- •1. Корпоративная информационная система
- •2. Структура корпоративной информационной системы
- •3.. Классификация информационных систем.
- •4. Понятие архитектуры ис
- •5.Файл-серверная архитектура, хар-ка
- •6.Базовые стандарты инф.Систем
- •7. Стандартизация и сертификация инф.Систем.
- •8 Информационное обеспечение корпоративных информационных систем и его хар-ка
- •9.Критерии выбора кис
- •10. Виды обеспечения инф.Систем
- •11. Информационные ресурсы(ир). Классифик-я
- •12. Корпоративные информационные технологии
- •14. Информ.Обеспеч кис, хар-ка
- •15. Информационные модели организации.
- •16. Информационные потоки
- •18. Сетевое оборуд-е. Типы комп. Сетей
- •17. Технические средства кис, их классификация.
- •22. Пакеты прикладных программ в предметной области. Состояние рынка по рб.
- •23.Требования к по ис
- •19. Интернет. Корпорат сети. Хар-ки корпоративных комп.Сетей.
- •24. Классификация ппо
- •20. Администрирование компьютерных сетей
- •21. Интернет как эл-т инфраструктуры
- •26. Бизнес-процесс. Этапы реинжиринга бп
- •25.Сппр. Сис-мы интеллект. Анализа данных
- •27. Методы и модели искусств. Интеллекта
- •32. Участники рбп..
- •30. Интеллектуальные системы
- •28. Экспертная система:назначение и классиф-я
- •31.Системы управления знаниями. Рбп.
- •33. Искусственные нейроонные сети (инс)
- •34. Примеры реализации реинжиниринга бизнес-процессов в предметной области.
- •36. Понятие рбп
- •38. Интеллектуальный анализ данных
- •41.Методы и средста защиты инф кис
- •45. Безопасность инф систем
- •42 Классификация угроз информационной безопасности
- •44.Понятие комп преступности. Виды. Этапы развития комп преступности.
- •46 Классы безопасности информационных систем
- •47. Правовое обеспечение инф безопасности
- •48. Законодат-во рб в области иб
- •49.Политика безопасности
- •51. Критери оценки инф безопасности
- •58. Канонический и типовой подход к проектированию кис
- •40. Примеры применения сппр в предметной области
48. Законодат-во рб в области иб
С развитием процессов информатиз. общества на основе современных инф технологий и телекоммуникаций эти процессы становятся базой для обособления инф обществ отношений. В соврем условиях этот новый вид обществ отношений требуют адекватного правового регулирования, затрагивая едва ли не все отрасли права, и в первую очередь гражданское, административное, уголовное, гражданско-процессуальное и уголовно-процесс право. Рассмотрим некоторые актуальные вопросы информац законодат-ва на примере Закона Российской Федерации "Об информации, информатизации и защите информации" и аналогичного по структуре и содержанию Закона Республики Беларусь "Об информатизации".
Сферой действия настоящих законов являются отношения, возникающие при: – формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; – защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Действие указанных законов распространяется лишь на отношения, возникающие в связи с созданием и использованием документированной информации, то есть информации, каким-либо способом зафиксированной на материальном носителе (бумаге, дискете, магнитной ленте, фотопленке, в памяти ЭВМ и т.п.). Обязат условием для включения информации в информационные ресурсы является ее документирование. Порядок документирования регламентируется соответствующими нормативными актами, например ГОСТ 6 10 4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники", ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению документов" и др. В соответствии с указанными нормами, существует 31 реквизит документа. При этом не обязательно, чтобы при документировании информации были использованы все реквизиты. Набор реквизитов может быть различным, но позволяющим идентифицир-ть документ. Следует иметь в виду, что текст документа –главный его реквизит.
49.Политика безопасности
Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Задачи: 1) кому и какая инфа необход для выполн служебн обязанностей, 2) какая степень защиты необход для каждого вида инфы, 3) опред, какие именно сервисы информ безопасности и мехмы их реализ необход испол-ть в сис-ме, 4) как организ работу по ЗИ.
51. Критери оценки инф безопасности
В качестве критериев оценки обеспечения защиты информации могут выступать:Корпоративные стандарты (собственная разработка);Замечания аудиторов;Стандарты лучшей мировой практики (например, BS7799/ISO17799);Число инцидентов в области безопасности;Финансовые потери в результате инцидентов;Расходы на ИБ;Эффективность в достижении поставленных целей.
52. Методы и средста защиты инф КИС : криптограф, электр подпись и компьютерная стенография
Для обеспечения ИБ использ. след. методы:законодательный (комплекс мер, направл. на создание и поддержание в общ-ве негативного отношения к нарушениям и нарушителям ИБ), админ-организ методы (администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соотв. ресурсы) программно-технич. методы и средства (защищ. виртуальные частные сети для защиты инф, передаваемой по открытым каналам связи; межсетевые экраны для защииты корпор. сети от внешних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкцион. доступа; гарантионная идентификпция пользователей путем применения токенов и других средств аутентификации; защита инф. на файловом уровне для обеспеч. ее надежного хранения; защита от вируов; обнаружение вторжений и активного исследования защищенности инф ресурсов; криптографичекое преобразование данных для обеспечения целостности, подлинности и конфиденциальности инф-и)
Криптограф. алгоритм или шифр – математич. формула, опис. процессы зашифровыаания и расшифровывания. Для того, чтобы зашифровать открытый текст, крпитоалгоритм работает в сочетании с ключом – словом, числом, фразой. Использование криптосистем с открытым ключом предоставляет возможность создания электронных цифровых подписей (ЭЦП) – это реквизит электр. документа, предназнач. для удостоверения источника данных и защиты эл документа от подделки.
53. Аппаратно-программное (ПТе) обеспечение защиты ИБ
ПТя подсистема защиты объектов включает: физические ср-ва(Фс), аппаратные(Ас), программные(Пс), аппаратно-программные(А-П), криптографические методы(Км) защиты инф-и.
1.физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);
2.аппаратные, которые реализуются в виде электрических, электромеханических и электронных устройств (наиболее известные аппаратные средства – это схемы контроля информации по четности, схемы защиты полей памяти по ключу и т.д.);3.программные средства – это программное обеспечение, которое предназначено для выполнения функции защиты информации;
ПСЗ предназначены для выполнения логических и интеллект-х функций З-ты. ПСЗ инф-и являются наиб. распростр-м видом З-ы, чему способствуют такие их +е св-ва, как универс-ть, гибкость, простота реализации, возм-ти изменения и развития. С помощью ПСЗ реш-ся след-е задачи инф-й без-ти: 1.контроль входа в систему с помощью перс-х идентификаторов (имя, код, пароль и т. п.); 2.защита файлов от вирусов;
А-ПСЗ связаны с совместным использ-м П и А СЗ. Эти СЗ широко использ-ся при реализации биометрических методов аутентификации (Ау) польз-й автоматиз-х инф-х систем. КМЗ предст. соб. М-ды З. криптографического преобразования (преобр-е данных шифрованием). Основные сервисы подсистемы безопасности: 1) Идентификация пользователя, 2) аутентификация, 3) управление доступом, 4) конфиденциальность данных, 5) контроль целостности данных, 6) доказательства принадлежности, 7) физическая защита инфраструктуры.
Поскольку современные корпоративные информационные системы базируются на использовании сетей, то актуальным является применение различных сетевых протоколов защиты: SSL, SET, IPSec, SWAN, SMIME.
SSL – криптографический протокол, обеспечивающий защищенность и целостность передачи данных по сети Интернет. Протокол SET– протокол защищенных электронных транзакций) предназначен для защиты электронных платежей в Интернет, производимых с помощью платежных карточек. IPSec– набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. Протокол SWAN – поддерживает шифрование на уровне IP, что обеспечивает низкоуровневую и более надежную защиту, чем высокоуровневые протоколы типа SSL. SMIME– это протокол, который обеспечивает шифрование сообщений электронной почты. Наиболее уязвимый уровень с точки зрения защиты - это сетевой уровень. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты.
57. Основные этапы пректирования КИС
Процесс разработки информационной системы, как правило, рассматривают с двух точек зрения: • по содержанию действий разработчиков (групп разработчиков) — рассматривается статический аспект процесса разработки, описываемый в терминах основных потоков работ (исполнители, действия, последовательность действий и т.д.); • по времени или по стадиям жизненного цикла разрабатываемой системы — рассматривается динамическая организация процесса разработки, описываемая в терминах циклов, стадий, итераций и этапов.
Начало – устанавливается область применения и граничные условия функционир-я системы, идентифицир-ся все внешние объекты, с кот. должна взаимод-ть система, идентифицир. функцион. возможности системы, уточнение технического предложения в ходе переговоров с заказчиком о заключении договора:• разработка и утверждение технического задания;• разработка планов работ;• составление бюджета проекта; • подписание договора с заказчиком. Проетирование – определить, сохдать и испытать базовую версию архитектуры разрабат. системы., определения подсистем КИС, их взаимосвязи, выбора наиболее эффективных способов выполнения проекта и использования ресурсов: • выполнение концептуального проектирования;• разработка технических спецификаций;• представление проектной разработки, экспертиза и утверждение.
РАЗРАБОТКА – наиболее трудоемкая стадия, т.к. к этому времени определены риски, связ. с разработкой системы, задана архитектура и определено больш-во требований. производится координация и оперативный контроль работ по проекту, осуществляется создание подсистем и их тестирование:• разработку программного обеспечения;• подготовку к внедрению системы;• контроль и регулирование основных показателей проекта. После завершения каждой итерации формируется более стабильная версия, в которой реализовано больше фунц. возможностей. Внедрение – включает исправление дефектов и заключительные процессы проводятся испытания, идет опытная эксплуатация системы в реальных условиях, ведутся переговоры о результатах выполнения проекта и о возможных новых контрактах: • опытная эксплуатация;• подготовка кадров для эксплуатации создаваемой системы;• подготовка рабочей документации;• сдача системы заказчику;• сопровождение, поддержка, сервисное обслуживание;• накопление опытных данных для последующих проектов.