-
Notifications
You must be signed in to change notification settings - Fork 27
Билет 26
Информационная безопасность (англ. Information Security) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками.
Основные измерения (триада CIA)
- Confidentiality — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов;
- Integrity — «целостность» — свойство сохранения правильности и полноты активов;
- Availability — «доступность» — свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA.
Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости (англ. need-to-know). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей.
Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности.
Информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Её целостности могут угрожать компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки.
Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип разграничения полномочий, согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет — другое.
Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки. Существенную роль в нарушении доступности играют также природные катастрофы. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой.
Средства защиты от несанкционированного доступа:
- Средства авторизации;
- Мандатное управление доступом;
- Избирательное управление доступом;
- Управление доступом на основе ролей;
- Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей
- Системы обнаружения и предотвращения вторжений (IDS/IPS).
- Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Анализаторы протоколов.
Антивирусные средства.
Межсетевые экраны.
Криптографические средства:
- Шифрование;
- Цифровая подпись.
Системы резервного копирования.
Системы бесперебойного питания:
- Источники бесперебойного питания;
- Резервирование нагрузки;
- Генераторы напряжения.
Системы аутентификации:
- Пароль;
- Ключ доступа (физический или электронный);
- Сертификат;
- Биометрия.
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты:
- Антивирус.
Консалтинг — это платное экспертное консультирование руководителей предприятий и частных предпринимателей по широкому спектру экономических, производственных, коммерческих и других вопросов для оптимизации бизнес-процессов, увеличения прибыли и повышения ключевых показателей деятельности.
Проще говоря, консалтинг – это платная квалифицированная помощь организациям, которым требуется независимая оценка текущей деятельности, анализ бизнес-процессов и последующие рекомендации по ведению бизнеса и повышению его эффективности.
Если совсем просто, то консалтинг– это консультационная помощь топ-менеджерам предприятий по управлению бизнесом.
Основной перечень задач консалтинговых компаний:
- рекомендации по повышению производительности;
- разработка маркетинговой стратегии;
- анализ текущей ситуации и выявление проблем;
- советы и решения по модернизации технологического процесса;
- аудит отчетной документации;
- помощь в реорганизации структурных подразделений бизнеса;
- обучение персонала и составление методических пособий.
Компании большой четверки:
- KMPG
- Deloitte & Touche
- Price Waterhouse
- Ernst & Young
Первый в мире и уже ставший классикой метод. Он позволяет за короткое время сгенерировать большое количество идей, которые в дальнейшем подвергаются оценке. Брейнсторм предполагает групповую работу, однако ничто не мешает проводить его в одиночку.
Продвинутая версия классического мозгового штурма. Она имеет игровую форму, позволяет посмотреть на задачу с разных сторон и улучшает внутрикомандное взаимодействие.
Ментальные карты – метод, направленный на визуализацию связей и активизацию ассоциативного мышления. Он позволяет лучше охватывать всю картину изучаемого вопроса и активизирует творческое мышление благодаря использованию графики.
Синектика основана на генерировании идей с помощью активного использования аналогий. Это достаточно сложный метод с некоторыми ограничениями. Он предполагает работу над конкретной задачей, а группа синектиков должна быть постоянной и пройти соответствующее обучение. В отличие от брейнсторма здесь допускается критика.
Если предыдущие техники позволяли максимально раскрепостить мышление, то SCAMPER задает ему определенное направление. Это позволяет выдать результат именно в тех случаях, когда свободное мышление не работает. В расширенном виде она представляет собой 60 вопросов и 200 ассоциативных слов.
Случайность и ассоциативное мышление – две вещи, которые удивительно часто сопровождают великие открытия и великие идеи. Метод фокальных (или случайных) объектов основан на этих двух явлениях. Он заключается в мысленном переносе характеристик произвольно выбранных объектов на предмет рассмотрения.
Выполнил: Маслихин Вадим Сергеевич