Тест к главе 2 – Криптографические методы защиты информации

Методика аудита и ожидаемые результаты

image

Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:

Поэтому предлагаемая в статье методика, это своеобразный data minning, в ходе которого будут один и те же данные извлекаться из разных источников, а затем сравниваться, структурироваться и уточняться.

Приведем основные зависимости, которые нам в этом помогут:

  1. Если есть СКЗИ, то есть и ключевая информация.
  2. Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
  3. Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
  4. Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
  5. При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
  6. Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
  7. Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
  8. Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
  9. Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
  10. При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
  11. Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
  12. Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
  13. Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.


Для добычи первичной информации будем:

Конкретные мероприятия сформулируем позже, а пока рассмотрим конечные данные, которые мы должны получить по итогам аудита:

Перечень СКЗИ:

По каждому элементу перечня фиксируем следующие данные:

  1. Модель СКЗИ. Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
  2. Идентификатор экземпляра СКЗИ. Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
  3. Сведения о сертификате ФСБ России на СКЗИ, включая номер и даты начала и окончания сроков действия.
  4. Сведения о месте эксплуатации СКЗИ. Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.

Данная информация позволит:

  1. Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
  2. Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
  3. Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
  4. Формировать регламентную отчетность.

Перечень ключевой информации:

По каждому элементу перечня фиксируем следующие данные:

  1. Наименование или идентификатор ключевой информации. Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
  2. Центр управления ключевой системой (ЦУКС), выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
  3. Физическое лицо, на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
  4. Формат ключевой информации. Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
  5. Назначение ключевой информации. Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
  6. Начало и окончание сроков действия ключевой информации.
  7. Порядок перевыпуска ключевой информации. То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
  8. Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация. Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».

Данная информация позволит:

  1. Отслеживать сроки действия ключевой информации.
  2. В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
  3. Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
  4. Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.

Перечень ключевых документов:

По каждому элементу перечня фиксируем следующие данные:

  1. Ключевая информация, содержащаяся в ключевом документе.
  2. Носитель ключевой информации, на который записана ключевая информация.
  3. Лицо, ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.

Данная информация позволит:

  1. Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
  2. Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.

План аудита

Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии.

Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.

Этап 1. Сбор данных с инфраструктурных подразделений компании
ДействиеОжидаемый результат и его использование
Источник – все работники компании
1Делаем рассылку по корпоративной почте всем работниками компании с просьбой сообщить в службу информационной безопасности обо всех используемых ими криптографических ключахПолучаем электронные письма, на базе которых формируем перечень ключевой информации и перечень ключевых документов
Источник – Руководитель Службы информационных технологий
1Запрашиваем перечень ключевой информации и ключевых документовС некоторой вероятностью Служба ИТ ведет подобные документы, будем использовать их для формирования и уточнения перечней ключевой информации, ключевых документов и СКЗИ
2Запрашиваем перечень СКЗИ
3Запрашиваем реестр ПО, установленного на серверах и рабочих станцияхВ данном реестре ищем программные СКЗИ и их компоненты. Например, КриптоПРО CSP, Верба-OW, Signal-COM CSP, Сигнатура, PGP, ruToken, eToken, КритоАРМ и др. На базе этих данных формируем перечень СКЗИ.
4Запрашиваем перечень работников (вероятно техническая поддержка), помогающих пользователям по использованию СКЗИ и перевыпуску ключевой информации.Запрашиваем у данных лиц аналогичную информацию, что и у системных администраторов
Источник – системные администраторы Службы информационных технологий
1Запрашиваем перечень отечественных криптошлюзов (VIPNET, Континент, S-terra и др.)В случаях, когда в компании не реализованы регулярные бизнес процессы управления ИТ и ИБ, подобные вопросы могут помочь вспомнить системным администраторам о существовании того или иного устройства или ПО. Используем данную информацию для получения перечня СКЗИ.
2Запрашиваем перечень отечественных программных СКЗИ (СКЗИ МагПро КриптоПакет, VIPNET CSP, CryptonDisk, SecretDisk, …)
3Запрашиваем перечень маршрутизаторов, реализующих VPN для:
а) связи офисов компании;
б) взаимодействия с контрагентами и партнерами.
4Запрашиваем перечень информационных сервисов, опубликованных в Интернет (доступных из Интернет). Они могу включать:
а) корпоративную электронную почту;
б) системы обмена мгновенными сообщениями;
в) корпоративные web-сайты;
г) сервисы для обмена информации с партнерами и контрагентами (extranet);
д) системы дистанционного банковского обслуживания (если компания – Банк);
е) системы удаленного доступа в сеть компании.
Для проверки полноты предоставленных сведений сверяем их с перечнем правил Portforwarding пограничных межсетевых экранов.
Анализируя полученную информацию с высокой вероятностью можно встретить использование СКЗИ и криптоключей. Используем полученные данные для формирования перечня СКЗИ и ключевой информации.
5Запрашиваем перечень информационных систем, используемых для сдачи отчетности (Такском, Контур и т. д.)В данных системах используются ключи квалифицированной электронной подписи и СКЗИ. Через данный перечень формируем перечень СКЗИ, перечень ключевой информации, а также узнаем работников, пользующихся этими системами для формирования перечня ключевых документов.
6Запрашиваем перечень систем внутреннего электронного документооборота (Lotus, DIRECTUM, 1С: Документооборот и др.), а также перечень их пользователей.В рамках внутренних систем электронного документооборота могут встретиться ключи электронной подписи. На основании полученной информации формируем перечень ключевой информации и перечень ключевых документов.
7Запрашиваем перечень внутренних удостоверяющих центров.Средства, используемые для организации удостоверяющих центров, фиксируем в перечне СКЗИ. В дальнейшем будем анализировать содержимое баз данных удостоверяющих центров для выявления ключевой информации.
8Запрашиваем информацию об использовании технологий: IEEE 802.1x, WiFiWPA2 Enterprise и систем IP-видеонаблюденияВ случае использования данных технологий мы можем обнаружить в задействованных устройствах ключевые документы.
Источник – Руководитель кадровой службы
1Просим описать процесс приема и увольнение работников. Фокусируемся на вопросе о том, кто забирает у увольняющихся работников ключевые документыАнализируем документы (обходные листы) на предмет наличия в них информационных систем в которых могут использоваться СКЗИ.
Читайте также:  Подписать документ с помощью КриптоПРО 5.0 - УЦ АЙТИКОМ

Этап 2. Сбор данных с бизнес-подразделений компании (на примере Банка)

ДействиеОжидаемый результат и его использование
Источник – Руководитель служба расчетов (корреспондентских отношений)
1Просим предоставить схему организации взаимодействия с платежной системой Банка России. В частности, это будет актуально для Банков, имеющих развитую филиальную сеть, при которой филиалы могут подключать в платежную систему ЦБ напрямуюНа базе полученных данных определяем местоположение платежных шлюзов (АРМ КБР, УТА) и перечень задействованных пользователей. Полученную информацию используем для формирования перечня СКЗИ, ключевой информации и ключевых документов.
2Запрашиваем перечень Банков, с которыми установлены прямые корреспондентские отношения, а также просим рассказать кто занимается осуществлением переводов и какие технические средства используются.Аналогично, как для платежной системы Банка России
3Запрашиваем перечень платежных систем, в которых участвует Банк (SWIFT, VISA, MasterCard, НСПК, и т.д), а также месторасположение терминалов для связиАналогично, как для платежной системы Банка России
Источник – Руководитель подразделения, отвечающего за предоставление дистанционных банковских услуг
1Запрашиваем перечень систем дистанционного банковского обслуживания.В указанных системах анализируем использование СКЗИ и ключевой информации. На основании полученных данных формируем перечень СКЗИ и ключевой информации и ключевых документов.
Источник – Руководитель подразделения, отвечающего за функционирование процессинга платежных карт
1Запрашиваем реестр HSMНа базе полученной информации формируем перечень СКЗИ, ключевой информации и ключевых документов.
2Запрашиваем реестр офицеров безопасности
4Запрашиваем информацию о компонентах LMK HSM
5Запрашиваем информацию об организации систем типа 3D-Secure и организации персонализации платежных карт
Источник – Руководители подразделений, выполняющих функции казначейства и депозитария
1Перечень банков, с которыми установлены корреспондентские отношения и которые участвую в межбанковском кредитовании.Используем полученную информацию для уточнения ранее полученных данных от службы расчетов, а также фиксируем информацию о взаимодействии с биржами и депозитариями. На базе полученной информации формируем перечень СКЗИ и ключевой информации.
2Перечень бирж и специализированных депозитариев с которыми работает Банк
Источник – Руководители служб финансового мониторинга и подразделений ответственных за сдачу отчетности в Банк России
1Запрашиваем информацию о том, как они отправляют сведения и получают сведения из ЦБ. Перечень задействованных лиц и технических средств.Информационное взаимодействие с Банком России жестко регламентировано соответствующими документами, например, 2332-У, 321-И и многими другими, проверяем соответствие этим документам и формируем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Главный бухгалтер и работники бухгалтерии, занимающиеся оплатой счетов по внутрибанковским нуждам
1Запрашиваем информацию, о том, как происходит подготовка и сдача отчетности в налоговые инспекции и Банк РоссииУточняем ранее полученные сведения
2Запрашиваем реестр платежных документов, для оплаты внутрибанковских нуждВ данном реестре будем искать документы где:
1) в качестве адресатов платежей указаны удостоверяющие центры, специализированные операторы связи, производители СКЗИ, поставщики телекоммуникационного оборудования. Наименования данных компаний можно получить из Реестра сертифицированных СКЗИ ФСБ России, перечня аккредитованных удостоверяющих центров Минкомсвязи и других источников.
2) в качестве расшифровки платежа присутствуют слова: «СКЗИ», «подпись», «токен», «ключевой», «БКИ» и т. д.
Источник – Руководители служб по работе с просроченной задолженностью и управления рисков
1Запрашиваем перечень бюро кредитных историй и коллекторских агентств, с которыми работает Банк.Совместно со службой ИТ анализируем полученные данные с целью выяснения организации электронного документооборота, на базе чего уточняем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Руководители служб документооборота, внутреннего контроля и внутреннего аудита
1Запрашиваем реестр внутренних организационно распорядительных документов (приказов).В данных документах ищем документы, относящиеся к СКЗИ. Для этого анализируем наличие ключевых слов «безопасность», «ответственное лицо», «администратор», «электронная подпись», «ЭП», «ЭЦП», «ЭДО», «АСП», «СКЗИ» и их производных. После чего выявляем перечень работников Банка зафиксированных в этих документах. Проводим с работниками интервью на тему использования ими криптосредств. Полученную информацию отражаем в перечнях СКЗИ, ключевой информации и ключевых документов.
2Запрашиваем перечни договоров с контрагентамиСтараемся выявить договора об электронном документообороте, а также договора с компаниями, занимающимися поставной средств защиты информации или оказывающими услуги в этой области, а также компаниями, предоставляющими услуги удостоверяющих центров и услуги сдачи отчетности через Интернет.
3Анализируем технологию хранения документов дня в электронном видеПри реализации хранения документов дня в электронном виде обязательно применяются СКЗИ
Этап 3. Технический аудит
ДействиеОжидаемый результат и его использование
1Проводим техническую инвентаризацию ПО установленного на компьютерах. Для этого используем:
· аналитические возможности корпоративных систем антивирусной защиты (например, Антивирус Касперского умеет строить подобный реестр).
· скрипты WMI для опроса компьютеров под управлением ОС Windows;
· возможности пакетных менеджеров для опроса *nix систем;
· специализированное ПО для инвентаризации.
Среди установленного ПО ищем программные СКЗИ, драйвера для аппаратных СКЗИ и ключевых носителей. На базе полученной информации обновляем перечень СКЗИ.
2Осуществляем поиск ключевых документов на серверах и рабочих станциях. Для этого
· Logon-скриптами опрашиваем АРМ в домене на предмет наличия сертификатов с закрытыми ключами в профилях пользователей и профилях компьютера.
· На всех компьютерах, файловых серверах, гипервизорах ищем файлы с расширениями: crt, cer, key, pfx, p12, pem, pse, jks и др.
· На гипервизорах систем виртуализации ищем примонтированные дисководы и образы дискет.
Очень часто ключевые документы представлены в виде файловых ключевых контейнеров, а также контейнерами, хранящимися в реестрах компьютеров, работающих под управлением ОС Windows. Найденные ключевые документы фиксируем в перечне ключевых документов, а содержащеюся в них ключевую информацию в перечне ключевой информации.
3Анализируем содержание баз данных удостоверяющих центровБазы данных удостоверяющих центров обычно содержат в себе данные о выпущенных этим центрами сертификатов. Полученную информацию заносим в перечень ключевой информации и перечень ключевых документов.
4Проводим визуальный осмотр серверных комнат и коммутационных шкафов, ищем СКЗИ и аппаратные ключевые носители (токены, дисководы)В некоторых случаях, невозможно провести инвентаризацию СКЗИ и ключевых документов по сети. Системы могут находится в изолированных сетевых сегментах, либо вообще не иметь сетевых подключений. Для этого проводим визуальный осмотр, в результатах которого должно быть установлены названия и назначение всего оборудования, представленного в серверных. Полученную информацию заносим в перечень СКЗИ и ключевых документов.
5Проводим анализ сетевого трафика, с целью выявления информационных потоков, использующих шифрованный обменШифрованные протоколы – HTTPS, SSH и др. позволят нам идентифицировать сетевые узлы на которых выполняются криптографические преобразования, и как следствие содержащие СКЗИ и ключевые документы.
Читайте также:  Как правильно подписать электронной подписью документ ворд

