Обеспечение информационной безопасности корпоративных информационных систем. Принципы построение комплексной системы информационной безопасности.

Вопросы к экзамену по КИТ (КИС)

Правовое обеспечение информатизации в Республике Беларусь. Области применения Закона об информации, информатизации и защите информации.

Законодательная база в области информатизации включает в себя:

- Конституция РБ

- акты президента РБ

- иные акты законодательства РБ

- настоящий Закон. Закон РБ «об информации, информатизации и защите информации». Этот Закон является комплексным нормативно-правовым актом, направленным на регулирование общественных отношений, которые возникают в следующих ситуациях:

1) при сборе, поиске, получении, предоставлении, передаче, обработке, хранении, распространении, накоплении информации, а так же при использовании информации.

2) при создании и использовании информационных технологий, инф. систем и сетей, формировании информационных ресурсов.

3) при организации и обеспечении защиты информации.

Действие настоящего Закона не распространяется на общественные отношения связанные с деятельностью массовой информации и охранной информации, которая является объектом интеллектуальной собственности.

Правовое обеспечение информатизации в Республике Беларусь. Информация. Свойства информации.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Свойства информации:

1) Достоверность

2) Своевременность

3) Полнота

4) Доступность (2 значения)

5) И другие

Правовое обеспечение информатизации в Республике Беларусь. Документированная информация. Материальный носитель информации.

Документированная информация – это информация зафиксированная на материальном носителе с её реквизитами, позволяющими её идентифицировать.

Материальный носитель информации – это материал с определёнными физическими свойствами, который может быть использован для записи и хранения информации.

Правовое обеспечение информатизации в Республике Беларусь. Информационная технология. Информационный ресурс.

Информационная технология – это совокупность процессов, методов осуществления, поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и предоставления информации, а так же пользования информацией и защиты информации.

Информационный ресурс – это отдельный документ и отдельный массив документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Правовое обеспечение информатизации в Республике Беларусь. База данных. Банк данных. База знаний. Информационная сеть.

База данных – это совокупность структурированной и взаимосвязанной информации, организованной по определённым правилам на материальных носителях.

Банк данных – это организационно-техническая система, включающая одну или несколько баз данных и систему управления ими.

База знаний – это особого рода база данных, разработанная для управления знаниями, то есть сбором, хранением, поиском и выдачей знаний.

Информационная сеть – это совокупность информационных систем либо комплексов программно-технологических средств информационной системы, взаимодействующих посредством сетей электросвязи.

Правовое обеспечение информатизации в Республике Беларусь. Информатизация. Цели защиты информации (Закон об информации, информатизации и защите информации).

Проектирование корпоративных информационных систем. Жизненный цикл корпоративных информационных систем. Каскадная модель. Преимущества, недостатки.

Проектирование корпоративных информационных систем. Жизненный цикл корпоративных информационных систем. Каскадная модель с промежуточным контролем. Преимущества, недостатки.

Проектирование корпоративных информационных систем. Жизненный цикл корпоративных информационных систем. Спиральная модель. Преимущества, недостатки.

Проектирование корпоративных информационных систем. Жизненный цикл корпоративных информационных систем. Сравнение моделей жизненного цикла корпоративных информационных систем.

Технологии проектировании корпоративных информационных систем. Каноническое проектирование корпоративных информационных систем. Преимущества, недостатки.

Технологии проектировании корпоративных информационных систем. Типовое индустриальное проектирование корпоративных информационных систем. Преимущества, недостатки.

Технологии проектировании корпоративных информационных систем. Автоматизированное индустриальное проектирование корпоративных информационных систем. Преимущества, недостатки.

Технологии проектировании корпоративных информационных систем. Использование CASE-технологий в автоматизированном индустриальном проектировании корпоративных информационных систем.

Технологии проектировании корпоративных информационных систем. Сравнение систем проектирование корпоративных информационных систем.

16. Обеспечение информационной безопасности корпоративных информационных систем. Базовые вопросы информационной защиты корпоративных информационных систем.

Обеспечение информационной безопасности корпоративных информационных систем. Приоритетные задачи защиты информации.

- предотвращение утечки информации

- целостность информации

- доступность и безопасность работы КИС

Обеспечение информационной безопасности корпоративных информационных систем. Источники угрозы безопасности.

При построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, но и от внутренних (70-80%), т. е. выстраивать комплексную систему информационной безопасности.

Следует защищаться :

- от нарушения функционирования информационной системы

- от НСД к информации

- от разрушения встраиваемых средств защиты

-от внедрения вирусов и закладок в программные продукты и технические средства

Обеспечение информационной безопасности корпоративных информационных систем. Компьютерный вирус. Категории вирусных атак.

Компьютерный вирус – это специально написанная программа, которая может приписывать себя к другим программам, т. е. заражать их с целью выполнения различных нежелательных действий на компьютере и в сети.

Категории вирусных атак:

- удаленное проникновение в компьютер

- локальное проникновение в компьютер

- удаленное блокирование компьютера

- локальное блокирование компьютера

- сетевые сканеры

- сканеры уязвимых мест программ

- вскрыватели паролей

- сетевые анализаторы

- модификация передаваемых данных или подмена

- подмена доверенного объекта распределённой ВС

- социальная инженерия

Обеспечение информационной безопасности корпоративных информационных систем. Вредоносное программное обеспечение.

1) Сетевые черви – распространение через сеть

2) Классические компьютерные вирусы – распространение в локальном пространстве

3) Скрипт–вирусы – написаны на различных скрипт–языках.

4) Троянские программы – сбор и передача, модификация, нарушение работоспособности компьютера.

5) Хакерские утилиты:

- программные библиотеки

- «злые шутки»

- др. программы

Обеспечение информационной безопасности корпоративных информационных систем. Правила антивирусной защиты.

- проверять все внешние носители информации

- использовать свежие антивирусные базы

- использовать только программы и данные полученные из надёжных источников.

- спам

- и др.

Обеспечение информационной безопасности корпоративных информационных систем. Принципы построение комплексной системы информационной безопасности.

1 этап. Информационное обслуживание предприятия

1.1 Построение модели нарушителя

1.2 Формирование политики ИБ

1) – разработка документов и стандартов в области ИБ

- принципы администрирования системы ИБ и управление доступом

- принципы контроля состояния системы защиты информации

- принципы использования информационных ресурсов персоналом компании и внешними пользователями

- организация антивирусной защиты и защиты против НСД

- вопросы резервного копирования данных и информации

- профилактические, ремонтные и восстановительные работы

- программа обучения и повышения квалификации персонала

2) разработка методологии выявления и оценки угроз и рисков их осуществления

3) структуризация контрмер по уровням требований к безопасности

4) порядок сертификации на соответствие стандартов в области ИБ

2 этап. Приобретение, установка и настройка рекомендаций на предыдущем этапе средств и механизмов защиты информации.

Не нашли, что искали? Воспользуйтесь поиском по сайту: