- •Национальные интересы в информационной сфере:
- •2.Понятие безопасность и ее определения:
- •4.Уровни обеспечения информационной безопасности:
- •5.Основные угрозы информационной безопасности:
- •6.Основные направления обеспечения безопасности и их взаимосвязь с информационной безопасностью:
- •Законность
- •Системность
- •Комплексность
- •Непрерывность защиты
- •Своевременность
- •Преемственность и совершенствование
- •Разделение функций
- •Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)
- •Открытость алгоритмов и механизмов защиты
- •Простота применения средств защиты
- •Научная обоснованность и техническая реализуемость
- •Специализация и профессионализм
- •Взаимодействие и координация
- •Обязательность контроля
- •7.Основные законы, относящиеся к организации и функционированию системы информационной безопасности и защиты информации:
- •8.Нормативно-правовые документы в области информационной безопасности:
- •9.Предмет и объект защиты информации в автоматизированных системах обработки данных:
- •10. Надежность информации:
- •11.Уязвимость информации:
- •Классификация уязвимостей
- •12.Элементы и объекты защиты в информационных системах:
- •13.Целостность, доступность, конфиденциальность:
- •14. Причина нарушения целостности информации и их классификация:
- •15.Каналы несанкционированного получения информации в асод:
- •16.Преднамеренные угрозы безопасности асод:
- •17. Основные способы защиты информации:
- •18.Основные задачи информационной безопасности:
- •19.Основные сетевые атаки в информационных системах:
- •20.Потенциальные угрозы информации, обрабатываемой пэвм:
- •21. Каналы преднамеренного нсд к информации в пэвм:
- •22.Возможные каналы нсд и информации пэвм и потенциальные угрозы:
- •23.Антивирусные средства защиты информации:
- •24.Вирусы как угроза информационной безопасности:
- •26. Идентификация и аутентификация:
- •27.Способы ограничения доступа к пэвм:
- •28.Оценка уровня безопасности от преднамеренного нсд в пэвм:
- •29.Криптографические методы защиты информации:
- •30.Основные криптографические шифры и их применения:
- •Симметричные криптографические системы
- •Асимметричные криптографические системы
- •32.Государственная тайна, основные понятия:
- •Раздел I. Общие Положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны
- •33.Классификация информационных ресурсов:
7.Основные законы, относящиеся к организации и функционированию системы информационной безопасности и защиты информации:
-
Закон Российской Федерации «О государственной тайне» от 21.07.93 №5485-1.
-
Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
-
Закон Российской Федерации «О персональных данных» от 27.07.2006г. № 152-ФЗ.
-
Закон Российской Федерации «О международном информационном обмене» от 04.07.96 №85-ФЗ.
-
«Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895.
-
Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.
-
Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».
-
Постановление Правительства Российской Федерации от 03.11.94 г. №1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти».
-
Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.95 №1203.
-
«Положение о сертификации средств защиты информации».
-
«Положение о сертификации средств защиты информации по требованиям безопасности информации»
8.Нормативно-правовые документы в области информационной безопасности:
-
Указ "Об основах государственной политики в сфере информатизации" N 170 от 20.01.94г.
-
УП РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286
-
УП РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351
-
УП РФ "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188
-
УП РФ "Вопросы Федеральной службы безопасности Российской Федерации" от 11 июля 2003 года №960
-
УП РФ "Вопросы федеральной службы по техническому и экспортному контролю" от 16 августа 2004 г. № 1085 (с изменениями и дополнениями от 22 марта 2005 г. № 330; от 20 июля 2005 г. №846; от 30 ноября 2006 г. № 1321)
-
УП РФ "Концепция национальной безопасности Российской Федерации" от 17 декабря 1997 г. № 1300 в редакции Указа Президента РФ от 10 января 2000 г. № 24
-
Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 9.09.2000г. №Пр-1895)
9.Предмет и объект защиты информации в автоматизированных системах обработки данных:
Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД.
Основными видами информации, подлежащими защите в АСОД, могут быть:
§ исходные данные, т.е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем;
§ производные данные, т.е. данные, полученные в АСОД в процессе обработки исходных и производных данных;
§ нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты;
§ программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации;
§ алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД);
§ методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД);
§ постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД);
§ техническая, технологическая и другая документация, находящаяся на объектах АСОД.
Под угрозой информации в АСОД понимают меру возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации.
Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы:
I. Механизмы защиты:
1) введение избыточности элементов системы;
2) резервирование элементов системы;
3) регулирование доступа к элементам системы;
4) регулирование использования элементов системы;
5) маскировка информации;
6) контроль элементов системы;
7) регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД;
8) своевременное уничтожение информации, которая больше не нужна для функционирования АСОД;
9) сигнализация о состоянии управляемых объектов и процессов;
10)реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.
II. Управления механизмами защиты:
1) планирование защиты – процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование;
2) оперативно-диспетчерское управление защитой информации – организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов;
3) календарно-плановое руководство защитой – регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализе этой информации и выработке решений о корректировке планов защиты;
4) обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации – планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.
К основным методам защиты информации относятся:
Ø повышение достоверности информации;
Ø криптографическое преобразование информации;
Ø контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
Ø ограничение доступа;
Ø разграничение и контроль доступа к информации;
Ø разделение доступа (привилегий);
Ø идентификация и аутентификация пользователей, технических средств, носителей информации и документов.