- •1 Вычислительные сети
- •1. Основные топологии физических связей. Полносвязная, ячеистая топологии, шина, звезда, кольцо, смешанные топологии.
- •2. Модель osi: протокол, стек протоколов, уровни (физический, канальный, сетевой, прикладной, уровень представления).
- •3. Стек протоколов tcp/ip: протоколы ip, tcp, udp, icmp.
- •2 Криптографические методы и средства обеспечения иб
- •4. Классические и новые задачи использования криптографии
- •1. Обеспечение конфиденциальности информации
- •2. Защита от навязывания ложных сообщений — имитозащита
- •3. Идентификация законных пользователей
- •4. Контроль целостности информации
- •5. Аутентификация информации
- •6. Системы тайного электронного голосования
- •7. Электронная жеребьевка
- •8. Защита документов (бумажных) и ценных бумаг от подделки
- •9. Иные задачи
- •7. Понятие электронно-цифровая подпись. Суть основных этапов реализации электронной цифровой подписи. Охарактеризовать выполнение цифровой подписи по алгоритму rsa и гост.
- •8.Охарактеризовать общую схему подписывания и проверки подписи с использованием хэш-функции. Кратко пояснить схему вычисления хэш-функции по гост р 34.11-94, по алгоритму sha.
- •9. Понятие pki. Классификация pki. Схемы реализации pki. Структура pkix.
- •1. Простая pki
- •2. Иерархическая pki
- •3. Сетевая pki
- •4. Архитектура кросс-сертифицированной корпоративной pki
- •5. Архитектура мостового уц
- •10. Законодательство рф в области криптографической защиты информации. (_коданев_а_)
- •3 Моделирование процессов и систем защиты информации
- •11. Модель Харрисона-Руззо-Ульмана. Анализ безопасности систем Харрисона-Руззо-Ульмана.
- •13. Модели мандатного доступа. Модель Белла и Лападула. Проблемы модели Белла и Лападула.
- •14. Модель Биба.
- •15. Вероятностная модель безопасности информационных потоков.
- •4 Инженерно-техническая защита информации
- •5 Технические средства защиты информации
- •6 Технические средства охраны
- •27. Системы контроля и управления доступом. Назначение и виды систем контроля и управления доступом. Системы телевизионного наблюдения. Видеокамеры и видеосервера.
- •Средства механической защиты
- •Средства технической охраны
- •7 Защита и обработка конфиденциальных документов
- •30. Сущность, особенности и основные определения конфиденциального делопроизводства. Виды тайн. Формы уязвимости информации. Задачи конфиденциальной информации.
- •8 Организационное обеспечение информационной безопасности
- •36. Аналитические исследования в системе мер по предупреждению утечки (секретной) конфиденциальной информации
- •37. Организация защиты информации при приеме в организации посетителей, командированных лиц и иностранных представителей.
- •38. Организационные мероприятия по допуску к секретной (конфиденциальной) информации
- •40. Организация и планирование контроля функционирования системы защиты информации.
- •41. Организационные мероприятия по доступу к конфиденциальной информации.
- •42. Организация защиты секретной (конфиденциальной) информации, обрабатываемой с использованием средств вычислительной техники.
- •43. Организация охраны территории, зданий, помещений и персонала.
- •9 Правовое обеспечение информационной безопасности
- •44. Формирование информационных ресурсов и их классификация.
- •45. Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •46. Правовые формы защиты интеллектуальной собственности.
- •Глава 69. Общие положения
- •Глава 75. Право на секрет производства (ноу-хау)
- •47. Система правовой ответственности за разглашение, утечку информации
- •Глава 28. Преступления в сфере компьютерной информации
- •48. Правовая защита от компьютерных преступлений
- •10 Организация и управление службой защиты информации на предприятии
- •54. Оргпроектирование деятельности сзи на предприятии (понятие, сущность и назначение). Методы оргпроектирования
- •55. Взаимосвязь элементов объекта и субъекта управления при планировании и проектировании работы сзи
- •56. Роль внутренней и внешней среды в управлении сзи (определение, характеристики). Их влияние на политику безопасности предприятия. Основные свойства управления сзи на предприятии.
