- •Оглавление
- •1. Характеристика Доктрины информационной безопасности рф.
- •2. Сущность и понятие информационной безопасности, характеристика ее составляющих
- •3. Место информационной безопасности в системе национальной безопасности.
- •4. Понятие и сущность защиты информации, ее место в системе информационной безопасности.
- •5. Критерии, условия и принципы отнесения информации к защищаемой
- •6. Носители защищаемой информации
- •7. Классификация конфиденциальной информации по видам тайны и степеням конфиденциальности.
- •8. Понятие и структура угроз защищаемой информации.
- •9. Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию
- •Внутренние факторы
- •Внешние факторы
- •Внешние факторы
- •10. Виды уязвимости информации и формы ее проявления
- •11. Каналы и методы несанкционированного доступа к конфиденциальной информации.
- •12. Направления, виды и особенности деятельности спецслужб по несанкционированному доступу к конфиденциальной информации.
- •13. Методологические подходы к проведению защиты информации и принципы ее организации.
- •14. Классификация методов и средств защиты информации.
- •15. Принципы, силы, средства и условия организационной защиты информации.
- •16. Порядок засекречивания и рассекречивания сведений, документов и продукции.
- •17. Допуск и доступ к конфиденциальной информации и документам.
- •18. Организация внутриобъектового и пропускного режимов на предприятиях.
- •19. Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •20. Организация охраны предприятий.
- •21. Защита информации при публикаторской и рекламной деятельности.
- •22. Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •23. Направления и методы работы с персоналом, имеющим доступ к конфиденциальной информации.
- •24. Оценка эффективности мероприятий по защите акустической речевой информации.
- •25. Основные документы по защите информации, разрабатываемые на технические средства передачи информации (тспи).
- •26. Аттестация автоматизированных систем по информационной безопасности.
- •27. Требования и рекомендации по защите информации выделенного помещения.
- •28. Основные свойства и виды представления информации.
- •29. Объекты защиты информации. Понятия: отсс, втсс, зона 1, зона 2.
- •30. Организация работ по защите информации на предприятии.
- •31. Виды и характеристика источников и носителей информации.
- •32. Виды угроз безопасности информации. Охраняемые сведения и демаскирующие признаки.
- •33. Телекоммуникационные и акустические каналы утечки информации.
- •34. Классификация технических каналов утечки информации.
- •35. Требования и рекомендации по защите речевой информации, циркулирующей в системах звукоусиления и звукового сопровождения.
- •36. Требования и рекомендации по защите речевой информации, циркулирующей в выделенных помещениях.
- •37. Обеспечение защиты информации при взаимодействии с информационными сетами общего пользования.
- •38. Сущность и задачи комплексной системы защиты информации (ксзи) на предприятии.
- •39. Принципы организации и этапы разработки ксзи.
- •40. Факторы, влияющие на организацию ксзи.
- •41. Определение и нормативное закрепление состава защищаемой информации на предприятии.
- •42. Определение объектов защиты в ксзи.
- •43. Анализ и оценка угроз безопасности информации в ксзи.
- •44. Определение потенциальных каналов и методов несанкционированного доступа к информации в ксзи.
- •45. Определение возможностей несанкционированного доступа к защищаемой информации в ксзи.
- •46. Определение компонентов ксзи.
- •47. Определение условий функционирования ксзи.
- •48. Разработка модели ксзи.
- •49. Технологическое и организационное построение ксзи.
- •50. Кадровое обеспечение функционирования ксзи.
- •51. Материально-техническое и нормативно-методическое обеспечение функционирования ксзи.
- •52. Назначение, структура и содержание управления ксзи.
- •53. Принципы и методы планирования функционирования ксзи.
- •54. Сущность и содержание контроля функционирования ксзи.
- •55. Управление ксзи в условиях чрезвычайных ситуаций.
- •56. Состав методов и моделей оценки эффективности ксзи.
- •57. Типовая структура комплекса технических средств охраны объекта. Состав, структура и принцип действия технических средств охраны.
- •58. Классификация и характеристика датчиков тсо.
- •59. Системы контроля доступа. Назначение и виды систем контроля доступа.
