- •1.Понятие информационной системы (ис). Ис в управлении предприятием.
- •2.Классификация информационных систем (ис).
- •По характеру использования результатной инф-и:
- •4.Архитектура ис, типы архитектур.
- •7.Информационное обеспечение ис. Требования к информационному обеспечению.
- •8.Информационная модель организации (предприятие).
- •9.Информационные ресурсы ис: проблемы создания и доступа. Источники и потребители информации.
- •10.Роль информационных ресурсов (ир) в управлении.
- •11.Техническое обеспечение кис и его классификация.
- •12.Требования к техническому обеспечению кис.
- •13.Корпоративная сеть предприятия: структура, Интернет/Интеранет и Экстранет.
- •14.Администрирование корпоративной сети (кс).
- •15.Сеть Интернет как элемент инфраструктуры кис.
- •17.Требования к программному обеспечению (по) кис.
- •18.Сегментация рынка по.
- •20.Технологические решения интеграции информационных систем.
- •21.Перспективы развития по кис.
- •24.Интеллектуальный анализ данных. Управление знаниями.
- •25. Экспертная система (эс).
- •26 Системы поддержки принятия решений
- •27.Перспективы развития систем ии.
- •30 Классы безопасности информационных систем
- •35.Правовое обеспечение безопасности информационных технологий. Нормативные акты рб об информатизации и защите информации.
- •36.Понятие бп.Участники рбп.Этапы реинжиниринга.Моделирование бп.
- •37.Примеры реализации реинжиниринга бизнес-процессов.
- •38.Жизненный цикл (жц) кис.
- •39.Проектирование кис.
- •40. Case-средства
- •41.Стандартизация и сертификация ис
- •42.Оценка эффективности внедрения ис.
30 Классы безопасности информационных систем
• произвольное управление доступом — метод разграничения доступа к объектам, основанный на учете личности
• безопасность повторного использования объектов —дополнительные средства, предохраняющие от случайного или преднамеренного извлечения конфиденциальной информации из оперативной памяти, дисковых блоков и магнитных носителей в целом;
• метки безопасности, состоящие из уровня секретности
и списка категорий;
• принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации. После фиксации меток безопасности субъектов и объектов оказываются зафиксированными и права доступа-
безопасная система — это система, которая контролирует доступ к информации т.о., что только имеющие соответствующие полномочия лица могут получить доступ на чтение, запись, создание или удаление инфы. В ней выделены основные классы защищенности – D,C,B,A
D: попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.
Класс С1: ИС должна управлять доступом именованных
пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий.
Класс С2: все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться;
Класс В1 каждый хранимый объект ИС должен иметь отдельную идентификационную метку;
Класс В2: должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией.
Класс ВЗ : управления доступом должны использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событии, несущих угрозу политике ИБ
Класс А1: тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям;
31-32. Информационная безопасность, безопасная система. Критерии оценки информационной безопасности.Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, направленных на нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Безопасная сис-ма – это сис-ма, кот : 1) осущ свои функции с учетом всех аспектов, связ с обеспеч безопасн в работе и защите обраб инфы от случ или преднамер несанкционир доступа, 2) успешно противостоит угрозам безопасности, 3) должна соответ требованиям и критериям стандартов информ безопасности.
Классы безопасности:D-подсистема безопасности,для систем котор.использ.для защиты отдельн ф-ции безоп-ти;C1-избирательная защита-разделение пользоват.и данных;С2-управляемый доступ,так как иС1 + уникальная идентификация субъектов доступа;В1-меточная защита,присвоение меток субъектам,котор.содержат конфеденц.инфу.В2-структурир-ая защита.то же что и В1 + дополнит требов к защите мех-мов аутентификации.В3-область безопасности.концепция монитора ссылок;А1-верифицированная разработка. Методы верификации-анализ спецификации систем на предмет неполноты или противоречивости. Автоматизир.системы по уровню защищенн-ти от НСД делят на 9 классов,котор характериз определ.совок.требов к защите.Классы подраздел.на 3 группы.В пределах кажд группы соблюд.иерархию требов. к защите в зависим. от ценности инфы.
В качестве критериев оценки обеспечения защиты информации могут выступать:Корпоративные стандарты (собственная разработка);Замечания аудиторов;Стандарты лучшей мировой практики (например, BS7799/ISO17799);Число инцидентов в области безопасности;Финансовые потери в результате инцидентов;Расходы на ИБ;Эффективность в достижении поставленных целей.
Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Задачи: 1) кому и какая инфа необход для выполн служебн обязанностей, 2) какая степень защиты необход для каждого вида инфы, 3) опред, какие именно сервисы информ безопасности и мехмы их реализ необход испол-ть в сис-ме, 4) как организ работу по ЗИ.
33. Методы и Средства защиты инфо.
Методы: Препятствие - метод физ. преграждения пути злоумышленнику к инф-ции, кот. защищена от посторонних лиц. Управление доступом - метод защиты, с пом. кот. для защиты исп-ся все ресурсы самой системы (программные и технич. ср-ва). Управление доступом вкл-т: идентификация пользователей, персонала и ресурсов системы; аутентификация объекта или субъекта по предъявленному им идентификатору; проверка полномочий; разрешение и создание условий работы в пределах установленного регламента; регистрация обращений к защищаемым ресурсам; реагирование при попытках несанкционированных действий. Маскировка - метод защиты инф-и в каналах телекоммуникаций путем криптографического закрытия. Регламентация - метод, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой инфо, при кот возможности несанкц-го доступа к ней сводятся к минимуму. Принуждение - метод, при кот пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой инфо под угрозой материальной, административной или уголовной ответственности. Побуждение- метод, с пом. кот пользователь и персонал системы не нарушают установленные правила за счет соблюдения сложившихся моральных и этических норм. Систему средств и методов комплексной защиты инф-ии делят на 6 групп: физич.; аппаратные; логич.; юридич.; финанс.; организац-е.
Организационно-экономические методы защиты информации Предусматривают формир-е и обеспеч-е ф-ционирования след. мех-змов защиты: стандартизации методов и ср-в защиты инф-ции; сертификации комп. систем и сетей по требованиям ИБ; лицензирования деят-ти в сфере защиты инфо; страхования инфо рисков, связ-х с ф-ционированием комп. систем и сетей; контроля за действием персонала в защищенных инфо системах. Организац-е методы защиты инфо делятся на организационно-административные (ОА) и организационно-технические (ОТ) методы защиты. ОА методы защиты инфо регламентируют пр-сы создания и эксплуатации автоматизир-х инфо систем, а также взаимод-е пользователей и систем т. обр., что несанкционированный доступ к инфостановится либо невозможным, либо существенно затрудняется. ОТ методы охватывают все структурные эл-ты автоматизированных инфо систем на всех этапах их жизненного цикла. Экон. методы защиты инфо заключаются в применении фин операций для обесп-я эффективной политики в области защиты объектов ИБ. В организации финанс. защиты инфо ресурсов систем электрон. обработки и передачи данных особая роль принадлежит страхованию. Страхование инфо ресурсов выступает в роли стимулятора для разработки и применения всех ср-в комплексной защиты инфо, а также явл-я ср-вом, обеспеч-им компенсацию ущерба при возникн-и страх.случаев из-за реализации различных видов угроз. Страхование инфо ресурсов предусматривает защиту каждого компонента автоматизир-й инфо системы или же их различных комбинаций (комплексов) как от традиционных имущ. рисков, так и от рисков, связ-х с технич. и технологич.нарушениями ф-ционирования системы обработки и передачи данных. Компоненты систем обработки и передачи данных могут страх-ся как имущество (в этом случае действуют правила имущ. страх-я) или как интеллект. собств-ть (хранимые базы данных, программы).
СРЕДСТВА: Делятся на формальные:-физические, аппаратные, программные
и неформальные:организационные, законодательные, морально-этические
К физ. ср-вам относятся ср-ва в виде автономных устройств( замки, решетки),
К аппаратным- ср-ва, кот. реализуются в виде электрич., электромеханич .и электронных устройств (схемы контроля информации по четности, семы защиты поле1 памяти по ключу,
К программным – ПО, предназн. для выполения функции защиты информации,
К организационным- организационно-технические и организационно- правовые мероприятия, кот осуществл в процессе создания и эксплуатации аппаратуры телекоммуникаций для защиты инфо.
К законодательным – законодательные акты той страны, где они функционируют, регламентируют правила использования, обработки и передачи информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил
К морально-этическим – нормы, кот сложились традиционно по мере внедрения вычислит техники и средств связи.
1. Специальные технические устройства (специальные маршрутизаторы, которые обеспечивают безопасность передачи информации, специальные контролеры, специальные платы шифрования);
2. Маршрутизаторы-брандмауэры - это устройства, которые защищают сеть от внешней опасности, направляют поток сообщений и осуществляет защиту на уровне протоколов, обеспечивают доступ в сеть только определенным пользователям и только к указанным ресурсам;
3. Туннельные маршрутизаторы - способ шифрования информации для передачи между разными маршрутизаторами в случае, если в Internet используется одновременно несколько узлов или если Intranet имеет несколько локальных сетей;
4. Платы, оснащенные датчиками – плата Barracuda;
5. Источники бесперебойного питания Back-UPS Pro фирмы ARС с интеллектуальным управлением аккумуляторами., ИБП Powercom KIN525A и т.д..
6. Межсетевые экраны (firewalls) - экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская потенциально опасные, которые, возможно, были отправлены в сеть в ходе атаки сети хакером;
7. Пластиковые карты - Smart cart- карты (например, SecurlD, ChipCard);
8. Помехоподавляющие фильтры, системы сетевой защиты;
9. Устр-ва резервного копирования инф-и (оптические диски CD, CD-R, видеокассеты, магнитные ленты высокой степени защиты (DLT), миникартриджи (TRAWAN);
10. Proxy-серверы – это программные продукты или технические средства, проверяющие разрешение на доступ конкретного пользователя.
34 НЕТУ