- •2. Защита человека от опасной информации и от неинформированности
- •3 Свойства информации как объекта защиты на различных уровнях ее представления (ценность информации и т.Д.).
- •4. Информация как ценность. Понятие об информационных угрозах(ст. 139 гк рф и т.Д.).
- •5. Объясните следующие права:
- •6. Модель 3у. Угроза информации. Определение, 3 группы угроз. Примеры.
- •7. Потенциальные угрозы. (синонимы -веер возможностей, дерево угроз). Примеры.
- •8. Уязвимость.Определение. Примеры.
- •9. Ущерб. Определение. Примеры. Расходы на защиту информ.
- •10. Уровень риска. Определение. Примеры.
- •11. Методы управления риском. 1. Уклонение от риска;
- •12. Методы управления риском. 2. Передача риска;
- •13. Методы управления риском. 3. Ограничение риска;
- •14. Методы управления риском. 4. Сокращение риска.
- •15. Направления информационной защиты (9 направлений).
- •16. Нормативно-правовое регулирование защиты информации (ст. 237, ст. 140).
- •17. Права вещной собственности: владения, пользования и распоряжения. Определение. Примеры.
- •18. Фз «о персональных данных». Операторов по обработке персональных данных.
- •19. Фз «о государственной тайне».
- •20. Угроза – несанкционированное распространение защищаемой информации. Определение. Примеры.
- •21. Коммерческая тайна. Ст. 139 гк рф.
- •22. Профессиональные тайны. Определение. Примеры.
- •23. Государственная служебная тайна. Определение. Примеры.
- •24. Защита информации, охраняемой авторским и патентным правом.
- •25. Формы атак на информацию.
- •Атаки на уровне операционной системы
- •Атаки на уровне сетевого программного обеспечения
- •26. Пароль как одна из систем защиты информации. Определение. Примеры. Виды атак на пароли.
- •27. Криптография (Введение). Терминология.
- •28. Криптография (Введение). История. Простейшие шифры. (цезаря, подстановка, перестановка, хэширование).
- •30. Принципы построения блочных шифров с закрытым ключом. Понятие композиционного шифра.
- •31. Операции, используемые в блочных алгоритмах симметричного шифрования.
7. Потенциальные угрозы. (синонимы -веер возможностей, дерево угроз). Примеры.
8. Уязвимость.Определение. Примеры.
Уязвимостью называют некоторую неудачную характеристику сис-
темы.
Впрочем, практика показывает, что информационная уязвимость
обычно является обратной стороной некоторой дополнительной
(часто избыточной) функциональности, удобной для пользователей
информационной системы. Тому можно привести массу примеров.
Вот некоторые из них:
─ создание длинных имен файлов с символами в виде пробела и
точки в ОС Windows* обусловило возможность проведение ряда
атак с запуском исполняемых вредоносных программ;
─ использование документов с интерпретируемым программным
кодом вызвало появление вредоносных программ в виде макросов и
скриптлетов;
─ стремление к более простым приемам программирования при по-
строении ряда алгоритмических языков породило атаки на пере-
полнение буфера памяти.
Для того, чтобы предотвратить угрозу, надо выявить уязви-
мость и «залатать» ее (в компьютерном сленге часто используют
слово «патчить» от англ. patch – заплатка).
Но, как считают известные авторитеты в сфере информацион-
ной безопасности, уязвимости являются следствием сложности ин-
формационных ис
9. Ущерб. Определение. Примеры. Расходы на защиту информ.
Ущерб – это реальный или прогнозируемый результат реали-
зации угроз в натуральном или денежном выражении.
Один из важнейших вопросов защиты информации – опреде-
ление объема расходов на ее организацию. Трудность решения это-
го вопроса часто объясняется тем, что реальные угрозы для кон-
кретного объекта не вполне определены, а последствия воплощения
этих угроз (нанесенный ущерб) проявляются не всегда и не сразу.
Можно исходить из утверждения, что безопасность стоит дорого,
но она этого стоит, однако далеко не каждый собственник инфор-
мации располагает средствами для того, чтобы свою информацию
надежно защитить, а если собственник информации не в состоянии
защитить свое имущество и даже не может установить ему цену, то
это сделает за него нарушитель или другой, более умелый и береж-
ливый, хозяин.
Общепризнано, что затраты на охрану материальных ценностей
должны как-то соотноситься и с характером угроз (вероятностью,
ожидаемой частотой, уровнем угроз), и с вероятностью нанесения
ущерба (финансового, информационного, морального, политиче-
ского и др.), и с прогнозируемыми потерями. Это классическая си-
туация из теории стратегических игр, связанная с построением пла-
тежной матрицы.
Результаты опросов, проведенных в «хакерских» кругах, пока-
зали, что системы информационной защиты, доступные по каналам
Интернета (т. е. речь шла об удаленном несанкционированном дос-
тупе), будут «взламывать», если стоимость ее преодоления не пре-
высит 25 % от стоимости защищаемой информации. Практические
рекомендации при охране вещественных ценностей таковы, что за-
траты на охрану должны составлять от 10 до 30 % от возможного
ущерба. Наконец, некоторые авторы ставят затраты на охрану объ-
ектов и персонала в зависимость от величины прибыли. Ряд отече-
ственных банковских и иных коммерческих структур тратят на
обеспечение безопасности информации до 25 % потенциальной
прибыли. В целом получается, что сумма расходов на создание сис-
темы информационной защиты либо на ее взлом должна составлять
около четверти от обозначенной стоимости информации, величины
ущерба или величины прибыли.