[ОИБ] Ответы на вопросы к экзамену. Зима 2014
.pdf9.Системы защиты информации. Требования к системе защиты информации.
Это организованная совокупность специальных законодательных и иных нормативных актов, органов, служб, методов, мероприятий и средств, обеспечивающих безопасность информации от внутренних и внешних угроз
ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ
1. Комплексность. Предполагает:
а) обеспечение безопасности обслуживающего персонала, материальных и финансовых ресурсов от всех возможных угроз всеми доступными законными средствами, методами и мероприятиями;
б) обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, во всех технологических процессах и операциях их создания, обработки, использования и уничтожения;
в) способность системы защиты информации к развитию и совершенствованию в соответствии с изменяющимися внешними и внутренними условиями.
2.Своевременность – упреждающий характер мер защиты информации. Предполагает постановку задач по комплексной защите информации на стадии проектирования (создания) системы ее защиты на основе анализа известных и прогнозирования возможных угроз безопасности информации, которые могут появиться в будущем после запуска системы защиты в эксплуатацию (реализацию).
3.Непрерывность – постоянное поддержание работоспособности и развитие системы защиты информации.
4.Активность – настойчивость в достижении целей и задач защиты информации. Предполагает постоянный маневр силами и средствами защиты информации, а также принятие нестандартных мер защиты.
5.Законность – разработка системы защиты информации на основе действующего законодательства, а также иных нормативных актов, регламентирующих безопасность информации. В ходе последующей реализации системы защиты информации – применение всех законных методов и средств обнаружения и пресечения правонарушений в области безопасности информации.
6.Обоснованность. Заключается в том, что все методы и средства защиты информации должны быть научно обоснованными и современными, соответствовать последним достижениям науки и техники. В своей совокупности они должны отвечать всем установленным требованиям и нормам по защите информации.
7.Экономическая целесообразность – затраты на разработку и реализацию (обеспечение заданных параметров) системы защиты информации не должны превышать размеры потенциального ущерба, который может наступить в результате нарушения безопасности защищаемой информации.
8.Специализация. Предполагает привлечение к разработке и внедрению методов и средств защиты информации специализированных субъектов, имеющих государственную лицензию на определенный вид деятельности в сфере оказания услуг по защите информации. Применяемые ими средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
9.Взаимодействие и координация деятельности. Предусматривает организацию четкого взаимодей-ствия между всеми субъектами защиты информации, действующими в рамках единой системы защиты информации, а также координацию их усилий и осуществляемых работ в этой сфере для достижения общих целей. Заключается в интеграции и последовательности деятельности по защите конкретных информационных ресурсов.
10.Совершенствование. Предусматривает совершенствование и разработку новых законодательных, организационных и технических мер защиты информации под воздействием объективных и субъективных факторов.
11.Централизация управления. Предполагает наличие единого координационного центра (субъекта), занимающегося общими вопросами управления системой защиты информации, а также единых требований по обеспечению безопасности информации.
10.Угрозы информационной безопасности. Понятие уязвимости.
Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.
По ОК :
Угрозы характеризуются следующими параметрами:
1)Источник угрозы
2)Метод воздействия
3)Уязвимые места, которые могут быть использованы
4)Ресурсы (активы) которые могут пострадать
В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций :) Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Согласно статистике применительно к этим угрозам, можно привести следующие данные:
o Кража информации – 64% o Вредоносное ПО – 60%
o Хакерские атаки – 48% o Спам – 45%
o Халатность сотрудников – 43%
o Аппаратные и программные сбои – 21% o Кража оборудования – 6%
o Финансовое мошенничество – 5%
Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.
11.Коммерческая тайна. Профессиональная тайна. Персональные данные.
1.Профессиональная тайна — это охраняемые законом конфиденциальные сведения, доверенные или ставшие известными лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, незаконное получение или распространение которых может повлечь за собой вред правам и законным интересам другого лица, доверившего эти сведения и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации. (Положение об адвокатуре, О банках и банковской деятельности)
2.Коммерческая тайна — это охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, финансовой деятельности организации, имеющие действительную или потенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений принимает меры к их конфиденциальности, незаконное получение, использование или разглашение которых создает угрозу причинения вреда владелы{у этих сведений и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации. (О бухгалтерском учете, О перечне сведений, которые не могут составлять коммерческую тайну).
режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (из закона РФ «О коммерческой тайне 9 июля 2004 года»). Под режимом конфиденциальности информации понимается введение и поддержание особых мер по охране информации.
3. Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных.
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2.обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
12.Классификация угроз информационной безопасности. Базовые угрозы информационной безопасности.
Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе. Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно — нарушение конфиденциальности, целостности и доступности.
Для каждой угрозы существует несколько способов ее реализации со стороны вирусов.
1. Угроза нарушения конфиденциальности
oКража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи: Email-Worm.Win32.Sircam — рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере
o Кража паролей доступа, ключей шифрования и пр.: любые трояны, крадущие пароли,
Trojan-PSW.Win32.LdPinch.gen
Удаленное управление: Backdoor.Win32.NetBus, Email-Worm.Win32.Bagle (backdoor-
функциональность)
2. Угроза нарушения целостности
o Модификация без уничтожения (изменение информации): любой паразитирующий вирус
o Модификация посредством уничтожения либо шифрации (удаление некоторых типов документов): Virus.DOS.OneHalf — шифрование содержимого диска, Virus.Win32.Gpcode.f — шифрует файлы с определенными расширениями, после чего самоуничтожается, оставляя рядом с зашифрованными файлами координаты для связи по вопросам расшифровки файлов
o Модификация путем низкоуровневого уничтожения носителя (форматирование носителя, уничтожение таблиц распределения файлов): Virus.MSWord.Melissa.w — 25 декабря форматирует диск C:
3. Угроза нарушения доступности
oЗагрузка каналов передачи данных большим числом пакетов: NetWorm.Win32.Slammer — непрерывная рассылка инфицированных пакетов в бесконечном цикле
o Любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты: Email-Worm.Win32.Bagle.p
— блокирование доступа к сайтам антивирусных компаний
o Вывод компьютера из строя путем уничтожения либо порчи критических составляющих (уничтожение Flash BIOS): Virus.Win9x.CIH — порча Flash BIOS
Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздействием
— все эти факторы и являются основой для классификации. В результате по основному (с исторической точки зрения) признаку — размножению, вредоносные программы делятся на три типа:
1. собственно вирусы, 2. черви 3. трояны.
13. Место и роль информационной безопасности в системе национальной безопасности Российской Федерации.
Таким образом, укрепление информационной безопасности названо в Концепции национальной безопасности РФ в числе важнейших долгосрочных задач. Роль информационной безопасности и ее место в системе национальной безопасности страны определяются также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое.
Информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. А информационная сфера (среда) - это сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации (ст. 2. Федерального закона от 4 июля 1996 г. N 85-ФЗ "Об участии в международном информационном обмене").
Информационная безопасность играет ключевую роль в обеспечении Жизненно важных интересов Российской Федерации. Это, в первую очередь, обусловлено насущной потребностью, создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.
В политической сфере все большее значение приобретают информационные факторы. В традиционном противостоянии политических соперников растут удельный вес и значимость информационно-психологического воздействия.
Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. В то же время растет уязвимость экономических структур от недостоверности, запаздывания и незаконного использования экономической информации.
Ввоенной сфере исход вооружённой борьбы все в большей степени зависит от качества добываемой информации и уровня развития информационных технологий, на которых основываются системы разведки, радиоэлектронной борьбы, управления войсками и высокоточным оружием.
Всфере духовной жизни возникает опасность развития в обществе агрессивной потребительской идеологии, тотальной коммерциализации культуры, распространения идей насилия и нетерпимости, воздействия на психику разрушительных форм мифологизированного сознания. Эти угрозы и защита от них, а также утверждение нравственных ценностей реализуются внутри информационной среды и прежде всего через средства массовой информации и формирования общественного мнения.
Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.
Цели и задачи (роль)
Основные цели обеспечения информационной безопасности определяются на базе устойчивых приоритетов национальной безопасности, отвечающих долговременным интересам общественного развития, к которым относятся:
сохранение и укрепление российской государственности и политической стабильности в обществе;
сохранение и развитие демократических институтов общества, обеспечение прав и свобод граждан, укрепление законности и правопорядка;
обеспечение достойной роли России в мировом сообществе;
обеспечение территориальной целостности страны;
обеспечение прогрессивного социально-экономического развития России;
сохранение национальных культурных ценностей и традиций.
В соответствии с указанными приоритетами основными целями информационной безопасности являются:
защита национальных интересов России в условиях глобализации информационных процессов, формирования мировых информационных сетей и стремления США и других развитых стран к информационному доминированию;
обеспечение органов государственной власти и управления, предприятий и граждан достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;
реализация прав граждан, организаций и государства на получение, распространение и использование информации.
К основным задачам обеспечения информационной безопасности относятся:
выявление, оценка и прогнозирование источников угроз информационной безопасности;
разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;
разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления и предприятий по обеспечению информационной безопасности;
развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;
обеспечение активного участия России в процессах создания и использования глобальных информационных сетей и систем.
14. Понятие и современная концепция национальной безопасности. Система национальной безопасности. Военная безопасность. Экономическая безопасность.
Понятие и концепция нац. безопасности (на примере США)
Современные концепции национальной безопасности отдельных зарубежных государств стали создаваться и функционировать после Второй мировой войны. Наиболее широкий размах этот процесс принял в Соединенных Штатах Америки, что было следствием опыта ведения внешней политики руководством страны в ходе войны, а также особенностей, определяющих американские подходы к обеспечению безопасности страны в конкретных исторических условиях. В силу консервативности мышления, либо ввиду отсутствия возможностей, другие зарубежные государства не пошли на такую коренную перестройку внешнеполитического механизма, а встали на путь постепенной, эволюционной переделки, хотя за основу был взят американский взгляд на проблему безопасности.
Понятие «национальная безопасность» широко вошло в практику с 1947 г., когда в США был принят Закон «О национальной безопасности».
Всовременной американской стратегии национальной безопасности внутренним проблемам стало уделяться больше внимания, однако и сейчас большей частью они только обозначены как императивы. Крайне мало уделяется внимания экологическим проблемам и совсем исключены из стратегии национальной безопасности вопросы предотвращения и ликвидации последствий техногенных и природных катастроф, хотя их влияние сплошь и рядом принимает глобальный характер. Организованная преступность и терроризм представляют серьезную угрозу не только международной безопасности, но и внутренней безопасности США.
Встратегии национальной безопасности США формулируются прежде всего национальные цели, на достижение которых направлена национальная стратегия администрации США. При администрации Б. Клинтона национальная стратегия в данном документе распространялась на три сферы: политическую, военную и экономическую, а в качестве приоритетных целей выдвигались: укрепление безопасности, обеспечение процветания нации, развитие демократии.
Здесь должна быть система нац безопасности
Военную безопасность можно трактовать как состояние жизнедеятельности социума, его структур и институтов, гарантирующее их качественную определенность в параметрах надежности существования и устойчивости развития посредством исключения военного насилия.
Военная безопасность государства, в широком смысле слова - это такое состояние межгосударственных и внутригосударственных военно-политических отношений,
обороноспособности страны, при котором предупреждается или сдерживается агрессия, уменьшается вероятность нанесения ущерба национальным интересам и вовлечения социальных групп в войну или военные конфликты, а в случае возникновения военной угрозы интересам личности, общества и государства гарантируется обеспечение их вооруженной защиты.
Военная безопасность государства, в узком смысле — это такое состояние жизнедеятельности системы властных органов и учреждений, которое сохраняет качественные и количественные параметры надежности существования конституционного строя, политической, экономической и социальной стабильности и устойчивости общества посредством исключения военных опасностей и угроз, военного насилия.
Военная безопасность общества - это состояние, характеризующееся отсутствием военных опасностей и военных угроз в социальном и социокультурном пространстве, в
котором связаны и взаимодействуют между собой независимые от государства индивиды. Иными словами, эти опасности и угрозы исключены из системы жизнеобеспечения социальной, социокультурной и духовной сфер, из производства, воспроизводства и передачи от поколения к поколению норм, образцов и стандартов поведения, традиций, а также из системы самостоятельных и независимых от государства общественных институтов и отношений. С другой стороны - это состояние, которое обеспечивает поступательное развитие социального пространства.
Экономическая безопасность
Экономическая безопасность — такое состояние, или уровень развития средств производства в стране, при которых процесс устойчивого развития экономики и социальноэкономическая стабильность общества обеспечивается, практически, независимо от наличия и действия внешних факторов.
Экономическая безопасность - совокупность экономических, политических, военных, научно-технологических и социальных аспектов и факторов, определяющих состояние, или уровень национальной безопасности государства.
Экономическая безопасность может быть достигнута в том случае, если степень зависимости от доминирующей экономики, а также степень обострения внутриполитической, социальной и экономической ситуации не превышает предела, который грозит утерей национального суверенитета, существенным ослаблением военной мощи, значительным снижением уровня и качества жизни населения, либо срывом достижения глобальных стратегических целей страны.
15. Место и роль информационной безопасности в системе национальной безопасности.
may be как в РФ, только в общих чертах
Известна формула безопасности, закрепленная с 1992 года в Законе РФ «О безопасности» как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Исходя из этого, к основным объектам безопасности относятся:
•личность (ее права и свободы);
•общество (его материальные и духовные ценности);
•государство (его конституционный строй, суверенитет и территориальная целостность).
Одновременно с этим государство, организации и граждане относятся и к основным субъектам обеспечения безопасности. Главную роль из них в этом играет государство, которое в соответствии с действующим законодательством должно обеспечивать безопасность каждого гражданина, а также социальную и правовую защиту гражданам и организациям, оказывающим содействие в обеспечении безопасности в соответствии с законом. В то же время закрепленные в этом законе положения нельзя назвать полными и достаточными, так как они не раскрывают механизмов определения интересов, их соотношения и реализации, что обусловлено рядом нерешенных проблем, в том числе методологического порядка.
Таким образом, национальная безопасность включает в себя три составляющие: государственную безопасность, общественную безопасность и безопасность человека (личную безопасность). Если первая прямо связана с противодействием угрозам, независимости и территориальной целостности страны, оборонному потенциалу, конституционному строю и связана с защитой институтов, обеспечивающих безопасность этих ценностей, то вторая отражает потребность защиты общественного порядка, собственности во всех ее формах, безопасности личности; третья же характеризует защищенность интересов, прав и свобод человека.
16. Основные положения закона РФ «Об информации, информационных технологиях и защите информации».
Базовый нормативный документ, юридически описывающий понятия и определения области информационной технологии и задающий принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, а также регулирует отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий.
Настоящий Федеральный закон регулирует отношения, возникающие при:
1. осуществлении права на поиск, получение, передачу, производство и распространение информации;
2. применении информационных технологий;
3. обеспечении защиты информации.
Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:
1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2. установление ограничений доступа к информации только федеральными законами;
3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6. достоверность информации и своевременность ее предоставления;
7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.