Контрольные вопросы123

КОНТРОЛЬНЫЕ ВОПРОСЫ К ЛЕКЦИИ 4 (ЧАСТЬ 1)

1. Перечислите основные службы безопасности

1. Обеспечение внутренней безопасности компании

Данное направление предполагает систему мер получения упреждающей информации, реагирования на угрозу создания внутри компании предпосылок к возникновению негативной ситуации и устранения последствий уже возникшей.

2. Обеспечение внешней безопасности компании

Данное направление предполагает систему мер по получению упреждающей информации, реагированию на угрозу из внешней среды по созданию предпосылок к возникновению негативной ситуации в компании и ликвидации последствий уже возникшей.

2. Какая служба полагается на службу конфиденциальности для

обеспечения полной защиты информации?

Служба информационной безопасности

Это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации.

3. Какие службы используются для противостояния атакам на

модификацию?

Служба обеспечения целостности позволяет предотвращать атаки на модификацию. При должном уровне ее организации любое неправомочное изменение будет немедленно обнаружено.

4. В работе каких служб используется система контроля доступа?

Система контроля доступа контролируется службой конфиденциальности.

5. Должны ли коммерческие организации соблюдать конфиденциальность потока данных?

Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Конфиденциальность потока данных обеспечивается за счет скрытия информации, передаваемой между двумя конечными пунктами, внутри гораздо большего трафика данных.

6. Какой основной механизм обеспечивает конфиденциальность и

целостность информации при передаче?

Служба обеспечения целостности позволяет предотвращать атаки на модификацию и атаки на отказ от обязательств. При должном уровне ее организации любое неправомочное изменение будет немедленно обнаружено. Взаимодействие со службой идентификации и аутентификации позволит противостоять атакам, направленным на организацию извне.

7. Для предотвращения перехвата должно использоваться

шифрование - вместе с какой службой безопасности?

Шифрование позволит предотвратить атаки подслушивания, но не сможет защитить от перехвата информации. В последнем случае требуется надежная система идентификации и аутентификации для определения подлинности удаленного получателя

8. Может ли служба обеспечения доступности предотвратить атаки

на отказ в обслуживании?

Служба обеспечения доступности информации поддерживает ее готовность к работе, позволяет обращаться к компьютерным системам, хранящимся в этих системах данным и приложениям. Эта служба обеспечивает передачу информации между двумя конечными пунктами или компьютерными системами. В данном случае речь идет в основном об информации, представленной в электронной форме (но подходит и для обычных документов).

9. Назовите три типа аутентификационных факторов.

Выделяют три фактора аутентификации:

• Фактор знания: что-то, что мы знаем — пароль. Это тайные сведения, которыми должен обладать только авторизованный субъект.

• Фактор владения: что-то, что мы имеем — устройство аутентификации. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику.

• Фактор свойства: что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза.

10. Почему двухфакторная аутентификация сильнее, чем

однофакторная?

 Двухфакторная аутентификация гораздо сильнее, чем однофакторная, поскольку каждый фактор имеет свои слабые места. Например, пароль можно угадать, а смарт-карту украсть. Биометрическую аутентификацию тяжелее фальсифицировать.

11. Зачем нужен аудит?

Аудит информационной безопасности — это комплекс мер, которые оценивают уровень защищенности от внешних угроз и несанкционированного доступа. Он может потребоваться в следующих случаях:

• выбор средства защиты информации. У большинства ПО своя специфика, она должна отвечать целям и задачам компании. Определить требования к функциональным возможностям продукта позволяет приглашение специалиста по аудиту;

• оценка текущего уровня защищенности информационного пространства фирмы. Это может быть как рутинная операция, так и проверка после внедрения новой системы безопасности;

• получение сертификата. Чаще всего это сертификация по ГОСТ или ISO, но есть и другие стандарты, для которых требуется определенный уровень инфобезопасности;

• расследование инцидента, связанного с утечкой данных или кибератакой.

Технологии развиваются и изменяются, поэтому аудит требуется проводить регулярно. Он позволит выявить устаревшие решения и привести всю систему в компании к единому стандарту.

КОНТРОЛЬНЫЕ ВОПРОСЫ К ЛЕКЦИИ 4 (ЧАСТЬ 2)

1. Каков примерный порядок определения требований к защищенности

циркулирующей в системе информации?

Порядок таков:

а. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

б. Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

• уровень наносимого им при этом ущерба и соответствующий уровень требований к защищенности.

в. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

2. Что необходимо учитывать при определении уровня возможного ущерба?

Оценивая тяжесть ущерба, необходимо иметь в виду:

• непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущер­ба, восстановление информации и функционирования АС по ее обработке;

• косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослабление позиций на рынке.

3. Перечислите цели категорирования ресурсов.

Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Категорирование осуществляется исходя из экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры

4. Приведите примеры категорий защищаемой информации и функциональных задач.

Категории конфиденциальности защищаемой информации:

· «СТРОГО КОНФИДЕНЦИАЛЬНАЯ»- к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства.

· «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации;

· «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

 

5. Опишите порядок проведения информационного обследования и докомментирования защищаемых ресурсов.

Информационное обследование осуществляется по определенной методике, предусматривающей три ключевых этапа:

• сбор первичной информации (анкетирование, интервью и др.);

• систематизация и анализ информации;

• представление собранных данных (в формате отчета) для согласования результатов обследования с заказчиком проекта.