- •Понятие «информация». Свойства информации. Почему ее необходимо защищать ?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Краткая характеристика этих методов.
- •Система правового обеспечения защиты информации рф. Виды тайн.
- •Фз №152 «о персональных данных»: область действия закона, основные понятия и термины, используемые в законе, механизмы защиты персональных данных.
- •Фз № 98 «о коммерческой тайне»: область применения, понятие коммерческая тайна и механизмы ее защиты.
- •Понятие «информационная безопасность» и механизмы ее обеспечения.
- •Программно-технические способы и средства обеспечения информационной безопасности
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006: назначение, область действия и механизмы защиты информации.
- •Основные механизмы защиты информации (стандарт гост исо/мэк 17799).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •В каких случаях используются механизмы достоверности, неотказуемости и неизменяемости информации ?
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Стандартизированные определения
- •Какие направления включает в себя комплекс мер по защите информации ?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Примеры уязвимостей
- •Информационные риски: определение, особенности, методы измерения.
- •Механизмы анализа и обработки информационных рисков.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик ?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации ?.
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает ?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать ?
- •Применения в финансовой сфере
- •Идентификация
- •Проблемы
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Распространенные алгоритмы
- •Проблемы использования симметричных криптосистем.
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Виды асимметричных шифров
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •По методу размножения
- •По вредоносной нагрузке
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Основные методы реализации в Microsoft Windows. Основные способы внедрения в систему — модификация памяти. В unix. Подмена основных системных утилит; модификации физической памяти ядра.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
- •Как осуществляется расследование инцидентов информационной безопасности ?
- •Чем отличается защита персональных данных от коммерческой тайны ?
- •Электронная подпись и механизмы ее реализации.
В каких случаях используются механизмы достоверности, неотказуемости и неизменяемости информации ?
Достоверность информации. Информация достоверна, если она отражает истинное положение дел. Достоверность информации — важнейший показатель качества информации. она искажается в результате дезинформирования и под действием помех. Так как использование ложной (искаженной) информации может нанести в общем случае больший ущерб, чем ее отсутствие, то выявлению достоверности добытой информации ее пользователь уделяет большое внимание. В реальной жизни, в условиях жесткой конкуренции, когда приходится принимать серьезные решения, достоверность информации очень важна. Гипотетическая лживость полученной информации грозит серьезными последствиями для репутации компании или СМИ, которые их распространяют.
Неотказуемость – неотрекаемость от авторства информации, а также факта её отправки или получения. Неотказуемость можно гарантировать электронно-цифровой подписью и другими криптографическими средствами и протоколами. Неотказуемость актуальна, например, в системах электронных торгов, где она обеспечивает ответственность друг перед другом продавцов и покупателей. Существует обширный класс приложений, для которых сервис неотказуемости является обязательный (например, финансовые транзакции). Кроме того, сервис неотказуемости важен для приложений, в которых необходимо обеспечивать подотчетность действий пользователя для каждой совершенной транзакции, в частности, если эти транзакции совершаются через сетевую среду с использованием различных компонент приложения. Неизменяемость. Данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление.
Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
Информационная безопасность не имеет точного определения и, что совсем печально, не имеет в литературе единого предмета исследования.
Возьмем, например, определение понятия «безопасность» в Доктрине информационной безопасности РФ, которое следует из определения в федеральном законе «О безопасности» от 5 марта 1992 года:
«Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».
«Информационная безопасность РФ — состояние защищенности ее национальных интересов в информационной сфере, определяющейся совокупностью сбалансированных интересов личности, общества и государства».
Определять «безопасность» через «защищенность» не совсем корректно, поскольку эти слова синонимы, а поэтому данные определения являются тавтологиями. Безопасность есть некоторое состояние объекта, которое можно определить, выделив соответствующие качественные характеристики.
Стандартизированные определения
Информационная безопасность[2] — защита конфиденциальности, целостности и доступности информации.
Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
Целостность: неизменность информации в процессе ее передачи или хранения.
Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.