- •2. Техническое обеспечение
- •3. Протоколы, используемые в локальных сетях
- •4. Пакеты прикладных программ
- •7. Модель iso
- •8. Сервисы Интернет
- •9. Искусственный интеллект. Системы ии
- •10. Системы поддержки принятия решений
- •11. Правовое обеспечение безопасности информационных систем
- •15. Этапы реинжиниринга
- •16. Методы кодирования, хар-ка
- •17. Устройства, кот. Необходимы для организации комп. Сети в офисе фирмы
- •18. Протокол tcp/ip
- •19. Методы и средства защиты информации
11. Правовое обеспечение безопасности информационных систем
Затрагивает отрасли права - гражданское, административное, уголовное, гражданско-процессуальное и уголовно-процессуальное. Основным правовым актом в РБ, регулирующим информ. общественные отношения, явл. Закон РБ «Об информатизации» от 05.09.1995 г. Сфера действия - отношения, возникающие при: формировании и использовании информ. ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информ. технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информ. процессах и информатизации. Действия этого закона распространяются на отношения, возникающие в связи с созданием и использованием документированной информации (зафиксированная на мат. носителе (бумаге, дискете, магнитной ленте, фотопленке, в памяти ЭВМ и др.) информа с реквизитами, позволяющими ее идентифицировать). Обязательным условием для включения информации в информационные ресурсы является ее документирование. Порядок док-ия регламентируется соответствующими нормативными актами (напр., ГОСТ 6.10.4-84 «Унифицированные системы документации»). Документ, содержащий информу, обработанную информ. системой, приобретает юр. силу после его удостоверения должностным лицом в установленном порядке или электронной подписью (статья 11 Закона РБ «Об информатизации»). Юр. сила электронной подписи признается при наличии в информ. системах и сетях программно-техн. средств, обеспечивающих идентификацию подписи и имеющих сертификат соответствия или удостоверения о признании сертификата, выданного в нац. системе сертификации РБ (статья 11 Закона РБ «Об информатизации»). Согласно закона, объектами права собственности в сфере информатизации выступают: документированная информация; информ. ресурсы; информ. технологии; комплексы программно-техн. средств; информ. системы и сети.
12. Критерии оценки информ. безопасности
1 критерий в США 1988 г. Нац. центром для министерства обороны США. Выделены общие требования к обеспечению безопасности обрабатываемой информы, определен перечень показателей защищенности: класс D - подсистема безопасности (присваивается системам, кот. не прошли испытаний на более высокий уровень защищенности, системам, кот. для своей защиты используют лишь отд. функции безопасности); класс С1 — избирательная защита (обеспечивается разделение пользователей и данных, каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа; класс С2 - управляемый доступ (С1, добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий); класс В1 - меточная защита (присваиваются метки субъектам и объектам системы, кот. содержат конфиденциальную информацию, Доступ - чья метка отвечает опред. критерию относительно метки объекта; класс В2 - структурированная защита (В1 + наличие требований опред., документированной формальной модели пол-ки безопасности и управления информ. потоками (контроль скрытых каналов), предъявление доп. требования к защите механизмов аутентификации; класс ВЗ - область безопасности (реализована концепция монитора ссылок, Действия выполнятьются в рамках областей безопасности, кот. имеют иерархическую структуру и защищены друг от друга с помощью спец. механизмов); класс А1 - верифицированная разработка – (анализа спецификаций систем на предмет неполноты или противоречивости). 1992 г. Гостехкомиссия при Президенте России - «Руководящие документы», посвященные проблеме защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Автоматизированные систем (АС) по уровню защищенности от НСД делят на 9 классов, кот. хар-ся опред. min совокупностью требований к защите. Классы подразделяют на 3 группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдают иерархию требований к защите в зависимости от ценности (конфиденциальности) информации и иерархию классов защищенности АС. В РБ придерживаются той же концепции.
13. Особенности обеспечения безопасности в компьютерных сетях
1987 Нац. центр комп. безопасности США выпустил интерпретацию «Оранжевой книги» для сетевых конфигураций. Функции безопасности, хар-ные для распределенных систем: аутентификация, обеспечивающая аутентификацию партнеров по общению и аутентификацию источника данных; управление доступом, кот. обеспечивает защиту от несанкционированного использования ресурсов; конфиденциальность данных (защита от несанкционированного получения информации); целостность данных (защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание, при кот. результат шифрования очередного сообщения зависит от предыдущего, или иные аналогичные приемы; шифрование, электронная подпись; механизмы управления доступом, механизмы нотаризации служит для заверения целостности, времени, личности отправителя и получателя. Основой функционирования явл сетевые протоколы (пр.: Secure Sockets Layer (SSL), поддерживающийся Web-браузерами, обеспечивает установление канала шифрованной связи между Web-клиентами и серверами, независимость от алгоритма шифрования. Криптография. Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. Брандмауэры прикладного уровня используют серверы конкретных услуг - TELNET, FTP, proxy server и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Сервер уровня соединения представляет из себя транслятор ТСР-соединения. При разработке и проведении в жизнь пол-ки безопасности для информ-системы на базе сети учитывать принципы: невозможность миновать защитные средства при доступе в систему; разделение обязанностей; невозможность перехода системы в небезопасное состояние; разнообразие защитных средств; простота и управляемость информ. системы; обеспечение всеобщей поддержки мер безопасности.
14. Информационные технологии играют важную роль в реинжиниринге
ИТ играют важную роль в реинжиниринге, выделяют два направления влияния ИТ на деятельность организации: применение методов ИТ для анализа и конструирования бизнес-процессов; создание новых бизнес-процессов, позволяющих коренным образом изменить базовые правила работы организаций. Современные инструментальные средства делятся на категории: 1. Средства создания диаграмм и инструментарии низкого уровня (Micrografx: ABC Flowcharter). Явл. дешевыми (от 300 до 1000 дол.), предназначенными для автоматизации первой и, возможно, второй фазы реинжиниринга. Используют для описания целей и перспектив компании, не имеют связей со средствами быстрой разработки приложений, иногда включают элементы имитационного моделирования, но на довольно низком уровне. 2. Средства описания потоков работ (Action Technologies: Action Workflow Analyzer). Позволяют проектировать планы работ над проектами, просты в использовании, но средства анализа получаемых планов довольно слабы. Стоимость - порядка 1000 дол. 3. Средства имитационного моделирования или анимации (CACI: Modsim). Это - довольно дорогостоящие средства (от 10000 до 30000 дол.). Предлагают имитационное моделирование с помощью графических средств, библиотек специализированных программ и специализированных языков, используются для выполнения сложных проектов, в крупных фирмах или на уровне нескольких организаций. 4. CASE, объектно-ориентированные инструментарии и средства быстрой разработки приложений (Prech: Framework). Ориентированы исключительно на разработчиков информ.систем. 5. Интегрированные инструментальные средства, автоматизирующие в основном этапы проведения реинжиниринга бизнес-процессов (Coopers & Lybrand: SPARKS). Стоимость данных средств от 10 000 до 50 000 дол. Фирмы-поставщики предлагают методологическую поддержку, организацию многопользовательского доступа к инструментарию, стыковку со средствами быстрой разработки приложений и даже возможности имитационного моделирования и анимации. Использование указанных средств требует специальной подготовки. Некоторые из них ориентированы на бизнесменов и могут использоваться ими без посредничества специалистов в области информ. технологий.