- •Основные понятия информационной безопасности. Классификация угроз
- •По природе возникновения:
- •По степени воздействия на ас:
- •2.Целостность и конфиденциальность . Классификация средств защиты информации.
- •3. Программные и программно-аппаратные методы и средства
- •Базовые понятия теории информации
- •5. Измерение дискретной информации. Энтропия Шеннона
- •6. Методы и средства организационно-правовой защиты информации.
- •Вопрос 7. Методы и средства инженерно-технической защиты
- •Вопрос 8. Формулы мультипликативных шифров. Аффинные шифры. Криптоанализ аффинного шифра
- •Вопрос 9. Модель сетевой безопасности. Классификация сетевых атак
- •Вопрос 10. Сервисы и механизмы безопасности.
- •11. Модель сетевого взаимодействия, Модель безопасности информационной системы.
- •Вопрос 12. Простые криптосистемы. Шифрование методом замены (подстановки). Одноалфавитная подстановка.
- •13. Простые криптосистемы. Шифрование методом замены (подстановки):Многоалфавитная одноконтурная обыкновенная.
- •14. Простые криптосистемы. Шифрование методом замены (подстановки): Многоалфавитная многоконтурная подстановка.
- •15. Простые криптосистемы. Шифрование методом замены (подстановки): Многоалфавитная многоконтурная подстановка.
- •16. Арифметика целых чисел. Нод и алгоритм Евклида Бинарные операции.
- •2.1. Арифметика целых чисел
- •17. Расширенный алгоритм Евклида . Линейные диофантовы уравнения.
- •18. Модульная арифметика. Операции по модулю. Система вычетов. Сравнения. Инверсии.
- •2.2. Модульная арифметика
- •25. Основные приема криптоанализа при симметричных ключах. Виды атак. Принцип Кергоффса.
- •26. Формулы аддитивных шифров. Криптоанализ.
- •27. Защита информации в локальных сетях. Основы построения локальной компьютерной сети. Уровни антивирусной защиты сети.
- •28. Принципы организации централизованного управления антивирусной защиты. Компоненты системы удаленного управления.
- •29. Брандмауэры. Определение типов Брандмауэров.
- •30.Конфигурация межсетевого экрана. Построения набора правил межсетевого экрана для различных типов архитектуры.
- •31. Одноразовый блокнот и роторные шрифты. Устройство и принцип работы шифровальной машины «Энигма».
- •32. Основные приемы криптоанализа при асимметричных ключах
- •33. Базовые методы и алгоритмы стеганографии
- •34. Правовое регулирование информационных отношений в информационном обществе
- •35. Право на информацию
- •36. Правовые основы информационной безопасности
- •40 Правовая охрана информации в режиме интеллектуальной собственности
- •49.Правовая охрана информации в режиме интеллектуальной собственности.
- •50.Особенности правового регулирования информационных отношений в сети Интернет.
- •51.Информационные правонарушения (правонарушения в информационной сфере) и ответственность за их совершение.
- •52.Задачи органов Государственной системы защиты информации.
- •53.Персональные данные, их классификация.
- •54.Система защиты сведений, составляющих государственную тайну.
- •55) Законодательство об электронной цифровой подписи.
- •56) Защита прав и законных интересов субъектов информационной сферы.
- •57) Повторяет вопрос 56!
- •58) Нормативно-методические документы по обеспечению безопасности информации.
- •59) Организация подготовки кадров и повышения квалификации в области обеспечения информационной безопасности.
59) Организация подготовки кадров и повышения квалификации в области обеспечения информационной безопасности.
Важным направлением деятельности по обеспечению информационной безопасности является подготовка кадров, которую проводят: - образовательные учреждения федеральных органов исполнительной власти, решающие в основном традиционные задачи защиты информации, в первую очередь, от внешних угроз;
- образовательные учреждения Минобрнауки России, осуществляющие подготовку специалистов по широкому кругу вопросов создания защищенных информационных систем, а также технических и программных средств защиты информации;
- негосударственные образовательные учреждения, в том числе региональные.
Образовательная деятельность в указанной области осуществляется по специальностям, объединенным в перечне направлений подготовки (специальностей) высшего профессионального образования в отдельную группу «Информационная безопасность».
В состав этой группы входят следующие специальности: «Криптография» — 090101; «Компьютерная безопасность» — 090102; «Организация и технология защиты информации» — 090103; «Комплексная защита объектов информатизации» — 090104; «Комплексное обеспечение информационной безопасности автоматизированных систем» — 090105; «Информационная безопасность телекоммуникационных систем» — 090106; «Противодействие техническим разведкам» — 090107.
Образовательная деятельность в рассматриваемой области имеет следующие направления:
- подготовка специалистов с высшим образованием (7 специальностей; квалификации — математик, специалист по защите информации; срок обучения 5 или 5,5 лет); - подготовка специалистов со средним профессиональным образованием (одна специальность; квалификация — техник; срок обучения — 2 года 10 месяцев); - повышение квалификации специалистов с высшим образованием (72 и более учебных часов); - предоставление возможности получения дополнительной квалификации (до 500 учебных часов);
-переподготовка специалистов с высшим образованием (более 500 учебных часов);
- подготовка кадров высшей квалификации — кандидатов и докторов наук по специальности «Методы и системы защиты информации, информационная безопасность» по отраслям физико- математических, технических и юридических наук.
60) Организация работы подразделений (служб) обеспечения информационной безопасности.
Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности). Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования. На это подразделение целесообразно возложить решение следующих основных задач: Определение требований к системе защиты информации, ее носителей и процессов обработки, разработка политики безопасности; организация мероприятий по реализации принятой политики безопасности, оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты; контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты. Основные функции службы заключаются в следующем: формирование требований к системе защиты при создании и развитии АС; участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию; планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС; обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС; распределение между пользователями необходимых реквизитов доступа к ресурсам АС; контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки; взаимодействие с ответственными за безопасность информации в подразделениях; регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации); • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты; • наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования. Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом: • служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; • сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности; • численность службы должна быть достаточной для выполнения всех перечисленных выше функций; • штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС; • сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций. Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права: • определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений; • получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ; • участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач); • участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ; • контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ. Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты: • руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС; • аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации; • администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС; • администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.; • ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.); • специалисты по защите информации от утечки по техническим каналам; • ответственные за организацию конфиденциального (секретного) делопроизводства и др.
ТЕРМИНЫ
ФЗ от 27.07.2006 N 149"Об информации, информационных технологиях и о защите информации"
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;