- •Раздел 1. Теория информационной безопасности и методология защиты информации
- •1.2 Сущность и понятие информационной безопасности.
- •1.4 Современная доктрина информационной безопасности Российской Федерации.
- •1.5 Сущность и понятие защиты информации.
- •1.6 Цели и значение защиты информации.
- •1.7 Теоретические и концептуальные основы защиты информации.
- •1.8 Критерии, условия и принципы отнесения информации к защищаемой.
- •1.9 Классификация конфиденциальной информации по видам тайны.
- •1) Сведения в военной области:
- •2) Сведения в области экономики, науки и техники:
- •3) Сведения в области внешней политики и экономики:
- •4) Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:
- •1.10 Классификация носителей защищаемой информации.
- •1.11 Понятие и структура угроз информации.
- •1.12 Источники, виды и способы дестабилизирующего воздействия на информацию.
- •1.13 Причины, обстоятельства и условия дестабилизирующего воздействия на информацию.
- •1.14 Каналы и методы несанкционированного доступа к информации.
- •1.15 Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации.
- •1.17 Объекты защиты информации.
- •1.18 Классификация видов, методов и средств защиты информации.
- •1.19 Кадровое и ресурсное обеспечение защиты информации.
- •1.20 Назначение и структура систем защиты информации.
- •Раздел 2. Правовая защита информации
- •2.1. Информация как объект права: понятие, признаки, виды.
- •2.2. Информационные технологии как объект правовой охраны.
- •2.3. Правовое регулирование защиты информации в Российской Федерации.
- •2.4. Общедоступная информация: понятие, виды, правовое регулирование и защита.
- •2.5. Информация ограниченного доступа как объект правовой охраны: понятие, признаки, виды, правовое регулирование.
- •2.6. Правовой режим коммерческой тайны.
- •2.7. Правовой режим служебной и профессиональной тайны.
- •2.8. Правовой режим банковской тайны и кредитных историй.
- •2.9. Правовой режим государственной тайны.
- •2.10. Правовой режим персональных данных.
- •2.11. Интеллектуальная собственность как объект правовой охраны.
- •2.12. Правовая защита авторских и смежных прав.
- •2.13. Правовая охрана программ для эвм и баз данных.
- •2.14. Патентно-правовая охрана объектов интеллектуальной собственности.
- •2.15. Правовая охрана средств индивидуализации товаров, работ, лиц, информационных ресурсов. Доменное имя как особый объект правовой охраны.
- •2.17. Уголовно-правовая ответственность за преступления в сфере компьютерной информации. (Глава 28 Уголовного кодекса рф).
- •Часть 2 ст. 274 предусматривает ответственность за те же деяния, повлекшие по неосторожности тяжкие последствия. Понятие таких последствий раскрывалось при анализе ч. 2 ст. 273 ук.
- •2.19. Гражданско-правовая ответственность за правонарушения в информационной сфере.
- •2.20. Правовое регулирование лицензирования деятельности в сфере защиты информации.
- •2.21. Правовое регулирование аттестации и сертификации в сфере защиты информации.
- •2.22. Федеральные органы исполнительной власти, осуществляющие контроль и надзор в информационной сфере.
- •2.23. Правовая защита информации, обращающейся в информационно-телекоммуникационных сетях (на примере сети Интернет).
- •Раздел 3. Организационная защита информации и конфиденциальное делопроизводство
- •3.3. Способы и действия по защите информации.
- •3.4. Организация и функции службы безопасности предприятия.
- •3.5. Организация информационно-аналитической работы.
- •3.6. Обеспечение безопасности информации на наиболее уязвимых направлениях деятельности предприятия.
- •3.7. Организация работы с персоналом предприятия.
- •3.8. Лицензирование и сертификация деятельности в области защиты информации.
- •Раздел 4. Инженерно-техническая защита информации
- •4.1 Виды защищаемой информации, ее свойства, источники и носители.
