Обеспечение безопасности персональных данных в

Министерство образования и науки Российской Федерации
Профессионально-педагогический колледж
федерального государственного бюджетного
образовательного учреждения
высшего профессионального образования
«Саратовский государственный технический университет
имени Гагарина Ю.А.»
Приложение 1
Вопросы и задания, разработанные для проведения
Всероссийской олимпиады профессионального мастерства обучающихся
по специальности 10.02.03 «Информационная безопасность
автоматизированных систем» среднего профессионального образования
Уважаемые коллеги!
Просим организовать обсуждение представленных конкурсных заданий
и, в случае необходимости, направить предложения и замечания по
адресу электронной почты i.nochevnaya@mail.ru
Просим обратить внимание, что непосредственно перед началом
Всероссийской олимпиады в соответствии с Порядком организации и
проведения заключительного этапа Всероссийской олимпиады
профессионального мастерства, экспертная группа внесет, как минимум, 30%
изменений в конкурсные задания.
1. Вопросы теоретического задания
Основы информационной безопасности
1. Определение «Информационная безопасность»
2. Основные методы обеспечения информационной безопасности.
3. Основные угрозы конфиденциальности информации.
4. Определение «Разграничения доступа».
5. Основные методы разграничения доступа.
6. Определение «Межсетевой экран».
7. Назначение цифровой подписи, схема, возможные угрозы.
8. Понятия: доступ к информации, санкционированный доступ к
информации.
9. Определите, какое свойство системы делает возможным возникновение и
реализацию угрозы?
10. Понятие термина «Гриф секретности».
11. Степень секретности информации.
12. Какая информация составляет коммерческую тайну?
13. Формы защиты информации.
14. Основные элементы знака охраны авторского права.
15. Организация защиты информации от утечки по различным каналам.
16. Законодательные акты по легализации и защите компьютерной
информации.
17. Науки, занимающиеся методами шифрования и дешифрования.
18. Определение термина «Пароль».
19. Какова последовательность действий при организации процедуры
опознания с использованием простого пароля?
20. Этапы допуска в вычислительную систему.
Технические средства информатизации
1. Определение «Технические средства информатизации»
2. Классификация технических средств информатизации.
3. Порядок резервного копирования, восстановления и архивного хранения
электронных данных информационных систем.
4. Понятия накопления информации.
5. Классификация накопителей информации.
6. Процедура извлечения информации с запоминающего устройства.
7. Назначение устройства для обработки информации.
8. Определение «Устройство управления», назначение.
9. Функции сетевых адаптеров.
10.Характеристики сетевых адаптеров.
11.Типы компьютерных кабелей, назначение.
12.Определение «Домен»
13.Назначение внешней памяти компьютера.
14.Определение «Оперативная память», основные понятия.
15.Содержимое энергозависимой памяти компьютера.
16.Определение «patch».
17.Расчет объёма микросхемы памяти.
18.Определение «Динамическая память», понятия: элемент памяти,
микросхема памяти, модуль памяти, графическая память.
19.Формула определения быстродействия микросхемы динамической
памяти.
20.Назначение, правила установки модема.
Сети и системы передачи информации
Базовые понятия сетей передачи информации.
Определения «Аналоговый сигнал».
Определение «Амплитудная модуляция».
Измерение относительного напряжения.
Значение логической переменной при импульсном кодировании.
Определение «Радиорелейная связь».
Характеристики глобальной сети.
Комплекс аппаратных и программных средств, позволяющих
компьютерам обмениваться данными.
9. Понятие «Протокол межсетевого обмена».
10.Понятия: TCP/IP, маршрутизатор, мост, шлюз, порт, пакет информации,
адресация IP.
11.Уровни модели OSI.
12.Типы маршрутизаторов.
13.Определение «Цифровой сигнал».
14.Понятие частотной модуляции.
15.Какой из видов трафика наиболее чувствителен к задержкам
электрического сигнала?
16.Понятие канала связи.
17.Скорость передачи информации по каналу связи.
18.Устройства, образующие канал связи.
