2 月之前 · eae169dbda
--- a/Лекции/1.6.250_HTTPS_SSL/Вопросы
+++ b/Лекции/1.6.250_HTTPS_SSL/Вопросы
@@ -0,0 +1,9 @@
 
				+Что такое HTTP и в чем его основная уязвимость?
			
 
				+HTTP (Hypertext Transfer Protocol) - это протокол для передачи данных в интернете, например, для загрузки веб-страниц. Основная уязвимость HTTP заключается в том, что он передает данные в открытом виде, делая их уязвимыми для перехвата и просмотра третьими лицами.
			
 
				+
			
 
				+Какие криптографические протоколы используются в HTTPS? 
			
 
				+В HTTPS используются протоколы SSL (Secure Sockets Layer) и его более современная версия TLS (Transport Layer Security).
			
 
				+
			
 
				+Назовите три ключевых аспекта безопасности, которые обеспечиваются SSL/TLS.
			
 
				+Шифрование, аутентификация и целостность данных.
			
 
				+
			
--- a/Лекции/1.6.250_HTTPS_SSL/Зеленский.md
+++ b/Лекции/1.6.250_HTTPS_SSL/Зеленский.md
@@ -0,0 +1,55 @@
 
				+# HTTPS и SSL
			
 
				+
			
 
				+**Что такое HTTP?**
			
 
				+
			
 
				+HTTP (Hypertext Transfer Protocol) - это протокол прикладного уровня, который является основой передачи данных во Всемирной паутине. Он позволяет браузерам запрашивать веб-страницы и другим веб-ресурсам у серверов и получать их в ответ. Однако, HTTP передает данные в открытом виде, что делает их уязвимыми для:
			
 
				+
			
 
				+**Перехвата**: Злоумышленники могут перехватить трафик и прочитать передаваемые данные (логины, пароли, номера кредитных карт и др.).
			
 
				+**Модификации**: Злоумышленники могут изменять передаваемые данные, например, подменяя содержимое веб-страниц.
			
 
				+**Фальсификации:** Злоумышленники могут выдавать себя за легитимный сервер, обманывая пользователей.
			
 
				+
			
 
				+HTTPS (Hypertext Transfer Protocol Secure) - это расширение протокола HTTP, которое обеспечивает защищенную передачу данных. Для этого HTTPS использует криптографические протоколы SSL (Secure Sockets Layer) и его более современную версию TLS (Transport Layer Security). По сути, HTTPS - это HTTP, обернутый в SSL/TLS.
			
 
				+
			
 
				+**Как работают SSL/TLS:**
			
 
				+
			
 
				+SSL/TLS используют криптографию для обеспечения трех ключевых аспектов безопасности:
			
 
				+
			
 
				+**Шифрование:** Данные, передаваемые между браузером и сервером, шифруются таким образом, что их не может прочитать никто, кроме отправителя и получателя.
			
 
				+**Аутентификация:** Сервер доказывает свою подлинность, предоставляя сертификат SSL/TLS, выданный доверенным центром сертификации (CA). Это гарантирует, что пользователь подключается к нужному серверу, а не к поддельному.
			
 
				+**Целостность:** SSL/TLS обеспечивают целостность данных, гарантируя, что данные не были изменены во время передачи. Для этого используются механизмы хэширования и цифровые подписи.
			
 
				+
			
 
				+Процесс установления HTTPS-соединения (рукопожатие TLS):
			
 
				+
			
 
				+Процесс установления защищенного соединения между браузером и сервером происходит в несколько этапов:
			
 
				+
			
 
				+1. Запрос на соединение: Браузер отправляет запрос на HTTPS-соединение.
			
 
				+2. Предложение протоколов и наборов шифров: Сервер предлагает браузеру список поддерживаемых протоколов TLS и наборов шифров.
			
 
				+3. Выбор протокола и набора шифров: Браузер выбирает наиболее безопасный общий протокол и набор шифров.
			
 
				+4. Обмен ключами: Сервер отправляет свой цифровой сертификат, содержащий открытый ключ. Браузер проверяет подлинность сертификата у доверенного CA. Затем, браузер генерирует случайный секретный ключ и шифрует его открытым ключом сервера.
			
 
				+5. Установка защищенного соединения: Браузер отправляет зашифрованный секретный ключ серверу. Сервер расшифровывает ключ своим закрытым ключом. Теперь у обоих есть общий секретный ключ для шифрования трафика.
			
 
				+6. Шифрованный обмен данными: Все последующие данные, передаваемые между браузером и сервером, шифруются с использованием общего секретного ключа.
			
 
				+
			
 
				+5. Цифровые сертификаты SSL/TLS:
			
 
				+
			
 
				+**Сертификаты SSL/TLS** - это электронные документы, подтверждающие подлинность сервера и содержащие его открытый ключ. Они выдаются центрами сертификации (CA), которые гарантируют легитимность владельца сертификата.
			
 
				+
			
 
				+Сертификаты могут быть разных видов, включая:
			
 
				+
			
 
				+**Domain Validation (DV):** Простая проверка владения доменом.
			
 
				+**Organization Validation (OV):** Проверка владельца домена и его организации.
			
 
				+**Extended Validation (EV)**: Наиболее строгая проверка, обеспечивает наивысший уровень доверия.
			
 
				+
			
 
				+**Преимущества использования HTTPS:**
			
 
				+
			
 
				+1.**Конфиденциальность:** Защищает данные от перехвата и прочтения третьими лицами.
			
 
				+2.**Целостность**: Гарантирует, что данные не были изменены во время передачи.
			
 
				+3.**Аутентификация:** Подтверждает подлинность сервера, предотвращая фишинг.
			
 
				+4.**Доверие пользователей**: Зеленый замочек в адресной строке браузера повышает доверие пользователей к сайту.
			
 
				+5.**SEO:** Поисковые системы, такие как Google, отдают предпочтение сайтам с HTTPS.
			
 
				+
			
 
				+**Недостатки использования HTTPS:**
			
 
				+
			
 
				+**Небольшое замедление:** Процесс шифрования и дешифрования данных может привести к небольшому замедлению работы сайта.
			
 
				+**Стоимость:** Приобретение SSL/TLS-сертификатов может потребовать финансовых затрат, хотя существует множество бесплатных вариантов.
			
 
				+**Сложность настройки:** Настройка HTTPS может быть сложной для новичков.
			
 
				+
			
--- a/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский
+++ b/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский
@@ -0,0 +1,14 @@
 
				+Какова роль обучения персонала в обеспечении защиты от НСД, и какие аспекты безопасности следует включать в программы обучения?
			
 
				+
			
 
				+Обучение персонала играет критически важную роль в защите от НСД, поскольку человеческий фактор остается одним из наиболее уязвимых мест в системах безопасности. Даже самая совершенная техническая защита бессильна против сотрудника, который не понимает рисков или не соблюдает правила безопасности. 
			
 
				+
			
 
				+
			
 
				+Какие технические средства наиболее эффективны для защиты периметра сети от НСД, и как они взаимодействуют друг с другом?
			
 
				+
			
 
				+Для эффективной защиты периметра сети от НСД обычно используются межсетевые экраны
			
 
				+
			
 
				+
			
 
				+
			
 
				+В чем заключается важность юридических мер в обеспечении защиты от НСД, и какие законодательные акты следует учитывать?
			
 
				+
			
 
				+Юридические меры обеспечивают правовую основу для защиты информации и устанавливают ответственность за нарушения. Они являются неотъемлемой частью комплексной стратегии безопасности.
			
--- a/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский
+++ b/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский
--- a/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский.md
+++ b/Лекции/2.4.300_Основные_направления_обеспечения_защиты_НСД/Зеленский.md
@@ -0,0 +1,55 @@
 
				+# Основные направления обеспечения защиты от НСД
			
 
				+
			
 
				+**Введение:**
			
 
				+
			
 
				+Несанкционированный доступ к данным (НСД) представляет собой одну из самых серьезных угроз для информационной безопасности организаций и частных лиц. В современном цифровом мире, где данные являются ценным активом, защита от НСД становится критически важной задачей. Эта лекция осветит основные направления обеспечения такой защиты.
			
 
				+
			
 
				+**1. Организационные меры:**
			
 
				+
			
 
				+Организационные меры лежат в основе эффективной защиты от НСД. Они включают в себя:
			
 
				+
			
 
				+**Разработка и внедрение политики безопасности:** Политика безопасности должна четко определять правила доступа к данным, обязанности сотрудников, процедуры реагирования на инциденты и другие важные аспекты защиты информации. Она должна быть доступна всем сотрудникам и регулярно пересматриваться.
			
 
				+
			
 
				+**Обучение персонала:** Сотрудники должны быть обучены основам информационной безопасности, включая правила безопасной работы с данными, распознавание фишинговых атак и других угроз. Регулярное обновление знаний крайне важно.
			
 
				+
			
 
				+**Управление доступом:** Строгое управление доступом к данным на основе принципа наименьших привилегий (least privilege) является ключом к предотвращению НСД. Каждый пользователь должен иметь доступ только к тем данным, которые необходимы ему для выполнения его должностных обязанностей. Это включает использование ролевого доступа и регулярный аудит прав доступа.
			
 
				+
			
 
				+**Разработка и утверждение регламентов:** Регламенты должны подробно описывать процессы работы с данными, хранение информации, резервное копирование и восстановление после инцидентов.
			
 
				+
			
 
				+**Проведение аудитов безопасности:** Регулярные аудиты безопасности позволяют выявлять уязвимости и недостатки в системе защиты информации. Результаты аудита должны использоваться для улучшения системы безопасности.
			
 
				+
			
 
				+**Управление инцидентами:** Должен быть разработан и внедрен план реагирования на инциденты, связанный с НСД. План должен включать процедуры обнаружения, расследования, устранения и предотвращения подобных инцидентов в будущем.
			
 
				+
			
 
				+**2. Технические меры:**
			
 
				+
			
 
				+Технические меры обеспечивают физическую и логическую защиту данных. Основные направления:
			
 
				+
			
 
				+**Защита периметра сети:** Использование межсетевых экранов (firewall), систем обнаружения вторжений (IDS) и систем предотвращения вторжений (IPS) для контроля и фильтрации сетевого трафика.
			
 
				+
			
 
				+**Защита серверов и рабочих станций:** Установка антивирусного программного обеспечения, системы предотвращения потери данных (DLP), а также регулярное обновление операционных систем и прикладного программного обеспечения.
			
 
				+
			
 
				+**Шифрование данных:** Шифрование данных как в состоянии покоя, так и в процессе передачи обеспечивает конфиденциальность и целостность информации.
			
 
				+
			
 
				+**Виртуализация и облачные технологии:** Правильное использование виртуализации и облачных технологий может повысить безопасность, если применяются соответствующие меры безопасности. Важно выбирать надежных провайдеров облачных услуг.
			
 
				+
			
 
				+**Системы аутентификации и авторизации:** Использование многофакторной аутентификации (MFA) и сильных паролей делает несанкционированный доступ сложнее.
			
 
				+
			
 
				+**Мониторинг безопасности:** Система мониторинга безопасности должна отслеживать активность в сети и на серверах, чтобы своевременно выявлять подозрительную активность.
			
 
				+
			
 
				+**Резервное копирование и восстановление данных:** Регулярное резервное копирование данных позволяет восстановить информацию в случае ее потери или повреждения.
			
 
				+
			
 
				+**3. Юридические меры:**
			
 
				+
			
 
				+Юридические меры обеспечивают правовую защиту данных и ответственность за нарушение информационной безопасности:
			
 
				+
			
 
				+**Разработка и утверждение локальных нормативных актов:** Разработка и утверждение внутренних документов, регулирующих вопросы защиты информации в организации.
			
 
				+
			
 
				+**Заключение договоров о неразглашении конфиденциальной информации:** Заключение договоров о неразглашении с сотрудниками и контрагентами, имеющими доступ к конфиденциальной информации.
			
 
				+
			
 
				+**Соблюдение законодательства в области защиты персональных данных:** Соблюдение требований законодательства о защите персональных данных (например, GDPR, Федеральный закон "О персональных данных").
			
 
				+
			
 
				+**Расследование и преследование нарушителей:** При выявлении фактов НСД необходимо провести расследование и привлечь виновных к ответственности в соответствии с действующим законодательством.
			
 
				+
			
 
				+**Заключение:**
			
 
				+
			
 
				+Обеспечение защиты от НСД является комплексной задачей, требующей комплексного подхода, включающего организационные, технические и юридические меры. Только комплексное применение этих мер может гарантировать надежную защиту ценных данных от несанкционированного доступа. Важно помнить, что система безопасности должна постоянно развиваться и адаптироваться к новым угрозам и уязвимостям.