- •4.2 Классификация демаскирующих признаков по характеристикам объектов и информативности. Мера информативности признака. Понятие об эталонной и текущей признаковых структурах.
- •4.5. Способы и средства подслушивания с использованием технических средств. Особенности остронаправленных микрофонов. Особенности лазерного подслушивания.
- •4.9. Назначение и виды физической защиты источников информации. Принципы работы системы контроля управления доступом. Достоинства и недостатки атрибутивных и биометрических идентификаторов.
- •4.10 Способы и средства защиты информации от подслушивания. Условия эффективной защиты путем: акустического зашумления помещения.
- •4.11 Способы и. Средства, используемые для защиты информации от наблюдения в оптическом и радиодиапазонах. Принципы скрытия в технологии «Стелс».
- •4.12. Способы скрытия сигналов в стандартных телефонных каналах. Достоинства и недостатки скремблеров. Принципы работы и особенности вокодеров.
- •4.13. Виды закладных устройств и способы их поиска. Состав и возможности автоматизированного комплекса мониторинга. Типы и принципы работы нелинейных локаторов. Рентгеновские поисковые установки.
- •4.15. Средства, применяемые для видеонаблюдения в системах физической защиты. Принципы работы детектора движения. Способы увеличения времени записи изображения телевизионных камер наблюдения.
- •4.16. Виды охранных и пожарных извещателей. Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.
- •4.17 Способы и средства нейтрализации угроз. Принципы нейтрализации угроз в автономных и централизованных системах охраны. Состав автоматизированного комплекса газового пожаротушения
- •2. Принципы нейтрализации угроз в автономных и централизованных системах охраны
- •3. Состав автоматизированного комплекса газового пожаротушения
- •4.18 Факторы, вызывающие утечку информации по цепям электропитания и заземления. Меры по предотвращению этой утечки.
- •4.20 Основные этапы и показатели проектирования системы инженерно-технической защиты информации. Принципы оценки показателей
- •Раздел 5. Программно-аппаратная и криптографическая защита информации в компьютерных сетях
- •5.1 Простейшие шифры. Шифры с симметричным и асимметричным ключом. Понятие стойкости криптографического алгоритма.
- •5.2 Алгоритмы гаммирования, блочные шифры, гост 28147-89, des.
- •5.3 Стандарты эцп 3410, 3411.
- •5.4 Системы шифрования с открытым ключом. Алгоритм rsa.
- •5.5 Инфраструктура систем с открытым ключом pki.
- •5.6 Разграничение доступа в операционных системах.
- •5.9 Межсетевые экраны.
- •5.10 Средства защиты информации Secret Net, Соболь, Континент-к.
- •5.11. Математический аппарат распознавания образов.
- •5.12. Идентификация образа по отпечатку пальца.
- •Раздел 6. Комплексная система защиты информации на предприятии
- •6.1 Сущность и общее содержание комплексной системы защиты информации (ксзи).
- •6.2 Задачи и принципы организации ксзи.
- •6.3 Технология и организации ксзи.
- •6.4 Разработка модели ксзи.
- •6.5 Обеспечение функционирования ксзи.
- •6.6 Назначение, структура и содержание управления ксзи.
- •6.7 Технология управления ксзи.
- •6.8 Управление ксзи в условиях чрезвычайных ситуаций.
Раздел 6. Комплексная система защиты информации на предприятии
6.1 Сущность и общее содержание комплексной системы защиты информации (ксзи).
- Назначение и общее содержание КСЗИ.
Система ЗИ - организованная совокупность органов и объектов ЗИ, использование методов и средств защиты, а также осуществление защитных мероприятий. Органы ЗИ с одной стороны являются составной частью системы, с другой стороны сами организуют систему, осуществляют защитные мероприятия. Система может быть определена как совокупность взаимосвязанных элементов. Назначение системы ЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.
КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И.
Главное свойство системы - в приобретении особенностей не свойственных ее элементам. Т.е. принцип Эмерджентноси, в теории систем. Т.е. например отдельные части самолета летать не могут - а сам самолет, как совокупность связанных частей, летать может.
Современное предприятие представляет собой большое количество разнородных компонентов объединенных в сложную систему для выполнения поставленной цели, причем эта цель в процессе функционирования предприятия может модифицироваться, а также многообразные изменения возникают в результате воздействия внутренних и внешних факторов, которые часто не поддаются строгой полной оценке. Характерной особенностью подобных систем является, прежде всего, наличие человека в каждой из составляющих ее подсистем. Множество компонентов составляющих объект информатизации интегрально можно представить совокупностью трех групп систем:
-1 группа: Люди (биосоциальные системы).
-2 группа: Техника (технические системы и помещения в которых они расположены).
-3 группа: Программное обеспечение (ПО) (которое является интеллектуальным посредником между человеком и техникой Интеллектуальные системы).
Совокупность этих 3 групп образует социо-техническую систему. Круг наших интересов ограничивается исследованием безопасности систем предназначенных для обработки информации поступающей на их вход и выдаче результата, т.е. социо-технических систем информационного типа.
Условно принято выделять 3 периода развития систем ЗИ.
1 период относится к тому времени, когда обработка И осуществлялась по перфорационным и бумажным технологиям.
2 период. Для обработки И применялись ЭВМ первого поколения.
3 период, использования средств ЭВМ приняло массовый повсеместный характер.
Распределение И по местам хранения и обработки обострило ситуацию с ее защитой. Т.е. появились дешевые ПК, на их основе построены сети, которые используют различные каналы связи, появились высокоэффективные системы разведки и добычи И, все эти аспекты нашли свое отражение в современных предприятиях.
1. Назначение комплексности состоит в объединении в одно целое локальных систем ЗИ, причем они должны функционировать в единой связке.
2. Назначение комплексности обусловлено назначением самой системы, система должна объединять логически и технологически все составляющие защиты, но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя, какие-то объекты зашиты, а все они включены или нет - это уже вне пределов информированности системы. Поэтому качество, надежность защиты зависит не только от видов составляющих системы, но и от их полноты, которое обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту, т.е. полнота всех составляющих и является вторым назначением комплексности. При этом должны учитываться все параметры уязвимости И, потенциально-возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, а также осуществляться все вытекающие цели и задачи защитных мероприятий.
3ащитное назначение комплексности - система должна обеспечивать безопасность всей совокупности И, подлежащей защите при любых обстоятельствах, это означает, что должны защищаться все носители И, во всех компонентах ее сбора, хранения, передачи и использования, постоянно и при всех режимах функционирования систем обработки И. В то же время комплексность предполагает дифференцированный подход к ЗИ, в зависимости от состава ее носителей, видов тайны, средств хранения и обработки, форм и условий появления уязвимости, каналов и методов НСД к И.
Т.о. КСЗИ состоит:
1) в объединение локальных систем ЗИ,
2) в обеспечение полноты всех составляющих системы защиты,
3 в обеспечение всеохватности ЗИ.
- КСЗИ как средство выражения концептуальных основ защиты информации.
Основной проблемой реализации систем защиты являются с одной стороны обеспечение научной защиты находящейся в системе И, исключая преднамеренной выдаче информации посторонним лицам, разрешение доступа к системе для пользователей. А с другой стороны системы защиты не должны создавать заметных неудобств в процессе их функционирования и использования ресурсов системы. На основе теоретических исследований и практических работ в области ЗИ, был сформулирован системно-концептуальный подход. Под системностью понимается системность целевая, т.е. защищенность И рассматривается как основная часть общего понятия качества И. Вторая составляющая системы - пространственная, предполагающая взаимно увязанные решения всех вопросов защиты на всех компонентах предприятия. Системность временная, т.е. непрерывность работ по ЗИ. Системность организационная предполагает единство организации всех работ по ЗИ и управление ими.
Концептуальность подхода предполагает разработку единой концепции, как полной совокупности обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечение научности ЗИ. А также целенаправленная организация всех работ по ЗИ.
Комплексный подход это принцип рассмотрения предмета, при котором анализируется система в целом а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей.
- Основные системные представления.
Система может быть описана динамически или статически. Может быть представлена с точки зрения внешних или внутренних характеристик. Внутреннее состояние системы может быть представлено в виде функциональных зависимостей и в виде структуры, реализующей эти зависимости, т.е. можно выделить 5 основных системных представлений:
1 Микроскопическое
2 Функциональное
3 Макроскопическое
4 Иерархическое
5 Процессуальное
-1- Микроскопическое представление системы основано на понимании ее как совокупности взаимосвязанных элементов, неразложимых далее. В общем виде элемент лишь относительно не делим, но для данной системы он является абсолютно не делимым. Элементы системы обладают связями которые объединяют их в целостную систему. Элементы могут существовать только в связанном виде. Например, компьютер. Также очень важную роль играет поиск системообразующих связей, благодаря которым все элементы оказываются связанными.
-2- Функциональное представление связано с пониманием системы как совокупности функций или действий для достижения определенной цели, каждый элемент выполняет определенную функцию. Синонимом понятия структура для функционального представления служит понятие функциональной структуры или организации. Организация может быть реализована различными структурами, при этом функциональная сущность системы остается прежней, меняется только способ реализации.
-3- Макроскопическое представление - система понимается как нерасчленимое целое, здесь важно понятие системного окружения. Под окружающей средой системы можно понимать совокупность всех объектов, изменение свойств которых влияет на систему, не одна система объектов не может быть рассмотрена вне системного окружения. Системное окружение позволяет охарактеризовать систему множеством внешних связей или внешней структуры.
-4- Иерархическое представление системы основано на понятии подсистемы или единицы, которое не следует путать с понятием элемент. Единицы обладают функциональной спецификой целого, а сама система представляется в виде совокупности единиц, составляющих системную иерархию. Выделяют два типа функциональных связей между единицами, это горизонтальные связи, между единицами одного уровня и вертикальные между единицами различных уровней. Единицы каждого уровня описываются набором вертикальных и горизонтальных связей.
-5- Процессуальное представление системы предполагает понимание системного объекта, как совокупности процессов характеризуемых последовательностью состояний во времени. Основное понятие - понятие периода жизни, т.е. того временного интервала в течении которого функционирует данный процесс.
- Системный подход (СП).
Системный анализ - стратегия изучения сложных систем. В качестве метода исследования в нем используется моделирование, а основным принципом является декомпозиция сложной систем на более простые подсистемы.
В основе стратегии системного анализа лежат следующие общие положения.
-1 Четкая формулировка целей исследования.
-2 Постановка задачи по реализации этой цели, и определения критерия эффективности решения задачи.
-3 Разработка развернутого плана исследования с указанием основных этапов и направлений решения задач.
-4 Последовательное продвижение по всему комплексу взаимосвязанных этапов и возможных направлений
-5 Организация последовательных приближений и повторных циклов исследований на отдельных этапах. Т.е. постепенное увеличение масштаба и увеличение части исследования объекта.
-6 Принцип нисходящей иерархии анализа и восходящей иерархии синтеза в решении составных задач.
СА позволяет организовать наши знания об объекте таким образом, чтобы помочь выбрать нужную стратегию, либо предсказать результаты одой или нескольких стратегий, представляющихся целесообразными для тех, кто должен принимать решение. Как научный подход СА создает инструментарий познания физического мира и объединяет его в систему гибкого исследования сложных явлений.
Системный подход - направление методологии научного познания в основе которого лежит рассмотрение объектов как систем. СП ориентирует исследования на раскрытие целостности объекта, на выявления различных типов связи в нем.