- •Квалификационная характеристика специалиста по защите информации специальности 090104. Объекты и виды профессиональной деятельности, состав решаемых задач.
- •Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать специалист.
- •Современная государственная политика в области защиты информации.
- •Критерии, условия и принципы отнесения информации к защищаемой
- •Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
- •Назначение и структура систем защиты
- •Классификация носителей защищаемой информации, порядок нанесения информации.
- •Классификация видов, методов и средств защиты
- •Понятие и структура угроз информации
- •Виды тайн. Источники угроз. Способы воздействия угроз.
- •Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
- •Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
- •Уровни политики безопасности: верхний, средний и нижний.
- •Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.
- •Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
- •Структура Службы безопасности.
- •Формирование информационных ресурсов и их классификация.
- •Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
- •Правовые формы защиты интеллектуальной собственности.
- •Система правовой ответственности за разглашение, утечку информации.
- •Правовая защита от компьютерных преступлений.
- •Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
- •Что такое канал утечки информации, технический канал утечки информации? Структура технического канала утечки информации?
- •Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
- •Промышленная разведка. Коммерческая разведка. Система корпоративной разведки. Циклы разведки.
- •Этапы добывания информации. Вероятность обнаружения и распознавания объектов. Информационная работа.
- •Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).
- •Содержание работ по моделированию объектов защиты и каналов утечки информации.
- •Моделирование угроз информации
- •Моделирование каналов несанкционированного доступа к информации
- •Моделирование каналов утечки информации
- •Классификации информации и документов. Свойства различных видов документов.
- •Понятия, определения и особенности конфиденциального документооборота.
- •Принципы обработки конфиденциальных документов.
- •Назначение, состав, этапы организации бумажного защищенного делопроизводства.
- •Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.
- •Разработка проекта комплексной системы защиты объекта информатизации (ои). Согласно гост р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
- •5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных пэвм
- •5.7. Защита информации в локальных вычислительных сетях
- •5.8. Защита информации при межсетевом взаимодействии
- •5.9. Защита информации при работе с системами управления базами данных
- •Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Шифрование
- •Контроль целостности
- •Контроль защищенности
- •Обнаружение отказов и оперативное восстановление
- •Управление
- •Место сервисов безопасности в архитектуре информационных систем
- •Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
- •Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
- •Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.
- •Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
- •Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
- •Общие положения защиты информации техническими средствами. Активные, пассивные и комбинированные технические средства защиты информации.
- •Защита информации от перехвата по побочным каналам утечки.
- •Защиты информации от подслушивания. Способы и средства защиты.
- •Методы защиты информации техническими средствами в учреждениях и предприятиях.
- •Аппаратные средства защиты информации
- •Технические средства защиты информации
- •Модели и методы оценки эффективности защиты информации
- •Контроль эффективности мер по защите информации техническими средствами.
- •Защита внутриобъектовых и межобъектовых линий связи.
- •Основные характеристики и параметры современных видеокамер, видеорегистраторов.
- •Технические средства автоматизированного проектирования систем охранно-пожарной сигнализации и видеонаблюдения.
- •Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
- •Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
- •Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью эвм).
- •Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные атс, радиотелефоны, сотовая связь).
Критерии, условия и принципы отнесения информации к защищаемой
К защищаемой относят :
Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.
Во-вторых, иную информацию конфиденциального характера. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Защищаемая информация имеет отличительные признаки:
- засекречивать информацию, то есть ограничивать к ней доступ, может только ее обладатель или уполномоченные им на то лица;
- чем важнее для обладателя информация, тем тщательнее он ее защищает. А для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;
- защищаемая информация должна приносить определенную пользу ее обладателю и оправдывать затрачиваемые на ее защиту силы и средства.
Таким образом, одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.
Отнесение сведений к различным видам тайны и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности
Законность отнесения сведений к категории защищаемых и их засекречивания заключается в соответствии засекречиваемых сведений законодательству Российской Федерации
Обоснованность отнесения сведений к защищаемых и их засекречивания заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества предприятия и граждан.
Своевременность отнесения сведений категории защищаемых заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно
Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
Назначение и структура систем защиты
Система защиты информации (СЗИ) в самом общем виде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых (предусматриваемых) на объекте информатизации (ОИ) для решения в ней выбранных задач по защите.
Введением понятия СЗИ определяется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой любого ОИ.
Для системы защиты государственной тайны отношения субординации будут трехуровневыми:
государственный уровень (высший);
отраслевой (средний);
предприятие, фирма, акционерное общество и др. (низший).
Для системы защиты коммерческой тайны отношения субординации будут двухуровневыми:
государство;
предприятие, фирма, А/О и т.п.
Система защиты информации включает в себя совокупность элементов ее образующих и их свойства. Внутренние связи системы и их свойства составляют архитектуру системы, ее структуру и внутреннюю организацию; с другой стороны, элементы системы имеют внешние связи, которые целенаправленно воздействуют на внешнюю среду и решают поставленные перед системой задачи. Это есть функциональная часть системы. Вполне естественно, что эти две части, две стороны — функциональная и структурная — не отделены друг от друга, это как бы две стороны одних и тех же элементов, составляющих систему защиты информации.
Структурная часть системы защиты информации составляет ее внутреннюю организацию, которая позволяет системе функционировать нормально, создает условия для обеспечения безопасности засекреченной информации, ее обращения только по каналам, контролируемым данной системой.
Структурная часть системы защиты информации включает в себя:
1. Систему законов и других нормативных актов, устанавливающих:
— порядок и правила защиты информации, а также ответственность за покушение на защищаемую информацию или на установленный порядок ее защиты;
— защиту прав граждан, связанных по службе со сведениями, отнесенными к охраняемой тайне;
— права и обязанности государственных органов, предприятий и должностных лиц в области защиты информации.
2. Систему засекречивания информации, включающую:
— законодательное определение категории сведений, которые могут быть отнесены к государственной тайне;
— законодательное и иное правовое определение категорий сведений, которые не могут быть отнесены к государственной, коммерческой или иной охраняемой законом тайне;
— наделение полномочиями органов государственной власти и должностных лиц в области отнесения сведений к охраняемой законом тайне;
— составление перечней сведений, отнесенных к государственной, коммерческой или иной охраняемой законом тайне.
3. Систему режимных служб и служб безопасности с их собственной структурой, штатным расписанием, обеспечивающих функционирование всей системы защиты информации.
Структурная часть системы защиты информации является устойчивой частью данной системы, ее консервативной частью. Как видно из перечисления основных элементов структурной части системы, ее элементы могут изменяться только «скачкообразно», они не могут приспосабливаться быстро и непрерывно в связи с изменениями внешней среды, а также изменениями обстановки, поскольку внешняя среда может оказывать влияние на структурную часть системы защиты информации лишь через ее функциональную часть, то есть опосредованно.
Функциональная часть системы защиты информации решает задачи обеспечения засекреченной информацией деятельности вышестоящей системы, в которую данная система защиты информации «встроена» (предприятие, фирма и т.д.). В эту деятельность вовлекается широкий круг работников объекта: сотрудники службы безопасности, связанные с обработкой, хранением, выдачей и учетом засекреченной информации; руководители объекта и структурных подразделений; исполнители, то есть все работники объекта, которые являются потребителями защищаемой информации.
Эта часть системы защиты информации более адаптивна, подвижна и пластична. Она, исполняя свое предназначение, максимально стремится учесть потребности внешней среды в решении вопросов обращения и циркулирования защищаемой информации, обеспечение ею потребителей и в то же время исключить выход ее за пределы охраняемой сферы, ее разглашение или раскрытие.
Основными элементами функциональной части системы будут:
— порядок и правила определения степени секретности сведений и проставление грифа секретности на работах, документах, изделиях, а также рассекречивания информации или снижения степени ее секретности;
— установленные на объекте режим секретности, внутриобъектовый режим и режим охраны, соответствующие важности накапливаемой и используемой на объекте информации;
— система обработки, хранения, учета и выдачи носителей защищаемой информации с использованием принятой системы накопления и обработки информации: автоматизированная, ручная, смешанная, иная, в том числе делопроизводство с секретными и конфиденциальными документами;
— разрешительная система, регламентирующая порядок доступа потребителей к носителям защищаемой информации, а также на предприятие и в его отдельные помещения;
— система выявления возможных каналов утечки защищаемой информации и поиск решений по их перекрытию, включая воспитательно-профилактическую работу на объекте и в его структурных подразделениях;
— система контроля наличия носителей защищаемой информации и состояния на объекте установленных режимов: секретности, внутриобъектового, охраны объекта и его важнейших подразделений.
Таким образом, можно сказать, что и структурная и функциональная части системы защиты информации существуют и работают в неразрывном единстве.