Аттестация компьютеров по информационной безопасности
Тесты по теме — Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком +
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
— Разработка аппаратных средств обеспечения правовых данных
— Разработка и установка во всех компьютерных правовых сетях журналов учета действий
+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
— Хищение жестких дисков, подключение к сети, инсайдерство
+ Перехват данных, хищение данных, изменение архитектуры системы
— Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
+ Персональная, корпоративная, государственная
— Клиентская, серверная, сетевая
— Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
+ несанкционированного доступа, воздействия в сети
— инсайдерства в организации
5) Основные объекты информационной безопасности:
+ Компьютерные сети, базы данных
— Информационные системы, психологическое состояние пользователей
— Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
— Искажение, уменьшение объема, перекодировка информации
— Техническое вмешательство, выведение из строя оборудования сети
+ Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
+ Экономической эффективности системы безопасности
— Многоплатформенной реализации системы
— Усиления защищенности всех звеньев системы
8) Основными субъектами информационной безопасности являются:
— руководители, менеджеры, администраторы компаний
+ органы права, государства, бизнеса
— сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
+ Установление регламента, аудит системы, выявление рисков
— Установка новых офисных приложений, смена хостинг-компании
— Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
+ Неоправданных ограничений при работе в сети (системе)
— Рисков безопасности сети, системы
11) Принципом политики информационной безопасности является принцип:
+ Невозможности миновать защитные средства сети (системы)
— Усиления основного звена сети, системы
— Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
+ Усиления защищенности самого незащищенного звена сети (системы)
— Перехода в безопасное состояние работы сети, системы
— Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
— Одноуровневой защиты сети, системы
— Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
+ Логические закладки («мины»)
— Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
— Прочитать приложение, если оно не содержит ничего ценного – удалить
— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама
+ Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
— Секретность ключа определена секретностью открытого сообщения
— Секретность информации определена скоростью передачи данных
+ Секретность закрытого сообщения определяется секретностью ключа
17) ЭЦП – это:
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
— Покупка нелицензионного ПО
+ Ошибки эксплуатации и неумышленного изменения режима работы системы
— Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
— Распределенный доступ клиент, отказ оборудования
— Моральный износ сети, инсайдерство
+ Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
— Слабый трафик, информационный обман, вирусы в интернет
+ Вирусы в сети, логические мины (закладки), информационный перехват
— Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
+ Потерей данных в системе
— Изменением формы информации
— Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
23) Угроза информационной системе (компьютерной сети) – это:
— Детерминированное (всегда определенное) событие
— Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
+ Программные, технические, организационные, технологические
— Серверные, клиентские, спутниковые, наземные
— Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
27) Политика безопасности в системе (сети) – это комплекс:
+ Руководств, требований обеспечения необходимого уровня безопасности
— Инструкций, алгоритмов поведения пользователя в сети
— Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
При оказании услуг по защите информации может быть обеспечен консалтинг и выполнены работы:
- определение информационных ресурсов, содержащих защищаемую информацию на основе анализа информационных потоков, циркулирующих в технических средствах АИС;
- определение категории обрабатываемой информации, класса защищенности АИС и режима разграничения прав доступа пользователей к защищаемым информационным ресурсам;
- разработка модели угроз безопасности информации, обрабатываемой в АИС с определением источников актуальных угроз, уязвимостей защиты информации;
- разработка требований по обеспечению безопасности информации при ее обработке и на их основе проектирование комплексной системы защиты информации;
- поставка продуктов, реализующих необходимый уровень защиты информации, внедрение в АИС решений (механизмов) по безопасности информации;
- разработка проектов документов (регламентов, положений, инструкций, журналов учета), определяющих:
- порядок организации работ по обеспечению безопасности информации (ОБИ);
- обязанности должностных лиц, эксплуатирующих АИС, в части ОБИ;
- порядок контроля полноты и эффективности мер ОБИ;
- порядок обучения администраторов средств защиты информации, обучения (инструктажа) пользователей;
- порядок обновления общесистемного и прикладного программного обеспечения АИС;
- меры по предотвращению возможных негативных последствий нарушений безопасности информации;
- порядок охраны и допуска лиц в помещения, в которых ведется обработка защищаемой информации;
- порядок резервирования и восстановления информации, хранения и выдачи носителей зарезервированной информации;
Аттестация по требованиям безопасности информации
Аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.
Аттестацию объектов информатизации на соответствие требованиям безопасности конфиденциальной информации могут осуществлять организации лицензиаты ФСТЭК России, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В перечне работ и услуг лицензии должно быть указано – аттестационные испытания и аттестация на соответствие требованиям по защите информации и перечислены типы объектов информатизации, которые организация может аттестовать.
К объектам информатизации могут относиться:
- автоматизированные системы (информационные системы) различного уровня и назначения (средства и системы информатизации);
- системы связи, приема, обработки и передачи данных(средства и системы информатизации);
- системы отображения и размножения(помещения со средствами и системами информатизации);
- помещения и объекты, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).
Порядок организации и проведения аттестации объектов информатизации изложен в следующих документах:
- Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утвержден Председателем Гостехкомиссии России 25.11.94г.).
- ГОСТ РО 0043-003-2012 Защита информации. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. Общие положения.
- ГОСТ РО 0043-004-2013 Защита информации. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ. Программа и методики аттестационных испытаний.
В ходе аттестации объекта проводятся следующие работы:
- инженерный анализ с целью выявления потенциальных каналов утечки информации;
- проверка достаточности и полнота организационно-распорядительной документации по защите информации;
- инструментальное обследование объекта информатизации с использованием специальной контрольно-измерительной аппаратуры и оценка защищенности обрабатываемой на объекте информатизации защищаемой информации от утечки по техническим каналам;
- оценка соответствия объекта информатизации требованиям безопасности по защите от НСД к информации.
Обобщенная схема по проведению аттестационных испытаний объектов информатизации приведена на рис. 1.
Рис. 1. Обобщенная схема по проведению аттестационных испытаний объектов информатизации
Для выявления потенциальных каналов утечки информации на объекте изучаются условия функционирования объекта (схемы электропитания и заземления, инженерных коммуникаций здания, а так же систем охранной и пожарной сигнализации в котором расположен объект информатизации, месторасположение трансформаторной подстанции, режим доступа и т.д.).
Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию в реальных условиях эксплуатации автоматизированной системы определяются в соответствии с ГОСТ Р 51275-2006.
Проверка организационно-распорядительной документации по защите информации заключается в установке наличия и полноты следующей документации на объект информатизации:
- Акт классификации объекта информатизации (для автоматизированной или информационной системы);
- Технический паспорт объекта информатизации;
- схемы заземления и электропитания объекта информатизации;
- протоколы проверки сопротивления заземления;
- лицензионные соглашения, накладные или другие документы, подтверждающие законное приобретение установленного в АС программного обеспечения;
- сертификаты соответствия на СВТ по требованиям стандартов Российской Федерации (по электромагнитной совместимости, по безопасности, по санитарным нормам);
- эксплуатационная документация на объект информатизации и средства защиты информации, а также организационно-распорядительная документация по защите информации (приказы, инструкции);
- сведения о квалификации сотрудников, обеспечивающих защиту информации;
- таблица (матрица) разграничения доступа субъектов к защищаемым объектам;
- сертификаты на средства защиты информации.
До окончания срока аттестационных испытаний Заказчик должен утвердить и ввести в действие разработанную Исполнителем и согласованную с ним организационно-распорядительную документацию.
Инструментальное обследование объекта информатизации с использованием специальной контрольно-измерительной аппаратуры и оценка защищенности обрабатываемой на объекте информатизации защищаемой информации от утечки по техническим каналам заключается в проверке выполнения требований по защите информации от утечки за ПЭМИ ОТСС, наводок на вспомогательные средства и системы и от утечки по цепям заземления и электропитания, а так же проверке выполнения требований на отсутствие в технических средствах объекта информатизации специальных электронных устройств перехвата информации.
Испытания объектов информатизации на соответствие требованиям по защите конфиденциальной информации от утечки по техническим каналам проводятся в соответствии с требованиями следующих нормативно-технических документов:
- Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
- Сборник временных методик оценки защищённости конфиденциальной информации, обрабатываемой техническими средствами и системами (Гостехкомиссия России, Москва, 2001 г.)
- СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы».
Испытания проводятся в следующем порядке:
- проверка наличия сертификатов соответствия на средства вычислительной техники (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПин 2.2.2.542-96);
- проведение инструментальных измерений и расчётов;
- проверка соответствия фактических размеров контролируемой зоны полученным при проведении инструментальных измерений и расчётов;
- проверка взаимного размещения основных и вспомогательных технических средств и систем объекта информатизации требованиям предписания на его эксплуатацию;
- оценка влияния электромагнитных излучений на устойчивость функционирования технических средств;
- проверка наличия выделенного контура заземления объекта информатизации и оценка достаточности предусмотренных мер по защите информации от ее утечки за счет наводок информационного сигнала на цепи заземления и электропитания;
- выдача рекомендаций по устранению выявленных недостатков и выполнению требований по защите информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники;
- проведение повторных объектовых испытаний с целью оценки эффективности проведенных мероприятий;
- инструментальные испытания помещений и оценка достаточности применяемых по защите акустической речевой информации.
Оценка соответствия объекта информатизации требованиям безопасности по защите от НСД к информации проводится в соответствии с требованиями следующих нормативно-технических документов:
- Руководящий документ «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
- Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
- Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
- ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
Испытания заключаются проверке следующих подсистем:
- управления доступом;
- регистрации и учета;
- криптографическая;
- обеспечения целостности;
- антивирусная защита.
Испытания объекта информатизации на соответствие требованиям защиты от НСД к информации проводятся методом экспертно-документального контроля и тестирования функций, реализованных средствами защиты информации от НСД и проводятся в следующем порядке:
- проверка работоспособности и настройки используемых на объекте информатизации средств защиты информации от несанкционированного доступа;
- проведение анализа информационных потоков в технологическом процессе обработки информации;
- оценка достаточности предусмотренных мер по защите информации от НСД и их соответствие требованиям руководящих документов ФСТЭК России;
- проверка наличия и порядка применения антивирусных средств на объекте информатизации (при необходимости систем обнаружения вторжений).
Аттестационные испытания завершаются оформлением Заключения по результатам аттестационных испытаний с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации, а такжевыводом о возможности выдачи «Аттестата соответствия».
К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
В случае положительного заключения по результатам аттестационных испытаний, выдается Аттестат соответствия объекта информатизации требованиям по безопасности информации.
Срок действия аттестата соответствия составляет 3 года, в течение которых владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
СРОК ДЕЙСТВИЯ АТТЕСТАТА СООТВЕТСТВИЯ
Для Государственных информационных систем прошедших аттестацию – на весь срок эксплуатации информационной системы при неизменности условий эксплуатации, технологического процесса обработки информации, неизменности системы защиты информации.
Для Информационных систем персональных данных прошедших аттестацию — если система аттестована как автоматизированная система, то срок действия аттестата соответствия три года.
Если ИСПДн аттестована как информационная система, то, как правило, повторная аттестация проводится при оценке эффективности реализованных в рамках системы защиты персональных данных мер оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Указанная оценка проводится не реже одного раза в 3 года.