ОИБ шпоры
.docx1.Типы объектов защиты информации и их определения. Объект защиты информации - информация/носитель информации/информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Информация - сведения независимо от формы их представления. Информационный процесс – процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации. Носитель защищаемой информации - физическое лицо/материальный объект, в том числе физическое поле, в котором информация находит своё отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Носитель документированной информации – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде. Электронный документ – документ, информация в котором представлена в электронно-цифровой форме (ГОСТ Р 52069.0- 2003 " Система стандартов по информации”). |
21.Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну. Закон РФ № 5485-1 «О государственной тайне». Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности РФ. Постановление Правительства РФ № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности». Указ Президента РФ №1286 «Вопросы межведомственной комиссии по защите государственной тайны». Указ Президента РФ № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне». |
41.Сферы применения симметричного и асимметричного шифрования. Симметричное шифрование быстрее и подходит для шифрования большого объёма сетевого трафика.(VPN) Ассиметричное шифрование используется для систем электронной подписи (ключом подтверждается, кто именно отправил файл или документ) и передачи небольших объёмов данных (например логины и пароли).
|
2. Свойства информации, обеспечиваемые при её защите. 1.Конфиденциальность–состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. (Шифрование переписки; Доступ к медицинским данным только у лечащего врача; Пароль на личный компьютер) 2.Целостность–состояние информации, при котором её изменение осуществляется только преднамеренно субъектами, имеющими на него право. (Контрольная сумма файла; Электронная подпись в договоре; Хеширование данных в блокчейне – цифровой реестр) 3.Доступность–состояние информации, при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно. (Резервные серверы; авторизация по отпечатку пальца; Бесперебойное питание) 4.Неотказуемость–способность подтвердить произошедшее действие/событие таким образом, чтобы участники не могли впоследствии отрицать их. (Электронная подпись в письме; Логи звонков в телефоне; Запись транзакций в банке) 5.Подотчётность–состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация. (Журнал событий в Windows; Учёт оборудования в компании; Логи доступа к серверу) Когда все ресурсы в комп. системе учтены и записаны. 6.Аутентичность–свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации. (Вход в аккаунт по Face ID; Проверка цифрового сертификата сайта; Подпись в паспорте) Убеждаемся, что человек это именно тот, за кого себя выдает, что его данные настоящие. 7.Достоверность–свойство соответствия ыйпредусмотренному поведению и результатам. (Новость из официального СМИ; Метеорологический прогноз от государственной службы; Официальный курс валют от Центробанка) |
22.Законодательные акты, регламентирующие работу с персональными данными. Федеральный закон от 27.07.06 №152- ФЗ «О персональных данных». Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
|
42.Примеры криптографических средств защиты информации. Криптография — это наука о методах обеспечения безопасности данных. Примеры криптографических средств защиты информации: 1. Алгоритмы шифрования: AES, RSA, SHA и др. 2. Ключи и сертификаты. 3. Средства электронной подписи (USB-токены, смарт-карты). 4. Системы контроля доступа (биометрия, RFID). 5. VPN и протоколы шифрования для безопасной передачи данных. 6. Хеш-функции для проверки целостности данных. 7. Шифрование дисков и файлов. 8. Системы обнаружения атак и защиты от DDoS. 9. Защита от вредоносного ПО и фишинга. 10. SSL-сертификаты и прокси для защиты трафика. В России использование криптографии во многих случаях засекречено, поэтому открытой информации о ней мало. СКЗИ (средство криптографической защиты информации) — программа или устройство, которое шифрует данные и создаёт электронную подпись с помощью сложных ключей, недоступных для подбора. Примеры СКЗИ: - Средства шифрования (программные, аппаратные). - Средства имитозащиты. - Средства ЭП (создание и проверка подписи). - Средства кодирования (с ручными или автоматизированными операциями). - Ключевые документы (электронные или бумажные, содержащие секретные ключи). - Ключевой блокнот (упорядоченный набор ключевых документов). - Средства изготовления ключевых документов. |
3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. Секретная информация – информация, содержащая сведения, отнесённые к государственной тайне. (Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно- розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации) Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него. Степени секретности: Секретные следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности. Совершенно секретные следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей. Особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей. |
23.Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну. По коммерческой тайне: Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне». По служебной тайне: Постановление Правительства РФ от 03.11.1994 N 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии». Указ Президента № 188 "Об утверждении перечня сведений конфиденциального характера" ФЗ № 5485-1 "О государственной тайне"
|
43.Виды лицензируемой деятельности по криптографической защите информации. Суть: лицензированию подлежит вся деятельность в области криптографии, кроме случаев, когда она используется для собственных нужд. -Разработка, производство и реализация криптографических средств защиты информации. -Установка, настройка и эксплуатация криптографических средств защиты информации. -Проведение работ по сертификации криптографических средств защиты информации. -Обучение и консультирование по вопросам криптографической защиты информации. -Использование криптографических средств защиты информации при обработке государственной тайны. К разным видам деятельности предъявляются разные требования. Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». -Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
|
4. Виды информации, относящейся к сведениям конфиденциального характера. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Тайна следствия, судопроизводства — одна из видов тайн, устанавливающая режим конфиденциальности в уголовном деле и ограничивающих доступ к ней, которая действует в период предварительного расследования, то есть с момента возбуждения уголовного дела и вынесения соответствующего постановления до прекращения уголовного дела или до направления обвинительного заключения (обвинительного акта) прокурору. Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Профессиональная тайна – информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определённых видов деятельности. Коммерческая тайна – конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.( На документах … содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием её обладателя) Интеллектуальная собственность (Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью) Банковская информация - информация о финансовых операциях и счетах клиентов банка, которая является конфиденциальной и может быть доступна только с разрешения соответствующих органов. Медицинская информация - информация о состоянии здоровья человека, результаты медицинских обследований и лечения, которая может быть доступна только медицинским работникам или согласно законодательству.
|
24.Основные функции ФСБ России в области обеспечения информационной безопасности. Регламентирующие документы: Федеральный закон от 03.04.1995 № 40- ФЗ «О Федеральной службе безопасности»; Указ Президента РФ от 11.08.2003 № 960 «Вопросы Федеральной службы безопасности Российской Федерации». Функции ФСБ России в области защиты государственной тайны Организация защиты гос. тайны – контроль допуска граждан и организаций, разработка нормативов, внедрение мер защиты. Обеспечение информационной безопасности – участие в создании и реализации защитных механизмов. Аккредитация и сертификация – проверка органов сертификации и лабораторий, работающих с защищённой информацией. Функции ФСБ России в области криптографии Контроль криптографических средств – разработка, сертификация, эксплуатация и мониторинг СКЗИ. Лицензирование деятельности – выдача разрешений на работу с криптографией. Регулирование оборота шифровальных средств – контроль ввоза, вывоза и использования. Работа с электронной подписью – обеспечение её применения в соответствии с законом. Организация шифровальной работы – защита информации в органах безопасности. Кратко: ФСБ контролирует гос. тайну и криптографию – от допуска сотрудников до сертификации шифровальных средств. |
44.Требования по сертификации криптографических средств защиты информации. Постановление Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации». Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. -Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года № 149-ФЗ. -Постановление Правительства Российской Федерации от 06.05.2011 № 365 "Об утверждении правил выполнения работ по обеспечению защиты конфиденциальной информации". -Приказ ФСБ России от 26.07.2011 № 378 "Об утверждении требований к криптографическим средствам защиты информации, применяемым при обработке конфиденциальной информации". -Приказ ФСБ России от 29.12.2014 № 647 "Об утверждении Положения о проведении сертификации криптографических средств защиты информации". -Приказ ФСБ России от 25.04.2016 № 122 "Об утверждении требований к криптографическим средствам защиты информации, применяемым при обработке государственной тайны". -Приказ ФСБ России от 25.04.2016 № 123 "Об утверждении требований к криптографическим средствам защиты информации, применяемым при обработке конфиденциальной информации".
|
5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы. Нарушение информационной безопасности - это любое действие или событие, которое приводит к ущербу, утечке, потере или несанкционированному доступу к конфиденциальной информации. Примерами нарушений информационной безопасности могут быть взломы, кражи паролей, фишинговые атаки, вирусы и т.д. Атаки на информационные системы могут быть различными. Некоторые из них: -Вирусы - программы, которые попадают в компьютер и начинают разрушительную работу. -Фишинг - мошенничество, при котором злоумышленник под видом легитимного запроса запрашивает у пользователя его данные, пароли и т.д. -ДДоС - атака на сервер, которая заключается в перегрузке трафика. -Спам - рассылка нежелательных сообщений по электронной почте. -Файлообменные сети - использование сетей для обмена файлами, в том числе и нелегальных. -Кража личных данных - получение доступа к личной информации пользователя. -Ботнеты - сеть компьютеров, зараженных вредоносным программным обеспечением, которые могут быть использованы для злоумышленных действий.
|
25.Основные функции ФСТЭК России в области обеспечения информационной безопасности. Реестр и безопасность критической информационной инфраструктуры. Ведение реестра значимых объектов критической информационной инфраструктуры (КИИ). Разработка требований и контроль их выполнения. Противодействие техническим разведкам (ТР) и техническая защита информации (ТЗИ) Установление норм и требований по защите от утечек. Проведение спецмероприятий по ТР и ТЗИ. Безопасность суперкомпьютерных и грид-систем Разработка стратегий и требований для защиты информации ограниченного доступа. Радиоконтроль и защита каналов связи Мониторинг радиопередач госорганов и организаций для предотвращения утечек. Лицензирование и сертификация Выдача лицензий на деятельность по защите гостайны и конфиденциальной информации. Сертификация средств защиты информации и объектов информатизации. Подготовка специалистов Методическое руководство обучением кадров в сфере защиты КИИ, ТР и ТЗИ. |
45.Нормативные документы ФСБ России по защите персональных данных. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" -«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСБ России 21 февраля 2008 года № 149/6/6-622. -«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утв. ФСБ России 21 февраля 2008 года № 149/54-144. Приказ ФСБ России от 01.02.2013 № 33 "Об утверждении требований к защите персональных данных при их обработке в информационных системах, используемых для обеспечения безопасности Российской Федерации". Приказ ФСБ России от 14.04.2014 № 194 "Об утверждении требований к защите персональных данных при их обработке в информационных системах, используемых для государственных нужд". Приказ ФСБ России от 26.05.2015 № 259 "Об утверждении требований к защите персональных данных при их обработке в информационных системах, используемых для обеспечения безопасности государства". Приказ ФСБ России от 22.03.2016 № 143 "Об утверждении требований к защите персональных данных при их обработке в информационных системах, используемых для обеспечения экономической безопасности Российской Федерации". Приказ ФСБ России от 29.06.2016 № 262 "Об утверждении требований к защите персональных данных при их обработке в информационных системах, используемых для обеспечения национальной безопасности Российской Федерации". |
6. Понятие «угроза информационной безопасности». Формы представления информации. Угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Источник угрозы безопасности информации – субъект, являющийся непосредственной причиной возникновения угрозы безопасности информации. Формы представления информации: 1. Акустическая (речевая) информация; 2. Сигнальная (информация, электрических, электромагнитных, оптических сигналов). 3. Видовая информация (текст, изображения); 4. Компьютерная (информация, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур). |
26.Правовые документы, устанавливающие ответственность за компьютерные преступления. Компьютерные правонарушения и преступления – это противоправные действия, совершенные с использованием средств вычислительной техники. При этом средства вычислительной техники и компьютерная информация являются предметом и (или) средством совершения преступления. Уголовный кодекс: Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ. •Статья 272. Неправомерный доступ к компьютерной информации. •Статья 273. Создание, использование и распространение вредоносных компьютерных программ. •Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. КоАП: • Статья 13.12. Нарушение правил защиты информации. • Статья 13.13. Незаконная деятельность в области защиты информации. -Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", который устанавливает правила защиты информации и ответственность за ее нарушение. -Федеральный закон от 21 июля 2014 года № 242-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации в части усиления ответственности за совершение преступлений в сфере компьютерной информации", который ужесточил ответственность за компьютерные преступления. -Постановление Правительства РФ от 1 августа 1996 года № 891 "Об утверждении Правил обеспечения сохранности и защиты конфиденциальной информации в организациях", которое устанавливает требования к организациям по защите конфиденциальной информации, включая компьютерные данные. Нормативно-правовые акты Федеральной службы безопасности Российской Федерации, которые устанавливают правила защиты информации и борьбы с компьютерными преступлениями. |
46.Методы программно-аппаратной защиты информации. Методы программно-аппаратной защиты информации 1. Основные методы защиты - HSM (Hardware Security Module) – защищённые аппаратные хранилища криптографических ключей. - Защищённые ОС (например, Astra Linux, Qubes OS) – системы с усиленной безопасностью. - Виртуализация и контейнеризация (Docker, VMware) – изоляция приложений и данных. - Защищённые процессоры (Intel SGX, ARM TrustZone) – аппаратное шифрование и защита памяти. - Технологии защиты исполнения кода (DEP, ASLR) – предотвращение эксплойтов. - VPN, SSL/TLS – шифрование передаваемых данных. - Физическая защита(видеонаблюдение, сейфы для серверов). - Биометрия(сканеры отпечатков, распознавание лица). -Цифровые подписи и хеш-функции – защита от подмены данных. 2. Механизмы контроля доступа - Идентификация(логин, ID-карта) – определение пользователя. - Аутентификация (пароль, токен, биометрия) – подтверждение личности. - Авторизация – определение прав доступа. Модели управления доступом: - Дискреционная (DAC) – гибкая, но требует ручного управления. - Мандатная (MAC) – жёсткая, основана на метках конфиденциальности. 3. Мониторинг и аудит - Протоколирование – запись событий (входы, доступ к файлам). - Аудит – анализ логов для выявления угроз. - Журналы безопасности – хронология действий для расследований. 4. Обеспечение целостности данных - Резервное копирование(Backup, RAID-массивы). - Антивирусы и DLP-системы– защита от вредоносного ПО и утечек. 5. Межсетевые экраны (Firewalls) - Контроль трафика между сетями. - Блокировка неавторизованных соединений. 6. Криптография - Шифрование данных (AES, RSA). - Электронная подпись (ЭП). - Защита от перехвата и подделки. |
7.Угрозы конфиденциальности информации, представленной в различных формах. Утечка информации – неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками. Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации. Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, приём и обработку информативных сигналов. Информативный сигнал – сигнал, по параметрам которого может быть определена защищаемая информация. Фишинг - обман пользователя с целью получения доступа к его персональным данным. Вирусы и другие вредоносные программы - программы, которые могут уничтожать, изменять или копировать конфиденциальную информацию. Шпионские программы - программы, которые используются для незаметного сбора информации о пользователе или его действиях. Недостаточная защита информации - отсутствие или недостаточность мер защиты информации, что делает ее уязвимой для угроз Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. Наведённый в токопроводящих линейных элементах технических средств сигнал; наводка – ток и напряжение в токопроводящих элементах, вызванные электромагнитным излучением, емкостными и индуктивными связями.
|
27.Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа. УК РФ: Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну; Статья 283. Разглашение государственной тайны; Статья 283.1. Незаконное получение сведений составляющих ГТ; Статья 283.2. Нарушение требований по защите ГТ; Статья 275. Гос. Измена; Статья 275.1. Сотрудничество с на конфиденциальной основе с иностранным государством; Статья 283.1. Незаконное получение сведений, составляющих государственную тайну. Статья 284. Утрата документов, содержащих ГТ. КоАП Статья 13.14. Разглашение информации с ограниченным доступом. Статья 13.14.1. Незаконное получение информации с ограниченным доступом. ТК РФ Статья 81. Расторжение трудового договора по инициативе работодателя; Статья 243. Случаи полной материальной ответственности. |
47.Примеры средств программно-аппаратной защиты информации. 1.Антивирусные программы. 2.Файрволы (брандмауэры). 3.Криптографические средства защиты информации (шифровальные алгоритмы, ключевые носители и т.д.). 4.Средства аутентификации пользователей (токены, биометрические устройства, пароли и т.д.). 5.Средства контроля доступа (ACL, RBAC, MAC и т.д.). 6.Средства мониторинга и аудита (логи, мониторинг событий, системы детекции атак и т.д.). 7.Средства защиты от DDoS-атак (защита на уровне сети или приложения). 8.Средства защиты от фишинга и социальной инженерии (обучение пользователей, спам-фильтры и т.д.). 9.Средства защиты от утечки конфиденциальной информации (DLP-системы, контрольный доступ к съемным носителям и т.д.). 10.Средства защиты от вредоносного ПО (системы обнаружения и блокирования угроз, антиспам и т.д.). К основным аппаратным средствам защиты информации относятся: -устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.); -устройства для шифрования информации; -устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы). Примеры вспомогательных аппаратных средств защиты информации: -устройства уничтожения информации на магнитных носителях; -устройства сигнализации о попытках несанкционированных действий пользователей КС и др. Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся: •программы идентификации и аутентификации пользователей КС; •программы разграничения доступа пользователей к ресурсам КС; •программы шифрования информации; •программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
|
8.Угрозы целостности информации, представленной в различных формах. Угрозы целостности информационной системы – угрозы несанкционированного изменения (отключения) элементов информационной системы и (или) их настроек. 3 Видовая: Подделка документа, повреждение/уничтожение документа 4 Акустическая: Искажение звука, вредоносные программы меняющие аудиофайлы, ошибки при передаче аудиофайлов из-за ошибок в по 5 Сигнальная: Подмена сигнала, искажение при передаче, перехват 6 Компьютерная: SQL-инъекции, через которые может осуществляться изменение базы данных, внедрение вирусов, которые повреждают и изменяют файлы |
28.Правовые документы, устанавливающие ответственность за разглашение персональных данных. Уголовный кодекс: • Статья 137. Нарушение неприкосновенности частной жизни. • Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. • Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации. • Статья 146. Нарушение авторских и смежных прав. • Статья 147. Нарушение изобретательских и патентных прав. КоАП: • Статья 7.12. Нарушение авторских и смежных прав, изобретательских и патентных прав. • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Трудовой кодекс: • Статья 81. Расторжение трудового договора по инициативе работодателя. Трудовой договор может быть расторгнут работодателем в случае однократного грубого нарушения работником трудовых обязанностей: разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника. Глава 14. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА. • Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты. • Статья 87. Хранение и использование персональных данных работников. • Статья 88. Передача персональных данных работника. • Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя. • Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Гражданский кодекс: Раздел VII. ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ.
|
48.Виды сертификатов соответствия средств защиты информации. 1.Сертификат соответствия по требованиям безопасности информации. 2.Сертификат соответствия по требованиям криптографической защиты информации. 3.Сертификат соответствия по требованиям к защите персональных данных. 4.Сертификат соответствия по требованиям к защите от несанкционированного доступа и контролю доступа к информации. 5.Сертификат соответствия по требованиям к защите информации в автоматизированных системах управления технологическими процессами и производственными объектами.
Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории: -корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности; -персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере. Корпоративные сертификаты Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области. Персональные сертификаты Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. Cертификация - подтверждение соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. Сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России. При этом ФСБ России действует в области криптографической защиты информации, а ФСТЭК России – в области технической защиты информации некриптографическими методами. Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными. |
9.Угрозы доступности информации, представленной в различных формах. Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей. · отказ пользователей; · внутренний отказ информационной системы; · отказ поддерживающей инфраструктуры. Обычно применительно к пользователям рассматриваются следующие угрозы: · нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); · невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); · невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). Блокирование доступа (к информации) – прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей). |
29.Задачи организационной защиты информации. 1- Установление политики безопасности информации. Эта задача заключается в определении основных принципов и целей безопасности информации в организации, а также в разработке правил и процедур, которые должны быть соблюдены всеми сотрудниками. 2- Управление доступом к информации. Эта задача заключается в установлении правил доступа к конфиденциальной информации и контроля за выполнением этих правил. 3- Защита от вредоносных программ. Эта задача заключается в установлении правил использования компьютеров и программного обеспечения, а также в защите от вирусов, троянов и других вредоносных программ. 4- Обеспечение физической безопасности информации. Эта задача заключается в обеспечении физической защиты серверов, компьютеров и другого оборудования, на котором хранится конфиденциальная информация. 5- Управление рисками информационной безопасности. Эта задача заключается в определении потенциальных угроз безопасности информации, а также в разработке мер по предотвращению этих угроз. 6- Обучение сотрудников. Эта задача заключается в обучении сотрудников правилам безопасности информации и процедурам защиты конфиденциальной информации. 7- Мониторинг и аудит безопасности информации. Эта задача заключается в контроле за выполнением правил и процедур безопасности информации, а также в анализе эффективности системы управления информационной безопасностью.
|
49.Нормативные документы ФСТЭК России по сертификации автоматизированных систем и средств вычислительной техники. -«Положение о сертификации средств защиты информации по требованиям безопасности информации», утв. Приказом ГТК РФ от 27.10.1995 № 199. -Руководящий документ Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» от 4 июня 1999 г. № 114. -Руководящий документ ГТК РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г. -Руководящий документ ГТК РФ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» от 30 марта 1992 г. -Руководящий документ ГТК РФ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», утв. Приказом ГТК РФ от 19 июня 2002 г. N 187.
