- •Оглавление
- •1. Характеристика Доктрины информационной безопасности рф.
- •2. Сущность и понятие информационной безопасности, характеристика ее составляющих
- •3. Место информационной безопасности в системе национальной безопасности.
- •4. Понятие и сущность защиты информации, ее место в системе информационной безопасности.
- •5. Критерии, условия и принципы отнесения информации к защищаемой
- •6. Носители защищаемой информации
- •7. Классификация конфиденциальной информации по видам тайны и степеням конфиденциальности.
- •8. Понятие и структура угроз защищаемой информации.
- •9. Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию
- •Внутренние факторы
- •Внешние факторы
- •Внешние факторы
- •10. Виды уязвимости информации и формы ее проявления
- •11. Каналы и методы несанкционированного доступа к конфиденциальной информации.
- •12. Направления, виды и особенности деятельности спецслужб по несанкционированному доступу к конфиденциальной информации.
- •13. Методологические подходы к проведению защиты информации и принципы ее организации.
- •14. Классификация методов и средств защиты информации.
- •15. Принципы, силы, средства и условия организационной защиты информации.
- •16. Порядок засекречивания и рассекречивания сведений, документов и продукции.
- •17. Допуск и доступ к конфиденциальной информации и документам.
- •18. Организация внутриобъектового и пропускного режимов на предприятиях.
- •19. Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •20. Организация охраны предприятий.
- •21. Защита информации при публикаторской и рекламной деятельности.
- •22. Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •23. Направления и методы работы с персоналом, имеющим доступ к конфиденциальной информации.
- •24. Оценка эффективности мероприятий по защите акустической речевой информации.
- •25. Основные документы по защите информации, разрабатываемые на технические средства передачи информации (тспи).
- •26. Аттестация автоматизированных систем по информационной безопасности.
- •27. Требования и рекомендации по защите информации выделенного помещения.
- •28. Основные свойства и виды представления информации.
- •29. Объекты защиты информации. Понятия: отсс, втсс, зона 1, зона 2.
- •30. Организация работ по защите информации на предприятии.
- •31. Виды и характеристика источников и носителей информации.
- •32. Виды угроз безопасности информации. Охраняемые сведения и демаскирующие признаки.
- •33. Телекоммуникационные и акустические каналы утечки информации.
- •34. Классификация технических каналов утечки информации.
- •35. Требования и рекомендации по защите речевой информации, циркулирующей в системах звукоусиления и звукового сопровождения.
- •36. Требования и рекомендации по защите речевой информации, циркулирующей в выделенных помещениях.
- •37. Обеспечение защиты информации при взаимодействии с информационными сетами общего пользования.
- •38. Сущность и задачи комплексной системы защиты информации (ксзи) на предприятии.
- •39. Принципы организации и этапы разработки ксзи.
- •40. Факторы, влияющие на организацию ксзи.
- •41. Определение и нормативное закрепление состава защищаемой информации на предприятии.
- •42. Определение объектов защиты в ксзи.
- •43. Анализ и оценка угроз безопасности информации в ксзи.
- •44. Определение потенциальных каналов и методов несанкционированного доступа к информации в ксзи.
- •45. Определение возможностей несанкционированного доступа к защищаемой информации в ксзи.
- •46. Определение компонентов ксзи.
- •47. Определение условий функционирования ксзи.
- •48. Разработка модели ксзи.
- •49. Технологическое и организационное построение ксзи.
- •50. Кадровое обеспечение функционирования ксзи.
- •51. Материально-техническое и нормативно-методическое обеспечение функционирования ксзи.
- •52. Назначение, структура и содержание управления ксзи.
- •53. Принципы и методы планирования функционирования ксзи.
- •54. Сущность и содержание контроля функционирования ксзи.
- •55. Управление ксзи в условиях чрезвычайных ситуаций.
- •56. Состав методов и моделей оценки эффективности ксзи.
- •57. Типовая структура комплекса технических средств охраны объекта. Состав, структура и принцип действия технических средств охраны.
- •58. Классификация и характеристика датчиков тсо.
- •59. Системы контроля доступа. Назначение и виды систем контроля доступа.
- •60. Телевизионные средства наблюдения. Структура и состав систем видеоконтроля.
- •61. Назначение и принцип работы телевизионных систем. Виды и основные характеристики телевизионных камер.
- •62. Назначение, состав и структура интегрированных систем охраны.
- •63. Место и роль службы защиты информации в системе защиты информации.
- •64. Задачи и функции службы защиты информации.
- •65. Структура и штаты службы защиты информацию.
- •66. Организационные основы и принципы деятельности службы защиты информации.
- •67. Подбор, расстановка и обучение сотрудников службы защиты информации.
- •68. Организация труда сотрудников службы защиты информации.
- •69. Принципы, методы и технология управления службой защиты информации.
- •70. Понятие конфиденциального документа и его основные характеристики.
- •71. Основные особенности традиционной системы обработки конфиденциальных документов.
- •72. Характеристика автоматизированной системы обработки конфиденциальных документов.
- •73. Структура защищенного документооборота.
- •74. Характеристика угроз к системе обработки конфиденциальных документов.
- •75. Назначение и виды учета конфиденциальных документов.
- •76. Особенности традиционного и автоматизированного учета поступивших конфиденциальных документов.
- •77. Понятие и состав справочно-информационного банка по конфиденциальным документам.
- •78. Особенности выполнения процедур составления, изготовления и издания конфиденциальных документов.
- •79. Гриф конфиденциальности, варианты его значения, порядок присвоения.
- •80. Порядок работы исполнителей с конфиденциальными документами. Характеристика возникающих при этом угроз.
- •81. Особенности составления и ведения номенклатуры дел конфиденциальных документов.
- •82. Формирование и оформление дел конфиденциальных документов, подготовка дел к передаче в архив.
- •83. Порядок уничтожения конфиденциальных документов и дел.
- •84. Назначение, виды и принципы проведения проверок наличия конфиденциальных документов, дел и учетных журналов.
- •85. Назначение и структура правового обеспечения защиты информации. Понятие коммерческой тайны. Правовое обеспечение защиты коммерческой тайны. Сведения, составляющие коммерческую тайну.
- •86. Преступления в сфере компьютерной информации. Признаки и элементы состава преступления. Криминалистическая характеристика компьютерных преступлений.
- •Глава 28.
- •87. Правовые режимы конфиденциальной информации: содержание и особенности.
- •88. Методы правовой защиты информации.
- •89. Регулирование распространения вредной и незаконной информации в сети Интернет.
- •90. Перспективы развития законодательства в области защиты информации.
- •91. Виды деятельности в информационной сфере, подлежащие лицензированию. Лицензирование деятельности по защите информации.
- •92. Интернет-услуги в правовом поле России.
- •93. Структура законодательства России в области защиты информации.
- •94. Законодательство в области международного информационного обмена и компьютерных преступлений.
- •95. Защита авторских и смежных прав. Объекты и субъекты авторского права. Исключительные авторские права. Смежные права.
- •96. Правовое обеспечение информационной безопасности в системе национальной безопасности рф.
- •97. Система юридической ответственности за нарушение норм защиты информации. Категории компьютерных злоумышленников.
- •98. Особенности государственной политики и первоочередные мероприятия в области обеспечения иб рф.
- •99. Понятие правового режима защиты государственной тайны. Государственная тайна как особый вид защищаемой информации и ее характерные признаки.
- •100. Виды и условия применения правовых норм уголовной, гражданско-правовой, административной и дисциплинарной ответственности за разглашение защищаемой информации и невыполнение правил ее защиты.
- •101. Процедура резервного копирования данных в лвс.
- •102. Программно-аппаратные средства для защиты данных от сбоев в электросети.
- •103. Аппаратные средства повышения отказоустойчивости элементов лвс.
- •104. Программно-аппаратные комплексы защиты лвс от Internet-угроз.
- •105. Разграничение доступа к ресурсам в лвс.
- •106. Системы безопасности современных ос.
- •107. Средства контроля безопасности лвс современных ос.
- •108. Программно-аппаратные средства для разграничения доступа пользователей к ресурсам лвс.
- •110. Сервисы безопасности: идентификация и аутентификация, разграничение доступа, протоколирование и аудит, экранирование.
- •111. Сервисы безопасности: туннелирование, шифрование, контроль целостности, контроль защищенности, обнаружение отказов и оперативное восстановление, управление.
- •113. Обеспечение экономической безопасности предприятия в рыночных условиях. Интеллектуальная собственность фирмы и ее стоимостная оценка.
- •114. Виды ущерба, наносимые информации. Методы анализа риска. Страхования информации.
- •115. Технико-экономические задачи защиты информации на предприятии.
- •116. Показатели и критерии экономической эффективности систем защиты информации.
- •117. Методы оценки экономической эффективности систем защиты информации.
- •Оценка затрат на зи
- •Практическая методика оценки эффективности проектов по иб на основе совокупной стоимости владения
- •118. Виды и характеристика затрат на систему защиты информации.
- •119. Обзор существующих методов оценки затрат на защиту информации.
- •120. Методология оценки эффективности инвестиций в защиту информации.
50. Кадровое обеспечение функционирования ксзи.
Перечень проверочных мероприятий при отборе кандидатов на работу:
Первичная проверка подлинности предоставленных документов на предмет фальсификации;
Проверка достоверности предоставленной в документах информации путем наведения справок в соответствующих учреждениях;
Тщательная проверка документов: анализ соответствия в документах и выявление исправлений, попыток замены листов и иных незаверенных изменений;
Опрос авторитетных лиц, лично знающих или имеющих представление о кандидате;
Сбор информации о кандидате посредством детективного агенства.
Проверка кандидата по линии МВД (выявление судимостей, компрометирующих связей);
Оценка здоровья кандидата (рассмотрение медицинской книжки, наведение справок в медицинских учреждениях);
Серия собеседований (выявление злоумышленных намерений, выявление реальной причины трудоустройства, косвенная оценка кандидата);
Тестирование (IQ, лояльность, профпригодность и пр.);
Опросники (определение эмоциональной устойчивости, уровня коммуникабельности и других личностных качеств);
Деловая игра (групповые методы отбора, имитация рабочей ситуации);
Полиграф;
Испытательный срок (наблюдение за кандидатом, оценка и анализ его работы).
Обучение персонала:
Обучение персонала -- это развитие профессиональных знаний, умений и навыков сотрудников с учетом целей соответствующих подразделений, которые в свою очередь определяются стратегией компании.
В зависимости от целей и возможностей конкретной организации обучение может быть узкоспециальным (профессиональным) и корпоративным, проходить в форме лекций, семинаров, тренингов. Организовать учебный процесс можно по-разному: привлечь специалистов и менеджеров фирмы, пригласить внешних преподавателей, тренеров, экспертов. Компании обычно используют смешанные формы обучения, а крупные организации создают собственные учебные центры и корпоративные университеты.
Методы обучения персонала - способы, при которых достигается овладение знаниями, умениями, навыками обучающихся.
Профессиональное обучение - процесс формирования у сотрудников организации специфических профессиональных навыков посредством специальных методов обучения.
Активные методы обучения включают в себя любые способы, приемы, инструменты разработки, проведения и совершенствования процесса обучения чему-либо.
Причины необходимости обучения персонала предприятия заключаются в следующих тезисах:
Повышение квалификации. Вооруженный новыми знаниями сотрудник может генерировать новые идеи и легко справится со многими проблемами.
Мотивация. Получая дополнительные знания за счет компании, работник чувствует заботу руководства о своей персоне. Понимая, что в него вкладывают деньги, он начинает стремиться к максимальной производительности на своем рабочем месте.
Специфика профессии. Сотрудники медицинских учреждений, программисты, бухгалтеры и ряд других специалистов по статусу обязаны идти в ногу с прогрессом в своей области. Иначе они потеряют квалификацию.
Соответствие стандартам. В некоторых случаях, например, для прохождения сертификации международной системы качества, предприятие должно включать в свою структуру, наряду с другими обязательными условиями, и постоянно действующую систему обучения персонала.
Международное сотрудничество. Наличие определенного количества дипломов сертификатов у сотрудников может иметь существенное значение в некоторых видах бизнеса (например, ИТ). Это является обязательным условием для получения статуса партнера (а вместе с ним и ряда преимуществ) крупной международной корпорации.
Отсутствие специалистов. Зачастую необходимость обучения работников фирмы обусловлена отсутствием на рынке уже готовых специалистов. Тут уж без переквалификации никак не обойтись
К принципам выбора метода обучения персонала чаще всего относят: объективность, надежность, достоверность, доступность, а также принцип соответствия общей кадровой политике организации.
1. Принцип объективности требует, чтобы профессиональное обучение персонала проводилось вне зависимости от чьего-то мнения или отдельных суждений.
2. Принцип надежности предполагает работу системы обучения вне зависимости от влияния ситуативных факторов (настроения, погоды, прошлых успехов и неудач).
3. Принцип достоверности определяет, насколько успешно человек на практике применяет знания и навыки, полученные в процессе обучения.
4. Принцип доступности провозглашает, что процесс обучения и критерии оценки должны быть доступны и понятны как обучающим, так и самим обучаемым.
Также методы обучения персонала можно разделить на две группы:
обучение на рабочем месте: метод усложняющихся заданий, смена рабочего места, направленное приобретение опыта, производственный инструктаж, метод делегирования ответственности и другие методы;
обучение вне рабочего места: чтение лекций, проведение деловых игр, разбор конкретных производственных ситуаций, проведение конференций и семинаров, формирование групп по обмену опытом, создание кружков качества и другие метод.
Традиционные методы обучения персонала:
Лекция является традиционным и одним из самых древних методов профессионального обучения.
Семинары предполагают большую активность участников и используются для совместного обсуждения проблемы, выработки общих решений или поиска новых идей.
Самостоятельное обучение является наиболее простым видом обучения - для него не требуется ни инструктор, ни специальное помещение, ни определенное время - обучающийся учится там, тогда и так как ему удобно.
Активные методы обучения персонала:
Инструктаж представляет собой разъяснение и демонстрацию приемов работы непосредственно на рабочем месте и может проводиться как сотрудником, давно выполняющим данные функции, так и специально подготовленным инструктором. Ротация представляет собой метод самостоятельного обучения, при котором сотрудник временно перемещается на другую должность с целью приобретения новых навыков.
Наставничество является традиционным методом обучения, особенно распространенным там, где практический опыт играет исключительную роль в подготовке специалистов.
Деловые игры представляют собой метод обучения, наиболее близкий к реальной профессиональной деятельности обучающихся.
Тренинг - это активная форма обучения с использованием практических упражнений. Тренинги призваны развивать определенные управленческие и коммерческие навыки -- управление исполнением, планирование, делегирование, мотивирование, тайм-менеджмент, эффективные продажи, переговоры, презентацию.
Методы могут быть скомбинированы.
Методы:
1. Кадровое обеспечение функционирования КСЗИ: распределение функций по защите информации между должностными лицами.
1.Поиск и отбор персонала. Специфика персонала как объекта защиты – это и источник, и носитель, т.е. самый сложный элемент при анализе и создании СЗИ(изменяется под влиянием внешних и внутренних факторов).
Методы анализа:
1.анализ при отборе на работу.
2.анализ в процессе производственной деятельности.
3.Научное направление по изучению человека, оценка индивидуума(психологические и т.д.).
С точки зрения интересов организации и задач ЗИ человек может выступать в ролях: 1.источник(создатель новой И).
2. Источник(обладатель И).
3.Носитель(транспортное средство передачи И от обладателя к получателю).
4.Защитник – исполнитель функций по ЗИ.
5. Злоумышленник – осознанно, неосознанно.
Либо возможна комбинация ролей.
2. Кадровое обеспечение функционирования КСЗИ: разработка нормативных документов, регламентирующих деятельность персонала по защите информации.
Состав и содержание основных нормативных документов. Должностная инструкция. Перечень сведений, составляющих КИ. Подписка о неразглашении, договор о неразглашении, трудовой договор. Приказы и распоряжения о допуске и доступе к КИ. Положение о защите КИ. Различные акты проверок( исполнения персоналом мер по защите информации, поддержания работоспособности системы, нарушения в работе системы ЗИ и т.д), учебные программы и методики для персонала. Правила работы с посетителями предприятия
приказы, распоряжения, инструкции и т.д. стратегия, концепция, политика, технический регламент- международный подход.