Professional Documents
Culture Documents
Экзамен по Киберправу
Экзамен по Киберправу
65. Організація захисту інформації з обмеженим доступом від витоку каналами побічних
електромагнітних випромінювань та наводок.
Технічному підлягає інформація з обмеженим доступом, носіями якої є поля і сигнали, що утворюються в
результаті роботи технічних засобів пересилання, оброблення, зберігання, відображення інформації (ТЗПІ),
а також допоміжних технічних засобів і систем (ДТЗС).
Роботи із захисту інформації з обмеженим доступом від витоку каналами ПЕМВН складаються з
організаційних, підготовчих технічних, технічних заходів і контролю за виконанням заходів технічного
захисту інформації (ТЗІ) та за ефективністю цього захисту.
Заходи щодо ТЗІ і контролю за його ефективністю можуть виконуватись організаціями, що мають
відповідну ліцензію на право надання послуг у галузі ТЗІ.
На етапі проведення організаційних заходів потрібно :
o визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту;
o обґрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної
або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності ІзОД чи її
витоку технічними каналами;
o установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік
інформації з обмеженим доступом;
o визначити перелік технічних засобів, що повинні використовуватися як ОТЗ;
o визначити технічні засоби, застосування яких не обґрунтовано службовою та виробничою
необхідністю та які підлягають демонтажу;
o визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у
приховану каналізацію кабелів, кіл і проводів, що уходять за межі виділених приміщень;
o визначити системи, що підлягають демонтажу, потребують переобладнання кабельних мереж, кіл
живлення, заземлення або установлення в них захисних пристроїв.
66. Організація захисту інформації з обмеженим доступом у засобах обчислювальної техніки,
автоматизованих системах і мережах від витоку каналами побічних електромагнітних
випромінювань і наводок.
67. Вимоги щодо порядку категоріювання об’єктів інформаційної діяльності.
Категоріювання – сукупність дій зі встановлення категорії об’єкта;
Категорія (об’єкта) – класифікаційна характеристика важливості об’єкта, за якою визначається
необхідний рівень захисту інформації, що обробляється технічними засобами та/або озвучується на цьому
об’єкті.
Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься інформація з
обмеженим доступом, що не становить державної таємниці, підлягають обов’язковому категоріюванню.
Категоріювання може бути первинним, черговим або позачерговим.
Відповідальність за своєчасність категоріювання та правильність встановлення категорії об’єкта
покладається на керівника установи-власника (розпорядника, користувача) об’єкта.
Порядок категоріювання об’єктів:
Категоріювання об’єктів здійснює їх власник (розпорядник, користувач). Категоріювання об’єктів
проводиться комісією з категоріювання установи-власника (розпорядника, користувача) об’єкта.
Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься
технічними засобами та/або озвучуватиметься на об’єкті, та з урахуванням цього ступеня встановлює
категорію об’єкта. Встановлена категорія зазначається в Акті категоріювання об’єкта, який складається
комісією з категоріювання за результатами її роботи.
Акт категоріювання об’єкта є чинним протягом 5 років з моменту проведення категоріювання, якщо не
змінилась ознака, за якою була встановлена категорія об’єкта.
68. Основні положення щодо створення комплексу технічного захисту інформації.
Створення комплексу ТЗІ передбачає проведення організаційних, інженерних і технічних заходів на ОІД, а
саме:
• озвучення ІзОД (при проведенні нарад, під час показів зі звуковим супроводженням кіно- і
відеофільмів тощо);
• здійснення обробки ІзОД технічними засобами (збирання, введення, записування, перетворення,
зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання ІзОД тощо);
• обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів
тощо.
Створення комплексу ТЗІ на ОІД передбачає такі основні етапи:
• виконання передпроектних робіт (1 етап);
• розроблення та впровадження заходів із захисту інформації (2 етап);
• випробування та атестація комплексу ТЗІ (3 етап).
69. Основні напрями технічного захисту інформації в автоматизованих системах та їх зміст.
Основні напрями ТЗІ в АС:
захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку
каналами побічних електромагнітних випромінювань і наводів)
захист АС і оброблюваної інформації від несанкціонованого доступу
70. Зміст проблеми захисту інформації від несанкціонованого доступу в автоматизованих системах.
Проблеми захисту інформації від НСД в АС:
• забезпечення і оцінка захищеності інформації в АС, що функціонують
• реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується
обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза
конкретним середовищем експлуатації
Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних
етапах обробки інформації і в усіх режимах функціонування. Життєвий цикл АС включає розробку,
впровадження, експлуатацію та виведення з експлуатації.
71. Поняття та зміст несанкціонованого доступу до автоматизованих систем і оброблюваної
інформації. Способи несанкціонованого доступу.
