Правильные ответы выделены зелёным цветом.
Все ответы: В курс включены сведения о стандартах и спецификациях, необходимые всем специалистам в области информационной безопасности (ИБ). Рассматриваются международные, национальные и промышленные стандарты, а также спецификации, разработанные в рамках Internet-сообщества.
Согласно закону «О техническом регулировании», стандарт — это
(1) документ, в котором в целях добровольного многократного использования сформулированы характеристики продукции
(2) требование соблюдения единообразия технических и иных характеристик
(3) изделие, характеристики которого считаются эталонными
Для передаваемых данных протокол передачи записей обеспечивает
(1) конфиденциальность
(2) целостность
(3) доступность
В число основных понятий обобщенного прикладного программного интерфейса службы безопасности входят:
(1) сервис безопасности
(2) механизм безопасности
(3) контекст безопасности
Обычно политика безопасности запрещает:
(1) разделять счета пользователей
(2) заводить новые счета пользователей
(3) ликвидировать счета пользователей
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
(1) потеря конфиденциальности информации
(2) нарушение целостности информации
(3) несанкционированное копирование информации
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) политика безопасности
(2) программа безопасности
(3) общеорганизационные аспекты защиты
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) конечноавтоматная модель
(2) формальная модель политики безопасности
(3) поведенческая модель
В соответствии с курсом, к числу важнейших видов общих функциональных требований к сервисам безопасности принадлежат:
(1) идентификация (FIA_UID)
(2) аутентификация (FIA_UAU)
(3) выявление и реагирование на неудачи аутентификации (FIA_AFL)
Работа над стандартом ISO/IEC 15408-1999 началась в
(1) 1990 году
(2) 1993 году
(3) 1999 году
Версия 2.1 «Общих критериев» содержит
(1) 10 классов функциональных требований безопасности
(2) 11 классов функциональных требований безопасности
(3) 12 классов функциональных требований безопасности
Версия 2.1 «Общих критериев» содержит:
(1) 10 классов требований доверия безопасности
(2) 11 классов требований доверия безопасности
(3) 12 классов требований доверия безопасности
Согласно «Общим критериям», предположения безопасности
(1) являются частью описания среды, в которой функционирует объект оценки
(2) являются частью описания объекта оценки
(3) являются частью политики безопасности организации, эксплуатирующей объект оценки
Произвольное (дискреционное) управление доступом основывается на
(1) атрибутах безопасности (FDP_ACF.1)
(2) иерархических атрибутах безопасности (FDP_IFF.2)
(3) управлении информационными потоками (FDP_IFC.1)
В проекте профиля защиты [PPMOS] предусмотрены максимальные квоты
(1) долговременной памяти
(2) суммарного времени сеансов
(3) суммарного сетевого трафика
Служба директорий предоставляет следующие группы операций:
(1) захват
(2) опрос
(3) верификация
Формирование контекстов безопасности в IPsec разделено на
(1) две фазы
(2) три фазы
(3) четыре фазы
В «Оранжевой книге» фигурируют понятия:
(1) ядро безопасности
(2) периметр безопасности
(3) центр безопасности
Если для передачи записей выстроится очередь сообщений разных типов, то приоритет прикладных данных окажется
(1) минимальным
(2) промежуточным
(3) максимальным
В обобщенном прикладном программном интерфейсе службы безопасности удостоверения выступают как средство
(1) аутентификации
(2) контроля целостности
(3) обеспечения конфиденциальности
В случае нарушения информационной безопасности следует предпочесть стратегию «защититься и продолжить», если
(1) активы организации недостаточно защищены
(2) активы организации надежно защищены
(3) нет достоверных сведений о защищенности активов организации
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в документах группы реагирования должна быть приведена следующая контактная информация:
(1) адрес обычной почты
(2) адрес электронной почты
(3) адрес информационного сервера
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) документ о политике информационной безопасности
(2) программа безопасности
(3) регулярное выявление уязвимых мест
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) предотвращение несанкционированной и необнаруживаемой модификации модуля и криптографических алгоритмов
(2) предотвращение несанкционированной модификации, подмены, вставки и удаления криптографических ключей
(3) предотвращение несанкционированной модификации ограниченного эксплуатационного окружения
Согласно спецификации X.800, ни на сетевом, ни на транспортном уровнях эталонной семиуровневой модели не реализуются следующие функции безопасности:
(1) избирательная конфиденциальность
(2) конфиденциальность трафика
(3) неотказуемость
Под изделием ИТ в «Общих критериях» может пониматься
(1) продукт
(2) система
(3) технология
Согласно версии 2.1 «Общих критериев», уровень протоколирования может быть:
(1) минимальным
(2) базовым
(3) максимальным
Элемент доверия может принадлежать следующим типам:
(1) элементы действий системного администратора
(2) элементы действий разработчика
(3) элементы физической защиты
В соответствии с требованиями компонента FAU_SEL.1, избирательность регистрации событий должна основываться по крайней мере на следующих атрибутах:
(1) тип события
(2) время события
(3) длительность события
В профилях защиты для межсетевых экранов политика безопасности базируется на принципе
(1) все разрешено
(2) все запрещено
(3) все, что не разрешено, запрещено
Для защиты от атак на доступность в проекте ПЗ СУБД [PPSUBD] предусмотрены:
(1) реализация квот, выделяемых пользователям
(2) базовые ограничения на параллельные сеансы
(3) обслуживание с учетом приоритетов
В число операций опроса, предоставляемых службой директорий, входят:
(1) поиск и чтение элементов, удовлетворяющих заданным фильтрам, в заданных частях Информационного Дерева
(2) выдача информации о текущем статусе незавершенной операции опроса
(3) отказ от незавершенной операции опроса
Согласно спецификациям IPsec, управляющие контексты являются
(1) двунаправленными
(2) однонаправленными
(3) ненаправленными
«Общие критерии» содержат следующие основные виды требований безопасности:
(1) архитектурные требования
(2) функциональные требования
(3) требования доверия
Приветственное сообщение клиента в протоколе установления соединений содержит
(1) открытый ключ клиента
(2) секретный ключ клиента
(3) секретный сеансовый ключ для симметричного шифрования
В обобщенном прикладном программном интерфейсе службы безопасности контекст безопасности — это
(1) пара структур данных — по одной локально хранимой структуре для каждого партнера по общению
(2) структура данных, аутентифицирующая партнера по общению
(3) элемент данных, пересылаемый между пользователями с целью защиты прикладной информации
В число мер для борьбы с нарушением безопасности входят:
(1) профилактика
(2) сдерживание
(3) наказание
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», услуги, оказываемые группой реагирования, можно разделить на следующие категории:
(1) действия, непосредственно связанные с реагированием на нарушения
(2) профилактические действия
(3) сбор свидетельств для судебного преследования нарушителя
Согласно стандарту BS 7799, меры по безопасному администрированию систем и сетей разбиты на следующие подгруппы:
(1) профилактическое обслуживание
(2) повседневное обслуживание
(3) сервисное обслуживание
Согласно стандарту FIPS 140-2, на втором уровне безопасности криптографического модуля требуются:
(1) ролевая аутентификация
(2) персональная аутентификация
(3) аутентификация с помощью одноразовых паролей
Стандарт FIPS 140-2 описывает следующие аспекты компьютерной криптографии:
(1) алгоритмический
(2) интерфейсный
(3) собственной защищенности
Согласно версии 2.1 «Общих критериев», в число семейств класса «приватность» входят:
(1) анонимность
(2) бесследность
(3) скрытность
Класс ADV (разработка) предусматривает следующие стили изложения спецификаций:
(1) неформальный
(2) текстовый
(3) графический
Рекомендуемые общие требования доверия безопасности предусматривают наличие
(1) функциональной спецификации
(2) проекта верхнего уровня
(3) проекта нижнего уровня
В профиле защиты, регламентирующем выпуск и управление сертификатами, предусмотрены следующие роли:
(1) администратора
(2) арбитра
(3) инспектора
Согласно проекту ПЗ [PPVPN], концами туннелей, реализующих виртуальные частные сети, целесообразно сделать
(1) межсетевые экраны, обслуживающие подключение организаций к внешним сетям
(2) маршрутизаторы поставщика сетевых услуг
(3) персональные межсетевые экраны сотрудников
В рекомендациях X.509 определены следующие виды сертификатов открытых ключей:
(1) сертификаты оконечных сущностей
(2) сертификаты контролирующих центров
(3) сертификаты удостоверяющих центров
Протокол AH защищает поля IP-заголовков, которые
(1) не меняются на маршруте доставки
(2) меняются предсказуемым образом
(3) меняются произвольным образом
Стандарты и спецификации подразделяются в курсе на
(1) оценочные стандарты
(2) технические спецификации
(3) нормативные спецификации
Семейство протоколов TLS имеет
(1) одноуровневую организацию
(2) двухуровневую организацию
(3) семиуровневую организацию
В число основных понятий обобщенного прикладного программного интерфейса службы безопасности входят:
(1) удостоверение
(2) билет
(3) мандат
Согласно «Руководству по информационной безопасности предприятия», политика безопасности отвечает на вопрос:
(1) что?
(2) как?
(3) когда?
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», группа реагирования обязана
(1) предоставлять помощь членам опекаемого сообщества в предотвращении нарушений
(2) предоставлять помощь членам опекаемого сообщества в ликвидации нарушений
(3) предоставлять помощь членам опекаемого сообщества в информировании общественности о последствиях нарушений
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) администрирование систем и сетей
(2) управление доступом к приложениям
(3) управление доступом к системам и сетям
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) спецификация криптографического модуля
(2) требования к портам и интерфейсам модуля
(3) спецификация политики безопасности криптографического модуля
В курсе рассматриваются профили защиты для следующих разновидностей сервисов безопасности:
(1) парольная аутентификация
(2) аутентификация с помощью смарт-карт
(3) биометрическая идентификация и аутентификация
«Общие критерии» включают следующие виды требований:
(1) функциональные требования
(2) требования доверия
(3) требования эффективности
Версия 2.1 «Общих критериев» содержит следующие классы функциональных требований безопасности:
(1) FAC — управление доступом
(2) FAU — аудит безопасности
(3) FIA — идентификация/аутентификация
В трактовке «Общих критериев» доверие — это
(1) основа для уверенности в том, что изделие ИТ отвечает целям безопасности
(2) основа для уверенности в том, что в изделии ИТ отсутствуют нерегламентированные функциональные возможности
(3) основа для уверенности в высокой квалификации и благонадежности разработчиков
Согласно «Общим критериям», в профиле защиты должны быть описаны:
(1) предположения безопасности
(2) регуляторы безопасности
(3) угрозы безопасности
В пакетных фильтрах решения по фильтрации потоков данных принимаются на основе набора правил, в которых могут фигурировать:
(1) исходный сетевой адрес
(2) протокол транспортного уровня
(3) протокол прикладного уровня
Использование виртуальных локальных сетей позволяет:
(1) повысить производительность и доступность сети
(2) повысить защиту передаваемых данных
(3) реализовать управление доступом пользователей к сетевым ресурсам
В число операций опроса, предоставляемых службой директорий, входят:
(1) чтение значений атрибутов элемента Директории
(2) модификация значений атрибутов элемента Директории
(3) создание новых атрибутов элемента Директории
Протоколы семейства IPsec обеспечивают:
(1) управление доступом
(2) безопасное восстановление
(3) конфиденциальность
Спецификация IPsec затрагивает вопросы
(1) доступности
(2) конфиденциальности
(3) целостности
Смена параметров шифрования
(1) относится к протоколу передачи записей
(2) относится к протоколу установления соединений
(3) выделена в самостоятельный протокол
Обобщенный прикладной программный интерфейс службы безопасности предоставляет услуги по:
(1) авторизации общающихся партнеров
(2) взаимной аутентификации общающихся партнеров
(3) протоколированию действий общающихся партнеров
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
(1) аппаратура
(2) программное обеспечение
(3) информационное обеспечение
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в уставе группы реагирования должны присутствовать следующие разделы:
(1) виды деятельности
(2) клиентура
(3) порядок выбора руководящих органов
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) антивирусные средства
(2) средства контроля защищенности
(3) средства выявления вторжений
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) применение и безопасная реализация утвержденных функций безопасности для защиты информации ограниченного доступа
(2) расширяемость, возможность поддержки новых функций безопасности
(3) эффективность, возможность обработки сколь угодно больших массивов данных
Стандарт BS 7799 описывает меры следующих уровней информационной безопасности:
(1) административного
(2) процедурного
(3) программно-технического
Согласно «Общим критериям», стойкость функции безопасности может быть
(1) низкой
(2) умеренной
(3) высокой
Согласно версии 2.1 «Общих критериев», в число семейств класса FTA «доступ к объекту оценки» входят:
(1) открытие сеанса
(2) блокирование сеанса
(3) закрытие сеанса
Оценочный уровень доверия 4 характеризуется:
(1) демонстрацией устойчивости к попыткам проникновения нарушителей с низким потенциалом нападения
(2) демонстрацией устойчивости к попыткам проникновения нарушителей с умеренным потенциалом нападения
(3) демонстрацией устойчивости к попыткам проникновения нарушителей с высоким потенциалом нападения
В число выделенных общих угроз безопасности входят:
(1) маскарад пользователя
(2) маскарад сети
(3) маскарад сервера
Компонент функциональных требований «Общих критериев» FAU_SAA.1
(1) ориентирован на обнаружение превышения порогов, заданных фиксированным набором правил
(2) служит для выявления нетипичной активности путем анализа профилей поведения
(3) направлен на выявление простых атак путем проведения сигнатурного анализа
Необычность смарт-карт как объекта оценки заключается в:
(1) ограниченности аппаратных ресурсов
(2) принадлежности неконтролируемой среде
(3) высокой стоимости ассоциированных активов
Рекомендации X.509 регламентируют следующие аспекты:
(1) каркас сертификатов открытых ключей
(2) каркас генерации открытых и секретных ключей
(3) каркас управления криптографическими ключами
Все реализации IPsec должны поддерживать селекцию следующих элементов:
(1) исходный и целевой IP-адреса
(2) исходный и целевой порты
(3) класс обслуживания
Согласно закону «О техническом регулировании», стандартизация — это
(1) деятельность по выработке единых требований к техническим и иным характеристикам продукции
(2) деятельность по установлению правил и характеристик в целях их добровольного многократного использования
(3) деятельность по установлению единообразия в сфере производства и иных сферах
Для передаваемых данных протокол передачи записей обеспечивает
(1) конфиденциальность трафика
(2) конфиденциальность содержимого отдельных сообщений
(3) конфиденциальность типов сообщений
В число основных понятий обобщенного прикладного программного интерфейса службы безопасности входят:
(1) дескриптор
(2) идентификатор
(3) имя
Обычно политика безопасности запрещает:
(1) часто менять пароли
(2) использовать короткие пароли
(3) выбирать слабые пароли
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
(1) неправомочное повышение цен на использование информационных услуг
(2) нарушение доступности информационных услуг
(3) неправомочное использование услуг, систем или информации
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) физическая безопасность и безопасность окружающей среды
(2) безопасность персонала
(3) безопасность электронного бизнеса
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) электромагнитная безопасность
(2) управление криптографическими ключами
(3) электромагнитная совместимость
В соответствии с курсом, к числу важнейших видов общих функциональных требований к сервисам безопасности принадлежат:
(1) аутентификация данных (FDP_DAU)
(2) политика управления доступом (FDP_ACC)
(3) функции управления доступом (FDP_ACF)
Работа над «Общими критериями» началась в
(1) 1990 году
(2) 1993 году
(3) 1999 году
Версия 2.1 «Общих критериев» содержит
(1) 66 семейств функциональных требований безопасности
(2) 77 семейств функциональных требований безопасности
(3) 88 семейств функциональных требований безопасности
Версия 2.1 «Общих критериев» содержит:
(1) 66 семейств требований доверия безопасности
(2) 55 семейств требований доверия безопасности
(3) 44 семейства требований доверия безопасности
Согласно «Общим критериям», достижение целей безопасности должно обеспечивать
(1) устойчивость к угрозам безопасности
(2) проведение в жизнь политики безопасности
(3) отсутствие уязвимостей в объекте оценки
Принудительное (мандатное) управление доступом основывается на
(1) атрибутах безопасности (FDP_ACF.1)
(2) иерархических атрибутах безопасности (FDP_IFF.2)
(3) ограниченном управлении информационными потоками (FDP_IFC.1)
В проекте профиля защиты [PPMOS] предусмотрены максимальные квоты
(1) количества одновременно открытых окон
(2) оперативной памяти
(3) количества одновременно открытых сетевых соединений
Служба директорий предоставляет следующие группы операций:
(1) блокирование
(2) модификация
(3) откат
В семействе спецификаций IPsec определены:
(1) сетевой контекст
(2) управляющий контекст
(3) протокольный контекст
В «Гармонизированных критериях Европейских стран» фигурируют понятия:
(1) цель оценки
(2) система оценки
(3) объект оценки
В протоколе передачи записей вычисление имитовставки
(1) предшествует шифрованию
(2) выполняется параллельно с шифрованием
(3) следует за шифрованием
В рамках обобщенного прикладного программного интерфейса службы безопасности приложениям предоставляется
(1) прямой доступ к удостоверениям
(2) доступ к некоторым полям удостоверений
(3) доступ к дескрипторам удостоверений
В случае нарушения информационной безопасности следует предпочесть стратегию «выследить и осудить», если
(1) активы организации недостаточно защищены
(2) активы организации надежно защищены
(3) нет достоверных сведений о защищенности активов организации
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в документах группы реагирования должна быть приведена следующая контактная информация:
(1) часы работы
(2) приемные часы
(3) часовой пояс
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) распределение обязанностей по обеспечению информационной безопасности
(2) обучение и подготовка персонала к поддержанию режима информационной безопасности
(3) выработка и применение мер наказания нарушителей режима информационной безопасности
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) обеспечение отображения (индикации) ввода аутентификационных данных
(2) обеспечение отображения (индикации) ввода секретных криптографических ключей
(3) обеспечение отображения (индикации) режима работы (состояния) модуля
Согласно спецификации X.800, реализуются на сетевом, но не реализуются на транспортном уровне эталонной семиуровневой модели следующие функции безопасности:
(1) конфиденциальность трафика
(2) избирательная конфиденциальность
(3) целостность с восстановлением
Под изделием ИТ в «Общих критериях» может пониматься
(1) микросхема
(2) аппаратный модуль
(3) технологическая цепочка
Согласно версии 2.1 «Общих критериев», уровень протоколирования может быть
(1) пониженным
(2) базовым
(3) повышенным
Элемент доверия может принадлежать следующим типам:
(1) элементы представления и содержания свидетельств
(2) элементы представления и содержания механизмов безопасности
(3) элементы представления и содержания криптографических ключей
В соответствии с требованиями компонента FAU_SEL.1, избирательность регистрации событий должна основываться по крайней мере на следующих атрибутах:
(1) идентификатор объекта
(2) идентификатор субъекта
(3) идентификатор события
Информация, поступающая в межсетевой экран, может предназначаться для
(1) фильтрации
(2) изменения параметров самого межсетевого экрана
(3) долговременного хранения
Для защиты от атак на доступность в проекте ПЗ СУБД [PPSUBD] предусмотрены:
(1) блокирование сеанса
(2) базовые ограничения на параллельные сеансы
(3) предупреждения перед предоставлением доступа
В число операций модификации, предоставляемых службой директорий, входят:
(1) создание нового концевого узла Информационного Дерева
(2) создание нового корня Информационного Дерева
(3) создание нового узла между заданными предшественником и преемником
Согласно спецификациям IPsec, протокольные контексты являются
(1) двунаправленными
(2) однонаправленными
(3) ненаправленными
Пользователями интерфейса безопасности GSS-API являются:
(1) коммуникационные протоколы
(2) администраторы безопасности
(3) программные системы
Приветственное сообщение сервера в протоколе установления соединений содержит
(1) открытый ключ сервера
(2) секретный ключ сервера
(3) секретный сеансовый ключ для симметричного шифрования
В обобщенном прикладном программном интерфейсе службы безопасности токены безопасности подразделяются на следующие классы:
(1) контекстные токены
(2) делегируемые токены
(3) токены сообщений
В число мер для борьбы с нарушением безопасности входят:
(1) ликвидация нарушителя
(2) ликвидация нарушения
(3) ликвидация причин нарушения
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», обязательными услугами при реагировании на нарушения являются:
(1) классификация нарушений
(2) координация реагирования
(3) разрешение проблем
Согласно стандарту BS 7799, меры по безопасному администрированию систем и сетей разбиты на следующие подгруппы:
(1) операционные процедуры и обязанности
(2) конфигурирование операционных систем
(3) планирование и приемка систем
Согласно стандарту FIPS 140-2, на третьем уровне безопасности криптографического модуля требуются:
(1) использование ОС с оценочным уровнем доверия не ниже второго
(2) отделение портов и интерфейсов, используемых для нешифрованного ввода/вывода криптографических ключей и других данных, критичных для безопасности
(3) наличие средств оперативного выявления и реагирования на попытки вторжений
Профиль защиты для смарт-карт описывает следующие аспекты компьютерной криптографии:
(1) алгоритмический
(2) интерфейсный
(3) собственной защищенности
Согласно версии 2.1 «Общих критериев», в число семейств класса «приватность» входят:
(1) псевдонимность
(2) алиасность
(3) открытость для уполномоченного пользователя
Класс ADV (разработка) предусматривает следующие стили изложения спецификаций:
(1) математический
(2) формальный
(3) логический
Рекомендуемые общие требования доверия безопасности предусматривают наличие
(1) частичной спецификации интерфейсов
(2) структурной спецификации интерфейсов
(3) полной спецификации интерфейсов
В профиле защиты, регламентирующем выпуск и управление сертификатами, предусмотрены следующие роли:
(1) офицера безопасности
(2) офицера по связям с удостоверяющими центрами
(3) аудитора
Согласно проекту ПЗ [PPVPN], от виртуальных частных сетей требуется реализация следующих аспектов приватности:
(1) невозможность для внешних пользователей определить подлинное имя пользователя, связанного с передаваемой в рамках доверенного канала информацией
(2) наличие у администратора возможности наблюдения за использованием ресурсов и функционированием процессов
(3) невозможность для внешних пользователей определить факт передачи данных в рамках доверенного канала
Согласно рекомендациям X.509, допускаются следующие сертификаты удостоверяющих центров:
(1) самовыпущенные
(2) самоподписанные
(3) кросс-сертификаты
Протокол инкапсулирующей защиты содержимого предоставляет следующие виды сервисов безопасности:
(1) обеспечение конфиденциальности
(2) обеспечение целостности IP-пакетов
(3) обеспечение целостности потока IP-пакетов
Изучение стандартов и спецификаций необходимо, поскольку
(1) создаются условия для разработки безопасных систем
(2) они являются формой накопления знаний с целью многократного использования
(3) невыполнение их требований преследуется по закону
Клиентом протокола передачи записи может выступать
(1) протокол установления соединений
(2) протокол аутентифицирующего заголовка
(3) IP-протокол
Согласно «Руководству по информационной безопасности предприятия», процедуры безопасности отвечают на вопрос:
(1) что?
(2) как?
(3) когда?
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», группа реагирования обязана
(1) распространять информацию, относящуюся к нарушению, в пределах опекаемого сообщества и другим заинтересованным сторонам
(2) ликвидировать уязвимости, сделавшие нарушение возможным
(3) обучать членов опекаемого сообщества основам информационной безопасности
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) объектно-ориентированное проектирование информационных систем
(2) разработка и сопровождение информационных систем
(3) сертификация информационных систем
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) управление доступом
(2) роли, сервисы и аутентификация
(3) физическая безопасность
В курсе рассматриваются профили защиты для следующих разновидностей сервисов безопасности:
(1) произвольное управление доступом
(2) принудительное управление доступом
(3) ролевое управление доступом
Требования «Общих критериев» группируются в
(1) классы
(2) подклассы
(3) группы
Версия 2.1 «Общих критериев» содержит следующие классы функциональных требований безопасности:
(1) FDR — распределенная архитектура
(2) FCO — связь
(3) FNT — сетевое взаимодействие
В процессе оценивания по «Общим критериям» выполняются следующие действия:
(1) анализируется национальное и международное законодательство в области информационной безопасности
(2) оцениваются задания по безопасности и профили защиты, ставшие источниками требований безопасности
(3) анализируются различные представления проекта объекта оценки и соответствие между ними, а также соответствие каждого из них требованиям безопасности
Согласно «Общим критериям», в профиле защиты должны быть описаны:
(1) цели безопасности для объекта оценки
(2) цели безопасности для среды
(3) цели безопасности для нападения проникновения
В пакетных фильтрах решения по фильтрации потоков данных принимаются на основе набора правил, в которых могут фигурировать:
(1) исходный и целевой сетевые адреса
(2) входные и выходные параметры функции прикладного уровня
(3) входной и выходной сетевой интерфейс
В виртуальных локальных сетях разграничение потоков данных обеспечивается путем фильтрации:
(1) кадров данных
(2) пакетов сетевого уровня
(3) данных прикладного уровня
В число операций опроса, предоставляемых службой директорий, входят:
(1) получение типа атрибута элемента Директории
(2) сравнение значения атрибута элемента Директории с заданной величиной
(3) получение даты последнего изменения атрибута элемента Директории
Протоколы семейства IPsec обеспечивают:
(1) целостность вне соединения
(2) аутентификацию источника данных
(3) неотказуемость
Спецификация TLS близка к
Уведомление о завершении сеанса является частью
(1) протокола передачи записей
(2) протокола установления соединений
(3) протокола оповещения
Обобщенный прикладной программный интерфейс службы безопасности предоставляет услуги по:
(1) контролю целостности пересылаемых сообщений
(2) поддержанию высокой доступности коммуникационных каналов
(3) экономии полосы пропускания
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
(1) данные
(2) информационное обеспечение
(3) люди
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в уставе группы реагирования должны присутствовать следующие разделы:
(1) контролирующие организации
(2) спонсоры и вышестоящие организации
(3) лицензирующие и сертифицирующие организации
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) защита документации
(2) защита данных
(3) защита программ
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) обфускация программного обеспечения модуля
(2) обеспечение защиты модуля от несанкционированного использования и нештатных методов эксплуатации
(3) обеспечение патентной и лицензионной чистоты модуля
Спецификация Internet-сообщества «Руководство по информационной безопасности предприятия» описывает меры следующих уровней информационной безопасности:
(1) административного
(2) процедурного
(3) программно-технического
Согласно «Общим критериям», потенциал нападения может быть
(1) базовым
(2) средним
(3) высоким
Согласно версии 2.1 «Общих критериев», в число семейств класса FTA «доступ к объекту оценки» входят:
(1) аудит доступа
(2) история доступа
(3) управление доступом
На оценочном уровне доверия 3 акт разработчика об испытаниях должен основываться на:
(1) функциональной спецификации
(2) проекте верхнего уровня
(3) проекте нижнего уровня
В число выделенных общих угроз безопасности входят:
(1) анализ потоков данных
(2) перенаправление потоков данных
(3) блокирование потоков данных
Компонент функциональных требований «Общих критериев» FAU_SAA.2
(1) служит для выявления нетипичной активности путем анализа профилей поведения
(2) направлен на выявление простых атак путем проведения сигнатурного анализа
(3) позволяет выявлять сложные, многоэтапные атаки, осуществляемые группой злоумышленников
В число логических атак на смарт-карты входят:
(1) отслеживание зависимостей между входными данными операций, выполняемых смарт-картой, и результатами
(2) нарушение целостности данных, передаваемых смарт-картой
(3) использование некорректных входных данных
Рекомендации X.509 регламентируют следующие аспекты:
(1) каркас верификации атрибутов пользователей
(2) каркас сертификатов атрибутов
(3) каркас управления криптографическими атрибутами пользователей
Все реализации IPsec должны поддерживать селекцию следующих элементов:
(1) имя домена
(2) имя пользователя
(3) имя узла
Согласно закону «О техническом регулировании», принципом стандартизации является
(1) приоритет национальных законодательных и технических актов
(2) обеспечение конкурентоспособности российских товаров и услуг на мировом рынке
(3) применение международного стандарта как основы разработки национального стандарта
Для передаваемых данных протокол передачи записей обеспечивает
(1) целостность некоторых полей сообщений
(2) целостность отдельных сообщений
(3) целостность последовательности сообщений
В число основных понятий обобщенного прикладного программного интерфейса службы безопасности входят:
(1) доверенный канал
(2) доверенный маршрут
(3) канал передачи данных
Обычно политика безопасности запрещает:
(1) производить полное резервное копирование
(2) производить инкрементальное резервное копирование
(3) отказываться от резервного копирования
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
(1) некачественное сервисное обслуживание систем
(2) неквалифицированное администрирование систем
(3) повреждение систем
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) анализ рисков
(2) выбор контрмер
(3) классификация активов и управление ими
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) самотестирование
(2) обеспечение доверенного маршрута
(3) сдерживание прочих атак
В соответствии с курсом, к числу важнейших видов общих функциональных требований к сервисам безопасности принадлежат:
(1) генерация данных аудита безопасности (FAU_GEN)
(2) просмотр аудита безопасности (FAU_SAR)
(3) анализ аудита безопасности (FAU_SAA)
Российский ГОСТ Р ИСО/МЭК 15408-2002 вводится в действие с
(1) 2002 года
(2) 2003 года
(3) 2004 года
Версия 2.1 «Общих критериев» содержит
(1) 100 компонентов функциональных требований безопасности
(2) 117 компонентов функциональных требований безопасности
(3) 135 компонентов функциональных требований безопасности
Версия 2.1 «Общих критериев» содержит:
(1) 100 компонентов требований доверия безопасности
(2) 93 компонента требований доверия безопасности
(3) 87 компонентов требований доверия безопасности
Согласно «Общим критериям», общие требования к сервисам безопасности могут быть выделены
(1) в профиль защиты
(2) в задание по безопасности
(3) в функциональный пакет
