Тест
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
1. Под информационной безопасностью понимается…
А)
защищенность информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или случайного характера, которые
могут нанести неприемлемый ущерб субъектам информационных отношений в том числе
владельцам и пользователям информации и поддерживающей инфраструктуре.
Б) программный продукт и базы данных должны быть защищены по
нескольким направлениям от воздействия
В) нет правильного ответа
2. Защита информации – это..
А)
комплекс мероприятий, направленных на обеспечение информационной
безопасности.
Б) процесс
разработки структуры базы данных в соответствии с требованиями пользователей
В) небольшая программа для выполнения определенной задачи
- От чего зависит информационная безопасность?
А) от
компьютеров
Б) от поддерживающей инфраструктуры
В) от информации
- Основные составляющие информационной
безопасности:
А) целостность
Б) достоверность
В) конфиденциальность
- Доступность – это…
А)
возможность за приемлемое время получить требуемую информационную услугу.
Б) логическая
независимость
В) нет правильного ответа
- Целостность – это..
А) целостность
информации
Б) непротиворечивость информации
В) защищенность от разрушения
- Конфиденциальность – это..
А) защита от
несанкционированного доступа к информации
Б) программ и программных комплексов, обеспечивающих
технологию разработки, отладки и внедрения создаваемых программных продуктов
В) описание процедур
- Для чего создаются информационные системы?
А) получения
определенных информационных услуг
Б) обработки информации
В) все ответы правильные
- Целостность можно подразделить:
А) статическую
Б) динамичную
В) структурную
- Где применяются средства контроля
динамической целостности?
А) анализе
потока финансовых сообщений
Б) обработке данных
В) при выявлении кражи, дублирования отдельных сообщений
- Какие трудности возникают в информационных
системах при конфиденциальности?
А) сведения о
технических каналах утечки информации являются закрытыми
Б) на пути пользовательской криптографии стоят многочисленные технические
проблемы
В) все ответы правильные
- Угроза – это…
А) потенциальная
возможность определенным образом нарушить информационную безопасность
Б) система
программных языковых организационных и технических средств, предназначенных для
накопления и коллективного использования данных
В) процесс определения отвечает на текущее состояние разработки требованиям
данного этапа
- Атака
– это…
А) попытка
реализации угрозы
Б) потенциальная возможность определенным образом нарушить информационную
безопасность
В) программы, предназначенные для
поиска необходимых программ.
- Источник угрозы – это..
А)
потенциальный злоумышленник
Б) злоумышленник
В) нет правильного ответа
- Окно опасности – это…
А)
промежуток времени от момента, когда появится
возможность слабого места и до момента, когда пробел ликвидируется.
Б)
комплекс взаимосвязанных программ для
решения задач определенного класса конкретной предметной области
В)
формализованный язык для описания задач алгоритма решения задачи пользователя
на компьютере
- Какие события должны
произойти за время существования окна опасности?
А) должно стать известно о средствах использования пробелов в защите.
Б) должны быть выпущены
соответствующие заплаты.
В) заплаты должны быть установлены в
защищаемой И.С.
17. Угрозы можно классифицировать по нескольким критериям:
А)
по спектру И.Б.
Б) по способу осуществления
В) по компонентам И.С.
- По каким компонентам
классифицируется угрозы доступности:
А)
отказ пользователей
Б) отказ поддерживающей инфраструктуры
В) ошибка в программе
- Основными источниками
внутренних отказов являются:
А)
отступление от установленных правил эксплуатации
Б) разрушение данных
В) все ответы правильные
- Основными источниками
внутренних отказов являются:
А)
ошибки при конфигурировании системы
Б) отказы программного или аппаратного обеспечения
В) выход системы из штатного режима эксплуатации
21. По отношению к поддерживающей инфраструктуре
рекомендуется рассматривать следующие угрозы:
А)
невозможность и нежелание обслуживающего персонала или пользователя
выполнять свои обязанности
Б) обрабатывать большой объем программной информации
В) нет правильного ответа
- Какие существуют грани
вредоносного П.О.?
А)
вредоносная функция
Б) внешнее представление
В) способ распространения
- По механизму
распространения П.О. различают:
А)
вирусы
Б) черви
В) все ответы правильные
- Вирус – это…
А)
код обладающий способностью к распространению путем внедрения в другие
программы
Б) способность объекта реагировать на запрос сообразно
своему типу, при этом одно и то же имя метода может использоваться для
различных классов объектов
В) небольшая программа для выполнения определенной задачи
- Черви – это…
А)
код способный самостоятельно, то есть без внедрения в другие программы
вызывать распространения своих копий по И.С. и их выполнения
Б) код обладающий способностью к распространению путем внедрения в другие
программы
В) программа действий над объектом или его свойствами
- Конфиденциальную
информацию можно разделить:
А)
предметную
Б) служебную
В) глобальную
- Природа происхождения
угроз:
А)
случайные
Б) преднамеренные
В) природные
- Предпосылки появления
угроз:
А)
объективные
Б) субъективные
В) преднамеренные
- К какому виду угроз
относится присвоение чужого права?
А)
нарушение права собственности
Б) нарушение содержания
В) внешняя среда
- Отказ, ошибки, сбой –
это:
А)
случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы
- Отказ — это…
А)
нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
Б) некоторая последовательность действий, необходимых
для выполнения конкретного задания
В) структура, определяющая последовательность выполнения
и взаимосвязи процессов
- Ошибка – это…
А)
неправильное выполнение элементом одной или нескольких функций происходящее
в следствии специфического состояния
Б) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
В) негативное воздействие на программу
- Сбой – это…
А)
такое нарушение работоспособности какого-либо элемента системы в следствии
чего функции выполняются неправильно в заданный момент
Б)
неправильное выполнение элементом одной или нескольких функций происходящее в
следствие специфического состояния
В) объект-метод
- Побочное влияние – это…
А)
негативное воздействие на систему в целом или отдельные элементы
Б) нарушение работоспособности какого-либо элемента системы в следствии чего
функции выполняются неправильно в заданный момент
В) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
- СЗИ (система защиты
информации) делится:
А)
ресурсы автоматизированных систем
Б) организационно-правовое обеспечение
В) человеческий компонент
- Что относится к
человеческому компоненту СЗИ?
А)
системные порты
Б) администрация
В) программное обеспечение
- Что относится к ресурсам
А.С. СЗИ?
А)
лингвистическое обеспечение
Б) техническое обеспечение
В) все ответы правильные
- По уровню обеспеченной
защиты все системы делят:
А)
сильной защиты
Б) особой защиты
В) слабой защиты
- По активности
реагирования СЗИ системы делят:
А)
пассивные
Б) активные
В) полупассивные
- Правовое обеспечение
безопасности информации – это…
А)
совокупность законодательных актов, нормативно-правовых документов,
руководств, требований, которые обязательны в системе защиты информации
Б) система программных языковых организационных и
технических средств, предназначенных для накопления и коллективного
использования данных
В) нет правильного ответа
- Правовое обеспечение
безопасности информации делится:
А)
международно-правовые нормы
Б) национально-правовые нормы
В) все ответы правильные
- Информацию с
ограниченным доступом делят:
А)
государственную тайну
Б) конфиденциальную информацию
В) достоверную информацию
- Что относится к
государственной тайне?
А)
сведения, защищаемые государством в области военной, экономической …
деятельности
Б) документированная информация
В) нет правильного ответа
- Вредоносная программа —
это…
А)
программа, специально разработанная для нарушения нормального
функционирования систем
Б) упорядочение абстракций, расположение их по уровням
В) процесс разделения элементов абстракции, которые
образуют ее структуру и поведение
- Основополагающие
документы для обеспечения безопасности внутри организации:
А)
трудовой договор сотрудников
Б) должностные обязанности руководителей
В) коллективный договор
- К организационно —
административному обеспечению информации относится:
А)
взаимоотношения исполнителей
Б) подбор персонала
В) регламентация производственной деятельности
- Что относится к
организационным мероприятиям:
А)
хранение документов
Б) проведение тестирования средств защиты информации
В) пропускной режим
- Какие средства
используется на инженерных и технических мероприятиях в защите информации:
А)
аппаратные
Б) криптографические
В) физические
- Программные средства –
это…
А)
специальные программы и системы защиты информации в информационных системах
различного назначения
Б)
структура, определяющая последовательность выполнения и
взаимосвязи процессов, действий и задач на протяжении всего жизненного цикла
В) модель знаний в форме графа в основе таких моделей лежит
идея о том, что любое выражение из значений можно представить в виде
совокупности объектов и связи между ними
50. Криптографические
средства – это…
А)
средства специальные математические и алгоритмические средства защиты
информации, передаваемые по сетям связи, хранимой и обрабатываемой на
компьютерах с использованием методов шифрования
Б) специальные программы и системы защиты информации в информационных системах
различного назначения
В)
механизм, позволяющий получить новый класс на основе
существующего
поделиться знаниями или
запомнить страничку
- Все категории
-
экономические
43,667 -
гуманитарные
33,655 -
юридические
17,917 -
школьный раздел
612,016 -
разное
16,908
Популярное на сайте:
Как быстро выучить стихотворение наизусть? Запоминание стихов является стандартным заданием во многих школах.
Как научится читать по диагонали? Скорость чтения зависит от скорости восприятия каждого отдельного слова в тексте.
Как быстро и эффективно исправить почерк? Люди часто предполагают, что каллиграфия и почерк являются синонимами, но это не так.
Как научится говорить грамотно и правильно? Общение на хорошем, уверенном и естественном русском языке является достижимой целью.
Обучайтесь и развивайтесь всесторонне вместе с нами, делитесь знаниями и накопленным опытом, расширяйте границы знаний и ваших умений.
поделиться знаниями или
запомнить страничку
- Все категории
- экономические
43,606 - гуманитарные
33,643 - юридические
17,916 - школьный раздел
611,332 - разное
16,894
Популярное на сайте:
Как быстро выучить стихотворение наизусть? Запоминание стихов является стандартным заданием во многих школах.
Как научится читать по диагонали? Скорость чтения зависит от скорости восприятия каждого отдельного слова в тексте.
Как быстро и эффективно исправить почерк? Люди часто предполагают, что каллиграфия и почерк являются синонимами, но это не так.
Как научится говорить грамотно и правильно? Общение на хорошем, уверенном и естественном русском языке является достижимой целью.
Информационная безопасность (ИБ) – ключевой фактор, обеспечивающий качество бизнес-процессов организации. Реализованные угрозы ИБ способны остановить деятельность и причинить существенный ущерб. Непреднамеренные угрозы информационной безопасности, возникшие при отсутствии выраженной воли на причинение вреда, иногда оказываются наиболее опасными.
Типология угроз
Под угрозой информационной безопасности понимается преднамеренное или непреднамеренное действие, которое негативно влияет на информационную систему или хранящиеся в ней данные и от которого требуется профессионально организованная защита. Основным критерием, позволяющим отнести угрозу к категории случайных, не основанных на корыстных целях, становится случайность ее возникновения. За таким действием нет умысла причинить вред охраняемой информации, организовать ее утечку или уничтожение.
Выделяют следующие группы угроз информации, от которых требуется обеспечивать защиту:
- стихийные бедствия;
- аварии;
- сбои и отказы технических средств;
- программные ошибки;
- ошибки обслуживающего персонала.
Каждая группа угроз информации и ее отдельным свойствам имеет свою степень вероятности реализации и размер ущерба. Оценка этих параметров позволяет выработать оптимальный механизм защиты информации.
Стихийные бедствия и аварии – угрозы природного происхождения
Наводнения, землетрясения, пожары способны полностью уничтожить оборудование и носители информации. Хранение данных на удаленном сервере и их резервное копирование позволяют частично минимизировать угрозы и обеспечить защиту данных.
При выстраивании системы защиты от этого типа угроз информационной безопасности стоит учитывать, что ущерб от стихийных бедствий не всегда покрывается страховыми компаниями. Известен случай, когда компании было отказано в возмещении стоимости оборудования и информации, уничтоженных ливневыми дождями, которые были признаны не стихийным бедствием, а чрезвычайным природным событием.
