Каковы основные положения, составляющие понятийную основу базовых моделей безопасности?

Опишите основные компоненты и содержательную сущность дискреционной модели безопасности.

Опишите основные компоненты и содержательную сущность мандатной модели безопасности.

Опишите четыре уровня решения задачи обеспечения безопасности экономической информационной системы.

Решению каких вопросов посвящены «Оранжевая книга» и «Розовая книга».

Сформулируйте понятие класса защищенности, определяемого руководящими документами Гостехкомиссии.

Какие группы и классы защищенности определены руководящими документами Гостехкомиссии. для автоматизированных систем.

Опишите структуру системы защиты информации, определенную руководящими документами Гостехкомиссии. 

Дайте краткое описания назначения и содержания стандарта ISO 17799/

Сформулируйте типичные объективные причины разрушения данных ИС.

Сформулируйте типичные причины разрушения данных ИС, связанные с деятельностью человека.

Сформулируйте понятия физической и логической разгрузки баз данных.

Опишите технологии резервирования и восстановления данных на примере СУБД Oracle

Опишите содержание разделов политики безопасности в соответствии с рекомендациями NIST.

Сформулируйте содержание понятий идентификации, аутентификации и авторизации.

Какие три типа процедур лежат в основе аутентификации пользователей ИС?

Приведите примеры аутентификации пользователей ИС, основанной на знании.

Приведите примеры аутентификации пользователей ИС, основанной на наличии.

НЕ нашли? Не то? Что вы ищете?

Приведите примеры аутентификации пользователей ИС, основанной на проверке значений характеристик.

Сформулируйте сущность и содержание проблемы перехвата данных в распределенной информационной системе.

Сформулируйте сущность и содержание проблемы ложной идентификации в ИС. Возникает ли подобная проблема в технологиях электронного бизнеса? Приведите примеры.

Каковы функции системы обнаружения вторжений в технологиях решения общей проблемы защиты ресурсов ИС?

Какие методы обнаружения вторжений вам известны?

С какой целью проводится аудит ИС на соответствие требованиям стандарта защищенности системы?

Опишите подготовительные мероприятия для проведения аудита на соответствие требованиям стандарта BS 7799.

Что проверяется при проведении сертификации ИС организации на соответствие требованиям стандарта BS 7799?

Какие категории несоответствия должен использовать аудитор при проведении сертификации ИС организации на соответствие требованиям стандарта BS 7799?

Какие вопросы должны быть решены на официальном собрании организации перед началом проведения аудита безопасности?

Какие вопросы должны быть решены на официальном совещании руководства организации после завершения проведения аудита безопасности?

Какие технологии проведения аудита действий пользователей применяются в СУБД промышленного уровня?

Опишите известные Вам средства проведения аудита, встроенные в СУБД промышленного уровня.


1         K. Nygaard. An Emergency Toolkit. In: C. Ciborra. The Labirinths of Information. Oxford University Press. 2002.

2         Т. е. тех, кому разрешен доступ к данной информации.

3         Специалисты считают, что этот подход – развитие или простое повторение концепции об экономической ренте видного экономиста XIX века Дэвида Рикардо, который также впервые сформулировал используемое нами понятие «конкурентное преимущество». См. John Kay, “The Truth about Markets”, Penguin Books, 2003.

4         Семиотика - (греч. semeiotikуn, от semйion — знак, признак) — наука, исследующая свойства знаков и знаковых систем (естественных и искусственных языков). Семиотика изучает характерные особенности отношения «знак — означаемое», распространенного достаточно широко и несводимого к причинно-следственным отношениям. Поскольку знак есть носитель информации, данная область науки получает большое прикладное значение при исследовании и проектировании знаковых систем, используемых в процессах передачи и обработки информации.


5         Питер Дракер. Следующая информационная революция. www. cfin. ru/chuvakin/nir. shtml

6         Это может служить косвенным показателем «революционности» нововведения: за 50 лет производительность работника выросла в тысячи раз!

7         От Гутенберга до пиара. Итоги, №41 (279), 16.10.2001.

1         Arrow K. Information and Economic Behavior. The Economics of Information. Collected Papers of K. J.Arrow, Vol.4, Cambridge, Mass., Bellknap Press, 1984.

9        Отметим, что обсуждению проблем трансакционных издержек в российской экономике и интересной дискуссии по поводу содержания термина «трансакционные издержки» посвящен сборник «Фактор трансакционных издержек в теории и практике российских реформ» под редакцией . М.,ТЕИС, 1998.

10         C. Ciborra. Teams, Markets and Systems. P. 115.

11         Информационный мусор на всемирной сети получил название «спам» от английского “spam” – буквально означает «консервированный колбасный фарш».

12         Современные способы надежной защиты от спама анонсируются, например, в последних версиях Lotus Notes и Domino 6 компании  IBM (Cnews. ru: Hi-Tech. 01.10.02)

1         Lorraine Cosgrove Ware. The State of CIO. The Changing Role of the Chief Information Officer 2002-2003. CIO Research Series. 2002.

14         В. Аузан. Бизнес на интеллекте. Эксперт «Лаборатория»


15         Метакапитализм и революция в электронном бизнесе. Альпина Паблишер, М., 2001.


16        Эксперт, №38, 11.10.99

17         В. Когаловский. Происхождение ERP. Директор ИС, №5, 2000.

18         Заметим, что аналогом MRPII на наших предприятиях в 80-е годы можно считать, хотя и условно, так называемую АСУП – автоматизированную систему управления предприятием. АСУП также были ориентированы на управление производственно-хозяйственной деятельностью предприятия.


19         Отметим, что понятию ERP в российской действительности наиболее близко понятие АСУ – Автоматизированнной Системы Управления.


20         и др. Экономическая информация. Статистика, Москва, 1974.

       

21         Приход ERP II ожидается в 2004 году. РС Week/RE 2001/6

22         M. Missbach, U. Hoffman. SAP Hardware Solutions. Prentice Hall PTR., NJ 07458, 2001.

23         Из этого впрочем не следует, что ИТ не влияют на принятое решение: сравните подготовку и принятие решения  с помощью современной ERP – системы и на основе устаревшей АСУ. Современные ИС позволяют быстрее получать нужную информацию и готовы представлять гораздо более широкий набор вариантов решений для выбора лучшего. 

24         Daniel Power. Decision Support Systems. Concept and Resources for Managers. Greenwood Publishing Group, Inc., 2002.

25         Михаил Альперович. Введение в OLAP и многомерные базы данных PC Week/RE 99/28


1         M. Missbach, U. Hoffman. SAP Hardware Solutions. Prentice Hall PTR., NJ 07458, 2001.

27        Cnews. ru: Главные новости. Грязные приемы рынка CRM. 30.09.2002.

28         Интересно отметить, что из всех существовавших ранее разновидностей АСУ, понятие АСУ ТП сохранилось в первоначальном виде: вместо АСУ, АСУП – появились и прижились термины ERP, MRPII и только АСУ ТП осталась в прежнем виде.

29         Измерения конфиденциальности проводятся по специальным методикам, утверждаемым государством для ИС повышенного уровня безопасности. Соответствующие стандарты утверждаются и обновляются спецслужбами. В бизнесе такие стандарты конфиденциальности используются в исключительных случаях.

30         Информационные процессы в организации не исчерпываются ИС и службой ИС. Участниками информационных процессов оказывается также весь управленческий персонал организации – менеджмент, служба финансового учета, бухгалтерия, правовая служба и др. Поэтому кроме поддерж­ки средствами ИС возможна учетная, правовая и иная поддержка информационных процессов.

31         Эта функция будет подробно рассмотрена в следующем параграфе

32         Под Комитетом по планированию здесь и далее понимается коллективный орган, согласующий бизнес-план и финансовый план организации до вынесения его на рассмотрение Правления независимо от фактического наименования такого органа.

33         Далее мы будем именовать подразделения службы ИС следующим образом: управление (подчиняется CIO), отдел (входит в управление), группа (входит в отдел). В реальных службах ИС система именования может быть иной.