Під несанкціонованим доступом слід розуміти доступ до інформації з використанням засобів, включених
до складу комп'ютерної системи, що порушує встановлені правила розмежування доступу.
Несанкціонований доступ може здійснюватися як з використанням штатних засобів, тобто сукупності
програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або
системним адміністратором в процесі експлуатації, що входять у затверджену конфігурацію КС, так і з
використанням програмно-апаратних засобів, включених до складу КС зловмисником.
До основних способів НСД в АС відносяться:
• безпосереднє звертання до об'єктів з метою одержання певного виду доступу;
• створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів
захисту;
• модифікація засобів захисту, що дозволяє здійснити НСД;
• впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і
дозволяють здійснити НСД.
72. Основні етапи створення комплексних систем захисту інформації в інформаційно-
телекомунікаційних системах та їх зміст.
Етап І. Формування загальних вимог до КСЗІ:
• обґрунтування необхідності створення КСЗ;
• обстеження середовищ функціонування ІТС;
• формування завдання на створення КСЗІ.
Етап ІІ. Розробка політики безпеки інформації в ІТС
• вибір варіанту КСЗІ;
• оформлення політики безпеки.
Етап ІІІ. Розробка технічного завдання на створення КСЗІ.
Етап ІV. Розробка проекту КСЗІ:
• ескізний проект КСЗІ (принципові конструктивні рішення);
• технічний проект КСЗІ (остаточні рішення щодо проектування);
• розробка проектних рішень КСЗІ;
• розробка документації на КСЗІ;
• робочий проект КСЗІ.
Етап V. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС:
• підготовка КСЗІ до введення в дію;
• навчання користувачів;
• пусконалагоджувальні роботи;
• спеціальні дослідження та інструментальні вимірювання рівня ПЕМВН;
• попередні випробування;
• дослідна експлуатація;
• державна експертиза КСЗІ.
Етап VІ. Супроводження КСЗІ.
73. Організація діяльності служби захисту інформації в автоматизованій системі.
НД ТЗІ 1.4-001-2000 встановлює вимоги до структури та змісту нормативного документу, що регламентує
діяльність служби захисту інформації в автоматизованій системі – “Положення про службу захисту
інформації в автоматизованій системі”.
В загальному випадку Положення про службу захисту інформації в автоматизованій системі повинно
складатись з таких розділів:
• загальні положення;
• завдання служби захисту інформації;
• функції служби захисту інформації;
• повноваження і відповідальність служби захисту інформації;
• взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми
підприємствами, установами, організаціями;
• штатний розклад та структура служби захисту інформації;
• організація робіт служби захисту інформації;
• фінансування служби захисту інформації.
Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту
інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням.
На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування,
розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ,
контролю за станом захищеності інформації в АС.
Облік здійснюється у відповідному журналі обліку засобів КЗІ та носіїв ключової інформації до них. Облік
програмних засобів КЗІ здійснюється за формулярами на кожну ПЕОМ, на якій встановлено
(проінстальовано) такий засіб. Журнал обліку повинен містити такі відомості:
• назва засобу КЗІ та його заводський номер;
• тип носія ключової інформації та його обліковий номер;
• акт організаційно-розпорядчого характеру щодо введення в експлуатацію засобів КЗІ;
• дата взяття на облік засобів КЗІ та носіїв ключової інформації;
• для програмних засобів КЗІ - інвентарні номери ПЕОМ, на яких встановлено (проінстальовано)
програмні засоби КЗІ;
• прізвище, ім’я та по батькові особи, відповідальної за облік засобів КЗІ та носіїв ключової
інформації, підпис;
• прізвище, ім’я та по батькові особи, що отримала засіб КЗІ та носії ключової інформації (дата,
підпис);
• відмітка про повернення засобу КЗІ та носіїв ключової інформації (дата, підпис відповідальної
особи);
• відмітка про знищення засобів КЗІ та носіїв ключової інформації (номер акта, дата, підпис
відповідальної особи).
Одиницею обліку кожного екземпляра засобу КЗІ є:
• для апаратних та апаратно-програмних засобів - конструктивно закінчений технічний засіб;
• для програмних засобів - інсталяційна дискета, компакт-диск (CD, DVD) тощо;
• ПЕОМ користувачів, на яких встановлено (проінстальовано) програмні засоби КЗІ.
Облік засобів КЗІ та носіїв ключової інформації до них в організації забезпечується відповідальними
особами, визначеними відповідними актами організаційно-розпорядчого характеру цієї організації.
Збереження засобів КЗІ, носіїв ключової інформації забезпечується відповідальною особою,
функціональними обов’язками якої це визначено.
Особливості обліку засобів КЗІ, зазначених в пункті 3 розділу I цього Положення, визначаються
Національним банком України.
91. Моделі розгортання технології хмарних обчислень.
«Приватна хмара» – інфраструктура, призначена для використання однією організацією, що включає
кілька споживачів , можливо також клієнтами і підрядниками даної організації. Приватна хмара може
перебувати у власності, управлінні та експлуатації як самої організації, так і третьої сторони (або будь-якої
їх комбінації), і вона може фізично існувати як усередині, так і поза юрисдикцією власника.
“Публічна хмара” (англ. – public cloud) – інфраструктура, призначена для вільного використання широкою
спільнотою. Публічна хмара може перебувати у власності, управлінні та експлуатації комерційних,
наукових та урядових організацій (або будь-якої їх комбінації). Публічна хмара фізично існує в юрисдикції
власника постачальника послуг.
“Суспільна хмара” – вид інфраструктури, призначений для використання конкретною спільнотою
споживачів з організацій, що мають спільні завдання (наприклад, місій, вимоги безпеки, політики та
відповідності іншим різним вимогам). Суспільна хмара може перебувати в кооперативній (сумісній)
власності, управлінні та експлуатації однієї або більше з організацій співтовариства або третьої сторони
(або будь-якої їх комбінації), і вона може фізично існувати як усередині, так і поза юрисдикцією власника.
“Гібридна хмара”– це комбінація з двох або більше різних хмарних інфраструктур (приватних, публічних
або суспільних), що залишаються унікальними об’єктами, але пов’язані між собою стандартизованими чи
приватними технологіями передачі даних і додатків (наприклад, короткочасне використання ресурсів
публічних хмар для балансування навантаження між хмарами (cloud bursting)).
92. Особливості правового регулювання суспільних відносин під час використання хмарних
технологій.
93. Особливості організації захисту інформації при реалізації (застосуванні) технології хмарних
обчислень.
94. Джерела кібернетичних загроз. Різновиди кіберзлочинів.
95. Мета Конвенції Ради Європи про кіберзлочинність. Зміст Конвенції Ради Європи про
кіберзлочинність.
96. Об’єкти кіберзлочинів відповідно до Конвенції Ради Європи про кіберзлочинність.
97. Класифікація кіберзлочинів відповідно до Конвенції Ради Європи про кіберзлочинність.
98. Зміст злочинів проти конфіденційності, цілісності і доступності комп’ютерних даних та систем
відповідно до Конвенції Ради Європи про кіберзлочинність.
99. Зміст злочинів, пов’язаних з використанням комп’ютерів, відповідно до Конвенції Ради Європи
про кіберзлочинність.
100. Визначення «злочину» відповідно до Кримінального кодексу України. Кримінальна
відповідальність за скоєння кіберзлочинів.
1. Злочином є передбачене цим Кодексом суспільно небезпечне винне діяння (дія або бездіяльність),
вчинене суб'єктом злочину.
2. Не є злочином дія або бездіяльність, яка хоча формально і містить ознаки будь-якого діяння,
передбаченого цим Кодексом, але через малозначність не становить суспільної небезпеки, тобто не
заподіяла і не могла заподіяти істотної шкоди фізичній чи юридичній особі, суспільству або державі.
101. Поняття «адміністративного правопорушення» відповідно до Кодексу України про
адміністративні правопорушення. Адміністративна відповідальність за скоєння правопорушень.
Адміністративним правопорушенням (проступком) визнається протиправна, винна (умисна або
необережна) дія чи бездіяльність, яка посягає на громадський порядок, власність, права і свободи громадян,
на встановлений порядок управління і за яку законом передбачено адміністративну відповідальність.
Адміністративна відповідальність - це своєрідний негативний правовий наслідок, пов'язаний з
адміністративно-протиправним діянням особи, яка повинна відповідати перед державою за свій проступок і
понести за це певне покарання у вигляді адміністративного стягнення.
102. Основні загрози національним кіберпросторам, які визначені стратегіями більшості країн.
Кібершпигунство та військові дії, які здійснюються за підтримки або з відома держави. Усі технологічно
розвинені держави та корпорації стають об’єктом кібершпигнуства, яке має на меті заволодіння
державними або промисловими таємницями, персональними даними або іншою цінною інформацією.
Використання Інтернету у терористичних цілях. Терористичні угрупування використовують Інтернет з
метою пропаганди, збору коштів і вербування прихильників
Кіберзлочинність: викрадення персональних даних та відмивання коштів отриманих незаконним шляхом.
Зловмисники продають інформацію про номери банківських карток, паролі від комп’ютерних серверів та
шкідливе програмне забезпечення
103. Направленість національних законодавств країн світу у сфері кібербезпеки.
• захист персональних даних (Канада, Нідерланди, Естонія, Швеція, Фінляндія, Іспанія);
• захист електронної комерції та безпеки електронних транзакцій та платіжних інструментів (США,
Канада, Польща, Естонія, Італія);
• захист дітей (США);
• захист важливих об’єктів інфраструктури та інформаційних систем (Франція)