- •Вопросы к экзамену по оиБвИс
- •Второй блок
- •Каково место информационной безопасности в системе национальной безопасности Российской Федерации?
- •Сформулируйте основные положения доктрины информационной безопасности рф.
- •Каковы основные цели защиты информации?
- •Каковы основные задачи в области информационной безопасности?
- •Какова структура государственной системы защиты информации?
- •Кто несет ответственность за нарушение режима защиты информации?
- •Каковы функции руководителей предприятий при организации защиты информации?
- •Каковы основные функции фстэк?
- •Покажите роль различных министерств и ведомств в вопросах защиты информации.
- •1. Введение в этический хакинг, определение, основные цели, основные принципы.
- •2. Понимание кибератак и уязвимостей, природа кибератак, уязвимости и эксплойты.
- •3. Роль технических навыков в этичном хакерстве, примеры кибератак.
- •Понятие аудита безопасности ис, определение, цели, порядок проведения аудита ис. Стандарты безопасности при проведении аудита.
- •4 Лекция
- •Аудит информационной безопасности (иб) систем ip-телефонии. Методы аудита иб систем ip-телефонии. Нормативная база. Инструментарий аудита иб систем ip-телефонии.
- •Политика информационной безопасности. Системное содержание политики информационной безопасности Итерационный процесс разработки и реализации политики иб.
- •Структура политики информационной безопасности организации. Политика удаленного доступа. Процедура реагирования на события. Процедура управления конфигурацией.
- •Разработка политики безопасности организации. Основные требования к Политике безопасности. Схема разработки политики безопасности. Компоненты архитектуры безопасности.
- •Принципы обеспечения безопасности периметра сети телекоммуникационной системы.
- •Регулирование правил работы скуд. Нормативные документы. Рекомендации. Средства. Аудит.
- •Регулирование правил удаленного доступа средствами vpn. Законодательные нормы. Рекомендации. Средства.
- •Контроль безопасности конечных устройств. Методы. Средства. Правила. Угрозы.
- •Контроль безопасности ip-телефонии. Угрозы. Методы защиты. Средства. Рекомендации.
- •Роль стандартов информационной безопасности. Потребители. Производители. Эксперты по квалификации и специалисты по сертификации.
- •Принципы построения Государственных стандартов в области иб рф. Приоритет экономических факторов. Открытость проектирования. Юридическая значимость коммерческой информации.
- •Российские стандарты, регулирующие иб.
- •Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408.
- •Часть 1: Концептуальные основы и методология оценки.
- •Часть 2: Безопасностные функциональные требования.
- •Часть 3: Требования к процессу оценки.
- •Оранжевая книга. Международный стандарт iso/iec 15408. Критерии оценки безопасности информационных систем.
- •Стандарты iso/iec 17799:2002 (bs 7799:2000), Стандарт iso/iec 27001.
- •Стандарты для беспроводных сетей. Стандарт ieee 802.11. Стандарт ieee 802.11b. Стандарт ieee 802.11a. Стандарт ieee 802.11g. Стандарт ieee 802.11i.
- •Протоколы ssl, ipSec, set, pki.
- •Угрозы информационной безопасности в информационных системах. Задача обеспечения информационной безопасности ис.
- •Что относится к технологиям информационной защиты? Каковы цели средств информационного оружия?
- •Основные понятия информационной безопасности. Основные составляющие информационной безопасности.
- •Взаимодействие основных субъектов и объектов обеспечения информационной безопасности, и определения.
- •Определение политики безопасности по гост р исо/мэк 15408-1-2012. Понятия информационной безопасности и их взаимосвязь.
- •Лекция 1
- •Основные понятия защиты информации
- •Угрозы информационной безопасности в информационных системах, определение анализ и классификация угроз информационной безопасности
- •Классификация возможных угроз информационной безопасности.
- •Основные определения и критерии, угрозы целостности и конфиденциальности.
- •Какие цепочки цепочек обработки пакетов существуют в Dionis-nx? Какова их основная задача?
- •Что определяет порядок расположения правил в списке? в каком порядке система просматривает список правил?
- •Какой командой удаляется правило из списка?
- •Вспомните, по каким параметрам осуществляется фильтрация iр-датаграмм в Dionis-nx?
- •Можно ли заблокировать удаленный доступ к Dionis-nx по протоколу ssh при помощи списка доступа на этом Dionis-nx?
- •Какой трафик и почему будет заблокирован при установке списка доступа следующего содержания на вход интерфейса?
- •Какие типы nat используются в Dionis-nx? Какова их основная задача?
- •Ответы по первому блоку лаба 1
- •2. Что должен содержать аттестат соответствия?
- •3. Назовите порядок проведения аттестации объектов информатизации по требованиям безопасности информации.
- •4. Какие документы предоставляет заявитель для проведения испытаний органу по аттестации?
- •5. Какие функции осуществляет фстэк в рамках системы аттестации?
- •2. Каким документом определяются требования к защите персональных данных?
- •1) Структура нормативных документов предприятия.
- •2) Какой документ по защите информации является первичным нормативным актов на предприятии?
- •3) Законы, регулирующие порядок работы с конфиденциальной информаицей.
- •4) Что регулирует закон об архивном деле?
- •5) Что регулирует Федеральный закон «о защите персональных данных?
- •6) Что регулирует Федеральный закон «о коммерческой тайне»?
- •7) Что регулирует Федеральный закон «о связи»?
- •8) Общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации.
- •2. Какая главная цель создания сзи?
- •4. Какие исходные данные используются для составления плана по улучшению защищённости объекта информатизации?
- •5. Какими документами должен руководствоваться специалист по защите информации при составлении плана мероприятий по улучшению защищённости объекта информатизации?
- •1) Основные компоненты подсистемы защиты базы данных.
- •2) Какие наиболее общие подходы к вопросу обеспечения безопасности данных поддерживаются в современных субд?
- •3) Наиболее известные современные субд.
- •4) Алгоритм проверки аутентификации пользователя в mssqlServer.
- •5) Для чего используется механизм разграничения доступа на уровне субд?
- •1) Что называется телекоммуникационной инфраструктурой предприятия?
- •2) Основные уровни модели osi, используемые для защиты телекоммуникационной инфраструктуры.
- •3) Основные компоненты защищённой телекоммуникационной инфраструктуры.
- •4) Основные методы защиты телекоммуникационной инфраструктуры на канальном уровне.
- •5) Основные методы защиты телекоммуникационной инфраструктуры на сетевом уровне.
- •1) Что называется системой управления информационной безопасностью?
- •2) Какие стадии включает в себя процесс контроля целостности системы защиты информации?
- •3) Основные компоненты системы управления информационной безопасностью.
- •4) Основные методы защиты систем управления информационной безопасностью.
- •1) Порядок проведения испытаний системы защиты.
- •2) Порядок разработки методики испытаний.
- •3) Какой нормативный документ устанавливает 7 классов защищенности средств защиты информации?
- •4) Порядок тестирования функций мэ.
- •5) Каким рядом заметных достоинств обладает программный комплекс «Сканер-вс»?
Роль стандартов информационной безопасности. Потребители. Производители. Эксперты по квалификации и специалисты по сертификации.
Стандарты информационной безопасности играют важнейшую роль в формировании условий надежной защиты данных, повышении конкурентоспособности продуктов и услуг, снижении юридических рисков и улучшении доверия потребителей. Они задают критерии, методы и практики, позволяющие участникам рынка достигать высоких показателей в сфере защиты информации.
Участники процесса стандартизации:
Основными участниками процесса стандартизации информационной безопасности являются:
1) Производители продукции и услуг:
- Создают продукцию и предлагают услуги, соответствующие принятым стандартам.
- Выполняют сертификационные испытания и проводят мероприятия по обеспечению соответствия стандартам.
2) Эксперты по квалификации:
- Занимаются разработкой новых стандартов и их адаптацией к международным требованиям.
- Консультируют производителей и потребителей относительно наилучшей практики применения стандартов.
3) Специалисты по сертификации:
- Осуществляют проверку соответствия изделий и услуг стандартам безопасности.
- Выпускают сертификаты соответствия, подтверждающие качество продукта или услуги.
4) Государственные органы и регуляторы:
- Определяют требования к обязательной сертификации определенных категорий товаров и услуг.
- Контролируют исполнение стандартов и вводят санкции за несоблюдение.
5) Научные учреждения и исследовательские центры:
- Исследуют новейшие угрозы и разрабатывают методики противодействия.
- Участвуют в разработке национальных и международных стандартов.
6) Общественные объединения и ассоциации:
- Представляют интересы участников рынка и способствуют развитию отрасли.
- Формируют добровольные отраслевые стандарты и рекомендации.
Значение стандартов для различных групп участников
1) Для потребителей:
- Стандарты создают уверенность в качестве приобретаемого товара или услуги.
- Уменьшают риск приобретения некачественного или опасного продукта.
- Повышают доверие к производителям и поставщикам.
2) Для производителей:
- Способствуют выходу на международные рынки и увеличению экспортного потенциала.
- Помогают сократить затраты на исследования и разработки.
- Укрепляют репутацию бренда и повышают конкурентоспособность.
3) Для государства:
- Улучшают ситуацию с защитой национальной безопасности и экономическими интересами.
- Упрощают международное сотрудничество и интеграцию экономики.
- Снижают нагрузку на контролирующие органы за счёт независимой сертификации.
4) Для экспертов и специалистов:
- Обеспечивают профессиональный рост и развитие компетенций.
- Открывают перспективы трудоустройства и карьерного роста.
- Поддерживают научную и образовательную сферы.
Принципы построения Государственных стандартов в области иб рф. Приоритет экономических факторов. Открытость проектирования. Юридическая значимость коммерческой информации.
1) Принцип приоритета интересов национальной безопасности
Основной задачей государственных стандартов в области информационной безопасности является обеспечение надежного функционирования и защиты информационных систем и сетей от внутренних и внешних угроз. Это достигается путём установления единых требований к технологиям, методикам и процедурам защиты информации, соответствующим интересам государства и общества.
2) Принцип открытости и доступности стандартов
Все государственные стандарты публикуются открыто и свободно распространяются среди заинтересованных сторон. Это обеспечивает равноправие и прозрачность процесса стандартизации, привлекая внимание профессионалов и общественности к вопросам информационной безопасности.
3) Принцип систематичности и последовательности
При создании стандартов в области информационной безопасности учитываются взаимосвязи и преемственность ранее утвержденных норм и правил. Новые стандарты разрабатываются с учетом опыта предыдущих поколений стандартов, что повышает их практичность и удобство применения.
4) Принцип научной обоснованности
Требования и методы, заложенные в стандартах, основаны на научных исследованиях и проверенных практических подходах. Учёные и профессионалы активно участвуют в подготовке стандартов, обеспечивая их высокое качество и технологическую новизну.
5) Принцип универсальности и совместимости
Государственные стандарты стремятся учесть нужды различных сфер экономики и социальных институтов, предлагая унифицированные подходы и терминологию. Такие стандарты легко адаптируются к различным областям применения и способствуют международной интеграции.
6) Принцип постоянства и динамичности
Хотя стандарты имеют длительный срок действия, они постоянно пересматриваются и дополняются в зависимости от изменений в законодательстве, технике и практике. Такой подход позволяет сохранять актуальность стандартов и поддерживать их способность отвечать на современные вызовы.
7) Принцип согласования интересов
Создание стандартов осуществляется при участии представителей различных ведомств, науки, бизнеса и гражданского общества. Такое широкое обсуждение гарантирует сбалансированность интересов всех участников и улучшает восприятие стандартов в обществе.
Основные экономические факторы, принимаемые во внимание при разработке стандартов:
Экономические факторы:
1) Стоимость внедрения стандарта: Учитывается стоимость закупки оборудования и программного обеспечения, необходимое переобучение кадров, затраты на техническое сопровождение и модернизацию.
2) Воздействие на рынок: Нормы и правила устанавливаются таким образом, чтобы не создавать необоснованных препятствий для развития отечественного производства и импортозамещения.
3) Конкурентоспособность продукции: Стандарты поддерживают конкурентоспособность российских поставщиков и производителей, способствуя росту экспорта и улучшению имиджа отечественных продуктов на мировых рынках.
4) Соотношение стоимости и выгоды: Критерии стандартов формируются исходя из баланса между расходами на реализацию требований и получаемыми выгодами от повышения уровня информационной безопасности.
Открытость проектирования
Принцип открытости проектирования стандартов означает привлечение широкого круга заинтересованных сторон к процессу разработки и утверждения государственных стандартов. Такая открытость обеспечивает следующие преимущества:
- Равенство всех участников процесса стандартизации, включая производителей, пользователей, ученых и представителей госорганов.
- Получение конструктивной критики и предложений, что повышает качество создаваемых стандартов.
- Привлечение международного опыта и глобальных тенденций в области информационной безопасности.
- Ускоренное принятие и внедрение стандартов, исключающее излишнюю формализацию и бюрократию.
Пример открытой разработки стандартов — активное участие профильных ассоциаций и союзов, отраслевых сообществ и экспертов в процессе выработки обязательных требований и рекомендаций.
Юридическая значимость коммерческой информации:
Коммерческая информация обладает особой юридической значимостью, поскольку влияет на конкуренцию, экономическую стабильность и безопасность государства. В рамках разработки государственных стандартов принимаются меры по защите коммерческой информации, такие как:
- Ограничение свободного доступа к документации, содержащей секреты производства и научно-исследовательской деятельности.
- Обязанность уведомления владельцев информации о случаях раскрытия или незаконного использования.
- Признание статуса коммерческой тайны, позволяющий владельцам самостоятельно определять состав охраняемой информации.
Подобные меры закрепляются на уровне федерального законодательства и влияют на содержание государственных стандартов, делая их более защищенными и надежными инструментами регулирования.