- •11 Праграммно-аппаратная защита информации
- •1. Классические вирусы
- •1.1. Компилируемые вирусы
- •1.2. Интерпретируемые вирусы
- •1.2.1. Макровирусы
- •1.2.2. Скриптовые вирусы
- •2. Сетевые черви (worms)
- •3. Троянские кони (трояны)
- •4. Вредоносный мобильный код
- •5. Вредоносное по, реализующее смешанные способы атаки — Blended («смешанные») Attacks
- •6. Tracking cookies («следящие» куки)
- •7. Прочее вредоносное по
- •7.1. Бэкдуры (Backdoor)
- •12 Защита информационных процессов в компьютерных системах
- •63. Международные стандарты информационной безопасности. «Оранжевая книга». Европейские стандарты. Канадские стандарты. Общие критерии.
8 Организационное обеспечение информационной безопасности
36. Аналитические исследования в системе мер по предупреждению утечки (секретной) конфиденциальной информации
Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:
1) «Комплексный анализ информационных систем компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков».
2) «Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании»,
3) «Организационно-технологический анализ ИС компании»;
4) «Экспертиза решений и проектов».
5) «Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации».
6) «Работы, поддерживающие практическую реализацию плана защиты».
7) «Повышение квалификации и переподготовка специалистов».
Кратко рассмотрим каждое из них.
Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов Гостехкомиссии при Президенте РФ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы» проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.
Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными и относиться к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании).
Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности и положение о коммерческой тайне должны соответствовать действующему законодательству, а именно требованиям Конституции РФ, ст.ст. 128 и 139 Гражданского кодекса РФ, Федерального закона «Об информации, информационных технологиях и о защите информации», других нормативных актов.
Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем - требованиям по безопасности экспертно-документальным методом.
Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:
- анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;
- поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.
Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:
- разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;
- подготовка компании к аттестации (к аттестации объектов информатизации заказчика на соответствие требованиям руководящих документов Гостехкомиссии при Президенте РФ а также на соответствие требованиям безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности компании);
- разработка расширенного перечня сведений ограниченного распространения как части политики безопасности;
- разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне;
- поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях.
Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности. Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.
Проведение аудита состояния информационной безопасности корпоративной информационной системы (КИС) заказчика осуществляется в три этапа:
- проведение комплексного обследования КИС;
- проведение анализа рисков;
- разработка рекомендаций по совершенствованию системы защиты КИС и плана внедрения рекомендаций.
Анализ состояния защиты информации — это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами ЗИ, в том числе данных о состоянии работы по выявлению возможных КУИ, о причинах и обстоятельствах, способствующих утечке и нарушениям режима секретности (конф-ти) в ходе повседневной деятельности предприятия.
Основное предназначение аналит работы — выработка эффективных мер, предложений и рекомендаций руководству предприятия, направленных на недопущение утечки КИ о деятельности предприятия и проводимых работах. Аналитическая работа должна включать элементы прогнозирования возможных действий противника по получению важной защищаемой информации.
Основные направления аналитической работы на предприятии:
анализ объекта защиты;
анализ внутренних и внешних угроз ИБ предприятия;
анализ возможных каналов НСДИ;
анализ системы комплексной безопасности объектов;
анализ имеющих место нарушений режима КИ;
анализ предпосылок к разглашению информации, а также к утрате носителей КИ.
Функции анализа на предприятии возлагаются на специально создаваемое в его структуре аналитическое подразделение (АП), которое комплектуется квалифицированными специалистами в области ЗИ. Вместе с тем, данные специалисты должны в полной мере владеть информацией по всем направлениям деятельности предприятия: знать виды, характер и последовательность выполнения производственных работ, взаимодействующие организации, специфику деятельности структурных подразделений предприятия и т.д. Как правило, АП включается в состав службы безопасности предприятия.
