- •Тема № 1/1: «Введение. Сущность и понятие информационной безопасности»
- •1. Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •3. Важность и сложность проблемы информационной безопасности
- •Тема № 1/2 Роль и место информационной безопасности в системе национальной безопасности государства
- •1. Методы обеспечения информационной безопасности.
- •Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2. Государственная политика обеспечения информационной безопасности Российской Федерации
- •Тема № 1/3: “Современная доктрина информационной безопасности Российской Федерации”
- •1. Информационная безопасность Российской Федерации
- •Национальные интересы Российской Федерации в информационной сфере и их обеспечение
- •1.2. Виды угроз информационной безопасности Российской Федерации
- •1.3. Источники угроз информационной безопасности Российской Федерации
- •1.4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •2. Методы обеспечения информационной безопасности Российской Федерации
- •2.1. Общие методы обеспечения информационной безопасности Российской Федерации
- •2.2. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2.3. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
- •3. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации
- •3.1. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •4. Организационная основа системы обеспечения информационной безопасности Российской Федерации
- •4.1. Основные функции системы обеспечения информационной безопасности Российской Федерации
- •4.2. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
- •1. Основные положения теории защиты информации
- •2. Цели, задачи и требования к защите информации
- •3. Становление и развитие государственной концепции защиты информации
- •2/4 “Организационные основы и методологические принципы защиты информации”
- •1.Организационные основы защиты информации
- •2. Общеметодологические принципы формирования теории защиты информации
- •1. Понятие "носитель защищаемой информации".
- •2. Виды носителей защищаемой информации, документирование информации и информационный ресурс.
- •3. Принципы записи и съема информации с носителя.
- •Классификация тайн и их правовая регламентация
- •Классификация информации по степени ограничения доступа
- •Тема № 3/3 “Классификация защищаемой информации по собственникам и владельцам”
- •1.Формы собственности на информацию. Понятия собственника (обладателя) и владельца (конфидента) информации.
- •3.Понятие интеллектуальной собственности. Различие между правом собственности и авторским правом. Объекты (предметы) интеллектуальной собственности как составная часть защищаемой информации.
- •Тема № 4/1 «понятия и виды угроз защищаемой информации»
- •1. Понятие и структура угроз защищаемой информации
- •Классификация угроз
- •2. Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию
- •Направления, виды и особенности деятельности спецслужб иностранных государств по несанкционированному доступу к секретной информации
- •Тема № 4/2 “Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию”
- •1. Понятие “угроза безопасности информации”
- •2. Система дестабилизирующих факторов, влияющих на уязвимость информации и причины нарушения защищенности информации
- •3. Структура и содержание общей модели уязвимости информации
- •Тема № 5/1 “Каналы и методы несанкционированного доступа к конфиденциальной информации”
- •1. Способы несанкционированного доступа к конфиденциальной информации
- •2. Каналы утечки информации
- •3. Источники, причины и условия утечки информации
- •Тема № 5/2 “Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к конфиденциальной информации”
- •1. Органы добывания защищаемой информации
- •2. Способы и методы несанкционированного доступа к защищаемой информации
- •3. Способы несанкционированного доступа к защищаемой информации, обрабатываемой средствами вычислительной техники
- •Тема № 6/1 “Объекты защиты информации”
- •1. Понятие, принципы формирования и классификация объектов защиты информации
- •2. Перечень, состав и характеристики типовых структурных компонентов информационной системы, требующих защиты
- •3. Характеристики элементов защиты
- •Тема № 6/3 “Кадровое и ресурсное обеспечение защиты информации”
- •1. Значение и состав кадрового обеспечения защиты информации
- •2. Полномочия службы защиты информации
- •3. Основы деятельности группы режима
- •4. Ресурсное обеспечение защиты информации
- •Тема № 6/5 “Назначение и структура систем защиты информации”
- •1. Понятие “Система защиты информации”
- •2. Принципы создания систем защиты информации
- •Принципы реализации системы защиты.
- •3. Комплексная система защиты информации учреждения, предприятия
2. Принципы создания систем защиты информации
В настоящее время, по причине достаточного динамизма развития теории защиты информации, уже сформировались некоторые принципы создания и работы СЗИ. Их, хотя и с определенной степенью условности можно разделить на три группы:
принципы, определяющие качественные характеристики решения проблемы защиты информации;
организационные принципы;
принципы реализации СЗИ.
Принципы, определяющие качественные характеристики решения проблемы защиты информации:
Принцип неопределенности. Данный принцип обусловлен наличием “человеческого фактора”, вносящего неясность в вопросы кто, когда, где и каким образом может нарушить защиту сведений. Принцип предусматривает превентивный учет человеческого фактора.
Принцип невозможности создания идеальной системы защиты следует из принципа неопределенности и является следствием ограниченности ресурсов на строительство СЗИ.
Принцип минимального риска. Так как невозможно создать идеальную систему защиты, то необходимо выбирать ту или иную степень риска, исходя из особенностей проявления угроз безопасности и конкретных условий существования объектов защиты.
Принцип безопасного времени. Время процедуры защиты должно быть большим или, по крайней мере, равным времени нахождения защищаемой информации на объекте защиты (времени содержания информации элементом защиты). Если одной процедуры защищенного процесса недостаточно для перекрытия указанного временного промежутка, выбирается необходимая их совокупность (комплекс).
Принцип экономичности. Защита должна строиться по критерию “эффективность – стоимость”, а именно при заданной эффективности следует применять максимально дешевые средства и мероприятия защиты. В общем случае затраты на защиту информации не должны превышать ее стоимости.
Организационные принципы.
Принцип законности. Требует соответствия проекта СЗИ и режима ее функционирования законодательству РФ.
Принцип персональной ответственности. В соответствии с этим принципом каждый сотрудник несет персональную ответственность за сохранение в тайне секретных сведений или конфиденциальной информации. Кроме того, ответственность персонифицируется за выполнение тех или иных мер защиты. Ответственность закрепляется установленным порядком, и фиксируется в приказах, распоряжениях, инструкциях, функциональных обязанностях, журналах регистрации и формах учета и других документах.
Принцип ограничения полномочий по доступу к информации. Нет необходимости доказывать, что вероятность нарушения защищенности данных тем выше, чем больше лиц к ней допущено. Принцип предусматривает ознакомление сотрудников только с той информацией, которая требуется для выполнения служебных обязанностей, при чем объем этой информации должен быть по возможности минимальным. Принцип достаточно сложно реализуется в техническом и организационном плане, требует постоянной поддержки в системной деятельности и контроля.
Принципы реализации системы защиты.
Принцип комплексности. Учитывая то, что спектр способов и методов несанкционированного получения сведений достаточно широк, безопасность информационных продуктов не обеспечивается каким-либо одним мероприятием. Требуется их совокупность (комплекс), взаимосвязь и дублирование.
Принцип последовательных рубежей безопасности. Данный принцип нацелен на своевременное обнаружение угрозы безопасности и гарантированную ее локализацию (устранение). Это означает, что необходимо обеспечить как можно раннее оповещение о попытках несанкционированного проникновения к объектам информационной системы (на удаленных рубежах). Каждый рубеж должен быть достаточно прочным что бы предотвратить неправомерный доступ в зоны защиты и оповестить администрацию СЗИ, персонал других рубежей. Кроме того, между рубежами защиты не должно быть “брешей”, незакрытых пространств. Они должны быть сомкнутыми, или образовывать кольца.
Принцип адекватности и эффективности. Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае СЗИ не будет оправдывать затрат. Мощность рубежей защиты соответствует мощности воздействия угроз на прикрываемом направлении. Распределение ресурсов системы защиты по рубежам учитывает сказанное.
Принцип адаптивности. Система защиты должна быть гибкой, допускающей наращивание (изменение) своей функциональной структуры, маневр ресурсами защиты по рубежам и зонам.
Принцип эффективного контроля. Этот принцип означает наличие в СЗИ средств, методов контроля любого объекта защиты (защищаемого элемента данных) и средств защиты, применительно к любому моменту времени, на предмет наличия, исправности, правильности и достаточности реализуемых мер.
Принцип регистрации. Тесно и логически связан с предыдущим принципом. Регистрируются носители защищаемых данных, проводимые мероприятия и работы, пользователи информационных ресурсов.
Сформулированные принципы работы и создания СЗИ обусловлены опытом многолетней практической деятельности по обеспечению информационной безопасности, претерпевшей историческую эволюцию.