- •1 Моделирование бизнес – процессов
- •2 Информационная модель фирмы и агентские отношения.
- •3 Понятие теории информации
- •4. Защищаемая информация
- •5.Факторы. Воздействующие на информацию, объекты информаиии
- •6. Классы информационных ресурсов
- •11. Методы принятия решений в условиях неопределенности.
- •12. Структура системы организационного управления качеством.
- •13. Общая характеристика экспертных систем.
- •14. Структура и использование экспертных систем.
- •15.Классификацня инструментальных средств экспертных систем
- •16. Организация званий в экспертных системах.
- •17. Отличия эс от традиционных программ.
- •18. Виды экспертных систем
- •19. Типы задач в управлении качеством, решаемых экспертными системами
- •20. Методы формирования функции защиты.
- •21. Классы задач защиты информации.
- •22.Состояния и функции системы зашиты.
- •23.Стратегия защиты информации
- •24. Способы и средства зашиты информации.
- •25. Функциональные компоненты безопасности.
- •26. Класс fau. Аудит безопасности
- •27. Криптографическая поддержка.
- •28. Защита данных пользователя
- •29. Идентификация и аутентификация.
- •30. Системы управления информационной безопасностью.
- •31. Практические правила управления информационной безопасностью.
- •32. Руководство по внедрению системы управления информационной безопасностью.
- •33. Управление рисками информационной безопасности
29. Идентификация и аутентификация.
И и А можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Можно сказать, что это первая линия обороны или «проходная» информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действий от имени определенного пользователя, или иному аппаратно-программному компоненту) сообщить свое имя.
По средствам аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает (проверка подлинности).
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Субъект может подтвердить свою подлинность, предъявив, по крайней мере одну из следующих сущностей:
- нечто, доказывающее, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.д,);
- нечто, чем он владеет (личную карточку);
- нечто, есть часть его самого (голос, отпечатки пальцев, сетчатка и т.д.).
30. Системы управления информационной безопасностью.
Чтобы эффективно справляться с угрозами и рисками для информационных активов организации, следует создать систему управления информационной безопасностью (СУИБ).
Система управления информационной безопасностью (СУИБ) обеспечивает объединение всех применяемых на предприятии защитных и организационных мер в единый адекватный реальным угрозам и управляемый комплекс, позволяющий достигать корпоративных целей информационной безопасности на уровне всего предприятия.
Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.
Стандарт ISO 27001 определяет информационную безопасность как: «сохранение
конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
Целостность — обеспечение точности и полноты информации, а также методов ее обработки;
Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
ISO 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.
Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.
Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечить эффективное управление системой в критичных ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определить личную ответственность
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
- Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
- Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.