|
10.Способы реализации угроз, направленных на акустическую информацию. Угрозы конфиденциальности: Перехват акустической (речевой) информации возможен: -с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счёт преобразований в технических средствах обработки информации, вспомогательных технических средствах и системах (ВТСС) и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн; -с использованием специальных электронных устройств съёма речевой информации, внедрённых в технические средства обработки информации, ВТСС и помещения или подключённых к каналам связи. Угрозы доступности: шум (мешает расслышать), выкачать воздух))). Угрозы целостности: шум (искажает акустическую информацию), враньё (фальсификация). |
30.Стандарты семейства ISO 27000 Серия стандартов ISO 27000 в первую очередь имеет отношение к управлению информационной безопасностью. Рассказать 3-4 стандарта: номер; суть(лучше) или название(если суть не помнишь). • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Дата введения 01.02.2008. Суть: Если руководитель желает этим заниматься, то нужно, а если не желает, то самому что-то делать не стоит. • ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности». Дата введения 01.01.2014. Суть: все основные правила, меры. • ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности». Дата введения 01.12.2013. • ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения». Дата введения 01.01.2012. Суть: Об измерениях.
|
• ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Дата введения 01.12.2011. Суть: Управление рисками. • ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности». Дата введения 01.10.2009. • ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции». Дата введения 01.01.2012. Суть: Об обеспечении безопасности сетей В России нет: 27009, 27012, 27032(кибербезопасность). Определение Управление информационной безопасностью – определение методов и средств, используемых при анализе, внедрении, эксплуатации и контроле элементов системы защиты информации. Система менеджмента (управления) информационной безопасности (СМИБ) – часть общей системы менеджмента, основанная на использовании системы методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
|
50.Нормативные документы ФСТЭК России по защите персональных данных. 1.Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении методических рекомендаций по организации защиты персональных данных при их обработке в информационных системах, использующихся для обеспечения безопасности Российской Федерации". 2.Приказ ФСТЭК России от 30.12.2013 № 1085 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". 3.Методические рекомендации ФСТЭК России по защите персональных данных при их обработке в информационных системах, использующихся для обеспечения безопасности Российской Федерации. 4.Требования ФСТЭК России к защите персональных данных при их обработке в информационных системах персональных данных. 5.Инструкция ФСТЭК России по защите персональных данных при их обработке в информационных системах персональных данных. 6.Приказ ФСТЭК России от 05.10.2016 № 538 "Об утверждении требований к защите персональных данных при их обработке в информационных системах общего назначения".
|
11.Способы реализации угроз, направленных на видовую информацию. Угрозы конфиденциальности: Угрозы утечки видовой информации реализуются за счёт просмотра информации: -с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы (ИС); -с использованием специальных электронных устройств съёма, внедрённых в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений. -Перехват (просмотр) информации может осуществляться посторонними лицами путём их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов ИС с использованием оптических (оптикоэлектронных) средств. -Необходимым условием осуществления просмотра (регистрации) информации является наличие прямой видимости между средством наблюдения и носителем информации. Жалюзи для защиты от утечки. Угрозы доступности: выключение света, преграды прямой видимости. Угрозы целостности: изменение или уничтожение видовой информации. |
31.Этапы анализа объектов защиты. 1.Определение объектов защиты. Необходимо определить, какие объекты информации и информационных систем нуждаются в защите. 2.Анализ угроз безопасности. Необходимо оценить угрозы безопасности, которые могут возникнуть в отношении объектов защиты. 3.Оценка уязвимостей. Необходимо проанализировать уязвимости объектов защиты и определить, какие меры защиты необходимо принять для их устранения. 4.Разработка стратегии защиты. На основе полученных данных необходимо разработать стратегию защиты объектов информации и информационных систем. 5.Реализация мер защиты. После разработки стратегии защиты необходимо реализовать меры защиты объектов информации и информационных систем. 5.Мониторинг и анализ результатов. Необходимо постоянно мониторить состояние объектов защиты и анализировать результаты принятых мер защиты, чтобы в случае необходимости корректировать стратегию защиты. |
51.Нормативные документы ФСТЭК России по сертификации средств защиты информации на основе профилей защиты. Нормативные документы ФСТЭК России по сертификации СЗИ Общие требования по безопасности (Приказ №76) - 6 уровней доверия(1 – высший, 6 – низший). - Уровень 6: КИИ 3 категории, ГИС 3 класса, АСУ ТП 3 класса, ИСПДн (3–4 уровень защищенности ПДн). - Уровень 5: КИИ 2 категории, ГИС 2 класса, АСУ ТП 2 класса, ИСПДн (2 уровень защищенности ПДн). - Уровень 4: КИИ 1 категории, ГИС 1 класса, АСУ ТП 1 класса, ИСПДн (1 уровень защищенности ПДн), ИС общего пользования II класса. Профили защиты 1.Операционные системы – 3 типа (А, Б, В). 2. Межсетевые экраны (МЭ): - Тип А (сетевой уровень, периметр ИС) – программно-технические. - Тип Б (логические границы) – программные/программно-технические. - Тип В (уровень узла) – только программные. - Тип Г (веб-серверы) – контроль HTTP-трафика. - Тип Д (промышленные сети) – поддержка промышленных протоколов (Modbus, Profibus и др.). 3. Антивирусная защита: - Тип А – централизованное администрирование (используется с типами Б/В). - Тип Б – для серверов. - Тип В – для рабочих мест. - Тип Г – для автономных рабочих мест. 4. Средства доверенной загрузки (СДЗ): - Уровень BIOS. - Уровень платы расширения. - Уровень загрузочной записи (скрытие структуры диска). 5. Контроль съемных носителей (СКН): - Контроль подключения. - Контроль отчуждения информации. |
12.Способы реализации угроз информации, представленной в виде сигналов. Способы реализации угроз утечки по каналам ПЭМИН (побочные электромагнитные излучения и наводки) (атаки на конфиденциальность) Генерация информации, циркулирующей в технических средствах ИС в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИС сопровождается ПЭМИ, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИС. Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, обрабатывающих информацию. Перехват информации по техническим каналам может вестись: -стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц; -портативной возимой аппаратурой, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями; -портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них; -автономной автоматической аппаратурой (закладочное устройство), скрытно устанавливаемой физическими лицами непосредственно в служебных помещениях или в непосредственной близости от них. Закладочное средство [устройство] – техническое средство [устройство] приёма, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы. |
Способы реализации угроз утечки из-за наводок Каналы утечки информации, обусловленные наводками, образуются за счёт соединительных линий технических средств ИС и ВТСС и посторонних проводников (в том числе цепей электропитания и заземления). Для съёма информации с проводных линий могут использоваться: • средства съёма сигналов, содержащих защищаемую информацию, с цепей технических средств ИС и ВТСС, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники); • средства съёма наведённых информативных сигналов с цепей электропитания; • средства съёма наведённых информативных сигналов с шин заземления; • средства съёма наведённых информативных сигналов с проводящих инженерных коммуникаций.
