- •Понятие информации. Классификация информации.
- •Свойства информации: основные, дистрибутивные и динамические.
- •Собственная информация и её свойства.
- •Энтропия, свойства энтропии.
- •Понятие о криптографических методах защиты информации. Модель Шеннона.
- •Симметричные блочные криптосистемы
- •Симметричные поточные криптосистемы.
- •Режимы использования блочных шифров.
- •Функции хеширования. Криптографические хеш-функции.
- •Генерация случайных чисел.
- •Преимущества
- •Недостатки
- •Виды асимметричных шифров
- •Назначение и применение эцп
- •Алгоритмы
- •Использование хеш-функций
- •Асимметричная схема
- •Акты Конституционного Суда Республики Беларусь
- •Вопросы обеспечения информационной безопасности, регламентируемые нормативными актами.
- •Защита прав на получение информации в закон-ве рб.
- •Категорирование информации. Государственные секреты. Категории и степени секретности.
- •21. Основные принципы отнесения сведений к государственным секретам
- •22. Государственные секреты. Обращение с государственными секретами.
- •23. Защита государственных секретов.
- •24. Органы защиты государственных секретов.
- •25. Сведения, не подлежащие отнесению к государственным секретам и засекречиванию.
- •26. Засекречивание сведений, составляющих государственные секреты.
- •27. Допуск физических лиц к государственным секретам.
- •28. Допуск юридических лиц к государственным секретам.
- •29. Закон рб об информатизации. Информационные ресурсы.
- •30. Закон рб об информатизации. Цели защиты.
- •1)Аутентификация
- •5) Безотказность
- •42. Методы обеспечения доступности. Помехоустойчивое кодирование.
- •44. Методы обеспечения доступности. Резервирование.
- •43, 45, 46. Методы обеспечения доступности. Дублирование, зеркалирование, raid (Redundant Array of Independent Disks).
- •47. Методы обеспечения доступности. Резервное копирование и восстановление.
- •48. Методы обеспечения доступности. Бесперебойное электропитание.
- •49. Методы обеспечения доступности. Заземление.
- •50, 51. Угрозы целостности и конфиденциальности.
- •56. Идентификация и аутентификация. Технологии и средства.
- •57. Биометрическая аутентификация (ба)
- •58. Протоколы аутентификации. Определение, требования к протоколам аутентификации.
- •59. Протоколы аутентификации. Основные виды атак на протоколы аутентификации.
- •60. Типы протоколов аутентификации. Простая аутентификация.
- •61. Типы протоколов аутентификации. Строгая аутентификация.
- •62. Свойства протоколов аутентификации.
- •63. Аутентификация одношаговая, двухшаговая, трехшаговая. Преимущества и недостатки.
- •88. Защита файлов и каталогов ос семейства Windows.
- •89. Принципиальные недостатки защитных механизмов ос семейства Windows.
- •90. Дополнительные средства безопасности ос семейства Windows
- •Управление доступом
- •Аутентификация и авторизация
29. Закон рб об информатизации. Информационные ресурсы.
Совокупность документированной информации, включая базы данных и знаний, организованной по определенным принципам и тематической направленности и используемой субъектами правоотношений в своей деятельности, создает информационные ресурсы.
Информационные ресурсы могут иметь государственное значение или относиться к категории, имеющей значение только для юридических и физических лиц. Информационные ресурсы, выступающие на рынке как товар в виде информационной продукции, могут быть объектами товарных отношений.
Информационные ресурсы, обеспечивающие суверенитет и хозяйственную самостоятельность Республики Беларусь, характеризующие ее экономическое, социальное и оборонное развитие, являющиеся ресурсами государственного значения, относятся к республиканской собственности.
Состав информационных ресурсов, имеющих государственное значение, устанавливается Кабинетом Министров Республики Беларусь.
Организация работ по формированию и предоставлению пользователю информационных ресурсов, имеющих государственное значение, возлагается на органы государственной власти и юридические лица, в функции которых входит работа с такой информацией.
Физические и юридические лица независимо от форм их собственности обязаны предоставлять документированную информацию органам государственной власти и юридическим лицам, формирующим и использующим информационные ресурсы государственного значения, в установленном порядке. Порядок ее предоставления устанавливается нормативными актами органов государственной власти, ответственных за формирование информационного ресурса государственного значения, и доводится до сведения организаций и граждан.
Юридические лица независимо от форм собственности, специализирующиеся на обработке информационных ресурсов, имеющих государственное значение, осуществляют свою деятельность на основании разрешения органа, уполномоченного Президентом Республики Беларусь.
Собственник информационных ресурсов в отношениях к объектам своей собственности пользуется правами, предусмотренными законодательством о собственности. Кроме того, он имеет право:
- назначать лицо, осуществляющее владение информационными ресурсами, пользование и распоряжение ими;
- определять правила обработки, охраны информационных ресурсов и доступа к ним;
- определять условия распоряжения документированной информацией в случае ее копирования и распространения на договорной основе.
Право собственности на информационные ресурсы не распространяется на информационные технологии, комплексы программно-технических средств, информационные системы и сети, принадлежащие другому собственнику, с помощью которых осуществляется обработка информационных ресурсов в порядке предоставления услуги.
30. Закон рб об информатизации. Цели защиты.
Целями защиты информационных ресурсов являются:
-
предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы;
-
сохранение полноты, точности, целостности документированной информации, возможности управления процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;
-
обеспечение прав физических и юридических лиц на сохранение конфиденциальности документированной информации о них, накапливаемой в информационных системах;
-
защита прав субъектов в сфере информатизации;
-
сохранение секретности, конфиденциальности документированной информации в соответствии с правилами, определенными настоящим Законом и иными законодательными актами.
Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями настоящего Закона и иных актов законодательства.
Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы.
Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации.
31.Категорирование информации. Коммерческая тайна.
Виды информации по доступности:
-
Общедоступная. Доступ к которой, распространение и/или предоставление которой не ограничено.
-
Информация, доступ к которой, распространение и/или предоставление которой ограничено:
- гос. секреты
- коммерческая тайна
К государственным секретам относятся гос.тайна (сведения, распространение которых создаёт или может создать угрозу безопасности РБ и конституционным правам граждан) и служебная тайна.
Грифы секретности:
- особой важности (гос.тайна)
- совершенно секретно (гос.тайна)
- секретно (служебная тайна)
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Также коммерческой тайной могут подразумевать саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны.
Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую. Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом.
32.Квалификация преступлений связанных с информационным воздействием и против информационной безопасности.
Преступления, связанные с информационным воздействием (по уголовному кодексу РБ):
123.Пропаганда войны
130.Разжигание расовой, национальной или религиозной вражды
250.Распространие ложной инф. О товарах и услугах
340.Заведомо ложное сообщение об опасности
Против информационной безопасности (по уголовному кодексу РБ):
349.Несанкционированный доступ к информации, хранящейся на компьютере.
350.Модификация компьютерной информации
351.Компьютерный саботаж
352.Неправомерное завладение компьютерной информацией.
353.Изготовление или сбыт специальных средств для получения неправомерного доступа компьютерной системе
354.Разработка, использование либо распространение вредоносных программ
355.Нарушение правил эксплуатации комп. систем или сети
373.Умышленное разглашение гос.тайны
374.Разглашение гос тайны по неосторожности
375.Умышленное разглашение сведений, составляющих служебную тайну
376.Незаконное изготовление, приобретение или сбыт средств для негласного получения информации
+разглашение коммерческой тайны, оскорбление, клевета, нарушение авторских и патентных прав, нарушение тайны переписки, использование репутации конкурентов, разглашение врачебной тайны и т.д.
33.Стандартизация в области защиты информации (отечественные, международные и зарубежные системы стандартов).
Стандарты:
- национальные
- региональные
- международные
ТР – технические регламенты РБ
ГОСТ – межгосударственный стандарт СНГ
СТБ – гос.стандарты РБ
ИСО – стандарты международной организации по стандартизиции
МЭК – стандарты международной электротехнической комиссии
ITU – стандарты международного союза электросвязи
ГОСТ Р – нац. стандарт РФ
NIST - нац. стандарт США
FIPS – федеральный стандарт США по обработке информации
Примеры:
СТБ ГОСТ Р 50922-2000 – ЗИ
СТБ 1176.1 1999 – Информационные тежнологии ЗИ. Функция хеширования
СТБ 1176.2 1999 – Информационные тежнологии ЗИ. Цифровая подпись
ГОСТ Р ИСО/МЭК – Процессы жизненного цикла программных средств
Стандарты Internet
RFC – инф.документ Internet , содержащий технические спецификации и стандарты, широко применяемые в веб.
Комиссия интернет разработок (IETF) – открытое международное сообщество проектировщиков, учёных, сетевых операторов, провайдеров, которое занимается развитием протоколов и архиректуры Internet. (Занимаются идентификацией проблем Internet и поиском решений; разработкой спецификаций, стандартов, рекомендации относительно протоколов; содействием распространения технологий и стандартов и т.д.)
Жизненный цикл RFC:
1.Внесение на рассмотрение Internet draft (черновиков)
2.Черновики заносятся в базу RFC, где храняться 6 мес. Если не рассматриваются в течении этого времени – удаляются.
3.Если черновик признали удачным, он получает статус предположительного стандарта, приобретает номер RFC.
4.Ченовой стандарт. Разрабатывается 2 стабильных программных реализации разными группами разработчиков. Должен быть принят в интернет сообществе.
5.Internet Standart. Спецификация и успешный длительный опыт применения.
34.Базовая эталонная модель взаимодействия открытых систем. Услуги защиты информации.
ВОС — взаимосвязь открытых систем (OSI)
СБД — сервисный блок данных
Услуги ЗИ: