Вопросы к Государственному междисциплинарному экзамену
Дисциплина Информационная безопасность
(специализация «Информационная безопасность в коммерческих структурах»).
- Классификация угроз информационной безопасности автоматизированных систем по базовым признакам (угроза нарушения конфиденциальности, угроза нарушения целостности, угроза отказа служб). Примеры реализации угроз.
- Понятие политики безопасности информационных систем. Назначение политики безопасности.
- Основные типы политики безопасности: дискреционные и мандатные политики.
- Системы криптографической защиты информации, их назначение. Использование криптографических средств для предотвращения осуществления основных классов угроз.
- Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от НСД, требования к средствам разработки.
- Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты РФ в области защиты информации.
- Роль и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке защищенных информационных систем.
- Основные положения руководящих документов Гостехкомиссии России. Показатели защищенности средств вычислительной техники от несанкционированного доступа. Классификация автоматизированных систем по классам защищенности.
- Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- Идентификация и аутентификация пользователей при входе в информационную систему. Применение парольных схем. Недостатки парольных схем. Одноразовые пароли.
- Односторонняя и двусторонняя аутентификация в информационных системах. Применение систем аутентификации с третьей доверенной стороной.
- Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- Понятие цифровой подписи. Способы формирования цифровой подписи. Законодательный уровень применения цифровой подписи.
- Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.
- Понятие атаки на систему информационной безопасности. Особенности локальных атак. Удаленные атаки на систему информационной безопасности.
- Физические средства обеспечения информационной безопасности.
- Аппаратные средства защиты информации.
- Программные средства защиты информации.
- Аппаратно-программные комплексы защиты информации.
- Стандарты АС в защищенном исполнении.
- Аппаратные средства идентификации.
- Средства криптографической защиты информации.
- Программные средства электронной цифровой подписи.
- Межсетевые экраны.
- Вирусные и другие злонамеренные программы.
- Модель защиты объекта информатизации.
- Модель нарушителя в АС.
- Угрозы информационной безопасности объекта информатизации.
- Оценка ущерба и определение затрат на обеспечение безопасности объекта информатизации.
- Мероприятия по защите информации.
- Выбор рациональных мер защиты информации.
- Назначение, цели, задачи и структура службы безопасности объекта информатизации.
- Назначение, цели, задачи и структура подразделений по обеспечению режима секретности.
- Показатели и критерии эффективности безопасности информации.
- Организация контроля мероприятий по обеспечению безопасности информации на предприятии.
- Нарушения безопасности информации. План восстановительных работ.
- Порядок проведения расследований нарушений безопасности информации.
- Государственная политика обеспечения информационной безопасности.
- Виды деятельности в сфере информационной безопасности, подлежащие лицензированию.
- Основное содержание закона РФ «О государственной тайне».
- Основное содержание закона РФ «О коммерческой тайне».
- Жизненный цикл сведений, составляющих коммерческую тайну, выбор мер их защиты.
- Содержание документации по защите коммерческой тайны.
- Действия, предпринимающиеся на объекте информатизации в случае выявления нарушений информационной безопасности.
- Режимы безопасности АС, их характеристика и порядок введения.
- Нормативный документ СТР-К, основное содержание.
- Нормативный документ ПКЗ-2003, основное содержание.
- Основное содержание и назначение стандарта ГОСТ Р ИСО/МЭК 15408-2002.
- Корпоративные информационные системы. Комплексное обеспечение информационной безопасности.
- Понятие угрозы для информации. Классификация информационных угроз.
- Безопасность информационных технологий и риск.