- •1. Понятие информационной системы (ис). Ис в управлении предприятием.
- •2. Классификация информационных систем.
- •4. Архитектура ис, типы архитектур.
- •6. Перспективные направления использования информационных технологий в экономике.
- •7. Информационное обеспечение ис. Требования к информационному обеспечению.
- •8. Информационная модель организации (предприятия).
- •9. Информационные ресурсы ис: проблемы создания и доступа. Источники и потребители информации.
- •10. Роль информационных ресурсов в управлении.
- •11. Техническое обеспечение кис и его классификация.
- •12. Требования к техническому обеспечению кис.
- •13. Корпоративная сеть предприятия: структура, Интернет/Интеранет и Экстранет. Администрирование корпоративной сети (кс).
- •InternetIntranetExtranet-технологии в корпоративных информационных системах
- •14. Сеть Интернет как элемент инфраструктуры кис.
- •18. Кис в предметной области.
- •19. Технологические решения интеграции информационных систем.
- •21. Понятие системы искусственного интеллекта (ии). Направления использования систем искусственного интеллекта (ии) в экономике. Роль и место систем ии в информационных системах.
- •22. Математические методы и модели искусственного интеллекта: нечеткая логика, генетические алгоритмы, нейронные сети и др.
- •23. Интеллектуальный анализ данных. Управление знаниями.
- •24. Экспертная система (эс): назначение, структура и классификация.
- •25. Система поддержки принятия решений (сппр): назначение, структура и классификация.
- •28. Угрозы информационной безопасности и их классификация. Компьютерная преступность.
- •31. Политика безопасности.
- •29. Классы безопасности. Стандарты информационной безопасности.
- •-Класс а1 - верифицированная разработка.
- •33. Правовое обеспечение информационной безопасности в Республике Беларусь.
- •34. Понятие бизнес-процесса. Реинжиниринг бизнес-процессов. Участники и этапы реинжиниринга.
- •35. Примеры реализации реинжиниринга бизнес-процессов в управлении
- •36. Жизненный цикл ис. Модели жизненного цикла ис.
- •37. Проектирование кис. Подходы к проектированию кис. Этапы проектирования ис.
- •39. Стандартизация и сертификация информационных систем.
- •40. Оценка эффективности кис.
29. Классы безопасности. Стандарты информационной безопасности.
Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром - «Критерий оценки безопасности компьютерных систем» или стандарты TCSEC (Trusted Computer System Evalution Criteria) для министерства обороны США. В нем выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было выделено шесть основных требований.
-класс D - подсистема безопасности. Она присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;
-класс С1 - избирательная защита. Средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа;
-класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;
-класс В1 - меточная защита. Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;
-класс В2 - структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;
-класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов/Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;
-Класс а1 - верифицированная разработка.
Для проверки спецификаций применяются методы формальной верификации - анализа спецификаций систем на предмет неполноты или противоречивости.
Международны стандарты: BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management Практические правила управления информационной безопасностью описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью СУИБ организации, определённых на основе лучших примеров мирового опыта best practices в данной области. Этот документ служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISOIEC 17799:2005 — Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности. ISOIEC 27000 — Словарь и определения. ISOIEC 27001:2005 — Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования.
30. Информационная безопасность корпоративной сети.
Сегодня все более значимой становится проблема обеспечения внутренней информационной безопасности в организациях. Угрозы:
1. Защита от утечек информации
Вопрос защиты информации от утечек становится все более актуальным, принимая во внимание следующие тенденции развития IT-сферы:
Рост мобильности бизнеса:Ноутбуки постепенно вытесняют настольные компьютеры Ёмкость съемных носителей растет, в то время, как их стоимость — уменьшается Увеличение количества утечек вследствие большей мобильности данных: Пользователи склонны сохранять всё подряд Мобильность повышает риск утечки данных
2. Защита электронной корпоративной почты от спама и вирусов
Следующая проблема, решать которую приходится любой фирме, является защита сети и корпоративной почты от вирусных атак и спама. Количество спама возрастает практически экспоненциально каждый год! Согласно последним исследованиям, спам составляет около 93-97% от общего почтового трафика в мире.В этом случае средствами защиты являются антивирусно-антиспамовые системы. Они занимаются фильтрацией спама и обеспечиваютзащиту от вредоносного кода и нежелательной рекламы.
3. Защита, контроль и оптимизация Веб — трафика
Следующая задача для обеспечения защиты информации внутри организации — контроль потребляемого трафика и защита от внешних атак из сети интернет. Здесь существуют преимущественно два направления защиты:
Система качественной защиты от атак извне, отслеживающая попытки сетевых атак и защищающая от раскрытия информации с корпоративных серверов.
Система распределения доступа в Интернет с возможностью контроля объема информации, ее характера, ограничения доступа к конкретным ресурсам и скачиванию информации.
4. Контроль доступа к сети
Еще одно направление защиты — мониторинг за использованием и подключением компьютеров и устройств внутри сети. Сегодня этот аспект информационной безопасности становится актуальным по следующим причинам:
Несанкционированный доступ в корпоративную сеть приводит к риску потери конфиденциальной информации
Устройства постоянно добавляют и удаляют из корпоративной сети без уведомления IT персонала
Санкционированный доступ устройств, не удовлетворяющих политике безопасности, может привести к негативным последствиям
5. Контроль и запись действий администраторов на серверах
Следующей актуальной для многих организаций проблемой является мониторинг действий системных администраторов, имеющих фактически неограниченные полномочия в системах. Ведь зачастую для взлома системы достаточно просто найти общий язык с администратором или же заинтересовать его материально. В тоже время и сами системные администраторы нередко являются источниками утечек.
Заключение
Руководителям, ответственным за информационную безопасность в организации приходится учитывать очень много аспектов защиты информации, а также знать, с помощью каких средств может обеспечиваться реализация тех или иных задач безопасности. Только комплексный подход к решению проблем внутренней информационной безопасности организации позволяет быть уверенным, что информация не уйдет к злоумышленнику и не нанесет вред Вашей организации.
32. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография и др. Для защиты информации используется 2 подхода: Фрагментарный и комплексный.Фрагментарный ориентирован на избирательность относительно конкретной угрозы. Комплексный — к защите информации в сложных автоматизированных системах обработки и передачи данных.Основными методами защиты информации являются:
препятствие- метод физического преграждения пути злоумышленнику к информации, которая защищена от посторонних лиц;
управление доступом — метод защиты информации. С его помощью для защиты используются все ресурсы самой системы (программные и технические средства). Управление доступом включает такие функции защиты, как:
•идентификация пользователей, персонала и ресурсов системы;
•аутентификация объекта или субъекта по предъявленному им идентификатору;
-Регистрация обращений –реагирование на попытки доступа несанкционированных лиц.
Маскировка - метод защиты информации в каналах телекоммуникаций путем криптографического закрытия.
Регламентация - метод, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение - метод, при котором пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение - метод, с помощью которого пользователь и персонал системы не нарушают установленных правил за счет соблюдения сложившихся моральных и этических норм.
Перечисленные методы поддерживаются следующими средствами, которые делятся на формальные (физические, аппаратные, программные) и неформальные (организационные, законодательные и морально-этические):
•физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);
•которые реализуются в виде электрических, электромеханических и электронных устройств (наиболее известные аппаратные средства - это схемы контроля информации по четности, схемы защиты полей памяти по ключу и т.д.);
•программные средства - программное обеспечение, которое предназначено для выполнения функции защиты информации;
•организационные средства защиты информации - организационно-технические и организационно-правовые мероприятия, которые осуществляются в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации;
•законодательные средства защиты информации определяются законодательными актами той страны, где они функционируют, регламентируют правила использования, обработки и передачи информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил;
•морально-этические средства защиты выражаются в виде норм, которые сложились традиционно по мере внедрения вычислительной техники и средств связи.