- •1. Определение и понятие информации
- •2. Понятия «данные» и «знания», их отличие от информации
- •3. Виды и свойства информации
- •4. Структура информационного процесса
- •Представление/Воздействие:
- •6. Информационные опасности и угрозы
- •7. Классификация источников угроз информационной безопасности
- •8. Определение и принципы обеспечения информационной безопасности
- •9. Основные документы, определяющие политику государства в области иб
- •10. Стратегия национальной безопасности рф (Указ № 400 от 02.07.2021 г.)
- •11. Указ № 646 «Об утверждении Доктрины информационной безопасности рф»
- •12. Уязвимости национальной безопасности страны
- •13. Угрозы национальной безопасности страны
- •14. Общая структура государственной системы обеспечения иб рф
- •15. Фстэк – функции и задачи в области иб
- •16. Задачи Минобороны России и других органов управления
- •17. Ключевые проблемы в области информационной безопасности рф
- •18. Основные приоритеты стратегии развития информационного общества
- •19. Основные направления развития российских информационных технологий
- •20. Международные организации в области иб
- •25. Как реализуются вопросы правового режима информации с ограниченным доступом
- •26. Виды конфиденциальной информации
25. Как реализуются вопросы правового режима информации с ограниченным доступом
Режим реализуется через:
Специальные законы: «О государственной тайне» и «О коммерческой тайне».
Гражданский кодекс РФ (ст. 139): Информация считается тайной, если имеет ценность в силу неизвестности третьим лицам, к ней нет законного доступа, и владелец принимает меры к охране. Лица, получившие её незаконно, обязаны возместить убытки.
Указ Президента №188: Определяет перечень конфиденциальных сведений.
26. Виды конфиденциальной информации
Согласно лекциям (стр. 22), выделяют:
Личная: Сведения о фактах и обстоятельствах частной жизни (персональные данные).
Судебно-следственная: Тайны следствия и судопроизводства.
Служебная: Ограничена органами власти (служебная тайна).
Профессиональная: Врачебная, нотариальная, адвокатская тайны, тайна переписки и телефонных переговоров.
Коммерческая: Связана с коммерческой деятельностью, ограничена законом.
Производственная: Сведения о сущности изобретений до их официальной публикации.
27. Какими документами регламентируются действия по защите информации от утечки по тех. каналам
ГОСТ 29339-92: Защита от утечки за счет ПЭМИН (побочных излучений).
ГОСТ Р 50752: Методы испытаний средств вычислительной техники.
Нормы эффективности: Нормативы защиты АСУ и ЭВМ.
Спец. требования: Рекомендации по защите объектов II и III категорий.
Постановление №912-51: Положение о гос. системе защиты информации от техразведок.
28. Какие документы по ИБ разрабатываются на предприятиях
Предприятия создают внутреннюю нормативную базу:
Положение о сохранении конфиденциальной информации.
Перечень сведений, составляющих тайну.
Инструкция о порядке допуска сотрудников к сведениям.
Положение о специальном делопроизводстве и документообороте.
Обязательства сотрудников о сохранении тайны (подписываются при приеме).
29. Коммерческая тайна: определение и содержание
Коммерческая тайна — это сведения (производственные, технологические, управленческие, финансовые), которые не являются государственной тайной, но их разглашение может нанести ущерб владельцам. К ней НЕ относятся:
Сведения, охраняемые государством.
Общеизвестные сведения.
Учредительные документы.
Сведения о негативной стороне деятельности организации.
30. В каких документах производства отражаются требования по защите информации
Устав предприятия: Прописывается право администрации создавать структуры защиты и издавать приказы по ИБ.
Коллективный договор: Обязательства администрации обеспечить защиту, а коллектива — соблюдать её.
Трудовой договор (контракт): Оговариваются обязательства конкретного сотрудника по неразглашению.
Правила внутреннего распорядка.
Должностные инструкции.
31. Анализ уязвимости системы
Это обязательная процедура при аттестации объекта информатизации.
Цель: Определение, что именно нужно защищать и от кого.
Суть: Угрозы возникают при наличии уязвимостей (свойств системы, приводящих к нарушению ИБ).
Метод: На основе модели нарушителя выявляются виды и количество каналов несанкционированного доступа.
32. Определение понятия «Угроза» и пример классификации
Угроза — фактор, стремящийся нарушить работу системы. Классификация по признакам (стр. 34):
Природа: Естественные (природные) или Искусственные (человек).
Преднамеренность: Случайные или Преднамеренные.
Источник: Природная среда, человек, программно-аппаратные средства.
Положение источника: Внутри контролируемой зоны или вне её.
33. Основные виды угроз для информационных систем
В лекциях выделены 3 первичных вида и 1 дополнительный:
Нарушение конфиденциальности: Информация становится известна посторонним.
Нарушение целостности: Несанкционированное изменение данных.
Нарушение доступности: Блокировка доступа к ресурсам.
Раскрытие параметров системы защиты: Угроза, позволяющая описать отличие защищенной системы от открытой.
34. Основные направления реализации злоумышленником угроз
Непосредственное обращение к объектам доступа.
Создание программных и технических средств для обхода защиты.
Модификация существующих средств защиты для реализации угроз.
Внедрение механизмов, нарушающих структуру и функции системы.
35. Основные методы реализации злоумышленником угроз (16 методов)
Лекции (стр. 30) перечисляют: хищение носителей, перехват ПЭМИН, уничтожение техники, несанкционированный доступ (НСД) в обход защиты, превышение полномочий, копирование ПО, перехват данных в каналах связи, визуальное наблюдение, дешифрирование, заражение вирусами, внесение изменений в компоненты системы.
36. Определение нарушителя и злоумышленника. Факторы модели
Нарушитель: Лицо, совершившее попытку запрещенной операции по ошибке, незнанию или со злым умыслом (ради игры, удовольствия или самоутверждения).
Злоумышленник: Нарушитель, намеренно идущий на нарушение из корыстных побуждений. Факторы модели нарушителя: Категория лиц, мотивы действий, квалификация и техническая оснащенность, характер возможных действий.
37. Классификация нарушителей по отношению к системе
Внутренние: Руководители, пользователи системы, разработчики ПО, обслуживающий персонал (электрики, сантехники), сотрудники службы безопасности.
Внешние: Посетители, клиенты, конкуренты, лица, нарушившие пропускной режим, любые лица за пределами территории.
38. Классификация нарушителей по уровню знаний, времени и месту
По уровню знаний (4 уровня): От простого знания штатных средств до полного объема знаний проектировщика системы.
По времени: В процессе работы системы, в период неактивности или в оба периода.
По месту: Без доступа на территорию, с доступом на территорию (но не в здание), внутри помещений, с рабочих мест, с доступом в зону данных или управления защитой.
39. Методы и средства защиты от случайных и преднамеренных угроз
От случайных угроз: Средства повышения надежности техники, средства повышения достоверности данных и резервирование информации.
От преднамеренных угроз: Определение перечня защищаемых данных, построение модели нарушителя, перекрытие каналов несанкционированного доступа.
40. Количественная оценка уязвимости и степень защиты
Степень защиты определяется полнотой перекрытия каналов утечки и «прочностью» защиты. Прочность — это вероятность её непреодоления нарушителем. Защита считается достаточной, если:
Время взлома больше «времени жизни» защищаемой информации.
Затраты нарушителя на взлом превышают стоимость самой защищаемой информации.
41. Что такое интернет вещей (IoT)? Достоинства и недостатки
Интернет вещей — концепция подключения физических объектов к сети через встроенные датчики для обмена данными.
Достоинства: Непрерывный мониторинг (ИИ сам выявит изменения), упрощение жизни, автономность систем (умные светофоры).
Недостатки: Отсутствие единых стандартов (несовместимость брендов), уязвимость к взлому.
42. В чем заключается безопасность интернет вещей? Почему важна?
Это набор технологий для защиты устройств и сетей, к которым они подключены. Важна, так как более 70% устройств не используют шифрование при передаче данных, а уязвимость может привести к физической угрозе или краже огромного объема персональных и корпоративных данных.
43. Проблемы безопасности интернет вещей
Отсутствие тестирования на этапе разработки.
Использование небезопасных паролей по умолчанию.
Заражение вредоносным ПО и программами-вымогателями.
Проблемы конфиденциальности (продажа данных третьим лицам).
Возможность использования зараженных устройств для DDoS-атак.
Сложность среды (одна ошибка в настройке ставит под удар всю сеть).
44. Передовые методы обеспечения безопасности интернет вещей
Постоянное обновление ПО, замена стандартных паролей на уникальные (от 12 символов с цифрами и спецсимволами), использование шифрования не ниже WPA2, настройка гостевых сетей Wi-Fi, использование многофакторной аутентификации, отключение неиспользуемых функций устройств.
45. Основные категории атак на интернет вещей
Спуффинг: Маскировка злоумышленника под другое устройство или человека.
Незаконное изменение: Замена ПО или воздействие на оборудование (например, разрядка батареи).
Раскрытие информации: Перехват сигналов без авторизации.
Отказ в обслуживании (DoS): Приведение устройства в нерабочее состояние.
Повышение прав: Принуждение устройства к выполнению не предусмотренных для него действий.
46. Основы криптографии: определение и понятия
Криптография — область кибербезопасности, занимающаяся шифрованием и защитой данных. Основные понятия:
Шифрование: Преобразование данных в зашифрованный вид.
Дешифрование: Обратный процесс.
Ключ: Секретная информация, используемая алгоритмом.
Криптографический протокол: Совокупность правил для выполнения безопасных операций (например, SSL/TLS).
47. Алгоритмы шифрования, виды криптографии
Типы алгоритмов:
Симметричные: Один ключ для шифрования и расшифровки.
Асимметричные: Пара из публичного (открытого) и приватного (секретного) ключей. Виды криптографии: Симметричная, Асимметричная (RSA), Хэширование (преобразование в строку фиксированной длины), Цифровые подписи, Квантовая криптография.
48. Основные принципы современной криптографии
Конфиденциальность: Доступ к данным только при наличии ключа.
Целостность: Гарантия доставки данных без искажений.
Невозможность отказа от ответственности: Каждое сообщение привязано к конкретному отправителю (авторство нельзя изменить).
Аутентификация: Подтверждение личности пользователя в сети.
49. Электронные деньги, криптовалюта, квантовая криптография
Электронные деньги: Цифровой эквивалент наличных, хранящийся на носителях (карты, кошельки).
Криптовалюта: Виртуальные деньги без физического носителя на базе блокчейна (децентрализованного реестра).
Квантовая криптография: Инновационная технология на принципах квантовой механики, позволяющая создавать ключи, которые невозможно подслушать или подменить.
50. Области применения криптографии
Согласно лекциям:
Шифрование жестких дисков компьютеров.
Сквозное шифрование (end-to-end) при передаче сообщений.
Безопасность электронных платежей (шифрование номеров счетов и сумм).
Авторизация платежей через цифровые подписи (PIN, одноразовые коды).
Защита данных в облачных хранилищах.