- •6. Доктрина информационной безопасности рф. Политика сбалансированного обеспечения безопасного развития личности, общества и государства в информационной сфере.
- •7. Общедоступная инфо и инфо с ограниченным доступом.Классификация инфо с огранич доступом по видам тайн . Государственная, коммерческая, профессиональная, личная и другие виды тайны.
- •9. Методологические принципы и организационные мероприятия, реализуемые в процессе защиты информации.
- •10. Обобщенные модели систем защиты информации. Одноуровневые, многоуровневые и многозвенные модели. Общая характеристика средств, методов и мероприятий, применяемых для защиты информации.
- •11 Компьютерная система (кс) как объект защиты информации. Эволюция концептуальных основ реализации ее защиты. Общая характеристика случайных и преднамеренных угроз в кс.
- •12.Реализация информационных угроз компьютерным системам пу¬тем несанкционированного доступа (нсд). Классификация кана¬лов нсд. Собирательный образ потенциального нарушителя.
- •13 Основные противодействия случайным угрозам в компьютерных системах. Помехоустойчивое кодирование. Дублирование информации и резервирование технических средств.
- •16 Общие понятия и классификация криптографических средств. Методы шифрования (?)
- •17 Общая характеристика и классификация компьютерных вирусов. Антивирусные средства, методы и мероприятияого способа взлома, кроме как полным перебором всех возможных ключей шифрования.
- •18. Отечественные нормативные документы и зарубежные стандарты в области защиты информации и безопасности информационных технологий
- •20.Общетеоретическая постановка задачи оптимизации ксзи на основе выбранного критерия эффективности защиты.
- •21 . Виды информации по категориям доступа. Общедоступная информация и информация ограниченного доступа. Конфиденциальная информация
- •23 Организационно-правовая структура правового обеспечения защиты информации в России.(уточнить)
- •24 Порядок лицензирования деятельности по технической защите конфиденциальных сведений.
- •25. Коммерческая тайна. Правовой порядок установления режима коммерческой тайны.
- •26 Особенности правовой защиты интеллектуальной собственности. Виды интеллектуальной собственности. Право авторства и авторские (исключительные) права на интеллектуальную собственность.
- •27 Особенности правовой защиты персональных данных.(уточнить (дописать))
- •28 Принципы и порядок отнесения сведений к гос. Тайне. Грифы секретности носителей этих сведений.
- •29 Порядок допуска и доступа должностных лиц и граждан к сведениям, составляющим государственную тайну.
- •30 Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет.
- •31. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов
- •32Специфика технологии защищенного документооборота
- •33 Стадии обработки и защиты конфиденциальных документов входного потока.
- •34 Стадии обработки и защиты конфиденциальных документов выходного потока.
- •35. Систематизация и оперативное хранение конфиденциальных до¬кументов и дел.
- •36 Проверка наличия конфиденциальных документов, дел и носите¬лей информации.
- •37 .Политика информационной безопасности предприятия как сово¬купность нормативно-правовых и распорядительных документов по защите информации
- •38 Угрозы безопасности информации. Каналы утечки информации от информационных и телекоммуникационных систем и направление организационной защиты информации в этих системах.(дописать каналы)
- •39 Особенности поиска, оформления и приема на работу сотрудни¬ков, допущенных к конфиденциальной информации
- •40 Текущая работа с персоналом, допущенным к конфиденциальной информации. Меры поощрения и взыскивания, используемые для поддержания дисциплины
- •42 Принципы и задачи ограничения и разграничения доступа к кон¬фиденциальной информации
- •43 Организация внутриобъектового и пропускного режимов на предприятии. Организация охраны объектов информатизации.
- •44 Организация защиты информации при чрезвычайных обстоятельствах.
- •45 Организация служебного расследования по фактам утраты информации и инцидентам в информационных и телекоммуникационных сетях
- •46 Порядок аттестации объектов информатизации
- •47 Способы и средства добывания информации техническими средствами.(так же см 49)
- •48 Технические каналы утечки инфо
- •5. Радиационная разведка
- •6. Магнитометрическая разведка
- •49 Методы способы и средства инженерно-технической охраны объекта
- •50 Способы и средства защиты информации от наблюдения
- •51 Способы и средства защиты информации от подслушивания
- •52 Способы и средства предотвращения утечки информации с помощью закладных устройств.
