- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Стратегии защиты информации в организации (предприятии).
- •Перечень основных документов отрабатываемых службой защиты информации в организации и их краткое содержание.
- •Правовые аспекты применения электронной цифровой подписи.
- •Классификация и структура технических каналов утечки информации.
- •Методика выявления и инвентаризации информационных ресурсов, в т.Ч. Носителей защищаемой информации.
- •Порядок оформления документов, необходимых для получения лицензий в области защиты информации, составляющей государственную тайну.
- •Методика выявления способов воздействия на информацию
- •Концепция построения систем менеджмента информационной безопасности организации.
- •Основы авторского права. Законодательство об авторском праве и смежных правах.
- •Особенности подбора персонала на должности, связанные с работой с конфиденциальной информацией.
- •Системный подход к инженерно-технической защите информации.
- •Коммерческая тайна организации и основные положения ее защиты.
- •Основные этапы проектирования системы защиты информации техническими средствами.
- •Выявление каналов доступа к информации предприятия. Соотношение между каналами и источниками воздействия на информацию.
- •Правовое регулирование отношений в области формирования, хранения, учета и использования документов.
- •Направления и методы работы с персоналом, обладающим конфиденциальной информацией.
- •Направления реализации угроз безопасности информации. Алгоритмы оценки угроз. Классификация угроз.
- •Организационное обеспечение безопасности информации в особых условиях.
- •Нормативно-методическое обеспечение функционирования комплексных систем защиты информации.
- •Порядок работы персонала с конфиденциальными документами и материалами. Допуск персонала к конфиденциальной информации.
- •Перечень сведений, подлежащих засекречиванию в организации (предприятии).
- •Модели управления доступом к конфиденциальной информации.
- •Организационное обеспечение безопасности информации в особых условиях
Концепция построения систем менеджмента информационной безопасности организации.
Создание и менеджмент СМЗИ (ISO/IEC 27001:2005(E)) 1.Для создания СМЗИ организация должна сделать следующее.
a) Определить область приложения и границы СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, также включая подробности и обоснования любых исключений из области применения. b)Определить политику в отношении СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, c) Определить подход к оценке риска в организации. d) Выявить риски. e) Проанализировать риск и оценить значительность риска. f)Выявить и оценить возможности для обработки рисков. g) Выбрать цели управления и средства управления для обработки риска. Цели управления и средства управления должны быть выбраны и реализованы, с целью удовлетворить требованиям, выявленным процессом оценки рисков и обработки рисков. Этот выбор должен учитывать критерии для принятия рисков, а также законодательные, нормативные и договорные требования. h) Получить утверждение руководства предлагаемого остаточного риска. i) Получить разрешение руководства на реализацию и работу СМЗИ. j) Подготовить Заявление о применимости. Должно быть подготовлено заявление о применимости.
2 Реализовать и эксплуатировать СМЗИ Организация должна сделать следующее. a) Сформулировать план обработки рисков, в котором были бы определены подходящие действия по менеджменту, ресурсы, ответственность и приоритеты для менеджмента рисками защиты безопасности. b) Реализовать план обработки рисков для того, чтобы достичь определенных целей управления, что включает в себя учет финансирования и распределения ролей и ответственности. c) Реализовать средства управления, с целью достичь целей управления. d) Определить, как измерять результативность выбранных средств управления или группы средств управления, а также определить, как эти измерения предстоит использовать для оценки результативности управления так, чтобы выдать сравнимые и воспроизводимые результаты. e) Осуществлять подготовку и программы повышения осведомленности. f) Осуществлять менеджмент эксплуатации СМЗИ. g) Управлять ресурсами для СМЗИ. h) Внедрить процедуры и другие средства управления, способные дать возможность быстрого обнаружения события в системе защиты информации и реакции на инциденты в системе защиты информации.
3.Постоянно контролировать и анализировать СМЗИ Организация должна сделать следующее. a)Выполнять процедуры постоянного контроля и анализа, и другие средства управления b)Предпринимать регулярный анализ результативности СМЗИ (включая соответствие политике и целям СМЗИ, а также анализ средств управления защитой), принимая во внимание результаты аудитов защиты, инциденты, результаты измерений результативности, предложения и обратную реакцию всех заинтересованных сторон. c)Измерять результативность средств управления для того, чтобы проверить, что требования защиты были удовлетворены. d)Анализировать оценки риска через запланированные интервалы и анализировать остаточные риски и определенные приемлемые уровни риска. e)Проводить внутренние аудиты СМЗИ через запланированные интервалы. f)Регулярно осуществлять анализ СМЗИ со стороны руководства, с целью гарантировать, что область применения остается адекватной, и выявляются улучшения в процессе СМЗИ. g)Обновлять планы защиты для того, чтобы учесть данные, полученные в ходе деятельности по постоянному контролю и анализу. h) Записывать действия и события, которые могли оказать негативное влияние на результативность или качество работы СМЗИ.
4 Поддерживать в рабочем состоянии и улучшать СМЗИ Организация должна регулярно делать следующее. a)Внедрять выявленные улучшения в СМЗИ. b)Осуществлять надлежащие корректирующие и предупреждающие действия. Применять уроки, полученные из опыта защиты других организаций, а также из опыта самой организации. c) Сообщать обо всех действиях и улучшениях всем заинтересованным сторонам с уровнем детальности, соответствующим обстоятельствам и, по значимости, согласовывать дальнейшие действия. d) Гарантировать, что улучшения достигают предполагаемых целей.