- •Відповіді на іспит іСіТ.
- •1. Сучасне розуміння поняття «інформація»
- •2. Корисність інформації для користувача інформаційної системи
- •Своєчасність
- •Достатність
- •Зрозумілість
- •Недопущення викривлення
- •Наприклад, якщо іс має підтримувати маркетингові дослідження, то включення до бази даних іс інформації тільки з одного регіону країни може негативно вплинути на результат. Релевантність
- •Зіставлюваність
- •Надмірність
- •Прийнятність формату
- •3. Інформаційні ресурси
- •Інформаційні фахівці
- •4. Класифікація інформаційних систем управління
- •Класифікація інформаційних систем управління
- •5. Структура інформаційної системи менеджменту. Підсистеми ісм
- •6. Етапи розвитку інформаційних технологій
- •7. Технологічні процеси автоматизованого оброблення економічної інформації
- •Структура економічної інформації
- •9. Методи класифікації та кодування інформації
- •Організація позамашинної інформаційної бази
- •Організація машинної інформаційної бази. Поняття банку даних
- •Етапи проектуваня баз даних
- •Моделі даних
- •Тема 3. Технологічні засоби автоматизованого проектування інформаційних систем
- •14. Принципи проектування інформаційних систем
- •1) Принцип системного підходу
- •1 Етап. Класичний підхід до розроблення програмного забезпечення (пз) іс.
- •2 Етап. Методи програмної інженерії.
- •3 Етап. Case-технологія.
- •Класифікація case-засобів за функціональним призначенням
- •Сутність групової роботи та її комп’ютерна підтримка
- •Технології підтримки групової роботи
- •Системи підтримки групової роботи
- •Системи автоматизації діловодства та електронного документообігу
- •Системи керування контентом
- •Характеристика засобів бізнес-аналітики
- •Сутність і фактори виникнення сховищ даних
- •Особливості сховищ даних.
- •Компоненти сховища даних
- •Види і моделі сховищ даних
- •Моделі сховищ даних
- •Багатовимірна модель
- •Реляційна модель
- •Гібридна модель
- •Технологічні засоби оперативного аналітичного оброблення даних olap. Правила Кодда.
- •30. Визначення olap за тестом fasmi.
- •Напрями розвитку технологій бізнес-аналітики
- •Поняття штучного інтелекту
- •Напрямки досліджень та розробок в галузі штучного інтелекту
- •Моделі подання знань в системах штучного інтелекту
- •Суть і класифікація експертних систем
- •Архітектура експертних систем
- •Етапи життєвого циклу експертних систем
- •Інтелектуальний аналіз даних (Data Mining)
- •Поняття і основні властивості програмних агентів
- •Основні властивості програмних агентів
- •Класифікація програмних агентів
- •Мультиагентні системи
- •Інтегровані інформаційні системи підприємств і організацій
- •43. Види інтеграції інформаційних ресурсів
- •44.Технології динамічної інтеграції інформаційних ресурсів
- •45. Сутність електронного бізнесу
- •Класифікація іс електронного бізнесу за суб’єктами взаємодії
- •Класифікація іс електронного бізнесу за функціональним призначенням
- •1) Віртуальні платіжні системи
- •2) Іс Internet-банкінгу
- •3) Іс керування інвестиціями через Internet
- •Моделі електронної торгівлі
- •Іс віртуальних підприємств
- •Електронний уряд
- •Інформаційна безпека іс. Види загроз безпеці інформації
- •Види умисних загроз безпеці інформації
- •Принципи створення систем інформаційної безпеки
- •Засоби захисту інформації.
- •Механізми безпеки інформації
- •Загальні поняття криптографії
- •Криптографічні методи
Інформаційна безпека іс. Види загроз безпеці інформації
Одною з характеристик ІС є її інформаційна безпека. Для багатьох інформаційних систем фактор безпеки відіграє першорядну роль (наприклад, для банківських інформаційних систем).
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого отримання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, безпека ІС – це її здатність протидіяти різним збурювальним діям.
Під загрозою безпеці інформації розуміють події або дії, які можуть призвести до спотворення, несанкціонованого використання або до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.
Загрози безпеці інформації поділяють на загрози випадкові, чи ненавмисні, і умисні загрози.
Джерелом випадкових загроз можуть бути вихід з ладу апаратних засобів, неправильні дії працівників ІС або її користувачів, ненавмисні помилки в програмному забезпеченні і т. ін.
На відміну від випадкових, умисні загрози мають на меті нанесення шкоди керованій системі або користувачам.
Види умисних загроз безпеці інформації
1. За активністю умисні загрози поділяють на пасивні і активні.
Пасивні загрози спрямовані здебільшого на несанкціоноване використання інформаційних ресурсів ІС, не створюючи при цьому впливу на її функціонування. Наприклад, пасивними загрозами є несанкціонований доступ до баз даних, прослуховування каналів зв'язку і т. ін.
Активні загрози мають на меті порушення нормального функціонування ІС шляхом цілеспрямованого впливу на її компоненти. До активних загроз належать, наприклад, виведення з ладу комп'ютера чи його операційної системи, руйнування програмного забезпечення комп'ютерів, порушення роботи ліній зв'язку і т. ін. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми і т. ін.
2. За джерелом походження умисні загрози поділяють також на внутрішні (що виникають всередині керованої організації) і зовнішні.
Внутрішні загрози найчастіше спричиняються складними соціальними ситуаціями в організаціях.
Зовнішні загрози можуть визначатися зловмисними діями конкурентів, економічними умовами та іншими причинами (наприклад, стихійними лихами). Досить поширеним є промислове шпигунство - незаконні збір, привласнення і передача відомостей, що становлять комерційну таємницю, особою, не уповноваженою на це її власником.
До основних загроз безпеці інформації і нормальному функціонуванню ІС належать:
витік конфіденційної інформації;
компрометація інформації;
несанкціоноване використання інформаційних ресурсів;
помилкове використання інформаційних ресурсів;
несанкціонований обмін інформацією між абонентами;
порушення інформаційного обслуговування;
незаконне використання привілеїв.
Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі ІС або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Цей витік може бути наслідком:
розголошення конфіденційної інформації;
витоку інформації з різних, головним чином технічних, каналів;
несанкціонованого доступу до конфіденційної інформації різними способами.
Розголошення інформації її власником - умисні або необережні дії посадових осіб і користувачів, яким відповідні відомості у встановленому порядку були довірені по роботі, які призвели до ознайомлення з ними осіб, не допущених до цих відомостей.
Можливий безконтрольний витік конфіденційної інформації по візуально-оптичних, акустичних, електромагнітних та інших каналах.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особами, що не мають права доступу до відомостей, що охороняються.
Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
перехоплення електронних випромінювань;
застосування підслуховуючих пристроїв;
дистанційне фотографування;
перехоплення акустичних випромінювань і відновлення тексту принтера;
копіювання носіїв інформації з подоланням заходів захисту;
маскування під зареєстрованого користувача;
маскування під запити системи;
використання програмних пасток;
використання недоліків мов програмування і операційних систем;
незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ до інформації;
зловмисне виведення з ладу механізмів захисту;
розшифровка спеціальними програмами зашифрованої інформації;
інформаційні інфекції.
Перераховані шляхи несанкціонованого доступу вимагають досить великих технічних знань і відповідних апаратних або програмних розробок з боку зломщика. Наприклад, використовуються технічні канали витоку - це фізичні шляхи від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання охоронюваних відомостей. Причиною виникнення каналів витоку є конструктивні і технологічні недосконалості схемних рішень або експлуатаційний знос елементів. Все це дозволяє зломщикам створювати перетворювачі, що утворюють притаманний цим принципам канал передачі інформації - канал витоку.
Однак є і досить примітивні шляхи несанкціонованого доступу:
розкрадання носіїв інформації та документальних відходів;
ініціативне співробітництво;
схилення до співпраці з боку зломщика;
випитування;
підслуховування;
спостереження й інші шляхи.
Будь-які способи витоку конфіденційної інформації можуть призвести до значного матеріального і морального збитку як для організації, де функціонує ІС, так і для її користувачів.
Існує і постійно розробляється величезна кількість шкідливих програм, мета яких - псування інформації в базах даних і програмному забезпеченні комп’ютерів.
Класифікація програм-шкідників
Логічна бомба – програма, що запускається за певних часових або логічних умов і використовується для викривлення або знищення інформації, рідше - для крадіжки чи шахрайства.
Троянський кінь - програма, що виконує на додаток до основних, тобто запроектованих і документованих дій, дії додаткові, не описані в документації. Аналогія з давньогрецьким троянським конем полягає у тому, що і в тому і в іншому випадку в оболонці, що не викликає підозри, таїться загроза. Троянський кінь являє собою додатковий блок команд, тим чи іншим способом вставлений у вихідну нешкідливу програму, яка потім передається (дарується, продається, підміняється) користувачам ІС.
Вірус - програма, яка може заражати інші програми шляхом включення в них модифікованої копії, що володіє здатністю до подальшого розмноження.
Вважається, що вірус характеризується двома основними особливостями:
1) здатністю до саморозмноження;
2) здатністю до втручання в обчислювальний процес (тобто до отримання можливості управління).
Черв’як - програма, що поширюється через мережу і не залишає своєї копії на магнітному носії. Черв’як використовує механізми підтримки мережі для визначення вузла, який може бути заражений. Потім за допомогою тих же механізмів передає своє тіло або його частину на цей вузол і або активізується, або чекає для цього відповідних умов. Найкращий спосіб захисту від черв’яка - прийняття запобіжних заходів проти несанкціонованого доступу до мережі.
Загарбник паролів - це програма, спеціально призначена для крадіжки паролів. Намагаючись організувати вхід в систему, користувач вводить ім’я і пароль, які пересилаються власнику програми-загарбника, після чого виводиться повідомлення про помилку. Користувач, який думає, що допустив помилку при наборі пароля, повторює вхід і отримує доступ до системи.
Несанкціоноване використання інформаційних ресурсів, з одного боку, є наслідками їх витоку і засобом їх компрометації. Може завдати великої шкоди керованій системі (аж до повного виходу ІС з ладу) або її абонентам.
Помилкове використання інформаційних ресурсів будучи санкціонованим тим не менш може призвести до руйнування, витоку або компрометації вказаних ресурсів. Дана загроза частіше за все є наслідком помилок, наявних в програмному забезпеченні.
Несанкціонований обмін інформацією між абонентами може призвести до отримання одним з них відомостей, доступ до яких йому заборонено. Наслідки - ті самі, що і при несанкціонованому доступі.