Способ реализации угрозы целостности на основе сигналов (атаки на целостность и доступность) Преднамеренное силовое электромагнитное воздействие на информацию – несанкционированное воздействие на информацию, осуществляемое путём применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. Угрозы доступности: глушилки (создают помехи, мешающие получить доступ к данным), перебить сигнал более мощным на той же частоте, перерубить кабель. Угрозы целостности: ЭМ бомбы (уничтожение с помощью сигналов), помехи (искажение данных при передаче).
|
32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации. 1- Федеральный закон "Об информации, информационных технологиях и о защите информации". 2- Приказ ФСТЭК России "Об утверждении требований к защите информации от несанкционированного доступа, обеспечения целостности и конфиденциальности информации при ее обработке в информационных системах". 3- ГОСТ Р ИСО/МЭК 27001-2013 "Информационная технология. Методы и средства обеспечения информационной безопасности. Системы менеджмента информационной безопасности". 4- ГОСТ Р ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения информационной безопасности. Практическое руководство по управлению информационной безопасностью". 5- Приказ ФСБ России "Об утверждении требований к защите государственной тайны при использовании информационных технологий".
|
52.Требования ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
-идентификация и аутентификация субъектов и объектов доступа; -управление доступом субъектов доступа к объектам доступа; -ограничение программной среды; -защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); -регистрация событий безопасности; -антивирусная защита; -обнаружение (предотвращение) вторжений; -контроль (анализ) защищенности персональных данных; -обеспечение целостности информационной системы и персональных данных; -обеспечение доступности персональных данных; -защита среды виртуализации; -защита технических средств; -защита информационной системы, её средств, систем связи и передачи данных; -выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; -управление конфигурацией информационной системы и системы защиты персональных данных.
|
13.Способы реализации угроз, направленных на компьютерную информацию. Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств. 1.Вирусы и другие вредоносные программы, которые могут заражать компьютеры и уничтожать, искажать или кражу данных. 2.Фишинг, поддельные сайты и электронные письма, которые могут попытаться получить доступ к личным данным пользователей. 3.Атаки на сетевые протоколы, которые могут привести к отказу в обслуживании или перехвату данных. 4.Социальная инженерия, которая может использоваться для получения доступа к компьютерной информации через обман пользователей. 5.Несанкционированный доступ к системам и базам данных с помощью взлома паролей или других методов. 6.Кража устройств хранения данных, таких как ноутбуки, телефоны или USB-накопители. Основные виды вредоносных программ • Программные закладки; • Классические программные (компьютерные) вирусы; • Вредоносные программы, распространяющиеся по сети (сетевые черви); • Другие вредоносные программы, предназначенные для осуществления НСД (НСД - несанкционированный доступ). |
33.Основные определения в области технической защиты информации. ПЭМИН (Побочные электромагнитные излучения и наводки) – Электромагнитные поля, создаваемые электронной аппаратурой, способны создавать электромагнитные изучения и наводки в расположенных рядом кабельных, электрических и электронный системах. Перехватывая и декодирую эти излучения, можно получить сведения обо всей информации, обрабатываемой в компьютере. Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в защищаемых помещениях (на них могут воздействовать эл., магн. и ак. поля опасного сигнала). К ВТСС относятся:
Объект защиты – информация, носители информации, технические средства и технология их обработки, а также средства защиты информации.
|
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены. Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функции. Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных, технических и иных материальных средств. Специальные исследования (СИ) – это выявление с использованием контрольно-измерительной аппаратуры возможных каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем. Специальная проверка (СП) – это проверка технических средств и систем объекта защиты с целью выявления возможно внедренных электронных устройств съема информации (закладочных устройств). Специальные обследования помещений – комплекс мер в области защиты информации в части проведения работ по выявлению электронных устройств, предназначенных для негласного получения сведений в помещениях, где циркулирует информация ограниченного пользования |
53.Требования ФСТЭК России по обеспечению безопасности государственных информационных систем. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства, общесистемное, прикладное, специальное ПО, информационные технологии, а также СЗИ. 9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Организационные и технические меры защиты информации должны быть направлены на исключение: -неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации); -неправомерных уничтожения или модифицирования информации (обеспечение целостности информации); -неправомерного блокирования информации (обеспечение доступности информации). 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: -формирование требований к защите информации, содержащейся в информационной системе; -разработка системы защиты информации информационной системы; -внедрение системы защиты информации информационной системы; -аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие; -обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; -обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
|
14.Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации. Обеспечение информационной безопасности организации - это комплекс мер и действий, направленных на защиту конфиденциальной информации от несанкционированного доступа, изменения и уничтожения. (на минимизацию ущерба от возможной реализации таких угроз). Примеры методов и средств защиты информации: 1.Антивирусное ПО для защиты от вирусов и других вредоносных программ. 2.Файрволл для защиты сети от внешних атак. 3.VPN-сервер для безопасного удаленного доступа к сети организации. 4.Криптографические методы защиты данных, такие как шифрование и электронная подпись. 5.Аутентификация пользователей с помощью паролей, биометрических данных или двухфакторной аутентификации. 6.Обучение сотрудников правилам информационной безопасности и регулярные проверки на утечки данных. 6.Резервное копирование данных для защиты от потери информации в случае сбоя системы или атаки. ЗАДАЧИ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ИБ Организационное обеспечение информационной безопасности заключается в установлении правил и норм, а также в контроле их исполнения. ЗАДАЧИ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ИБ • Составление и регулярное обновление состава защищаемой информации предприятия, составление перечня защищаемых бумажных, машиночитаемых и электронных документов, регламентация обновления и ведения перечня защищаемой информации и её носителей. • Создание иерархической системы разграничения доступа персонала к защищаемой информации. • Выявление угроз защищаемой информации и угроз системе, в которой обрабатывается эта информация.
|
• Выявление помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, определение необходимости проведения аттестации этих помещений. • Определение средств защиты информации и охраны, предназначенных для обработки защищаемой информации. РАБОТА С ПЕРСОНАЛОМ • Определение методов отбора персонала для работ с защищаемой информацией, методов воспитательной работы с персоналом, требований к обучению и инструктированию сотрудников. • Регламентация порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий персонала, а также при внештатных ситуациях. • Осуществление и регламентация контроля соблюдения сотрудниками порядка защиты информации. ОРГАНИЗАЦИЯ ЗАЩИЩЁННОГО ДОКУМЕНТООБОРОТА • Создание и регламентация технологии защиты, обработки и хранения бумажных, электронных документов предприятия, внемашинной технологии защиты электронных документов. • Ведение перечня защищаемых бумажных, электронных документов, регламентация обновления и ведения перечня защищаемой информации и её носителей. ОРГАНИЗАЦИЯ ПРОПУСКНОГО РЕЖИМА И ФИЗИЧЕСКОЙ ЗАЩИТЫ ОБЪЕКТА • Создание и регламентация пропускного и внутриобъектового режима на территории, в здании и помещениях предприятия, предназначенных для обработки защищаемой информации. Оснащение техническими средствами защиты. • Регламентация порядка защиты информации при проведении совещаний, заседаний, переговоров, приёме посетителей, работе с представителями рекламных агентств, средств массовой информации. ОРГАНИЗАЦИЯ ПОДРАЗДЕЛЕНИЯ БЕЗОПАСНОСТИ • Формирование и организация деятельности подразделения по обеспечению безопасности (включая физическую охрану) или информационной безопасности. • Регламентация работы по управлению системой защиты информации. • Регламентация эксплуатации средств защиты информации.
|
34.Примеры технических и инженерно-технических средств защиты информации. Техническая защита: экранирование кабелей, помещений; шум на границах помещений По функциональному назначению средства инженерно-технической защиты делятся на следующие группы: Физические (охранные и пожарные системы предприятия) Аппаратные (устройства, предназначенные для защиты информации и для противодействия шпионажу; устройства для поиска передатчиков, телефонных закладок и микрофонов, установленные для секретного прослушивания.) Программные (программы по защите информации, обеспечивающие защиту секретных данных) Криптографические (Специальные системы шифрования и кодировки, которые используются для защиты информации при телефонных переговорах, рабочих встречах, в рамках совещаний).