Термины и определения

image

В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.

Тест к главе 6

1. Электронная подпись в соответствии с Федеральным законом

от 6 апреля 2022 года № 63-ФЗ «Об электронной подписи» — это:

  • 1) информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
  • 2) реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата.
  • 2. Федеральный закон от 6 апреля 2022 года № 63-ФЗ «Об электронной подписи» регулирует отношения в области использования электронных подписей {несколько верных ответов):
  • 1) при оказании государственных и муниципальных услуг;
  • 2) совершении гражданско-правовых сделок;
  • 3) исполнении государственных и муниципальных функций;
  • 4) совершении иных юридически значимых действий.
  • 3. Ключ электронной подписи — это:
  • 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
  • 2) уникальная последовательность символов, предназначенная для создания электронной подписи.
  • 4. Ключ проверки электронной подписи — это:
  • 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
  • 2) уникальная последовательность символов, предназначенная для создания электронной подписи.
  • 5. Удостоверяющий центр — это:
  • 1) юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;
  • 2) осуществляющий обмен информацией в электронной форме государственный орган, орган местного самоуправления или организация;
  • 3) лицо, которому в установленном законом порядке выдан сертификат ключа проверки электронной подписи.
  • 6. Сертификат ключа проверки электронной подписи — это:
  • 1) уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
  • 2) электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
  • 7. Видами электронных подписей в соответствии с Федеральным законом № 63-ФЗ являются {несколько верных ответов):
  • 1) простая электронная подпись;
  • 2) простая неквалифицированная электронная подпись;
  • 3) усиленная неквалифицированная электронная подпись;
  • 4) усиленная квалифицированная электронная подпись.
  • 8. Простой электронной подписью в соответствии с Федеральным законом № 63-ФЗ является:
  • 1) электронная подпись, для которой ключ проверки электронной подписи указан в квалифицированном сертификате;
  • 2) электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
  • 3) электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи.
  • 9. Неквалифицированной электронной подписью в соответствии с Федеральным законом № 63-ФЗ является электронная подпись, которая(несколько верных ответов):
  • 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  • 2) позволяет определить лицо, подписавшее электронный документ;
  • 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  • 4) создается с использованием средств электронной подписи.
  • 10. Квалифицированной электронной подписью в соответствии с Федеральным законом № 63-ФЗ является:
  • 1) электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
  • 2) электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи, а также ключ проверки электронной подписи указан в квалифицированном сертификате;
  • 3) электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи.
  • 11. В чем отличие рукописной подписи от электронной (несколько верных ответов):
  • 1) электронную подпись можно подделать, а рукописную подпись нельзя;
  • 2) с помощью электронной подписи можно определить реальное время подписания документа в отличие от рукописной подписи;
  • 3) в рукописной подписи содержатся метка времени, а в электронной подписи не содержится;
  • 4) рукописную подпись можно удостоверить в отличие от электронной подписи;
  • 5) дополнительное свойство электронной подписи — контроль целостности подписанного документа.
  • 12. При отправке по электронной почте подписанного ЭЦП документа будет отправлен:
  • 1) сам файл и подпись файла;
  • 2) только файл;
  • 3) только подпись.
  • 13. При подписании файла электронной цифровой подписью:
  • 1) создается новая версия файла, в которую добавляется подпись;
  • 2) все версии файла преобразуются с помощью крипто-алгоритмов ЭЦП;
  • 3) к файлу добавляется подпись, при этом сам файл не меняется.
  • 14. Разрешается ли редактирование файла, подписанного ЭЦП:
  • 1) нет;
  • 2) да;
  • 3) разрешается только пользователю с полными правами.
  • 15. Может ли документ одновременно быть зашифрованным и подписанным ЭЦП:
  • 1) да;
  • 2) нет.
  • 16. При подписании документа ЭЦП используется:
  • 1) открытый ключ;
  • 2) секретный ключ;
  • 3) сертификат ключа.
  • 17. При шифровании файла с использованием асимметричной криптосистемы используется:
  • 1) открытый ключ;
  • 2) секретный ключ;
  • 3) открытый и секретный ключи совместно.
  • 18. Какой ключ пользователя необходимо использовать при расшифровке файла, зашифрованного с использованием асимметричной криптосистемы:
  • 1) секретный;
  • 2) открытый.
  • 19. Хэш-функции от документов разной длины будут иметь:
  • 1) одинаковую длину, определенную стандартом функции хэширования;
  • 2) разную длину;
  • 3) длину, которая определяется алгоритмом постановки электронной подписи.
  • 20. Хэш-функция используется {несколько верных ответов):
  • 1) для создания сжатого образа сообщения, применяемого в ЭЦП;
  • 2) быстрой передачи данных;
  • 3) идентификации отправителя;
  • 4) построения кода аутентификации сообщений.
  • 21. Какую роль выполняет электронная цифровая подпись:
  • 1) роль дополнительной информации о передаваемых данных;
  • 2) это данные о времени передачи информации;
  • 3) роль обычной подписи в электронных документах;
  • 4) роль обратного адреса отправителя.
  • 22. При формировании цифровой подписи по классической схеме отправитель {последовательность из двух действий):
  • 1) применяет к исходному тексту хэш-функцию;
  • 2) применяет к исходному тексту идентификатор отправителя;
  • 3) выполняет максимальное сжатие;
  • 4) вычисляет ЭЦП по хэш-образу с использованием секретного ключа создания подписи.
  • 23. При верификации подписи получатель отделяет цифровую подпись от основного текста и выполняет проверку(последовательность из двух действий):
  • 1) дополнительной информации;
  • 2) применяет к тексту полученного сообщения хэш-функцию;
  • 3) проверяет соответствие хэш-образа сообщения полученной цифровой подписи с использованием открытого ключа проверки подписи;
  • 4) проверяет исходный код.
  • 24. Первый ФЗ «Об электронной цифровой подписи» в Российской Федерации был принят:
  • 1) в 2000 г.;
  • 2) в 2002 г.;
  • 3) в 2006 г.
Читайте также:  Как установить корневой сертификат удостоверяющего центра

Таблица ответов на тест к главе 6

Номер вопроса

1

2

3

4

5

6

7

8

Правильный ответ

1

1,2, 3,4

2

1

1

2

1,3,4

2

Номер вопроса

9

10

11

12

13

14

15

16

Правильный ответ

1,2, 3,4

2

2,5

1

3

1

1

2

Номер вопроса

17

18

19

20

21

22

23

24

Правильный ответ

1

1

1

1,4

3

1,4

2,3

2

Тесты по информационной безопасности с ответами

Banggood WW

Тесты по теме – Информационная безопасность (защита информации) с ответами

Правильный вариант ответа отмечен знаком

1) К правовым методам, обеспечивающим информационную безопасность, относятся:

– Разработка аппаратных средств обеспечения правовых данных

– Разработка и установка во всех компьютерных правовых сетях журналов учета действий

Разработка и конкретизация правовых нормативных актов обеспечения безопасности

2) Основными источниками угроз информационной безопасности являются все указанное в списке:

– Хищение жестких дисков, подключение к сети, инсайдерство

Перехват данных, хищение данных, изменение архитектуры системы

– Хищение данных, подкуп системных администраторов, нарушение регламента работы

3) Виды информационной безопасности:

Персональная, корпоративная, государственная

– Клиентская, серверная, сетевая

– Локальная, глобальная, смешанная

4) Цели информационной безопасности – своевременное обнаружение, предупреждение:

несанкционированного доступа, воздействия в сети

– инсайдерства в организации

– чрезвычайных ситуаций

5) Основные объекты информационной безопасности:

Компьютерные сети, базы данных

– Информационные системы, психологическое состояние пользователей

– Бизнес-ориентированные, коммерческие системы

6) Основными рисками информационной безопасности являются:

– Искажение, уменьшение объема, перекодировка информации

– Техническое вмешательство, выведение из строя оборудования сети

Потеря, искажение, утечка информации

7) К основным принципам обеспечения информационной безопасности относится:

Экономической эффективности системы безопасности

– Многоплатформенной реализации системы

– Усиления защищенности всех звеньев системы

8) Основными субъектами информационной безопасности являются:

– руководители, менеджеры, администраторы компаний

органы права, государства, бизнеса

– сетевые базы данных, фаерволлы

9) К основным функциям системы безопасности можно отнести все перечисленное:

Установление регламента, аудит системы, выявление рисков

– Установка новых офисных приложений, смена хостинг-компании

– Внедрение аутентификации, проверки контактных данных пользователей

тест 10) Принципом информационной безопасности является принцип недопущения:

Неоправданных ограничений при работе в сети (системе)

– Рисков безопасности сети, системы

– Презумпции секретности

11) Принципом политики информационной безопасности является принцип:

Невозможности миновать защитные средства сети (системы)

– Усиления основного звена сети, системы

– Полного блокирования доступа при риск-ситуациях

12) Принципом политики информационной безопасности является принцип:

Усиления защищенности самого незащищенного звена сети (системы)

– Перехода в безопасное состояние работы сети, системы

– Полного доступа пользователей ко всем ресурсам сети, системы

13) Принципом политики информационной безопасности является принцип:

Разделения доступа (обязанностей, привилегий) клиентам сети (системы)

– Одноуровневой защиты сети, системы

– Совместимых, однотипных программно-технических средств сети, системы

14) К основным типам средств воздействия на компьютерную сеть относится:

– Компьютерный сбой

Логические закладки («мины»)

– Аварийное отключение питания

15) Когда получен спам по e-mail с приложенным файлом, следует:

– Прочитать приложение, если оно не содержит ничего ценного – удалить

– Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама

Удалить письмо с приложением, не раскрывая (не читая) его

16) Принцип Кирхгофа:

– Секретность ключа определена секретностью открытого сообщения

– Секретность информации определена скоростью передачи данных

Секретность закрытого сообщения определяется секретностью ключа

17) ЭЦП – это:

– Электронно-цифровой преобразователь

Электронно-цифровая подпись

– Электронно-цифровой процессор

18) Наиболее распространены угрозы информационной безопасности корпоративной системы:

– Покупка нелицензионного ПО

Ошибки эксплуатации и неумышленного изменения режима работы системы

– Сознательного внедрения сетевых вирусов

19) Наиболее распространены угрозы информационной безопасности сети:

– Распределенный доступ клиент, отказ оборудования

– Моральный износ сети, инсайдерство

Сбой (отказ) оборудования, нелегальное копирование данных

тест_20) Наиболее распространены средства воздействия на сеть офиса:

– Слабый трафик, информационный обман, вирусы в интернет

Вирусы в сети, логические мины (закладки), информационный перехват

– Компьютерные сбои, изменение админстрирования, топологии

21) Утечкой информации в системе называется ситуация, характеризуемая:

Потерей данных в системе

– Изменением формы информации

– Изменением содержания информации

22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:

Целостность

– Доступность

– Актуальностьl

23) Угроза информационной системе (компьютерной сети) – это:

Вероятное событие

– Детерминированное (всегда определенное) событие

– Событие, происходящее периодически

24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:

– Регламентированной

– Правовой

Защищаемой

25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:

Программные, технические, организационные, технологические

– Серверные, клиентские, спутниковые, наземные

– Личные, корпоративные, социальные, национальные

26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:

Владелец сети

– Администратор сети

– Пользователь сети

27) Политика безопасности в системе (сети) – это комплекс:

Руководств, требований обеспечения необходимого уровня безопасности

– Инструкций, алгоритмов поведения пользователя в сети

– Нормы информационного права, соблюдаемые в сети

28) Наиболее важным при реализации защитных мер политики безопасности является:

– Аудит, анализ затрат на проведение защитных мер

– Аудит, анализ безопасности

Аудит, анализ уязвимостей, риск-ситуаций

AliExpress RU&CIS NEW

Заключение

В данной статье мы рассмотрели теорию и практику проведения аудита СКЗИ и криптоключей. Как вы убедились, процедура эта довольно сложная и трудоемкая, но если к ней грамотно подходить вполне осуществимая. Будем надеется данная статья вам поможет в реальной жизни. Спасибо за внимание, ждем ваших комментариев

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector