- •Национальные интересы в информационной сфере:
- •2.Понятие безопасность и ее определения:
- •4.Уровни обеспечения информационной безопасности:
- •5.Основные угрозы информационной безопасности:
- •6.Основные направления обеспечения безопасности и их взаимосвязь с информационной безопасностью:
- •Законность
- •Системность
- •Комплексность
- •Непрерывность защиты
- •Своевременность
- •Преемственность и совершенствование
- •Разделение функций
- •Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)
- •Открытость алгоритмов и механизмов защиты
- •Простота применения средств защиты
- •Научная обоснованность и техническая реализуемость
- •Специализация и профессионализм
- •Взаимодействие и координация
- •Обязательность контроля
- •7.Основные законы, относящиеся к организации и функционированию системы информационной безопасности и защиты информации:
- •8.Нормативно-правовые документы в области информационной безопасности:
- •9.Предмет и объект защиты информации в автоматизированных системах обработки данных:
- •10. Надежность информации:
- •11.Уязвимость информации:
- •Классификация уязвимостей
- •12.Элементы и объекты защиты в информационных системах:
- •13.Целостность, доступность, конфиденциальность:
- •14. Причина нарушения целостности информации и их классификация:
- •15.Каналы несанкционированного получения информации в асод:
- •16.Преднамеренные угрозы безопасности асод:
- •17. Основные способы защиты информации:
- •18.Основные задачи информационной безопасности:
- •19.Основные сетевые атаки в информационных системах:
- •20.Потенциальные угрозы информации, обрабатываемой пэвм:
- •21. Каналы преднамеренного нсд к информации в пэвм:
- •22.Возможные каналы нсд и информации пэвм и потенциальные угрозы:
- •23.Антивирусные средства защиты информации:
- •24.Вирусы как угроза информационной безопасности:
- •26. Идентификация и аутентификация:
- •27.Способы ограничения доступа к пэвм:
- •28.Оценка уровня безопасности от преднамеренного нсд в пэвм:
- •29.Криптографические методы защиты информации:
- •30.Основные криптографические шифры и их применения:
- •Симметричные криптографические системы
- •Асимметричные криптографические системы
- •32.Государственная тайна, основные понятия:
- •Раздел I. Общие Положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны
- •33.Классификация информационных ресурсов:
10. Надежность информации:
Чтобы быть полезной пользователям для принятия управленческих решений, информация должна быть надежной. Согласно стандартам, "информация является надежной, когда в ней нет существенных ошибок, искажений, и когда пользователи могут положиться на нее, как представляющую правдиво то, что она либо должна представлять, либо от нее обоснованно ожидается, что она будет это представлять". Здесь сразу следует обратить внимание на возможную ситуацию противоречия таких характеристик информации как уместность и надежность. Информация может быть уместной, то есть могущей повлиять на принятие пользователем решения, но настолько ненадежной, что принятие ее во внимание может быть потенциально дезориентирующим. Например, если обоснованность и размер иска о возмещении убытков, рассматриваемого в суде, оспаривается, для компании может быть нецелесообразно признавать всю сумму иска в балансе, хотя может быть уместно раскрыть сумму и обстоятельства, связанные с иском.
"Принципы" выделяют пять составляющих надежности бухгалтерской информации: правдивое представление, преобладание сущности над формой, нейтральность, осмотрительность и полнота.
11.Уязвимость информации:
Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Классификация уязвимостей
Из определений видно, что, производя атаку, нарушитель использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то невозможна и атака, её использующая. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Рассмотрим различные варианты классификации уязвимостей. Такая классификация нужна, например, для создания базы данных уязвимостей, которая может пополняться по мере обнаружения новых уязвимостей.
Источники возникновения уязвимостей
Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET , в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда . передачи.
Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера.
И, наконец, уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др.
12.Элементы и объекты защиты в информационных системах:
Объектами защиты информации в Системы Обработки Данных могут быть:
ПК и рабочие станции компьютерной сети,
узлы связи,
хранилища носителей информации,
средства документирования информации,
сетевое оборудование и внешние каналы связи,
накопители и носители информации.
Элементы:
-
данные и программы в основной памяти компьютера;
-
данные и программы на внешнем машинном носителе (гибком и жестком дисках);
-
данные, отображаемые на экране монитора;
-
данные, выводимые на принтер при автономном и сетевом использовании ПК;
-
пакеты данных, передаваемые по каналам связи;
-
данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;
-
отходы обработки информации в виде бумажных и магнитных носителей;
-
журналы назначения паролей и приоритетов зарегистрированным пользователям;
-
служебные инструкции по работе с комплексами задач;
-
архивы данных и программного обеспечения и др.