32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.
- Федеральный закон "Об информации, информационных технологиях и о защите информации".
- Приказ ФСТЭК России "Об утверждении требований к защите информации от несанкционированного доступа, обеспечения целостности и конфиденциальности информации при ее обработке в информационных системах".
- ГОСТ Р ИСО/МЭК 27001-2013 "Информационная технология. Методы и средства обеспечения информационной безопасности. Системы менеджмента информационной безопасности".
- ГОСТ Р ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения информационной безопасности. Практическое руководство по
управлению информационной безопасностью".
- Приказ ФСБ России "Об утверждении требований к защите государственной тайны при использовании информационных технологий".
52.Требования фстэк России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
идентификация и аутентификация субъектов и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, её средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Билет номер 13
13.Способы реализации угроз, направленных на компьютерную информацию
Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.
Вирусы и другие вредоносные программы, которые могут заражать компьютеры и уничтожать, искажать или кражу данных.
Фишинг, поддельные сайты и электронные письма, которые могут попытаться получить доступ к личным данным пользователей.
Атаки на сетевые протоколы, которые могут привести к отказу в обслуживании или перехвату данных.
Социальная инженерия, которая может использоваться для получения доступа к компьютерной информации через обман пользователей.
Несанкционированный доступ к системам и базам данных с помощью взлома паролей или других методов.
Кража устройств хранения данных, таких как ноутбуки, телефоны или USB-накопители.
Основные виды вредоносных программ
• Программные закладки;
• Классические программные (компьютерные) вирусы;
• Вредоносные программы, распространяющиеся по сети (сетевые черви);
• Другие вредоносные программы, предназначенные для осуществления НСД (НСД - несанкционированный доступ).