- •1.Что называется информационной безопасностью и какие данные называются критическими?
- •3. Какие четыре уровня защиты компьютерных и информационных ресурсов вы можете назвать?
- •4. Перечислите признаки, свидетельствующие о наличии уязвимых мест в информационной безопасности?
- •5. Перечислите меры защиты инф.Безоп.?
- •6. Какие меры предпринимают по защите целостности информации, защите системных программ?
- •7. Что включает в себя защита компьютерных программ?
- •8. Что подразумевает физическая безопасность и какие меры предпринимаются для ее обеспечения?
- •9. Назовите цель онрв и его основные положения?
- •10. Назовите основные компоненты системы информационной безопасности, которые должны быть предусмотрены в онрв.
- •12. Законодательная основа информационной безопасности, статьи и пр.
- •14. Основные принципы защиты информации на административном уровне?
- •15. Средства Разграничения доступа.
- •16. Что такое cgi процедуры, их назначения?
- •17. Чем опасна программа, полученная из ненадежного источника, какие вы знаете средства контроля над такими программами?
- •18. Как осуществляется защита web-серверов?
- •19. Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов.
- •20. Криптографическая защита корпоративных потоков данных.
- •21. Влияние сетевой архитектуры на обеспечение безопасности данных.
- •22. Чем определяется концепция обеспечения безопасности асои.
- •23. В чем состоит избирательная политика безопасности способом управления доступом.
- •24. Организационные меры безопасности асои.
- •25. Физические, правовые и морально-этические меры безопасности.
- •26. Программно-технические средства защиты асои.
- •32. Сетевые платежные системы.
- •33. Дублирование информации.
- •34. Повышение надежности кс.
- •35. Создание отказоустойчивых кс.
24. Организационные меры безопасности асои.
25. Физические, правовые и морально-этические меры безопасности.
К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и мер ответственности за их нарушения. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.
Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к компьютерам, работали в здоровом морально-этическом климате.
К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения компьютеров в стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организации.
Морально-этические нормы бывают как неписаными (например, общепризнанные нормы честности, патриотизма), так и оформленными в некий свод правил или предписаний. Например, европейский "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ" рассматривает как неэтичные действия, которые умышленно или неумышленно:
нарушают нормальную работу компьютерных систем и изменяют технологию обработки информации;
вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи, всех ресурсов ЭИС);
нарушают целостность информации (хранимой и обрабатываемой);
нарушают интересы других работодателей и других законных пользователей.
Третьим рубежом, препятствующим неправомочному использованию информации, являются административные меры. Администраторы всех рангов с учетом правовых норм и социальных аспектов определяют административные меры защиты информации.
. К физическим мерам защиты относятся разного рода механические, электрические и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.
26. Программно-технические средства защиты асои.
К ним относятся различные электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:
идентификацию (распознавание) и аутентификацию (проверка подлинности) субъектов (пользователей, процессов) АСОИ;
разграничение доступа к ресурсам АСОИ;
контроль и диагностика целостности информации;
обеспечение конфиденциальности данных;
регистрацию и анализ событий, происходящих в АСОИ;
резервирование ресурсов и компонентов АСОИ.
Большинство из перечисленных способов защиты реализуется криптографическими методами защиты информации.
При проектировании и эксплуатации эффективной системы защиты следует учитывать ряд принципов, отображающих основные положения по безопасности информации. К числу этих принципов относятся следующие:
экономическая эффективность/стоимость средств защиты должна быть меньше, чем размеры возможного ущерба;
минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы;
простота. Защита тем более эффективна, чем легче пользователю с ней работать;
возможность отключения защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты;
открытость проектирования и функционирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать;
всеобщий контроль. Любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации;
независимость системы защиты от субъектов защиты. Лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать;
отчетность и подконтрольность. Система защиты должна предоставлять доказательства корректности своей работы;
ответственность. Подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации;
изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп;
полнота и согласованность. Надежная система защиты должна быть полностью специфицирована, протестирована и согласована;
параметризация. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора;
принцип враждебного окружения. Система защиты должна проектироваться в расчете на враждебное окружение, Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
привлечение человека. Наиболее важные и критические решения должны приниматься только человеком;
отсутствие излишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться.
27. Правовые меры в АСОИ.
К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и мер ответственности за их нарушения. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.
28. Этап планирования системы защиты АСОИ.
Результатом этапа планирования является развернутый план защиты АСОИ, содержащий перечень защищаемых компонентов АСОИ и возможных воздействий на них, цель защиты информации в АСОИ, правила обработки информации в АСОИ, обеспечивающие ее защиту от различных воздействий, а также описание планируемой системы защиты информации.
29. Электронные носители денежной информации.
. Если денежная транзакция в системе золотых и бумажных денег является бинарной, то электронная денежная транзакция является n-ой, где n больше двух, в ней участвует плательщик, платежеполучатель и платежепроизводитель. Последний может быть представлен одним или даже несколькими субъектами денежных отношений (банками).
30. Магнитные карты.
Простейшим видом пластиковых карт является магнитная карта. Эта пластиковая карточка, соответствующая спецификациям ISO, имеет на обратной стороне магнитную полосу с информацией объемом около 100 байт, которая считывается специальным устройство
На ней постоянно хранится информация, включающая номер карты или банковского текущего
31. Карты памяти.
карта памяти, в которой нет магнитной полосы, зато встроена микросхема, содержащая память и устройство для записи/считывания информации. Объем памяти колеблется в достаточно широком диапазоне, однако в среднем не превышает 256 байт. Такие карты имеют больше возможностей по сравнению с магнитными, но и стоят несколько дороже.
Самой мощной из известных сегодня разновидностей "пластиковых денег" является интеллектуальная карта (смарт-карта). Такие карты содержат встроенный микропроцессор, могут иметь оперативную (для использования в процессе обработки) и постоянную (для хранения неизменяемых данных) память, а также встроенную систему обеспечения безопасности и защиты данных,