Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Нижегородский государственный педагогический университет им. К. Минина
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Основы информационной безопасностиЛекции.doc
Скачиваний:
574
Добавлен:
14.02.2015
Размер:
552.96 Кб
Скачать
►Содержание►

Тесты-определения по информационной безопасности

Информационная безопасность -- это

  1. Отсутствие недопустимого риска, связанного с возможностью нанесения ущерба субъекту информационных отношений 

  2. Состояние защищенности физических и юридических лиц, государства в информационной сфере.

  3. Состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

  4. Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

  5. Скрытость информационных ресурсов

Информационная безопасность имеет следующие основные составляющие:

    1. конфиденциальность

    2. , целостность

    3. доступность.

    4. скрытость

Конфиденциальность информации – это

  1. защита чувствительной информации от несанкционированного доступа.

  2. гриф секретности

Целостность информации -- это

  1. защита точности и полноты информации и программного обеспечения

  2. невозможность искажения информации

Доступность информации — это

  1. обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

  2. Право на получение необходимой информации

Информационная война

  1. Действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, процессам, основанным на информации, и информационным системам противника при одновременной защите собственной информации, процессов, основанных на информации, и информационных систем.

  2. Открытые или скрытые целенаправленные информационные воздействия систем друг на друга с целью получения определенного выигрыша в материальной, военной, политической или же идеологической сферах.

  3. Уничтожение информационных систем противника

Межсетевой экран (МЭ), брандмауэр -- это

  1. Локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль пакетов, поступающих в абонентский пункт (АП) и (или) выходящих из абонентского пункта в рамках определенных протоколов. МЭ обеспечивает защиту АП посредством фильтрации пакетов, т. е. их анализа по совокупности критериев и принятия решения об их распространении в (из) АП на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной сети к объектам другой сети.

  2. Вычислительная система или комбинация систем, создающая защитный барьер между двумя или большим количеством сетей и предотвращающая нежелательные вторжения в частную сеть (интранет). МЭ служат виртуальными барьерами для передачи пакетов из одной сети в другую и отслеживают движение данных между сетями Интернет и интранет.

  1. Устройство, реализующее изоляцию сетей друг от друга.

Несанкционированный доступ к информации

  1. Доступ к информации, нарушающий установленные правила ее получения.

  2. Преднамеренное обращение пользователя к данным, доступ к которым ему не разрешен, с целью их чтения, обновления или разрушения.

  3. Доступ субъектов к информации или действия с информацией с использованием штатных средств объекта информатизации (сети передачи данных), нарушающий установленные правила получения и работы с информацией.

  4. Получение информации без соответствующего разрешения на доступ.

Доступ к информации

  1. Ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

  2. Получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.

  3. Ознакомление с информацией или получение возможности ее обработки .

  4. Право на получение информации

Доступность информации

  1. Свойство информации быть (свободно) полученной.

  2. Свойство информации быть легкой в восприятии.

Достоверная вычислительная база

  1. Совокупность защитных механизмов вычислительной системы, включая программные и аппаратные компоненты, ответственные за поддержание политики безопасности. Д. в. б. состоит из одной или нескольких компонент, которые вместе отвечают за реализацию единой политики безопасности в рамках системы. Способность Д. в. б. корректно проводить единую политику безопасности зависит в первую очередь от механизмов самой Д. в. б, а также от корректного управления со стороны администрации системы 

  2. Вычислительная база, гарантирующая результаты с заданной точностью.

Доступ к сведениям, составляющим государственную тайну

  1. Санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

  2. Доступ к сведениям, имеющим определенный гриф секретности.

Модель защиты

  1. Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.

  2. Совокупность средств защиты информации

Модель политики безопасности

  1. Формальное представление политики безопасности, разработанной для системы. Оно должно содержать формальное описание требований, определяющих управление, распределение и защиту критической информации.

  2. Формализованное описание средств защиты информации.

Модель угроз информации (техническими средствами)

  1. Формализованное описание технических каналов утечки, сведений о методах и средствах осуществления угроз информации 

  2. Формализованное описание возможных сбоев в работе технических средств, представляющих угрозу информации.

Защита информации от несанкционированного доступа

  1. Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

  2. Предотвращение или существенное затруднение несанкционированного доступа к программам и данным путем использования аппаратных, программных и криптографических методов и средств защиты, а также проведение организационных мероприятий. Наиболее распространенным программным методом защиты является система паролей .

  3. Совокупность мер по защите информации

Защита информации от разглашения -- это

  1. Деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации .

  2. Присвоение информации грифа секретности.

Защита информации от утечки -- это

  1. Деятельность по предотвращению неконтролируемого распространения защищаемой информации, ее разглашения и несанкционированного доступа к защищаемой информации (иностранными) разведками.

  2. Защита информации от несанкционированных технических каналов доступа.

Защита информации --это

  1. Деятельность, направленная на обеспечение конфиденциальности, сохранности и доступности информации .

  2. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.

  3. Включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

  4. Деятельность, направленная на сохранение государственной, служебной (коммерческой) или личной тайн, а также на сохранение носителей информации любого содержания. Существуют три основные формы защиты информации: правовая, организационно-техническая и страховая.

  5. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.

  6. Определение степени конфиденциальности информации и путей ее возможной утечки.

Защита компьютера, защита вычислительной системы --это

  1. Защита данных и ресурсов соответствующими мерами, обычно предпринимаемыми от случайных или умышленных действий. Такими действиями могут быть неавторизованное изменение, уничтожение, доступ, раскрытие или получение информации .

  2. Регламентирование доступа к компьютеру и вычислительной системе.

Защита от копирования -- это

  1. Применение специальных средств для обнаружения или предотвращения неавторизованного копирования данных, программных средств или программно-аппаратных средств.

  2. Установления ключа на диски

Защита прав субъектов в сфере информационных процессов и информатизации

  1. Осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

  2. Реализуется на законодательном уровне информационной безопасности

Защита тайны личной жизни

  1. Меры, принимаемые для обеспечения тайны личной жизни. Меры включают защиту данных и ограничения на сбор, накопление и обработку данных об отдельных лицах.

  2. Законодательные меры для обеспечения тайны личной жизни.

Защищаемая информация

  1. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.

  2. Информация, содержащая конфиденциальные сведения.

Тест по анализу рисков информационных систем

1. В каких единицах измеряется риск?

в стоимостном выражении во временном выражении в процентах в уровнях

2. Анализ информационных рисков предназначен для :оценки существующего уровня защищенности информационной системы и формирования оптимального бюджета на информационную безопасность оценки технического уровня защищенности информационной системы получения стоимостной оценки вероятного финансового ущерба от реализации угроз, направленных на информационную систему компании и для оценки возможности реализации угроз убеждения руководства компании в необходимости вложений в систему обеспечения информационной безопасности и для инструментальной проверки защищенности информационной системы

3. Политика информационной безопасности, прежде всего необходима для: успешного прохождения компанией регулярного аудита по ИБ обеспечения реального уровня защищенности информационной системы компании понимания персоналом важности требований по ИБ обеспечения адекватной защиты наиболее важных ресурсов компании

4. Политика информационной безопасности в общем случае является руководящим документом для администраторов безопасности и системных администраторов руководящим документом для ограниченного использования руководящим документом для руководства компании, менеджеров, администраторов безопасности и системных администраторов руководящим документом для всех сотрудников компании

5. Предположим, информационная система компании надежно защищена комплексом средств информационной защиты (межсетевые экраны, антивирусы, системы защиты от НСД, системы обнаружения атак и т.д.). Выберите, как на существующий уровень рисков влияет реализация требований политики безопасности:

информационная система сама по себе надежно защищена комплексом средств защиты, поэтому реализация требований политики безопасности не оказывает существенного влияния на уровень рисков политика безопасности, как документ для непосредственного использования, отсутствует, что не оказывает существенного влияния на уровень рисков из-за высокого <технологического> уровня защищенности информационной системы политика безопасности является формальным, не используемым на практике документом, и это не оказывает серьезного влияния на существующий уровень рисков реализация требований политики безопасности существенно влияет на уровень рисков, так как <технологический> фактор защищенности информационной системы является лишь необходимым, но не достаточным условием обеспечения безопасности

6. Выберите, невыполнение какого из следующих требований политики безопасности, на Ваш взгляд, может наибольшим образом повысить существующие в системе информационные риски:

регулярное обновление антивирусных баз создание и поддержание форума по информационной безопасности для всех специалистов, вовлеченных в процесс обеспечения ИБ классификация ресурсов по степени важности с точки зрения ИБ завершение активной сессии пользователя по окончании работы

7. Международный стандарт управления информационной безопасностью ISO 17799 предъявляет :

