- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
Материально-техническое обеспечение КСЗИ включает в себя:
Недвижимость – помещения для службы защиты информации;
Оснащение рабочих мест сотрудников – мебель, ПК + оргтехника, средства связи, малоценные и быстроизнашивающиеся материалы;
Инженерно - технические средства защиты:
Инженерная защита - физические барьеры (ограждения периметра объекта, стальные двери, решетки, шкафы, сейфы, хранилища и т.п.). Выделенные помещения со специальными строительными требованиями;
Технические средства защиты объекта – пожарная сигнализация, охранная сигнализация, системы контроля и управления доступом, системы охранного видеонаблюдения, досмотровые системы и др.
Технические средства защиты информации:
аппаратура для поиска ТС несанкционированного съема информации;
аппаратура для активной защиты информации от утечки по техническим каналам;
аппаратура для пассивной защиты информации от утечки по техническим каналам.
Программные средства защиты информации;
Криптографические средства защиты информации;
Аппаратура для ведения конкурентной разведки и контрразведывательной работы (для скрытого фото, видео и аудиоконтроля);
Транспортные средства.
Следует отметить, что ИТСЗ требуют не только разовых затрат на их приобретение, монтаж, ввод в эксплуатацию, но и определенных постоянных затрат по их техническому обслуживанию.
материально-техническое = техническое . зависит от рассматриваемых подсистем. Закупка, внедрение, поддержание, ремонт и т.д.
Состав определяется подсистемами ЗИ, а структура – зависит от самой подсистеме, КСЗИ может быть развернуто не только по подсистеме, может быть по отделам (внутренне) развернуто.
Материально-техническое обеспечение комплексной ЗИ: зависимость материально-технического обеспечения от структуры КСЗИ.
материально-техническое обеспечение, там можно просто наболтать помоему.. типа оно зависит от стратегии защиты выбранной, в соответствии со стратегией и уровнем защиты, мы выбираем техническое обеспечение. например в системе контроля доступа - можно только турникеты с охранником, или еще карточки, а может биометрию поставить..
в зависимости от структуры. конечно зависит от структуры, смотря сколко подсистем, как они связаны между собой - типа провода тянуть от пожарки к пульту охраны и т.д.... потом еще может провода ЛВС чтобы все компы связать с серверами и т.д.
Нормативно-методическое обеспечение КСЗИ: перечень вопросов, требующих документационного закрепления.
Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных. Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
— какие информационные ресурсы защищаются;
какие программы можно использовать на служебных компьютерах;
что происходит при обнаружении нелегальных программ или данных;
дисциплинарные взыскания и общие указания о проведении служебных расследований;
на кого распространяются правила;
кто разрабатывает общие указания;
точное описание полномочий и привилегий должностных лиц;
кто может предоставлять полномочия и привилегии;
порядок предоставления и лишения привилегий в области безопасности;
полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
особые обязанности руководства и служащих по обеспечению безопасности;
объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
— дата ввода в действие и даты пересмотра;
— кто и каким образом ввел в действие эти правила. План защиты информации может содержать следующие сведения:
— назначение ИС;
— перечень решаемых ИС задач;
конфигурация;
характеристики и размещение технических средств и программного обеспечения;
перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
список пользователей и их полномочий по доступу к ресурсам системы;
цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации; *
перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
—основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
перечень и классификация возможных кризисных ситуаций;
требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т. п.);
обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
определение порядка разрешения споров в случае возникновения конфликтов.