- •Ответы к экзаменационным вопросам по курсу «Информационная безопасность»
- •Понятие «информация». Свойства информации. Почему ее необходимо защищать?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Характеристика этих методов.
- •Система правового обеспечения защиты информации рф.
- •Федеральный закон (фз) №5485 «о государственной тайне»: область применения и действия, основные обязанности и ответственность должностных, работающих с государственной тайной.
- •1. Верховный Совет Российской Федерации:
- •2. Президент Российской Федерации:
- •3. Правительство Российской Федерации:
- •5. Органы судебной власти:
- •Фз №152 «о персональных данных»: основные понятия и положения закона, обязанности и ответственность должностных лиц, работающих с персональными данными.
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •Фз № 98 «о коммерческой тайне»: область применения и основные положения закона.
- •Федеральный закон Российской Федерации 27 июля 2006 года n 149-фз "Об информации, информационных технологиях и о защите информации" область применения и основные положения.
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •1 Область применения
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006 : назначение и основные положения стандарта.
- •Основные активы организации, рассматриваемые с позиции защиты информации.
- •Основные механизмы защиты информации (стандарты исо 17799 и исо 13335).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •Какие другие механизмы защиты информации используются на практике? обеспечения.
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Какие направления включает в себя комплекс мер по защите информации?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Информационные риски: определение, особенности, методы измерения.
- •Рекомендации стандартов исо 17799-3 и исо 13335-3 по анализу и обработке информационных рисков. Достоинства и недостатки методик обработки рисков в этих стандартах.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации? Специалист по защите информации
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Простая перестановка
- •Одиночная перестановка по ключу
- •Двойная перестановка
- •Перестановка «Магический квадрат»
- •Проблемы использования симметричных криптосистем. Достоинства
- •Недостатки
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Принципы обеспечения целостности информации Кларка и Вильсона.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
1 Область применения
Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.
Согласно замыслу, основной задачей стандарта является разработка инструмента для создания эффективных систем информационной безопасности государственных и коммерческих организаций на основе современных методов менеджмента. В этом нормативном документе содержится исчерпывающий набор подходов к управлению безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в разных странах.
Первая часть стандарта
ISO/IEC 17799 содержит свод правил по управлению информационной безопасностью и используется в качестве критерия для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Этот стандарт не является техническим, поскольку не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. ISO/IEC 17799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. Данный стандарт представлен в форме руководящих принципов и практических рекомендаций.
В его тексте подчеркивается: «Особое внимание следует уделять тому, чтобы заявления о соответствии данному стандарту не вводили в заблуждение относительно уровня защиты информационной системы». Акцентируется также мысль о том, что управление информационной безопасностью — это не набор мер или продуктов по защите информации, а процесс.
Стандарт по своей идее является добровольным, то есть государства, где он адаптирован, не требуют его обязательного выполнения субъектами внутри страны.
Несмотря на это, в большинстве случаев выполнение требований ISO/IEC 17799 выгодно самим компаниям, так как достаточно часто инвесторам и клиентам компании отнюдь небезразлично то, каким образом предприятие обеспечивает информационную безопасность.
В таких случаях соответствие стандарту можно рассматривать как одно из условий договора, контракта или участия в конкурсе или тендере на поставку продуктов или проведения работ.
Такая практика уже существует на рынке, она касается не только соответствующих лицензий, но и сертификатов на саму компанию, ее продукцию, а также документов, полученных ее специалистами. В данном случае на первое место ставятся условия производства продукции или оказания услуг, в частности, их соответствие стандартам серии ISO 9000 (управление качеством продукции и услуг), ISO 27001 (управление информационной безопасностью), ISO 14000 (управление экологической безопасностью), ISO 22000 (управление пищевой безопасностью) и другим (OHSAS 18001, TL 9000, TS 16949).
В функции системы управления информационной безопасностью входит развертывание, осуществление, управление, контроль, мониторинг, поддержка и совершенствование информационной безопасности бизнеса. Важно иметь в виду, что система управления информационной безопасностью может и должна рассматриваться как часть общей интегрированной системы управления, основанной на анализе бизнес-рисков. В связи с этим полезно помнить общие принципы, характерные для всех систем управления (в том числе безопасности):
-
управляемость;
-
конкурентоспособность;
-
развитие;
-
прозрачность.
-
Вторая часть стандарта
ISO/IEC 27001 рассматривает аспекты информационной безопасности (ИБ) с точки зрения сертификации или аудита системы на соответствие требованиям этого стандарта. В этом документе указаны условия создания системы управления для проведения ее аудита или сертификации, а также перечислены требования, применительно к которым проводится проверка соответствия.
Процесс сертификации на соответствие требованиям стандарта предполагает несколько этапов:
-
предварительная оценка системы управления ИБ и диагностика;
-
сертификационный аудит;
-
поддержка действия сертификата.
Организация, решившая провести аудит ИБ, должна привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После того приглашается аккредитованный аудитор.
Многие организации, желающие пройти сертификацию на соответствие требованиям ISO 27001, уже внедрили у себя системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. В таких компаниях аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам и на первоначальном этапе, и при контрольных проверках. Если организация уже имеет сертификаты CMMI, ITIL (ISO/IEC 20000) или ISO 9000, то создание информационной безопасности, отвечающей требованиям ISO 27001, и ее последующий периодический аудит (или сертификация) окажутся задачами, которые решаются достаточно быстро и требуют относительно небольшого объема ресурсов.
Несмотря на то, что стандарт ISO/IEC 27001 не предписывает прохождение сертификации (достаточно проведения регулярных внутренних аудитов), большинство организаций все же выбирают сертификацию в качестве способа независимой оценки правильности реализованных мер и их актуальности.
Стоит отметить, что сегодня стандарт используется в трех десятках стран мира: Великобритании, Франции, Германии, Италии, Нидерландах, Канаде, Австралии, Новой Зеландии, скандинавских странах, Корее, Сингапуре, Индии и т. д. Наибольшую популярность этот стандарт приобрел в Японии — на ее долю приходится больше половины (1338 из 2312) всех выданных сертификатов (для сравнения: в Великобритании выдано 230 сертификатов, в Индии — 163). Среди стран бывшего СССР стандарт принят на территории Молдовы и Белоруссии.
-
ГОСТ Р ИСO/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» : назначение, область применение, концепция стандарта и методология практического применения.
Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
Разработка системы менеджмента информационной безопасности
Организация должна осуществить следующее:
a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия; b) определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий, которая:
1) содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ; 2) принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
3) согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
4) устанавливает критерии оценки рисков;
5) утверждается руководством организации.
Примечание - Для целей настоящего стандарта политика СМИБ имеет приоритет перед политикой ИБ. Эти политики могут быть изложены в одном документе;
c) определить подход к оценке риска в организации, для чего необходимо: 1) определить методологию оценки риска, подходящую для СМИБ, которая должна соответствовать требованиям обеспечения деятельности организации и нормативно-правовым требованиям информационной безопасности; 2) разработать критерии принятия риска и определить приемлемые уровни риск. Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты. Примечание - Имеются различные методологии оценки риска. Примеры таких методологий даны в ИСО/МЭК ТО 13335-3:1998 "Руководство по управлению безопасностью информационных технологий. Часть 3. Методы управления безопасностью информационных технологий";
d) идентифицировать риски, для чего необходимо:
-
идентифицировать активы в пределах области функционирования СМИБ и определить владельцев* этих активов;