1. Актуальность проблемы ИБ.

2. Понятие информации, Определение. Конфиденциальная информация. Классификации информации.

о чем либо неависимо от формы представления

Конфиденциональная информация- информация ограниченного доступа.

Указ президента РФ о том какую инфу считать конфиденциальной а какую нет.

классиф. по восприятию, тактильная...

3. Определение информационной безопасности. Доступность, целостность, конфиденциальность. Угрозы. Классификация угроз.

ИБ- это состояние защищенности информации от угроз.

Доступность- возможность получить информационную услугу за разумный промежуток времени.

Это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускной способности почтового сервиса.

Целостность- это гарантирование того, что информация остается неизменной, корректной и аутентичной. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.

Конфиденциальность-  это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальной, также называется чувствительной. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата.

Угроза- потенциально возможное воздействие, направленное на несанкционированные:

• хищение (копирование) информации;
• уничтожение информации;
• модификация (искажение) информации;
• нарушение доступности (блокирование) информации;
• отрицание подлинности информации;
• навязывание ложной информации.

Классификация угроз: Субьективная и обьективная угроза.

Субьективная (антропогенная) зависит от деятельности человека, обьективная не зависит от деятельности человека (природные катаклизмы: землетрясения, пожары, наводнения).

Субьективные угрозы делятся на: преднамеренные и непреднамеренные угрозы.

Неумышленные (непреднамеренные) угрозы связаны с:

• ошибками оборудования или программного обеспечения: сбои процессора, питания, нечитаемые дискеты, ошибки в коммуникациях, ошибки в программах;
• ошибками человека: некорректный ввод, неправильная монтировка дисков, запуск неправильных программ, потеря дисков, пересылка данных по неверному адресу;
• форс-мажорными обстоятельствами.

Умышленные (преднамеренные) угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям информационных систем и, в свою очередь, подразделяются на активные и пассивные. Пассивная угроза - несанкционированный доступ к информации без изменения состояния системы, активная – связана с попытками перехвата и изменения информации.

4. Средства обеспечения ИБ. Система ИБ.

Существует 5 средств обеспечения ИБ: правовые, морально- этические, физически, организационные, аппаратные, программные, аппаратно- программные, криптографические.

Законодательные (правовые) - действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые средства защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

Морально- этические -  нормы поведения и правила обращения с информацией. Которые традиционно сложились или складываются по мере распространения электронно-вычислительных машин в обществе, стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты. Однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные, например, общепризнанные нормы честности, так и писаные, то есть оформленные в некоторый устав правил или предписаний. Морально-этические средства защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.

Физические - это разного рода механические, электронно-механические устройства, специально предназначенные для образования физических препятствий на возможных путях проникновения и доступа возможных нарушителей к компонентам автоматической системы и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации. Физическая безопасность связана с введением мер защиты, которые защищают от стихийных бедствий, например, таких как пожар, наводнение, ураган, землетрясение.

Административные (организационные) - то что организует руководство данной организации.

Является методом организационного характера, регламентирующие процессы функционирования системы обработки данных, применением ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой так, чтобы в максимальной степени затруднить или исключить возможность реализации угроз безопасности или минимизировать размер потерь в случае их осуществления. Главная цель административных мер сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Аппаратные- это различ­ные электронные, электромеханические устройства, прямо встроенные в блоки автоматизированной информационной системы или оформленные в виде автономных уст­ройств и сопрягающиеся с этими блоками.Их задача внутренняя защита структурных элементов средств и систем вычис­лительной техники, например, процессоров, терминалов, периферийного оборудования. Реализуются это с помощью метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация, реагирование).

Программные- используются для выполнения логических и интеллектуальных функций защиты. Включаются либо в со­став программного обеспечения автоматизиро­ванной информационной системы, либо в состав средств, комплексов и систем аппаратуры кон­троля. Программные средства защиты являются наиболее распространенным видом за­щиты, так как они универсальны, про­сты в использовании, имеется возможностью изменения и развития. Данное обстоятельство делает их и самыми уязвимыми элементами за­щиты информационной системы организации. В настоящее время создано большое количе­ство операционных систем, систем управления базами данных, сетевых пакетов и пакетов при­кладных программ, включающих разнообразные средства защиты информации.

Аппаратно-программные (технические) - представляют собой различные электронные устройства и специальные программы, входящие в состав автоматической системы предприятия и исполняющие самостоятельно или в комплексе с другими средствами, функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации).

Криптографические- метод защиты информации основанный на принципе ее шифрования. Криптографический метод может быть осуществлен как программными, так и аппаратными средствами. Средство криптографической защиты информации осуществляет криптографическое перестройку информации для обеспечения ее безопасности. Криптографическая защита или криптографическое преобразование информации, шифрование является одним из важных способов защиты информации.

5. Основные принципы построения системы ИБ.

Системность - этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.

Комплексность - принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.
Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.
Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Непрерывность - Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ККС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разумная достаточность -  Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Законность- достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами. Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Открытость (доступность) - то состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.

Гибкость - должно иметь способность изменятся в связи с появлением новых нововведений, новых факторов.

Простота применения - должно быть доступно обычному пользователю. Не должно требовать больших знаний для использования.

6. Криптология.Основные определения.

• Криптология— наука исследующая методы шифрования (криптография) и дешифрования (криптоанализ) информации.
• Шифр— система преобразования текста с секретом (ключем).
• Протокол— набор правил, согласно которому осуществляется взаимодействие субъектов. ...
• Шифрсистема— некоторое семейство шифров.
• Ключ - секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений, постановке и проверке цифровой подписи, вычислении кодов аутентичности 
• Криптограмма - шифрованное сообщение, а также процесс передачи его по каналам связи.

Шифрование:

• Зашифрование. Процесс преобразования сообщения, использующий некоторую секретную информацию (ключ), направленный на обеспечение защиты сообщения.
• Расшифрование. Процесс обратный зашифрованию.

7. Традиционные криптографические методы.

Кодирование

Рассечение

Разнесение

Сжатие

В шифровании преобразованию подвергается каждый символ ! 

Кодирование смысловое и символьное.

8. Симметрические и ассиметрические криптосистемы.

Блок схема ! Нарисовать ! 

Симметричная- если шифрование и расшипроисходит одним и тем же ключем. Но в этом случае ключ нужно передавать по защищенному каналу связи.

В ассиметричном 2 ключа, и между ними располагаются шифование и расшифрование.

9. Назначение программы PGP . На какой криптографической системе основан принцип работы программы PGP. Функции открытого и закрытого ключей.

10. Электронная цифровая подпись (ЭЦП). Назначение и применение ЭПЦ.