19.Технические средства, связывающие компьютеры в сетях.
20.Назначение службы FTP в Интернете.
1.
2.
3.
4.
5.
6.
7.
8.
Операционные системы
1. Основные составляющие информационной безопасности, понятия:
безопасная информационная система, конфиденциальность, доступность,
целостность.
2. Программные атаки на доступность.
3. Угрозы конфиденциальности.
4. Группы проблем безопасности информационных систем.
5. Вероятная оценка величины возможного ущерба, который может понести
владелец информационного ресурса в результате успешно проведенной
атаки.
6. Классификация Угроз.
7. Определение «Реализованная угроза».
8. Типы угроз.
9. Угрозы, ограничивающиеся, либо пассивным чтением данных или
мониторингом системы, либо включать в себя активные действия.
10.Определите, к какому виду угроз относится «Подслушивание» внутри
сетевого трафика.
11.Определите, к какому виду угроз относится разрушение системы с
помощью программ-вирусов.
12.Определение «Нелегальные действия легального пользователя»
13.Меры предотвращения доступа к сети нежелательных лиц.
14.Назначение идентификаторов и паролей.
15.Реализация аудита в операционных системах.
16.Свойства безопасной информационной системы.
17.Компоненты сетевой безопасности
18.Определение «Аутентификация»
19.Перечень биохарактеристик аутентифицируемого.
20.Программы, разрушающие систему информационной безопасности.
Электроника и схемотехника
1. Определить диоды, работающие в режиме электрического пробоя.
2. Маркировка интегральной микросхемы.
3. Определить, в каком случае коэффициент усиления по мощности
биполярного транзистора меньше или равен 1.
4. Причины завала амплитудно-частотной характеристики УНЧ в области
низких частот.
5. Определить, какое электронное устройство имеет два устойчивых
состояния.
6. Определить цель последовательного включения выпрямительных диодов.
7. Определить, какое свойство p-n переходов используют в варикапах.
8. Определить, какой пробой опасен для p-n-перехода.
9. Определить, у какого транзистора входное сопротивление максимально.
10.Определить влияние примесных зон на процесс образования пар
свободных носителей заряда в полупроводниках.
11.Определить, в каком случае разрешенный энергетический уровень в
атоме расщепляется на большее количество уровней.
12.Определить влияние дефектов кристаллической решетки на
проводимость кристалла.
13.Свойства схемы ОК – эмиттерного повторителя.
14.Условие самовозбуждения автогенератора гармонических колебаний.
15.Определить, в каком направлении включается эмиттерный и
коллекторный p-n-переходы биполярного транзистора.
16.Определить, каково соотношение величины обратного тока p-n- перехода
и прямого тока.
17.Определить, в каких режимах находятся транзисторы VT1 и VT2 в
устойчивых состояниях триггера на транзисторах.
18.Определить, как измениться скважность q если увеличить длительность
паузы между импульсами.
19.Определить, какие микросхемы могут быть изготовлены без навесных
элементов.
20.Определить коэффициент усиления по мощности трехкаскадного
усилителя в децибелах, если каждый каскад обеспечивает десятикратное
усиление по напряжению.
Основы алгоритмизации и программирования
1. Определение «Алгоритма», свойства алгоритма.
2. Определение понятия « Алгоритмизация».
3. Определить, какое действие предполагает детализация алгоритма.
4. Способы представления алгоритма.
5. Классификация операторов.
6. Основные алгоритмические конструкции.
7. Определение понятия «Система программирования»
Понятие приоритета операций.
9. Определить, что связывает элементы массива.
10. Основные этапы проектирования задачи на ЭВМ.
11. Состав арифметических выражений.
12. Основные типы ошибок в алгоритмах.
13. Определение рекурсивной функции.
14. Определить, что используется при объявлении массива для того чтобы
сделать программу более масштабируемой.
15. Термин, обозначающий процесс упорядочивания элементов массива.
16. Операция инкримента.
17. Логические основы алгоритмизации.
18. Определение «Язык Ассемблера»
19. Тип переменных.
