Главная страница
Навигация по странице:

  • Протоколирование и аудит. Назначение

  • Аудит систем информационной безопасности. Этапы аудита

  • Спец операторы в РФ. Назначение и применение

  • Аутентификация и идентификация при разграничении доступа

  • Электронная цифровая подпись. Виды ЭЦП. Назначение и практика применения

  • Защита электронной цифровой интеллектуальной собственности, законодательство в сфере защиты электронной цифровой интеллектуальной собственности

  • Организационная защита информации. Политики (частные политики) в информационной безопасности в организации. Основные положения и назначения.

  • Методика построения систем защиты информации. Этапы. Алгоритм. Описание каждого этапа

  • 1 этапе

  • 8 этап

  • 11 этап

  • Методика резервного копирования. Средства резервного копирования.

    		•

    билеты по инф без. билеты ИБ. Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)


    Скачать 61.61 Kb.
    НазваниеРоссийское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)
    Анкорбилеты по инф без
    Дата12.01.2023
    Размер61.61 Kb.
    Формат файлаdocx
    Имя файлабилеты ИБ.docx
    ТипЗакон
    #883348
    страница3 из 3
    1   2   3

    Криптографические методы и средства защиты информации. Применение при щащите информации

    Средства криптографической защиты информации (СКЗИ) используются для решения задач информационной безопасности.

    Для защиты информации применяется шифрование — метод представления открытого текста в виде набора символов, скрывающего его содержания. Шифрование используется повсеместно: зашифровываются документы, информация в БД, пересылаемые по сети сообщения, в зашифрованном виде хранятся пароли пользователей компьютера и т.д. Для зашифровывания и расшифровывания используются программные и аппаратно-программные системы и комплексы криптографической защиты.

    КЗИ, как средство обеспечения информационной безопасности, применяется для проверки подлинности и целостности:

    • Такая проверка (аутентификация) должна подтвердить, что некто является владельцем представленной (например, переданной по каналу связи) информации, также она должна в максимальной степени затруднить злоумышленнику возможность выдать себя за другое лицо;

    • Целостность данных (имитозащита). Получатель должен быть уверен в том, что полученная им информация не изменялась. Злоумышленник, изменяя информацию, не должен суметь выдать её за истинную.

    Криптографические методы защиты информации решают проблему неотрицания авторства:

    Владелец данных не должен иметь возможность ложно заявлять, что доставленная от его имени информация ему не принадлежит. Например, после оформления контракта продавец не оспорит указанную в его документах цену на товар, если переданная информация подтверждена СКЗИ (инструмент криптографической защиты — электронная цифровая подпись).

    Указанные методы реализуются программными и аппаратными средствами.

    1. Протоколирование и аудит. Назначение

    Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе.

    Аудит – это анализ накопленной информации, проводимый в реальном времени или периодически.

    Это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически. Он бывает двух видов: активный и пассивный.

    Задача активного аудита – оперативно выявлять подозрительную активность предоставлять средства автоматического реагирования на то, когда во время пассивного аудита проверка протоколов проходит с

    Определённой частотой (например, в конце дня).

    1. Аудит систем информационной безопасности. Этапы аудита

    Аудит систем информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ компании в соответствии с определенными критериями и показателями безопасности.

    Этапы аудита:

    • Организационный или подготовительный этап

    • Планирование

    • Проведение аудиторских процедур

    • Заключительный этап. Оформление результатов аудита.

    1. Спец операторы в РФ. Назначение и применение

    Специализированный оператор связи (спецоператор) — предприятие, осуществляющее электронный документооборот между организациями-налогоплательщиками и Федеральной налоговой службой РФ. Организации, выполняющие эти функции, чаще всего (но не всегда) являются Удостоверяющими центрами. Они часто обеспечивают документооборот и с другими контролирующими органами

    Функции спецоператоров, которые возложены приказами налоговой службы:

    • обеспечение электронного документооборота;

    • поставка средств криптографической защиты информации;

    • обеспечение безопасности информации при ее передаче;

    • поставка средств электронной подписи;

    • обеспечение юридической значимости электронных документов;

    • поставка и сопровождение прикладных программных средств, предназначенных для формирования отчетности и ее проверки на соответствие установленным форматам



    Спецоператор в обязательном порядке отмечает время и дату сдачи отчетности и в спорных ситуациях подтверждает факт ее сдачи в государственный орган.

    Спецоператоры в данном случае выступают как интеграторы систем электронного документооборота в организации.

    1. Аутентификация и идентификация при разграничении доступа

    Идентификация — процесс предоставления системы пользователем свое имя или другой идентификатор

    Аутентификация — процесс подтверждения системой пользователя на основе идентификатора и пароля или другой информации.

