- •Предмет и задачи Информационной безопасности.
- •Понятие информационной безопасности.
- •Основные принципы иб. Нормативные документы, определяющие это понятие
- •Уровни обеспечения иб.
- •Понятие угрозы информации. Классификация угроз информации. Примеры.
- •Основные методы реализации угроз иб
- •Контроль информационной целостности
- •11. Этапы реализации политики безопасности. Подготовительный.
- •Аналитический этап.
- •Исследовательский этап.
- •Рекомендательный этап (Установка и настройка средств защиты).
- •Ввод сиб в эксплуатацию.
- •Основные принципы политики безопасности
- •Понятие кодирования информации. Цель кодирования.
- •14. Виды кодирования.
- •15. Помехоустойчивое кодирование. Виды. Примеры
- •17. Основные понятия по криптографии
- •18. Виды криптографических алгоритмов
- •20. Криптографическая хэш-функция
- •21. Механизм эп
- •22. Регулирование доступа. Этапы регулирования доступа. Понятие идентификации и аутентификации
- •23. Система разграничения доступа
- •24. Защита информации от утечки по техническим каналам связи
- •25. Вредоносные программы. Виды. Примеры.
- •27. Классификация антивирусных программ.
11. Этапы реализации политики безопасности. Подготовительный.
На подготовительном этапе выбираются и обосновываются объект защиты (АИС в целом, отдельные компоненты, подсистемы), цели и задачи, общая концепция системы безопасности.
Проводят системный анализ ресурсов и ограничений, методов подготовки, приема-передачи и обработки информации, особенностей архитектуры АИС и содержащейся в ней информации. Одновременно с этим дается описание ресурсов системы, которые объединяют в следующие категории: техника (hardware); программное обеспечение (software); данные; персонал; дополнительные ресурсы.
На основании проведенного анализа разрабатывается общая концепция СИБ, определяются цели, формируются основные требования, учитывающие не только текущие потребности, но и перспективу развития АИС в целом, а также технологий обработки, хранения и передачи данных.
Аналитический этап.
Основной задачей аналитического этапа является сбор, систематизация и обработка информации о потенциальных угрозах, каналах утечки информации, а также разработка эталонов и критериев эффективности защиты информации, рассмотрение характеристик существующих аппаратно-программных средств защиты.
Выявляют возможные угрозы системе, с выделением потенциальных. Определяют каналы несанкционированного доступа и утечки информации и выделяют категории объектов, подлежащих защите. При этом следует рассматривать не только каналы утечки информации, обусловленные свойствами технических средств и несовершенством программного обеспечения, но и возможностью осуществления несанкционированного доступа и реализации программных злоупотреблений. Такой подход к выявлению потенциальных каналов несанкционированного доступа и утечки информации определяется необходимостью комплексного решения проблемы защиты информации, включая борьбу с промышленным шпионажем.
Исследовательский этап.
На исследовательском этапе определяется допустимая степень риска, политика безопасности, набор процедур и методов несанкционированного доступа к ресурсам АИС.
При анализе степени риска и определении величин возможных потерь в случае нарушения целостности СИБ проводится анализ состояния системы и оценка видов угроз, с учетом имеющихся механизмов защиты.
Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что в каждой АИС, и в каждом узле существует своя граница "допустимости" потерь, определяемая ценностью информации, масштабами разработок, бюджетом и множеством других политических, организационных, экономических и этических факторов. В случае, если потери меньше, чем затраты, требуемые на разработку, внедрение и эксплуатацию средств защиты, и если с точки зрения интересов АИС возможный несанкционированный доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым.
Рекомендательный этап (Установка и настройка средств защиты).
Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах АИС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.
Разрабатывается комплекс методических и инструктивных материалов, описывающих реализацию СИБ, содержащий следующие разделы: