- •5. Общая характеристика методов и средств защиты информации.
- •6. Компьютерная система как объект информационного воздействия. Методы нарушения конфиденциальности, целостности и доступности информации.
- •7.Основные направления обеспечения информационной безопасности объектов информационной сферы государства в условиях информационной войны.
- •8.Анализ современных подходов к построению систем защиты информации.
- •9.Организационно-правовые, программно-аппаратные и инженерно-технические методы защиты информации.
- •10. Технические каналы утечки информации.
- •11. Угрозы информационной безопасности объекта. Классификация угроз. Источники угрозы
- •12. Проблемы региональной информационной безопасности
- •13. Модель компьютерного нарушителя. Типы нарушителей.
- •14. Вредоносные программы. Антивирусная защита
- •15. Информационное оружие, его классификация и возможности. Объекты информационной войны в военное и мирное время
- •Организационное и правовое обеспечение информационной безопасности
- •16. Защита персональных данных в организации
- •17. Понятие компьютерных преступлений и их классификация
- •18.Классификация информационных систем персональных данных
- •Требования к защите персональных данных при их обработке в информационных системах персональных данных
- •19. Основные методы и способы защиты информации в испДн для различных классов этих систем.
- •II Состав и содержание мер по обеспечению безопасности персональных данных
- •Состав и содержание мер по, обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
- •20. Порядок сертификации средств защиты информации и правовое регулирование лицензионной деятельности в области защиты информации.
- •21. Государственная тайна как особый вид защищаемой информации и её характерные признаки.
- •Вопрос 2. Характерные признаки государственной тайны
- •22. Организация подготовки и проведения совещаний и переговоров по конфиденциальным вопросам.
- •23. Коммерческая тайна и ее защита. Организация режима коммерческой тайны на предприятии.
- •24. Место организационной защиты информации в системе комплексной защиты информации
- •25. Принципы, методы и формы организационной защиты информации. Соотношение организационных и правовых, организационных и технических методов защиты информации
- •26. Структура сил и средств организационной защиты на объекте.
- •27. Служба безопасности объекта. Типовая структура службы безопасности.
- •28. Организация пропускного и внутри объектового режимов.
- •29. Работа с персоналом, имеющим допуск к конфиденциальной информации. Особенности подбора персонала на должности, связанные с работой с конфиденциальными документами.
- •30. Организация системы доступа к защищаемой информации.
26. Структура сил и средств организационной защиты на объекте.
Организационная защита информации это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита информации:
Организация работы с персоналом;
Организация внутриобъектового и пропускного режимов и охраны;
Организация аналитической работы и контроля.
- развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.
- создание службы охраны и физической безопасности.
- организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и т.д.);
- разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;
- регламентацию порядка работы с носителями, содержащими конфиденциальную информацию.
Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз информационной безопасности организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений ОИБ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:
сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как неумышленных, так и преднамеренных);
реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).
Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои защитные возможности , регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима информационной безопасности. Так, длязашиты от действий посторонних лиц и подкрепления вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения информационной безопасности.
С учетом всего сказанного выше, можно сделать вывод: к обеспечению безопасности информационных технологий организации (и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.
За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам ОИБ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности).
В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.
Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.
Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней:
уровень 1 - Руководство организации
уровень 2 - Подразделение ОИБ
уровень 3 - Администраторы штатных и дополнительных средств защиты
уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках)
уровень 5 - Конечные пользователи и обслуживающий персонал