- •Билет №1
- •1. Доктрина информационной безопасности Российской Федерации
- •2. Угрозы информационной безопасности. Модель угроз. Модель нарушителя.
- •3.Тсо: средства управления доступом.
- •Билет №2
- •1.Виды тайн, их определение и сфера использования.
- •2.Угрозы: нсд, утечка по тк.
- •3.Общие меры по обеспечению безопасности в ис.
- •Билет №3
- •1.Законодательная и нормативно правовая база обеспечения защиты информации в рф.
- •Нормативные правовые акты Президента рф
- •Уголовный кодекс рф о преступлениях в сфере компьютерной информации
- •Глава 28. Преступления в сфере компьютерной информации
- •Кодекс Российской Федерации об административных правонарушениях
- •2.Каналы утечки и источники угроз иб(10 видов угроз)
- •Техногенные источники угроз
- •Стихийные источники угроз
- •3.Типовые требования по обеспечению иб в ис.
- •Билет №4
- •Часть 1 ст. 273 предусматривает лишение свободы на срок до 3 лет, и штраф от 200 до 500 мрот.
- •Часть 2 (при наступлении тяжких последствий) ст. 273 – лишение свободы на срок от 3 до7 лет.
- •Признаки компьютерных преступлений
- •Билет №5
- •Административные правонарушения в области связи информации.
- •Утечка информации как виды угроз иб.
- •Защита от технических средств разветки.
- •Билет №6
- •Сертификация средств защиты информации.
- •Технические средства разветки.
- •Основные группы технических средств ведения разведки
- •Средства негласного аудиоконтроля
- •Защита от нсд.
- •Технология защиты информации от несанкционированного доступа
- •Оборудование помещений и допуск в них служащих (пользователей)
- •Ввод в эксплуатацию программных средств
- •Организация защиты информационного и программного обеспечения от программ-вирусов
- •Учет работы пользователей на свт
- •Внедрение средств криптографической защиты информации
- •Организация разграничения доступа к данным
- •Организация мероприятий по сохранению свт
- •Учет хранение и обращение с машинными носителями информации
- •Подготовка пользователей по вопросам защиты информации
- •Билет №13
- •Классификация угроз информационной безопасности.
- •Удаленное заражение компьютеров с помощью троянской программы.
- •Защита информации через лицензирование и сертификацию.
- •Билет №14
- •Руководящие документы фстэк.
- •Каналы утечки информации из тсои: по цепям электрическим питания и заземления.
- •Билет №15
- •Классификация удаленных атак на распределенные вычислительные системы.
- •По условию начала осуществления воздействия:
- •Билет №16
- •Выделенные помещения: назначения и требования к ним.
- •Выделенные помещения: порядок их использования.( понятия не имею, как ответить на этот вопрос)
- •Интегрированные средства охраны: организация инженерных систем.
- •Билет №17
- •Шифрование с открытым ключом для эп
- •Билет №18
- •Эдо: виды эп
- •Обязанности участников эдо при использовании усиленных эп
- •Эп:сертификация ключа проверки эп
- •Билет №19
- •1. Нормативно-правовая база обеспечения иб (информационной безопасности) в области связи в рф.
- •2. Перехват информации или воздействие на нее с использованием тс (технических средств).
- •3. Обеспечение безопасности информации: способы шпионажа.
- •Билет №20
- •1. Задачи обеспечения информационной безопасности в ис (информационных системах).
- •2. Уничтожение информации как вид иб (информационный безопасности).
- •3. Шифрование с открытом ключом для эп.
Удаленное заражение компьютеров с помощью троянской программы.
Троянская программа — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и её передачу злоумышленнику, её разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Троянские программы как непосредственно загружаются в компьютерные системы злоумышленниками-инсайдерами, так и побуждают пользователей загружать и/или запускать их на своих системах.
Для достижения последнего троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов, полученных одним из перечисленных способов.
Часто использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.
Цели троянской программы:
закачивание и скачивание файлов
копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией
создание помех работе пользователя
похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам.
распространение других вредоносных программ, таких как вирусы
уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных сетей
сбор адресов электронной почты и использование их для рассылки спама
шпионство за пользователем и тайное сообщение третьим лицам полученных сведений
регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек
дезактивация или создание помех работе антивирусных программ и файервола
Защита информации через лицензирование и сертификацию.
Лицензирование – передача или получение прав на проведение работ в области защиты информации.
Оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации называется лицензией в области защиты информации, а сторона, получившая право на проведение работ в области защиты информации, именуется лицензиатом.
Лицензирование осуществляют Гостехкомиссии и ФАПСИ.
Работы по защите информации от утечки по техническим каналам могут осуществляться только на основе лицензии, и разрешили Гостехкомиссии выдавать предприятиям и организациям такие лицензии в пределах ее компетенции.
Правовая база:
Постановление Правительства РФ №333 от 15 апреля 1995 года «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (определяет пределы компетенции органов уполномоченных на ведение лицензионной деятельности).
Указ Президента РФ №9 «О создании Государственной технической комиссии при Президенте РФ»
Закон РФ 1993 года «О федеральных органах правительственной связи и информации».
Сертификация средств защиты информации по требованиям безопасности информации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа и знака соответствия с определенной степенью достоверности подтверждается, что средства защиты информации соответствуют требованиям нормативных документов по безопасности информации и государственных стандартов.
Обязательной сертификации подлежат средства защиты информации, т. е. технические, криптографические, программные и другие средства, предназначенные для защиты сведений, содержащих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Все средства защиты информации подлежат обязательной сертификации в рамках конкретных систем сертификации (Гостехкомиссией, ФАПСИ, ФСБ, Минобороны)
Правовая база:
Постановление Правительства РФ от 26 июня 1995 года № 608 «О сертификации средств защиты информации».
Под аттестацией объектов информатики понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов или иных нормативно- технических документов по безопасности информации.
Наличие на объекте информатики действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленным «Аттестате соответствия».