KOS_IB
advertisement
БОУ АО СПО «Астраханский колледж вычислительной техники» Комплект контрольно-оценочных средств учебной дисциплины Основы информационной безопасности основной профессиональной образовательной программы (ОПОП) по специальности 090305 Информационная безопасность автоматизированных систем Астрахань, 2013 1 Одобрена цикловой комиссией специальности Утверждаю Заместитель директора учебной работе 090305 «Информационная безопасность автоматизированных систем» ГБОУ АО СПО «Астраханский колледж вычислительной техники» по О.В.Тимофеева "____" ______________ 20___ г. Протокол № ____ от __________________ Председатель цикловой комиссии ________________ Ходжаева Н.Д. Составитель: Шишманова И.В., преподаватель ГБОУ АО СПО «Астраханский колледж вычислительной техники» Эксперты: Внутренняя экспертиза Техническая экспертиза: Каракаш Т.В., зам. директора по МР ГБОУ АО СПО «Астраханский колледж вычислительной техники» Содержательная экспертиза: Ходжаева Н.Д., председатель ЦК ГБОУ АО СПО «Астраханский колледж вычислительной техники» Внешняя экспертиза Содержательная экспертиза: ____________________________________________________ 2 Оглавление 1 Общие положения .....................................................................................................................4 2 Результаты освоения дисциплины, подлежащие проверке ...................................................4 3 Распределение оценивания результатов обучения по видам контроля ...............................6 4 Распределение типов контрольных заданий по элементам знаний и умений текущего контроля .........................................................................................................................................7 5 Распределение типов и количества контрольных заданий по элементам знаний и умений, контролируемых на промежуточной аттестации.........................................................8 6 Структура контрольного задания.............................................................................................9 6.1 Контрольная работа в форме тестирования «Введение в информационную безопасность» .............................................................................................................................9 6.2 Семинар «Информация как объект защиты» .................................................................15 6.3 Практическая работа №1 «Анализ Доктрины информационной безопасности Российской Федерации»..........................................................................................................16 6.4 Практическая работа №2 «Анализ защищенности объекта защиты информации» ....17 6.5 Практическая работа №3 «Построение модели потенциального нарушителя ИС» ..19 6.6 Практическая работа №4 «Способы аутентификации пользователей на основе биометрических данных»........................................................................................................20 6.7 Практическая работа №5 «Настройка параметров безопасности ОС Windows XP» .22 6.8 Семинар «Методы и средства защиты информации» ...................................................24 6.9. Контрольная работа в форме тестирования «Средства и способы обеспечения информационной безопасности» ............................................................................................26 6.10 Экзаменационные задания ..............................................................................................36 3 1 Общие положения Контрольно-оценочные средства (КОС) предназначены для контроля и оценки образовательных достижений обучающихся, освоивших программу учебной дисциплины Основы информационной безопасности. КОС включают контрольные материалы для проведения текущего контроля и промежуточной аттестации в форме экзамена. КОС разработаны на основании положений: основной профессиональной специальности СПО 090305 образовательной Информационная программы по безопасность автоматизированных систем программы учебной дисциплины Основы информационной безопасности. 2 Результаты освоения дисциплины, подлежащие проверке Результаты обучения Основные показатели оценки результатов (освоенные умения, усвоенные знания) У 1 Классифицировать защищаемую Классификация защищаемой информацию по видам тайны и степеням информации по видам тайны и конфиденциальности степеням конфиденциальности; Проведение анализа защищенности объекта защиты информации в зависимости от содержания информации и степени ее конфиденциальности У 2 Применять основные правила и Построение схемы органов документы сертификации Российской государственной власти и Федерации самоуправления, отвечающих за информационную безопасность; Определение функциональных обязанностей органов государственной власти и самоуправления, отвечающих за информационную безопасность У 3 Классифицировать основные угрозы Описание объекта защиты; безопасности информации Проведение анализа защищенности объекта защиты информации по видам угроз, характеру происхождения угроз, классам каналов несанкционированного получения информации, источникам появления угроз; Определение типов потенциальных нарушителей; Описание модели потенциального 4 З 1 Сущность и понятие информационной безопасности, характеристику ее составляющих З 2 Место информационной безопасности в системе национальной безопасности страны З 3 Источники угроз информационной безопасности и меры по их предотвращению З 6 Жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи З 5 Современные обеспечения безопасности средства и способы информационной 5 нарушителя Сущность и понятие информационной безопасности; Меры по защите информации; Основные составляющие информационной безопасности; Концептуальная модель информационной безопасности; Составляющие национальных интересов РФ в информационной сфере; Нормативно-правовое регулирование защиты информации; Защита информации, охраняемой авторским и патентным правом; Наиболее распространенные угрозы доступности информации; Основные угрозы целостности информации Основные угрозы конфиденциальности информации; Разновидности атак на защищаемые ресурсы; Концептуальная модель информационной безопасности; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Организационно-распорядительная защита информации; Инженерная защита и техническая охрана объектов информатизации; Защита информации от утечки по техническим каналам; Обнаружение и нейтрализация средств технической разведки; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Семантическое сокрытие информации. 3 Распределение оценивания результатов обучения по видам контроля Виды аттестации Наименование элемента умений или знаний Текущий контроль У 1 Классифицировать защищаемую информацию по видам тайны и степеням конфиденциальности У 2 Применять основные правила и документы сертификации Российской Федерации практическая работа Промежуточная аттестация экзамен практическая работа экзамен У 3 Классифицировать основные угрозы безопасности информации практическая работа экзамен З 1 Сущность и понятие информационной безопасности, характеристика ее составляющих практическая работа устные ответы экзамен тестирование З 2 Место информационной безопасности в системе национальной безопасности страны З 3 Источники угроз информационной безопасности и меры по их предотвращению З 4 Жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи З 5 Современные средства и способы обеспечения информационной безопасности 6 контрольная работа контрольная работа контрольная работа контрольная работа устные ответы экзамен устные ответы экзамен устные ответы экзамен устные ответы экзамен 4 Распределение типов контрольных заданий по элементам знаний и умений текущего контроля Содержание учебного материала по программе УД Тип контрольного задания У1 У2 У3 З1 З2 З3 З4 З5 Раздел 1. Информация как объект защиты Тема 1.1 Сущность и понятие КР1, С1 информационной безопасности Тема 1.2 Концептуальная модель информационной безопасности Тема 1.3 Свойства информации как объекта защиты. Понятие об информационных угрозах Тема 1.4 Разновидности атак на защищаемые ресурсы Раздел 2. Средства и способы обеспечения информационной безопасности Тема 2.1 Составляющие национальных КР2, ПР1 ПР1 С2 интересов РФ в информационной сфере Тема 2.2 Нормативно-правовое КР2, ПР1 С2 регулирование защиты информации Тема 2.3 Защита информации, охраняемой авторским и патентным правом Тема 2.4 ОрганизационноПР2 ПР3 распорядительная защита информации Тема 2.5 Инженерная защита и техническая охрана объектов информатизации Тема 2.6 Защита информации от утечки по техническим каналам Тема 2.7 Обнаружение и нейтрализация средств технической разведки Тема 2.8 Управление доступом к ПР4,5 информации Тема 2.9 Защита компьютерной информации и компьютерных систем от вредоносных программ Тема 2.10 Семантическое сокрытие информации Тема 2.11 Обеспечение нормальных условий эксплуатации КР2, автоматизированных информационных С2 систем (АИС) и машинных носителей информации Условные обозначения: ПР – практическая работа КР – контрольная работа С - семинар 7 КР1, С1 КР1, С1 КР1, С1 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 КР2, С2 5 Распределение типов и количества контрольных заданий по элементам знаний и умений, контролируемых на промежуточной аттестации Тип контрольного задания Содержание учебного материала по программе УД У1 У2 У3 З1 З2 З3 З4 З5 Раздел 1. Информация как объект защиты Тема 1.1 Сущность и понятие информационной безопасности Тема 1.2 Концептуальная модель информационной безопасности Тема 1.3 Свойства информации как объекта защиты. Понятие об информационных угрозах Тема 1.4 Разновидности атак на защищаемые ресурсы Раздел 2. Средства и способы обеспечения информационной безопасности Экз Тема 2.1 Составляющие национальных интересов Экз 2.1-2, 2.3-5 РФ в информационной сфере 6-8 Экз Тема 2.2 Нормативно-правовое регулирование 2.14защиты информации 18 Тема 2.3 Защита информации, охраняемой авторским и патентным правом Экз Тема 2.4 Организационно-распорядительная защита Экз 2.142.9-13 информации 19 Тема 2.5 Инженерная защита и техническая охрана объектов информатизации Тема 2.6 Защита информации от утечки по техническим каналам Тема 2.7 Обнаружение и нейтрализация средств технической разведки Тема 2.8 Управление доступом к информации Тема 2.9 Защита компьютерной информации и компьютерных систем от вредоносных программ Тема 2.10 Семантическое сокрытие информации Экз 1.1,11 Экз 1.4-6 экз 1.16 Экз 1.2-3 Экз 1.12 Экз 1.9 Экз 1.10 Экз 1.7 Экз 1.14 Экз 1.8 Экз 1.15 Экз 1.12 Экз 1.16 Экз 1.13 Экз 1.17 Экз 1.14 Экз 1.18 Экз 1.15 Экз 1.19 Экз 1.15 Тема 2.11 Обеспечение нормальных условий эксплуатации автоматизированных информационных систем (АИС) и машинных носителей информации Экз 1.20 8 Экз 1.21 6 Структура контрольного задания 6.1 Контрольная работа в форме тестирования «Введение в информационную безопасность» 6.1.1 Текст теста Вставьте пропущенное слово: 1. «Под информационной безопасностью будем понимать защищенность информации и ……………….. от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры» поддерживающей инфраструктуры человека конфиденциальных данных 2. Защита информации – это … комплекс мероприятий, направленных на обеспечение информационной безопасности совокупность методов, средств и мер, направленных на обеспечение информационной безопасности общества, государства и личности во всех областях их жизненно важных интересов комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям все определения корректны 3. Действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба называются: обнаружение угроз пресечения и локализация угроз ликвидация угроз 4. Возможность за приемлемое время получить требуемую информационную услугу называется: доступностью информации целостностью информации предоставлением информации 9 5. Актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения называется: доступностью информации целостностью информации предоставлением информации конфиденциальностью информации 6. Нарушение какого из аспектов информационной безопасности влечет за собой искажение официальной информации, например, текста закона, выложенного на странице Webсервера какой-либо правительственной организации доступность информации целостность информации предоставление информации конфиденциальность информации 7. Меры каких уровней НЕ входят в организацию системы обеспечения информационной безопасности: законодательного уровня административного уровня процедурного уровня программно-технического уровня программно-аппаратного уровня 8. Многообразие нормативных документов представлено международными, национальными, отраслевыми нормативными документами. Какая организация НЕ занимается вопросами формирования законодательства в сфере информационных ресурсов? ISO ITU АNSI NIST NASA SWIFT GISA 9. Вопросы сертификации и лицензирования средств обеспечения информационной безопасности в России рассматривает: Федеральная служба по техническому и экспортному контролю при Президенте РФ Федеральная служба безопасности Российской Федерации Служба внешней разведки Российской Федерации 10 10. Совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов принято считать: Политикой безопасности методами защиты информации ограничением доступа к информации учетными записями пользователей 11. Потенциальная возможность безопасность – это …. определенным образом нарушить информационную угроза атака взлом 12. Источниками угрозы называют … потенциальных злоумышленников компьютерные вирусы глобальную сеть Интернет 13. Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется … окном безопасности окном опасности скользящим окном окном угрозы 14. Ошибки программного обеспечения с точки зрения информационной безопасности являются: уязвимым местом окном опасности окном безопасности источником угрозы 15. Ошибки администрирования системы с точки зрения информационной безопасности являются: уязвимым местом окном опасности окном безопасности источником угрозы 11 16. Ошибка в программе, вызвавшая крах системы с точки зрения информационной безопасности являются: уязвимым местом окном опасности окном безопасности источником угрозы 17. Некоторая уникальная информация, позволяющая различать пользователей называется: идентификатор (логин) пароль учетная запись ключ 18. Некоторая секретная информация, известная только пользователю и парольной системе, которая может быть запомнена пользователем и предъявлена парольной системе называется: идентификатор (логин) пароль учетная запись ключ 19. Совокупность идентификатора и пароля пользователя называется: логин пользователя учетная запись пользователя ключ пользователя 20. Присвоение пользователям идентификаторов и проверка предъявляемых идентификаторов по списку присвоенных является: идентификацией пользователя аутентификацией пользователя опознанием пользователя созданием учетной записи пользователя 21. Проверка принадлежности пользователю предъявленного им идентификатора является: идентификацией пользователя аутентификацией пользователя регистрацией пользователя созданием учетной записи пользователя 12 22. Факт получения охраняемых сведений злоумышленниками или конкурентами называется: утечкой разглашением взломом 23. Умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним называется: утечкой разглашением взломом 24. Бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена называется: утечкой разглашением взломом 25. Атака на ресурс, которая вызывает нарушение корректной работы программного или аппаратного обеспечения, путем создания огромного количества фальшивых запросов на доступ к некоторым ресурсам или путем создания неочевидных препятствий корректной работе называется: «Отказ от обслуживания» (Denial of Service - DoS) Срыв стека Внедрение на компьютер деструктивных программ Перехват передаваемой по сети информации (Sniffing) Спуфинг Сканирование портов 26. Атака, целью которой является трафик локальной сети, называется: «Отказ от обслуживания» (Denial of Service - DoS) Срыв стека Внедрение на компьютер деструктивных программ Снифинг (Sniffing) Спуфинг Сканирование портов 27. Атака, целью которой являются логины и пароли пользователей, атака проходит путем имитации приглашения входа в систему или регистрации для работы с программой, называется: «Отказ от обслуживания» (Denial of Service - DoS) 13 Срыв стека Внедрение на компьютер деструктивных программ Снифинг (Sniffing) Спуфинг Сканирование портов 28. Сетевая атака, целью которой является поиск открытых портов работающих в сети компьютеров, определение типа и версии ОС и ПО, контролирующего открытый порт, используемых на этих компьютерах, называется: «Отказ от обслуживания» (Denial of Service - DoS) Срыв стека Внедрение на компьютер деструктивных программ Снифинг (Sniffing) Спуфинг Сканирование портов 6.1.2. Время на выполнение: 90 минут 6.1.3. Перечень объектов контроля и оценки Наименование объектов контроля и оценки З 1 Сущность и понятие информационной безопасности, характеристика ее составляющих З 3 Источники угроз информационной безопасности и меры по их предотвращению З 5 Современные средства и способы обеспечения информационной безопасности Основные показатели оценки результата Сущность и понятие информационной безопасности; Меры по защите информации; Основные составляющие информационной безопасности; Концептуальная модель информационной безопасности; Наиболее распространенные угрозы доступности информации; Основные угрозы целостности информации Основные угрозы конфиденциальности информации; Разновидности атак на защищаемые ресурсы; Организационнораспорядительная защита информации; Инженерная защита и 14 Оценка 10 баллов 10 баллов 10 баллов техническая охрана объектов информатизации; 6.2 Семинар «Информация как объект защиты» 6.2.1 Вопросы к семинару 1. Дайте определение терминов: информационная безопасность, защита информации, угроза безопасности информации, атака, злоумышленник, политика безопасности, конфиденциальность информации, целостность информации, доступность информации, идентификатор, пароль, ключ, учетная запись пользователя, идентификация, аутентификация, снифер, спуфер, сканирование портов, отказ от обслуживания, утечка, разглашение. 2. Меры по защите информации: предупреждение, выявление, обнаружение угроз, пресечение и локализация угроз, ликвидация последствий угроз. 3. Основные составляющие информационной безопасности: доступность, целостность и конфиденциальность информации. 4. Цели защиты информации. Направления работы для достижения целей защиты информации. 5. Уровни обеспечения информационной безопасности: законодательный, административный, процедурный и программно-технический. 6. Принципы построения Политики безопасности. 7. Угрозы доступности. Примеры угроз доступности. 8. Угрозы целостности и конфиденциальности. Примеры угроз целостности и конфиденциальности. 9. Парольные системы. Способы аутентификации. Угрозы безопасности парольных систем. Разглашение, утечка, несанкционированный доступ к информации 10. Виды атак на защищаемые ресурсы. 15 6.2.2. Время на выполнение: 90 минут 6.2.3. Перечень объектов контроля и оценки Наименование объектов контроля и оценки Основные показатели оценки результата Оценка Сущность и понятие информационной безопасности; Меры по защите информации; Основные составляющие информационной безопасности; Концептуальная модель информационной безопасности; Наиболее распространенные угрозы доступности информации; Основные угрозы целостности информации Основные угрозы конфиденциальности информации; Разновидности атак на защищаемые ресурсы; Организационнораспорядительная защита информации; Инженерная защита и техническая охрана объектов информатизации; З 1 Сущность и понятие информационной безопасности, характеристика ее составляющих З 3 Источники угроз информационной безопасности и меры по их предотвращению З 5 Современные средства и способы обеспечения информационной безопасности 10 баллов 10 баллов 10 баллов . 6.3 Практическая работа №1 «Анализ безопасности Российской Федерации» Доктрины информационной 6.3.1 Текст практической работы №1 a) Прочитайте и проанализируйте Доктрину ИБ РФ b) Построите схему органов государственной власти и самоуправления, отвечающих за информационную безопасность c) Определите функциональные обязанности органов государственной самоуправления, отвечающих за информационную безопасность d) Определите положения государственной политики в области обеспечения ИБ 16 власти и e) Выделите первоочередные мероприятия по обеспечению ИБ, дайте им оценку. 6.3.2. Время на выполнение: 90 минут 6.3.3. Перечень объектов контроля и оценки Наименование объектов контроля и оценки Основные показатели оценки результата У1 Классифицировать защищаемую информацию по видам тайны и степеням конфиденциальности У 2 Применять основные правила и документы сертификации Российской Федерации Оценка Построенная схема органов государственной власти и самоуправления, отвечающих за информационную безопасность Перечень основных положений государственной политики в области обеспечения ИБ Построение схемы органов государственной власти и самоуправления, отвечающих за информационную безопасность; Определение функциональных обязанностей органов государственной власти и самоуправления, отвечающих за информационную безопасность . 