- •Ответы к экзаменационным вопросам по курсу «Информационная безопасность»
- •Понятие «информация». Свойства информации. Почему ее необходимо защищать?
- •Методы защиты информации: ограничение доступа (скрытие), дробление (расчленение, обезличивание), шифрование (кодирование), страхование. Характеристика этих методов.
- •Система правового обеспечения защиты информации рф.
- •Федеральный закон (фз) №5485 «о государственной тайне»: область применения и действия, основные обязанности и ответственность должностных, работающих с государственной тайной.
- •1. Верховный Совет Российской Федерации:
- •2. Президент Российской Федерации:
- •3. Правительство Российской Федерации:
- •5. Органы судебной власти:
- •Фз №152 «о персональных данных»: основные понятия и положения закона, обязанности и ответственность должностных лиц, работающих с персональными данными.
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •Фз № 98 «о коммерческой тайне»: область применения и основные положения закона.
- •Федеральный закон Российской Федерации 27 июля 2006 года n 149-фз "Об информации, информационных технологиях и о защите информации" область применения и основные положения.
- •Гост р исо/мэк 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
- •1 Область применения
- •Обеспечение информационной безопасности организаций банковской системы рф. Стандарт банка России сто бр иббс-1.0-2006 : назначение и основные положения стандарта.
- •Основные активы организации, рассматриваемые с позиции защиты информации.
- •Основные механизмы защиты информации (стандарты исо 17799 и исо 13335).
- •Конфиденциальность информации и механизмы ее обеспечения.
- •Целостность информации и механизмы ее обеспечения.
- •Доступность информации и механизмы ее обеспечения.
- •Какие другие механизмы защиты информации используются на практике? обеспечения.
- •Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
- •Какие направления включает в себя комплекс мер по защите информации?
- •Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
- •Понятие «уязвимость информационной системы». Примеры уязвимостей.
- •Информационные риски: определение, особенности, методы измерения.
- •Рекомендации стандартов исо 17799-3 и исо 13335-3 по анализу и обработке информационных рисков. Достоинства и недостатки методик обработки рисков в этих стандартах.
- •Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
- •Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?
- •Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.
- •Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.
- •Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
- •Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
- •Чем отличаются взгляды на цели и способы защиты информации лпр (лица, принимающего решения) от специалиста по защите информации? Специалист по защите информации
- •Методы идентификации и аутентификации пользователя в информационных системах.
- •Как хранить и передавать пароли?
- •Методы разграничения доступа к информационным активам организации.
- •Что такое криптографическая хэш-функция и какими свойствами она обладает?
- •Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать?
- •Методы биометрии, используемые при реализации механизма конфиденциальности информации. Краткая характеристика, достоинства и недостатки.
- •Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
- •Простая перестановка
- •Одиночная перестановка по ключу
- •Двойная перестановка
- •Перестановка «Магический квадрат»
- •Проблемы использования симметричных криптосистем. Достоинства
- •Недостатки
- •Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
- •Проблемы использования асимметричных криптосистем.
- •Механизм защиты информации в открытых сетях по протоколу ssl.
- •Методы защиты внешнего периметра информационных систем и их краткая характеристика.
- •Принципы обеспечения целостности информации Кларка и Вильсона.
- •Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
- •Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
- •Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
- •Механизмы построения системы защиты от угроз нарушения доступности.
- •Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
- •Формы проявления компьютерных угроз.
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Краткая характеристика вредоносных программ: эксплойтов, кейлоггеров и бэкдоров.
- •Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.
- •Механизмы заражения вирусами.
- •Основные функции классических компьютерных вирусов.
- •Сетевые черви: механизм заражения и основные функции.
- •Ddos –атаки: механизмы и последствия.
- •Рекомендации по защите от вредоносного кода.
- •Методы борьбы со спамом.
-
Методика управления рисками на основе оценки эффективности инвестиций (npv): достоинства и недостатки.
NPV(Чистая настоящая стоимость) - разница между суммарными дисконтированными положительными и суммарными дисконтированными отрицательными денежными потоками проекта
Если NPV > 0, то проект считается целесообразным - при принятой процентной ставке проект обеспечит возмещение вложенного капитала с некоторым избытком.
При расчете NPV положительные и отрицательные денежные потоки могут быть дисконтированы не раздельно, а в виде чистых денежных потоков (разницы между положительными и отрицательными денежными потоками), при этомрезультат не изменится
Если оцениваются проекты, не изменяющие доходы компании, а касаются только затрат, в качестве критерия оценки могут быть приняты суммарные дисконтированные отрицательные денежные потоки
В результате принимается проект, обеспечивающий минимальные суммарные дисконтированные отрицательные денежные потоки.
Достоинства NPV
- учитывает ценность денег во времени;
- учитывает денежные потоки проекта в течение всего срока;
- значение NPV всегда единственная величина при данной процентной ставке
Недостатки NPV
1.Трудность достоверного определения процентной ставки в нестабильной экономической ситуации
2. NPV - абсолютный показатель экономической оценки проекта. Крупномасштабный проект может характеризоваться большим значением NPV, но меньшей эффективностью - отдачей от вложенного капитала Исходя из второго недостатка:
Область применения NPV ограничивается оценкой проектов, характеризующихся сопоставимыми масштабами
Все признанные в мировой практике критерии эффективности инвестиционных проектов основаны на двух главных принципах: большие доходы предпочтительнее меньших доходов; ранние доходы предпочтительнее поздних доходов.
-
Методика управления рисками на основе оценки совокупной стоимости владения (tco): достоинства и недостатки.
ТСО - эффективный подход к определению наилучшего соотношения цена/качество для предприятий сферы услуг на основе рассмотрения таких ключевых бизнес-процессов, как восстановление после сбоев, управление модернизацией и техническая поддержка.
В рамках данного подхода предполагается оценка стоимости приобретения, администрирования, установки, перемещения и модернизации, технической поддержки и сопровождения, вынужденных простоев и других скрытых затрат. Сегодня данный подход приобрел достаточно широкое распространение. Подсчет полной стоимости владения стал стилем жизни многих руководителей технических подразделений, отдающих предпочтение беспристрастному анализу новых продуктов и обновлений. Производители оборудования могут заметно увеличить объемы продаж, если наделят продукцию возможностями снижения ТСО.
Методология TCO очень хорошо подходит для подсчета текущих стоимостных параметров, с ее помощью можно достаточно полно проанализировать эффективность выполнения каких-то отдельных функций или набора функций. В сочетании с другими параметрами, применяемыми на практике, она позволяет получить удачную схему учета и контроля расходов на информационные технологии. Однако методология TCO не учитывает риски и не позволяет соотнести технологию со стратегическими целями дальнейшего развития бизнеса и решением задачи повышения конкурентоспособности.
В настоящее время специалисты компании Gartner, предложившей этот подход, работают над созданием более широкой версии TCO - совокупной оценки возможностей (Total Value of Opportunity, TVO), которая должна оказать более заметное влияние на эффективность капиталовложений.