- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Стратегии защиты информации в организации (предприятии).
- •Перечень основных документов отрабатываемых службой защиты информации в организации и их краткое содержание.
- •Правовые аспекты применения электронной цифровой подписи.
- •Классификация и структура технических каналов утечки информации.
- •Методика выявления и инвентаризации информационных ресурсов, в т.Ч. Носителей защищаемой информации.
- •Порядок оформления документов, необходимых для получения лицензий в области защиты информации, составляющей государственную тайну.
- •Методика выявления способов воздействия на информацию
- •Концепция построения систем менеджмента информационной безопасности организации.
- •Основы авторского права. Законодательство об авторском праве и смежных правах.
- •Особенности подбора персонала на должности, связанные с работой с конфиденциальной информацией.
- •Системный подход к инженерно-технической защите информации.
- •Коммерческая тайна организации и основные положения ее защиты.
- •Основные этапы проектирования системы защиты информации техническими средствами.
- •Выявление каналов доступа к информации предприятия. Соотношение между каналами и источниками воздействия на информацию.
- •Правовое регулирование отношений в области формирования, хранения, учета и использования документов.
- •Направления и методы работы с персоналом, обладающим конфиденциальной информацией.
- •Направления реализации угроз безопасности информации. Алгоритмы оценки угроз. Классификация угроз.
- •Организационное обеспечение безопасности информации в особых условиях.
- •Нормативно-методическое обеспечение функционирования комплексных систем защиты информации.
- •Порядок работы персонала с конфиденциальными документами и материалами. Допуск персонала к конфиденциальной информации.
- •Перечень сведений, подлежащих засекречиванию в организации (предприятии).
- •Модели управления доступом к конфиденциальной информации.
- •Организационное обеспечение безопасности информации в особых условиях
Классификация и структура технических каналов утечки информации.
Классификация каналов утечки информации дана на рис. Основным классификационным признаком технических каналов утечки информации является физическая природа носителя. По этому признаку они делятся на: 1)оптические; 2)радиоэлектронные; 3)акустические; 4)материально-вещественные. Носителем информации в оптическом канале является электромагнитное поле в диапазоне 0,46-0,76 мкм (видимый свет) и 0.76-13 мкм (инфракрасные излучения). В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток, распространяющийся по проводникам из меди, железа, алюминия. Кроме того, широко используется в качестве носителя информации модулированный поток электронов (электрический ток). Носителями информации в акустическом канале являются механические акустические волны в инфразвуковом, звуковом и ультразвуковом диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде. В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы организации вещественных носителей с секретной или конфиденциальной информацией, прежде всего, выбрасываемых черновиков документов и использованной копировальной бумаги. По информативности каналы утечки делятся на информативные, малоинформативные и неинформативные. Информативность канала оценивается ценностью информации, которая передается по каналу. По времени проявления каналы делятся на постоянные, периодические и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. Периодический канал утечки может возникнуть при условии, например, размещения во дворе не укрытой продукции, демаскирующие признаки о которой составляют тайну, во время пролетов разведывательных космических аппаратов. К эпизодическим каналам относятся каналы, утечка информации в которых имеет разовый случайный характер. Канал утечки информации, состоящий из передатчика, среды распространения и приемника, является одноканальным. Однако возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. В двух последних вариантах образуется составной канал. Как любой канал связи канал утечки информации характеризуется следующими основными показателями: 1)пропускной способностью (оценивается количеством информации, передаваемой по каналу в единицу времени с определенным качеством); 2)дальностью передачи информации (По ширине полосы частот пропускания каналы делятся на узкополосные и широкополосные. Чем шире канал, тем больше информации можно передать за единицу времени).
Методика выявления и инвентаризации информационных ресурсов, в т.Ч. Носителей защищаемой информации.
Процедуру учета и регистрации рекомендуется выполнять в два этапа. На первом этапе, ответственными за организацию и проведение инвентаризации выступают руководители структурных подразделений. Они, по указанию Руководителя, проводят первичный учет и регистрацию информационных ресурсов своих подразделений и представляют полученные данные в подразделение по защите информации. На втором этапе, подразделением по защите информации, проводится рассмотрение материалов по результатам первичного учета, составляется единый перечень информационных ресурсов органа власти субъекта РФ, определяются ограничения и возможности дальнейшего использования информационных ресурсов, назначаются ответственные в подразделениях за поддержание и сохранность информационного ресурса. (Порядок проведения государственного учета и регистрации баз данных и учет банков данных определен Постановлением Правительства РФ от 28.02.96г. №226 ''О государственном учете и регистрации баз и банков данных''.) Государственный учет баз данных осуществляется на этапе их разработки. Государственная регистрация баз данных осуществляется после передачи их в эксплуатацию. Алгоритм учета информационных ресурсов. Первый этап. На первом этапе, руководитель структурного подразделения, должен составить перечень информационных ресурсов своего подразделения с определением степени конфиденциальности каждого из выделенных информационных ресурсов в соответствие с перечнем конфиденциальной информации. Далее, необходимо определить собственника информационных ресурсов, и определить свои полномочия относительно владения и пользования информационным ресурсом. Следующим шагом является определение порядка их использования (используется ли указанный информационный ресурс только в интересах данного подразделения или же используется совместно), и определить ответственного за сохранность. Далее, руководитель подразделения должен определить ценность перечисленного им информационного ресурса. По заключению своего этапа инвентаризации подразделения, его руководитель подает руководителю докладную записку с указанием полученных результатов. В приложение к докладной записке составляется «Ведомость информационных ресурсов подразделения».Второй этап На втором этапе в органе власти, по представлению руководителя подразделения по ЗИ, создается комиссия по инвентаризации информационных ресурсов. В состав комиссии обязательно включаются ответственные за ЗИ в подразделениях. На основе «Сводных ведомостей информационных ресурсов подразделений» комиссией по инвентаризации информационных ресурсов составляется перечень информационных ресурсов органа власти. Оцененные информационные ресурсы должны быть в обязательном порядке, согласно требованию закона «Об информации, информационных технологий и ЗИ» должны быть приняты на баланс в финансово-хозяйственном подразделении. Далее, комиссией по инвентаризации информационных ресурсов рассматриваются возможные ограничения и пути дальнейшего использования информационных ресурсов. По завершению работ, руководителю представляется докладная записка по материалам инвентаризации информационных ресурсов и их перечень на утверждение и производится закрепление информационных ресурсов за конкретными должностными лицами с целью их дальнейшего качественного ведения, поддержания.