- •Понятие технологии лвс. Деление лвс по принципу технологии. Достоинства и недостатки каждого вида. Методы доступа.
- •Сетевые технологии локальных сетей ieee802.5/Token-Ring
- •Сетевые технологии локальных сетей ieee802.4/ArcNet
- •Сетевые технологии локальных сети fddi (Fiber Distributed Data Interface)
- •Структура канального и физического уровней лвс в модели osi.
- •Виды физических сред передачи данных в лвс. Принципы функционирования. Сравнительные характеристики передающих сред.
- •Назначение сетевого адаптера. Структурная схема и принципы функционирования.
- •Понятие системы защиты информации. Этапы разработки.
- •Организационно-технические и режимные меры и методы
- •Программные и технологические средства защиты информации.
- •Классификация систем шифрования данных.
- •Файрволлы. Назначение и основные функции.
- •Типичные возможности
- •Электронная цифровая подпись. Основные функции и сфера применения. Три задачи, возникающие при разработке механизма электронной цифровой подписи.
- •Понятие хэш-функции и хэш-образа. Условия, предъявляемые к хэш-функции. Стандарты на хэширование информации. Использование хеш-функций
- •Примеры электронных цифровых подписей: алгоритм rsa, библиотека программ цифровой подписи и проверки подлинности электронных документов «Нотариус».
- •Описание rsa
- •Цифровая подпись “Нотариус”
Понятие системы защиты информации. Этапы разработки.
Безопасность информации (данных)[1] — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность[2] — защита конфиденциальности, целостности и доступности информации.
Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
Целостность: неизменность информации в процессе ее передачи или хранения.
Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security)[6] — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность информации (при применении информационных технологий) (англ. IT security)[6] — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы[6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.
Организационно-технические и режимные меры и методы
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy)[1] — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)[5] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[11]:
Защита объектов информационной системы;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений;
Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005[2], на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.