Пять нестыдных вопросов про кибербезопасность
С тех пор, как ловкачи с наперстками сменились на наглецов у экранов компьютеров, всем, кто держит в руках телефон с выходом в интернет нужно как азбуку знать правила кибербезопасности. Директор учебного центра «СёрчИнформ» Алексей Дрозд выделил четыре главные ошибки, приводящие к проблемам с кибербезопасностью и дал ответы на самые частые вопросы.
– С началом цифровой эры главные опасности – от банального воровства до буллинга и шантажа исходят из сети. Кажется, что правил кибербезопасности слишком много, чтобы вообще ею заморачиваться. На самом деле есть всего 4 главные ошибки, которых нужно избегать:
- Установка слабых паролей – взламываются в считанные секунды.
- Использование одной и той же пары логин/пароль на разных ресурсах, что при компрометации одного сервиса ведет к компрометации и всех остальных.
- Игнорирование возможностей двухфакторной аутентификации для доступа к сервисам.
- Излишнее доверие к сайтам и приложениям.
Но обо всем по порядку в вопросах и ответах.
1. В сети слишком много советов о паролях. Все-таки: какой пароль безопасный, как часто его менять, позволять ли браузеру его запоминать?
Принято считать, что нужно менять пароль раз в месяц. Но это требование хорошо, если предположить, что каждый раз человек меняет пароль на новый криптостойкий. Но человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться.
Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего. Один из выходов – использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение, использовать двухфакторную аутентификацию везде, где это возможно. Но я сам придерживаюсь другого правила. У меня три пароля. Один уникальный, который я использую только для защиты финансового сервиса, он больше нигде и никогда не фигурирует. Второй – для других важных сервисов вроде почты. Третий пароль – для аккаунтов, взлом которых будет не столь критичен, например, Facebook.
Попробовать бесплатно продукты «СёрчИнформ»
Самыми надежными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие в ней цифр, символов и прописных букв, конечно, только усилит пароль.
Что касается запоминания в браузере – это, действительно, не лучший выход. Как только человек нажимает кнопку «запомнить пароль», он забывает свой пароль сам. Но самое главное, если браузер будет скомпрометирован, к злоумышленнику попадет не один пароль, который вы вбиваете руками (в этом нет ничего страшного при условии двухфакторной аутентификации), а все пароли, которые вы когда-то сохранили.
2. Как не создать себе проблемы, устанавливая приложения на телефон? Чего нельзя разрешать приложениям?
Скачивать приложение только из официальных магазинов – это главное требование безопасности. AppStore и GooglePlay не гарантируют полной безопасности, но они все-таки проводят минимальную проверку производителя и приложения. Вероятность просмотреть из неофициальных источников вредоносное или фальшивое приложение гораздо выше.
При установке обращайте внимание на разрешения, которые хочет получить приложение. Они должны быть обоснованы тем, что предполагает функционал приложения. Понятно, что для Instagram нужен доступ к фотографиям, а вот для приложения «фонарик» – нет. Если можно отказаться от разрешений, и это не повлияет на функциональность сервиса, лучше это сделать. Если нет, и приложение хочет слишком много – лучше отказаться от него вовсе. Следует также обращать внимание, какие новые права получает приложение при обновлении.
Отключите автосинхронизацию с облачными сервисами, кроме случаев, когда она действительно необходима.
Используйте антивирус и задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).
Выбор в пользу платных приложений – тоже хороший вариант повысить уровень безопасности. Разработчики таких сервисов мотивированы лучше их защищать и имеют меньше соблазнов монетизироваться за счет ваших данных, то есть продавать данные на сторону.
3. Говорят, если не ставить на телефон приложение банка, вероятность, что мошенники доберутся до счета, меньше. Так ли это?
