- •Раздел 1. Теория информационной безопасности и методология защиты информации
- •1.2 Сущность и понятие информационной безопасности.
- •1.4 Современная доктрина информационной безопасности Российской Федерации.
- •1.5 Сущность и понятие защиты информации.
- •1.6 Цели и значение защиты информации.
- •1.7 Теоретические и концептуальные основы защиты информации.
- •1.8 Критерии, условия и принципы отнесения информации к защищаемой.
- •1.9 Классификация конфиденциальной информации по видам тайны.
- •1) Сведения в военной области:
- •2) Сведения в области экономики, науки и техники:
- •3) Сведения в области внешней политики и экономики:
- •4) Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:
- •1.10 Классификация носителей защищаемой информации.
- •1.11 Понятие и структура угроз информации.
- •1.12 Источники, виды и способы дестабилизирующего воздействия на информацию.
- •1.13 Причины, обстоятельства и условия дестабилизирующего воздействия на информацию.
- •1.14 Каналы и методы несанкционированного доступа к информации.
- •1.15 Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации.
- •1.17 Объекты защиты информации.
- •1.18 Классификация видов, методов и средств защиты информации.
- •1.19 Кадровое и ресурсное обеспечение защиты информации.
- •1.20 Назначение и структура систем защиты информации.
- •Раздел 2. Правовая защита информации
- •2.1. Информация как объект права: понятие, признаки, виды.
- •2.2. Информационные технологии как объект правовой охраны.
- •2.3. Правовое регулирование защиты информации в Российской Федерации.
- •2.4. Общедоступная информация: понятие, виды, правовое регулирование и защита.
- •2.5. Информация ограниченного доступа как объект правовой охраны: понятие, признаки, виды, правовое регулирование.
- •2.6. Правовой режим коммерческой тайны.
- •2.7. Правовой режим служебной и профессиональной тайны.
- •2.8. Правовой режим банковской тайны и кредитных историй.
- •2.9. Правовой режим государственной тайны.
- •2.10. Правовой режим персональных данных.
- •2.11. Интеллектуальная собственность как объект правовой охраны.
- •2.12. Правовая защита авторских и смежных прав.
- •2.13. Правовая охрана программ для эвм и баз данных.
- •2.14. Патентно-правовая охрана объектов интеллектуальной собственности.
- •2.15. Правовая охрана средств индивидуализации товаров, работ, лиц, информационных ресурсов. Доменное имя как особый объект правовой охраны.
- •2.17. Уголовно-правовая ответственность за преступления в сфере компьютерной информации. (Глава 28 Уголовного кодекса рф).
- •Часть 2 ст. 274 предусматривает ответственность за те же деяния, повлекшие по неосторожности тяжкие последствия. Понятие таких последствий раскрывалось при анализе ч. 2 ст. 273 ук.
- •2.19. Гражданско-правовая ответственность за правонарушения в информационной сфере.
- •2.20. Правовое регулирование лицензирования деятельности в сфере защиты информации.
- •2.21. Правовое регулирование аттестации и сертификации в сфере защиты информации.
- •2.22. Федеральные органы исполнительной власти, осуществляющие контроль и надзор в информационной сфере.
- •2.23. Правовая защита информации, обращающейся в информационно-телекоммуникационных сетях (на примере сети Интернет).
- •Раздел 3. Организационная защита информации и конфиденциальное делопроизводство
- •3.3. Способы и действия по защите информации.
- •3.4. Организация и функции службы безопасности предприятия.
- •3.5. Организация информационно-аналитической работы.
- •3.6. Обеспечение безопасности информации на наиболее уязвимых направлениях деятельности предприятия.
- •3.7. Организация работы с персоналом предприятия.
- •3.8. Лицензирование и сертификация деятельности в области защиты информации.
- •Раздел 4. Инженерно-техническая защита информации
- •4.1 Виды защищаемой информации, ее свойства, источники и носители.
- •4.2 Классификация демаскирующих признаков по характеристикам объектов и информативности. Мера информативности признака. Понятие об эталонной и текущей признаковых структурах.
- •4.5. Способы и средства подслушивания с использованием технических средств. Особенности остронаправленных микрофонов. Особенности лазерного подслушивания.
- •4.9. Назначение и виды физической защиты источников информации. Принципы работы системы контроля управления доступом. Достоинства и недостатки атрибутивных и биометрических идентификаторов.
- •4.10 Способы и средства защиты информации от подслушивания. Условия эффективной защиты путем: акустического зашумления помещения.
- •4.11 Способы и. Средства, используемые для защиты информации от наблюдения в оптическом и радиодиапазонах. Принципы скрытия в технологии «Стелс».
- •4.12. Способы скрытия сигналов в стандартных телефонных каналах. Достоинства и недостатки скремблеров. Принципы работы и особенности вокодеров.
- •4.13. Виды закладных устройств и способы их поиска. Состав и возможности автоматизированного комплекса мониторинга. Типы и принципы работы нелинейных локаторов. Рентгеновские поисковые установки.
- •4.15. Средства, применяемые для видеонаблюдения в системах физической защиты. Принципы работы детектора движения. Способы увеличения времени записи изображения телевизионных камер наблюдения.
- •4.16. Виды охранных и пожарных извещателей. Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.
- •4.17 Способы и средства нейтрализации угроз. Принципы нейтрализации угроз в автономных и централизованных системах охраны. Состав автоматизированного комплекса газового пожаротушения
- •2. Принципы нейтрализации угроз в автономных и централизованных системах охраны
- •3. Состав автоматизированного комплекса газового пожаротушения
- •4.18 Факторы, вызывающие утечку информации по цепям электропитания и заземления. Меры по предотвращению этой утечки.
- •4.20 Основные этапы и показатели проектирования системы инженерно-технической защиты информации. Принципы оценки показателей
- •Раздел 5. Программно-аппаратная и криптографическая защита информации в компьютерных сетях
- •5.1 Простейшие шифры. Шифры с симметричным и асимметричным ключом. Понятие стойкости криптографического алгоритма.
- •5.2 Алгоритмы гаммирования, блочные шифры, гост 28147-89, des.
- •5.3 Стандарты эцп 3410, 3411.
- •5.4 Системы шифрования с открытым ключом. Алгоритм rsa.
- •5.5 Инфраструктура систем с открытым ключом pki.
- •5.6 Разграничение доступа в операционных системах.
- •5.9 Межсетевые экраны.
- •5.10 Средства защиты информации Secret Net, Соболь, Континент-к.
- •5.11. Математический аппарат распознавания образов.
- •5.12. Идентификация образа по отпечатку пальца.
- •Раздел 6. Комплексная система защиты информации на предприятии
- •6.1 Сущность и общее содержание комплексной системы защиты информации (ксзи).
- •6.2 Задачи и принципы организации ксзи.
- •6.3 Технология и организации ксзи.
- •6.4 Разработка модели ксзи.
- •6.5 Обеспечение функционирования ксзи.
- •6.6 Назначение, структура и содержание управления ксзи.
- •6.7 Технология управления ксзи.
- •6.8 Управление ксзи в условиях чрезвычайных ситуаций.
3.7. Организация работы с персоналом предприятия.
Подбор и подготовка кадров
Анализ угроз информации позволил выделить следующие виды угроз информационным ресурсам, которые могут исходить от людей различных групп. По возрастанию степени опасности информационным ресурсам, исходящей от них, выделяют следующие группы:
-некомпетентные служащие;
-хакеры и крэкеры;
-неудовлетворенные своим статусом служащие;
-нечестные служащие;
-инициативный шпионаж;
-организованная преступность;
-политические диссиденты;
-террористические группы.
C учетом этого представляется целесообразным с целью обеспечения информационной безопасности предприятия уделять большее внимание подбору и изучению кадров при приеме их на работу.
При профотборе сотрудников для работы на коммерческих предприятиях рекомендуется придерживаться следующей последовательности:
1. Предварительное собеседование. На этом этапе осуществляется предварительная беседа, которая реализуется в нескольких вариантах и может носить как поверхностный, так и углубленный характер. При поверхностном собеседовании в основном ограничиваются уточнением отдельных, наиболее значимых сведений и постановкой нескольких, совершенно конкретных вопросов. Первую ознакомительную беседу следует проводить по стандартной формализованной форме, что позволяет в дальнейшем осуществлять компьютерную обработку ответов.
2. Сбор и оценка информации о кандидатах. На этом этапе осуществляется углубленная оценка личных и деловых качеств кандидата на работу. При этом для служб безопасности предприятия представляется наиболее важным добывание сведений биографического. Затем в ходе этого этапа на основе анализа документов, представленных самим кандидатом, а также данных, полученных через отдел кадров и службу безопасности, выявляются кандидаты, с которыми есть смысл вести дальнейшую работу.
3. Тестовые примеры и иные научные методики проверки кандидатов. Этот этап характеризуется тем, что кандидат подвергается комплексными психологическими тестированиями. В настоящее время используются многочисленные методы и процедуры персонального очного тестирования, поскольку они характеризуются быстротой реализации и достаточно высокой эффективностью. Обычно тестовые методики подразделяются на четыре большие группы: Личностные опросные листы; Бланковые методики; Проективные методики; Приборные методики.
4. Исследование результатов тестирований. На этом этапе выполняется аналитическая обработка и комплексный анализ результатов тестирований, в том числе с использованием ЭВМ. Объективно и всесторонне оценивая существующие тестовые методики, необходимо подчеркнуть следующее: их специфика сегодня такова, что получить однозначный ответ о надежности будущего сотрудника пока все еще не предоставляется возможным. С помощью тестирований достигается лишь возможность сформулировать весьма полный набор характеристик изучаемого кандидата.
5. Заключительное собеседование. Перед началом заключительного собеседования рекомендуется составить примерный план беседы, обычно включающий следующие основные пункты:
-Уточнение спорных вопросов;
-Прогнозирование вероятного поведения представителей кадровой службы и руководства, если в ходе собеседования вскроются новые и неожиданные обстоятельства, ставящие под сомнение возможность зачисления кандидата на работу;
-Выбор оптимального времени, продолжительности, места проведения собеседования, которые должны быть удобными и приемлемыми для обеих сторон.
Выделяют три этапа заключительной беседы. Начальный этап проводится в дружелюбной форме. На этой стадии желательно ознакомить кандидата с материалами, которые бы позволили ему сформировать собственное представление о данной организации.
Центральная часть. К числу наиболее значимых вопросов этой фазы собеседования традиционно относят
следующие:
-основные побудительные мотивы, по которым кандидат решил предложить свои услуги данному предприятию;
-перспективные планы кандидата;
-отрицательные моменты, которые возникали по месту предыдущей работы кандидата;
-личные и деловые связи, характер отношений с руководителями и сотрудниками на предыдущем месте работы.
При оценке ответов кандидата на вопросы представляется возможным достаточно глубоко оценить продуманность, устойчивость и окончательный характер решения кандидата.
Завершения итоговой беседы проводится в официальной обстановке. Это подписание трудового договора и контракта.
Проверка персонала на благонадежность
С точки зрения обеспечения безопасности конфиденциальной информации предприятия являются обязательными следующие функции службы безопасности по проверке сотрудников на благонадежность:
-определение степени вероятности формирования у кандидата преступных наклонностей в благоприятных для этого условиях;
-выявление у кандидата имевших место ранее преступных наклонностей, судимостей, связей с криминальной средой.
Для добывания подобной информации используются возможности службы безопасности, а также некоторых сторонних организаций, таких как, детективных агентств, бюро по занятости населения и пр.
Для сбора сведений такого характера применяются в рамках закона “О частной детективной и охранной деятельности в РФ” следующие методы: опрос, анкетирование, целевые беседы с лицами по месту жительства кандидатов и на предыдущих местах их учебы или работы, наведение справок через медицинские учреждения. Процесс проверки руководящих кадров имеет свои особенности. необходимо подчеркнуть следующие важное обстоятельство – лица, принимаемые на ответственные вакантные должности предприятия, должны подвергаться стандартной проверке, включающей:
-достаточно продолжительные процедуры сбора и верификации установочно-биографических
-сведений с их последующей аналитической обработкой;
-предоставление рекомендательных писем от известных предпринимательских структур с их последующей проверкой;
-сбор сведений по месту жительства и по предыдущим местам работы;
-серии собеседований и тестов с последующей психоаналитической обработкой результатов.
Заключение контрактов и соглашений о секретности
Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений. Обязательство (подписка, соглашение) о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и письменно
дает согласие на ограничение его прав и предупреждается об ответственности за нарушение данного обязательства.
Обычно при составлении подобного соглашения включают следующие пункты: детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы; краткое изложение порядка охраны конфиденциальных сведений; изложение мер, которые должен принимать сам работник для обеспечения сохранности этих сведений; перечень наказаний.
Договорные обязательства подписывают не только претенденты на работу на данном предприятии, но и все лица, потенциально имеющие возможность узнать элементы тайны фирмы (акционеры, партнеры). После подписания обязательств и проведения бесед инструктажа с сотрудниками заключается трудовой договор или контракт.
Особенности увольнения сотрудников, владеющих конфиденциальной информацией
Современные психологические подходы к процессу увольнения позволяют выработать следующую принципиальную рекомендацию: каковы бы ни были причины увольнения сотрудника, он должен покидать коммерческую организацию без чувства обиды, раздражения. Главная задача состоит в том, чтобы определить истинную причину увольнения сотрудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процедуру его спокойного и бесконфликтного увольнения.
При поступлении устного или письменного заявления об увольнении рекомендуется во всех без исключения случаях провести с сотрудником беседу с участием руководства предприятия, а сотрудникам службы безопасности еще до этой беседы собрать следующую информацию:
-характер его взаимоотношений с коллегами в коллективе;
-доступ к информации, в том числе составляющей коммерческую тайну;
-предполагаемое в будущем место работы увольняющегося сотрудника.
В тех случаях, когда увольнения сотрудников происходят по инициативе предприятия, рекомендуется действовать следующим образом. Увольняемого сотрудника под благовидным предлогом отстраняют от работы с коммерческой тайной. Только лишь после этого рекомендуется приглашать на собеседование подлежащего увольнению сотрудника и объявлять конкретные причины, по которым предприятие его увольняет. При окончательном расчете обычно рекомендуется поблагодарить сотрудника за работу и независимо от личных характеристик увольняемых сотрудников взять у него подписку о неразглашении конфиденциальных сведений.