Аварии и аналогичные техногенные угрозы ИБ могут привести к гибели оборудования и информации с тем же успехом, что и стихийные бедствия, защита от них становится задачей служб безопасности инженерных служб. Пожары от загоревшейся проводки и подтопление оборудования из-за аварии водопровода становятся частыми причинами утраты информации. При размещении информации на сторонних облачных серверах и невозможности личного контроля за состоянием помещения, в котором расположены серверы, хранящие информацию, необходимо требовать от провайдера гарантии защищенности оборудования от техногенных угроз.
Сбои и отказы технических средств
Эта группа угроз информационной безопасности может причинить существенный ущерб, но редко становится причиной полной гибели информации. Чаще страдает такое ее свойство, как доступность. Защита от угроз требует высокой компетентности технических служб.
Сбои и отказы могут происходить:
- на серверах и рабочих станциях;
- в системах электропитания;
- в периферийных устройствах;
- на линиях связи.
Своевременная профилактика состояния оборудования, программный мониторинг работоспособности элементов системы помогут избежать реализации этого риска утраты информации.
Программные ошибки
Ошибки при написании программного кода или при разработке средств автоматизации могут привести к тому, что информация окажется утраченной или какое-то время будет недоступной. Эти ошибки относятся к уязвимостям, под ними понимается неудачные характеристики программы или информационной системы, существование которых делает возможным возникновение угрозы утраты информации.
Хакеры, реализуя внешние угрозы ИБ, нередко используют уязвимости для проникновения в информационную систему, не обладающую должной степенью защиты информации.
Программные ошибки делятся на группы:
- системные, возникшие из-за неправильного составления или выполнения ТЗ на разработку ПО;
- алгоритмические, когда разработчики неверно истолковали и реализовали алгоритмы, на которых основано ПО;
- программные, возникающие при написании кода программного обеспечения;
- технологические, возникающие в процессе подготовки программной документации или ее перевода, если программное обеспечение имеет зарубежное происхождение.
Возникновение таких ошибок, приводящих к утрате информации, часто связано с использованием нового программного обеспечения, не прошедшего апробацию на практике и не сертифицированного ФСТЭК РФ.
Ошибки пользователей и системных администраторов – угрозы субъективного характера
Это наиболее распространенный тип угроз информационной безопасности. Такие ошибки возникают более чем в 50% случаев.
Причины появления угроз сохранности информации:
- психофизические. Из-за усталости, болезни, нервного возбуждения, снижения работоспособности пользователи могут неверно использовать ПО;
- объективные. Их вызывают несовершенные модели представления данных, отсутствие регламентов, нормативной базы, инструкций, низкая квалификация персонала, устаревание или низкое качество аппаратно-программных средств, неудобство их эксплуатации;
- субъективные. Ошибки, вызванные невнимательностью, ленью, безответственностью сотрудников;
- системные. К этой категории относится выбор неверной архитектуры информационной системы, установка ненужных, конфликтующих между собой программ, которые затрудняют работу ИС.
Примеры субъективных ошибок, чаще всего генерируемых пользователями:
- случайная порча оборудования;
- случайное удаление файлов или папок, содержащих рабочую информацию или системных;
- случайное изменение режима работы программ или приложений;
- случайная порча носителей информации;
- случайное форматирование дисков;
- отказ от выключения рабочей станции из сети, приведший к ее выходу из строя;
- заражение компьютера или системы вирусами;
- случайное отключение антивируса;
- ввод ошибочных данных;
- использование зараженных вирусом носителей информации для сохранения сведений из системы;
- использование личных мобильных устройств для рабочих целей;
- отправка конфиденциальной информации по ошибочному адресу;
- установка и использование программ, не предусмотренных регламентами работы;
- утрата или необдуманная передача средств обеспечения дифференцированного доступа (паролей, электронных устройств – токенов);
- игнорирование требований рабочих регламентов.
Работа с такими ошибками должна сопровождаться обязательным резервным хранением информации, так как они могут привести к ее модификации, искажению, полному уничтожению.
Среди мер реагирования:
- установка программных продуктов, обеспечивающих «защиту от дурака»;
- установка систем мониторинга инцидентов информационной безопасности (SIEM- и DLP-системы);
- реализация модели дифференцированного доступа;
- максимальное ограничение привилегий;
- обучение пользователей и повышение квалификации персонала;
- создание нормативно-правовой базы, регламентирующей действия пользователей;
- использование только лицензионного ПО и своевременное его обновление;
- ведение журналов учета действий пользователей.
Выполнение этих условий обеспечит защиту от угроз утраты данных, сохранность информации и улучшит общее состояние защищенности информационной системы.
Случайность нарушения не позволит привлечь виновного сотрудника к материальной или уголовной ответственности за разглашение коммерческой тайны, но неосторожность или халатность станет основанием для дисциплинарного взыскания. Настройка системы контроля за действиями персонала со стороны службы безопасности и кадрового подразделения снизит риски реализации непреднамеренных угроз информационной безопасности.
11.06.2020
Обеспечение безопасности бизнеса — это системная работа по своевременному выявлению, предупреждению, пресечению самих замыслов угроз у преступников, конкурентов, персонала компании. То есть всех, кто может нанести материальный или имиджевый ущерб предприятию. Поэтому «угроза» становится ключевым понятием в работе службы безопасности.
Угроза безопасности компании — это потенциально или реально возможное событие, процесс, действие или явление, которое способно нарушить ее устойчивость и развитие или привести к остановке деятельности. Недавно мы писали о принципах корпоративной безопасности, советуем вам также прочитать эту статью.
Корпоративная безопасность: 5 базовых угроз
Характеристики угроз
Источники агрессии могут быть внешними или внутренними. При выявлении угроз следует руководствоваться следующими признаками (сигналами):
- Реальность угроз.
- Суть противоречий (причин), породивших угрозу.
- Острота этих противоречий (причин).
- Источник угрозы (внутренний, внешний).
- Оценка сил и средств, которыми может располагать источник угроз.
- Собственные возможности для предотвращения или пресечения угрозы.