- •53 Средства и способы предотвращения утечки информации через побочные электромагнитные излучения и наводки
- •54 Способы предотвращения утечки информации по материально-вещественному каналу
- •55 Организация инженерно-технической защиты информации.
- •56 Основы методического обеспечения инженерно-технической защиты информации.(найти оч мало )
- •58 Симметричные криптосистемы. Блочные шифры. Определение. Режимы применения блочных шифров
- •59 Блочные шифры. Российский стандарт шифрования гост 28147-89. Режимы применения алгоритма шифрования гост 28147-89.
- •60 Потоковые шифры (шифры гаммирования). Определение. Общие сведения о потоковых шифрах. Самосинхронизирующиеся шифры. Синхронные шифры.
- •61 . Потоковые шифры. Определение. Общие сведения о потоковых шифрах. Использование блочного шифра в режиме потокового шифрования.
- •62 Асимметричные криптосистемы. Схемы функционирования. Односторонние функции. Функции-ловушки. Криптосистема Эль-Гамаля(
- •66 . Понятие политики безопасности при программно-аппаратной защите информации
- •67 Модели компьютерных систем. Доступ и мониторинг безопасности.
- •68 Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов нет
- •69 Проектирование средств реализации механизмов безопасности на аппаратном уровне
- •70Политика безопасности для различных операционных систем.
- •71 Управление безопасностью в компьютерных системах
- •72 Средства и методы ограничения доступа к файлам(мало дописать)
- •73 Защита программ от несекционированного копирования
- •74 Средства защиты информационных процессов в локальной эвм. Средства разграничения прав доступа (аппаратные)(?)
- •75 Модели сетевых сред(?)
- •76 Создание механизмов безопасности в распределенной компьютерной системе
- •77. Методы и средства защиты от компьютерных вирусов.
- •78 Основные требования, предъявляемые к межсетевым экранам. Основные ф-ции мэ. Основные компоненты мэ
- •79Понятие и назначение ксзи
- •80 Определение компонентов ксзи
- •3)Техническая компонента
- •4)Криптографическая компонента
- •5)Программно-аппаратная компонента
- •81 Концепция создания ксзи
- •82 Технология разработки ксзи, основные этапы разработки
- •83 Структура и содержание цикла работ по защите информации на предприятии.
- •84 Источники и способы дестабилизирующего воздействия на информацию
- •85 Организационная компонента ксзи.
84 Источники и способы дестабилизирующего воздействия на информацию
К источникам дестабилизирующего воздействия на информацию относятся:
люди; ТС отображения (фиксации), хранения, обработки, воспроизведения, передачи ин, ср-ва связи и с-мы обеспечения их функционирования; природные явления.
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защ ин явл люди. К ним относятся сотрудники фирмы; лица, не работающие в фирме, но имеющие доступ к защ ин; сотрудники конкурирующих отеч и заруб фирм; лица из крим стр-р, хакеры.
Природные явления включают стихийные бедствия и атмосферные явления.
Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию: Непосредственное воздействие на носители защищаемой ин, несанк распространение КИ, вывод из строя ТС отображения, хранения, обработки, воспроизведения, передачи информации и ср-в связи, нарушение режима работы ср-в и технологии обработки ин, вывод из строя и нарушение режима работы с-м обеспечения функционирования ср-в.
Сп-бами воздействия со стороны и стих бедствий и атмосф явлений разрушение (поломка); затопление; сожжение носителей ин, ср-в отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих ср-в; нарушение режима работы ср-в и с-м.
85 Организационная компонента ксзи.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исклю¬чающей или существенно затрудняющей неправомер¬ное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопаснос¬ти и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Одной из основных составляющих КСЗИ является организационная структура, к-ая создается для выполнения орг мер защиты, эксплуатации тех, прог и криптог ср-в защиты, а также для контроля за выполнением установленных правил эксплуатации КС обслуживающим персоналом и пользователями. Для формирования орг стр-ры используются данные, полученные в процессе и в результате разработки ксзи: официальный статус КС и инф, обрабатываемой в с-ме; перечень орг мероприятий защиты и их характеристики; степень автоматизации КСЗИ; особенности тех структуры и режимы функционирования КС.
К основным орг мероприятиям можно отнести:
• орг-цию режима и охраны. Исклю¬чение проникновения на территорию и в помещения; обеспечение удобства контроля прохода и пере¬мещения; создание от¬д производственных зон по типу конф работ с самостоятельными с-мами доступа; контроль и соблюдение врем ре¬жима труда и пребывания на территории персонала фирмы; организация и поддержание надеж¬ного пропускного режима и контроля сотрудников и посетителей и др.;
• орг-цию работы с сотрудниками, к-ая предусм подбор и расстановку персонала;
• орг-цию работы с д-тами и документи¬рованной ин;
• орг-цию использования тех средств сбора, обработки, накопления и хранения КИ;
• орг-цию работы по анализу внут и внеш угроз КИ и выработке мер по обеспечению ее защиты;
• орг-цию работы по проведению системати¬ческого контроля за работой персонала с КИ, порядком учета, хра¬нения и уничтожения д-тов и тех носителей.
Орг служба безопасности состоит из следующих структурных единиц: подразделения режима и охраны; специального подразделения обработки д-тов конф характера; инж-тех подразделений; инф-аналит подразделений.
Орг мероприятия можно разделить на два класса:
- защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;
(использование паролей, разграничение доступа к информационным ресурсам)
- эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем направленные на более эффективное использование ксзи по назначению и поддержание системы защиты в работоспособном состоянии (для непрерывного выполнения организационных мероприятий осуществляется дежурство)
86. Факторы, влияющие на создание КСЗИ.
Актуальность тем. Фактор, воздействующий на ЗИ – это явление, действие или процесс, результатом которых может быть утечка, искажение, уничтожение ЗИ, блокировка доступа к ним (ГОСТ Р51275-99).В общем случае, фактор – причина или труппа причин, которые привели к произошедшему событию.При проектировании КСЗИ одним из важнейших условий для его создания является объективное определение всех возможных факторов, воздействующих на ЗИ.
Классификацию этих факторов определяет ГОСТ Р51275-99.
Факторы, влияющие на ЗИ. Факторы влияющие на ЗИ не совпадают с угрозами ЗИ. Их можно разделить на две группы:
1. внутренние факторы;
2. внешние факторы.
В свою очередь и те, и другие могут быть как объективные, так и субъективные.
Внутренние – это факторы относящиеся к деятельности предприятия, его отдельных сотрудников, и отношения как социальных так и технических внутри предприятия.
Внешние – все остальные.
Внутренние субъективные факторы:
1. система грифов на предприятии;
2. подготовка сотрудников предприятий;
Внутренние объективные факторы:
1. Структура самого предприятия, она включает:
- состав подразделений предприятия;
- количество рабочих;
- географическое расположение предприятий и их подразделений.
2. Финансовые возможности предприятия.
3. Технические факторы.
а) факторы технической обработки информации:
-характер обработки информации;
- объём и «плотность» информации («плотность» информации – количество информации за одну единицу времени);
- продолжительность пребывания информации;
- вид защищенности информации;
- технологическая обработка информации;
- организация информационно-вычислительного процесса;
- этапы жизненного цикла АСУ.
б) прочие технические факторы.
Внешние субъективные факторы.
1. Характер внешних взаимоотношений предприятия:
а) характер взаимоотношений с партнёрами, конкурентами и государственными организациями.
2. Характер личных взаимоотношений рабочих предприятия с посторонними лицами.
Внешние объективные факторы:
1. Географическое расположение предприятия и его филиалов.
2. Технические факторы.
3. Правовая форма предприятия.
Методики определения факторов:
1. Создание системы грифов информации на предприятии.
2. Разработка проекта организации мероприятий по ЗИ.
3. Анализ технических возможностей предприятий.
4. Анализ финансовых возможностей предприятий.
5. Создание систем коллективных критериев оценки каждого из факторов.
6. Использование методической литературы.
87. Требования, предъявляемые к КСЗИ.
основные требования к КСЗИ:
1. Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, инфор-мационных связей между элементами системы, иерархичности построения подсистемы управления системой защиты информации.
2. Система защиты информации должна обеспечивать безопасность информации, средств информации, защиту интересов участников информационных отношений и невозможность несанкционированного доступа злоумышленника к защищаемой информации.
3. Система защиты информации в целом, применяемые методы и средства защиты должны быть по возможности прозрачными для законного пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации.
4. Система защиты информации должна обеспечивать оценку угроз внешних дестабилизи-рующих факторов и защиту от них.