- •60. Телевизионные средства наблюдения. Структура и состав систем видеоконтроля.
- •61. Назначение и принцип работы телевизионных систем. Виды и основные характеристики телевизионных камер.
- •62. Назначение, состав и структура интегрированных систем охраны.
- •63. Место и роль службы защиты информации в системе защиты информации.
- •64. Задачи и функции службы защиты информации.
- •65. Структура и штаты службы защиты информацию.
- •66. Организационные основы и принципы деятельности службы защиты информации.
- •67. Подбор, расстановка и обучение сотрудников службы защиты информации.
- •68. Организация труда сотрудников службы защиты информации.
- •69. Принципы, методы и технология управления службой защиты информации.
- •70. Понятие конфиденциального документа и его основные характеристики.
- •71. Основные особенности традиционной системы обработки конфиденциальных документов.
- •72. Характеристика автоматизированной системы обработки конфиденциальных документов.
- •73. Структура защищенного документооборота.
- •74. Характеристика угроз к системе обработки конфиденциальных документов.
- •75. Назначение и виды учета конфиденциальных документов.
- •76. Особенности традиционного и автоматизированного учета поступивших конфиденциальных документов.
- •77. Понятие и состав справочно-информационного банка по конфиденциальным документам.
- •78. Особенности выполнения процедур составления, изготовления и издания конфиденциальных документов.
- •79. Гриф конфиденциальности, варианты его значения, порядок присвоения.
- •80. Порядок работы исполнителей с конфиденциальными документами. Характеристика возникающих при этом угроз.
- •81. Особенности составления и ведения номенклатуры дел конфиденциальных документов.
- •82. Формирование и оформление дел конфиденциальных документов, подготовка дел к передаче в архив.
- •83. Порядок уничтожения конфиденциальных документов и дел.
- •84. Назначение, виды и принципы проведения проверок наличия конфиденциальных документов, дел и учетных журналов.
- •85. Назначение и структура правового обеспечения защиты информации. Понятие коммерческой тайны. Правовое обеспечение защиты коммерческой тайны. Сведения, составляющие коммерческую тайну.
- •86. Преступления в сфере компьютерной информации. Признаки и элементы состава преступления. Криминалистическая характеристика компьютерных преступлений.
- •Глава 28.
- •87. Правовые режимы конфиденциальной информации: содержание и особенности.
- •88. Методы правовой защиты информации.
- •89. Регулирование распространения вредной и незаконной информации в сети Интернет.
- •90. Перспективы развития законодательства в области защиты информации.
- •91. Виды деятельности в информационной сфере, подлежащие лицензированию. Лицензирование деятельности по защите информации.
- •92. Интернет-услуги в правовом поле России.
- •93. Структура законодательства России в области защиты информации.
- •94. Законодательство в области международного информационного обмена и компьютерных преступлений.
- •95. Защита авторских и смежных прав. Объекты и субъекты авторского права. Исключительные авторские права. Смежные права.
- •96. Правовое обеспечение информационной безопасности в системе национальной безопасности рф.
- •97. Система юридической ответственности за нарушение норм защиты информации. Категории компьютерных злоумышленников.
- •98. Особенности государственной политики и первоочередные мероприятия в области обеспечения иб рф.
- •99. Понятие правового режима защиты государственной тайны. Государственная тайна как особый вид защищаемой информации и ее характерные признаки.
- •100. Виды и условия применения правовых норм уголовной, гражданско-правовой, административной и дисциплинарной ответственности за разглашение защищаемой информации и невыполнение правил ее защиты.
- •101. Процедура резервного копирования данных в лвс.
- •102. Программно-аппаратные средства для защиты данных от сбоев в электросети.
- •103. Аппаратные средства повышения отказоустойчивости элементов лвс.
- •104. Программно-аппаратные комплексы защиты лвс от Internet-угроз.
- •105. Разграничение доступа к ресурсам в лвс.
- •106. Системы безопасности современных ос.
- •107. Средства контроля безопасности лвс современных ос.
- •108. Программно-аппаратные средства для разграничения доступа пользователей к ресурсам лвс.
- •110. Сервисы безопасности: идентификация и аутентификация, разграничение доступа, протоколирование и аудит, экранирование.
- •111. Сервисы безопасности: туннелирование, шифрование, контроль целостности, контроль защищенности, обнаружение отказов и оперативное восстановление, управление.
- •113. Обеспечение экономической безопасности предприятия в рыночных условиях. Интеллектуальная собственность фирмы и ее стоимостная оценка.
- •114. Виды ущерба, наносимые информации. Методы анализа риска. Страхования информации.
- •115. Технико-экономические задачи защиты информации на предприятии.
- •116. Показатели и критерии экономической эффективности систем защиты информации.
- •117. Методы оценки экономической эффективности систем защиты информации.
- •Оценка затрат на зи
- •Практическая методика оценки эффективности проектов по иб на основе совокупной стоимости владения
- •118. Виды и характеристика затрат на систему защиты информации.
- •119. Обзор существующих методов оценки затрат на защиту информации.
- •120. Методология оценки эффективности инвестиций в защиту информации.
21. Защита информации при публикаторской и рекламной деятельности.
Работу современного предприятия невозможно представить без публикаторской деятельности (в той или иной форме) и рекламных акций различного характера. Вместе с тем, если предприятие работает с конфиденциальной информацией, такие виды деятельности могут привести к возникновению возможных каналов утечки этой информации.
Мероприятия по защите информации в процессе подготовки и реализации рекламных и публикаторских (издательских) проектов должны занимать особое место в повседневной деятельности предприятия.
Общие организационные мероприятия по защите информации в ходе осуществления рекламной и публикаторской деятельности включаются в план мероприятий по защите конфиденциальной информации на предприятии на календарный год. Конкретные меры по защите информации, направленные на исключение утечки информации конфиденциального характера при проведении рекламных акций и реализации различных издательских проектов, в том числе при подготовке публикаций в средствах массовой информации (СМИ), научных периодических изданиях, сборниках, включаются в соответствующие месячные планы работы структурных подразделений предприятия.
Особое значение при осуществлении предприятием рекламной и публикаторской деятельности имеет работа экспертной комиссии предприятия, направленная на предотвращение утечки конфиденциальной информации.
В соответствии с Федеральным законом «О рекламе» в сфере рекламы используются следующие основные понятия:
• реклама — информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке (например продвижение сайта в интернете);
• объект рекламирования — товар, средство его индивидуализации, изготовитель или продавец товара, результаты интеллектуальной деятельности либо мероприятие (в том числе спортивное соревнование, концерт, конкурс, фестиваль, основанные на риске игры, пари), на привлечение внимания к которым направлена реклама;
• ненадлежащая реклама — реклама, не соответствующая требованиям законодательства Российской Федерации;
• товар — продукт деятельности (в том числе работа, услуга), предназначенный для продажи, обмена или иного введения в оборот;
• рекламодатель — изготовитель или продавец товара либо иное определившее объект рекламирования и (или) содержание рекламы лицо;
• рекламопроизводитель — лицо, осуществляющее полностью или частично приведение информации в готовую для распространения в виде рекламы форму;
• рекламораспространитель — лицо, осуществляющее распространение рекламы любым способом, в любой форме и с использованием любых средств;
• потребители рекламы — лица, на привлечение внимания которых к объекту рекламирования направлена реклама.
С учетом положений законодательства РФ о рекламе, предприятие может осуществлять следующие основные виды рекламной деятельности:
• наружная реклама, размещаемая на рекламных конструкциях в местах общего пользования (под рекламными конструкциями в соответствии с Федеральным законом «О рекламе» понимаются щиты, стенды, строительные сетки, перетяжки, электронные табло и иные технические средства стабильного территориального размещения, монтируемые и располагаемые на внешних стенах, крышах и иных конструктивных элементах зданий, строений, сооружений или вне их, а также на остановочных пунктах движения общественного транспорта);
• реклама на телевидении и радио, а также в периодических печатных изданиях;
• реклама, распространяемая по сетям электросвязи и размещаемая в почтовых отправлениях;
• реклама на транспортных средствах(маршрутное такси, автобусы, электротранспорт) и с их использованием;
• реклама в ходе проведения конференций, симпозиумов, организуемых и проводимых вне предприятия;
• реклама, размещаемая в глобальных информационных сетях общего пользования;
• реклама в ходе проведения внутренних мероприятий с привлечением (приглашением, участием) представителей сторонних организаций и СМИ.
Основными направлениями защиты информации в ходе рекламной деятельности являются:
• подготовка и экспертиза материалов, предназначенных для пользования в рекламной деятельности, на предмет отсутствия них информации с ограниченным доступом;
• анализ материалов в процессе их подготовки рекламопроизводителем и рекламораспространителем к размещению в средствах рекламы;
• постоянный контроль порядка распространения и содержания распространенных рекламных материалов независимо от способа, формы и периодичности их распространения.
При принятии руководителем предприятия решения о рекламировании деятельности предприятия, а также производимых им товаров (оказываемых услуг) должностное лицо, назначенное ответственным за подготовку рекламных материалов и их передачу рекламопроизводителю и (или) рекламораспространителю, организует работу, направленную на предотвращение распространения рекламе конфиденциальной информации. Комплекс мероприятий по защите информации включает проведение комиссией предприятия экспертизы подготовленных к распространению материалов, анализ возможных форм, способов распространения рекламных материалов и непосредственное взаимодействие в процессе подготовки и распространения материалов с рекламопроизводителем и рекламораспространителем. Один из важных элементов этой боты — оценка комиссией предприятия, состоящей из компетентных специалистов, содержания рекламных материалов на предмет возможности их распространения. После получения положительного заключения экспертной комиссии предприятия осуществляется подготовка договоров с рекламопроизводителем и (или) рекламораспространителем и передача им рекламных материалов.
В дальнейшем предприятие постоянно контролирует содержание рекламы до ее выхода в свет.
При проведении различных акций рекламного характера руководители предприятий, а также индивидуальные предприниматели и юридические лица (в том числе рекламопроизводители и рекламораспространители) обязаны представлять в антимонопольный орган информацию, необходимую для осуществления им полномочий по государственному контролю за соблюдением законодательства Российской Федерации о рекламе, и обеспечивать его уполномоченным должностным лицам доступ к такой информации. Сведения, составляющие коммерческую, служебную и иную охраняемую законом тайну и полученные антимонопольным органом при осуществлении им своих полномочий, не подлежат разглашению, за исключением предусмотренных законодательством случаев. При получении запроса из антимонопольного органа руководитель предприятия организует предоставление в установленный срок запрашиваемой информации и направление органу, приславшему запрос, письменного уведомления о невозможности ее распространения без согласия предприятия, являющегося обладателем информации.
Защита информации при осуществлении публикаторской деятельности
Наряду с реализацией рекламных проектов предприятие и его сотрудники принимают участие в подготовке и издании различных материалов, содержащих информацию о товарах, услугах и проводимых предприятием работах, в том числе научно-исследовательского характера.
Публикация указанных материалов может осуществляться:
• в периодических печатных изданиях;
• в глобальных информационных сетях;
• в однократно издаваемых сборниках, энциклопедиях, материалах конференций и т.п.;
• в материалах диссертаций на соискание ученых степеней, деятельности диссертационных и ученых советов научно-исследовательских организаций и образовательных учреждений;
• в материалах, содержащих результаты, выводы, заключения о выполнении научных исследований и опытно-конструкторских разработок.
Усилия режимно-секретного подразделения (службы безопасности) предприятия при осуществлении публикаторской деятельности направляются на исключение утечки конфиденциальной информации. С этой целью на предприятии разрабатывается инструкция, определяющая задачи в данной области для всех должностных лиц (структурных подразделений) предприятия, к примеру должностная инструкция коммерческого директора.
Основными направлениями защиты информации в ходе публикаторской деятельности являются:
• определение тематики издаваемых материалов в целях исключения из них тематик, содержащих конфиденциальную информацию, подготовки рекомендаций по исключению из них иной актуальной информации, распространение которой может нанести ущерб предприятию;
• письменное согласование содержания материалов и возможности их издания с организациями — обладателями информации (осуществляется ответственным за издание подразделением предприятия по согласованию со службой безопасности или режимно-секретным подразделением в форме письменного запроса в Организации, являющиеся заказчиками или соисполнителями проводимых совместных и других работ, сведения о которых предполагается распространить); предварительная экспертиза материалов, готовящихся к изданию, экспертной комиссией предприятия, которая при необходимости готовит рекомендации по частичному исключению из материалов конфиденциальной и иной актуальной информации;
• окончательная выборочная экспертиза подготовленных к изданию материалов, определение тиража и способа их распространения;
• контроль за выполнением работ по изданию (тиражированию, размещению) материалов непосредственно в типографии или иной организации в зависимости от выбранного способа распространения.
Организация подготовки материалов к открытому опубликованию
В целях недопущения утечки информации о деятельности предприятия, содержащей сведения конфиденциального характера, на предприятии планируется и проводится работа по анализу содержания материалов, предназначенных для открытого распространения.
В рамках этой работы служба безопасности, режимно-секретное подразделение или специально создаваемое в структуре предприятия подразделение (специально назначенное должностное лицо) планирует и осуществляет комплекс организационных мероприятий.
Сотрудники предприятия, принимающие непосредственное участие в подготовке материалов к открытому опубликованию, должны руководствоваться положениями ст. 5 Закона РФ «О государственной тайне», Перечнем сведений, отнесенных к государственной тайне, другими нормативными правовыми актами, а также перечнем сведений, составляющих коммерческую тайну предприятия.
Подготовка материалов к открытому опубликованию включает их разработку авторами (должностными лицами), предварительную проверку их содержания руководителями структурны подразделений предприятия, согласование возможности опубликования материалов со службой безопасности (режимно-секретным подразделением) предприятия, экспертизу материалов в целях принятия решения об их опубликовании (распространении).
Подготовленные к открытому опубликованию материалы не должны содержать сведений, составляющих государственную, коммерческую или служебную тайну, и иной информации с ограниченным доступом, определенной нормативными правовыми актами.
Мероприятия, направленные на исключение открытого опубликования информации с ограниченным доступом, включаются в план мероприятий по защите конфиденциальной информации на предприятии на календарный год. В их число, как правило, входят:
• разработка и утверждение руководителем предприятия организационно-распорядительных документов, определяющих порядок и особенности работы по подготовке материалов к открытому опубликованию;
• предварительный анализ материалов и их согласование с руководителями структурных подразделений предприятия, сотрудники которых осуществляют их подготовку к открытому опубликованию;
• анализ материалов, готовящихся к открытому распространению, службой безопасности (режимно-секретным подразделением) предприятия;
• выборочный контроль изданных (опубликованных) материалов;
• проведение занятий с сотрудниками предприятия по изучению положений нормативных правовых актов и внутренних организационно-распорядительных документов предприятия;
• взаимодействие с должностными лицами издательств (редакций), типографий, СМИ и иных структур;
• определение состава экспертной комиссии предприятия по оценке возможности опубликования материалов и осуществление ее деятельности (в том числе подготовка соответствующих заключений);
• взаимодействие с другими предприятиями по вопросам открытого опубликования материалов, содержащих информацию о проводимых этими предприятиями совместных и других работах, а также с органами государственной власти и предприятиями, являющимися заказчиками работ и обладателями информации, которую планируется, открыто опубликовать, получение письменного согласия этих органов государственной власти (предприятий) на открытое опубликование материалов;
• проведение периодического анализа эффективности проводимых мероприятий по исключению открытого опубликования конфиденциальной информации и совершенствование этой работы на предприятии.
Ответственность за подготовку материалов к открытому опубликованию и соблюдение при этом требований по защите информации несут авторы материалов, их непосредственные руководители (руководители соответствующих структурных подразделений) и руководитель предприятия.
В целях оценки степени конфиденциальности информации и возможности открытого распространения материалов проводится их экспертиза.
Для проведения экспертизы материалов, подготовленных к открытому опубликованию, приказом руководителя предприятия создается экспертная комиссия, как правило, сроком на один календарный год. В состав указанной комиссии включаются сотрудники предприятия — специалисты в различных областях деятельности предприятия. Члены комиссии должны в необходимых случаях иметь допуск к государственной тайне, а также к иным видам конфиденциальной информации предприятия.
Сотрудники службы безопасности и режимно-секретного подразделения в состав экспертной комиссии не входят. В случае если член экспертной комиссии является составителем, руководителем или редактором подготовленной к открытому опубликованию работы (материалов), он также не может принимать участия в работе экспертной комиссии по оценке этих материалов.
К проведению экспертизы по решению руководителя предприятия может быть привлечен руководитель структурного подразделения, в котором работает автор подготовленного материала. В работе экспертной комиссии могут участвовать представители других предприятий, имеющих отношение к рассматриваемым материалам (являющихся собственниками информации, заказчиками проводимых работ и т.д.). Вопрос о привлечении этих специалистов к работе в составе комиссии в каждом конкретном случае письменно согласовывается с руководителями соответствующих предприятий.
Руководитель предприятия — организатора экспертизы обязан создать членам экспертной комиссии условия, обеспечивающие рассмотрение материалов в соответствии с установленными требованиями, своевременно знакомить их с поступающими на предприятие нормативными актами и методическими документами по вопросам защиты информации и порядку (особенностям) проведения экспертизы. Ознакомление членов экспертной комиссии с этими документами осуществляют сотрудники службы безопасности (режимно-секретного подразделения) предприятия или должностные лица, на которых данные вопросы возложены соответствующим приказом руководителя предприятия.
При подготовке и проведении экспертизы члены экспертной комиссии обязаны:
• знать перечни сведений, запрещенных к открытому опубликованию на предприятии, и строго руководствоваться ими при проведении экспертизы;
• при обнаружении в рассматриваемых материалах сведений, составляющих государственную, коммерческую, служебную или иную охраняемую законом тайну, вынести заключение, запрещающее их открытое опубликование. Такие материалы передаются руководителю предприятия или его заместителю, отвечающему за вопросы защиты информации, для принятия решения об их отнесении в установленном порядке к конфиденциальной информации и об ограничении в связи с этим доступа к данной информации;
• проверять наличие письменного согласия руководителей предприятий — заказчиков работ (обладателей информации) на опубликование материалов или контролировать выполнение рекомендаций (заключений) этих руководителей;
• рассматривать материалы с учетом ранее опубликованных работ, имеющих отношение к этим материалам, с тем, чтобы готовящаяся публикация не привела к разглашению конфиденциальной информации и нанесению, таким образом, ущерба предприятию;
• при рассмотрении сборников материалов (статей) принимать решение о возможности опубликования (издания) как всего сборника в целом, так и его отдельных статей (материалов).
Члены экспертной комиссии имеют право:
• получать от автора (авторов) письменное подтверждение об источниках, использованных им при подготовке материалов к опубликованию, а также иную информацию, необходимую для подготовки заключения;
• обращаться в установленном порядке за консультацией (разъяснениями) на другие предприятия, в органы государственной власти и к их должностным лицам.
После изучения и анализа материалов, предназначенных для открытого опубликования, экспертная комиссия готовит заключение о возможности (невозможности) их открытого опубликования. Экспертное заключение подписывается всеми членами комиссии, ее руководителем (председателем) и утверждается руководителем предприятия — организатора экспертизы.
При отсутствии единого мнения экспертов и невозможности формулирования вывода по результатам изучения материалов вопрос о возможности опубликования решается руководителем вышестоящей организации (органа государственной власти). В исключительных случаях, при отсутствии вышестоящей организации (органа государственной власти) решение о возможности открытого опубликования материалов выносится руководителем предприятия самостоятельно либо совместно с руководителем предприятия — заказчика проводимых совместных работ.
Если заключение экспертной комиссии о возможности открытого опубликования материалов — положительное, оно в установленном порядке вместе с рассмотренными материалами передается в службу безопасности (режимно-секретное подразделение) предприятия или уполномоченному должностному лицу для принятия окончательного решения.
После получения разрешения подготовленные материалы в установленном порядке передаются в издательство (редакцию, представителям СМИ) для их опубликования (открытого распространения).