После выявления угрозы наступает этап разработки мер по локализации или ее минимизации.
| Типы внешних угроз |
Типы внутренних угроз |
|
Угрозы, исходящие от криминальной среды |
От внутренних угроз не застрахована ни одна коммерческая структура. В большей или меньшей степени они могут проявляться в любой компании: |
|
Угрозы, исходящие от недобросовестных партнеров или конкурентов |
Угрозы со стороны персонала компании |
|
Агрессии, направленные на захват предприятия |
Угрозы, связанные с организационной незащищенностью бизнеса |
|
Агрессии со стороны средств массовой информации (черные PR-акции) |
Угрозы, связанные с неэффективным управлением и организацией бизнес-процессов |
|
Угрозы, исходящие со стороны государственных структур |
Угрозы, связанные с эксплуатацией технических средств и средств автоматизации |
|
Риски при проведении гражданско-правовых отношений с контрагентами |
|
|
Компьютерная агрессия |
|
|
Риски, связанные с политическими, экономическими, социальными и правовыми процессами в государстве и мировом сообществе |
|
|
Риски, связанные с природным и техногенным фактором |
|
|
Террористическая угроза |
|
Причины возникновения внешних и внутренних угроз
Рассмотрим 17 распространенных причин возникновения внешних и внутренних угроз для компании. В реальности их гораздо больше.
Причины возникновения внешних угроз
- Кризисные явления в экономике.
- Кризисные явления в общественной и политической жизни партнеров, работающих за пределами РФ.
- Недобросовестная конкуренция.
- Непрогнозируемые изменения конъюнктуры рынка.
- Форс-мажор.
- Чрезвычайные ситуации.
- Произвол чиновников государственных структур.
- Неблагоприятная для частного бизнеса экономическая политика государства либо отдельных его регионов.
- Несогласованность нормативных актов федеральных местных органов исполнительной власти.
- Попытки агентурного или технического проникновения в коммерческие, технологические и производственные тайны предприятия (промышленный шпионаж). Сейчас все чаще на предприятиях действуют инсайдеры, которые передают информацию тем, кто их устроил на предприятие, или инициативники — сотрудники, по собственной инициативе собирающие конфиденциальные данные для заинтересованных сторон.
- Несанкционированное проникновение в автоматизированную систему банка данных коммерческого предприятия.
- Безналичная форма расчетов и платежей с использованием незащищенных компьютерных программ. Бывает, что руководитель доверяет ключи электронной подписи главному бухгалтеру, который может перевести деньги любой организации.
- Отсутствие комплексных программ по обеспечению безопасности бизнеса.
- Слабая ресурсная поддержка имеющихся программ по обеспечению безопасности бизнеса.
Причины возникновения внутренних угроз
- Конфликты на предприятии: борьба за руководящую должность, распределение «теневых» доходов, перераспределение долей участия, психологическая несовместимость, клановость и местничество.
- Некомпетентность руководства.
- Персонал компании.
Классификация сотрудников
Восемь преступлений из десяти происходит с участием работников. Чтобы определить степень риска, связанного с каждым сотрудником, используют классификатор — концепцию риска:
Пониженный риск
Сотрудники, которые вряд ли пойдут на компрометацию своей чести и достоинства, обычно в компании их 10% (российская статистика в этом случае соответствует общемировой). Они чувствительны к общественному мнению, дорожат своей репутацией.
Допустимый риск
Люди, которые могли бы при определенных условиях впасть в искушение, но по своим убеждениям близки первой группе. Они не пойдут на правонарушение, если будут обеспечены соответствующие меры контроля. Их около 80% и именно с ними нужно проводить постоянную профилактическую работу.
Высокий риск
Опасные преступники. Они будут создавать условия для хищения даже при жестких мерах контроля в компании. Их также 10%.
Базовые угрозы
Эксперты выделяют пять групп базовых угроз, которые связаны с конкурентной борьбой, человеческим фактором, деятельностью государства (коррупция, несовершенство законодательства, административный ресурс, проводимая политика), организованной преступностью, а также техногенными и природными факторами.
|
Классификация угроз предпринимательской деятельности |
|
|
Физические |
Преднамеренные — кражи, нападения, взломы, проникновение на территорию. Непреднамеренные — природные и техногенные. |
|
Информационные |
Преднамеренные (внутренние и внешние) и непреднамеренные (некомпетентность пользователя, ошибки при разработке программного обеспечения, халатность персонала, отказ технических средств). |
|
Юридические |
Целенаправленные (заведомо неправильное оформление договоров, документов) и субъективные. |
|
Экономические |
Преднамеренные (недобросовестная конкуренция, демпинг, промышленный шпионаж) и объективные (инфляция конкуренция, экономический кризис, санкции). |
Степень вероятности
По степени вероятности угроза оценивается как реальная (вероятность может быть подсчитана исходя из статистики, экспертными методами, методами группового SWOT-анализа) или потенциальная. Отдаленность угрозы во времени делят на непосредственные, близкие (до одного года) и далекие (свыше одного года), в пространстве — на территории компании, на прилегающей территории, в стране и за границей.
Природа возникновения
По природе возникновения угрозы делятся на естественные (объективные, например, природные явления) и искусственные (субъективные, вызванные деятельностью человека). Субъективные угрозы могут быть преднамеренными и непреднамеренными).
Степени развития и этапы борьбы с угрозой
Во время развития угрозы проходят четыре этапа: они возникают, расширяются, стабилизируются, после чего происходит их ликвидация. Борьба с угрозами проходит в пять этапов:
-
Определение угрозы.
-
Определение вариантов реализации угрозы, формирование модели потенциального нарушителя.
-
Определение вероятности наступления события.
-
Определение возможного ущерба от угрозы.
-
Создание системы защиты от угрозы, включая превентивные меры (предотвращение и профилактику).
Система защиты от угроз
Система защиты от угроз включает в себя предотвращение, обнаружение и ликвидацию последствий. При оценке угроз безопасности применяют теорию надежности (для угроз, создаваемых техническими средствами — сбои, отказы, ошибки), математическую статистику (например, стихийные бедствия), теорию вероятности (для описания угроз, создаваемых сотрудниками по халатности, небрежности), экспертные методы (для описания умышленных угроз). Основными методами, которые применяют корпоративные службы безопасности, являются экспертные методы — с их помощью можно оценить практически любые риски.
Нужно понимать, что проблема рано или поздно возникнет, в том или ином виде или процессе, и стремиться их предотвратить. Такой проблемой может стать пожар, поломка важного оборудования, отсутствие больного сотрудника на работе, авария, хищение, мошенничество.
Управление безопасностью равно управлению рисками. Анализ рисков включает классификацию ресурсов (что надо защищать), анализ угроз (от чего надо защищать), анализ уязвимостей (как надо защищать). При этом формула риска такова:
Риск = возможный ущерб * вероятность реализации угрозы
После его подсчета разрабатывается план защиты, который учитывает организационные и технические меры.
Как обосновать бюджет на безопасность
Управлять проблемами предприятия поможет риск-менеджмент. Служба безопасности должна анализировать и рассчитывать риски, выстраивая всю систему работы на основе данных. Чтобы обосновать бюджет службы, директор по безопасности должен уметь оценивать риски и составлять карты рисков, в которых планируются мероприятия по их минимизации, а также закладываются средства на борьбу с ними.
Статья подготовлена на основе лекции Сергея Барбашева, преподавателя РШУ, эксперта по корпоративной безопасности.
Развивайтесь вместе с нами: в каталоге Русской Школы Управления более 700 онлайн-трансляций и 500 дистанционных курсов. Учитесь в удобном формате в любое время и в любом месте!
Любое использование материалов медиапортала РШУ возможно только с разрешения
редакции.
Есть решение!
Отказ, ошибки, сбой – это:
А) случайные угрозы
Б) преднамеренные угрозы
Отказ, ошибки, сбой – это:
А) случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы
- Ответов: 1
- О вопросе
Аноним
А) случайные угрозы
Подготовка к ЕГЭ/ОГЭ
Другие ответы
- Ответов: 1
- Просмотров: 90
- Другие вопросы
Биология
Какова роль растений в природных сообществах?
Математика
В зимней Олимпиаде участвовало 20 школ. От каждой школы были приглашены
Математика
А) (6 1/24-2/3):(3 1/2+1 7/8) б)2 2/9*3,7-2 2/9*(-5,3)
Подготовка к ЕГЭ/ОГЭ
Площадь каждой пластины плоского конденсатора 401 см2. Заряд пластин 1,42 мкКл.
Русский язык
Составить предложения с речевой неточностью. С этими словами: летальный, лётный,
Математика
Примеры 10106-(8508-3469) (1000+200):(20*5)
Математика
1)в прямоугольном треугольники катеты равны 5 см и 12 см.вычислите тангенс
Математика
Вероятность совершения покупки первы покупателем равно 0,7, а вторым — 0,8.
Математика
(-4m-3n)^2= (5-k)*(5+k) (-4x-2)*(4x-2)
Литература
Написать сказку про животных
Математика
В мотке 40 метров провода На десятую часть его провода израсходовали
Подготовка к ЕГЭ/ОГЭ
По какой траектории движется тело, если его начальная скорость больше:
а)
Окружающий мир
Какая связь между словами солнце и костёр догадайся напиши об этом
Математика
1) Легковая машина вышла из города А, направилась в сторону города
Подготовка к ЕГЭ/ОГЭ
Почему именно в Великобритании условия для осуществления идей Просвещения были о
Разные вопросы
Переменная а:=х mod 4 = 0 принимает истинное значение, если
Математика
найдите числа : а)0.1 которого равна 50б)0.7 которого равна490в)0.01 которого ра
Подготовка к ЕГЭ/ОГЭ
Какими казались бы все тела на Земле, если бы Солнце излучало
Русский язык
Выполните морфологический разбор пошëл
Подготовка к ЕГЭ/ОГЭ
Определите, какой город имеет географические координаты 1° с.ш. и 104° в.д.?
Окружающий мир
Сообщение как используют воздух
Подготовка к ЕГЭ/ОГЭ
Нарисуйте схему высших государственных органов Третьей республики.
Подготовка к ЕГЭ/ОГЭ
Шарик, брошенный горизонтально с высоты Н с начальной горизонтальной скоростью v
Экономические вопросы
Организация, участники которой не отвечают по его обязательствам и несут риск
Математика
1) 8748:36-24= 2) 2*3,7+5,83= 3) Найти 80% от 240
Подготовка к ЕГЭ/ОГЭ
Каковы причины хромосомных болезней?
Окружающий мир
Какого цвета шуба у лесы зимой?
Математика
(2a-3b)^2-(2a+3b)^2если a*b=0.25
Подготовка к ЕГЭ/ОГЭ
Наука — теоретически систематизированные взгляды на окружающий мир и основанные
Подготовка к ЕГЭ/ОГЭ
Поработай с транскрипцией, сделай буквенную запись слов.
[радас’т’]
Русский язык
Проверочное слово к слову посвятить
Математика
В какой строчке единицы массы расположены в порядке возрастания? а) пуд,фунт,зол
Русский язык
Победитель какая часть речи?
Последние ответы
Правильные ответы указаны по тесту
тест прошел проверку)
Она состоит всего лишь из двух слоев. Первый слой — это именно земная кора, н
ответ к заданию по физике
Гость
Читать ответ
Правильные ответы указаны по тесту
тест прошел проверку)
Закон сохранения импульса:
m1*v1=m2*v2*cos альфа
Работа пороховых г
1. Общее количество предметов в коробке равно 7.
2. За х<
Сказки писал, например, всем известный Александр Пушкин. Нельзя не сказать. ч
Відповідь:
Нехай х — дане число. Тоді збільшене на 20% число дорівн
ответ к заданию по русскому языку
Гость
Читать ответ
ответ к заданию по физике
Гость
Читать ответ
В начале найдём сколько кают расположено на второй палубе теплохода. Известно
Найдем, на сколько километров за каждый час увеличивается расстояние между ве
298,287,265,232,188…133,67,-10,-98
Объясняем: из 298 отнимаем 11, получаем
Именно ковыль растет на лугу. Он относится к семейству Злаки. Обильно эта тра
Чтобы определить, какое число в 1,2 раза меньше 12,24, необходимо:
12,
Для того, чтобы ответить на поставленный вопрос и сравнить предложенные дроби
Моторная лодка затратит 24 : (10 — 2) = 3 ч, чтобы проплыть 24 км против течения
Правильные ответы выделены по тесту
тест уже прошел свою проверку
ст
Ответ к задаче представлен в виде рисунка и приложен к ответу
1) 130 — 97 = 33 (см/мин) — скорость сближения
2) 33 * 2 = 66 (см) — при
Тесты по теме — Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком +
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
— Разработка аппаратных средств обеспечения правовых данных
— Разработка и установка во всех компьютерных правовых сетях журналов учета действий
+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
— Хищение жестких дисков, подключение к сети, инсайдерство
+ Перехват данных, хищение данных, изменение архитектуры системы
— Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
+ Персональная, корпоративная, государственная
— Клиентская, серверная, сетевая
— Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
+ несанкционированного доступа, воздействия в сети
— инсайдерства в организации
— чрезвычайных ситуаций
5) Основные объекты информационной безопасности:
+ Компьютерные сети, базы данных
— Информационные системы, психологическое состояние пользователей
— Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
— Искажение, уменьшение объема, перекодировка информации
— Техническое вмешательство, выведение из строя оборудования сети
+ Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
+ Экономической эффективности системы безопасности
— Многоплатформенной реализации системы
— Усиления защищенности всех звеньев системы
Основными субъектами информационной безопасности являются:
— руководители, менеджеры, администраторы компаний
+ органы права, государства, бизнеса
— сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
+ Установление регламента, аудит системы, выявление рисков
— Установка новых офисных приложений, смена хостинг-компании
— Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
+ Неоправданных ограничений при работе в сети (системе)
— Рисков безопасности сети, системы
— Презумпции секретности
11) Принципом политики информационной безопасности является принцип:
+ Невозможности миновать защитные средства сети (системы)
— Усиления основного звена сети, системы
— Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
+ Усиления защищенности самого незащищенного звена сети (системы)
— Перехода в безопасное состояние работы сети, системы
— Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
— Одноуровневой защиты сети, системы
— Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
— Компьютерный сбой
+ Логические закладки («мины»)
— Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
— Прочитать приложение, если оно не содержит ничего ценного – удалить
— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама
+ Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
— Секретность ключа определена секретностью открытого сообщения
— Секретность информации определена скоростью передачи данных
+ Секретность закрытого сообщения определяется секретностью ключа
17) ЭЦП – это:
— Электронно-цифровой преобразователь
+ Электронно-цифровая подпись
— Электронно-цифровой процессор
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
— Покупка нелицензионного ПО
+ Ошибки эксплуатации и неумышленного изменения режима работы системы
— Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
— Распределенный доступ клиент, отказ оборудования
— Моральный износ сети, инсайдерство
+ Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
— Слабый трафик, информационный обман, вирусы в интернет
+ Вирусы в сети, логические мины (закладки), информационный перехват
— Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
+ Потерей данных в системе
— Изменением формы информации
— Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
+ Целостность
— Доступность
— Актуальностьl
23) Угроза информационной системе (компьютерной сети) – это:
+ Вероятное событие
— Детерминированное (всегда определенное) событие
— Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
— Регламентированной
— Правовой
+ Защищаемой
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
+ Программные, технические, организационные, технологические
— Серверные, клиентские, спутниковые, наземные
— Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
+ Владелец сети
— Администратор сети
— Пользователь сети
27) Политика безопасности в системе (сети) – это комплекс:
+ Руководств, требований обеспечения необходимого уровня безопасности
— Инструкций, алгоритмов поведения пользователя в сети
— Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
— Аудит, анализ затрат на проведение защитных мер
— Аудит, анализ безопасности
+ Аудит, анализ уязвимостей, риск-ситуаций
⚑ Закажите написание студенческой работы!
Если возникли сложности с подготовкой студенческой работы, то можно доверить её выполнение специалистами нашей компании. Мы гарантируем исполнить заказ во время и без ошибок!
часть 9 итогового тестирования по защите информации. Тест используется для знаний студента по предмету. Мы отметили в нем верные ответы, чтобы вы смогли подготовиться к предстоящему зачету на отлично. Если у вас остались какие-то вопросы, напишите нам в онлайн-чат или на электронную почту.
Тестовый вопрос: Полную согласованность баз данных гарантирует режим тиражирования
Выберите правильный ответ:
[верно] синхронный
Тестовый вопрос: Запись определенных событий в журнал безопасности сервера называется
Выберите правильный ответ:
[верно] аудитом
Тестовый вопрос: Право управлять безопасностью СУБД и отслеживать действия пользователей дает привилегия
Выберите правильный ответ:
[верно] security
Тестовый вопрос: Преднамеренные дефекты, внесенные в программные средства для целенаправленного скрытого воздействия на ИС, называются
Выберите правильный ответ:
[верно] программными закладками
Тестовый вопрос: Из перечисленных свойств: 1) конфиденциальность; 2) восстанавливаемость; 3) доступность; 4) целостность; 5) детерминированность — безопасная система обладает
Выберите правильный ответ:
[верно] 1, 3, 4
Тестовый вопрос: Недостатком дискретных моделей политики безопасности является
Выберите правильный ответ:
[верно] статичность
Тестовый вопрос: Присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения, называется
Выберите правильный ответ:
[верно] электронной подписью
Тестовый вопрос: Согласно «Оранжевой книге» с объектами должны быть ассоциированы
Выберите правильный ответ:
[верно] метки безопасности
Тестовый вопрос: Согласно «Оранжевой книге» уникальные идентификаторы должны иметь
Выберите правильный ответ:
[верно] все субъекты
Тестовый вопрос: Из перечисленного: 1) оповещение о попытках нарушения защиты; 2) идентификация; 3) аутентификация; 4) учет носителей информации; 5) управление потоками информации — подсистема регистрации и учета системы защиты информации должна обеспечивать
Выберите правильный ответ:
[верно] 1, 4
Тестовый вопрос: Регистрацией пользователей СУБД занимается администратор
Выберите правильный ответ:
[верно] сервера баз данных
Тестовый вопрос: Совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением, называется
Выберите правильный ответ:
[верно] качеством информации
Тестовый вопрос: Согласно «Европейским критериям» только общая архитектура системы анализируется на уровне
Выберите правильный ответ:
[верно] Е1
Тестовый вопрос: Администратором базы данных является
Выберите правильный ответ:
[верно] любой пользователь, создавший БД
Тестовый вопрос: Из перечисленных типов: 1) перехватчики; 2) имитаторы; 3) наблюдатели; 4) фильтры; 5) заместители — все клавиатурные шпионы делятся на
Выберите правильный ответ:
[верно] 2, 4, 5
Тестовый вопрос: Проверка подлинности пользователя по предъявленному им идентификатору — это
Выберите правильный ответ:
[верно] аутентификация
Тестовый вопрос: С доступом к информационным ресурсам внутри организации связан уровень ОС
Выберите правильный ответ:
[верно] сетевой
Тестовый вопрос: Удачная криптоатака называется
Выберите правильный ответ:
[верно] взломом
Тестовый вопрос: Наукой, изучающей математические методы защиты информации путем ее преобразования, является
Выберите правильный ответ:
[верно] криптология
Тестовый вопрос: Регистрацией в системе Windows 2000 управляет
Выберите правильный ответ:
[верно] процедура winlogon
Тестовый вопрос: Выделения пользователем и администраторам только тех прав доступа, которые им необходимы это
Выберите правильный ответ:
[верно] принцип минимазации привилегий
Тестовый вопрос: Из перечисленного: 1) протоколирование; 2) тестирование программ; 3) аутентификация; 4) обработка угроз; 5) резервное копирование — группами требований к документированию системы защиты информации являются
Выберите правильный ответ:
[верно] 1, 2, 4
Тестовый вопрос: Недостатком многоуровневых моделей безопасности является
Выберите правильный ответ:
[верно] невозможность учета индивидуальных особенностей субъекта
Тестовый вопрос: Право на управление расположением сервера баз данных дает привилегия
Выберите правильный ответ:
[верно] maintain locations
Тестовый вопрос: Получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля называется
Выберите правильный ответ:
[верно] мониторингом
Тестовый вопрос: Из перечисленных классов: 1) обнаруживаемые операционной системой при загрузке; 2) качественные и визуальные; 3) аппаратные; 4) обнаруживаемые средствами тестирования и диагностики — признаки присутствия программной закладки в компьютере можно разделить на
Выберите правильный ответ:
[верно] 2, 4
Тестовый вопрос: Из перечисленного: 1) объект ; 2) множество; 3) операция; 4) контейнер — в модели политики безопасности Лендвера сущностью могут являться
Выберите правильный ответ:
[верно] 1, 4
Тестовый вопрос: Список объектов, к которым может быть получен доступ, вместе с доменом защиты объекта называется
Выберите правильный ответ:
[верно] перечнем возможностей
Тестовый вопрос: Согласно «Оранжевой книге» минимальную защиту имеет группа критериев
Выберите правильный ответ:
[верно] D
Тестовый вопрос: Гарнтия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом модифицировать, разрушать или создавать данные — это
Выберите правильный ответ:
[верно] целостность
Тестовый вопрос: Из перечисленного: 1) администраторы; 2) пользователи; 3) задания; 4) терминалы; 5) программы; 6) файлы — модель политики безопасности Адепт-50 рассматривает следующие группы безопасности
Выберите правильный ответ:
[верно] 2, 3, 4, 6
Тестовый вопрос: Из перечисленного: 1) занижение уровня секретности; 2) завышение уровня секретности; 3) запись вслепую; 4) лишняя запись; 5) удаленная запись; 6) привилегированные субъекты — проблемами модели Белла-ЛаПадула являются
Выберите правильный ответ:
[верно] 2, 3, 5, 6
Тестовый вопрос: Из перечисленного: 1) эффективность; 2) корректность; 3) унификация; 4) конфиденциальность — аспектами адекватности средств защиты являются
Выберите правильный ответ:
[верно] 1, 2
Тестовый вопрос: Из перечисленного: 1) идентификация и аутентификация; 2) регистрация и учет; 3) непрерывность защиты; 4) политика безопасности — согласно «Оранжевой книге» требованиями в области аудита являются
Выберите правильный ответ:
[верно] 1, 2
Тестовый вопрос: Из перечисленного: 1) случайная; 2) преднамеренная; 3) стихийная; 4) детерминированная; 5) объективная; 6) субъективная — угрозы безопасности по природе происхождения классифицируются как
Выберите правильный ответ:
[верно] 1, 2
Тестовый вопрос: Оконечное устройство канала связи, через которое процесс может передавать или получать данные, называется
Выберите правильный ответ:
[верно] сокетом
Тестовый вопрос: Содержанием параметра угрозы безопасности информации «конфиденциальность» является
Выберите правильный ответ:
[верно] несанкционированное получение
Тестовый вопрос: Конфигурация из нескольких компьютеров, выполняющих общее приложение, называется
Выберите правильный ответ:
[верно] кластером
Тестовый вопрос: Достоинством модели политики безопасности на основе анализа угроз системе является
Выберите правильный ответ:
[верно] числовая вероятностная оценка надежности
Тестовый вопрос: Трояские программы — это
Выберите правильный ответ:
[верно] часть программы с известными пользователю функциями, способная выполнять действия с целью причинения определенного ущерба
⚑ Успей сделать заказ со скидкой!
Если в течении 5 минут, вы оформите заявку на сайте, то получите гарантированную скидку. По истечению времени, кнопка исчезнет, поэтому поторопитесь!
Тестирование по безопасности информационных технологий и защите персональных данных
Количество вопросов: 30
Вопрос 1. В каком случае правильно перечислены все основные причины возникновения антропогенных угроз (угроз «человеческого фактора») в АИС?
1) Аварии, сбои и отказы оборудования, ошибки разработки, ошибки эксплуатации и преднамеренные действия нарушителей;
2) Стихийные бедствия, сбои и отказы оборудования, ошибки эксплуатации, преднамеренные действия нарушителей;
3) Ошибки проектирования и разработки, ошибки эксплуатации, преднамеренные действия нарушителей;
4) Природные явления, сбои и отказы оборудования, ошибки и преднамеренные действия людей;
5) Сбои и отказы оборудования, ошибки и преднамеренные действия людей.
Вопрос 2. Дайте определение понятию «Целостность»
Вопрос 3. Какова главная (конечная) цель защиты автоматизированной информационной системы (АИС) Компании?
Вопрос 4. Какой принцип лежит в основе эффективного применения защитного механизма «разграничение доступа субъектов к объектам»?
Вопрос 5. Безопасность — это:
Вопрос 6. Действие Федерального закона №152-ФЗ «О персональных данных» не распространяется на отношения, возникающие при:
Вопрос 7. Какие статьи Уголовного Кодекса РФ определяют ответственность за преступления в сфере компьютерной информации?
1) 138, 165, 183;
2) 272, 273, 274;
3) 138, 183, 189;
4) 182, 183, 184;
5) 227, 228, 229
Вопрос 8. Обладатель информации, оператор информационной системы обязан обеспечить:
Вопрос 9. С какого возраста предусмотрена уголовная ответственность за преступления в сфере компьютерной информации?
Вопрос 10. Информация составляет служебную или коммерческую тайну в случае:
Вопрос 11. Что такое «коммерческая тайна» (в соответствии с ФЗ «О коммерческой тайне»)?
1) Вид информации определенного уровня конфиденциальности (научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны).;
2) Свойство (конфиденциальность) информации, позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.;
3) Режим, при котором ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.;
4) Правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране конфиденциальности информации
Вопрос 12. Предоставление информации, составляющей коммерческую тайну – это передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем:
Вопрос 13. Что такое «гриф конфиденциальности»?
Вопрос 14. Что такое «конфиденциальное делопроизводство»?
Вопрос 15. Что такое «конфиденциальная информация»?
Вопрос 16. Кто такой обладатель информации?
Вопрос 17. Получение работодателем персональных данных работника у третьей стороны возможно
Вопрос 18. Оператор персональных данных это
Вопрос 19. Требования Федерального закона «О персональных данных» не распространяются на:
Вопрос 20. В общедоступные источники персональные данные включаются в случае
Вопрос 21. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на
Вопрос 22. Конфиденциальность персональных данных это
Вопрос 23. Персональные данные — это
Вопрос 24. Уничтожение персональных данных производится
Вопрос 25. Целью Федерального закона «О персональных данных» является:
Вопрос 26. Когда согласие может быть только письменным
Вопрос 27. К специальным категориям персональных данных относятся данные, содержащие
Вопрос 28. Работодатель вправе получать и обрабатывать данные о частной жизни работника
Вопрос 29. Уполномоченным органом по защите прав субъектов персональных данных является
Вопрос 30. Обработка биометрических персональных данных возможна
Защита ГИС — не равно защите персональных данных
В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.
Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).
Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.
На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.
Как отличить ГИС от неГИС
Государственная информационная система создается, когда необходимо обеспечить:
- реализацию полномочий госорганов;
- информационный обмен между госорганами;
- достижение иных установленных федеральными законами целей.
Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:
- Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
- Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
- Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.
Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).
Это ГИС. Что делать?
Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:
- формирование требований к защите информации, содержащейся в информационной системе;
- разработка системы защиты информации информационной системы;
- внедрение системы защиты информации информационной системы;
- аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
- обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:
1. Провести классификацию ИС и определить угрозы безопасности.
Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.
Угрозы безопасности информации определяются по результатам
- оценки возможностей нарушителей;
- анализа возможных уязвимостей информационной системы;
- анализа (или моделирования) возможных способов реализации угроз безопасности информации;
- оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
2. Сформировать требования к системе обработки информации.
Требования к системе должны содержать:
- цель и задачи обеспечения защиты информации в информационной системе;
- класс защищенности информационной системы;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
- перечень объектов защиты информационной системы;
- требования к мерам и средствам защиты информации, применяемым в информационной системе.
3. Разработать систему защиты информации информационной системы.
Для этого необходимо провести:
- проектирование системы защиты информации информационной системы;
- разработку эксплуатационной документации на систему защиты информации информационной системы;
- макетирование и тестирование системы защиты информации информационной системы.
4. Провести внедрение системы защиты информации информационной системы, а именно:
- установку и настройку средств защиты информации в информационной системе;
- разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты информации информационной системы;
- опытную эксплуатацию системы защиты информации информационной системы;
- проверку построенной системы защиты информации на уязвимость;
- приемочные испытания системы защиты информации информационной системы.
5. Аттестовать ИСПДн:
- провести аттестационные испытания;
- получить на руки аттестат соответствия.
Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.
Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»
Не пропустите новые
публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Б) служебную
В) глобальную
-
Природа происхождения угроз:
А) случайные
Б) преднамеренные
В) природные
-
Предпосылки появления угроз:
А) объективные
Б) субъективные
В) преднамеренные
-
К какому виду угроз относится присвоение чужого права?
А) нарушение права собственности
Б) нарушение содержания
В) внешняя среда
-
Отказ, ошибки, сбой – это:
А) случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы
-
Отказ — это…
А) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций
Б) некоторая последовательность действий, необходимых для выполнения конкретного задания
В) структура, определяющая последовательность выполнения и взаимосвязи процессов
-
Ошибка – это…
А) неправильное выполнение элементом одной или нескольких функций происходящее в следствии специфического состояния
Б) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций
В) негативное воздействие на программу
-
Сбой – это…
А) такое нарушение работоспособности какого-либо элемента системы в следствии чего функции выполняются неправильно в заданный момент
Б) неправильное выполнение элементом одной или нескольких функций происходящее в следствие специфического состояния
В) объект-метод
-
Побочное влияние – это…
Достарыңызбен бөлісу: