- •5. Общая характеристика методов и средств защиты информации.
- •6. Компьютерная система как объект информационного воздействия. Методы нарушения конфиденциальности, целостности и доступности информации.
- •7.Основные направления обеспечения информационной безопасности объектов информационной сферы государства в условиях информационной войны.
- •8.Анализ современных подходов к построению систем защиты информации.
- •9.Организационно-правовые, программно-аппаратные и инженерно-технические методы защиты информации.
- •10. Технические каналы утечки информации.
- •11. Угрозы информационной безопасности объекта. Классификация угроз. Источники угрозы
- •12. Проблемы региональной информационной безопасности
- •13. Модель компьютерного нарушителя. Типы нарушителей.
- •14. Вредоносные программы. Антивирусная защита
- •15. Информационное оружие, его классификация и возможности. Объекты информационной войны в военное и мирное время
- •Организационное и правовое обеспечение информационной безопасности
- •16. Защита персональных данных в организации
- •17. Понятие компьютерных преступлений и их классификация
- •18.Классификация информационных систем персональных данных
- •Требования к защите персональных данных при их обработке в информационных системах персональных данных
- •19. Основные методы и способы защиты информации в испДн для различных классов этих систем.
- •II Состав и содержание мер по обеспечению безопасности персональных данных
- •Состав и содержание мер по, обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
- •20. Порядок сертификации средств защиты информации и правовое регулирование лицензионной деятельности в области защиты информации.
- •21. Государственная тайна как особый вид защищаемой информации и её характерные признаки.
- •Вопрос 2. Характерные признаки государственной тайны
- •22. Организация подготовки и проведения совещаний и переговоров по конфиденциальным вопросам.
- •23. Коммерческая тайна и ее защита. Организация режима коммерческой тайны на предприятии.
- •24. Место организационной защиты информации в системе комплексной защиты информации
- •25. Принципы, методы и формы организационной защиты информации. Соотношение организационных и правовых, организационных и технических методов защиты информации
- •26. Структура сил и средств организационной защиты на объекте.
- •27. Служба безопасности объекта. Типовая структура службы безопасности.
- •28. Организация пропускного и внутри объектового режимов.
- •29. Работа с персоналом, имеющим допуск к конфиденциальной информации. Особенности подбора персонала на должности, связанные с работой с конфиденциальными документами.
- •30. Организация системы доступа к защищаемой информации.
27. Служба безопасности объекта. Типовая структура службы безопасности.
Задачей службы безопасности является защита объекта от различного рода угроз. Деятельность службы безопасности подразделяется на следующие виды: защита конфиденциальной информации организации, физическая охрана, защита компьютерной информации. Дополнительными задачами службы безопасности могут являться: разведывательная и контрразведывательная деятельность, проверка кадрового состава предприятия.
Для того, чтобы разработать рациональную структуру службы информационной безопасности на предприятии, достаточную по составу и оснащению средствами управления безопасностью, необходимо тщательно проанализировать избранную политику безопасности, соотнести вероятные угрозы и потери в случае их реализации с финансовыми затратами на их реализацию.
Исходя из основной деятельности, служба безопасности подразделяется на несколько отделов (обобщенная структура СБ):
отдел физической охраны и режима (отдел обеспечения режима);
информационно-аналитический отдел
инженерно-технический отдел (отдел защиты компьютерной информации)
отделение по работе с персоналом (отдел психологической безопасности)
отделение по работе с правоохранительными органами (на больших предприятиях)
Функциями отдела физической безопасности являются:
- обеспечение физической безопасности сотрудников и материальных ценностей;
- обеспечение пропускного и внутриобъектового режима.
Основной функцией отдела защиты информации является предотвращение утечки конфиденциальной информации организации.
Функцией отдела защиты компьютерной информации является предотвращение утечки конфиденциальной информации со средств вычислительной техники компании.
Функциями отдела психологической безопасности является проверка благонадежности сотрудников и защита от внутренних нарушителей.
28. Организация пропускного и внутри объектового режимов.
Организационные меры ЗИ - комплекс мероприятий по ЗИ, направленный на регламентацию деятельности персонала в процессе обработки информации
Основные цели организационных мер защиты:
Обеспечение правильности функционирования механизмов защиты
Регламентация автоматизированной обработки информации
Основные задачи организационной защиты на объекте:
Защита от НСД (от не санкционированного доступа)
Защита информации от утечки по техническим каналам
Защита информации от незадекларированных возможностей (Например, от вредоносного программного обеспечения)
Защита информации от ИТР (от иностранных технических разведок)
Основные организационные мероприятия по созданию и обеспечению функционирования комплексной системы защиты информации
Разовые мероприятия
Мероприятия, однократно проводимые и повторяемые только при полном пересмотре принятых решений
Эпизодические мероприятия
Мероприятия, проводимые при осуществлении или возникновении определенных изменений в защищаемой системе или внешней среде
Периодически проводимые мероприятия
Постоянно проводимые мероприятия
К разовым мероприятиям относятся:
Мероприятия по созданию научно-технической и методологической основы защиты системы, в том числе концепции и руководящие документы
Мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектом
проведение специальных проверок всех технических средств
разработка и утверждение функциональных обязанностей должностных лиц
мероприятия по разработке правил управления доступом к ресурсам системы
организация пропускного режима на предприятии и в отдельных помещениях
создание подразделений по защите информации
К эпизодическим мероприятиям относятся:
мероприятия, осуществляемые при кадровых изменениях в составе персонала
мероприятия, осуществляемые при ремонте и модификации оборудования, ПО
и т.д.
К периодически проводимым мероприятиям относятся:
распределение / разграничение реквизитов разграничения доступа (раздача паролей)
анализ системных журналов и принятие мер по обнаруженным недостаткам и проблемам
анализ состояния и оценка эффективности мер защиты информации
мероприятия по пересмотру состава и перестроению системы защиты
и т.д.
К постоянно проводимым мероприятиям относятся:
мероприятия по обеспечению достаточного уровня физической защиты всех элементов объекта (охрана, в том числе и противопожарная, сохранность съемных носителей)
явный или скрытый контроль за работой персонала системы
контроль за реализацией выбранных мер защиты
постоянно осуществляемый анализ состояния системы защиты