6.4 Практическая работа №2 «Анализ защищенности объекта защиты информации» 6.4.1 Текст практической работы №2 Для выбранного определенного объекта защиты информации (номер варианта соответствует номеру студента по списку) необходимо описать объект защиты, провести анализ защищенности объекта защиты информации по следующим разделам: виды угроз; характер происхождения угроз; классы каналов несанкционированного получения информации; источники появления угроз; причины нарушения целостности информации; 17 Наименование объекта защиты информации: 1. Одиночно стоящий компьютер в бухгалтерии. 2. Сервер в бухгалтерии. 3. Почтовый сервер. 4. Веб-сервер. 5. Компьютерная сеть материальной группы. 6. Одноранговая локальная сеть без выхода в Интернет. 7. Одноранговая локальная сеть с выходом в Интернет. 8. Сеть с выделенным сервером без выхода в Интернет. 9. Сеть с выделенным сервером с выхода в Интернет. 10. Телефонная база данных (содержащая и информацию ограниченного пользования) в твердой копии и на электронных носителях. 11. Телефонная сеть. 12. Средства телекоммуникации (радиотелефоны, мобильные телефоны). 13. Банковские операции (внесение денег на счет и снятие). 14. Операции с банковскими пластиковыми карточками. 15. Компьютер, хранящий конфиденциальную информацию о сотрудниках предприятия. 16. Компьютер, хранящий конфиденциальную информацию о разработках предприятия. 17. Материалы для служебного пользования на твердых носителях и на электронных носителях в производстве. 18. Материалы для служебного пользования на твердых носителях и на электронных носителях на закрытом предприятии. 19. Материалы для служебного пользования на твердых носителях в архиве. 20. Материалы для служебного пользования на твердых носителях и на электронных носителях в налоговой инспекции. 21. Комната для переговоров по сделкам на охраняемой территории. 22. Комната для переговоров по сделкам на неохраняемой территории. 23. Сведения для средств массовой информации, цензура на различных носителях информации (твердая копия, фотографии, электронные носители и др.). 24. Судебные материалы (твердая копия и на электронных носителях). 25. Паспортный стол РОВД (твердая копия и на электронных носителях). 18 26. Материалы по владельцам автомобилей (твердая копия, фотографии, электронные носители и др.). 27. Материалы по недвижимости (твердая копия, фотографии, электронные носители и др.). 28. Сведения по тоталитарным сектам и другим общественно-вредным организациям (твердая копия и на электронных носителях). 29. Сведения по общественно-полезным организациям (красный крест и др.) (твердая копия и на электронных носителях). 30. Партийные списки и руководящие документы (твердая копия и на электронных носителях). 6.4.2 Время на выполнение: 90 минут 6.4.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки Основные показатели оценки результата У 2 Применять основные правила и документы сертификации Российской Федерации Оценка Построение схемы органов государственной власти и самоуправления, отвечающих за информационную безопасность; Определение функциональных обязанностей органов государственной власти и самоуправления, отвечающих за информационную безопасность 6.5 Практическая работа №3 «Построение модели потенциального нарушителя ИС» 6.5.1 Текст практической работы №3 a) Определите возможных нарушителей объекта защиты информации. Классифицируйте их в соответствии с двумя группами: внешние нарушители и внутренние нарушители. b) Заполните на основе собственных полученных данных Таблицу «Типы угроз и возможные внутренние нарушители объекта ….» 19 Таблица 1 Типы угроз и возможные нарушители объекта Тип угрозы Нарушитель Оператор Администратор безопасности … … …. Изменение файлов - + Шпионаж + + …. c) Приведите список персонала АСОИ и соответствующую степень риска от каждого из них. 6.5.2 Время на выполнение: 90 минут 6.5.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки У 3 Классифицировать основные угрозы безопасности информации Основные показатели оценки результата Оценка Описание объекта защиты; Проведение анализа защищенности объекта защиты информации по видам угроз, характеру происхождения угроз, классам каналов несанкционированного получения информации, источникам появления угроз; Определение типов потенциальных нарушителей; Описание модели потенциального нарушителя 6.6 Практическая работа №4 «Способы аутентификации пользователей на основе биометрических данных» 6.6.1 Текст практической работы №4 Войдите в систему под именем пользователя, входящего в группу Администраторов Запустите программу Softex (Пуск → Программы → Softex → OmniPass Enrollment Wizard). c) В окне программы нажмите на кнопку Practice a) b) 20 d) e) f) g) h) i) j) k) l) m) n) o) В появившемся окне с помощью мышки укажите палец, с которого будет считываться отпечаток. Нажмите кнопку Next. На следующем шаге необходимо выполнить инструкции программы: - проложить выбранный палец к устройству считывания; - поднять палец и вновь приложить к устройству. После удачного прохождения практики по работе с программой Softex задайте свои биометрические данные пользователю операционной системы. Для этого необходимо нажать кнопку Enroll Now. На первом шаге вводится пароль пользователя. На втором шаге в окне программы указывается палец, с которого будет считываться отпечаток пальца. Далее происходит считывание биометрических характеристик, при этом пользователь следует инструкциям программы. И на последнем шаге необходимо еще раз приложить к сенсору указанный палец. Далее система предлагает выполнить этот процесс для регистрации отпечатки других пальцев или завершить процесс регистрации. Завершите процесс регистрации отпечатков пальцев для заданного пользователя. Завершите сеанс работы пользователя и войдите в систему предоставив системе свои отпечатки пальцев. Создайте в своем каталоге новую папку, скопируйте в созданную папку несколько документов. Вызовите контекстное меню для один из файлов, выберите пункт «OmniPass шифрование файлов». В появившемся окне можно ввести логин и пароль зарегистрированного пользователя или предоставить отпечатки пальцев. Для успешной аутентификации начнется процесс шифрования данных. Аналогично выполните процесс расшифрования. 6.6.2 Время на выполнение: 90 минут 6.6.