Да, сам придерживаюсь этого мнения. Хотя бы потому, что чем меньше «точек доступа» к вашим деньгам, тем лучше. Да, удобнее контролировать финансы прямо с телефона, но я исхожу из того, что если мой телефон будет скомпрометирован, злоумышленник получит доступ и к приложению, и к смс-сообщениям, которые используются для двухфакторной аутентификации для подтверждения легитимности платежа. Поэтому я сам для управления счетом использую онлайн-банкинг на компьютере, даже если браузер окажется скомпрометирован, остается второй канал – смс.
Что касается безопасности самого банковского приложения, этот вопрос целиком и полностью на совести банка. Как правило, банки очень серьезны относительно безопасности своих сервисов, так как это и их риски тоже, они совершенствуют их. Приложения проходят тщательный анализ безопасности кода, зачастую привлекаются внешние именитые эксперты. Банк может заблокировать доступ к приложению, если вы сменили симку или даже переставили ее в соседний слот смартфона. Некоторые, самые защищенные приложения, даже не запускаются, пока не выполнены требования безопасности, например, если телефон не запаролен.
Конечно, это не означает, что приложения защищены на 100%. Даже в лучших обнаруживаются уязвимости, поэтому необходимо регулярное обновление, которые закрывают периодически открывающиеся уязвимости. О самых крупных пишут xakep.ru, anti-malware.ru, securitylab.ru и тому подобные специализированные СМИ.
4. Можно ли подключаться к открытым вайфай-точкам в торговых центрах, аэропортах, кафе?
Общественные Wi-Fi-точки – источник опасности. Можно долго расписывать, какие риски несет в себе использование подобных точек, но я ограничусь лишь одной фразой: MITM-атака. Но риск сводится к минимуму, если соблюдать простые правила безопасности:
- убедиться, что точка доступа принадлежит кафе/аэропорту/ТЦ, а не хакеру. Легальная просит ввести номер телефона и высылает смс для входа;
- использовать VPN-подключение для доступа в сеть. Он, собственно, и был придуман для того, чтобы безопасно выходить в интернет через небезопасные точки доступа;
- если не знаете, как выполнить п. 1 и п. 2, лучше через такое соединение не передавать данные, а использовать интернет только «в режиме чтения» — для посещения сайтов и сервисов, где сообщать о себе ничего не требуется.
5. Для регистрации в игре или тесте нас просят оставить свои персональные данные. Кто их собирает и для чего использует?
Разработчика теста «какая вы принцесса», конечно, мало интересует, вы принцесса Белль или Ариэль. Их интересует та информация из социальной сети, к которой вы даете доступ приложению: личные данные, списки друзей и так далее. Собственно, данные – это и есть ваша плата за комфорт и возможность этим приложением/сервисом пользоваться.
Самые крупные «игроки» белого рынка и одновременно крупнейшие сборщики данных – это не разработчики тестов и игр, а корпорации вроде Apple и Google. У них скапливаются данные практически обо всех ваших движениях в интернете. Это неприятно, но не смертельно. Гораздо хуже, когда данные попадают и вовсе непонятно кому. В этом случае спектр применения данных может быть огромным. Чаще всего они используются в маркетинговых целях: какую рекламу предложить, как заставить совершить дополнительную покупку и так далее. И все же разглашение определенных личных данных может быть вполне чувствительным.
Важно помнить: все, что ушло в интернет, там и останется. Даже мессенджеры синхронизируют данные с облачными хранилищами. Поэтому я бы советовал не оставлять в сети информацию, которая может дискредитировать вас, вызвать проблемы при обнародовании, давать возможность для шантажа.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Все зависит от того, в каком именно направлении занят специалист, а также от места его работы — коммерческая это организация или государственная. Если говорить о России, то специалистам по информационной безопасности часто приходится работать с сертифицированными ФСТЭК ФСБ инструменты — просто потому, что государственные организации обязаны использовать лишь сертифицированные ПО и железо. Это могут быть отечественные антивирусы, межсетевые экраны, разного рода аппаратное обеспечение.
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
- поиск уязвимостей на клиентской части веб-приложений, эксплуатация клиентских уязвимостей, способы защиты;
- Навыки поиска server-side-уязвимостей, понимание особенностей Bug Bounty;
- Навыки взлома беспроводных сетей, устройство сетей и способы обеспечения безопасности в них;
- Навык реверса приложений, поиска и эксплуатации бинарных уязвимостей. Основы криптографических протоколов.
Кстати, в 2016 году на «Хабре» публиковался усредненный список обязанностей и требований пентестеров.
- Выполнение тестирования информационных сред и программных продуктов компании;
- Тестирование информационных систем на отказоустойчивость;
- Инструментальный анализ информационных систем;
- Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
- Тестирование на проникновение;
- Анализ безопасности исходных кодов программных продуктов.
Требования:
- Опыт работы по выявлению уязвимостей систем;
- Опыт работы с Burp Suite, Hydra;
- Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
- Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
- Знание принципов построения и работы веб-приложений;
- Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
- Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
- Опыт проведения тестирования на проникновение;
- Опыт проведения аудита систем ИТ и ИБ.
Как видим, список довольно обширен, и он может быть гораздо большим. Но пугаться не стоит — как правило, потенциальный работодатель стремиться покрыть как максимальный «объём» рынка труда, перед ним не стоит задача «отшить» всех потенциальных кандидатов еще на стадии ознакомления с вакансией. Получить представление о том, что нужно работодателю, можно, ознакомившись с 3-5 реальными вакансиями.
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
Тест: Ответы на тест информационная безопасность
Тема: Ответы на тест информационная безопасность
Тип: Тест | Размер: 21.35K | Скачано: 146 | Добавлен 26.12.14 в 15:40 | Рейтинг: +3 | Еще Тесты
· сведения, поступающие от СМИ
· только документированные сведения о лицах, предметах, фактах, событиях
· сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
· только сведения, содержащиеся в электронных базах данных
· не исчезает при потреблении
· становится доступной, если она содержится на материальном носителе
· подвергается только «моральному износу»
· характеризуется всеми перечисленными свойствами
3. Информация, зафиксированная на материальном носителе, с реквизитами,
позволяющими ее идентифицировать, называется
· документированной
4. Формы защиты интеллектуальной собственности —
· авторское, патентное право и коммерческая тайна
· интеллектуальное право и смежные права
· коммерческая и государственная тайна
· гражданское и административное право
5. По принадлежности информационные ресурсы подразделяются на
· государственные, коммерческие и личные
· государственные, не государственные и информацию о гражданах
· информацию юридических и физических лиц
· официальные, гражданские и коммерческие
6. К негосударственным относятся информационные ресурсы
· созданные, приобретенные за счет негосударственных учреждений и организаций
· созданные, приобретенные за счет негосударственных предприятий и физических
· полученные в результате дарения юридическими или физическими лицами
· указанные в п.1-3
8. По доступности информация классифицируется на
· открытую информацию и государственную тайну
· конфиденциальную информацию и информацию свободного доступа
· информацию с ограниченным доступом и общедоступную информацию
· виды информации, указанные в остальных пунктах
9. К конфиденциальной информации относятся документы, содержащие
· государственную тайну
· сведения о золотом запасе страны
10. Запрещено относить к информации ограниченного доступа
· информацию о чрезвычайных ситуациях
· информацию о деятельности органов государственной власти
· документы открытых архивов и библиотек
· все, перечисленное в остальных пунктах
11. К конфиденциальной информации не относится
· персональные данные о гражданах
· «ноу-хау»
12. Вопросы информационного обмена регулируются (. ) правом
· гражданским
13. Согласно ст.132 ГК РФ интеллектуальная собственность это
· информация, полученная в результате интеллектуальной деятельности индивида
· литературные, художественные и научные произведения
· изобретения, открытия, промышленные образцы и товарные знаки
· исключительное право гражданина или юридического лица на результаты
интеллектуальной деятельности
14. Интеллектуальная собственность включает права, относящиеся к
· литературным, художественным и научным произведениям, изобретениям и
· исполнительской деятельности артиста, звукозаписи, радио- и телепередачам
· промышленным образцам, товарным знакам, знакам обслуживания, фирменным
наименованиям и коммерческим обозначениям
· всему, указанному в остальных пунктах
15. Конфиденциальная информация это
· сведения, составляющие государственную тайну
· сведения о состоянии здоровья высших должностных лиц
· документированная информация, доступ к которой ограничивается в
соответствии с законодательством РФ
· данные о состоянии преступности в стране
16. Какая информация подлежит защите?
· информация, циркулирующая в системах и сетях связи
· зафиксированная на материальном носителе информация с реквизитами,
позволяющими ее идентифицировать
· только информация, составляющая государственные информационные ресурсы
· любая документированная информация, неправомерное обращение с которой
может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу
17. Система защиты государственных секретов определяется Законом
· «Об информации, информатизации и защите информации»
· «О государственной тайне»
18. Государственные информационные ресурсы не могут принадлежать
· всем перечисленным субъектам
19. Из нижеперечисленных законодательных актов наибольшей юридической силой в вопросах информационного права обладает
· Указ Президента «Об утверждении перечня сведений, относящихся к
государственной тайне»
· Закон «Об информации, информатизации и защите информации»
20. Классификация и виды информационных ресурсов определены
· Законом «Об информации, информатизации и защите информации»
· всеми документами, перечисленными в остальных пунктах
21. Определение понятия «конфиденциальная информация» дано в
· 2 Законе «О государственной тайне»
· 3 Законе «Об информации, информатизации и защите информации»
22. Формой правовой защиты литературных, художественных и научных произведений является (. ) право
· авторское
23. Запрещено относить к информации с ограниченным доступом
· законодательные акты, информацию о чрезвычайных ситуациях и информацию о
деятельности органов государственной власти (кроме государственной тайны)
· только информацию о чрезвычайных ситуациях
· только информацию о деятельности органов государственной власти (кроме
· документы всех библиотек и архивов
24. Формой правовой защиты изобретений является
· институт коммерческой тайны
· патентное право
· все, перечисленное в остальных пунктах
25. К коммерческой тайне могут быть отнесены
· сведения не являющиеся государственными секретами
· сведения, связанные с производством и технологической информацией
· сведения, связанные с управлением и финансами
· сведения, перечисленные в остальных пунктах
26. Является ли авторское право, патентное право и КТ формами защиты интеллектуальной собственности?
· да
· только авторское и патентное
· защищенные новшества
· общеизвестные новые технологии
· опубликованные технические и технологические новинки
28. Каким законом в РФ защищаются права исполнителей и производителей фонограмм?
· «О правовой охране программ для ЭВМ и баз данных»
· «Об авторском праве и смежных правах»
· «Патентный закон РФ»
· закон еще не принят
29. Закон «Об авторском праве и смежных правах» защищает права
· исполнителей (актеров, певцов и т.д.)
· организации эфирного и кабельного вещания
· всех лиц, перечисленных в остальных пунктах
30. Какой законодательный акт содержит сведения по защите коммерческой тайны?
· Закон «Об авторском праве и смежных правах»
· Закон «О коммерческой тайне»
· Закон «О правовой охране программ для ЭВМ и баз данных»
31. К информации ограниченного доступа не относится
· размер золотого запаса страны
· персональные данные
32. Система защиты государственных секретов
· основывается на Уголовном Кодексе РФ
· регулируется секретными нормативными документами
· определена Законом РФ «О государственной тайне»
· осуществляется в соответствии с п.1-3
33. Действие Закона «О государственной тайне» распространяется
· на всех граждан и должностных лиц РФ
· только на должностных лиц
· на граждан, которые взяли на себя обязательство выполнять требования
законодательства о государственной тайне
· на всех граждан и должностных лиц, если им предоставили для работы закрытые
сведения
34. К государственной тайне относится.
· информация в военной области
· информация о внешнеполитической и внешнеэкономической деятельности государства
· информация в области экономики, науки и техники и сведения в области разведывательной и оперативно-розыскной деятельности
· все выше перечисленное
35. Документы, содержащие государственную тайну снабжаются грифом
· указанным в п.1-3
36. Гриф «ДСП» используется
· для секретных документов
· для документов, содержащих коммерческую тайну
· как промежуточный для несекретных документов
· в учебных целях
37. Порядок засекречивания состоит в установлении следующих принципов:
· целесообразности и объективности
· необходимости и обязательности
· законности, обоснованности и своевременности
· всех выше перечисленных
38. Предельный срок пересмотра ранее установленных грифов секретности составляет
· 5 лет
39. Срок засекречивания сведений, составляющих государственную тайну
· составляет 10 лет
· ограничен 30 годами
Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы
Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).
Чтобы просмотреть бесплатно Тесты на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.
Важно! Все представленные Тесты для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.
Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.
Если Тест, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.
Вопросы по информационной безопасности
Тесты по теме — Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком +
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
— Разработка аппаратных средств обеспечения правовых данных
— Разработка и установка во всех компьютерных правовых сетях журналов учета действий
+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
— Хищение жестких дисков, подключение к сети, инсайдерство
+ Перехват данных, хищение данных, изменение архитектуры системы
— Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
+ Персональная, корпоративная, государственная
— Клиентская, серверная, сетевая
— Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
+ несанкционированного доступа, воздействия в сети
— инсайдерства в организации
5) Основные объекты информационной безопасности:
+ Компьютерные сети, базы данных
— Информационные системы, психологическое состояние пользователей
— Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
— Искажение, уменьшение объема, перекодировка информации
— Техническое вмешательство, выведение из строя оборудования сети
+ Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
+ Экономической эффективности системы безопасности
— Многоплатформенной реализации системы
— Усиления защищенности всех звеньев системы
8) Основными субъектами информационной безопасности являются:
— руководители, менеджеры, администраторы компаний
+ органы права, государства, бизнеса
— сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
+ Установление регламента, аудит системы, выявление рисков
— Установка новых офисных приложений, смена хостинг-компании
— Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
+ Неоправданных ограничений при работе в сети (системе)
— Рисков безопасности сети, системы
11) Принципом политики информационной безопасности является принцип:
+ Невозможности миновать защитные средства сети (системы)
— Усиления основного звена сети, системы
— Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
+ Усиления защищенности самого незащищенного звена сети (системы)
— Перехода в безопасное состояние работы сети, системы
— Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
— Одноуровневой защиты сети, системы
— Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
+ Логические закладки («мины»)
— Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
— Прочитать приложение, если оно не содержит ничего ценного – удалить
— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама
+ Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
— Секретность ключа определена секретностью открытого сообщения
— Секретность информации определена скоростью передачи данных
+ Секретность закрытого сообщения определяется секретностью ключа
17) ЭЦП – это:
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
— Покупка нелицензионного ПО
+ Ошибки эксплуатации и неумышленного изменения режима работы системы
— Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
— Распределенный доступ клиент, отказ оборудования
— Моральный износ сети, инсайдерство
+ Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
— Слабый трафик, информационный обман, вирусы в интернет
+ Вирусы в сети, логические мины (закладки), информационный перехват
— Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
+ Потерей данных в системе
— Изменением формы информации
— Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
23) Угроза информационной системе (компьютерной сети) – это:
— Детерминированное (всегда определенное) событие
— Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
+ Программные, технические, организационные, технологические
— Серверные, клиентские, спутниковые, наземные
— Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
27) Политика безопасности в системе (сети) – это комплекс:
+ Руководств, требований обеспечения необходимого уровня безопасности
— Инструкций, алгоритмов поведения пользователя в сети
— Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
— Аудит, анализ затрат на проведение защитных мер