требования, предъявляемые только для узкого круга крупнейших мировых компаний базовые требования по обеспечению ИБ повышенные требования по обеспечению безопасности информационной системы требования, которые не соответствуют законам стран СНГ в области информационной безопасности

8. Одной из рекомендаций ISO 17799 является :

четкая регламентация настроек межсетевых экранов применение антивирусных продуктов ведущих производителей проведение анализа рисков и регулярных тестов на проникновение сторонней компанией необходимость прохождения руководством компании регулярных тренингов по ИБ

9. Для проведения анализа информационных рисков прежде всего необходимо :

градация информационных рисков построение полной модели информационной системы с точки зрения информационной безопасности модель нарушителя вероятностные оценки угроз безопасности

10. Основной задачей теста на проникновение, прежде всего, является:

оценка возможности обнаружения атаки службой ИБ компании проверка времени реакции службы обеспечения информационной безопасности оценка возможности осуществления атаки из Интернет на информационную систему компании оценка возможных потерь при реализации атаки из Интернет

:

11. Тест на проникновение позволяет (выберите наиболее полное и точное определение)

убедить руководство компании в реальной опасности вторжения из Интернет и обосновать необходимость инвестиций в ИБ снизить вероятные риски вирусной атаки на корпоративную сеть обеспечить должный уровень отношения руководства компании к проблеме обеспечения ИБ убедиться в способности службы ИБ противостоять возможным атакам злоумышленников из Интернет

12. Укажите в общем случае возможные типовые пути воздействия при получении удаленного доступа пользователя к информации на сервере

атака на канал передачи, атака на сервер, атака на пользовательскую группу вирусная атака на корпоративную сеть атака на станцию пользователя, атака на канал передачи, атака на сервер проникновение злоумышленника в сеть компании из Интернет

13. Какой метод обычно используется профессиональными взломщиками при информационной атаке?

атака на наиболее защищенную цель атака на промежуточную цель атака на наименее защищенную цель атака осуществляется без целенаправленного выбора цели

14. Пользователь осуществляет удаленный доступ к информации на сервере. Пусть условный уровень защищенности информации на сервере - 24 единицы; условный уровень защищенности рабочего места пользователя - 10 единиц. Оцените условный уровень защищенности удаленного доступа пользователя к информации на сервере:

24 единицы 34 единицы 17 единиц 10 единиц

15. Выберите наиболее оптимальную стратегию управления рисками в следующем случае: Веб-сервер компании находится внутри корпоративной сети и его программное обеспечение, возможно, содержит уязвимости

уменьшение риска и уклонение от риска принятие риска изменение характера риска и уклонение от риска изменение характера риска и уменьшение риска

16. Для оценки ущерба по угрозе <целостность> необходимо :

оценить полную стоимость информации оценить какой ущерб понесет компания в случае изменения информации оценить какой ущерб понесет компания в случае осуществления несанкционированного доступа к информации оценить возможность осуществления атаки на ресурс, на котором хранится информация

17. Выберите наиболее полное описание методов, которые применяются при оценке ущерба в случае нарушения конфиденциальности информации

оценка стоимости затрат на реабилитацию подмоченной репутации, престижа, имени компании стоимость упущенной выгоды (потерянный контракт) стоимость затрат на поиск новых клиентов, взамен более не доверяющих компании оценка стоимости контрмер по уменьшению ущерба от нарушения конфиденциальности информации; оценка прямого ущерба от нарушения конфиденциальности информации

18. В случае анализа рисков базового уровня необходимо :

провести тесты на проникновение проверить выполнение требований соответствующего стандарта, например ISO 17799 провести полный аудит информационной безопасности, включая тесты на проникновение построить полную модель информационной системы с точки зрения информационной безопасности

19. В случае полного анализа рисков обычно на практике используется следующий подход:

накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин; на выходе метода: вероятностная оценка рисков на основе статистических данных анализ технологических особенностей информационных систем (например, на основе немецкого стандарта BSI) построение комплексной модели информационной системы с точки зрения ИБ (включая анализ технологических, организационных, физических и др аспектов ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков проводится полный внутренний аудит безопасности информационной системы без определения стоимостных оценок возможных потерь от реализации обнаруженных угроз

20. Аудит информационной безопасности в том числе должен включать в себя (выберите наиболее полный ответ из перечисленных):

анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз оценку зависимости компании от внешних связей и тесты на проникновение оценку стоимости ресурсов и информации анализ и классификацию угроз безопасности согласно модели нарушителя

80

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности