- •1. Законодательная база по зи.
- •Законы «о гос. Тайне», «о коммерческой тайне», «о персональных данных»
- •Гост 15408, 13335, 2700.1
- •Глава 28 ук рф.
- •Глава 4 гк рф.
- •2. Классификация угроз, меры и принципы защиты.
- •3. Общие методы шифрования.
- •4. Гост 28147-89
- •Режим простой замены (ecb).
- •Режим гаммирования (ofb - output feedback).
- •Гаммирование с обратной связью (cfb).
- •Режим выработки имитовставки (cbc).
- •5. Семейство «Криптон».
- •6. Понятие Key Recovery.
- •7. Понятие ассиметричной криптографии, схемы её практического использования.
- •8. Алгоритм Диффи-Хэлмана, rsa.
- •9. Контроль целостности, хэш-функции, российский стандарт хэш-функции.
- •10. Понятие, стандарты, реализация электронной подписи.
- •11. Сертификаты, са, ssl, аутентификация с помощью сертификатов.
- •12. Стеганография(сг). Цифровые водяные знаки.
- •14. Классификация сзи по уровню контроля отсутствия недекларируемых воздействий.
- •15. Биометрические методы идентификации
- •16. Электронные идентификаторы iButton.
- •17. Secret Net5.0-c, архитектура сзи нсд, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит.
- •18. Электронные ключи.
- •20. Защита информации в Windows nt/2000/xp/2003/Win7. Объект доступа. Efs, наследование. Bitlocker.
- •21. Защита информации в Windows nt/2000/xp/2003. Аудит.
- •22. Защита реестра в Windows nt/2000/xp/2003.
- •23. Особенности зи в Windows Vista, Win7.
- •Правила для приложений
- •25. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •26. Понятие vpn и схемы реализации взаимодействия с провайдером.
- •Шифрующая файловая система (Encrypting File System, efs) — компонент ntfs 5.0, с помощью которого пользователи Windows могут обеспечить конфиденциальность файлов на диске формата ntfs.
Глава 28 ук рф.
Статья 272 – неправомерный доступ к компьютерной информации, если он повлек уничтожение, блокирование, модификацию, копирование информации либо нарушение работы компьютера. Срок до 2-х лет.
Статья 273 – создание, использование и распространение вредоносных программ. Создание программ для ЭВМ или внесение изменений в существующие программы заведомо приводящие к уничтожению, блокированию, модифицированию или копированию информации, нарушение работы ЭВМ или сети ЭВМ. Срок до 3-х лет.
Статья 274 – нарушение прав эксплуатации ЭВМ или сети ЭВМ. См. пункт до этого, тоже самое примерно. Тоже деяние повлекшее тяжелые последствия до 7 лет.
Статья 146 – «нарушение авторских прав». Незаконное использование объектов авторского права или присвоение авторства, если деяние понесло большой ущерб(в плане денег) то до 2 лет. Если неоднократно либо группой по предварительному сговору до 5 лет.
Статья 7.12 Кодекса Административных правонарушений. Незаконное использование экземпляров в целях получения доходов наказывается штрафом до 20 МРОТ.
Глава 4 гк рф.
Статьи 1250,1252,1301, согласно им, обладатель прав на программу может потребовать признание своих прав, возмещение причиненных убытков, включая сумму полученных доходов, а также может потребовать вместо возмещения убытка – компенсацию, при этом ненужно доказывать размер убытка. Размер компенсации до 6 миллионов рублей.
2. Классификация угроз, меры и принципы защиты.
Угрозы безопасности.
Внутренние могут быть реализованы:
За счет внештатных функций сетевого ПО.
За счет ошибок сервера и РС позволяющих несанкционированный доступ к ресурсу.
Ошибки сетевых протоколов.
Преднамеренные и непреднамеренные сбои системы.
Ошибки или злой умысел персонала.
Внешние:
Несанкционированный доступ к системе.
Снятие информации с компьютерной техники, за счет электромагнитных излучений.
Использование визуальных каналов.
Классификация угроз безопасности ОС:
По цели реализации угроз:
- несанкционированное чтение.
- несанкционированное изменение.
- несанкционированное уничтожение информации.
- разрушение самой ОС.
2. По признаку воздействия на ОС:
- используется легальный канал получения информации.
- используется скрытый канал получения информации.
- создание новых каналов получения информации.
3. По характеру воздействия:
- активные воздействия.
- пассивные воздействия.
4. По способам воздействия:
- непосредственное воздействие.
- превышение пользователем своих полномочий.
- работа от имени другого пользователя.
- использование результатов работы другого пользователя.
5. По способу действия злоумышленника:
- пакетный режим.
- интерактивный режим.
6. По объекту атаки:
- ОС в целом.
- объекты ОС.
- субъекты ОС.
- каналы передачи данных.
7. По использованию средств атаки:
- штатные средства ОС.
- ПО третьих фирм.
- Специально написанное ПО.
8. По состоянию атакуемого объекта:
- хранение.
- передача.
- обработка.
Принципы ЗИ:
Конфиденциальность информации (ограничение доступа к ней) и предотвращение несанкционированного доступа.
Обеспечить целостность информации.
Необходимо обеспечить доступность информации, легальным пользователям.
Меры зашиты информации:
Правовые меры защиты (законы, указы и другие НА, документированный порядок ЗИ и ответственность за её нарушение).
Морально-этические меры противодействия (нормы поведения сложившиеся в компьютерной сфере).
Организационные и административные меры защиты (регламентированный процесс функционирования системы, порядок использования её ресурсов, а так же деятельность персонала чтобы предотвратить утечки информации, включают в себя мероприятия по учету, хранению, использованию и уничтожению документов и носителей информации, По разграничению доступа и паролей).
Технические меры защиты (физические). Основано на применении механических, электрических устройств, обеспечивающих физическое препятствие на путях злоумышленников, сюда относятся средства видеонаблюдения, связь и охранные сигнализации).
Аппаратно-программные средства защиты (обеспечивают непосредственную защиту информации).
Принципы защиты:
Многоуровневая организация (Предполагает ранжирование информации по степеням компенсации).
Системность (Предполагает системны подход к защите информации и учет всех взаимосвязей и изменений во времени элементов, условий и факторов влияющих на безопасность информации).
Принцип комплексности (Предполагает ЗИ всей гаммой мер).
Принцип разумной достаточности (Создать абсолютную непреступную систему защиты, все зависит от количества времени и денег которыми располагает злоумышленник).
Принцип простоты использования средств защиты (Механизмы защиты должны быть понятны и просты в использовании).