- •15. Назначение, содержание и особенности Международного стандарта iso15408 «Общие критерии безопасности информационных технологий».
- •16. Компьютерные преступления и особенности их расследования.
- •17. Типы и виды компьютерных вирусов. Особенности поражающего воздействия.
- •Вios(пзу) Вирус → зос(диск) → Операционная система.
- •18. Антивирусное программное обеспечение. Типы и характеристики защиты.
- •2. Ревизоры
- •3. Сторожа
- •19. Информационные ресурсы рф.
- •20. Содержание и особенности Международных стандартов серии iso/iec 17799:2002.
- •21. Права на доступ к информации.
20. Содержание и особенности Международных стандартов серии iso/iec 17799:2002.
ISO/IEC 17799 — стандарт информационной безопасности. Название: « Информационая технология. Практические правила управления информационной безопасностью».
содержит практические правила по управлению информационной безопасностью для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности
может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты;
разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках.
Информационная безопасность определяется стандартом как «сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации и методов её обработки) и доступности (гарантии в том, что уполномоченные пользователи имеют доступ к информации и связанным ресурсам)».
Стандарт рассматривает следующие вопросы:
Необходимость обеспечения информационной безопасности
Основные понятия и определения информационной безопасности
Политика информационной безопасности компании
Организация информационной безопасности на предприятии
Классификация и управление корпоративными информационными ресурсами
Кадровый менеджмент и информационная безопасность
Физическая безопасность
Администрирование безопасности корпоративных информационных систем
Управление доступом
Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения
Управление бизнес-процессами компании с точки зрения информационной безопасности
Внутренний аудит информационной безопасности компании.
В стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем. По ряду направлений даются практические рекомендации.
21. Права на доступ к информации.
Методы защиты информации:
1. Ограничение доступа к АСОИ. Заключается в:
в выделении специальной территории для размещения АСОИ;
в оборудовании по периметру выделенной зоны специальных ограждений с охранной сигнализацией;
в построении специальных зданий или других сооружений;
в выделении специальных помещений в здании;
в создании контрольно-пропускного режима на территории, в зданиях и помещениях.
Биометрические технологии – это идентификация человека по уникальным, присущим только ему биологическим признакам (отпечатки пальцев, Глаза , Лицо, Ладонь Динамические характеристики (голос, почерк, клавиатурный почерк)).
2. Контроль доступа к аппаратуре. Защищает от следующих действий:
изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры;
подключения постороннего устройства;
изменения алгоритма работы вычислительной системы путем использования технологических пультов и органов управления;
загрузки вредоносных программ в систему;
использования терминалов посторонними лицами.
3. Разграничение и контроль доступа к информации. Осуществляется по следующим параметрам:
По виду, характеру, назначению, степени важности и секретности информации;
По способам ее обработки (считать, записать, внести изменения, выполнить команду);
По условному номеру терминала;
По времени обработки.
4. Предоставление привилегий на доступ.
Заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
5.Идентификация и установление подлинности субъекта (объекта). Объектами идентификации и установления подлинности могут быть:
Человек (оператор, пользователь, должностное лицо);
Техническое средство (терминал, дисплей, ЭВМ, АСОИ);
Документы (распечатки, листинги);
Носители информации (съемные диски);
Информация на мониторе, дисплее, табло.
6. Защита информации от утечки за счет побочного электромагнитного излучения и наводок. В целях защиты секретной информации от утечки за счет побочного электромагнитного излучения и наводок производится измерение уровня опасных сигналов.
Применимые меры:
усовершенствование аппаратуры с целью уменьшения уровня сигналов;
установка специальных фильтров;
применение генераторов шума;
использование специальных экранов и др.
7. Методы и средства защиты информации от случайного воздействия. Проблема надежности автоматизированных систем решается тремя путями:
повышением надежности деталей и узлов;
построением надежных систем из менее надежных элементов за счет структурной избыточности;
применением функционального контроля с диагностикой отказа, увеличивающего надежность функционирования системы.