУПА: УК: ст 283, 283.1, 284 КоАП: ст 13.14, 20.23, 20.24
28.Правовые документы, устанавливающие ответственность за разглашение персональных данных.
РАЗГЛ ПЕРС ДАННЫХ: УК: ст 137, 138, 138.1, 146, 147 КоАП: ст 7.12, 13.11
29.Задачи организационной защиты информации.
- установление политики ЗИ
- управление доступом к информации
- защита от вредоносных программ
- физ БИ
- обучение сотрудников
30.Стандарты семейства ISO 27000.
- ГОСТ 27002 «свод норм и правил менеджмента ИБ» (все основные правила и меры)
- ГОСТ 27003
31.Этапы анализа объектов защиты.
1. Определение объектов защиты
2. Анализ угроз
3. Оценка уязвимостей
4. Разработка стратегии защиты
5. Реализация мер защиты
6. Мониторинг и анализ результатов
32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
ФЗ – 149 Приказ ФСТЭК – 17, гост 27001, 27002
33.Основные определения в области технической защиты информации.
ПЭМИН (Побочные электромагнитные излучения и наводки) – Электромагнитные поля, создаваемые электронной аппаратурой, способны создавать электромагнитные изучения и наводки в расположенных рядом кабельных, электрических и электронный системах.
Перехватывая и декодирую эти излучения, можно получить сведения обо всей информации, обрабатываемой в компьютере.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в защищаемых помещениях (на них могут воздействовать эл., магн. и ак. поля опасного сигнала).
34.Примеры технических и инженерно-технических средств защиты информации.
Технические: экранирование кабелей, шум на границах помещений
И-Т: охрана, спец устройства, программы, криптография
35.Виды лицензируемой деятельности по технической защите конфиденциальной информации.
Лицензия нужна, если пытаешься заработать деньги на технической защите. Если для своей организации, деятельности, то лицензия не требуется.
Федеральный закон «О лицензировании отдельных видов деятельности».
Постановление Правительства РФ от 03.02.2012 N 79
Эти лицензии выдаёт ФСТЭК.
При осуществлении лицензируемого вида деятельности по технической защите лицензированию подлежат:
а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам(ПЭМИН):
- в средствах и системах информатизации;
- в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- в помещениях со средствами (системами), подлежащими защите;
- в помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);
б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации (программно-аппаратная защита);
в) услуги по мониторингу (трафика на аутсорсинге) информационной безопасности средств и систем информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений;
д) работы и услуги по проектированию в защищённом исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации
36.Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
Федеральный закон «О лицензировании отдельных видов деятельности».
Постановление Правительства РФ от 03.03.2012 N 171 (ред. от 15.06.2016)
Эти лицензии выдаёт ФСТЭК.
При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
а) разработка средств защиты конфиденциальной информации, в том числе:
- технических средств защиты информации;
- защищенных технических средств обработки информации;
- технических средств контроля эффективности мер защиты информации;
- программных (программно-технических) средств защиты информации;
- защищенных программных (программно-технических) средств обработки информации;
- программных (программно-технических) средств контроля защищенности информации;
б) производство средств защиты конфиденциальной информации, в том числе:
- технических средств защиты информации;
- защищенных технических средств обработки информации;
- технических средств контроля эффективности мер защиты информации;
- программных (программно-технических) средств защиты информации;
- защищенных программных (программно-технических) средств обработки информации;
- программных (программно-технических) средств контроля защищенности информации.
37.Нормативные документы, регламентирующие сертификацию средств защиты информации.
Сертификат соответствия – документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Нормативная правовая база системы сертификации средств защиты информации включает в себя следующее:
- Федеральный закон «О техническом регулировании».
- Постановление Правительства Российской Федерации «О сертификации средств защиты информации».
- Положение о сертификации средств защиты информации по требованиям безопасности информации.
38.Виды средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ.
Виды средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ:
1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн.
1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.
1.5. Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.
1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.
1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счёт изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.
39.Законы и стандарты в области криптографической защиты информации.
ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
ГОСТ Р 34.11-2012. «Информационная технология. Криптографическая защита информации. Функция хэширования».
Федеральный закон от 06.04.2011 № 63- ФЗ «Об электронной подписи».
40.Основные определения в области криптографической защиты информации.
Псевдослучайное число, Криптограф шифрование, Защита\Расшифровка данных, шифр, ключ, хэширование (Хэширование - необратимое преобразование! Если зашифровать данные, то их можно потом расшифровать, а вот, если хешировать, то сделать обратную операцию не получится.), ЭП (строка бит),
41.Сферы применения симметричного и асимметричного шифрования.
- безопасное хранение информации ком или час лицам
- реализации систем цифровой ЭП
- подтверждение сертификатов
- ЗАЩИЩЕННЫЙ ПЕРЕДАЧИ ДАННЫХ ОНЛАЙН ПО ОТКР КАНАЛАМ СВЯЗИ
42.Примеры криптографических средств защиты информации.
- к алгоритмы RSA SHA
- к ключи и сертификаты
- средства ЭП
- системы управл доступом (биометрия, RFID брелки)
43.Виды лицензируемой деятельности по криптографической защите информации.
Суть: лицензированию подлежит вся деятельность в области криптографии, кроме случаев, когда она используется для собственных нужд.
К разным видам деятельности предъявляются разные требования.
Постановление Правительства РФ от 16.04.2012 № 313
44.Требования по сертификации криптографических средств защиты информации.
Криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ РФ
45.Нормативные документы ФСБ России по защите персональных данных.
Приказ ФСБ № 378, 33, 194,259, 143, 262
46.Методы программно-аппаратной защиты информации.
идентификация и аутентификация (для того, чтобы не пускать чужих в систему), управление доступом, протоколирование и аудит, криптография, экранирование.
47.Примеры средств программно-аппаратной защиты информации.
48.Виды сертификатов соответствия средств защиты информации.
Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:
- корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
- персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.
Корпоративные сертификаты
Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области.
Персональные сертификаты
Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк.
CISSP — безопасность IT-продуктов; CISM — информационная безопасность;
49.Нормативные документы ФСТЭК России по сертификации автоматизированных систем и средств вычислительной техники.
Приказ Гостехкомиссии РФ №199
Документ ГТК № 114, 187
50.Нормативные документы ФСТЭК России по защите персональных данных.
ЗАЩИТА ПЕРС ДАННЫХ: Приказ ФСТЭК: 21, 1085, 538; мет рекомендации ФСТЭК
51.Нормативные документы ФСТЭК России по сертификации средств защиты информации на основе профилей защиты.
Профиль защиты – независимая от реализации совокупность требований безопасности для некоторой категории объектов оценки, отвечающая специфическим запросам потребителя. (Общие требования к какому-то классу средств защиты).
- Методические документы «Профили защиты систем обнаружения вторжений», утв. ФСТЭК России 03.02.2012 г.
----Система обнаружения вторжений - система контролирующая сеть, рабочую станцию на предмет подозрительных действий, появления атак.
- Методические документы «Профили защиты межсетевых экранов типа...»
- Методические документы «Профили защиты средств доверенной загрузки» (к материнке подкл спец плата по pci, которая перехватывает загрузку ОС сразу после того, как BIOS проверил работоспособность всех основных устройств; пока не будет пройдена аутентификация, ОС не будет загружаться; только те, кто смогут пройти аутентификацию смогут загружать ОС)
Методические документы «Профили защиты средств антивирусной защиты», утв. ФСТЭК России 14.06.2012 г.
52.Требования ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Приказ ФСТЭК №21
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
53.Требования ФСТЭК России по обеспечению безопасности государственных информационных систем.
В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - информация), от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации) при обработке указанной информации в государственных информационных системах.
54.Требования ФСТЭК России по обеспечению безопасности систем критической информационной инфраструктуры.
ФЗ-187 «безопасность критической информ инфраструктуры»
1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности
2) принятие организационных и технических мер для обеспечения безопасности
3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности
55.Требования ФСТЭК России по обеспечению безопасности АСУТП.
АСУТП - Автоматизированная система управления технологическим процессом
Приказ от 14 марта 2014г №31
1. Использование средств защиты инф и тех средств, обеспечивающих К, Ц, Д данных.
2. Установка мер защиты информации на всех этапах жизненного цикла АСУТП, включая разработку, эксплуатацию и демонтаж.
3. Защита от внешних угроз (вирусы, хакерские атаки, распространение вредоносных программ).
4. Оценку рисков, планирование мер по предотвращению и устранению угроз, обучение персонала.
5. Обеспечение контроля и мониторинга защитных мер, а также регулярное проведение аудитов безопасности информации.
56.Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
Кибертерроризм - это использование информационных технологий для проведения террористических актов
• распространение идей терроризма через инет;
• отсутствие единого антитеррористического информационного пространства.
• Экономические проблемы \ Политические конфликты
• Недостаточная эффективность правоохранительных органов и слабость государства в борьбе с терроризмом.
57.Способы использования информационных технологий террористическими группами.
58.Классификация информационного терроризма.
Информационно-психологический терроризм – контроль над СМИ с целью распространения дезинформации, слухов, демонстрации мощи террористических организаций
Информационно-технический терроризм – нанесение ущерба отдельным физическим элементам информационной среды государства (создание помех, использование специальных программ, стимулирующих разрушение систем управления)
59.Задачи по защите от кибертерроризма.
На национальном уровне:
На международном уровне:
60.Понятие кибербезопасности в ISO/IEC 27032:2012.
Стандарт ISO/IEC 27032:2012 «Information technology – Security techniques – Guidelines for cybersecurity».
В качестве приоритета обеспечения кибербезопасности в данном стандарте выделена координация взаимодействия между организациями, формирующими киберпространство, самостоятельные действия которых не обеспечивают эффективную защиту от киберугроз.