- •1.Понятие ис. Ис в управлении предпр.
- •4.Архитектура ис, типы архитектур.
- •3.Кис. Структура и требования к кис.
- •6. Перспективные направления использования информационных технологий в экономике.
- •7. Информационное обеспечение ис.
- •8. Информ модель орг-ции
- •10. Роль инф ресурсов в управлении
- •11. Техническое обеспечение кис и его классиф
- •12.Требования к технич.Обеспечению кис.
- •13. Корпоративная сеть предприятия: структура, Интернет/Интеранет и Экстранет.
- •Internet/Intranet/Extranet-технологии в корпоративных информационных системах
- •14. Сеть Интернет как элемент инфраструктуры кис
- •15. Перспективы развития технических средств кис, телекоммуникационных и сетевых технологий.
- •17. Сегментация рынка по.
- •24. Экспертная система (эс): назначение, структура и классификация.
- •Статические эс
- •Динамическая эс
- •25. С-ма поддержки принятия решений (сппр): назначение, структура и классификация.
- •1. Нейронные сети
- •2. Эволюционные вычисления
- •4. Следующая по популярности группа технологий ии.
- •34. Понятие бизнес-проц. Реинжинир бизнес-процессов. Участники и этапы реинжиниринга.
- •35. Примеры реализации реинжиниринга бизнес-процессов в управлении
- •36. Жизн цикл ис. Модели жизн цикла ис.
- •1. Жизненный цикл кис
- •39. Стандартизация и сертификация информационных систем.
- •37. Проектирование кис. Подходы к проектированию кис. Этапы проектирования ис.
- •38. Средства автоматизации проектирования кис. Case-средства.
- •33. Правовое обеспечение информационной безопасности в Республике Беларусь.
- •6. Требования к программному обеспечению (по) кис.
- •18. Кис в предметной области.
- •19. Технологические решения интеграции информационных систем.
- •20. Перспективы развития по кис.
- •27. Информационная безопасность кис.
- •31. Политика безопасности.
- •28. Угрозы информационной безопасности и их классификация. Компьютерная преступность.
- •30. Информационная безопасность корпоративной сети.
- •1. Защита от утечек информации
- •2. Защита электронной корпоративной почты от спама и вирусов
- •3. Защита, контроль и оптимизация Веб – трафика
- •4. Контроль доступа к сети
- •5. Контроль и запись действий администраторов на серверах
- •Заключение
28. Угрозы информационной безопасности и их классификация. Компьютерная преступность.
Угроза безопасности — потенц нарушение безоп, т.е. любое обстоятельство или событие, которое может явиться причиной нанесения ущерба системе в виде разрушения, раскрытия, модифик данных или отказа в обслуживании.
Компьютерная преступность - любые незаконные неэтичные или неправомерные действия, связанные с автоматической обработкой данных или их передачей.
Виды угроз: 1) по источнику а) случайные б) преднамеренные б1)активные -хищение инф; уничтожение; модификация инф; нарушение доступности инф; навязывание ложной информации; б2) пассивные – несанкционир доступ к инфе, не измеен ее (трояны). 2) фундаментальные (утечка инфы, нарушен целостности инфы, отказ в услуге, незаконн испол-е инфы) 3) инициируются первичными угрозами (угрозы проникновения, внедрения) – а) маскарад, б) обход защиты, в) троянские программы, г) логические бомбы, д) потайные ходы, е) компьютерн вирусы.)
В настоящее время комп преступность включает в себя в зависимости от уголовно-правового регулирования в тех или иных стран уже целый перечень такого рода деяний и способов их совершения. На меж.уровне факт угрозы компьютерной преступности впервые был признан в 1985 году Конгрессе ООН по профилакт преступл и обращению с правонаруш.
Основные виды преступлений:
Внедрение компьютерного вируса - процесс внедрение вредоносной программыс целью нарушения работы ПК. Вирусы могут быть внедрены воперац с-му, прикладную программу или в сетевой драйвер.
Несанкционированный доступ к информации - может осуществляться с целью её хищенияили же ради развлечения и последующего использования данной инф.
выходной информации - подделка информации может преследовать различные цели. Итогом подделки является то, что конечному потребителю информации будут предоставлены недостоверные данные.
Несанкционированное копирование конфиденциальной информации - в процессе работы каждой компании неизбежны случаи утечки конфиденциальной информации. Организации несут огромные потери из-за несанкционированного распр конфиденц инф.
32. Методы и средства защиты информации. Криптографический метод защиты. Препятствие – метод физического преграждения пути злоумышленнику к информации, которая защищена от посторонних лиц
Управление доступом - метод защиты инф. С его помощью для защиты исп-ся все ресурсы самой системы.
Маскировка - метод защиты инф в каналах телекоммуник путем криптографич закрытия.
Регламентация - метод, создающий такие условия автоматизир обраб, хранен и передачи защищаемой инф, при которых возможности несанкционир доступа к ней сводятся к мин.
Принуждение - метод, при котором пользователи и персонал вынуждены соблюдать правила обраб, передачи и исп-ния защища информации под угрозой матер, административной или уголовной ответственности.
Побуждение - метод, с помощью которого пользователь и персонал системы не наруш установл правил за счет соблюдения сложившихся моральных и этических норм.
Перечисленные методы поддерживаются следующ средствами, которые делятся на формальные и неформальные
Формальные:
физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);
аппаратные, которые реализуются в виде электрических, электромеханических и электронных устройств
программные средства - программное обеспечение, которое предназначено для выполнения функции защиты информации;
Неформальные:
организационные средства защиты информации - организационно-технические и организационно-правовые мероприятия, которые осуществляются в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации;
законодательные ср-ва защиты инф определяются законод актами той страны, где они функционируют, регламентируют правила использования, обработки и передачи инф огранич доступа и устанавливают меры ответственности за нарушение этих правил;
морально-этические средства защиты выражаются в виде норм, которые сложились традиционно по мере внедрения вычислит техники и средств связи. 29. Классы безопасности. Стандарты информационной безопасности.
К управлению доступом к инф выделяются следующие классы безоп компьютерных систем:
класс D - подсистема безопасности. Она присваивается тем с-мам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдель ф-ции безоп;
класс С1 - избирательная защита. Средства защиты данного класса отвечают требованиям избират управл доступом. При этом обеспеч разделение пользователей и данных. Каждый субъект идентифиц и аутентифиц в этом классе и ему задается перечень допустим типов доступа;
класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавл требования уникальной идентифик субъектов доступа, защиты и регистрац событий;
класс В1 - меточная защита. Метки конфиденц присваив всем субъектам и объектам с-мы, которые содержат конфиденц инф. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;
класс В2 - структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;
класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;
класс А1 - верифицированная разработка. Для проверки спецификаций применяются методы формальной верификации - анализа спецификаций систем на предмет неполноты или противоречивости.
Международны стандарты:
BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
ISO/IEC 17799:2005— «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности».
ISO/IEC 27000 — Словарь и определения.
ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».