- •Квалификационная характеристика специалиста по защите информации специальности 090104. Объекты и виды профессиональной деятельности, состав решаемых задач.
- •Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать специалист.
- •Современная государственная политика в области защиты информации.
- •Критерии, условия и принципы отнесения информации к защищаемой
- •Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
- •Назначение и структура систем защиты
- •Классификация носителей защищаемой информации, порядок нанесения информации.
- •Классификация видов, методов и средств защиты
- •Понятие и структура угроз информации
- •Виды тайн. Источники угроз. Способы воздействия угроз.
- •Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
- •Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
- •Уровни политики безопасности: верхний, средний и нижний.
- •Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.
- •Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
- •Структура Службы безопасности.
- •Формирование информационных ресурсов и их классификация.
- •Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
- •Правовые формы защиты интеллектуальной собственности.
- •Система правовой ответственности за разглашение, утечку информации.
- •Правовая защита от компьютерных преступлений.
- •Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
- •Что такое канал утечки информации, технический канал утечки информации? Структура технического канала утечки информации?
- •Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
- •Промышленная разведка. Коммерческая разведка. Система корпоративной разведки. Циклы разведки.
- •Этапы добывания информации. Вероятность обнаружения и распознавания объектов. Информационная работа.
- •Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).
- •Содержание работ по моделированию объектов защиты и каналов утечки информации.
- •Моделирование угроз информации
- •Моделирование каналов несанкционированного доступа к информации
- •Моделирование каналов утечки информации
- •Классификации информации и документов. Свойства различных видов документов.
- •Понятия, определения и особенности конфиденциального документооборота.
- •Принципы обработки конфиденциальных документов.
- •Назначение, состав, этапы организации бумажного защищенного делопроизводства.
- •Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.
- •Разработка проекта комплексной системы защиты объекта информатизации (ои). Согласно гост р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
- •5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных пэвм
- •5.7. Защита информации в локальных вычислительных сетях
- •5.8. Защита информации при межсетевом взаимодействии
- •5.9. Защита информации при работе с системами управления базами данных
- •Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Шифрование
- •Контроль целостности
- •Контроль защищенности
- •Обнаружение отказов и оперативное восстановление
- •Управление
- •Место сервисов безопасности в архитектуре информационных систем
- •Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
- •Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
- •Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.
- •Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
- •Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
- •Общие положения защиты информации техническими средствами. Активные, пассивные и комбинированные технические средства защиты информации.
- •Защита информации от перехвата по побочным каналам утечки.
- •Защиты информации от подслушивания. Способы и средства защиты.
- •Методы защиты информации техническими средствами в учреждениях и предприятиях.
- •Аппаратные средства защиты информации
- •Технические средства защиты информации
- •Модели и методы оценки эффективности защиты информации
- •Контроль эффективности мер по защите информации техническими средствами.
- •Защита внутриобъектовых и межобъектовых линий связи.
- •Основные характеристики и параметры современных видеокамер, видеорегистраторов.
- •Технические средства автоматизированного проектирования систем охранно-пожарной сигнализации и видеонаблюдения.
- •Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
- •Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
- •Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью эвм).
- •Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные атс, радиотелефоны, сотовая связь).
Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
Успех в области информационной безопасности и в государственных, и в коммерческих структурах может принести только комплексный подход, сочетающий меры четырех уровней: законодательного, административного, процедурного и программно-технического. Понятно, что обеспечение ИБ в госсекторе существенно отличается от принимаемых мер в коммерческих организациях.
ИБ в соответствии с законодательной базой
Законодательный уровень — важнейший для обеспечения информационной безопасности. Здесь необходимо понимать значимость проблем ИБ, сконцентрировать ресурсы на основных направлениях исследований, скоординировать образовательную деятельность, создать и поддерживать негативное отношение к нарушителям — все это функции законодательного уровня.
Вот почему интерес к системам безопасности со стороны госсектора продиктован нормативными документами, что позволяет регулирующим органам влиять на динамику развития рынка. Российские правовые акты в большинстве своем имеют ограничительную направленность, регламентируя вопросы использования информационных технологий в деятельности органов государственной власти. Назовем основные из них:
Федеральный Закон от 20 февраля 1995 г. «Об информации, информатизации и защите информации»;
Федеральный Закон от 7 июля 2003 г. «О связи»;
Федеральный Закон от 10 января 2002 г. «Об электронной цифровой подписи»;
Федеральная программа «Реформирование государственной службы Российской Федерации (2003-2005 годы)», утвержденная Указом Президента Российской Федерации от 19 ноября 2002 г.;
Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г.;
Федеральная целевая программа «Электронная Россия (2002-2010 годы)», утвержденная постановлением Правительства Российской Федерации от 28 января 2002 г.;
Федеральный Закон «О персональных данных» от 27 июля 2006 г.
В проектах построения сетей передачи данных, систем обработки данных и других инфраструктурных решений, реализуемых в интересах госкомпаний и органов власти, возникают дополнительные требования, описанные в стандартах Гостехкомиссии и ФСТЭК России. Кроме нормативных документов, регулирующих спрос на решения в области ИБ, существуют отраслевые и международные стандарты. В частности, при построении информационных систем в финансовой сфере применяются стандарты ЦБ России, информационные системы топливно-энергетического комплекса требуют ссылки на ГОСТы Газпрома и т. д. Из международных стандартов можно назвать, в частности, «Оранжевую книгу», рекомендации Х.800 и «Критерии оценки безопасности информационных технологий».
«Оранжевая книга» заложила понятийный базис — в ней даны определения важнейших сервисов безопасности и названы методы классификации информационных систем по требованиям безопасности.
Рекомендации X.800 достаточно глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.
Международный стандарт ISO 15408, известный как «Общие критерии», реализует более современный подход, в нем зафиксирован чрезвычайно широкий набор сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта информационной безопасности в нашей стране важно не только из абстрактных соображений интеграции в мировое сообщество. Можно надеяться, что его применение облегчит жизнь владельцам информационных систем, существенно расширив список доступных сертифицированных решений.
Таким образом, для повышения общего уровня безопасности систем, используемых в организациях и на предприятиях госсектора, в соответствии с законодательством необходимо применять исключительно сертифицированные средства защиты. И этих требований придерживаются конкретные исполнители работ — системные интеграторы, работающие в госсекторе.
Политика безопасности организации и меры административного уровня
Главная задача мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основа этой программы — политика безопасности, отражающая подход организации к защите своих информационных активов. Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, становится ознакомление с наиболее распространенными угрозами. Для государственных структур основными угрозами являются кража информации, халатность сотрудников, вирусные атаки, сбои в работе информационной системы.
Согласно большинству аналитических отчетов российские госструктуры более всего обеспокоены внутренними, так называемыми инсайдерскими угрозами информационной безопасности.
Проблема кадров и меры процедурного уровня
Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Говоря о специалистах в области ИБ, мы не можем не сказать о традиционной для госструктур проблеме кадров. Высококвалифицированные ИТ-специалисты, как правило, в госорганизациях задерживаются ненадолго. Получив уникальный опыт, они уходят в коммерческие структуры, где им могут предложить более высокую зарплату. В такой ситуации аутсорсинг становится одним из наиболее предпочтительных вариантов. Сейчас госструктуры отдают много функций на внешнее исполнение — разработку прикладных специализированных приложений, их поддержку и развитие, управление инфраструктурой и ЦОДами, обучение персонала.
Чем обеспечивать защиту, или Программно-технический уровень
Программно-технические меры, направленные на контроль компьютерного оборудования, программ и хранящихся данных, образуют последний, но не менее важный рубеж информационной безопасности. На этом уровне становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по ИБ, но и у злоумышленников. Во-вторых, информационные системы все время модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.
Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов для учреждений и компаний государственного сектора входят:
идентификация и аутентификация;
управление доступом;
протоколирование и аудит;
шифрование;
контроль целостности;
экранирование;
анализ защищенности;
обеспечение отказоустойчивости;
обеспечение безопасного восстановления;
туннелирование;
управление.
В настоящее время повышение уровня информационной безопасности госпредприятий может достигаться путем внедрения современных технологий защиты, отличающихся все большей функциональностью, универсальностью и возможностью портирования на любые платформы. В области технической защиты информационных ресурсов можно выделить три основных направления, по которым действуют российские госпредприятия:
защита внутренней сети;
защита выхода в Интернет и международного информационного обмена;
защита взаимодействия с удаленными подразделениями.
При этом мы помним, что в госструктурах и государственных организациях используются только сертифицированные во ФСТЭК или ФСБ РФ средства обеспечения информационной безопасности. Для защиты внутренних ресурсов большинство федеральных и региональных органов государственной власти применяют встроенные в операционные системы механизмы аутентификации и авторизации пользователей. Некоторые ведомства имеют специальные сертифицированные системы защиты от несанкционированного доступа и электронные замки, такие как «Лабиринт-М», «Аккорд», SecretNet. В качестве средств шифрования, как правило, устанавливаются секретные ключи защиты информации «КриптоПро» или давно известные и до сих пор популярные системы семейства «Верба».
Для защиты рабочих станций и серверов внутренней сети от вредоносных программ (вирусов, червей, троянских коней) абсолютное большинство государственных организаций использует антивирусное программное обеспечение. Чаще всего это российские «Антивирус Касперского» или Dr.Web. Однако встречаются и решения Trend Micro, Symantec, McAfee, Eset.
Деление сети на сегменты с разными требованиями по информационной безопасности осуществляется при помощи механизмов фильтрации MAC- и IP-адресов на активном сетевом оборудовании и механизмов VLAN. Очень редко применяются системы контроля политики безопасности, которые сравнивают текущие настройки защитных механизмов и подсистем с эталонными значениями (Cisco, «Урядник»).
С целью защиты периметра сети госучреждения обычно используют различные сертифицированные межсетевые экраны. В основном это решения Cisco, Aladdin и Check Point. Но встречаются и продукты других производителей, в частности, Novell Border Manager, Microsoft ISA Server, ССПТ-1 и ССПТ-1М от ЦНИИ РТК, «Застава» от «Элвис-Плюс».
Системы обнаружения и предотвращения атак (так называемые HIPS) пока внедрены в очень немногих государственных организациях. Обычно здесь встречаются решения Symantec, S.N. Safe’n’Software и Cisco. В федеральных органах государственной власти защиту от спама и злоупотреблений в Интернете обеспечивают различные системы мониторинга электронной почты и веб-трафика, например eSafe Gateway, MAILsweeper, WEBsweeper и Websense.
В каналах связи с удаленными подразделениями применяются только российские системы криптографической защиты информации и VPN — «Застава», VipNet или «Континент».