    В последнее время набирают обороты биометрические методы идентификации и аутентификации, этому способствует:

    • Высокая степень доверенности по признакам из-за их уникальности

    • Трудная фальсификация этих признаков

    В качестве признаков пользователя может использоваться:

    • отпечатки пальцев

    • сетчатка глаз и узор радужной оболочки

    • форма руки

    • форма ушей

    • форма лица

    • ДНК

    • особенности голоса

    • рукописный почерк

    Нужно отметить, что использование биометрических характеристик для идентификации субъектов пока не получило надлежащего нормативно-правового обеспечения, в виде стандартов. Поэтому применение таких систем допускается только там, где идет обработка данных, которые составляют коммерческую или служебную тайну.

    1. Электронная цифровая подпись. Виды ЭЦП. Назначение и практика применения

    Электронно-цифровая подпись (ЭЦП) — это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

    Виды электронной цифровой подписи:

    1. Простая электронно-цифровая подпись:

    Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом; имеет низкую степень защиты; позволяет только определить автора документа и не защищает его от подделки.

    2. Усиленная неквалифицированная электронно-цифровая подпись:

    УНЭЦК позволяет определить лицо, подписавшее электронный документ; обнаружить факт внесения изменений в электронный документ после момента его подписания; создается с использованием средств электронной подписи; имеет среднюю степень защиты. Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.

    3. Усиленная квалифицированная электронно-цифровая подпись:

    Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи: ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства. Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты. Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью. Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота. Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил, а также установить, изменялся ли документ уже после того, как был подписан.

    Электронно-цифровая подпись — это программно-криптографическое средство, которое обеспечивает:

    • проверку целостности документов;

    • конфиденциальность документов;

    • установление лица, отправившего документ.

    Использование электронно-цифровой подписи позволяет:

    • значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

    • усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

    • гарантировать достоверность документации;

    • минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

    • построить корпоративную систему обмена документами.

    1. Защита электронной цифровой интеллектуальной собственности, законодательство в сфере защиты электронной цифровой интеллектуальной собственности

    Нормы о защите интеллектуальных прав содержатся в части 4 ГК РФ. Если право нарушено, по выбору правообладателя могут быть использованы как общие способы защиты из ст. 12 ГК РФ (например, применение последствий недействительности лицензионного договора, заключенного с нарушением формы), так и специфические, в том числе закрепленные в ст. 1251, 1252 ГК РФ.

    Использование инструментов защиты должно быть основано на существе права, ставшего объектом посягательства, а также последствиях, являющихся его результатом.

    Специфика механизма, целью которого выступает защита прав интеллектуальной собственности, заключается в том, что даже безвиновное нарушение, помимо обязанности прекратить действия, может повлечь для субъекта, его совершившего, негативные последствия в виде публикации судебного решения, в котором отражен факт нарушения, изъятия или уничтожения контрафактных носителей, пресечения поведения.
    Закон предусматривает следующие способы защиты интеллектуальных прав, относящихся к группе личных неимущественных:

    • признание права;

    • восстановление положения;

    • пресечение действий, посягающих на право;

    • возмещение морального вреда;

    • публикация судебного решения о нарушении (мера, направленная на восстановление репутации и имени автора) 

    1. Организационная защита информации. Политики (частные политики) в информационной безопасности в организации. Основные положения и назначения.

    Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т. д. 

    Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала: 

    - определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации 

    - изложение целей и принципов информационной безопасности, сформулированных руководством 

    - краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований.

    - определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью

    - ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи. 

    Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме. 

    Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была: 

    - непротиворечивой – разные документы не должны по-разному описывать подходы к одному и тому же процессу обработки информации 

    - не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей 

    - не налагала невыполнимых обязанностей и требований. 

    В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр. 

    1. Методика построения систем защиты информации. Этапы. Алгоритм. Описание каждого этапа

    Анализ предметной области

    • Определить предметную область

    • Определить организацию (предприятие) в предметной области

    • Классифицировать предприятие по годовой выручке и количеству персонала ( Постановление Правительства РФ - ежегодное)

    • Определить Цель,задачи и функции предприятия

    • На основе перечня функций отобразить оргштатную или оргструктуру предприятия (выбрать из стандартных моделей оргструктур и применить к конкретному предприятию)

    • Отобразить схемы (схему) информационных потоков предприятия.

    • Построить схемы бизнес-процессов выбранного предприятия. (SADT-блоки). На схеме с помощью модели информационных потоков отметить информацию, участвующую в каждом из бизнес-процессов.

    На 1 этапе необходимо выявить всю информацию на предприятии или учреждении нуждающуюся в защите и провести ее категорирование по степени важности для организации.

    На 2 этапе выстраивается модель злоумышленника – лица, которое старается причинить вред организации, путем действий против защищаемой информации. Согласно Уголовному кодексу России ( ст. 272,273,274) это «..уничтожение, модификация, копирование, блокирование..». Отметим, что злоумышленником может являться и программный вредоносный комплекс .

    На 3 этапе необходимо определить и попытаться систематизировать возможные угрозы информации и информационным ресурсам в результате действий злоумышленника. Необходимо обратить внимание на то, что такие угрозы определяются по каждой информации и их может быть несколько для одного вида информации.