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки У 3 Классифицировать основные угрозы безопасности информации Основные показатели оценки результата Описание объекта защиты; Проведение анализа защищенности объекта защиты информации по видам угроз, характеру происхождения угроз, классам каналов несанкционированного получения информации, источникам появления угроз; Определение типов потенциальных нарушителей; Описание модели потенциального нарушителя 21 Оценка 6.7 Практическая работа №5 «Настройка параметров безопасности ОС Windows XP» 6.7.1 Текст практической работы №5 Создание учетной записи пользователя Войдите в Windows как администратор компьютера и выполните следующие команды: Пуск► Панель управления► Учетные записи пользователей. В появившемся окне Учетные записи пользователей щелкните мышью на пункте Создание учетной записи (рис.1) В поле Введите имя учетной записи наберите название новой учетной записи и щелкните мышью на кнопке Далее. Далее укажите тип создаваемой учетной записи – Администратор компьютера или Ограниченная запись. Далее самостоятельно отключите учетную запись Гость Политика блокировки учетной записи Политика блокировки учетной записи — это компонент Active Directory, который используется для блокировки учетной записи, если в течение заданного промежутка времени регистрируется определенное количество неудачных попыток входа в систему. Данные параметры политики безопасности помогают предотвратить возможность подбора пароля злоумышленником и снижают вероятность получения несанкционированного доступа к сети. С помощью редактора групповой политики по указанному ниже адресу настраиваются приведенные в таблице параметры групповой политики домена. Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи Таблица 4 содержит рекомендованные значения параметров политики блокировки учетных записей для двух типов безопасной среды, которые были определены выше. Таблица 1 Наименование политики Значение по умолчанию для контроллера домена ПК на предприятии Высокий уровень безопасности Блокировка учетной записи Не определено 30 минут 30 минут Пороговое значение блокировки 0 ошибок входа в систему 5 ошибок входа в систему 5 ошибок входа в систему Сброс счетчика блокировки Не определено 30 минут 30 минут 22 Параметры политики аудита С помощью политики аудита определяются события безопасности, которые включаются в отчет для администратора. В результате этого создается журнал регистрации определенных действий системы и пользователей. Администратор получает возможность следить за действиями, имеющими отношение к безопасности, например за тем, кто получает доступ к объекту, когда пользователь входит и выходит из системы, а также за изменением параметров политики аудита. С помощью редактора политики настраиваются параметры политики аудита в Windows XP. Они расположены по следующему адресу: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита Таблица 2. Параметры политики аудита, которые используются для обеспечения безопасности компьютеров под управлением Windows XP Высокий ПК на ПК на уровень предприяти предприяти безопасност и и и (настольная (портативн (настольная система) а я система) система) Высокий уровень безопасност и (портативн ая система) Аудит событий входа в систему Успех, отказ Успех, отказ Успех, отказ Успех, отказ Аудит управления учетными записями Успех, отказ Успех, отказ Успех, отказ Успех, отказ Аудит доступа к службе каталогов Нет аудита Нет аудита Нет аудита Нет аудита Аудит входа в систему Успех, отказ Успех, отказ Успех, отказ Успех, отказ Аудит доступа к объектам Успех, отказ Успех, отказ Успех, отказ Успех, отказ Аудит изменения политики Успех Успех Успех Успех Аудит использования Нет аудита Нет аудита Отказ Отказ Аудит отслеживания процессов Нет аудита Нет аудита Нет аудита Нет аудита Аудит системных событий Успех Успех Успех, отказ Успех, отказ Название параметра привилегий Активация Брандмауэра подключения к Интернет. 23 Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик. Откройте Панель управления – Сетевые подключения Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет 6.7.2 Время на выполнение: 90 минут 6.7.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки У 3 Классифицировать основные угрозы безопасности информации Основные показатели оценки результата Оценка Описание объекта защиты; Проведение анализа защищенности объекта защиты информации по видам угроз, характеру происхождения угроз, классам каналов несанкционированного получения информации, источникам появления угроз; Определение типов потенциальных нарушителей; Описание модели потенциального нарушителя 6.8 Семинар «Методы и средства защиты информации» 6.8.1 Вопросы к семинару 1. Дайте определение терминов: собственник информации, владелец информации, пользователь, распоряжение, гриф секретности, дезинформация, легендирование, клевета. 2. Стратегия национальной безопасности Российской Федерации: особенности, цели, составляющие национальных интересов России в информационной сфере. 24 3. Доктрина информационной безопасности Российской Федерации: назначение документа, источники угроз информационной безопасности Российской Федерации, общие методы обеспечения информационной безопасности РФ. 4. Нормативно-правовое регулирование защиты информации: направления защиты 5. Виды конфиденциальной информации: коммерческая тайна, персональные данные 6. Виды конфиденциальной информации: государственная служебная тайна, процессуальная тайна, авторское, патентное право. 7. Гостайна: понятие гостайны, право на работу с гостайной, формы допуска, гриф секретности. 8. Организационно-распорядительная защита информации: цели защиты, принципы построения защиты 9. Администрирование АИС: функции администратора, функции Службы безопасности. 10. Инженерная защита и техническая охрана объектов информатизации: разновидности охраняемых объектов, цели защиты, инженерная защита объекта, технические средства охраны, охрана рабочих мест, средств обработки информации и ее носителей. 6.8.2 Время на выполнение: 90 минут 6.8.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки З 1 Сущность и понятие информационной безопасности, характеристику ее составляющих З 2 Место информационной безопасности в системе национальной безопасности страны Основные показатели оценки результата Сущность и понятие информационной безопасности; Меры по защите информации; Основные составляющие информационной безопасности; Концептуальная модель информационной безопасности; Составляющие национальных интересов РФ в информационной сфере; Нормативно-правовое регулирование защиты информации; Защита информации, охраняемой авторским и патентным правом; 25 Оценка З 3 Источники угроз информационной безопасности и меры по их предотвращению З 4 Жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи З 5 Современные средства и способы обеспечения информационной безопасности Наиболее распространенные угрозы доступности информации; Основные угрозы целостности информации Основные угрозы конфиденциальности информации; Разновидности атак на защищаемые ресурсы; Концептуальная модель информационной безопасности; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Организационнораспорядительная защита информации; Инженерная защита и техническая охрана объектов информатизации; Защита информации от утечки по техническим каналам; Обнаружение и нейтрализация средств технической разведки; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Семантическое сокрытие информации. 6.9. Контрольная работа в форме тестирования «Средства и способы обеспечения информационной безопасности» 6.9.1. Текст теста 1. Разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ относится к: 26 правовым методам защиты информации организационно-техническим методам защиты информации организационно-распорядительным методам защиты информации инженерно-технической защите 2. Контроль за выполнением специальных требований по защите информации относится к: правовым методам защиты информации организационно-техническим методам защиты информации организационно-распорядительным методам защиты информации экономическим методам защиты информации 3. Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи относится к: правовым методам защиты информации организационно-техническим методам защиты информации организационно-распорядительным методам защиты информации экономическим методам защиты информации 4. Разработка программ обеспечения информационной безопасности РФ и определение порядка их финансирования относится к: правовым методам защиты информации организационно-техническим методам защиты информации организационно-распорядительным методам защиты информации нормативно-правовым методам защиты информации экономическим методам защиты информации 5. Регулирование вопросов, связанных с защитой имущественных, (неимущественных) и иных интересов собственников информации относят к: авторских правовым методам защиты информации организационно-техническим методам защиты информации организационно-распорядительным методам защиты информации нормативно-правовым методам защиты информации экономическим методам защиты информации 6. Субъект, в полном объеме реализующий распоряжения информацией, называется: собственник информации владелец информации пользователь 27 полномочия владения, пользования, 7. Субъект, обладающий правами владения и использования информации, называется: собственник информации владелец информации пользователь 8. Форма допуска, требуемая для работы со сведениями особой важности является: первой формой допуска второй формой допуска третьей формой допуска 9. Форма допуска, требуемая для работы с совершенно секретными сведениями является: первой формой допуска второй формой допуска третьей формой допуска 10. Форма допуска, требуемая для работы с секретными сведениями является: первой формой допуска второй формой допуска третьей формой допуска 11. В сфере государственной тайны действует функционально-зональный принцип. Это значит, что: каждый пользователь допускается должностными лицами только к такой информации, которая требуется ему для исполнения должностных обязанностей каждый пользователь допускается должностными лицами только к информации, касающейся зоны его проживания каждый пользователь допускается должностными лицами ко всей информации, к которой у него есть форма допуска 12. Законодательно установлен предельный срок засекречивания сведений – он составляет: 10 лет 25 лет 30 лет 100 лет 13. К какому виду конфиденциальной информации относится технологическая, производственная, финансово-экономическая информация, в том числе информация о секретах производства? 28 научно-техническая, и иная деловая коммерческая тайна персональные данные государственная служебная тайна процессуальная тайна 14. К какому виду конфиденциальной информации относятся сведения, которые могут стать известными в ходе расследования преступлений и правонарушений, при проведении криминалистических экспертиз, при заслушивании дел в суде? коммерческая тайна персональные данные государственная служебная тайна процессуальная тайна 15. Особая категория информации, основной задачей защиты которой является охрана прав человека, который является создателем, называется: коммерческая тайна персональные данные процессуальная тайна авторское или патентное право 16. Противоправные процессы утечки, утраты, распространения, разглашения, копирования, тиражирования, фальсификации, хранения с целью передачи, удаления информации называется процессом: незаконного оборота информации взлома информации несанкционированного использования информации 17. Форма преднамеренного распространения или мнимого разглашения (утечки) неких планов и намерений, которые не отвечают реальным действиям называется: дезинформация легендирование шпионаж 18. Долговременная дезинформация и имитация действий, используемых для скрытия от противника реальных планов, намерений и действий называется: дезинформация легендирование шпионаж 19. Какое направление защиты в основном применяется для охраны материальных ценностей? 29 инженерно-техническая организационно-техническая организационно-распорядительная нормативно-правовая экономическая 20. Что из нижеперечисленного оборудования может выступать в качестве технического канала связи? контроллер жесткого диска, передающий электрические импульсы, считанные магниторезистивной головкой с поверхности магнитного носителя, по шлейфу в системную магистраль для копирования в оперативную память; инфракрасный светодиод лазерного принтера, посылающий кратковременные вспышки на электризованную поверхность фоточувствительного барабана; модулированный по силе тока поток электронов, засвечивающий в определенном порядке пикселы люминофора электронно-лучевой трубки экран компьютерного монитора и глаза пользователя; оптический канал связи все варианты могут быть отнесены к техническим каналам связи 21. Какой канал утечки информации основан на использовании электромагнитной энергии видимого и инфракрасного диапазона? визуально-оптический канал электромагнитный канал виброакустический канал материально-вещественный канал 22. Процесс перехвата и фиксации процесса клавиатурного ввода идентифицирующей информации является примером утечки информации: визуально-оптического канала электромагнитного канала виброакустического канала материально-вещественного канала 23. Процесс разведки за объектами на территории другого государства с космических аппаратов является примером утечки информации: визуально-оптического канала электромагнитного канала виброакустического канала материально-вещественного канала 24. Какой канал утечки информации включает в себя весь радиодиапазон от сверхнизких до сверхвысокочастотных волн? 30 визуально-оптический канал электромагнитный канал виброакустический канал материально-вещественный канал 25. Электрические сигналы (напряжения, токи), модулированные по закону передаваемого сообщения, протекающие по проводникам и элементам радиоцепей (линиям связи, антеннам, конденсаторам) и возбуждающие в окружающем пространстве электромагнитную энергию является примером утечки информации: визуально-оптического канала электромагнитного канала виброакустического канала материально-вещественного канала 26. Какой канал утечки информации представляет собой фактический побочный прием модулированной акустической энергии, распространяющейся в газообразной, жидкой или твердой средах визуально-оптический канал электромагнитный канал виброакустический канал материально-вещественный канал 27. Примером утечки какого канала утечки информации служит звук голоса