Вопросы к Государственному междисциплинарному экзамену

Дисциплина Информационная безопасность

(специализация «Информационная безопасность в коммерческих структурах»).

  1. Классификация угроз информационной безопасности автоматизированных систем по базовым признакам (угроза нарушения конфиденциальности, угроза нарушения целостности, угроза отказа служб). Примеры реализации угроз.
  2. Понятие политики безопасности информационных систем. Назначение политики безопасности.
  3. Основные типы политики безопасности: дискреционные и мандатные политики.
  4. Системы криптографической защиты информации, их назначение. Использование криптографических средств для предотвращения осуществления основных классов угроз.
  5. Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от НСД, требования к средствам разработки.
  6. Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты РФ в области защиты информации.
  7. Роль и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке защищенных информационных систем.
  8. Основные положения руководящих документов Гостехкомиссии России. Показатели защищенности средств вычислительной техники от несанкционированного доступа. Классификация автоматизированных систем по классам защищенности.
  9. Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
  10. Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
  11. Идентификация и аутентификация пользователей при входе в информационную систему. Применение парольных схем. Недостатки парольных схем. Одноразовые пароли.
  12. Односторонняя и двусторонняя аутентификация в информационных системах. Применение систем аутентификации с третьей доверенной стороной.
  13. Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
  14. Понятие цифровой подписи. Способы формирования цифровой подписи. Законодательный уровень применения цифровой подписи.
  15. Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.
  16. Понятие атаки на систему информационной безопасности. Особенности локальных атак. Удаленные атаки на систему информационной безопасности.
  17. Физические средства обеспечения информационной безопасности.
  18. Аппаратные средства защиты информации.
  19. Программные средства защиты информации.
  20. Аппаратно-программные комплексы защиты информации.
  21. Стандарты АС в защищенном исполнении.
  22. Аппаратные средства идентификации.
  23. Средства криптографической защиты информации.
  24. Программные средства электронной цифровой подписи.
  25. Межсетевые экраны.
  26. Вирусные и другие злонамеренные программы.
  27. Модель защиты объекта информатизации.
  28. Модель нарушителя в АС.
  29. Угрозы информационной безопасности объекта информатизации.
  30. Оценка ущерба и определение затрат на обеспечение безопасности объекта информатизации.
  31. Мероприятия по защите информации.
  32. Выбор рациональных мер защиты информации.
  33. Назначение, цели, задачи и структура службы безопасности объекта информатизации.
  34. Назначение, цели, задачи и структура подразделений по обеспечению режима секретности.
  35. Показатели и критерии эффективности безопасности информации.
  36. Организация контроля мероприятий по обеспечению безопасности информации на предприятии.
  37. Нарушения безопасности информации. План восстановительных работ.
  38. Порядок проведения расследований нарушений безопасности информации.
  39. Государственная политика обеспечения информационной безопасности.
  40. Виды деятельности в сфере информационной безопасности, подлежащие лицензированию.
  41. Основное содержание закона РФ «О государственной тайне».
  42. Основное содержание закона РФ «О коммерческой тайне».
  43. Жизненный цикл сведений, составляющих коммерческую тайну, выбор мер их защиты.
  44. Содержание документации по защите коммерческой тайны.
  45. Действия, предпринимающиеся на объекте информатизации в случае выявления нарушений информационной безопасности.
  46. Режимы безопасности АС, их характеристика и порядок введения.
  47. Нормативный документ СТР-К, основное содержание.
  48. Нормативный документ ПКЗ-2003, основное содержание.
  49. Основное содержание и назначение стандарта ГОСТ Р ИСО/МЭК 15408-2002.
  50. Корпоративные информационные системы. Комплексное обеспечение информационной безопасности.
  51. Понятие угрозы для информации. Классификация информационных угроз.
  52. Безопасность информационных технологий и  риск.