20. Основные этапы процесса компиляции.
8.
Базы данных
1. Определение «Предметная область».
2. Понятия: система обработки данных, система управления базами данных.
3. Определить, какие функции выполняет СУБД по отношению: к данным,
к метаданным.
4. Определить, какие модели данных позволяют поддерживать
произвольные структуры данных.
5. Определить, какая архитектура СУБД лучше всего подходит для создания
компактного программного продукта.
6. Определить, какая архитектура СУБД лучше подходит для большого
количества клиентов, работающих с базой данных.
7. Уровни проектирования СОД.
8. Основные этапы разработки простых СОД.
9. Определение «Репликация».
10. Определить, где лучше всего может быть реализована безопасность
данных
11. Назначение диаграммы Бахмана.
12. Системы эффективно реализующие произвольные запросы к базе данных.
13. Основные уровни абстракции.
14. Порядок действий при проектировании БД.
15. Основные составные части клиент - серверной архитектуры.
16. Виды связей сущностей.
17. Виды связи в реляционных СУБД.
18. Определение «Внешний ключ».
19. Определение понятия «Реляционная алгебра»
20. Унарные операции в реляционной алгебре.
ПМ.01 Эксплуатация подсистем безопасности автоматизированных систем
Объект защиты информации.
Активные методы защиты информации.
Мероприятия по выявлению технических каналов утечки информации.
Понятие жизненного цикла АИС, основные стадии жизненного цикла
АИС.
5. Модели жизненного цикла АИС.
6. Этапы построения комплексной системы защиты информации
7. Причины несанкционированного доступа к информации
8. Периодичность проведения контроля за эффективностью работы средств
защиты информации.
9. Процессы функционирования средства технической разведки.
10.Определение «Семантическая информация»
11.Источники функциональных сигналов.
12.Отличительные признаки объектов, содержащих информацию
13.Характерные уязвимости АС предпрятия.
1.
2.
3.
4.
14.Комплексные системы защиты информации в сетях.
15.Определение понятия «Ядро»
16.Классификация вирусов.
17.Понятие активного перехвата информации.
18.Способ несанкционированного доступа к информации, заключающийся в
отыскании участков программ, имеющих ошибку или неудачную логику
построения.
19.Чем вызваны искусственные угрозы информационной безопасности?
20.Классификация удаленных атак.
ПМ. 02 Применение программно-аппаратных средств обеспечения
информационной безопасности в автоматизированных системах
1. Определение «Криптосистема с секретным ключом».
2. Свойства хеш – функции.
3. Назначение Алгоритма RSA, алгоритмы, относящиеся к симметричным
криптосистемам.
4. Сфера применения кода аутентичности сообщения.
5. Основные методы шифрования, устройства, реализующие методы
шифрования.
6. Классификация шифров.
7. Достоинства Блочных шифров.
8. Стандарт шифрования ГОСТ 28147-89
9. Методы защиты от НСД.
10.Свойства информации.
11.Определения понятия «Несанкционированный доступ»
12.Виды защиты информации
13.Основные аппаратные средства защиты информации
14.Составные части ГПСЧ Fortuna.
15.Определение понятия «Верификация».
16.Модели программных закладок.
17.Определение «Сигнатура»
18.Исходные данные для классификации АС
19.Классы защищенности АС
20.Способы реализации распределения ключей между пользователями
компьютерной сети
2. Профессиональное задание
Профессиональное задание предусматривает выполнение участниками
Всероссийской олимпиады комплексного задания на обеспечение безопасности
персональных данных в информационной системе, проведение анализа
стойкости алгоритма хеширования MD5.
Ситуация 1. «Обеспечение безопасности персональных данных в
информационной системе»
В ОАО «Газавтоматизация», которое занимается разработкой и
производством оборудования для добычи газа, имеется база персональных
данных о 1800 сотрудниках. В этой базе содержится информация о
паспортных данных работников, их семейном положении, профессиональных
навыках (квалификация, разряд), сведения о высшем образовании работников.
Информационная
система
предприятия
состоит
из
локальной
вычислительной сети, в состав которой входит 100 единиц персональных
компьютеров, и сервера с СУБД, находящегося в отделе кадров, и имеет
одноточечный выход в Интернет. Локальная сеть развернута в пределах
одного здания. Доступ к базе данных имеют все сотрудники организации,
которые имеют возможность выполнять чтение и поиск записей в ней.
Беспроводные технологии передачи данных и технологии виртуализации
в ЛВС не используются. Данные в базе не обезличиваются. Сведения из БД
без
предварительной
обработки
сторонним
пользователям
не
предоставляются.
Согласно статье 19 Закона «О персональных данных» требуется
обеспечить безопасность персональных данных при их обработке в
информационной системе.
В соответствии с ситуацией участникам олимпиады предлагается:
- определить уровень защищенности персональных данных, учитывая, что
угрозы, связанные с наличием не декларированных возможностей в системном
и прикладном программном обеспечении, неактуальны для данной
информационной системы;
- составить перечень требований, которые необходимо выполнить для
обеспечения определенного в п.1 уровня защищенности персональных
данных;
- составить общий (предварительный) список угроз безопасности, связанных с
несанкционированным доступом к персональным данным в данной
информационной системе;
- определить актуальность угроз безопасности из предварительного списка,
показатель опасности угроз, связанных с несанкционированным доступом,
считать низким;
- определить базовый набор мер защиты информации для определенного в п.1
уровня защищенности персональных данных.
Для выполнения заданий Ситуации 1 участникам Всероссийской олимпиады
необходимо использовать следующие нормативно-правовые документы:
1. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных».
2. Базовая модель угроз безопасности персональных данных при их обработке
в ИСПДн, утверждена ФСТЭК 15.02.2008 г.
3. Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных
данных», утверждена ФСТЭК 14.02.08 г.
4. Постановление Правительства Российской Федерации от 21 марта 2012 г. №
211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных».
5. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
6. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных».
7. Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты
информации в государственных информационных системах».
8. Приказ ФСБ РФ № 378 от 10.07.2014 «Об утверждении состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах
персональных
данных
с
использованием
средств
криптографической защиты информации, необходимых для выполнения
установленных правительством РФ требований к защите персональных
данных для каждого из уровней защищенности".
9. Постановление Правительства № 911 от 6 сентября 2014 г. «О внесении
изменений в перечень мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми
актами,
операторами,
являющимися
государственными
или
муниципальными органами».
Ситуация 2. «Анализ стойкости алгоритма хеширования MD5»
Одно из требований ФСТЭК – анализ (контроль) защищенности
информационной системы – подразумевает поиск слабых мест в системе
защиты (в том числе простых паролей). Перед техником по защите информации
службы безопасности ОАО «Газавтоматизация» была поставлена задача
осуществления периодической проверки стойкости используемых паролей,
чтобы не допустить подбора пароля полным перебором (так называемые
bruteforce-атаки - «метод грубой силы») и исключить использование
сотрудниками компании словарных паролей.
В соответствии с ситуацией участникам олимпиады предлагается:
Для перечня хешей (10 паролей) определить исходный пароль, по которому
они были сгенерированы c помощью алгоритма MD5. Пароли состоят из 8 и
менее символов.
Для выполнения задания Ситуации 2 участникам Всероссийской олимпиады
необходимо соблюдать следующую последовательность действий:
1. Распаковать программу John The Ripper
(http://www.openwall.com/john/g/john179j5w.zip).
2. Сохранить хеши в текстовый файл.
3. Сформировать команду для запуска программы John The Ripper в режиме
полного перебора (brute-force).
4. Все найденные пароли записать на листе ответов с указанием
соответствующего номера хеша.
3. Перечень используемого оборудования, технических средств и
программных продуктов.
Для выполнения заданий используется компьютерные классы,
оборудованные ПЭВМ в конфигурации не менее, чем: процессор Pentium IV 3
ГГц, ОЗУ 2 Гбайта, НЖМД 200 Гбайт.
Используются программные продукты:
1. Операционные системы: Ubuntu Linux, Windows XP, Windows 7.
2. Пакеты программ Microsoft Office 2010, OpenOffice.
3. Информационные системы «Гарант», «Консультант+».
4. Средства построения виртуальных машин VMWare Player.
5. Свободно распространяемое средство анализа защищенности John The
Ripper (http://www.openwall.com/john/g/john179j5w.zip).
4. Рекомендуемая литература
Основная литература
1. Бойкова О. Персональные данные. Обработка, использование и защита. М.:
Пашков дом, 2012. – 120 с.
2. Голицына О.Л.., Партыка Т.Л., Попов И.И. Программное обеспечение:
Учеб. пособие.- 4-е изд., перераб. и доп.- М.: Форум: ИНФРА-М, 2013.448 с.
3. Голицына О.Л.., Попов И.И. Основы алгоритмизации и программирования:
Учеб. пособие.- 5-е изд., перераб. и доп.- М.: Форум: ИНФРА-М, 2013.432 с.
4. Голицына О.Л.., Попов И.И. Программирование на языках высокого
уровня: Учеб. пособие.- М.: Форум: ИНФРА-М, 2013.- 496 с.
5. Гребенюк, Е. И. Технические средства информатизации: Учебник /Е. И.
Гребенюк, Н. А. Гребенюк. – 6-е изд. – М.: Академия, 2011. – 352 с.
6. Губенков А.А. Информационная безопасность вычислительных сетей:
учеб. пособие / А. А. Губенков. - Саратов: СГТУ, 2009. - 88 с.
7. Курило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И.
Управление рисками информационной безопасности.- 2-е изд.- М.: Горячая
линия-Телеком, 2014.- 244 с.
8. Максимов Н.В. Технические средства информатизации.- М.: Форум:
ИНФРА-М, 2015.-608 с.
9. Максимов, Н. В. Архитектура ЭВМ и вычислительные системы : Учебник /
Н. В. Максимов, И. И. Попов, Т. П. Партыка. – 4-е изд. – М.: ФОРУМ,
2012. – 512 с.
10.Мельников Д. Информационная безопасность открытых систем.- М.:
Форум, 2013.- 441 с.
11.Мельников В.П., Клейменов С.А., Петраков А.М. Информационная
безопасность: Учеб. Пособие для сред. проф. образ.- М.: Академия, 2012.336 с.
12.Олифер, В. Г. Компьютерные сети: Принципы, технологии, протоколы /В.
Г. Олифер, Н. А. Олифер. – 4-е изд. – СПб. : Питер, 2010. – 180 с.
13.Партыка, Т. Л. Операционные системы, среды и оболочки : учеб. пособие /
Т. Л. Партыка, И. И. Попов. – М. : ФОРУМ, 2013. - 560 с.
14.Северин В. Правовая защита информации в коммерческих организациях.
М.: Academia, 2009. – 224 с.
15.Синатаров С.В. Пакеты прикладных программ: Учебное пособие.- М.:
Альфа-М, 2012.- 256 с.
16.Таненбаум, Э. С. Компьютерные сети / Э. С. Таненбаум, Д. Уэзеролл. – 5-е
изд. – СПб. : Питер, 2012. – 230 с.
Дополнительная литература
1. Алгоритмы категорирования персональных данных для систем
автоматизированного проектирования баз данных информационных систем
/ Благодаров А. и др. М.: Горячая Линия - Телеком, 2013. – 116 с.
2. Безбогов А.А., Яковлев А.В., Мартемьянов Ю.Ф. Безопасность
операционных систем. М.: Гелиос АРВ, 2008.
3. Борисов М.А. Особенности защиты персональных данных в трудовых
отношениях. (Гриф УМО по дополнительному профессиональному
образованию). М.: Либроком, 2012. – 224 с.
4. Бэндл Д. Защита и безопасность в сетях Linux. –СПб.: Питер-пресс, 2001. –
480с.
5. Галицкий А.В. Защита информации в сети – анализ технологий и синтез
решений. – М.: ДМК Пресс, 2004. – 616 с.
6. Губенков А.А., Байбурин В.Б. Информационная безопасность: Учеб.
пособие. – М.: ЗАО «Новый издательский дом», 2005. – 128 с.
7. Граннеман С. Linux. Карманный справочник. М: Вильямс, 2010. – 416 с.
8. Девякин П.Н. Модели безопасности компьютерных систем: Учеб. Пособие
для вузов.- М.: Академия, 2005.- 144 с.
9. Дейтел Х.М., Дейтел П.Дж., Чофнес Д.Р. Операционные системы. Основы
и принципы: Третье издание. М.: ООО «Бином-Пресс», 2006 г., 1024 с.
10.Защита персональных данных в организациях здравоохранения / Сабанов
А. и др. М.: Горячая Линия - Телеком, 2012. – 206 с.
11.Калабеков Б.А. Цифровые устройства и микропроцессорные системы:
Учебник для техникумов связи.- 2-е изд., перераб. и доп.- М.: Горячая
линия- Телеком, 2007.- 336 с.
12.Колисниченко Д.Н. Linux. Полное руководство. М.: Изд-во "Наука и
технологии", 2006. – 777с.
13.Корт С.С. Теоретические основы защиты информации: Учеб. Пособие.- М.:
Гелиос АРВ, 2004.- 240 с.
14.Лапонина О.Р. Основы сетевой безопасности: криптографические
алгоритмы и протоколы взаимодействия: Учебное пособие.- 2-е изд., испр.М.: Интернет-Университет Информационных технологий; БИНОМ.
Лаборатория знаний, 2007.- 531 с.
15.Мак-Клар С., Скембрей Дж., Куртц Д. Секреты хакеров. Безопасность
сетей – готовые решения, 4-е изд. – М.: Вильямс, 2004. – 656 с.
16.Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации
в автоматизированных системах: Учеб. Пособие для вузов.- 3-е изд., стер.
М.: Горячая линия, 2005.- 147 с.
17.Мельников, В. П. Информационная безопасность и защита информации:
Учебник для студ. высш. учеб. заведений / В. П. Мельников, С. А.
Клейменов, А. М. Петраков ; под. ред. С. А. Клейменова. – 4-е изд., стер. –
М.: Академия, 2008. – 336 с.
18.Мышляева И.М. Цифровая схемотехника: Учеб. Пособие для сред. Проф.
образования.- М.: Академия, 2005.- 400 с.
19.Норткатт С. Защита сетевого периметра: наиболее полное руководство. –
М.: DiaSoft, 2004. – 672с.
20.Платонов, В. В. Программно-аппаратные средства обеспечения
информационной безопасности вычислительных сетей : Учеб. пособие для
студ. высш. учеб. заведений / В. В. Платонов. – М.: Академия, 2006. – 240
с.
21.Романец Ю., Тимофеев П., Шаньгин В. Защита информации в
компьютерных системах и сетях. –М.: Радио и связь, 2001. – 376с.
22. Северин В. Комплексная защита информации на предприятии. М.:
Городец, 2008. – 368 с.
23.Смирнов Ю.А., Соколов С.В., Титов Е.В. Основы микроэлектроники и
микропроцессорной техники: Учебное пособие.- 2-е изд., испр.- СПб.:
Лань, 2013.- 496 с.
24.Скляров И.С. Головоломки для хакера: - СПб.:БХВ-Петербург, 2008.- 320
с.
25.Хатч Б., Ли Дж., Курц Дж. Секреты хакеров. Безопасность Linux —
готовые решения. – М.: Вильямс, 2004. – 704 с.
26.Шагигин В.Ф. Информационная безопасность компьютерных систем и
сетей: Учебное пособие.- М.: Форум: ИНФРА-М, 2008.-416 с.
27. Шумский А.А., Шелупанов А.А. Системный анализ в защите
информации: Учеб.
Пособие для вузов.- М.: Гелиос АРВ, 2005.- 224 с.