- •Раздел 1. Основы организации и обеспечения защиты информации
- •Тема 1. Основы организации и обеспечения защиты информации.
- •1. Защита информации на пэвм.
- •2. Защита информации в информационных сетях.
- •Раздел 2. Методы и средства защиты информации
- •Тема 2. Методы защиты информации в компьютерных системах.
- •1. Правовые и организационные методы защиты информации в кс.
- •1.1. Правовые основы защиты информации.
- •1.2. Организационные методы защиты информации.
- •2. Защита информации в кс от случайных угроз и от традиционного шпионажа и диверсий.
- •2.1. Защита информации в кс от случайных угроз.
- •2.2. Защита информации в кс от традиционного шпионажа и диверсий.
- •3. Методы и средства защиты от электромагнитных излучений наводок.
- •4. Методы защиты от несанкционированного изменения структур кс.
- •5. Защита информации в кс от несанкционированного доступа.
- •6. Криптографические методы защиты информации.
- •Тема 3. Компьютерные вирусы и механизмы борьбы с ними.
- •1. Классификация компьютерных вирусов.
- •2. Файловые вирусы.
- •3. Загрузочные вирусы.
- •4. Вирусы и операционные системы.
- •5. Методы и средства борьбы с вирусами.
- •6. Профилактика заражения вирусами компьютерных систем.
- •Тема 4. Защита информации в распределенных компьютерных системах.
- •1. Архитектура распределенных кс.
- •2. Особенности защиты информации в ркс.
- •3. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных кс.
- •4. Защита информации на уровне подсистемы управления.
- •5. Защита информации в каналах связи.
- •6. Особенности защиты информации в базах данных.
- •Раздел 3. Построение и организация функционирования комплексных
- •Тема 5. Построение комплексных систем защиты информации.
- •1. Концепция создания защищенных компьютерных систем.
- •2. Этапы создания комплексной системы защиты информации.
- •3. Выбор показателей эффективности и критериев оптимальности ксзи.
- •4. Подходы к оценке эффективности ксзи.
- •5. Создание организационной структуры ксзи.
- •Тема 6. Организация функционирования комплексных систем защиты информации.
- •1. Применение ксзи по назначению.
- •Раздел 3. Построение и организация функционирования комплексных
- •Тема 7. Угрозы информационной безопасности и способы их устранения.
- •1. Что такое информационная безопасность?
- •2. Классификация возможных угроз безопасности.
- •3. Существующие способы устранения угроз.
- •3.1. Совершенствование системы аутентификации пользователей эис.
- •3.2. Защита информации внутри эис при хранении.
- •3.3. Разработка эффективной системы защиты от внутренних угроз.
- •3.4. Концепция управления экономической безопасностью предприятия для ис.
- •3.4.1. Назначение и область применения.
- •3.4.2. Содержание задач управления экономической безопасностью.
4. Подходы к оценке эффективности ксзи.
Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода:
- классический;
- официальный;
- экспериментальный.
При классическом подходе к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характерной реальной КС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.
При официальном подходе: политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.
Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является ее класс защищенности.
Достоинство таких классификаторов – простота использования. Недостаток – не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия.
Устанавливается 7 классов защищенности средств вычислительной техники от НСД к информации («Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации», разработана в 1992 г. Государственной технической комиссией (ГТК) при Президенте РФ): самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- первая группа содержит только один седьмой класс;
- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый класс;
- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников.
Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать Ц»взлома» системы защиты.
5. Создание организационной структуры ксзи.
Одной из основных составляющих КСЗИ является организационная структура, которая создается для выполнения организационных мер защиты, эксплуатации технических, программных и криптографических средств защиты, а также для контроля за выполнением установленных правил эксплуатации КС обслуживающим персоналом и пользователями.
Такие структуры входят в состав службы безопасности ведомств, корпораций, фирм, организаций. Они могут иметь различный количественный состав и внутреннюю структуру. Это может быть отдел, группа или отдельное лицо. Непосредственной эксплуатацией средств защиты и выполнением организационных мероприятий занимаются органы защиты информации, размещаемые на объектах КС. Их называют объектовыми органами защиты информации или органами обеспечения безопасности информации (ОБИ).
При создании органа ОБИ используются данные, полученные в результате разработки КСЗИ:
- официальный статус КС и информации, обрабатываемой в системе;
- перечень организационных мероприятий защиты и их характеристики;
- степень автоматизации КСЗИ;
- особенности технической структуры и режимы функционирования КС.
В результате разработки КСЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов ОБИ, обслуживающим персоналом и пользователями, в интересах обеспечения безопасности информации.
Все организационные мероприятия можно разделить на два класса:
- защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;
- эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.
В процессе создания подразделений ОБИ выполняются следующий комплекс мероприятий:
- определяются организационно-штатная структура, права и обязанности должностных лиц;
- должностные лица обучаются практической работе с КСЗИ;
- разрабатывается необходимая документация;
- оборудуются рабочие места должностных лиц;
- определяется система управления КСЗИ.
Эффективность функционирования КСЗИ во многом определяется уровнем руководства всем процессом ОБИ. Орган управления КСЗИ готовит предложения руководству организации при формировании и корректировке политики безопасности, определяет права и обязанности должностных лиц, планирует и обеспечивает выполнение технического обслуживания, осуществляет методическое руководство подчиненными структурами, организует контроль и анализ эффективности КСЗИ, осуществляет подбор, расстановку и обучение специалистов.