Основные функции АП:
обесп-е своевременного поступления достоверных и всесторонних сведений по проблемам ЗИ;
учет, обобщение и постоянный анализ материалов о состоянии дел в системе ЗИ предприятия (его филиалов и представительств);
анализ возможных угроз ЗИ, моделирование реального сценария возможных действий конкурентов (злоумышленников), затрагивающих интересы предприятия;
обеспечение эффективности работы по анализу имеющейся информации, исключение дублирования при ее сборе, обработке и распространении;
подготовка выводов и предложений, направленных на повышение эффективности планируемых и принимаемых мер по ЗИ, а также уточнение (корректировку) организационно-планирующих документов предприятия и его структурных подразделений;
выработка рекомендаций по внесению изменений и дополнений в методические документы, регламентирующие алгоритм действий сотрудников предприятия по ЗИ (стандарты предприятия).
С учетом результатов аналитической работы могут вырабатываться след основные меры:
уточнение (доработка) планов работы предприятия по ЗИ, включение в них доп мероприятий;
уточнение распределения задач и функций между структ подразделениями предприятия;
переработка (уточнение) должностных (функциональных) обязанностей сотрудников предприятия, в том числе руководящего звена, совершенствование систем пропускного и внутри-объектового режимов;
ограничение круга лиц, допускаемых к КИ по различным направлениям деятельности предприятия;
пересмотр степени конф-ти сведений и их носителей;
усиление системы охраны предприятия и его объектов, применение особых мер ЗИ на отдельных объектах (в служебных помещениях);
принятие решений об ограничении публикации в открытой печати, использования в рекламной и издательской деятельности отдельных материалов (материалов по отдельным темам), доступа командированных лиц, об исключении рассмотрения этих материалов на конференциях, семинарах, встречах и т.д.
Ведение эффективной аналитической работы возможно лишь при наличии необходимой информации. Для ее получения нужна четко сформулированная цель, определяющая конкретные источники инф-ии. Аналитическая работа на предприятии должна вестись последовательно и непрерывно, представлять собой в полной мере целостное исследование.
Основные этапы аналитической работы:
формулирование целей аналитической работы, разработка программы исследований, формулирование предварительных гипотез (результатов аналитической работы);
отбор и анализ источников информации, сбор и обобщение информации;
полноценный анализ имеющейся информации и подготовка выводов.
Основная форма ведения аналитической работы — аналитические исследования. Итогом исследования должны быть выводы, предложения и рекомендации по совершенствованию системы ЗИ.
Содержание и основные виды аналитических отчетов
Основной формой представления результатов аналитических исследований является аналитический отчет. Отчеты могут оформляться в пис виде, также они мб представлены в устной форме, сопровождаться графиками, диаграммами, рисунками, таблицами, поясняющими или отражающими результаты проведенной работы.
Основные разделы аналитического отчета:
цели и задачи аналит исследования;
ИИ, степень достоверности полученной;
обобщение полученной информации;
основные и альтернативные версии или гипотезы;
недостающая информация (доп информация, необходимая для подтверждения осн версии, ее источники и способы ее получения);
заключение, выводы;
предложения и рек-ции по совершенствованию работы в области ЗИ.
В зависимости от предназначения используются след осн виды аналит отчетов:
Оперативные (тактические) отчеты отражают результаты аналит исследований, проводимых для подготовки и принятия какого-либо оперативного (экстренного) решения по вопросу кратковременного (срочного) характера.
Перспективные (стратегические) отчеты содержат информацию, более полную по содержанию.
Периодические отчеты предназначены для анализа состояния системы ЗИ (отдельных направлений ЗИ) в соответствии с разработанным и утвержденным руководством предприятия графиком.