Ролевое управление доступом основывается на
(1) атрибутах безопасности (FDP_ACF.1.1)
(2) ограниченном управлении доступом (FDP_ACC.1.1)
(3) ограниченном управлении информационными потоками (FDP_IFC.1)
В проекте профиля защиты ОС [PPMOS] предусмотрены максимальные квоты
(1) времени одного сеанса работы пользователя
(2) времени одного сетевого соединения
(3) процессорного времени
Служба директорий предоставляет следующие группы операций:
(1) модификация
(2) опрос
(3) соединение
Системы, реализующие спецификации IPsec, должны поддерживать следующие базы данных:
(1) базу данных политики безопасности
(2) базу данных протокольных контекстов безопасности
(3) базу данных управляющих контекстов безопасности
В рекомендациях X.800 фигурируют понятия:
(1) регулятор безопасности
(2) сервис безопасности
(3) механизм безопасности
В протоколе передачи записей в вычислении имитовставки участвуют:
(1) номер передаваемой записи
(2) длина сжатой записи
(3) длина несжатой записи
У одного пользователя обобщенного прикладного программного интерфейса службы безопасности может быть
(1) не более одного удостоверения
(2) произвольное число удостоверений, но обязательно одного вида
(3) произвольное число удостоверений разных видов
В случае нарушения информационной безопасности следует предпочесть стратегию «выследить и осудить», если
(1) имеются хорошие резервные копии
(2) резервные копии отсутствуют
(3) нет достоверных сведений о качестве резервных копий
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в документах группы реагирования должна быть приведена следующая информация:
(1) открытые ключи и способы шифрования
(2) секретные ключи и способы шифрования
(3) секретные ключи и способы их вычисления
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) уведомление о случаях нарушения защиты
(2) пресечение нарушения защиты
(3) ликвидация последствий нарушения защиты
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) обеспечение неотказуемости операторов
(2) обеспечение доверия тому, что модуль функционирует должным образом при работе в утвержденном режиме
(3) обнаружение ошибок в функционировании модуля
Согласно спецификации X.800, реализуются на транспортном, но не реализуются на сетевом уровне эталонной семиуровневой модели следующие функции безопасности:
(1) неотказуемость
(2) конфиденциальность трафика
(3) целостность с восстановлением
Под изделием ИТ в «Общих критериях» может пониматься
(1) программная система
(2) база данных
(3) файл
Согласно версии 2.1 «Общих критериев», уровень протоколирования может быть:
(1) неопределенным
(2) определенным
(3) детализированным
Элемент доверия может принадлежать следующим типам:
(1) элементы действий заказчика
(2) элементы действий пользователя
(3) элементы действий оценщика
В соответствии с требованиями компонента FAU_SEL.1, избирательность регистрации событий должна основываться по крайней мере на следующих атрибутах:
(1) адрес объекта
(2) адрес субъекта
(3) адрес узла сети
В состав комплексных межсетевых экранов могут входить
(1) аплеты-посредники
(2) сервлеты-посредники
(3) серверы-посредники
В проекте ПЗ СУБД [PPSUBD] предусмотрены следующие требования:
(1) согласованность данных между функциями безопасности
(2) согласованность данных функций безопасности при дублировании в пределах распределенного объекта оценки
(3) отделение домена функций безопасности
В число операций модификации, предоставляемых службой директорий, входят:
(1) удаление концевого узла Информационного Дерева
(2) модификация элемента Директории с возможным добавлением и/или удалением атрибутов и их значений
(3) модификация относительного различительного имени элемента или перемещение узла Информационного Дерева к другому предшественнику
Согласно спецификациям IPsec, в случае симметричного взаимодействия партнерам придется организовать как минимум
(1) один протокольный контекст
(2) два протокольных контекста
(3) четыре протокольных контекста
В стандарте BS 7799 разъясняются следующие понятия и процедуры:
(1) безопасность интерфейсов
(2) безопасность персонала
(3) физическая безопасность
Приветственное сообщение сервера в протоколе установления соединений содержит
(1) список возможных алгоритмов сжатия
(2) список возможных алгоритмов шифрования
(3) выбранные сервером алгоритмы сжатия и криптографии
В обобщенном прикладном программном интерфейсе службы безопасности токены безопасности генерируются и контролируются
(1) исключительно функциями GSS-API
(2) исключительно приложениями
(3) и функциями GSS-API, и приложениями
В число мер для борьбы с нарушением безопасности входят:
(1) восстановление начального состояния системы
(2) восстановление состояния системы перед нарушением
(3) восстановление безопасного состояния системы
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», классификация нарушений включает в себя следующие действия:
(1) оценка рисков
(2) оценка докладов
(3) верификация
Согласно стандарту BS 7799, меры по безопасному администрированию систем и сетей разбиты на следующие подгруппы:
(1) безопасное управление паролями
(2) безопасное управление носителями
(3) безопасное управление доступом
Согласно стандарту FIPS 140-2, на четвертом уровне безопасности криптографического модуля требуются:
(1) противодействие атакам, основанным на использовании нештатных внешних условий
(2) сдерживание прочих атак
(3) использование ОС с оценочным уровнем доверия не ниже третьего и поддержкой доверенного маршрута
Спецификация GSS-API описывает следующие аспекты компьютерной криптографии:
(1) алгоритмический
(2) интерфейсный
(3) собственной защищенности
Согласно версии 2.1 «Общих критериев», в число семейств класса «приватность» входят:
(1) нерегистрируемость
(2) невозможность именования
(3) невозможность ассоциации
Класс ADV (разработка) предусматривает следующие способы демонстрации соответствия между представлениями объекта оценки:
(1) верификационный
(2) наглядный
(3) полуформальный
Рекомендуемые общие требования доверия безопасности предусматривают
(1) поиск разработчиком явных уязвимостей
(2) независимый анализ уязвимостей
(3) устранение уязвимостей
В профиле защиты, регламентирующем выпуск и управление сертификатами, предусмотрены следующие роли:
(1) аудитора
(2) оператора
(3) инспектора
Согласно проекту ПЗ [PPVPN], опорные узлы виртуальных частных сетей должны обеспечивать
(1) отказоустойчивость
(2) приоритет обслуживания
(3) распределение ресурсов
Согласно рекомендациям X.509, в число основных понятий инфраструктуры управления привилегиями входят:
(1) собственник привилегий
(2) предъявитель привилегий
(3) верификатор привилегий
Протокол инкапсулирующей защиты содержимого предоставляет следующие виды сервисов безопасности:
(1) аутентификация источника данных
(2) неотказуемость источника данных
(3) защита от воспроизведения IP-пакетов
Согласно закону «О техническом регулировании», стандарты могут содержать требования к
(1) структуре документации
(2) терминологии
(3) символике
Клиентом протокола передачи записи может выступать
(1) протокол инкапсулирующей защиты содержимого
(2) TCP-протокол
(3) протокол оповещения
В число основных понятий обобщенного прикладного программного интерфейса службы безопасности входят:
(1) физический токен
(2) логический токен
(3) токен безопасности
Согласно «Руководству по информационной безопасности предприятия», процедуры безопасности
(1) формируют политику безопасности
(2) дополняют политику безопасности
(3) реализуют политику безопасности
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», группа реагирования обязана
(1) предоставлять доверенный канал для приема сообщений о предполагаемых нарушениях
(2) снабдить опекаемое сообщество криптографическими средствами
(3) выполнять для опекаемого сообщества роль удостоверяющего центра
В стандарте BS 7799 фигурируют следующие группы регуляторов безопасности:
(1) реагирование на нарушения информационной безопасности
(2) управление бесперебойной работой организации
(3) контроль соответствия требованиям
В стандарте FIPS 140-2 фигурируют следующие группы требований безопасности:
(1) анализ скрытых каналов
(2) доверие проектированию
(3) эксплуатационное окружение
В курсе рассматриваются профили защиты для следующих инфраструктурных средств безопасности:
(1) выпуск и управление сертификатами
(2) генерация и распределение криптографических ключей
(3) распределение квот
Требования «Общих критериев» группируются в
(1) семейства
(2) подсемейства
(3) подгруппы
Версия 2.1 «Общих критериев» содержит следующие классы функциональных требований безопасности:
(1) FCP — криптография с открытыми ключами
(2) FCS — криптографическая поддержка
(3) FSK — симметричное шифрование
В процессе оценивания по «Общим критериям» выполняются следующие действия:
(1) демонстрируются достоинства объекта оценки
(2) анализируются уязвимости объекта оценки
(3) проводится независимое тестирование
Согласно «Общим критериям», в профиле защиты должны быть описаны:
(1) экономические требования безопасности
(2) функциональные требования безопасности
(3) требования доверия безопасности
В правилах фильтрации для комплексных межсетевых экранов могут фигурировать:
(1) команды протоколов прикладного уровня и параметры команд
(2) исходный и целевой сетевые адреса
(3) протокол транспортного уровня
В проекте ПЗ [PPVLAN] рассматриваются следующие варианты построения виртуальных локальных сетей:
(1) использование атрибутов безопасности пользователей для определения принадлежности к конкретной виртуальной локальной сети
(2) использование специальной метрики для определения принадлежности к конкретной виртуальной локальной сети
(3) группировка портов
В число операций опроса, предоставляемых службой директорий, входят:
(1) выдача числа узлов заданного поддерева Информационного Дерева
(2) выдача высоты Информационного Дерева
(3) выдача списка непосредственных преемников заданного узла Информационного Дерева
Протоколы семейства IPsec обеспечивают:
(1) защиту от атак на доступность
(2) защиту от воспроизведения
(3) частичную защиту от анализа трафика
Рекомендации X.509 регламентируют формат
(1) сертификата безопасности
(2) сертификата открытого ключа
(3) сертификата директории
Сообщение об ошибке расшифрования является частью
(1) протокола передачи записей
(2) протокола смены параметров шифрования
(3) протокола оповещения
Обобщенный прикладной программный интерфейс службы безопасности предоставляет услуги по:
(1) обеспечению неотказуемости общающихся партнеров
(2) обеспечению приватности общающихся партнеров
(3) обеспечению конфиденциальности пересылаемых сообщений
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
(1) информационное обеспечение
(2) документация
(3) расходные материалы
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», в уставе группы реагирования должны присутствовать следующие разделы:
(1) способы аутентификации
(2) права доступа к ресурсам опекаемого сообщества
(3) полномочия
В стандарте BS 7799 выделены следующие ключевые регуляторы безопасности:
(1) контроль соответствия действующему законодательству
(2) контроль соответствия политике безопасности
(3) контроль соответствия стандартам безопасности
Согласно стандарту FIPS 140-2, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности:
(1) предотвращение несанкционированного раскрытия данных ограниченного доступа, шифруемых модулем
(2) предотвращение несанкционированной модификации данных, обрабатываемых модулем
(3) предотвращение несанкционированного раскрытия содержимого модуля
Спецификация Internet-сообщества «Обобщенный прикладной программный интерфейс службы безопасности» относится к следующим уровням информационной безопасности:
(1) административному
(2) процедурному
(3) программно-техническому
Согласно «Общим критериям», стойкость оценивается
(1) для всех функций безопасности
(2) для функций безопасности, реализуемых на основе вероятностных и перестановочных механизмов
(3) для всех уязвимостей
Согласно версии 2.1 «Общих критериев», в число семейств класса FTA «доступ к объекту оценки» входят:
(1) ограничение на независимые сеансы
(2) ограничение на параллельные сеансы
(3) ограничение на ресурсы сеанса
Оценочный уровень доверия 5 характеризуется:
(1) применением неформальной модели политики безопасности
(2) применением полуформальной модели политики безопасности
(3) применением формальной модели политики безопасности
В число выделенных общих угроз безопасности входят:
(1) сохранение остаточной информации
(2) удаление остаточной информации
(3) модификация остаточной информации
Компонент функциональных требований «Общих критериев» FAU_SAA.3
(1) ориентирован на обнаружение превышения порогов, заданных фиксированным набором правил
(2) направлен на выявление простых атак путем проведения сигнатурного анализа
(3) позволяет выявлять сложные, многоэтапные атаки, осуществляемые группой злоумышленников
В число логических атак на смарт-карты входят:
(1) попытки изменения данных на смарт-карте
(2) попытки загрузки вредоносных программ
(3) попытки организации нештатного взаимодействия прикладных функций
Рекомендации X.509 регламентируют следующие аспекты:
(1) простой и сильный аудит
(2) простую и сильную авторизацию
(3) простую и сильную аутентификацию
Все реализации IPsec должны поддерживать селекцию следующих элементов:
(1) протокол доступа к среде передачи
(2) транспортный протокол
(3) прикладной протокол
Главная / Безопасность /
Стандарты информационной безопасности / Тест 12
Упражнение 1:
Номер 1
Обычно политика безопасности запрещает:
Ответ:
(1) разделять счета пользователей
(2) заводить новые счета пользователей
(3) ликвидировать счета пользователей
Номер 2
Обычно политика безопасности запрещает:
Ответ:
(1) часто менять пароли
(2) использовать короткие пароли
(3) выбирать слабые пароли
Номер 3
Обычно политика безопасности запрещает:
Ответ:
(1) производить полное резервное копирование
(2) производить инкрементальное резервное копирование
(3) отказываться от резервного копирования
Упражнение 2:
Номер 1
В случае нарушения информационной безопасности следует предпочесть стратегию "защититься и продолжить", если
Ответ:
(1) активы организации недостаточно защищены
(2) активы организации надежно защищены
(3) нет достоверных сведений о защищенности активов организации
Номер 2
В случае нарушения информационной безопасности следует предпочесть стратегию "выследить и осудить", если
Ответ:
(1) активы организации недостаточно защищены
(2) активы организации надежно защищены
(3) нет достоверных сведений о защищенности активов организации
Номер 3
В случае нарушения информационной безопасности следует предпочесть стратегию "выследить и осудить", если
Ответ:
(1) имеются хорошие резервные копии
(2) резервные копии отсутствуют
(3) нет достоверных сведений о качестве резервных копий
Упражнение 3:
Номер 1
В число мер для борьбы с нарушением безопасности входят:
Ответ:
(1) профилактика
(2) сдерживание
(3) наказание
Номер 2
В число мер для борьбы с нарушением безопасности входят:
Ответ:
(1) ликвидация нарушителя
(2) ликвидация нарушения
(3) ликвидация причин нарушения
Номер 3
В число мер для борьбы с нарушением безопасности входят:
Ответ:
(1) восстановление начального состояния системы
(2) восстановление состояния системы перед нарушением
(3) восстановление безопасного состояния системы
Упражнение 4:
Номер 1
Согласно "Руководству по информационной безопасности предприятия", политика безопасности отвечает на вопрос:
Ответ:
(1) что?
(2) как?
(3) когда?
Номер 2
Согласно "Руководству по информационной безопасности предприятия", процедуры безопасности отвечают на вопрос:
Ответ:
(1) что?
(2) как?
(3) когда?
Номер 3
Согласно "Руководству по информационной безопасности предприятия", процедуры безопасности
Ответ:
(1) формируют политику безопасности
(2) дополняют политику безопасности
(3) реализуют политику безопасности
Упражнение 5:
Номер 1
В "Руководстве по информационной безопасности предприятия" фигурируют следующие классы активов:
Ответ:
(1) аппаратура
(2) программное обеспечение
(3) информационное обеспечение
Номер 2
В "Руководстве по информационной безопасности предприятия" фигурируют следующие классы активов:
Ответ:
(1) данные
(2) информационное обеспечение
(3) люди
Номер 3
В "Руководстве по информационной безопасности предприятия" фигурируют следующие классы активов:
Ответ:
(1) информационное обеспечение
(2) документация
(3) расходные материалы
10
80
|
1. |
||
|
|
целостность |
|
|
|
целостность |
|
|
|
целостность |
|
|
[Frame65] |
||
|
+ |
||
|
|
минимальным |
|
|
|
промежуточным |
|
|
|
максимальным |
|
|
[Frame66] |
||
|
+ |
||
|
|
список |
|
|
|
список |
|
|
|
выбранные |
|
|
[Frame67] |
||
|
+ |
||
|
|
протокол |
|
|
|
протокол |
|
|
|
IP-протокол |
|
|
[Frame68] |
||
|
+ |
||
|
|
протокола |
|
|
|
протокола |
|
|
|
протокола |
10
100%
|
1. |
||
|
|
конфиденциальность |
|
|
|
целостность |
|
|
|
доступность |
|
|
[Frame69] |
||
|
2. |
||
|
|
предшествует |
|
|
|
выполняется |
|
|
|
следует |
|
|
[Frame70] |
||
|
3. |
||
|
|
список |
|
|
|
список |
|
|
|
выбранные |
|
|
[Frame71] |
||
|
4. |
||
|
|
протокол |
|
|
|
протокол |
|
|
|
IP-протокол |
|
|
[Frame72] |
||
|
5. |
||
|
|
протокола |
|
|
|
протокола |
|
|
|
протокола |
11
100
|
1. В число основных понятий |
||
|
|
сервис безопасности |
|
|
|
механизм безопасности |
|
|
|
контекст безопасности |
|
|
[Frame73] |
||
|
2. В обобщенном прикладном |
||
|
|
аутентификации |
|
|
|
контроля целостности |
|
|
|
обеспечения конфиденциальности |
|
|
[Frame74] |
||
|
3. В обобщенном прикладном |
||
|
|
пара структур данных — по |
|
|
|
структура данных, |
|
|
|
элемент данных, пересылаемый |
|
|
[Frame75] |
||
|
4. В число основных понятий |
||
|
|
удостоверение |
|
|
|
билет |
|
|
|
мандат |
|
|
[Frame76] |
||
|
5. Обобщенный прикладной |
||
|
|
обеспечению неотказуемости |
|
|
|
обеспечению приватности |
|
|
|
обеспечению конфиденциальности |
12
80
|
1. |
||
|
|
производить |
|
|
|
производить |
|
|
|
отказываться |
|
|
[Frame77] |
||
|
2. |
||
|
|
имеются |
|
|
|
резервные |
|
|
|
нет |
|
|
[Frame78] |
||
|
3. |
||
|
|
профилактика |
|
|
|
сдерживание |
|
|
|
наказание |
|
|
[Frame79] |
||
|
4. |
||
|
|
формируют |
|
|
|
дополняют |
|
|
|
реализуют |
|
|
[Frame80] |
||
|
5. |
||
|
|
данные |
|
|
|
информационное |
|
|
|
люди |
12
|
80 1. |
||
|
|
разделять |
|
|
|
заводить |
|
|
|
ликвидировать |
|
|
[Frame81] |
||
|
2. |
||
|
|
имеются |
|
|
|
резервные |
|
|
|
нет |
|
|
[Frame82] |
||
|
3. |
||
|
|
профилактика |
|
|
|
сдерживание |
|
|
|
наказание |
|
|
[Frame83] |
||
|
4. |
||
|
|
формируют |
|
|
|
дополняют |
|
|
|
реализуют |
|
|
[Frame84] |
||
|
5. |
||
|
|
информационное |
|
|
|
документация |
|
|
|
расходные |
12
100
|
1. |
||
|
|
производить |
|
|
|
производить |
|
|
|
отказываться |
|
|
[Frame85] |
||
|
2. |
||
|
|
активы |
|
|
|
активы |
|
|
|
нет |
|
|
[Frame86] |
||
|
3. |
||
|
|
профилактика |
|
|
|
сдерживание |
|
|
|
наказание |
|
|
[Frame87] |
||
|
4. |
||
|
|
что? |
|
|
|
как? |
|
|
|
когда? |
|
|
[Frame88] |
||
|
5. |
||
|
|
информационное |
|
|
|
документация |
|
|
|
расходные |
13
100
|
1. |
||
|
|
неправомочное |
|
|
|
нарушение |
|
|
|
неправомочное |
|
|
[Frame89] |
||
|
2. |
||
|
|
часы |
|
|
|
приемные |
|
|
|
часовой |
|
|
[Frame90] |
||
|
3. |
||
|
|
действия, |
|
|
|
профилактические |
|
|
|
сбор |
|
|
[Frame91] |
||
|
4. |
||
|
|
предоставлять |
|
|
|
снабдить |
|
|
|
выполнять |
|
|
[Frame92] |
||
|
5. |
||
|
|
контролирующие |
|
|
|
спонсоры |
|
|
|
лицензирующие |
14
80
|
1. |
||
|
|
как |
|
|
|
может |
|
|
|
могут |
|
|
[Frame93] |
||
|
2. |
||
|
|
подключить |
|
|
|
изолировать |
|
|
|
сделать |
|
|
[Frame94] |
||
|
3. |
||
|
|
с |
|
|
|
с |
|
|
|
без |
|
|
[Frame95] |
||
|
4. |
||
|
|
в |
|
|
|
в |
|
|
|
в |
|
|
[Frame96] |
||
|
5. |
||
|
|
Есть |
|
|
|
Как |
|
|
|
Каков |
Соседние файлы в папке Test2
- #
- #
1. Общие положения
Информация является ценным и жизненно важным ресурсом. Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник, при этом первоочередной задачей является обеспечение безопасности всех активов. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив. Главные цели не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином «сотрудник» понимаются все сотрудники.
1.1. Цель и назначение настоящей Политики
Целями настоящей Политики являются:
- сохранение конфиденциальности критичных информационных ресурсов;
- обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
- защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
- определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.
Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.
1.2. Область применения настоящей Политики
Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации. Соблюдение настоящей Политики обязательно для всех сотрудников.
Организации принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала организации.
2. Требования и рекомендации
2.1. Ответственность за информационные активы
В отношении всех собственных информационных активов организации, активов, находящихся под контролем организации, а также активов, используемых для получения доступа к инфраструктуре организации, определена ответственность соответствующего сотрудника Компании.
2.2. Контроль доступа к информационным системам
2.2.1. Общие положения
Все работы в пределах офисов организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в организации.
Внос в здания и помещения организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы организации производится только при согласовании
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну организации и хранящиеся на жестких дисках портативных компьютеров, зашифрованы. Все портативные компьютеры организации оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему осуществляется с использованием уникального имени пользователя и пароля.
Пользователи руководствоваются рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
2.2.2. Доступ третьих лиц к системам Компании
Каждый сотрудник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам Компании должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Компании должен быть четко определен, контролируем и защищен.
2.2.3. Удаленный доступ
Пользователи получают право удаленного доступа к информационным ресурсам организации с учетом их взаимоотношений с организации.
Сотрудникам, использующим в работе портативные компьютеры организации, может быть предоставлен удаленный доступ к сетевым ресурсам организации в соответствии с правами в корпоративной информационной системе.
Сотрудникам, работающим за пределами организации с использованием компьютера, не принадлежащего организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети организации и к каким-либо другим сетям, не принадлежащим Компании.
Все компьютеры, подключаемые посредством удаленного доступа к информационной сети организации, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.
2.2.4. Доступ к сети Интернет
Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
Рекомендованные правила:
- сотрудникам организации разрешается использовать сеть Интернет только в служебных целях;
- запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
- сотрудники организации не должны использовать сеть Интернет для хранения корпоративных данных;
- работа сотрудников организации с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации организации в сеть Интернет;
- сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем организации;
- сотрудники организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
- запрещен доступ в Интернет через сеть организации для всех лиц, не являющихся сотрудниками организации, включая членов семьи сотрудников организации.
2.3. Защита оборудования
Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация организации.
2.3.1. Аппаратное обеспечение
Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное организации, является ее собственностью и предназначено для использования исключительно в производственных целях.
Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.
Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.
Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.
Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.
Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.
Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Компании блокируются, за исключением тех случаев, когда сотрудником получено разрешение.
2.3.2. Программное обеспечение
Все программное обеспечение, установленное на предоставленном организации компьютерном оборудовании, является собственностью организациии должно использоваться исключительно в производственных целях.
Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника.
На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
- персональный межсетевой экран;
- антивирусное программное обеспечение;
- программное обеспечение шифрования жестких дисков;
- программное обеспечение шифрования почтовых сообщений.
Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем.
Сотрудники Компании не должны:
- блокировать антивирусное программное обеспечение;
- устанавливать другое антивирусное программное обеспечение;
- изменять настройки и конфигурацию антивирусного программного обеспечения.
Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.
2.4. Рекомендуемые правила пользования электронной почтой
Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами или конкурентами по бизнесу для их использования в качестве доказательств в процессе судебного разбирательства или при ведении бизнеса. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует бизнес деятельности.
Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.
Сотрудникам Организации запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.
Использование сотрудниками Организации публичных почтовых ящиков электронной почты осуществляется только при согласовании с Департаментом защиты информации при условии применения механизмов шифрования.
Сотрудники Организации для обмена документами с бизнес партнерами должны использовать только свой официальный адрес электронной почты.
Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.
В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов Департамента защиты информации.
Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.
Ниже перечислены недопустимые действия и случаи использования электронной почты:
- рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
- групповая рассылка всем пользователям Организации сообщений/писем;
- рассылка рекламных материалов, не связанных с деятельностью Организации;
- подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
- поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
- пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.
Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.
Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Организации процедурами документооборота.
Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Организации для других пользователей. Объем вложений не должен превышать 2 Мбайт.
2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.
В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента защиты информации.
Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.
Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:
- проинформировать ответственных специалистов;
- не пользоваться и не выключать зараженный компьютер;
- не подсоединять этот компьютер к компьютерной сети Организации до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий.
2.6. Помещения с техническими средствами информационной безопасности
Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
Перечень помещений с техническими средствами информационной безопасности утверждается Руководством Организации.
Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования.
Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Организации, который отвечает за подготовку заседания, после получения письменного разрешения руководителя группы организации встречи.
Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.
2.7. Управление сетью
Уполномоченные сотрудники контролируют содержание всех потоков данных проходящих через сеть Организации.
Сотрудникам Организации запрещается:
- нарушать информационную безопасность и работу сети Организации;
- сканировать порты или систему безопасности;
- контролировать работу сети с перехватом данных;
- получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
- использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
- передавать информацию о сотрудниках или списки сотрудников Организации посторонним лицам;
- создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.
2.7.1. Защита и сохранность данных
Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных технологий обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.
Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.
Только специалисты на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.
Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.
2.8. Разработка систем и управление внесением изменений
Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителями.
- Ссылка
- Отправить почтой
-
Версия для печати
- Код для блога
- Экспорт
Если вы нашли ошибку: Выделите текст и нажмите Ctrl+Enter
Открыть
Согласно «Руководству по информационной безопасности предприятия», процедуры безопасности отвечают на вопрос:
Согласно «Руководству по информационной безопасности предприятия», процедуры безопасности
Спецификация Internet-сообщества «Руководство по информационной безопасности предприятия» описывает меры следующих уровней информационной безопасности:
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
Согласно спецификации Internet-сообщества «Как реагировать на нарушения информационной безопасности», под нарушением информационной безопасности понимается:
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
В «Руководстве по информационной безопасности предприятия» фигурируют следующие классы активов:
Спецификация Internet-сообщества «Обобщенный прикладной программный интерфейс службы безопасности» относится к следующим уровням информационной безопасности: