- •1. Сущность понятия "защищаемая информация"
- •2. Разновидности защищаемой информации
- •3. Носители защищаемой информации можно классифицировать следующим образом:
- •4. Понятие иб. Составляющие иб
- •5. Понятие "гос тайна". Сведения, составляющие гос тайну
- •7. Коммерческая тайна и ее особенности
- •11. Российское законодательство в области иб
- •Глава 28 Преступления в сфере компьютерной безопасности
- •9. Государственная система защиты информации
- •13. Защищенные ис
- •14. Понятие угроз информационной безопасности. Критерии классификаций угроз.
- •18. Административно-правовые методы защиты информации.
- •19. Политика иб
- •22. Общие понятия криптографии.
- •23. Классификация методов криптографического преобразования информации.
- •24. Классификация шифров замены.
- •25. Классификация шифров перестановки.
- •27. Методы гаммирования.
- •49. Роль стандартов иб. Основные понятия и определения.
- •50. Критерии безопасности компьютерных систем министерства обороны сша («Оранжевая книга»).
- •51. Иб распределенных систем. Рекомендации X.800.
- •52. Европейские критерии оценки безопасности ит (Гармонизированные критерии Европейских стран).
- •53. Стандарт iso/iec 15408 «Критерии оценки безопасности ит».
- •54. Руководящие документы Гостехкомиссии России.
- •55. Международный стандарт безопасности ис iso/iec 17799.
- •58. Понятие аудита безопасности и цели его проведения.
- •59. Этапы работ по проведению аудита безопасности ис.
52. Европейские критерии оценки безопасности ит (Гармонизированные критерии Европейских стран).
Задачи средств ИБ:
Защита информации от НСД с целью обеспечения конфиденциальности.
Обеспечение целостности информации посредством защиты от несанкционированной модификации или уничтожения.
Обеспечение работоспособности системы с помощью противодействия угрозам отказа в обслуживании.
В «Гармонизированных критериях» определены три уровня безопасности: базовый, средний и высокий.
53. Стандарт iso/iec 15408 «Критерии оценки безопасности ит».
Безопасность в ОК рассматривается в привязке к ЖЦ объекта оценки.
Выделяются следующие этапы:
Определение назначения, условий применения, целей и требований безопасности.
Проектирование и разработка.
Испытание, оценка, сертификация.
Внедрение и эксплуатация.
54. Руководящие документы Гостехкомиссии России.
Группы критериев безопасности:
Показатели защищенности средств ВТ.
Показатели защищенности АСОД.
55. Международный стандарт безопасности ис iso/iec 17799.
Области управления информационной безопасностью:
Планирование непрерывности бизнеса.
Управление доступом – контролирует доступ к информационным услугам и ресурсам, противодействие несанкционированной активности.
Разработка и поддержка системных и прикладных средств – выполнение функций безопасности ОС и программных приложений.
Безопасность среды – предотвращает несанкционированное проникновение, кражу, повреждение средств защиты и безопасности.
Соответствие документам и стандартам – обеспечивает соблюдение внутренних правил, нормативных документов.
Персонал – снижение риска человеческих ошибок, преднамеренных нарушений.
Безопасность на уровне компаний – при взаимодействии с внешней средой.
Управление инфраструктурой – снижение риска возникновения системных ошибок.
Классификация и контроль материальных средств – охрана и надзор над всеми материальными ресурсами компании.
Наличие политики безопасности.
Преимущества:
Компания становится «прозрачнее» для менеджмента
Демонстрация эффективного управления ИБ
Процедура вступления в ВТО
Свобода выбора платформ, оборудования, производителей.
58. Понятие аудита безопасности и цели его проведения.
Аудит – независимая экспертиза отдельных областей функционирования организации.
Внешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации или акционеров.
Внутренний аудит – представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите».
Случаи проведения аудита:
Аудит ИС проводится с целью подготовки технического задания на проектирование и разработку системы защиты информации
Аудит проводится после внедрения системы безопасности для того, чтобы оценить уровень ее эффективности
Если система безопасности приводится в соответствии со стандартами ИС
Аудит проводится для систематизации и упорядочивания имеющихся на предприятии методов защиты информации
Аудит может проводиться в целях расследования прошедшего инцидента, связанного с нарушением режима безопасности.
Основные задачи:
Анализ структуры, функций, технологий, бизнес-процессов, нормативно-распорядительной и технической документации
Выявление значимых угроз ИБ
Составление модели нарушителя
Проведение теста на проникновение
Анализ и оценка рисков
Оценка системы управления ИБ
Разработка предложений и рекомендация
Дополнительные задачи:
Разработка политик безопасности и других организационно-распорядительных документов
Постановка задач для ИТ персонала, касающихся обеспечения защиты информации
Участие в обучении персонала вопросам обеспечения ИБ
Участие в разборе инцидентов, связанных с нарушением ИБ.
Виды аудита:
Экспертный аудит
Оценка соответствия рекомендациям ISO 27001:2005, требованиям документов ФСТЭК
Инструментальный анализ
Комплексный аудит