Примеры: 1.Шифровальные алгоритмы и криптографические протоколы 2.Брандмауэры и другие средства межсетевой безопасности 3.Антивирусные программы и системы обнаружения вторжений 4.Системы аутентификации и управления доступом 5.Защита от DDoS-атак и других видов кибератак 6.Средства защиты от утечки информации (DLP) 7.Средства контроля и мониторинга сетевой активности 8.Криптографические токены и смарт-карты для аутентификации пользователей 9.Защита от вредоносного ПО (антивирусы, антишпионы, антиреклама) 10.Средства защиты данных (шифрование дисков, файлов и папок)
|
54.Требования ФСТЭК России по обеспечению безопасности систем критической информационной инфраструктуры. 187-ФЗ «О безопасности критической информационной инфраструктуры» 187-фз является базовым документом для всей тематики КИИ. 1. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры и этими требованиями предусматриваются: 1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры; 2) принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры; 3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры. 2. Государственные органы и российские юридические лица могут устанавливать дополнительные требования по обеспечению безопасности значимых объектов КИИ, содержащие особенности функционирования таких объектов в установленной сфере деятельности.
|
1.Определение категории КИИ и установление соответствующих мер безопасности в зависимости от уровня угрозы и значимости системы. 2.Установка средств защиты информации и технических средств, обеспечивающих конфиденциальность, целостность и доступность данных. 3.Разработка и реализация стратегии безопасности информации, включающей оценку рисков, планирование мер по предотвращению и устранению угроз, обучение персонала. 4.Реализация мер по обеспечению защиты от внешних и внутренних угроз, таких как хакерские атаки, вирусы, физический доступ к системам. 5.Обеспечение контроля и мониторинга защитных мер, а также регулярное проведение аудитов безопасности информации. 6.Обязательное использование средств идентификации и аутентификации пользователей, а также применение принципа наименьших привилегий для ограничения доступа к системе. 7.Установка мер защиты информации на всех этапах жизненного цикла КИИ, включая разработку, эксплуатацию и демонтаж. 8.Обеспечение резервного копирования и восстановления данных в случае аварийных ситуаций. 9.Обязательное соблюдение требований к защите персональных данных, если они обрабатываются в рамках КИИ. 10.Разработка плана действий в случае инцидента безопасности информации и его оперативная реализация. |
15.Понятие «система защиты информации». Направления защиты информации. Система защиты информации (СЗИ) — совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам. Виды ЗИ Правовая защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов, регулирующих отношения субъектов по защите информации; Криптографическая защита информации с помощью ее криптографического преобразования; Техническая обеспечение не криптографическими методами безопасности; Физическая применение организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа не уполномоченных физ. лиц к объекту защиты.
|
35.Виды лицензируемой деятельности по технической защите конфиденциальной информации. Лицензия нужна, если пытаешься заработать деньги на технической защите. Если для своей организации, деятельности, то лицензия не требуется. Федеральный закон «О лицензировании отдельных видов деятельности». Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) "О лицензировании деятельности по технической защите конфиденциальной информации" - в этом документе прописаны виды лицензируемой деятельности по технической защите конфиденциальной информации. а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам(ПЭМИН): б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации (программно-аппаратная защита); в) услуги по мониторингу (трафика на аутсорсинге) информационной безопасности средств и систем информатизации; г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации: д) работы и услуги по проектированию в защищённом исполнении: е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации 1.Разработка и внедрение средств защиты информации, включая криптографические средства защиты. 2.Проведение аудита информационной безопасности, в том числе оценка рисков и уязвимостей информационных систем. 3.Консультирование по вопросам защиты информации, включая разработку стратегии защиты и выбор необходимых мер защиты. 4.Обучение персонала по вопросам информационной безопасности, включая обучение правилам работы с конфиденциальной информацией и мерам защиты от угроз. 5.Разработка политики информационной безопасности и стандартов защиты информации. 6.Проведение тестирования на проникновение, включая поиск уязвимостей и проверку эффективности мер защиты. 7.Разработка и внедрение систем управления информационной безопасностью, включая системы мониторинга и обнаружения инцидентов.
|
55.Требования ФСТЭК России по обеспечению безопасности АСУТП (Автоматизированная система управления технологическим процессом). ПРИКАЗ от 14 марта 2014 г. N 31 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ. 1.Использование средств защиты информации и технических средств, обеспечивающих конфиденциальность, целостность и доступность данных. 2.Установка мер защиты информации на всех этапах жизненного цикла АСУТП, включая разработку, эксплуатацию и демонтаж. 3.Реализация мер по обеспечению защиты от внешних угроз, таких как вирусы, хакерские атаки, распространение вредоносных программ. 4.Разработка и реализация стратегии безопасности информации, включающей оценку рисков, планирование мер по предотвращению и устранению угроз, обучение персонала. 5.Обеспечение контроля и мониторинга защитных мер, а также регулярное проведение аудитов безопасности информации.
|
16.Элементы информационной системы, являющиеся объектами защиты. Основные элементы ИС: • персональные данные • Информация и её носители • Технические средства обработки персональных данных (ПДн) — вычислительная техника, информационно-вычислительные комплексы, сети, средства передачи и приёма данных, устройства звукозаписи и воспроизведения, переговорные и телевизионные устройства и прочее оборудование, участвующее в обработке и передаче информации • Программные средства — операционные системы, системы управления базами данных, прикладное и системное программное обеспечение, обеспечивающее работу ИС и защиту информации • Средства защиты информации — аппаратные, программные и организационные средства, предназначенные специально для обеспечения безопасности информации |
36.Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации. Федеральный закон «О лицензировании отдельных видов деятельности». Постановление Правительства РФ от 03.03.2012 N 171 (ред. от 15.06.2016) "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" - в этом документе прописаны виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации. 1.Разработка программных средств защиты информации. 2.Производство аппаратных средств защиты информации. 3.Разработка и производство шифровальных устройств и систем. 4.Разработка и производство систем контроля и управления доступом. 5.Разработка и производство систем мониторинга информационной безопасности. 6.Разработка и производство средств обнаружения и предотвращения вторжений. Разработка и производство средств аутентификации пользователей. 7.Разработка и производство средств защиты от компьютерных вирусов и других вредоносных программ.
|
56.Понятие «кибертерроризм». Основные внешние факторы, способствующие распространению терроризма. Кибертерроризм - это использование информационных технологий для проведения террористических актов, например, распространение дезинформации, создание паники и нападение на критическую инфраструктуру. Внешние факторы, способствующие возникновению и распространению терроризма: -распространение идей терроризма и экстремизма через сеть Интернет и средства массовой информации; -отсутствие единого антитеррористического информационного пространства на международном и национальном уровнях. -Глобальная информатизация всех сфер жизни общества не повышает, а понижает степень его безопасности. 1.Экономические проблемы, бедность и безработица, которые могут привести к радикализации и участию в террористических группировках. 2.Политические конфликты и несправедливость, которые могут стать причиной возникновения террористических движений. 3.Религиозные и этнические разногласия, которые могут привести к радикализации и участию в террористических группировках. 4.Недостаточная эффективность правоохранительных органов и слабость государства в борьбе с терроризмом. 5.Идеологический экстремизм и пропаганда насилия, которые могут привести к радикализации и участию в террористических группировках.
