- •1 Основные составляющие национальных интересов рф в информационной сфере.
- •2 Принципы гос политики обеспечения иб
- •3 Методы обеспечения иб
- •4 Уровни обеспечения безопасности
- •5 Иформационная война
- •6 Основные задачи обеспечения иб
- •7 Защита информации как комплекс мероприятий по обеспечению информацию
- •8 Основные кртерии оценки надежности инфор
- •9 Основные предметные направления зи
- •10 Российские общегосударственные правовые док-ты по зи
- •11 Уровни доступа инф
- •12Защита гос тайны
- •13 Защита интеллект собств
- •14 Ответственность за нарушение ..
- •15 Зарубежные стандарты иб
- •16 Сущность организационной защиты и ее место в комплексной системе защиты инф.
- •17 Направление организационной защиты и ее место в комплексной системе защиты инф-и
- •18 Мероприятия по обеспечению орг-й защиты.
- •19. Соотношение организационных методов и с правовыми и техническими методами защиты инф-и при использовании технических средств передачи, обработки и хранения инф-и
- •20 Организационные меры обеспечения иб инф-х систем.
- •23 Криптография как метод защиты информации. История развития и использовании .
- •24 Основные понятия криптографии: алфавит, текст, шифрование…
- •25.Типы криптосистем. Основные методы шифрования и кодирования.
- •26 Электронная цифровая подпись: понятие и структура. Понятие эл-го сертификата. Модели систем сертификации.
- •27 Особенности защиты инф-и в пк. Методы защиты….
- •28 Процесс аутентификации показателя в современных операционных системах.
26 Электронная цифровая подпись: понятие и структура. Понятие эл-го сертификата. Модели систем сертификации.
ЭЦП – это параметр электронного документа отвечающие за его достверность.
Эцп – последовательность символов которая генерируется с помощью криптографического преобразования информации.
Основные термины:
закрытый ключ-информ. длиной 256 бит, хранящаяся в недоступном для других лиц месте.
Открытый ключ-информ длиной 1024 бита для проверки ЭЦП плученных документов.
Законодательная база по ЭЦП: 1 закон РФ №63 «Об ЭЦП» от 06.04.2011г; 2 ГК РФ ч.1 ст.160 п.2, ст.434 п.1,2; 3 материалы высшего арбитражного суда РФ.
Использование ЭЦП позволяет: 1 минимизировать риск финансовых потерь за счет повышения конфеден. и информационного обмена документами. 2 значительно сократить время движения документов в процессе оформления отчетов и обмена документацией. 3 возможность использовать одну эцп в электронных торгах при сдаче отчетности в гос.ограны при работе с финн.документами. 4 усовершенствовать процедуру подготовки,доставки,учета,хранения документов, гарантировать достоверность документации. 5 соглашение с основными зарубежными системами удостоверения. 6 построить корпоративную систему обмена документами.
Приобретение ЭЦП. Для юр.лиц:* заявка на получение эцп; * копия паспорта заявителя; *копия устава орг-ции; * копия свидетельства о поставке на налоговый учет *платежное поручение свидетельств-е об оплате.
Для физ.лиц: *заявка; *копия паспорта; * платежное поручение.
Сертификация– это процедура, посредством которой третья сторона документально удостоверяет, что продукция, процесс или услуга соответствуют установленным требованиям.
Система сертификации – совокупность участников сертификации, осуществляющих сертификацию по правилам, установленным в этой системе
ISO — это международная организация по стандартизации (International Organization for Standartization), созданная еще в 1947 году.
ПРОЦЕССНАЯ МОДЕЛЬ СИСТЕМЫ КАЧЕСТВА НА БАЗЕ ARIS
В настоящее время для многих российских предприятий становится актуальным соответствие их деятельности международным стандартам ИСО серии 9000. Системы качества — QM- системы (Quality Management Systems) являются важной составной частью системы управления предприятием.
Реальная QM-система обычно включает 20 элементов, вошедших в МС ИСО 9001 и определяющих основные требования к QM-системе.
МОДЕЛЬ ПРОЦЕДУРЫ СЕРТИФИКАЦИИ ПО МС ИСО СЕРИИ 9000
В процесс проектирования QM-системы необходимо вовлечь каждый отдел и каждого служащего. В зависимости от размера предприятия и применяемых методов управления им на проектирование системы требуется от 6 до 18 месяцев. Основные этапы процедуры сертификации по ИСО серии 9000.
27 Особенности защиты инф-и в пк. Методы защиты….
Персональные компьютеры (ПК) обладают всеми свойствами ЭВМ других классов, поэтому, вообще говоря, все проблемызащиты информации в построенных на их основе системах и подходы к защите аналогичны рассмотренным выше. Однако персональным компьютерам присущ ряд таких свойств, которые, с одной стороны, благоприятствуют защите, а с другой — затрудняют ее и усложняют.Основные цели защиты информации:• обеспечение физической целостности; • обеспечение логической целостности; • предупреждение несанкционированного получения; • предупреждение несанкционированной модификации; • предупреждение несанкционированного копирования. Защита ПК от несанкционированного доступа. Как показывает практика, несанкционированный доступ (НСД) представляет одну из наиболее серьезных угроз для злоумышленного завладения защищаемой информацией в современных АСОД. Как ни покажется странным, но для ПК опасность данной угрозы по сравнению с большими ЭВМ повышается, чему способствуют следующие объективно существующие обстоятельства: 1) подавляющая часть ПК располагается непосредственно в рабочих комнатах специалистов, что создает благоприятные условия для доступа к ним посторонних лиц; 2) многие ПК служат коллективным средством обработки информации, что обезличивает ответственность, в том числе и зазащиту информации; 3) современные ПК оснащены несъемными накопителями на ЖМД очень большой емкости, причем информация на них сохраняется даже в обесточенном состоянии; 4) накопители на ГМД производятся в таком массовом количестве, что уже используются для распространения информации так же, как и бумажные носители;5) первоначально ПК создавались именно как персональное средство автоматизации обработки и Специальное программное обеспечение по защите информации ПК.Для защиты персональных компьютеров используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандартных защитных средств персонального компьютера наибольшее распространение получили: 1,Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя;2,Применение различных методов шифрования, не зависящих от контекста информации; 3, Средства защиты от копирования коммерческих программных продуктов; 4,защита от компьютерных вирусов и создание архивов.5,Средства, использующие парольную идентификацию информации, а потому и не оснащались специально средствами защиты от НСД.
Политика безопасности
В реальной жизни термин "политика безопасности" трактуется гораздо шире, чем в "Оранжевой книге". Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
*формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы;
*формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
*обеспечение базы для соблюдения законов и правил;
*формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к интернету использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
!описание аспекта. *!область применения. *!позиция организации по данному аспекту. *!роли и обязанности *!законопослушность. +!точки контакта. *
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.
При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее.