Вопросы к Тесту№1 (КСЗИ)
Модель угроз. Классификация нарушителей. Служба защиты информации
1. Дайте определение «Модели угроз» - формализованное (неуникальное) описание методов («КАК » - последовательность действий) и средств (ЧЕМ) осуществления угроз для информации, обрабатываемой на конкретном объекте.
2. Назовите 5 разделов «Модели угроз» согласноНД ТЗИ 1.6-003-04 ситуационный план и его описание; генеральный план и его описание; схема расположения ОТС и описание; схема расположения ВТС и описание; ТКУИ и описание.
3. Структурная схема нарушителей включает в себя 5 основных критериев классификации:
(Нарушителей делят на: внутренних и внешних; по времени действия; по мотивам; по методам; по уровню знаний; по доступу). Структурная схема нарушителей (2по3; 2по4; 1-5; и 1-6):
А. Внутренние (5) и внешние (5)
Б. Время (3): в раб. Время; во внераб. Время; в любое время
В. Мотивы – (3) БСК
Г. Методы (4)- агентурный; использование штатных устройств («проколы СЗИ и ошибки»), пассивные, активные методы съема информации.
Д. По уровню знаний (4): пользователи; технари ТО и технари ПО; СЗИ
Е. По доступу (6): за КЗ; в КЗ- вне ОИД; в ОИД – вне ТС; в ОИД - с АРМ пользователя; доступ к управлению ЗИ.
4. Разработка модели угроз осуществляется после проведения обследования ИТС и входит в состав (является этапом стадии «Формирование общих требований к КСЗИ») (варианты-подсказки: после принятия решения о необходимости защиты информации; после разработки Политики безопасности организации.
5. К какому из НПА следует прежде всего обратиться для консультации в вопросах создания модели угроз? (НДТЗИ 1.6- 003-04)
6. Основные отличия ситуационного и генерального планов? Какой из них более детализирован?
7. На ситуационном плане должны быть отображены:
- здание ОИД, границы КЗ, улицы и т.д.
7. На генеральном плане должны быть отображены помещения с ОТС или речевой ИсОД, смежные с указанными помещения; системы охраны и сигнализации; системы электропитания и заземления; системы жизнеобеспечения (радиосети, тепло и водоснабжения).
8. СЗИ, Положение о СЗИ. Кто его разрабатывает и утверждает?
Вопросы к Тесту№2 (КСЗИ)
(План защиты информации. Должностные инструкции)
1. Результаты каких мероприятий 1-й стадии создания КСЗИ включаются в ПЗИ ( Акт обследования; МУ и МН (как отдельные документы);
- Политика безопасности (как отдельный документ)
2. Текст должностной инструкции согласно «Справочнику типовых профессионально-квалификационных характеристик должностей государственных служащих», как правило, состоит из следующих 5 разделов:Общие положения; Должностные обязанности; Права; Ответственность; Взаимоотношения (связи) по должности.
3. Назовите основные планы работ по созданию и обеспечению функционирования КСЗИ. (Календарный план работ; Текущий план работ; Перспективный план.; План ЗИ).
4. Кто разрабатывает и кто утверждает «Должностные инструкции » сотрудников СЗИ (разрабатываются руководителями структурных подразделений и утверждаются руководителем учреждения, организации).
Вопросы к Тесту№3 (КСЗИ)
«Политика безопасности»
1. 2-й стадией создания КСЗИ, т.е. следует за стадией «Формирование общих требований к КСЗИ»;
2. Политику безопасности оформляют (рекомендуется) в виде отдельного документа ПЗИ
3. Приведите примеры политик безопасности:
- политика безопасности организации
- политика информационной безопасности
- политика безопасности информационных и телекоммуникационных технологий
4. Предписано регулярно (не реже двух раз в год) проводить инвентаризацию основных ресурсов, связанных с информационными системами. К таким ресурсам относят:
- информационные ресурсы: базы данных и файлы данных, инструкции по эксплуатации…;
- ПО операционные системы и системное программное обеспечение;
- физические ресурсы: вычислительная техника, коммуникационное оборудование (телефонные станции, модемы…), магнитные носители, другое техническое оборудование (источники питания, кондиционеры);
- дополнительные услуги: отопление, освещение и т.п.;
5. Назовите основные вопросы, которые рассматриваются в разделе «Безопасность персонала» ПиБ НАН Украины: необходимости включения обязанностей по ЗИ в должностные инструкции. (Проверки лиц, принимаемых на работу; заключения соглашений о конфиденциальности; обучения пользователей аспектам ПиБ).
Назовите основные вопросы, которые рассматриваются в разделе «Физическая безопасность» ПиБ НАН Украины: физическим периметром безопасности; правилами использования рабочего стола; размещением и защитой оборудования (оптимальное размещение ОТС и ВТС, кабельных линий; ТО; утилизация)
Тест №4 «Техническое задание на создание КСЗИ»
1. -3-й стадией создания КСЗИ, т.е. следует за стадиями «Формирование общих требований к КСЗИ» и «Разработка Политики безопасности на создание КСЗИ»;
2. Техническое задание оформляют в любом случае (при разработке или модернизации КСЗИ).
3. ТЗ может оформляеться в виде отдельного документа; отдельного дополнения к общему ТЗ на АС; как раздел в ТЗ на АС.
4. Что общего между техническим заданием на создание КСЗИ в ИТС и формуляром ИТС. (Обязательно высылается в адрес Администрации ГСССЗИ для проведения экспертизы и получения аттестата соответствия КСЗИ в ИТС)
5. Целью проведения спецпроверки средств вычислительной техники является?
(Выявление и изъятие (блокирование) специальных электронных (закладных) устройств).
6. Целью проведения специсследований средств вычислительной техники и других технических является?
(Прямое измерение и документирование показателей ЭМИ средств вычислительной техники и других технических средств).