|
17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы. 1.Угрозы от утечки по техническим каналам. -Угрозы утечки акустической информации. -Угрозы утечки видовой информации. -Угрозы утечки информации по каналам ПЭМИН. 2.Угрозы несанкционированного доступа к информации. 3.Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путём физического доступа к элементам ИСПДн 4.Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). 5.Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
|
1.Фишинг - мошенничество, направленное на получение конфиденциальной информации через подделку электронных писем или веб-страниц. 2.Социальная инженерия - получение конфиденциальной информации путем манипулирования людьми, например, через телефонные звонки или личные встречи. 3.Доступ через слабые пароли - использование слабых паролей или их раскрытие может привести к несанкционированному доступу к информации. 4.Несанкционированный доступ к сети - доступ к компьютерным сетям без разрешения может привести к несанкционированному доступу к информации. 5.Межсетевой экранирование - отсутствие защиты между сетями может привести к несанкционированному доступу к информации. 6.Внедрение вредоносных программ через сеть - вредоносные программы могут быть загружены через интернет и привести к нарушению целостности и конфиденциальности информации.
|
37.Нормативные документы, регламентирующие сертификацию средств защиты информации. -Федеральный закон «О техническом регулировании». -Постановление Правительства Российской Федерации «О сертификации средств защиты информации». -Положение о сертификации средств защиты информации по требованиям безопасности информации. 1.Приказ ФСБ России от 24.11.2015 N 624 "Об утверждении Правил оценки средств защиты информации". 2.Приказ ФСТЭК России от 18.09.2015 N 1087 "Об утверждении Правил оценки средств защиты информации". 3.Приказ ФСТЭК России от 12.10.2017 N 527 "Об утверждении Правил сертификации средств защиты информации". |
57.Способы использования информационных технологий террористическими группами. Информирование о террористических движениях, их целях и задачах, обращение к массовой аудитории для пропаганды своих целей и идеологии Информационно-психологическое воздействие Детализация данных о предполагаемых целях, их местонахождении и характеристиках. Сбор, в т.ч. вымогательство, денег Публикация сведений о взрывчатых веществах и взрывных устройствах, ядах, отравляющих газах, а также инструкций по их самостоятельному изготовлению Вовлечение в террористическую деятельность новых членов, в т.ч. ничего неподозревающих соучастников, например, хакеров, которым не известно к какой конечной цели приведут их действия Использование возможностей электронной почты или электронных досок объявлений для отправки зашифрованных сообщений Замена информационного содержания сайтов, которая заключается в подмене электронных страниц или их отдельных элементов в результате взлома Вывод из строя или снижение эффективности функционирования структурных элементов информационно-телекоммуникационных систем путём массовой рассылки электронных писем (одна из форм «виртуальной блокады»); DOS-атак, проведение которых аналогично технологии массовой рассылки электронных писем, что приводит к замедлению работы обслуживающего сервера или полному прекращению внешнего доступа к его ресурсам
|
18.Угрозы конфиденциальности и целостности, направленные на персонал организации. 1.Физический доступ к информации - несанкционированный доступ к физическому носителю информации может привести к утечке конфиденциальных данных. 2.Социальная инженерия - манипулирование персоналом для получения конфиденциальной информации. 3.Несоблюдение политики безопасности - нежелание или непонимание правил и требований безопасности может привести к утечке конфиденциальных данных. 4.Утеря или кража устройств - утеря или кража устройств, содержащих конфиденциальную информацию, может привести к ее утечке. 5.Несанкционированный доступ к учетным записям - несанкционированный доступ к учетным записям персонала может привести к утечке конфиденциальной информации. 6.Несоблюдение процедур удаления информации - неправильное удаление конфиденциальной информации может привести к ее восстановлению и утечке. 7.Подмена сотрудника (угр. целост.), разглашение ПДн сотрудника (угр. конф.) |
38.Виды средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ. 1.Средства защиты информации на базе криптографических алгоритмов. 2.Средства защиты информации на базе программных и аппаратных комплексов. 3.Средства защиты информации на базе аппаратных средств. 4.Средства защиты информации на базе программных средств. 5.Средства защиты информации на базе технических средств. Приказ ФСБ РФ от 13.11.1999 № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о её знаках соответствия». Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн. 1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах. 1.5. Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты. 1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.
|
1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счёт изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты. 2. Технические средства и системы в защищённом исполнении. 4. Технические средства защиты информации от несанкционированного доступа (НСД): Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе: -средства защиты документов от ксерокопирования; -средства защиты документов от подделки (подмены) с помощью химических идентификационных препаратов; -средства защиты информации с помощью тайнописи. 4.3. Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации (бумага, фотопленка, аудио- и видеокассеты, лазерные диски).
|
58.Классификация информационного терроризма. -Информационно-психологический терроризм – контроль над СМИ с целью распространения дезинформации, слухов, демонстрации мощи террористических организаций; воздействие на операторов, разработчиков, представителей информационных систем путём насилия или угрозы насилия, подкупа, введения наркотических и психотропных средств, использование методов нейролингвистического программирования, гипноза, средств создания иллюзий, мультимедийных средств для ввода информации в подсознание и т. д. -Информационно-технический терроризм – нанесение ущерба отдельным физическим элементам информационной среды государства; создание помех, использование специальных программ, стимулирующих разрушение систем управления, или, наоборот, внешнее террористическое управление техническими объектами (в т.ч. самолетами), биологические и химические средства разрушения элементной базы и т. д.; уничтожение или активное подавление линий связи, неправильное адресование, искусственная перегрузка узлов коммутации и т. д. Информационный терроризм может быть классифицирован по следующим критериям: 1.Цель атаки: распространение дезинформации, нарушение работы информационных систем, кража конфиденциальной информации, шантаж. 2.Методы атаки: вирусы, черви, троянские программы, фишинг, DDoS-атаки, социальная инженерия. 3.Источник атаки: внутренние (злоумышленные сотрудники) и внешние (хакеры, кибертеррористы).
|
4.Объект атаки: информационные системы государственных учреждений, крупных корпораций, финансовых учреждений, инфраструктура (электроэнергетика, транспортная система). 5.Распространение атаки: локальные (ограниченные в масштабе) и глобальные (массовые атаки на множество объектов). 6.Уровень опасности: низкий (небольшой ущерб), средний (нарушение работы системы), высокий (угроза жизни и здоровью людей). 7.Политическая мотивация: террористические организации, государства, националистические и религиозные группировки.
|
19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации. Основными способами реализации угроз безопасности информации являются: Перехват и кража данных (вмешательство в коммуникацию между пользователями с целью перехвата и подмены передаваемых данных, несанкционированное подключение к линиям связи) Имитация другого пользователя и незаконное использование привилегий (действия в системе от имени другого человека, часто с целью хищения или подделки данных, незаконное использование прав администратора) Вредоносное программное обеспечение (ПО) (внедрение программ, которые выполняют скрытые функции: сбор информации, удалённое управление, повреждение данных) Атаки на уязвимости и инфраструктуру (использование уязвимостей в вебприложениях для получения доступа к базе данных или выполнения вредоносного кода (SQL-инъекции, межсайтовый скриптинг), внедрение вредоносного кода в программное обеспечение или оборудование на этапе разработки или распространения) Внутренние угрозы (инсайдерские атаки (действия сотрудников или бывших работников, направленные на копирование, изменение или уничтожение информации), вербовка персонала, шантаж) Физические и технические методы (съем электромагнитных излучений и наводок (перехват информации с помощью технических средств, используя электромагнитные излучения оборудования), |
39.Законы и стандарты в области криптографической защиты информации. Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств Приказ ФСБ РФ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" - определяет требования к процессам формирования и проверки электронной цифровой подписи |
59.Задачи по защите от кибертерроризма. На национальном уровне: -организация мониторинга и прогнозирования потребностей экономических и других структур в различных видах информационного обмена через международные сети (для этого представляется возможным создание специализированной структуры для контроля трансграничного обмена, в т.ч. посредством Интернета); -координация мер государственных и негосударственных ведомств по предотвращению угроз информационной безопасности в открытых сетях (с этой целью должна быть выработана и принята к исполнению единая политика, ориентированная на соблюдение законных прав граждан на информацию и интеллектуальную собственность, предусматривающая защиту сетевого оборудования на территории страны от проникновения в него скрытых элементов информационного оружия – особенно в условиях массовой закупки зарубежных информационных технологий и сетевого оборудования); -разработка государственной программы совершенствования информационных технологий, обеспечивающих подключение национальных и корпоративных сетей к мировым открытым сетям при соблюдении требований безопасности информационных ресурсов; -разработка национального законодательства в части правил обращения с информационными ресурсами, регламента прав, обязанностей и ответственности пользователей открытых мировых сетей; -установление перечня информации, не подлежащей передаче по открытым сетям, и обеспечение контроля за соблюдением установленного статуса информации;
|
-организация системы комплексной подготовки и повышения квалификации массовых пользователей и специалистов по информационной безопасности для работы в мировых информационных сетях. На международном уровне: -организация межгосударственного сотрудничества в работе международных организаций, общественных комитетов и комиссий в проектах развития мировых информационных сетей; -активное участие в разработке международного законодательства и нормативно-правового обеспечения функционирования мировых открытых сетей; -создание единого антитеррористического пространства стран-союзников; -разработка научно-методического обеспечения по пресечению транснациональных (трансграничных) террористических атак с использованием глобальных информационных сетей, выработка единого понятийного аппарата, шкалы оценки киберугроз и их последствий; -выработка механизмов взаимного информирования о широкомасштабных компьютерных атаках и крупных инцидентах в киберпространстве, а также способов совместного реагирования на угрозы кибертерроризма; -унификация национальных законодательств в сфере защиты критической инфраструктуры от кибертерроризма. 1.Идентификация уязвимостей в информационных системах и разработка мер по их устранению. 2.Разработка и реализация политики безопасности информационных систем, включающей контроль доступа, шифрование данных и мониторинг активности пользователей. 3.Постоянный мониторинг информационных систем на наличие потенциальных угроз и быстрое реагирование на возможные инциденты. 4.Обучение пользователей правилам безопасности информационных систем и проведение регулярных тренировок по действиям в случае кибератак. 5.Сотрудничество с государственными органами и другими организациями для обмена информацией о киберугрозах и координации действий в случае инцидентов. 6.Разработка и реализация планов действий в случае кибератак, включая восстановление систем после инцидента и минимизацию ущерба. 7.Проведение аудитов безопасности информационных систем для оценки эффективности мер по защите от кибертерроризма и идентификации новых угроз.
|
20.Понятие «Уязвимость». Причины возникновения уязвимостей.
Уязвимость - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Ошибки: Ошибки при проектировании и разработке, Преднамеренные действия по внесению уязвимостей, Неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ, Несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов Внедрение вредоносных программ Несанкционированные неумышленные действия пользователей |
40.Основные определения в области криптографической защиты информации. Псевдослучайное число - число, которое выглядит случайным, но на самом деле является результатом математического алгоритма.
Шифрование (для обеспечения конфиденциальности) -Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки. -Зашифровка данных – процесс преобразования открытых данных в зашифрованные при помощи ключа. -Расшифровка данных - процесс преобразования зашифрованных данных в открытые при помощи ключа. Ключ шифрования -Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определённым правилам с применением ключей. (то, что на выходе шифрования, в итоге зашифровки) -Ключ – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразования. (то, с помощью чего происходит шифрование) Имитозащита -Имитозащита – защита системы шифрованной связи от навязывания ложных данных. -Имитовставка – отрезок информации фиксированной длины, полученной по определённому правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты. (заменена на электронную подпись) Хэширование Хэширование нужно для контроля целостности, работы с паролями, то есть на сервере хранятся только хэши паролей и мы при вводе паролей передаём на сервер только хэш (хэш-код). Хэширование - необратимое преобразование! Если зашифровать данные, то их можно потом расшифровать, а вот, если хешировать, то сделать обратную операцию не получится.
|
-Хэш-код – строка бит, являющаяся выходным результатом хэш-функции (результат хеширования). -Хэш-функция – функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам: -Из хеша исходные данные получить невозможно -Разные данные имеют разное значение хэша -Не может быть разных хэшей по одним и тем же исходным данным Электронная подпись (используется асимметричное шифрование - закрытым ключом подписывается сообщение, а открытым ключом принимающие сообщение пробуют расшифровать и если удаётся получить то, чтобы должны были получить, значит всё в порядке, иначе сообщение нелегально, то есть отправлено кем-то другим) -Электронная подпись – строка бит, полученная в процессе формирования подписи. -Процесс формирования подписи – процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись. -Процесс проверки подписи - процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи. -Подписанное сообщение – набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения. -Параметр схемы ЭЦП – элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам. Ключи электронной подписи -Ключ подписи – элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи. -Ключ проверки подписи – элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.
|
Сертификат ключа проверки электронной подписи -Сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата этого ключа. (В сертификате содержится открытый ключ для зашифровки сообщения сайту с https или для расшифровки при проверки эл подписи) Квалифицированный сертификат -Квалифицированный сертификат ключа проверки электронной подписи – сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра. Удостоверяющий центр -Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей. -Владелец сертификата ключа проверки электронной подписи – лицо, которому выдан сертификат ключа проверки электронной подписи (также ему выдают закрытый ключ, и если это усиленная эл подпись, то выдают usb-токен (в нём закрытый ключ)).
|
60.Понятие кибербезопасности в ISO/IEC 27032:2012. ISO/IEC 27032:2012 определяет кибербезопасность как "состояние, когда информация и коммуникационные технологии обеспечивают защиту, сохранность, конфиденциальность и доступность информации, а также защиту прав и свобод индивидуумов". Она охватывает меры, принимаемые для защиты информации от киберугроз, таких как хакерство, вирусы и кибершпионаж. Этот стандарт также обеспечивает рекомендации по управлению кибербезопасностью, которые могут помочь организациям снизить риски и повысить безопасность своих информационных систем. -кибербезопасностью фактически понимают свойство защищенности активов от угроз конфиденциальности, целостности, доступности, но в некоторых абстрактных рамках – киберпространстве. Киберпространство формулируется как комплексная виртуальная среда (не имеющая физического воплощения), сформированная в результате действий людей, программ и сервисов в сети Интернет посредством соответствующих сетевых и коммуникационных технологий. Сущностями киберпространства могут быть виртуальные деньги, аватары, облака, виртуальные посольства, виртуальные преступления, виртуальные развлечения и т.д. Что касается собственно обеспечения кибербезопасности, то в качестве приоритета выделена координация взаимодействия между организациями, формирующими киберпространство, самостоятельные действия которых не обеспечивают эффективную защиту от киберугроз.
|
|
|
|
|
