- •Раздел 1. Теория информационной безопасности и методология защиты информации
- •1.2 Сущность и понятие информационной безопасности.
- •1.4 Современная доктрина информационной безопасности Российской Федерации.
- •1.5 Сущность и понятие защиты информации.
- •1.6 Цели и значение защиты информации.
- •1.7 Теоретические и концептуальные основы защиты информации.
- •1.8 Критерии, условия и принципы отнесения информации к защищаемой.
- •1.9 Классификация конфиденциальной информации по видам тайны.
- •1) Сведения в военной области:
- •2) Сведения в области экономики, науки и техники:
- •3) Сведения в области внешней политики и экономики:
- •4) Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:
- •1.10 Классификация носителей защищаемой информации.
- •1.11 Понятие и структура угроз информации.
- •1.12 Источники, виды и способы дестабилизирующего воздействия на информацию.
- •1.13 Причины, обстоятельства и условия дестабилизирующего воздействия на информацию.
- •1.14 Каналы и методы несанкционированного доступа к информации.
- •1.15 Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации.
- •1.17 Объекты защиты информации.
- •1.18 Классификация видов, методов и средств защиты информации.
- •1.19 Кадровое и ресурсное обеспечение защиты информации.
- •1.20 Назначение и структура систем защиты информации.
- •Раздел 2. Правовая защита информации
- •2.1. Информация как объект права: понятие, признаки, виды.
- •2.2. Информационные технологии как объект правовой охраны.
- •2.3. Правовое регулирование защиты информации в Российской Федерации.
- •2.4. Общедоступная информация: понятие, виды, правовое регулирование и защита.
- •2.5. Информация ограниченного доступа как объект правовой охраны: понятие, признаки, виды, правовое регулирование.
- •2.6. Правовой режим коммерческой тайны.
- •2.7. Правовой режим служебной и профессиональной тайны.
- •2.8. Правовой режим банковской тайны и кредитных историй.
- •2.9. Правовой режим государственной тайны.
- •2.10. Правовой режим персональных данных.
- •2.11. Интеллектуальная собственность как объект правовой охраны.
- •2.12. Правовая защита авторских и смежных прав.
- •2.13. Правовая охрана программ для эвм и баз данных.
- •2.14. Патентно-правовая охрана объектов интеллектуальной собственности.
- •2.15. Правовая охрана средств индивидуализации товаров, работ, лиц, информационных ресурсов. Доменное имя как особый объект правовой охраны.
- •2.17. Уголовно-правовая ответственность за преступления в сфере компьютерной информации. (Глава 28 Уголовного кодекса рф).
- •Часть 2 ст. 274 предусматривает ответственность за те же деяния, повлекшие по неосторожности тяжкие последствия. Понятие таких последствий раскрывалось при анализе ч. 2 ст. 273 ук.
- •2.19. Гражданско-правовая ответственность за правонарушения в информационной сфере.
- •2.20. Правовое регулирование лицензирования деятельности в сфере защиты информации.
- •2.21. Правовое регулирование аттестации и сертификации в сфере защиты информации.
- •2.22. Федеральные органы исполнительной власти, осуществляющие контроль и надзор в информационной сфере.
- •2.23. Правовая защита информации, обращающейся в информационно-телекоммуникационных сетях (на примере сети Интернет).
- •Раздел 3. Организационная защита информации и конфиденциальное делопроизводство
- •3.3. Способы и действия по защите информации.
- •3.4. Организация и функции службы безопасности предприятия.
- •3.5. Организация информационно-аналитической работы.
- •3.6. Обеспечение безопасности информации на наиболее уязвимых направлениях деятельности предприятия.
- •3.7. Организация работы с персоналом предприятия.
- •3.8. Лицензирование и сертификация деятельности в области защиты информации.
- •Раздел 4. Инженерно-техническая защита информации
- •4.1 Виды защищаемой информации, ее свойства, источники и носители.
- •4.2 Классификация демаскирующих признаков по характеристикам объектов и информативности. Мера информативности признака. Понятие об эталонной и текущей признаковых структурах.
- •4.5. Способы и средства подслушивания с использованием технических средств. Особенности остронаправленных микрофонов. Особенности лазерного подслушивания.
- •4.9. Назначение и виды физической защиты источников информации. Принципы работы системы контроля управления доступом. Достоинства и недостатки атрибутивных и биометрических идентификаторов.
- •4.10 Способы и средства защиты информации от подслушивания. Условия эффективной защиты путем: акустического зашумления помещения.
- •4.11 Способы и. Средства, используемые для защиты информации от наблюдения в оптическом и радиодиапазонах. Принципы скрытия в технологии «Стелс».
- •4.12. Способы скрытия сигналов в стандартных телефонных каналах. Достоинства и недостатки скремблеров. Принципы работы и особенности вокодеров.
- •4.13. Виды закладных устройств и способы их поиска. Состав и возможности автоматизированного комплекса мониторинга. Типы и принципы работы нелинейных локаторов. Рентгеновские поисковые установки.
- •4.15. Средства, применяемые для видеонаблюдения в системах физической защиты. Принципы работы детектора движения. Способы увеличения времени записи изображения телевизионных камер наблюдения.
- •4.16. Виды охранных и пожарных извещателей. Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.
- •4.17 Способы и средства нейтрализации угроз. Принципы нейтрализации угроз в автономных и централизованных системах охраны. Состав автоматизированного комплекса газового пожаротушения
- •2. Принципы нейтрализации угроз в автономных и централизованных системах охраны
- •3. Состав автоматизированного комплекса газового пожаротушения
- •4.18 Факторы, вызывающие утечку информации по цепям электропитания и заземления. Меры по предотвращению этой утечки.
- •4.20 Основные этапы и показатели проектирования системы инженерно-технической защиты информации. Принципы оценки показателей
- •Раздел 5. Программно-аппаратная и криптографическая защита информации в компьютерных сетях
- •5.1 Простейшие шифры. Шифры с симметричным и асимметричным ключом. Понятие стойкости криптографического алгоритма.
- •5.2 Алгоритмы гаммирования, блочные шифры, гост 28147-89, des.
- •5.3 Стандарты эцп 3410, 3411.
- •5.4 Системы шифрования с открытым ключом. Алгоритм rsa.
- •5.5 Инфраструктура систем с открытым ключом pki.
- •5.6 Разграничение доступа в операционных системах.
- •5.9 Межсетевые экраны.
- •5.10 Средства защиты информации Secret Net, Соболь, Континент-к.
- •5.11. Математический аппарат распознавания образов.
- •5.12. Идентификация образа по отпечатку пальца.
- •Раздел 6. Комплексная система защиты информации на предприятии
- •6.1 Сущность и общее содержание комплексной системы защиты информации (ксзи).
- •6.2 Задачи и принципы организации ксзи.
- •6.3 Технология и организации ксзи.
- •6.4 Разработка модели ксзи.
- •6.5 Обеспечение функционирования ксзи.
- •6.6 Назначение, структура и содержание управления ксзи.
- •6.7 Технология управления ксзи.
- •6.8 Управление ксзи в условиях чрезвычайных ситуаций.
3.8. Лицензирование и сертификация деятельности в области защиты информации.
Правовая основа системы лицензирования и сертификации в РФ
Защита информации является общегосударственной проблемой, т.к. это напрямую связано с обеспечением его суверенитета. Такое регулирование опирается на государственную систему безопасности и на свод законов по лицензированию деятельности в сфере защиты информации.
Лицензия – выдаваемое уполномоченным лицом (лицензиаром) юридическим и физическим лицам (лицензиатам) разрешение на совершение определенных действий, без которого совершение таких действий признается неправомерным.
Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, виды и статус которых также предписываются нормативными актами. За органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата.
Сертификация – это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.
Сертификат на средство защиты информации – документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.
Законодательной и нормативной базой лицензирования и сертификации в области 3И являются следующие документы. Законы РФ:
"О государственной тайне";
"О сертификации продукции и услуг";
"О защите прав потребителей";
"Об информации, ИТ и ЗИ ;
"О стандартизации;
"О федеральных органах правительственной связи и информации".
Постановления Правительства РФ:
"О лицензировании отдельных видов деятельности;
"О лицензировании деятельности предприятий;
"О сертификации средств ЗИ".
А также Указы Президента РФ и ряд подзаконных актов.
Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определён в Законе РФ "О государственной тайне" и Федеральном законе "О лицензировании отдельных видов деятельности".
Лицензирование деятельности по защите информации
Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона РФ "О государственной тайне". Органами, уполномоченными на ведение лицензионной деятельности, являются:
1. По допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, – ФСБ РФ (на территории Российской Федерации), СВР РФ (за рубежом).
2. На право проведения работ, связанных с созданием средств защиты информации – ФСТЭК(Федеральная служба по техническому и экспертному контролю), ФСБ.
3. На право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ РФ, ФСО (Федеральная служба охраны) и СВР РФ(за рубежом).
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.
Основанием для отказа в выдаче лицензии является:
-наличие в документах, представленных заявителем, недостоверной или искаженной информации;
-отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям;
-отрицательное заключение по результатам государственной аттестации руководителя предприятия.
-Специальные экспертизы предприятий выполняются по следующим направлениям: режим секретности;
-противодействие иностранной технической разведке;
-защита информации от утечки по техническим каналам.
Экспертные комиссии формируются при ФСБ РФ, ФСТЭК, в их территориальных органах и аттестационных центрах. К заявлению на получение лицензии необходимо приложить следующие документы:
-копия свидетельства о государственной регистрации предприятия;
-копии учредительных документов, заверенных нотариусом;
-копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
-справка налогового органа о постановке на учет;
-представление органов государственной власти РФ с ходатайством о выдаче лицензии;
-документ, подтверждающий оплату рассмотрения заявления.
Оформление лицензии и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.
Для рассмотрения спорных вопросов, возникающих при экспертизе предприятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется ФСБ согласованию с предприятием-заявителем. Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случаях:
-по личной просьбе лицензиата;
-ликвидации юридического лица или прекращения действия свидетельства о государственной регистрации физического лица в качестве предпринимателя;
-обнаружения недостоверных данных в документах, представленных для получения лицензии;
-нарушения лицензиатом условий действия лицензии;
Учет лицензиатов ведется государственными органами по лицензированию на основании сведений, поступающих от лицензионных центров.
Сертификация средств защиты информации
Национальным органом по сертификации является Госстандарт РФ. Госстандартом в 1994 г. утверждены "Правила по проведению сертификации в РФ", в соответствии с которыми целями сертификации являются:
создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли; содействие потребителям в компетентном выборе продукции; защита потребителя от недобросовестности изготовителя (продавца, исполнителя); контроль безопасности продукции.
Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации защиты информации на основании государственных стандартов и требований. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ. Порядок проведения сертификации основан на следующих принципах:
-Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.
-Обязательность использования криптографических алгоритмов, являющихся стандартами.
Принятие на сертификацию только изделий от заявителей, имеющих лицензию. В РФ разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации и законов государственных организаций и предприятий для защиты гостайны. Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи. Сертификат выдается на срок до 5 лет.
Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. На основании данного указа в государственных организациях и предприятиях запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата; запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата; запрещается деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии; запрещен ввоз на территорию России не лицензированных шифровальных средств