человека? визуально-оптического канала электромагнитного канала виброакустического канала материально-вещественного канала 28. Выбрасывание на свалки отходов производства, низкая дисциплина при распечатке и размножении конфиденциальных документов, пренебрежение правилами учета, хранения и уничтожения вещественных носителей информации создают предпосылки для использования противником канала утечки информации … визуально-оптического канала электромагнитного канала виброакустического канала материально-вещественного канала 29. По какому признаку делят на классы средства технической разведки (СТР) ? по дальности канала по форме допуска 31 по мощности по степени финансирования 30. Портативные устройства для запечатления информации, скрытно проносимые на территорию объекта нарушителем на своем теле относят к … первому классу СРТ второму классу СРТ третьему классу СРТ 31. Для наблюдения за объектами информатизации из-за пределов их охраняемой или контролируемой территории используются СРТ… первого класса второго класса третьего класса 32. Техническая разведка за крупными объектами на территории государства из-за его пределами проводится средствами СРТ первого класса второго класса третьего класса 33. Установление подлинности идентифицированного пользователя – это ... санкционирование авторизация аутентификация идентификация 34. Процедура опознавания пользователя по предъявленному идентификатору – это … санкционирование авторизация аутентификация идентификация 35. Некое уникальное количество информации, позволяющее различать субъекты и объекты доступа – это … идентификатор пароль учетная запись регистрация 32 36. Процедура ввода идентифицирующей протоколированием действий – это … и аутентифицирующей информации с идентификатор пароль учетная запись регистрация 37. Из каких двух этапов состоит процедура распознавания личности? регистрация идентификация аутентификация реагирование 38. Какой из этапов распознавания личности проходит первым? идентификация аутентификация авторизация 39. Парольная информация, известная только пользователю и проверяющей системе нужна пользователю для прохождения процедуры: регистрации идентификации аутентификации реагирования 40. Уникальный индивидуальный признак, свойственный лишь этому пользователю (голос, отпечаток пальца) нужна пользователю для прохождения процедуры: регистрации идентификации аутентификации реагирования 41. Самый хороший пароль становится плохим, если: записать его где-нибудь в открытом месте набирать его в присутствии посторонних забыть его все варианты подходят для того, чтобы испортить хороший пароль 33 42. Целью атаки какого типа злонамеренного ПО становятся прошивки и драйверы, которые, будучи повреждены, нарушают работу устройств и потенциально способны вывести их из строя физически: флашинга руткита ботнетов обфускации 43. Приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ называется: флашинг руткит ботнет обфускация 44. Сеть компьютеров, зараженных вредоносной программой, позволяющей киберпреступникам удаленно управлять зараженными машинами без ведома пользователя, - это: флашинг руткит ботнет обфускация 45. Программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе называется: флашинг руткит ботнет обфускация 6.9.2 Время на выполнение: 90 минут 6.9.3 Перечень объектов контроля и оценки Наименование объектов контроля и оценки Основные показатели оценки результата 34 Оценка З 1 Сущность и понятие информационной безопасности, характеристику ее составляющих З 2 Место информационной безопасности в системе национальной безопасности страны З 3 Источники угроз информационной безопасности и меры по их предотвращению З 6 Жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи З 5 Современные средства и способы обеспечения информационной безопасности Сущность и понятие информационной безопасности; Меры по защите информации; Основные составляющие информационной безопасности; Концептуальная модель информационной безопасности; Составляющие национальных интересов РФ в информационной сфере; Нормативно-правовое регулирование защиты информации; Защита информации, охраняемой авторским и патентным правом; Наиболее распространенные угрозы доступности информации; Основные угрозы целостности информации Основные угрозы конфиденциальности информации; Разновидности атак на защищаемые ресурсы; Концептуальная модель информационной безопасности; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Организационнораспорядительная защита информации; Инженерная защита и техническая охрана объектов информатизации; Защита информации от утечки по техническим каналам; Обнаружение и нейтрализация средств 35 технической разведки; Управление доступом к информации; Защита компьютерной информации и компьютерных систем от вредоносных программ; Семантическое сокрытие информации. 6.10 Экзаменационные задания 6.10.1 Теоретические вопросы: 1. Дайте определение терминов: клевета, собственник информации, владелец информации, пользователь, распоряжение, гриф секретности, дезинформация, легендирование, информационная безопасность, защита информации, угроза, атака, злоумышленник, политика безопасности, конфиденциальность информации, целостность информации, доступность информации, идентификатор, пароль, ключ, учетная запись пользователя, идентификация, аутентификация, снифер, спуфер, сканирование портов, отказ от обслуживания, утечка, разглашение. 2. Стратегия национальной безопасности Российской Федерации: особенности, цели, составляющие национальных интересов Росси в информационной сфере. 3. Доктрина информационной безопасности Российской Федерации: назначение документа, основные составляющие национальных интересов РФ в информационной сфере, источники угроз информационной безопасности Российской Федерации, общие методы обеспечения информационной безопасности РФ. 36 4. Гостайна: понятие гостайны, право на работу с гостайной, формы допуска, гриф секретности. 5. Виды конфиденциальной информации: гостайна, персональные данные, данные для служебного пользования. 6. Виды конфиденциальной информации: государственная служебная тайна, процессуальная тайна, авторское, патентное право и т.д 7. Организационно-распорядительная защита информации: цели защиты, принципы построения защиты 8. Администрирование АИС: функции администратора, функции Службы безопасности. 9. Инженерная защита и техническая охрана объектов информатизации: разновидности охраняемых объектов, цели защиты, инженерная защита объекта, технические средства охраны, охрана рабочих мест, средств обработки информации и ее носителей. 10. Меры по защите информации: предупреждение, выявление, обнаружение угроз, пресечение и локализация угроз, ликвидация последствий угроз. 11. Основные составляющие информационной безопасности: доступность, целостность и конфиденциальность информации. 12. Цели защиты информации. Направления работы для достижения целей защиты информации. 13. Уровни обеспечения информационной безопасности: законодательный, административный, процедурный и программнотехнический. 14. Угрозы доступности, целостности и конфиденциальности информации. Примеры угроз целостности и конфиденциальности, доступности. 15. Парольные системы. Способы аутентификации. Однофакторная и многофакторная аутентификация. Угрозы безопасности ПС. 16. Виды атак на защищаемые ресурсы. 17. Основные каналы утечки информации 18. Методы защиты информации от утечки по техническим каналам 19. Защита компьютерной информации и компьютерных систем от вредоносных программ 20. Классификация вредоносных программ 21. Семантическое сокрытые информации 6.10.2 Практические вопросы: 1. Сколько выделяются основных составляющих национальных интересов Российской Федерации в информационной сфере? 2 3 4 5 6 2. Сертификации подлежат: средства криптографической защиты информации; средства выявления закладных устройств и программных закладок; защищенные технические средства обработки информации; защищенные информационные системы и комплексы телекоммуникаций; все вышеперечисленные средства. 37 3. В руководящем документе Гостехкомиссии системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности – относятся к группе: первой; второй; третьей; четвертой; пятой. 4. В руководящем документе Гостехкомиссии системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности – относятся к группе: первой; второй; третьей; четвертой; пятой. 5. В руководящем документе Гостехкомиссии многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют различные права на доступ к информации – относятся к группе: первой; второй; третьей; четвертой; пятой. 6. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности: просчеты при администрировании информационных систем необходимость постоянной модификации информационных систем сложность современных информационных систем 7. Уголовный кодекс РФ не предусматривает наказания создание, использование и распространение вредоносных программ ведение личной корреспонденции на производственной технической базе нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 38 за: 8. Под определение средств защиты информации, данное в Законе "О государственной тайне", подпадают: средства выявления злоумышленной активности средства обеспечения отказоустойчивости средства контроля эффективности защиты информации 9. В число целей политики безопасности верхнего уровня входят: решение сформировать или пересмотреть комплексную программу безопасности обеспечение базы для соблюдения законов и правил обеспечение конфиденциальности почтовых сообщений 10. В число целей программы безопасности верхнего уровня входят: управление рисками определение ответственных за информационные сервисы определение мер наказания за нарушения политики безопасности 11. В рамках программы безопасности нижнего уровня осуществляются: стратегическое планирование повседневное администрирование отслеживание слабых мест защиты 12. Политика безопасности строится на основе: общих представлений об ИС организации изучения политик родственных организаций анализа рисков 13. В число целей политики безопасности верхнего уровня входят: формулировка административных решений по важнейшим аспектам реализации программы безопасности выбор методов аутентификации пользователей обеспечение базы для соблюдения законов и правил 14. Действие Закона ""О лицензировании отдельных видов деятельности"" распространяется на: деятельность по использованию шифровальных (криптографических) средств деятельность по рекламированию шифровальных (криптографических) средств деятельность по распространению шифровальных (криптографических) средств 15. Под определение средств защиты информации, данное в Законе ""О государственной тайне", подпадают: средства выявления злоумышленной активности средства обеспечения отказоустойчивости средства контроля эффективности защиты информации 39 16. Действие Закона ""О лицензировании отдельных видов деятельности"" не распространяется на: деятельность по технической защите конфиденциальной информации образовательную деятельность в области защиты информации предоставление услуг в области шифрования информации " 17. Под определение средств защиты информации, данное в Законе "О государственной тайне"", подпадают: средства выявления злоумышленной активности средства обеспечения отказоустойчивости средства контроля эффективности защиты информации 18. Что представляет собой Доктрина информационной безопасности РФ? нормативно-правовой акт, устанавливающий ответственность за правонарушения в сфере информационной безопасности; федеральный закон, регулирующий правоотношения в области информационной безопасности; целевая программа развития системы информационной безопасности РФ, представляющая собой последовательность стадий и этапов; совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. 19. Какие из перечисленных ниже угроз относятся к классу преднамеренных? заражение компьютера вирусами; физическое разрушение системы в результате пожара; отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.); проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации; чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; вскрытие шифров криптозащиты информации 6.11. Перечень материалов, оборудования и информационных источников, используемых в аттестации 1. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г 2. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» от 27 декабря 2006 г 3. ГОСТ Р 50.1.056 - 2005 “Техническая защита информации. Основные термины и определения” от 29 декабря 2005 г 4. Стратегия национальной безопасности Российской Федерации до 2020 года от 12.05.2009 5. Доктрина информационной безопасности Российской Федерации от 09.09.2000 40 6. Официальный сайт ФСТЭК России http://www.fstec.ru 7. Положение о Федеральной Службе Безопасности и ее структуры от 11 августа 2003 г 8. Положение о Федеральной службе технического и экспортного контроля от 16 августа 2008г 9. Федеральный закон №128 “О лицензировании отдельных видов деятельности” от 08.08.2001 10. Постановление Правительства Российской Федерации № 45 «Об организации лицензирования отдельных видов деятельности» от 26.01.2006 11. Положение о лицензировании деятельности по технической защите конфиденциальной информации 12. ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения” от 27.12.2006 13. Федеральный закон № 5485-I «О государственной тайне» от 21.07.1993 14. Емельянова Н.З. Защита информации в персональном комп ьютере:учеб. пособие для студентов ссузов/Н. З. Емелья нова, Т. Л. Партыка, И. И. Попов.-М.:ФОРУМ,2013.-368 с.(Высш. образование). 15. Ищейнов В.Я. Защита конфиденциальной информации: учеб. пособие для студентов вузов по специальности 090103"Организация и технология защиты информации" и 090104"Комплексная защита объектов информатизации"/В. Я Ищейнов, М. В. Мецатунян.-М.:ФОРУМ,2012.-256 с.-(Высш. образование) 16. Партыка Т.Л. Информационная безопасность: учеб. пособие для студентов ссузов по специальностям информатики и вычисл. техники/Т. Л. Партыка, И. И. Попов.-5-е изд., перераб. и доп.-М.:ФОРУМ,2012.-432 с.-(Проф. образование). 41