- •Сущность и понятие информационной безопасности.
- •Общая схема обеспечения информационной безопасности. Понятия защита информации, защита от информации.
- •Модель безопасности cia, другие категории модели безопасности.
- •Направления обеспечения безопасности.
- •Основные законы информационной безопасности рф.
- •Задачи и цели системы безопасности.
- •Понятие субъектов и объектов обеспечения иб.
- •Сущность и понятие защиты информации.
- •Понятие уязвимости информации. Виды уязвимости информации.
- •Понятие утечки информации.
- •Организационное обеспечение зи.
- •Классификация способов и средств зи.
- •Понятие зон безопасности защищаемого объекта.
- •Обобщенная схема охраны и защиты предприятия.
- •Понятие «носитель информации». Классификация источников и носителей информации.
- •Способы фиксирования информации на носителях.
- •Виды отображения информации на носителях.
- •Понятие конфиденциальной информации. Виды тайны конфиденциальной информации.
- •Государственная тайна. Сведения, отнесенные к гостайне. Степени секретности гос. Тайны.
- •Коммерческая тайна. Сведения, отнесенные к коммерческой тайне.
- •Служебная тайна. Сведения, отнесенные к служебной тайне.
- •Понятие личной тайны. Сведения, отнесенные к личной тайне.
- •Профессиональная тайна. Сведения, отнесенные к профессиональной тайне.
- •Понятие дестабилизирующего воздействия. Классификация дестабилизирующего воздействия на информацию.
- •Антропогенные источники дестабилизирующего воздействия на информацию.
- •Техногенные источники дестабилизирующего воздействия на информацию.
- •Стихийные источники дестабилизирующего воздействия на информацию.
- •Причины дестабилизирующего воздействия на информацию.
- •Уязвимости информационной системы. Классификация уязвимостей.
- •Соотношение дестабилизирующих воздействий с формами проявления уязвимости информации.
- •Инженерно-техническая зи.
- •Классификация итзи по используемым средствам.
- •Физические системы защиты информации.
- •Средства программной защиты.
- •Программные средства защиты информации
- •Цели защиты информации.
- •Направления обеспечения безопасности.
- •Защитные действия от неправомерного овладения конфиденциальной информацией.
- •Мероприятия по защите информации.
- •Каналы распространения информации.
- •Понятие собственник и владелец информации.
- •Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
- •Политика безопасности предприятия.
- •Понятие информационного риска. Стратегия управления риском.
- •Управление риском.
- •Методы оценки информационного риска.
- •Оценка риска
- •Табличный способ оценки информационного риска.
- •Оценка риска с помощью построения нечеткой когнитивной карты.
- •Понятие стеганографии.
- •Кадровое обеспечение зи.
- •Понятие персональных данных.
Стихийные источники дестабилизирующего воздействия на информацию.
Пятый источник дестабилизирующего воздействия на информацию - природные явления, как уже отмечалось, включает стихийные бедствия и атмосферные явления (колебания).
К стихийным бедствиям и одновременно видам воздействия следует отнести:
землетрясение,
наводнение,
ураган (смерч),
шторм,
оползни,
лавины,
извержения вулканов.
К атмосферным явлениям (видам воздействия) относят:
грозу,
дождь,
снег,
перепады температуры и влажности воздуха,
магнитные бури.
Способами воздействия со стороны и стихийных бедствий, и атмосферных явлений могут быть:
разрушение (поломка),
затопление,
сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств,
нарушение режима работы средств и систем, а также технологии обработки информации.
Эти виды воздействия приводят к пяти формам проявления уязвимости информации: потере, уничтожению, искажению, блокированию и хищению.
Причины дестабилизирующего воздействия на информацию.
Поскольку виды и способы дестабилизирующего воздействия зависят от источников воздействия, то и причины, обстоятельства (предпосылки) и условия должны быть привязаны к источникам воздействия.
Применительно к людям причины, обстоятельства и условия в большинстве случаев увязаны еще и с характером воздействия - преднамеренным или непреднамеренным.
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:
стремление получить материальную выгоду (подзаработать);
стремление нанести вред (отомстить) руководству или коллеге по работе, а иногда и государству;
стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;
стремление продвинуться по службе;
стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;
физическое воздействие (побои, пытки) со стороны злоумышленника;
стремление показать свою значимость.
Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи могут быть:
недостаток или плохое качество средств;
низкое качество режима функционирования средств;
перезагруженность средств;
низкое качество технологии выполнения работ;
дестабилизирующее воздействие на средства со стороны других источников воздействия.
Причиной дестабилизирующего воздействия на информацию со стороны технологических процессов отдельных промышленных объектов является специфика технологии.
В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а следовательно, и не поддающиеся нейтрализации или устранению.
Уязвимости информационной системы. Классификация уязвимостей.
В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций.
Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).
Распространённые типы уязвимостей включают в себя:
Нарушения безопасности доступа к памяти, такие как:
Переполнения буфера
Висящие указатели
Ошибки проверки вводимых данных, такие как:
ошибки форматирующей строки
Неверная поддержка интерпретации метасимволов командной оболочки
SQL-инъекция
Инъекция кода
E-mail инъекция
Обход каталогов
Межсайтовый скриптинг в веб-приложениях
Состояния гонки, такие как:
Ошибки времени-проверки-ко-времени-использования
Гонки символьных ссылок
Ошибки путаницы привилегий, такие как:
Подделка межсайтовый запросов в веб-приложениях
Эскалация привилегий