ИПЗ Основы ИБ 2022 (2). Отчет по ипз в форме Wordфайла содержит
 Скачать 31.84 Kb.
|
|
Итоговое практическое задание Основы информационной безопасности Семестр 2 Требования к оформлению отчета по ИПЗ: Отчет по ИПЗ в форме Word-файла содержит: оформленный титульный лист; все вопросы итогового практического задания в тестовой форме с отмеченными правильными ответами на каждый вопрос (выбирается один вариант правильного ответа из перечисленных). Критерии оценивания: Количество правильных ответов на вопросы. Вопросы итогового практического задания в тестовой форме: Состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства, это: информационная безопасность информационное противоборство риск информационной безопасности Свойство, указывающее, что информация остается недоступной или нераскрытой для неавторизованных частных и юридических лиц или процессов, это: доступность целостность конфиденциальность Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта, это: доступность целостность конфиденциальность Свойство сохранения полноты и точности, это: доступность целостность конфиденциальность Одно или несколько нежелательных или неожиданных событий информационной безопасности,, которые со значительной степенью вероятности подвергают опасности деловую деятельность и угрожают информационной безопасности, это: инцидент информационной безопасности угроза информационной безопасности риск информационной безопасности Слабое место актива или средства управления, которое может быть использовано одной или более угрозой. это: уязвимость риск информационной безопасности инцидент информационной безопасности Реальные или потенциально возможные действия или условия, приводящие к овладению конфиденциальной информацией, хищению, искажению, изменению, уничтожению ее и сведений о самой системе, а также к прямым материальным убыткам, это: угроза информационной безопасности преимущество информационной безопасности риск информационной безопасности Угрозы, которые обусловливаются злоумышленными действиями людей, это: преднамеренные угрозы непреднамеренные угрозы специальные угрозы Непосредственный исполнитель угрозы с точки зрения ее негативного воздействия на информацию, это: источник угроз риск угроз предпосылка угроз Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.), относятся к: непреднамеренным искусственным угрозам преднамеренным искусственным угрозам непреднамеренным естественным угрозам Действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ относятся к: преднамеренным искусственным угрозам непреднамеренным искусственным угрозам непреднамеренным естественным угрозам К преднамеренным искусственным угрозам можно отнести: незаконное получение паролей и других реквизитов разграничения доступа некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности; пересылка данных по ошибочному адресу абонента (устройства); Нарушители классифицируются по: уровню возможностей уровню взаимодействий уровню ресурсов Нарушители имеют возможность реализовывать только известные угрозы и компьютерные атаки, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов, это: Н1 Нарушитель, обладающий базовыми возможностями (потенциалом) Н2 Нарушитель, обладающий базовыми повышенными возможностями (потенциалом) Н3 Нарушитель, обладающий средними возможностями (потенциалом) Н4 Нарушитель, обладающий высокими возможностями (потенциалом) Нарушители имеют возможность реализовывать сценарии угроз и компьютерные атаки, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей, это: Н1 Нарушитель, обладающий базовыми возможностями (потенциалом) Н2 Нарушитель, обладающий базовыми повышенными возможностями (потенциалом) Н3 Нарушитель, обладающий средними возможностями (потенциалом) Н4 Нарушитель, обладающий высокими возможностями (потенциалом) Нарушители имеют практически неограниченные возможности реализовывать сценарии угроз и компьютерные атаки, в том числе с использованием недекларированных возможностей, программных, программно-аппаратных закладок, встроенных в компоненты систем и сетей, это: Н1 Нарушитель, обладающий базовыми возможностями (потенциалом) Н2 Нарушитель, обладающий базовыми повышенными возможностями (потенциалом) Н3 Нарушитель, обладающий средними возможностями (потенциалом) Н4 Нарушитель, обладающий высокими возможностями (потенциалом) Подключение; использование ресурсов; хищение носителей. Это можно определить как: Нарушение конфиденциальности информации Нарушение целостности информации Нарушение работоспособности системы Внедрение "троянского коня", "вирусов", "червей". Это можно определить как: Нарушение конфиденциальности информации Нарушение целостности информации Нарушение работоспособности системы Меры защиты, основанные на использовании различных электронных устройств и специальных программ, которые самостоятельно или в комплексе с другими средствами, реализуют следующие способы защиты, это программно-аппаратные меры административные меры нормативно-правовые меры Отнесение информации к категориям открытого и ограниченного доступа, определение полномочий по доступу к информации, права должностных лиц на установление и изменение полномочий, это: программно-аппаратные меры административные меры нормативно-правовые меры Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации, это: риск доступ допуск перенос риска Процесс присвоения значений вероятности и последствий риска. Это: количественная оценка риска идентификация риска снижение риска сохранение риска Процесс нахождения, составления перечня и описания элементов риска. Это: количественная оценка риска идентификация риска снижение риска сохранение риска Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском. Это: количественная оценка риска идентификация риска снижение риска сохранение риска Риск измеряется исходя из: комбинации вероятности события и его последствия комбинации стоимости события и его последствия комбинации вероятности события и его даты и времени настуаления Совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации. Это: мероприятия по защите информации обработка информации информационная система Обработка информации. Это: Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью. Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации. Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Система защиты информации автоматизированной системы. Это: Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью. Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации. Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью. Это: обработка информации защита информации хранение информации Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации. Это: система защиты информации автоматизированной системы система обработки информации автоматизированной системы система хранения информации автоматизированной системы Программное обеспечение системы защиты информации: должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ; может снижать требуемый уровень защищенности информации в АСЗИ; обязательно должно повышать требуемый уровень защищенности информации в АСЗИ. Программно-технические средства, используемые для построения системы защиты информации: должны быть совместимы между собой (корректно работать совместно); могут снижать требуемый уровень защищенности информации в АСЗИ; обязательно должны повышать требуемый уровень защищенности информации в АСЗИ. Для создания АСЗИ могут применяться как серийно выпускаемые, так и специальные (разрабатываемые в ходе создания АСЗИ) ТС и ПС обработки информации, а также технические, программные, программно-аппаратные, криптографические СЗИ и средства контроля эффективности ЗИ. Указанные средства: должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации не должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации не всегда должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Это: защищаемая информация защищенная информация хранимая информация Информация, преобразованная СКЗИ при помощи одного или нескольких криптографических механизмов. Это: защищенная информация хранимая информация ключевая информация Уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Это: ключ проверки электронной подписи ключ электронной подписи ключевая информация ключевой документ Криптографический ключ, представляющий собой уникальную последовательность символов, предназначенную для создания электронной подписи. Это: ключ проверки электронной подписи ключ электронной подписи ключевая информация ключевой документ Специальным образом организованная совокупность данных и/или криптографических ключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока времени. Это: ключ проверки электронной подписи ключ электронной подписи ключевая информация ключевой документ Физический носитель определенной структуры, предназначенный для размещения и хранения на нем ключевой информации и/или инициализирующей последовательности. Это: ключевой носитель специальный носитель особый носитель Функциональные возможности программного обеспечения, не описанные в документации. функциональные возможности программного обеспечения, а также аппаратных средств, эксплуатация которых может привести к нарушению безопасности защищаемой информации или к созданию условий для этого. Это: недекларированные возможности (программного обеспечения) декларированные возможности (программного обеспечения) скрытые возможности (программного обеспечения) Доступ к информации, осуществляемый с нарушением установленных прав и/или правил доступа к информации. Это: несанкционированный доступ к информации санкционированный доступ к информации свободный доступ к информации Свойство АС и/или ПО, вытекающее, в частности, из ошибок реализации и/или существования недекларированных возможностей и позволяющее реализовывать успешные атаки на СКЗИ. Это: уязвимость. угроза риск Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объектов информатизации. Это: организационные меры обеспечения информационной безопасности программно-технические обеспечения информационной безопасности технические обеспечения информационной безопасности Совокупность данных и команд, представленная в виде исходного и/или исполняемого кода и предназначенная для функционирования на аппаратных средствах специального и общего назначения с целью получения определенного результата. Это: программное обеспечение организационно-техническое обеспечение аппаратное обеспечение Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Это: электронная подпись ключевая информация ключевой документ Резервное копирование затрагивает всю систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервное копирование подразумевает создание полной копии всех данных. Обычно оно выполняется тогда, когда копирование большого объёма данных не влияет на работу организации. Это: Полное резервное копирование Дифференциальное резервное копирование Инкрементное резервное копирование При резервном копировании каждый файл, который был изменён с момента последнего полного резервного копирования, копируется каждый раз заново. Все копии файлов делаются в определённые моменты времени. Это: Полное резервное копирование Дифференциальное резервное копирование Инкрементное резервное копирование При резервном копировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось резервное копирование. Последующее инкрементное резервное копирование добавляет только файлы, которые были изменены с момента предыдущего. Это: Полное резервное копирование Дифференциальное резервное копирование Инкрементное резервное копирование При резервировании база данных выключена или закрыта для потребителей. Файлы данных не изменяются, и копия базы данных находится в согласованном состоянии при последующем включении. Это: Холодное резервирование Горячее резервирование Резервное копирование в виде образа При резервировании база данных включена и открыта для потребителей. Копия базы данных приводится в согласованное состояние путём автоматического приложения к ней журналов резервирования по окончании копирования файлов данных. Это: Холодное резервирование Горячее резервирование Резервное копирование в виде образа |