- •Билет номер 1
- •1.Типы объектов защиты информации и их определения.
- •21.Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.
- •41.Сферы применения симметричного и асимметричного шифрования.
- •Билет номер 2
- •2. Свойства информации, обеспечиваемые при её защите.
- •22.Законодательные акты, регламентирующие работу с персональными данными.
- •42.Примеры криптографических средств защиты информации.
- •Билет номер 3
- •3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.
- •23.Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.
- •43.Виды лицензируемой деятельности по криптографической защите информации.
- •Билет номер 4
- •4. Виды информации, относящейся к сведениям конфиденциального характера.
- •24.Основные функции фсб России в области обеспечения информационной безопасности.
- •44.Требования по сертификации криптографических средств защиты информации.
- •5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.
- •25.Основные функции фстэк России в области обеспечения информационной безопасности.
- •45.Нормативные документы фсб России по защите персональных данных.
- •Билет номер 6
- •6. Понятие «угроза информационной безопасности». Формы представления информации.
- •26.Правовые документы, устанавливающие ответственность за компьютерные преступления.
- •Глава 28. Преступления в сфере компьютерной информации.
- •Федеральный закон от 27 июля 2006 года № 149-фз "Об информации,
- •Постановление Правительства рф от 1 августа 1996 года № 891 "Об утверждении Правил обеспечения сохранности и защиты конфиденциальной
- •46.Методы программно-аппаратной защиты информации.
- •Билет номер 7
- •7.Угрозы конфиденциальности информации, представленной в различных формах.
- •27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа.
- •47.Примеры средств программно-аппаратной защиты информации.
- •Билет номер 8
- •8.Угрозы целостности информации, представленной в различных формах.
- •- Помехи;
- •28.Правовые документы, устанавливающие ответственность за разглашение персональных данных.
- •Глава 14. Защита персональных данных работника.
- •Раздел VII. Права на результаты интеллектуальной деятельности и средства индивидуализации.
- •48.Виды сертификатов соответствия средств защиты информации.
- •Билет номер 9
- •9.Угрозы доступности информации, представленной в различных формах.
- •29.Задачи организационной защиты информации.
- •49.Нормативные документы фстэк России по сертификации автоматизированных систем и средств вычислительной техники.
- •Билет номер 10
- •10.Способы реализации угроз, направленных на акустическую информацию.
- •30.Стандарты семейства iso 27000
- •50.Нормативные документы фстэк России по защите персональных данных.
- •Билет номер 11
- •11.Способы реализации угроз, направленных на видовую информацию.
- •31.Этапы анализа объектов защиты.
- •51.Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
- •Билет номер 12
- •12.Способы реализации угроз информации, представленной в виде сигналов.
- •32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- •52.Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- •Билет номер 13
- •13.Способы реализации угроз, направленных на компьютерную информацию
- •33.Основные определения в области технической защиты информации.
- •53.Требования фстэк России по обеспечению безопасности государственных информационных систем.
- •Билет номер 14
- •14.Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.
- •Примеры методов и средств защиты информации:
- •34.Примеры технических и инженерно-технических средств защиты информации.
- •54.Требования фстэк России по обеспечению безопасности систем критической информационной инфраструктуры.
- •Билет номер 15
- •15.Понятие «система защиты информации». Направления защиты информации.
- •Направления защиты информации включают:
- •35.Виды лицензируемой деятельности по технической защите конфиденциальной информации.
- •55.Требования фстэк России по обеспечению безопасности асутп (Автоматизированная система управления технологическим процессом).
- •Билет номер 16
- •16.Элементы информационной системы, являющиеся объектами защиты.
- •36.Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.
- •56.Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма.
- •Билет номер 17
- •17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.
- •Угрозы от утечки по техническим каналам.
- •Угрозы несанкционированного доступа к информации.
- •Приказ фсб России от 24.11.2015 n 624 "Об утверждении Правил оценки средств защиты информации".
- •Билет номер 18
- •18.Угрозы конфиденциальности и целостности, направленные на персонал организации.
- •38.Виды средств защиты информации, подлежащих сертификации в системе сертификации сзи-гт.
- •58.Классификация информационного терроризма.
- •Информационный терроризм может быть классифицирован по следующим критериям:
- •Билет номер 19
- •19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.
- •39.Законы и стандарты в области криптографической защиты информации.
- •59.Задачи по защите от кибертерроризма.
- •Билет номер 20
- •20.Понятие «Уязвимость». Причины возникновения уязвимостей.
- •Причины возникновения уязвимости могут быть различными:
- •40.Основные определения в области криптографической защиты информации.
- •60.Понятие кибербезопасности в iso/iec 27032:2012.
Билет номер 11
11.Способы реализации угроз, направленных на видовую информацию.
Угрозы конфиденциальности:
Угрозы утечки видовой информации реализуются за счёт просмотра информации:
с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы (ИС);
с использованием специальных электронных устройств съёма, внедрённых в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.
Перехват (просмотр) информации может осуществляться посторонними лицами путём их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов ИС с использованием оптических (оптикоэлектронных) средств.
Необходимым условием осуществления просмотра (регистрации) информации является наличие прямой видимости между средством наблюдения и носителем информации. Жалюзи для защиты от утечки.
Угрозы доступности: выключение света, преграды прямой видимости.
Угрозы целостности: изменение или уничтожение видовой информации
31.Этапы анализа объектов защиты.
Определение объектов защиты. Необходимо определить, какие объекты информации и информационных систем нуждаются в защите.
- Анализ угроз безопасности. Необходимо оценить угрозы безопасности, которые могут возникнуть в отношении объектов защиты.
- Оценка уязвимостей. Необходимо проанализировать уязвимости объектов
защиты и определить, какие меры защиты необходимо принять для их устранения.
Разработка стратегии защиты. На основе полученных данных необходимо разработать стратегию защиты объектов информации и информационных систем.
Реализация мер защиты. После разработки стратегии защиты необходимо реализовать меры защиты объектов информации и информационных систем.
Мониторинг и анализ результатов. Необходимо постоянно мониторить состояние объектов защиты и анализировать результаты принятых мер защиты, чтобы в
случае необходимости корректировать стратегию защиты.
51.Нормативные документы фстэк России по сертификации средств защиты информации на основе профилей защиты.
ОБЩИЕ ТРЕБОВАНИЯ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ (ПРИКАЗ №76)
• Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
• Средства, соответствующие 6 уровню доверия, применяются в значимых объектах КИИ 3 категории, в ГИС 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровня защищенности ПДн.
• Средства, соответствующие 5 уровню доверия, применяются в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн.
• Средства, соответствующие 4 уровню доверия, применяются в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса.
ПРОФИЛИ ЗАЩИТЫ ОПЕРАЦИОННЫХ СИСТЕМ (3 типа ос (А, Б, В) )
ПРОФИЛИ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ •
Межсетевой экран уровня сети (тип "А") – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа "А" могут иметь только программнотехническое исполнение.
• Межсетевой экран уровня логических границ сети (тип "Б") – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа "Б" могут иметь программное или программно-техническое исполнение.
• Межсетевой экран уровня узла (тип "В") – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа "В" могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы.
Межсетевой экран уровня веб-сервера (тип "Г") – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и вебприложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа "Г" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
• Межсетевой экран уровня промышленной сети (тип "Д") – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа "Д" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, IndustrialEthernet и (или) иные протоколы)
ПРОФИЛИ ЗАЩИТЫ СРЕДСТВ АНТИВИРУСНОЙ ЗАЩИТЫ
• Тип "А" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах).
• Тип "Б" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем.
• Тип "В" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем.
• Тип "Г" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.
Средства антивирусной защиты типа "А" не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов "Б" и (или) "В".
ПРОФИЛИ ЗАЩИТЫ СРЕДСТВ ДОВЕРЕННОЙ ЗАГРУЗКИ (СДЗ)
• Средства доверенной загрузки уровня базовой системы ввода-вывода (СДЗ уровня базовой системы ввода-вывода встраиваются в базовую систему ввода-вывода и должны обеспечивать невозможность подключения нарушителя в разрыв между базовой системой ввода-вывода и СДЗ).
• Средства доверенной загрузки уровня платы расширения.
• Средства доверенной загрузки уровня загрузочной записи (предназначены для осуществления сокрытия сведений о структуре и размещении разделов жесткого диска).
ПРОФИЛИ ЗАЩИТЫ СРЕДСТВ КОНТРОЛЯ СЪЕМНЫХ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (СКН)
• Средства контроля подключения съемных машинных носителей информации.
• Средства контроля отчуждения (переноса) информации со съемных машинных носителей информации.