Методика аудита и ожидаемые результаты
Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:
Поэтому предлагаемая в статье методика, это своеобразный data minning, в ходе которого будут один и те же данные извлекаться из разных источников, а затем сравниваться, структурироваться и уточняться.
Приведем основные зависимости, которые нам в этом помогут:
- Если есть СКЗИ, то есть и ключевая информация.
- Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
- Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
- Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
- При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
- Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
- Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
- Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
- Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
- При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
- Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
- Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
- Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.
Для добычи первичной информации будем:
Конкретные мероприятия сформулируем позже, а пока рассмотрим конечные данные, которые мы должны получить по итогам аудита:
Перечень СКЗИ:
По каждому элементу перечня фиксируем следующие данные:
- Модель СКЗИ. Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
- Идентификатор экземпляра СКЗИ. Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
- Сведения о сертификате ФСБ России на СКЗИ, включая номер и даты начала и окончания сроков действия.
- Сведения о месте эксплуатации СКЗИ. Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.
Данная информация позволит:
- Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
- Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
- Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
- Формировать регламентную отчетность.
Перечень ключевой информации:
По каждому элементу перечня фиксируем следующие данные:
- Наименование или идентификатор ключевой информации. Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
- Центр управления ключевой системой (ЦУКС), выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
- Физическое лицо, на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
- Формат ключевой информации. Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
- Назначение ключевой информации. Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
- Начало и окончание сроков действия ключевой информации.
- Порядок перевыпуска ключевой информации. То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
- Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация. Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».
Данная информация позволит:
- Отслеживать сроки действия ключевой информации.
- В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
- Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
- Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.
Перечень ключевых документов:
По каждому элементу перечня фиксируем следующие данные:
- Ключевая информация, содержащаяся в ключевом документе.
- Носитель ключевой информации, на который записана ключевая информация.
- Лицо, ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.
Данная информация позволит:
- Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
- Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.
План аудита
Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии.
Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.
| № | Действие | Ожидаемый результат и его использование |
| Источник – все работники компании | ||
| 1 | Делаем рассылку по корпоративной почте всем работниками компании с просьбой сообщить в службу информационной безопасности обо всех используемых ими криптографических ключах | Получаем электронные письма, на базе которых формируем перечень ключевой информации и перечень ключевых документов |
| Источник – Руководитель Службы информационных технологий | ||
| 1 | Запрашиваем перечень ключевой информации и ключевых документов | С некоторой вероятностью Служба ИТ ведет подобные документы, будем использовать их для формирования и уточнения перечней ключевой информации, ключевых документов и СКЗИ |
| 2 | Запрашиваем перечень СКЗИ | |
| 3 | Запрашиваем реестр ПО, установленного на серверах и рабочих станциях | В данном реестре ищем программные СКЗИ и их компоненты. Например, КриптоПРО CSP, Верба-OW, Signal-COM CSP, Сигнатура, PGP, ruToken, eToken, КритоАРМ и др. На базе этих данных формируем перечень СКЗИ. |
| 4 | Запрашиваем перечень работников (вероятно техническая поддержка), помогающих пользователям по использованию СКЗИ и перевыпуску ключевой информации. | Запрашиваем у данных лиц аналогичную информацию, что и у системных администраторов |
| Источник – системные администраторы Службы информационных технологий | ||
| 1 | Запрашиваем перечень отечественных криптошлюзов (VIPNET, Континент, S-terra и др.) | В случаях, когда в компании не реализованы регулярные бизнес процессы управления ИТ и ИБ, подобные вопросы могут помочь вспомнить системным администраторам о существовании того или иного устройства или ПО. Используем данную информацию для получения перечня СКЗИ. |
| 2 | Запрашиваем перечень отечественных программных СКЗИ (СКЗИ МагПро КриптоПакет, VIPNET CSP, CryptonDisk, SecretDisk, …) | |
| 3 | Запрашиваем перечень маршрутизаторов, реализующих VPN для: а) связи офисов компании; б) взаимодействия с контрагентами и партнерами. | |
| 4 | Запрашиваем перечень информационных сервисов, опубликованных в Интернет (доступных из Интернет). Они могу включать: а) корпоративную электронную почту; б) системы обмена мгновенными сообщениями; в) корпоративные web-сайты; г) сервисы для обмена информации с партнерами и контрагентами (extranet); д) системы дистанционного банковского обслуживания (если компания – Банк); е) системы удаленного доступа в сеть компании. Для проверки полноты предоставленных сведений сверяем их с перечнем правил Portforwarding пограничных межсетевых экранов. | Анализируя полученную информацию с высокой вероятностью можно встретить использование СКЗИ и криптоключей. Используем полученные данные для формирования перечня СКЗИ и ключевой информации. |
| 5 | Запрашиваем перечень информационных систем, используемых для сдачи отчетности (Такском, Контур и т. д.) | В данных системах используются ключи квалифицированной электронной подписи и СКЗИ. Через данный перечень формируем перечень СКЗИ, перечень ключевой информации, а также узнаем работников, пользующихся этими системами для формирования перечня ключевых документов. |
| 6 | Запрашиваем перечень систем внутреннего электронного документооборота (Lotus, DIRECTUM, 1С: Документооборот и др.), а также перечень их пользователей. | В рамках внутренних систем электронного документооборота могут встретиться ключи электронной подписи. На основании полученной информации формируем перечень ключевой информации и перечень ключевых документов. |
| 7 | Запрашиваем перечень внутренних удостоверяющих центров. | Средства, используемые для организации удостоверяющих центров, фиксируем в перечне СКЗИ. В дальнейшем будем анализировать содержимое баз данных удостоверяющих центров для выявления ключевой информации. |
| 8 | Запрашиваем информацию об использовании технологий: IEEE 802.1x, WiFiWPA2 Enterprise и систем IP-видеонаблюдения | В случае использования данных технологий мы можем обнаружить в задействованных устройствах ключевые документы. |
| Источник – Руководитель кадровой службы | ||
| 1 | Просим описать процесс приема и увольнение работников. Фокусируемся на вопросе о том, кто забирает у увольняющихся работников ключевые документы | Анализируем документы (обходные листы) на предмет наличия в них информационных систем в которых могут использоваться СКЗИ. |
| № | Действие | Ожидаемый результат и его использование |
| Источник – Руководитель служба расчетов (корреспондентских отношений) | ||
| 1 | Просим предоставить схему организации взаимодействия с платежной системой Банка России. В частности, это будет актуально для Банков, имеющих развитую филиальную сеть, при которой филиалы могут подключать в платежную систему ЦБ напрямую | На базе полученных данных определяем местоположение платежных шлюзов (АРМ КБР, УТА) и перечень задействованных пользователей. Полученную информацию используем для формирования перечня СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем перечень Банков, с которыми установлены прямые корреспондентские отношения, а также просим рассказать кто занимается осуществлением переводов и какие технические средства используются. | Аналогично, как для платежной системы Банка России |
| 3 | Запрашиваем перечень платежных систем, в которых участвует Банк (SWIFT, VISA, MasterCard, НСПК, и т.д), а также месторасположение терминалов для связи | Аналогично, как для платежной системы Банка России |
| Источник – Руководитель подразделения, отвечающего за предоставление дистанционных банковских услуг | ||
| 1 | Запрашиваем перечень систем дистанционного банковского обслуживания. | В указанных системах анализируем использование СКЗИ и ключевой информации. На основании полученных данных формируем перечень СКЗИ и ключевой информации и ключевых документов. |
| Источник – Руководитель подразделения, отвечающего за функционирование процессинга платежных карт | ||
| 1 | Запрашиваем реестр HSM | На базе полученной информации формируем перечень СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем реестр офицеров безопасности | |
| 4 | Запрашиваем информацию о компонентах LMK HSM | |
| 5 | Запрашиваем информацию об организации систем типа 3D-Secure и организации персонализации платежных карт | |
| Источник – Руководители подразделений, выполняющих функции казначейства и депозитария | ||
| 1 | Перечень банков, с которыми установлены корреспондентские отношения и которые участвую в межбанковском кредитовании. | Используем полученную информацию для уточнения ранее полученных данных от службы расчетов, а также фиксируем информацию о взаимодействии с биржами и депозитариями. На базе полученной информации формируем перечень СКЗИ и ключевой информации. |
| 2 | Перечень бирж и специализированных депозитариев с которыми работает Банк | |
| Источник – Руководители служб финансового мониторинга и подразделений ответственных за сдачу отчетности в Банк России | ||
