- •1.Что называется информационной безопасностью и какие данные называются критическими?
- •3. Какие четыре уровня защиты компьютерных и информационных ресурсов вы можете назвать?
- •4. Перечислите признаки, свидетельствующие о наличии уязвимых мест в информационной безопасности?
- •5. Перечислите меры защиты инф.Безоп.?
- •6. Какие меры предпринимают по защите целостности информации, защите системных программ?
- •7. Что включает в себя защита компьютерных программ?
- •8. Что подразумевает физическая безопасность и какие меры предпринимаются для ее обеспечения?
- •9. Назовите цель онрв и его основные положения?
- •10. Назовите основные компоненты системы информационной безопасности, которые должны быть предусмотрены в онрв.
- •12. Законодательная основа информационной безопасности, статьи и пр.
- •14. Основные принципы защиты информации на административном уровне?
- •15. Средства Разграничения доступа.
- •16. Что такое cgi процедуры, их назначения?
- •17. Чем опасна программа, полученная из ненадежного источника, какие вы знаете средства контроля над такими программами?
- •18. Как осуществляется защита web-серверов?
- •19. Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов.
- •20. Криптографическая защита корпоративных потоков данных.
- •21. Влияние сетевой архитектуры на обеспечение безопасности данных.
- •22. Чем определяется концепция обеспечения безопасности асои.
- •23. В чем состоит избирательная политика безопасности способом управления доступом.
- •24. Организационные меры безопасности асои.
- •25. Физические, правовые и морально-этические меры безопасности.
- •26. Программно-технические средства защиты асои.
- •32. Сетевые платежные системы.
- •33. Дублирование информации.
- •34. Повышение надежности кс.
- •35. Создание отказоустойчивых кс.
8. Что подразумевает физическая безопасность и какие меры предпринимаются для ее обеспечения?
Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий (пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники.
Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой.
Следующие признаки могут указывать на наличие уязвимых мест в физической безопасности:
разрешено курить, есть и пить рядом с компьютерами;
компьютерное оборудование оставляется в незапертых комнатах или является незащищенным по какой-либо другой причине;
не установлена пожарная и охранная сигнализация;
диски оставляются в ящиках столов, не делается архивных копий дисков;
посетителям не задается вопросов о причине их нахождения в помещениях, где установлены компьютеры;
реестр компьютерного оборудования и программ отсутствует, неполон, не обновляется или не проверяется после его заполнения;
распечатки, микрофиши, диски, содержащие критические данные выбрасываются в обычное мусорное ведро;
замки на входах в помещения, где находится компьютерное оборудование, никогда не менялись;
не производилось аттестации автоматизированной системы организации, то есть анализа насколько она уязвима к доступу неавторизованных людей, пожару или наводнению.
9. Назовите цель онрв и его основные положения?
Планы обеспечения непрерывной работы и восстановления (ОНРВ) должны быть написаны, проверены и регулярно доводиться до сотрудников. Планы ОНРВ должны учитывать наличие операций архивации, то есть, как будет обрабатываться информация, если компьютеры, на которых она обрабатывалась обычно, нельзя использовать, и объективно существует необходимость восстановления потерянной или разрушенной информации. Особенно актуальны для компьютеров такие разделы планов ОНРВ, которые должны учитывать выход из строя той или иной периферийной техники, например, выход из строя сетевого принтера. Организационные и технические процедуры должны планироваться в расчете на пожар, затопление и другие проишествия.
Храните архивные копии, включая план ОНРВ, в безопасном месте, удаленном от основных помещений, занимаемых компьютерами. Процедуры плана должны быть адекватны уровню безопасности и критичности информации.
Знайте, что делать в случае чрезвычайных ситуаций и будьте знакомы с планом ОНРВ. Помните, что план ОНРВ может применяться в условиях неразберихи и паники
10. Назовите основные компоненты системы информационной безопасности, которые должны быть предусмотрены в онрв.
12. Законодательная основа информационной безопасности, статьи и пр.
25 января 1995 года –Фед. закон «Об информации, информатизации и защите информации». В законе даны определения основных терминов: информация; информатизация; информационные системы; информационные ресурсы; конфиденциальная информация; собственник и владелец информационных ресурсов; пользователь информации. В законе определены права и обязанности граждан и государства по доступу к информации. В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности в сфере информационных технологий. В этом законе определены цели и режимы защиты информации, а также порядок защиты прав субъектов информационных процессов и информатизации.
21.07.1993г - закон РФ «О государственной тайне». определяет уровни секретности государственной информации (грифы секретности) и соответствующую степень важности информации.
30 ноября 1995 года- «Перечнем сведений, отнесенных к государственной тайне».
23 сентября 1992 года «О правовой охране программ для электронных вычислительных машин и баз данных» - Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации
09 июля1993 года - Законом Российской Федерации от «Об авторском праве и смежных правах».
1 января 1997 года введен в действие новый Уголовный кодекс РФ. В него впервые включена глава №28, в которой определена уголовная ответственность за преступления в области компьютерных технологий.
В статье 272 предусмотрены наказания за неправомерный доступ к компьютерной информации..
Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ. По этой статье предусмотрено наказание от штрафа в размере минимальной оплаты труда или иного дохода осужденного за два месяца до лишения свободы на срок до семи лет (в зависимости от последствий).
В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМЮ, системе ЭВМ или их сети, если данное деяние причинило существенных вред.
13. Что такое политика безопасности на административном уровне?
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
невозможность миновать защитные средства;
усиление самого слабого звена - Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.
невозможность перехода в небезопасное состояние - означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.
минимизация привилегий - Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
разделение обязанностей - предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс
эшелонированность обороны - За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит.
разнообразие защитных средств - рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).
простота и управляемость информационной системы;
обеспечение всеобщей поддержки мер безопасности - носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.