    На 4 этапе определяются вероятности возможной атаки ( атака – реализация угрозы) по каждому информационному ресурсу ( информации) и каждому виду угрозы. На практике чаще используются качественные показатели, в силу сложности доказательства точности расчетов.

    5 этап. Один из самых сложных этапов – расчет стоимости информации или расчет ущерба организации от возможных атак. Его надо также сделать для каждого информационного ресурса по степени важности информации. Как правило, к этому этапу обязательно подключаются помимо специалистов по защите информации – руководство учреждений. Именно они должны качественно, а лучше всего количественно определить стоимость той или иной информации. Если это не сделано, то можно применить так называемый страховой расчет стоимости информации ( то есть определить тот взнос – процент, который берут страховые компании при страховании некоторого имущества и события). Как правило, в международной практике это 1-2 процента в год от стоимости имущества.

    Если это не удается, то вводиться произвольная шкала (числовая) определяющая относительную стоимость – большая, средняя, малая и ей присваивается произвольный числовой эквивалент. Это важно для последующего определения рисков.

    При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

    6 этап. После того как это сделано можно рассчитать риск, который может возникнуть в организации от реализации той и ли иной угрозы.

    Для этого величина ущерба умножается на вероятность атаки.

    После того как составлена таблица рисков по всем видам атак на все виды информации и информационных ресурсов, можно начинать анализ рисков или 7 этап..

    7 этап. Анализ рисков информационной безопасности - отдельное направление в защите информации и рассматривается как минимум в 3 дисциплинах при подготовке специалистов по защите информации.

    Желательно, разбить риски на несколько категорий. 1 категория – риски, которые необходимо обязательно устранить, не считаясь с материальными и финансовыми затратами.

    2 категория – приемлемые риски , ущерб от которых незначителен.

    3 категория рисков - те риски, которые мы будем минимизировать задаваясь заранее некоторым их уровнем опасности или уровнем ущерба, ориентируясь при этом на вероятности их возникновения.

    8 этап .Перечислить имеюшиеся средства защиты информации в выбранной СЭД и соотнести этот перечень с необходимыми средствами защиты для своего предприятия.

    9 этап. Созданию системы защиты (противодействия угрозам и атакам) информации в конкретной организации.

    При выстраивании системы защиты (подбирая методы и технические средства) необходимо точно знать каким методом и средством, от каких атак мы защищаем конкретную информацию и на каком ресурсе. То есть необходимо знать какой бизнес-процесс нашей организации (какую информацию в нем) мы защищаем и от каких атак.

    10 этап. После того как система создана ,необходимо определить зоны ответственности подразделений и лиц по обеспечению информационной безопасности компании (если создана служба или группа по обеспечению безопасности организации). Также необходимо создать (разработать ) необходимый набор организационной документации (Политика безопасности и ее варианты, разделы).

    11 этап Расчет эффективности построенной системы защиты и ее отдельных средств.

    12 этап. Расчет затрат на реализацию и создание системы безопасности ИС (обосновать и произвести расчет финансовых вложений в обеспечение безопасности организации). Расчет экономической эффективности.

    1. Методика резервного копирования. Средства резервного копирования.

    Оперативное резервирование (Online Backup). Это означает, что накопитель, на который будет проводиться резервирование или с которого будет выполняться восстановление, подключён. Жёсткий диск может или работать, или быть в режиме бездействия, ожидая команды пользователя. Он может быть либо подключён напрямую к компьютеру, либо доступен по сети. Автономное резервирование (Offline Backup). Данный способ подразумевает хранение резервной копии на съёмном носителе, кассете или картридже, который перед использованием следует установить в привод.

    Полное резервирование (Full Backup). Создаётся резервный архив всех системных файлов, обычно включающий состояние системы (system state), реестр и другую информацию, необходимую для полного восстановления ПК. То есть резервируются не только файлы, но и вся информация, которая необходима для работы системы.

    Добавочное (инкрементное) резервирование (Incremental Backup). Резервный архив составляется из всех файлов, которые были модифицированы после предыдущего резервирования, полного или добавочного.

    Разностное (дифференциальное) резервирование (Differential Backup). Архив состоит из всех файлов, которые были изменены после последнего полного резервирования.

    Выборочное резервирование (Selective Backup). Архив состоит только из отобранных файлов, например, из документов Word и Excel

    Средства:

    RAID массивы

    RAID - аббревиатура, расшифровываемая как Redundant Array of Independent Disks - “отказоустойчивый массив из независимых дисков” (раньше иногда вместо Independent использовалось слово Inexpensive). Концепция структуры, состоящей из нескольких дисков, объединенных в группу, обеспечивающую отказоустойчивость родилась в 1987 году в основополагающей работе Паттерсона, Гибсона и Катца.

    Программы

    Norton Ghost

    Backup Plus

    Acronis True Image

    Backup to DVD/CD

    APBackUp
    1   2   3

    написать администратору сайта