| 1 | Запрашиваем информацию о том, как они отправляют сведения и получают сведения из ЦБ. Перечень задействованных лиц и технических средств. | Информационное взаимодействие с Банком России жестко регламентировано соответствующими документами, например, 2332-У, 321-И и многими другими, проверяем соответствие этим документам и формируем перечни СКЗИ, ключевой информации и ключевых документов. |
| Источник – Главный бухгалтер и работники бухгалтерии, занимающиеся оплатой счетов по внутрибанковским нуждам | ||
| 1 | Запрашиваем информацию, о том, как происходит подготовка и сдача отчетности в налоговые инспекции и Банк России | Уточняем ранее полученные сведения |
| 2 | Запрашиваем реестр платежных документов, для оплаты внутрибанковских нужд | В данном реестре будем искать документы где: 1) в качестве адресатов платежей указаны удостоверяющие центры, специализированные операторы связи, производители СКЗИ, поставщики телекоммуникационного оборудования. Наименования данных компаний можно получить из Реестра сертифицированных СКЗИ ФСБ России, перечня аккредитованных удостоверяющих центров Минкомсвязи и других источников. 2) в качестве расшифровки платежа присутствуют слова: «СКЗИ», «подпись», «токен», «ключевой», «БКИ» и т. д. |
| Источник – Руководители служб по работе с просроченной задолженностью и управления рисков | ||
| 1 | Запрашиваем перечень бюро кредитных историй и коллекторских агентств, с которыми работает Банк. | Совместно со службой ИТ анализируем полученные данные с целью выяснения организации электронного документооборота, на базе чего уточняем перечни СКЗИ, ключевой информации и ключевых документов. |
| Источник – Руководители служб документооборота, внутреннего контроля и внутреннего аудита | ||
| 1 | Запрашиваем реестр внутренних организационно распорядительных документов (приказов). | В данных документах ищем документы, относящиеся к СКЗИ. Для этого анализируем наличие ключевых слов «безопасность», «ответственное лицо», «администратор», «электронная подпись», «ЭП», «ЭЦП», «ЭДО», «АСП», «СКЗИ» и их производных. После чего выявляем перечень работников Банка зафиксированных в этих документах. Проводим с работниками интервью на тему использования ими криптосредств. Полученную информацию отражаем в перечнях СКЗИ, ключевой информации и ключевых документов. |
| 2 | Запрашиваем перечни договоров с контрагентами | Стараемся выявить договора об электронном документообороте, а также договора с компаниями, занимающимися поставной средств защиты информации или оказывающими услуги в этой области, а также компаниями, предоставляющими услуги удостоверяющих центров и услуги сдачи отчетности через Интернет. |
| 3 | Анализируем технологию хранения документов дня в электронном виде | При реализации хранения документов дня в электронном виде обязательно применяются СКЗИ |
| № | Действие | Ожидаемый результат и его использование |
| 1 | Проводим техническую инвентаризацию ПО установленного на компьютерах. Для этого используем: · аналитические возможности корпоративных систем антивирусной защиты (например, Антивирус Касперского умеет строить подобный реестр). · скрипты WMI для опроса компьютеров под управлением ОС Windows; · возможности пакетных менеджеров для опроса *nix систем; · специализированное ПО для инвентаризации. | Среди установленного ПО ищем программные СКЗИ, драйвера для аппаратных СКЗИ и ключевых носителей. На базе полученной информации обновляем перечень СКЗИ. |
| 2 | Осуществляем поиск ключевых документов на серверах и рабочих станциях. Для этого · Logon-скриптами опрашиваем АРМ в домене на предмет наличия сертификатов с закрытыми ключами в профилях пользователей и профилях компьютера. · На всех компьютерах, файловых серверах, гипервизорах ищем файлы с расширениями: crt, cer, key, pfx, p12, pem, pse, jks и др. · На гипервизорах систем виртуализации ищем примонтированные дисководы и образы дискет. | Очень часто ключевые документы представлены в виде файловых ключевых контейнеров, а также контейнерами, хранящимися в реестрах компьютеров, работающих под управлением ОС Windows. Найденные ключевые документы фиксируем в перечне ключевых документов, а содержащеюся в них ключевую информацию в перечне ключевой информации. |
| 3 | Анализируем содержание баз данных удостоверяющих центров | Базы данных удостоверяющих центров обычно содержат в себе данные о выпущенных этим центрами сертификатов. Полученную информацию заносим в перечень ключевой информации и перечень ключевых документов. |
| 4 | Проводим визуальный осмотр серверных комнат и коммутационных шкафов, ищем СКЗИ и аппаратные ключевые носители (токены, дисководы) | В некоторых случаях, невозможно провести инвентаризацию СКЗИ и ключевых документов по сети. Системы могут находится в изолированных сетевых сегментах, либо вообще не иметь сетевых подключений. Для этого проводим визуальный осмотр, в результатах которого должно быть установлены названия и назначение всего оборудования, представленного в серверных. Полученную информацию заносим в перечень СКЗИ и ключевых документов. |
| 5 | Проводим анализ сетевого трафика, с целью выявления информационных потоков, использующих шифрованный обмен | Шифрованные протоколы – HTTPS, SSH и др. позволят нам идентифицировать сетевые узлы на которых выполняются криптографические преобразования, и как следствие содержащие СКЗИ и ключевые документы. |
Термины и определения
В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.
Тест к главе 6
1. Электронная подпись в соответствии с Федеральным законом
от 6 апреля 2022 года № 63-ФЗ «Об электронной подписи» — это:
- 1) информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
- 2) реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата.
- 2. Федеральный закон от 6 апреля 2022 года № 63-ФЗ «Об электронной подписи» регулирует отношения в области использования электронных подписей {несколько верных ответов):
- 1) при оказании государственных и муниципальных услуг;
- 2) совершении гражданско-правовых сделок;
- 3) исполнении государственных и муниципальных функций;
- 4) совершении иных юридически значимых действий.
- 3. Ключ электронной подписи — это:
- 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
- 2) уникальная последовательность символов, предназначенная для создания электронной подписи.
- 4. Ключ проверки электронной подписи — это:
- 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
- 2) уникальная последовательность символов, предназначенная для создания электронной подписи.
- 5. Удостоверяющий центр — это:
- 1) юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;
- 2) осуществляющий обмен информацией в электронной форме государственный орган, орган местного самоуправления или организация;
- 3) лицо, которому в установленном законом порядке выдан сертификат ключа проверки электронной подписи.
- 6. Сертификат ключа проверки электронной подписи — это:
- 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
- 2) электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
- 7. Видами электронных подписей в соответствии с Федеральным законом № 63-ФЗ являются {несколько верных ответов):
- 1) простая электронная подпись;
- 2) простая неквалифицированная электронная подпись;
- 3) усиленная неквалифицированная электронная подпись;
- 4) усиленная квалифицированная электронная подпись.
- 8. Простой электронной подписью в соответствии с Федеральным законом № 63-ФЗ является:
- 1) электронная подпись, для которой ключ проверки электронной подписи указан в квалифицированном сертификате;
- 2) электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
- 3) электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи.
- 9. Неквалифицированной электронной подписью в соответствии с Федеральным законом № 63-ФЗ является электронная подпись, которая(несколько верных ответов):
- 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- 2) позволяет определить лицо, подписавшее электронный документ;
- 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- 4) создается с использованием средств электронной подписи.
- 10. Квалифицированной электронной подписью в соответствии с Федеральным законом № 63-ФЗ является:
- 1) электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
- 2) электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи, а также ключ проверки электронной подписи указан в квалифицированном сертификате;
- 3) электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи.
- 11. В чем отличие рукописной подписи от электронной (несколько верных ответов):
- 1) электронную подпись можно подделать, а рукописную подпись нельзя;
- 2) с помощью электронной подписи можно определить реальное время подписания документа в отличие от рукописной подписи;
- 3) в рукописной подписи содержатся метка времени, а в электронной подписи не содержится;
- 4) рукописную подпись можно удостоверить в отличие от электронной подписи;
- 5) дополнительное свойство электронной подписи — контроль целостности подписанного документа.
- 12. При отправке по электронной почте подписанного ЭЦП документа будет отправлен:
- 1) сам файл и подпись файла;
- 2) только файл;
- 3) только подпись.
- 13. При подписании файла электронной цифровой подписью:
- 1) создается новая версия файла, в которую добавляется подпись;
- 2) все версии файла преобразуются с помощью крипто-алгоритмов ЭЦП;
- 3) к файлу добавляется подпись, при этом сам файл не меняется.
- 14. Разрешается ли редактирование файла, подписанного ЭЦП:
- 1) нет;
- 2) да;
- 3) разрешается только пользователю с полными правами.
- 15. Может ли документ одновременно быть зашифрованным и подписанным ЭЦП:
- 1) да;
- 2) нет.
- 16. При подписании документа ЭЦП используется:
- 1) открытый ключ;
- 2) секретный ключ;
- 3) сертификат ключа.
- 17. При шифровании файла с использованием асимметричной криптосистемы используется:
- 1) открытый ключ;
- 2) секретный ключ;
- 3) открытый и секретный ключи совместно.
- 18. Какой ключ пользователя необходимо использовать при расшифровке файла, зашифрованного с использованием асимметричной криптосистемы:
- 1) секретный;
- 2) открытый.
- 19. Хэш-функции от документов разной длины будут иметь:
- 1) одинаковую длину, определенную стандартом функции хэширования;
- 2) разную длину;
- 3) длину, которая определяется алгоритмом постановки электронной подписи.
- 20. Хэш-функция используется {несколько верных ответов):
- 1) для создания сжатого образа сообщения, применяемого в ЭЦП;
- 2) быстрой передачи данных;
- 3) идентификации отправителя;
- 4) построения кода аутентификации сообщений.
- 21. Какую роль выполняет электронная цифровая подпись:
- 1) роль дополнительной информации о передаваемых данных;
- 2) это данные о времени передачи информации;
- 3) роль обычной подписи в электронных документах;
- 4) роль обратного адреса отправителя.
- 22. При формировании цифровой подписи по классической схеме отправитель {последовательность из двух действий):
- 1) применяет к исходному тексту хэш-функцию;
- 2) применяет к исходному тексту идентификатор отправителя;
- 3) выполняет максимальное сжатие;
- 4) вычисляет ЭЦП по хэш-образу с использованием секретного ключа создания подписи.
- 23. При верификации подписи получатель отделяет цифровую подпись от основного текста и выполняет проверку(последовательность из двух действий):
- 1) дополнительной информации;
- 2) применяет к тексту полученного сообщения хэш-функцию;
- 3) проверяет соответствие хэш-образа сообщения полученной цифровой подписи с использованием открытого ключа проверки подписи;
- 4) проверяет исходный код.
- 24. Первый ФЗ «Об электронной цифровой подписи» в Российской Федерации был принят:
- 1) в 2000 г.;
- 2) в 2002 г.;
- 3) в 2006 г.
Таблица ответов на тест к главе 6
Номер вопроса | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Правильный ответ | 1 | 1,2, 3,4 | 2 | 1 | 1 | 2 | 1,3,4 | 2 |
Номер вопроса | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 |
Правильный ответ | 1,2, 3,4 | 2 | 2,5 | 1 | 3 | 1 | 1 | 2 |
Номер вопроса | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 |
Правильный ответ | 1 | 1 | 1 | 1,4 | 3 | 1,4 | 2,3 | 2 |
Тесты по информационной безопасности с ответами
Тесты по теме – Информационная безопасность (защита информации) с ответами
Правильный вариант ответа отмечен знаком
1) К правовым методам, обеспечивающим информационную безопасность, относятся:
– Разработка аппаратных средств обеспечения правовых данных
– Разработка и установка во всех компьютерных правовых сетях журналов учета действий
Разработка и конкретизация правовых нормативных актов обеспечения безопасности
2) Основными источниками угроз информационной безопасности являются все указанное в списке:
– Хищение жестких дисков, подключение к сети, инсайдерство
Перехват данных, хищение данных, изменение архитектуры системы
– Хищение данных, подкуп системных администраторов, нарушение регламента работы
3) Виды информационной безопасности:
Персональная, корпоративная, государственная
– Клиентская, серверная, сетевая
– Локальная, глобальная, смешанная
4) Цели информационной безопасности – своевременное обнаружение, предупреждение:
несанкционированного доступа, воздействия в сети
– инсайдерства в организации
– чрезвычайных ситуаций
5) Основные объекты информационной безопасности:
Компьютерные сети, базы данных
– Информационные системы, психологическое состояние пользователей
– Бизнес-ориентированные, коммерческие системы
6) Основными рисками информационной безопасности являются:
– Искажение, уменьшение объема, перекодировка информации
– Техническое вмешательство, выведение из строя оборудования сети
Потеря, искажение, утечка информации
7) К основным принципам обеспечения информационной безопасности относится:
Экономической эффективности системы безопасности
– Многоплатформенной реализации системы
– Усиления защищенности всех звеньев системы
8) Основными субъектами информационной безопасности являются:
– руководители, менеджеры, администраторы компаний
органы права, государства, бизнеса
– сетевые базы данных, фаерволлы
9) К основным функциям системы безопасности можно отнести все перечисленное:
Установление регламента, аудит системы, выявление рисков
– Установка новых офисных приложений, смена хостинг-компании
– Внедрение аутентификации, проверки контактных данных пользователей
тест 10) Принципом информационной безопасности является принцип недопущения:
Неоправданных ограничений при работе в сети (системе)
– Рисков безопасности сети, системы
– Презумпции секретности
11) Принципом политики информационной безопасности является принцип:
Невозможности миновать защитные средства сети (системы)
– Усиления основного звена сети, системы
– Полного блокирования доступа при риск-ситуациях
12) Принципом политики информационной безопасности является принцип:
Усиления защищенности самого незащищенного звена сети (системы)
– Перехода в безопасное состояние работы сети, системы
– Полного доступа пользователей ко всем ресурсам сети, системы
13) Принципом политики информационной безопасности является принцип:
Разделения доступа (обязанностей, привилегий) клиентам сети (системы)
– Одноуровневой защиты сети, системы
– Совместимых, однотипных программно-технических средств сети, системы
14) К основным типам средств воздействия на компьютерную сеть относится:
– Компьютерный сбой
Логические закладки («мины»)
– Аварийное отключение питания
15) Когда получен спам по e-mail с приложенным файлом, следует:
– Прочитать приложение, если оно не содержит ничего ценного – удалить
– Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама
Удалить письмо с приложением, не раскрывая (не читая) его
16) Принцип Кирхгофа:
– Секретность ключа определена секретностью открытого сообщения
– Секретность информации определена скоростью передачи данных
Секретность закрытого сообщения определяется секретностью ключа
17) ЭЦП – это:
– Электронно-цифровой преобразователь
Электронно-цифровая подпись
– Электронно-цифровой процессор
18) Наиболее распространены угрозы информационной безопасности корпоративной системы:
– Покупка нелицензионного ПО
Ошибки эксплуатации и неумышленного изменения режима работы системы
– Сознательного внедрения сетевых вирусов
19) Наиболее распространены угрозы информационной безопасности сети:
– Распределенный доступ клиент, отказ оборудования
– Моральный износ сети, инсайдерство
Сбой (отказ) оборудования, нелегальное копирование данных
тест_20) Наиболее распространены средства воздействия на сеть офиса:
– Слабый трафик, информационный обман, вирусы в интернет
Вирусы в сети, логические мины (закладки), информационный перехват
– Компьютерные сбои, изменение админстрирования, топологии
21) Утечкой информации в системе называется ситуация, характеризуемая:
Потерей данных в системе
– Изменением формы информации
– Изменением содержания информации
22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:
Целостность
– Доступность
– Актуальностьl
23) Угроза информационной системе (компьютерной сети) – это:
Вероятное событие
– Детерминированное (всегда определенное) событие
– Событие, происходящее периодически
24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:
– Регламентированной
– Правовой
Защищаемой
25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:
Программные, технические, организационные, технологические
– Серверные, клиентские, спутниковые, наземные
– Личные, корпоративные, социальные, национальные
26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:
Владелец сети
– Администратор сети
– Пользователь сети
27) Политика безопасности в системе (сети) – это комплекс:
Руководств, требований обеспечения необходимого уровня безопасности
– Инструкций, алгоритмов поведения пользователя в сети
– Нормы информационного права, соблюдаемые в сети
28) Наиболее важным при реализации защитных мер политики безопасности является:
– Аудит, анализ затрат на проведение защитных мер
– Аудит, анализ безопасности
Аудит, анализ уязвимостей, риск-ситуаций
Заключение
В данной статье мы рассмотрели теорию и практику проведения аудита СКЗИ и криптоключей. Как вы убедились, процедура эта довольно сложная и трудоемкая, но если к ней грамотно подходить вполне осуществимая. Будем надеется данная статья вам поможет в реальной жизни. Спасибо за внимание, ждем ваших комментариев