34         Инцидент – любое событие, не являющееся частью нормального функционирования сервиса, которое приводит или может привести к перерыву в обслуживании или снижению качества последнего

35         Сайтом здесь называется подсистема, группа компьютеров, использующих общий каталог информации и взаимодействующих через постоянные синхронные сетевые соединения


36         Включение процессов в систему управления организацией в целом, а не только службой ИС, безусловно интересно, однако выходит за рамки данного курса.

37         Эскалация – передача задачи от одной роли к другой в рамках процесса. Передача задачи в пределах одного уровня управления называется горизонтальной эскалацией, передача задачи на более высокий уровень управления – вертикальной эскалацией.

38         Субординированный контракт – контракт, условия которого определяются неким более общим соглашением. В данном случае таким более общим соглашением выступает СУС.

39         Существуют средства повышения доступности системы в целом, связанные с введением избыточности обору­дования и ПО, а также отдельных узлов оборудования. Системы, в которых такие решения применяются последовательно, обеспечивая доступность сервисов ИТ в случае отказа любого устройства или компонента ПО, называются системами с высокой степенью доступности

40         Современные крупные страховые компании предлагают клиентам не только страхова­ние как таковое, но и методы снижение рисков

41         Резервный сайт – помещение, в котором размещена инфраструктура ИТ (серверы, локальная сеть, каналы связи, ПО, источники бесперебойного питания и т. д.), позволяющая поддерживать полностью или частично сервисы ИТ в случае выхода из строя основного офиса организации

42         Под численностью службы ИС понимается суммарная численность пер­сонала, обслуживающего инфраструктуру ИТ организации, включая аутсорсинг и внешних кон­сультантов. Кроме того, на деле потребность в формализации ролей и использовании специализированного ПО управления сложными информационными системами определяется масштабом задач и количеством и масштабом обслуживаемых сервисов ИТ. Однако при прочих равных условиях численность служит хорошим индикатором.

43         Лизинг, упомянутый в разделе 14, переводил затраты из инвестиционных в текущие, что позволяло снизить финансовый риск. Сумма затрат при этом повышалась на величину банковского процента

44         В бухгалтерской практике ряда стран применяются различные методы ускоренной амортиза­ции, т. е. неравномерного списания первоначальных затрат на основные средства, в том числе основные средства ИТ. Однако такое списание крайне редко используется в управленчес­ком учете

45         Под традиционными системами учета мы будем понимать системы учета затрат, не использующие модель ССВ в анализе затрат на инфраструктуру ИТ.

46         Методика расчета ССВ фирмы Dell – «проект TCO» – была специально адаптирована для России. Процентные доли в данном и последующем параграфе приведены для иллюстрации соотношения различных составляющих ССВ. В других методиках процентные соотношения могут быть иными, но в первом приближении сходными

47         В определенных случаях согласно информации пользователя может быть установлено более раннее время возникновения инцидента. Во избежание злоупотреблений такие случаи должны быть четко описаны в регламенте технической поддержки.

48         См. описание процесса управления конфигурациями в главе 15.

49         При использовании сетевого компьютера все прикладные приложения, в т. ч. MS Office, должны запускаться с сервера, а не с клиентского ПК

50         Пример – ERP-системы, рассматриваемые в Приложении 1.

51         Вследствие высокого темпа инноваций в секторе ИТ, моральное устаревание для ИТ-решений как правило наступает значительно раньше физического. В этом случае именно оно ограничи­ва­ет срок эксплуатации ИТ-решений.

52         Критерии существенности выходят за пределы данного курса. Они подробно описываются в [13].

53         Функции бухгалтерского учета являются стандартными для ERP-систем, здесь речь идет о том, что система не решает никаких задач, кроме ведения бухгалтерского учета и расчета баланса, в том числе не решаются и задачи оптимизации производства и финансов

54         Напомним, что древние греки для захвата Трои построили гигантскую статую коня, в которую спрятали несколько наиболее подготовленных воинов. Троянцы внесли статую в город. Ночью из статуи вышли воины и, уничтожив стражу, открыли ворота для  основных сил греков, захвативших Трою. См. Гомер «Илиада»

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99