- •1 Вычислительные сети
- •1. Основные топологии физических связей. Полносвязная, ячеистая топологии, шина, звезда, кольцо, смешанные топологии.
- •2. Модель osi: протокол, стек протоколов, уровни (физический, канальный, сетевой, прикладной, уровень представления).
- •3. Стек протоколов tcp/ip: протоколы ip, tcp, udp, icmp.
- •2 Криптографические методы и средства обеспечения иб
- •4. Классические и новые задачи использования криптографии
- •1. Обеспечение конфиденциальности информации
- •2. Защита от навязывания ложных сообщений — имитозащита
- •3. Идентификация законных пользователей
- •4. Контроль целостности информации
- •5. Аутентификация информации
- •6. Системы тайного электронного голосования
- •7. Электронная жеребьевка
- •8. Защита документов (бумажных) и ценных бумаг от подделки
- •9. Иные задачи
- •7. Понятие электронно-цифровая подпись. Суть основных этапов реализации электронной цифровой подписи. Охарактеризовать выполнение цифровой подписи по алгоритму rsa и гост.
- •8.Охарактеризовать общую схему подписывания и проверки подписи с использованием хэш-функции. Кратко пояснить схему вычисления хэш-функции по гост р 34.11-94, по алгоритму sha.
- •9. Понятие pki. Классификация pki. Схемы реализации pki. Структура pkix.
- •1. Простая pki
- •2. Иерархическая pki
- •3. Сетевая pki
- •4. Архитектура кросс-сертифицированной корпоративной pki
- •5. Архитектура мостового уц
- •10. Законодательство рф в области криптографической защиты информации. (_коданев_а_)
- •3 Моделирование процессов и систем защиты информации
- •11. Модель Харрисона-Руззо-Ульмана. Анализ безопасности систем Харрисона-Руззо-Ульмана.
- •13. Модели мандатного доступа. Модель Белла и Лападула. Проблемы модели Белла и Лападула.
- •14. Модель Биба.
- •15. Вероятностная модель безопасности информационных потоков.
- •4 Инженерно-техническая защита информации
- •5 Технические средства защиты информации
- •6 Технические средства охраны
- •27. Системы контроля и управления доступом. Назначение и виды систем контроля и управления доступом. Системы телевизионного наблюдения. Видеокамеры и видеосервера.
- •Средства механической защиты
- •Средства технической охраны
- •7 Защита и обработка конфиденциальных документов
- •30. Сущность, особенности и основные определения конфиденциального делопроизводства. Виды тайн. Формы уязвимости информации. Задачи конфиденциальной информации.
- •8 Организационное обеспечение информационной безопасности
- •36. Аналитические исследования в системе мер по предупреждению утечки (секретной) конфиденциальной информации
- •37. Организация защиты информации при приеме в организации посетителей, командированных лиц и иностранных представителей.
- •38. Организационные мероприятия по допуску к секретной (конфиденциальной) информации
- •40. Организация и планирование контроля функционирования системы защиты информации.
- •41. Организационные мероприятия по доступу к конфиденциальной информации.
- •42. Организация защиты секретной (конфиденциальной) информации, обрабатываемой с использованием средств вычислительной техники.
- •43. Организация охраны территории, зданий, помещений и персонала.
- •9 Правовое обеспечение информационной безопасности
- •44. Формирование информационных ресурсов и их классификация.
- •45. Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •46. Правовые формы защиты интеллектуальной собственности.
- •Глава 69. Общие положения
- •Глава 75. Право на секрет производства (ноу-хау)
- •47. Система правовой ответственности за разглашение, утечку информации
- •Глава 28. Преступления в сфере компьютерной информации
- •48. Правовая защита от компьютерных преступлений
- •10 Организация и управление службой защиты информации на предприятии
- •54. Оргпроектирование деятельности сзи на предприятии (понятие, сущность и назначение). Методы оргпроектирования
- •55. Взаимосвязь элементов объекта и субъекта управления при планировании и проектировании работы сзи
- •56. Роль внутренней и внешней среды в управлении сзи (определение, характеристики). Их влияние на политику безопасности предприятия. Основные свойства управления сзи на предприятии.
- •11 Праграммно-аппаратная защита информации
- •1. Классические вирусы
- •1.1. Компилируемые вирусы
- •1.2. Интерпретируемые вирусы
- •1.2.1. Макровирусы
- •1.2.2. Скриптовые вирусы
- •2. Сетевые черви (worms)
- •3. Троянские кони (трояны)
- •4. Вредоносный мобильный код
- •5. Вредоносное по, реализующее смешанные способы атаки — Blended («смешанные») Attacks
- •6. Tracking cookies («следящие» куки)
- •7. Прочее вредоносное по
- •7.1. Бэкдуры (Backdoor)
- •12 Защита информационных процессов в компьютерных системах
- •63. Международные стандарты информационной безопасности. «Оранжевая книга». Европейские стандарты. Канадские стандарты. Общие критерии.
38. Организационные мероприятия по допуску к секретной (конфиденциальной) информации
ДОПУСК К ГТ -процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений
(Ст.2 Закона "О ГТ")
под доступом к секретным сведениями, составляющим государственную тайну, понимается санкционированное полномочным должностным лицом ознакомление конкретного лица со ссГТ
ДОПУСК должностных лиц и граждан Российской Федерации к ГТ осуществляется в добровольном порядке (Ст.21 Закона "О ГТ" Инструкция "О порядке допуска...")
ДОПУСК ПРЕДУСМАТРИВАЕТ
принятие обязательств о нераспространении ГТ
согласие на частичные, временные ограничения прав
письменное согласие на проверочные мероприятия
определение льгот
ознакомление с нормами законодательства по защите ГТ
принятие руководителем решения о допуске оформляемого лица
(Ст.21 Закона " О ГТ")
РУКОВОДИТЕЛИ НЕСУТ ПЕРСОНАЛЬНУЮ ОТВЕТСТВЕННОСТЬ за подбор лиц, допускаемых к ссГТ (ч.1 п.З Инструкции "О допуске...")
ОСНОВАНИЯМИ ДЛЯ ОТКАЗА ГРАЖДАНИНУ В ДОПУСКЕ МОГУТ ЯВЛЯТЬСЯ
признание судом недееспособным, ограниченно дееспособным, особо опасным рецидивистом
нахождение под судом или следствием за государственные и иные тяжкие преступления
наличие неснятой судимости
наличие медицинских противопоказаний, согласно утвержденному перечню Минздрава
постоянное проживание допускаемого или его родственников за границей
оформление допускаемым (близкими родственниками) документов для выезда на постоянное жительство в другие государства
выявление в результате проверки действий оформляемого лица, создающих угрозу безопасности Российской Федерации
уклонение от проверочных мероприятий
сообщение заведомо ложных анкетных данных
РЕШЕНИЕ ОБ ОТКАЗЕ В ДОПУСКЕ принимается руководителем предприятия в индивидуальном порядке с учетом проверочных мероприятий
ГРАЖДАНИН ИМЕЕТ ПРАВО обжаловать решение об отказе в допуске в вышестоящей организации или судебном порядке (т.22 Закона "О ГТ")
РЕШЕНИЕМ РУКОВОДИТЕЛЯ допуск может быть прекращен при
расторжении трудового договора в ходе оргштатных мероприятий
однократном нарушении сотрудником обязательств по сохранению государственной тайны
возникновении обстоятельств, являющихся основанием для отказа в допуске
(т.23 Закона "О ГТ")
ГРАЖДАНЕ, допущенные или допускавшиеся к ГТ, ограничиваются временно в своих правах
выезд за границу
распространение сведений
неприкосновенность частной жизни
ПРЕКРАЩЕНИЕ ДОПУСКА не освобождает гражданина от обязательств по неразглашению государственной тайны (т.23 Закона "О ГТ")
В целях четкой организации работы по доступу к сведениям, составляющим государственную тайну, а также контроля за его обоснованностью и правомерностью, на предприятии разрабатывается разрешительная система доступа, представляющая собой совокупность организационно-правовых норм и правил, обеспечивающих правомерный и оптимальный доступ исполнителей и командированных лиц к особой важности, совершенно секретным и секретным документам, сведениям и специзделиям в процессе научной, производственной и хозяйственной деятельности. разрешительной системы является Перечень должностных лиц предприятия, имеющих право давать разрешения на доступ к секретным сведениям и их носителям.
В саму разрешит. сист. Входит порядок доступа тех или иных лиц к тем или иным секретным (СС, ОВ) док-ам, изделиям и т.п.
Под допуском к конфиденциальной информации понимается выполнение обладателем информации или других уполномоченных должностных лиц определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации.
Доступ граждан к информации, содержащей сведения, отнесенные к коммерческой тайне, осуществляется в соответствии с ФЗ «о Коммерческой тайне».
В целях сохранения конфиденциальности информации ее обладатель устанавливает режим коммерческой тайны. К обязательным мерам по защите охраняемой информации относятся:
ограничение доступа к информации, составляющей коммерческую тайну, путем установки порядка обращения с этой информацией и контроля за соблюдением такого порядка.
Учет лиц, получивших доступ к информации, составляющих коммерческую тайну, и лиц, которым такая информация была предоставлена или передана.
Основными условиями правомерного доступа персонала к коммерческой тайне являются:
подписанные работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который может содержать эти обязательства.
наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну.
наличие утвержденных руководителем предприятия должностных обязанностей работника.
оформление разрешения руководителя на ознакомление работника с конкретной информацией, составляющей коммерческую тайну, и ее носителями.
Основная цель разрешительной системы доступа персонала – исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну.
Право сотрудника на доступ к коммерческой тайне и работу с ее носителями регулируется разрешением полномочных должностных лиц, оформленным в письменном виде.
Способы документального оформления разрешений:
составление именных или должностных списков сотрудников с указанием категорий сведений, к которым они допускаются.
оформление разрешения непосредственно на документе в виде резолюции, адресованной конкретному лицу.
указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников, которые при решении конкретных производственных задач должны быть допущены к информации, составляющей коммерческую тайну.
Разработка Положения о разрешительной системе доступа осуществляется специально созданной комиссией предприятия, которая состоит из представителей его структурных подразделений.
Основные разделы Положения:
общие требования по доступу работников к коммерческой тайне.
порядок доступа к носителям информации, имеющим различные категории конфиденциальности.
порядок доступа к делам и документам архивного хранения.
порядок копирования, размножения документов и рассылки их нескольким адресатам.
порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов.
порядок доступа к информации, ее носителям в ходе проведения совещаний, конференций и других мероприятий.
Положение утверждается руководителем организации и доводится до сведения непосредственных исполнителей, указанных в нем мероприятий, а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника.
В вопросах разработки Положения особая роль отводится службе безопасности, в задачи которой входит:
проведение мероприятий, направленных на организацию круга лиц к конкретной информации, ее носителям.
Выявление фактов неправомерного доступа лиц к коммерческой тайне.
оценка эффективности принимаемых руководителем структурных подразделений мер по исключению утечки информации.
подготовка предложений о внесении изменений в должностные инструкции и иные документы.
разработка и представление на утверждение руководителю проектов внутренних организационно-распорядительных документов по вопросам защиты коммерческой тайны.
методическое руководство деятельностью должностных лиц и структурных подразделений по реализации Положения о разрешительной системе доступа к коммерческой тайне.
Наиболее важная функция службы безопасности заключается в осуществлении контроля за соблюдением сотрудниками предприятия Положений организационно-плановых и распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа.
Служба безопасности контролирует:
соответствие выданного руководителем структурного подразделения разрешения на доступ требованиям разрешительной системы.
правомерность передачи носителей сведений, содержащих коммерческую тайну.
соблюдение работниками установленных требований по работе с носителями сведений, составляющих коммерческую тайну, на рабочих местах.
правомочность и целесообразность использования материалов, содержащих сведения коммерческой тайны в различных конференциях, совещаниях и проводимых мероприятиях, связанных с привлечением других организаций.
39. Лицензирование отдельных видов деятельности в различных областях защиты информации (государственная тайна, разработка, производство, реализация и приобретение СТС, криптографическая защита информации, разработка и (или) производство средств защиты конфиденциальной информации и т.д.).
Имеет смысл распечатать себе документы по этому направлению:
1. 128-ФЗ
2. ПП №957
3. ПП №333
4. ПП №504
5. ПП №532
6. Приказ ФСБ №66 (ПКЗ-2005)
7. Положение утвержденное гостехкомиссией и ФАПСИ №10/60 – х3, действует оно или отменено уже… не нашел ничего. (содержит перечни)
Лицензирование отдельных видов деятельности в различных областях защиты информации регламентируют:
Федеральный закон Российской Федерации от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности",
постановление правительства российской федерации от 15 апреля 1995 г. n 333 «о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»,
Постановление Правительства Российской Федерации № 45 «Об организации лицензирования отдельных видов деятельности» ,перечень федеральных органов исполнительной власти, осуществляющих лицензирование,
Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»,
Постановление Правительства Российской Федерации от 12 февраля 2003 г. № 95 « Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя»,
постановление правительство российской федерации от 29 декабря 2007 г. n 957 «об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»
// некоторые из указанных выше могут быть отменены другими постановлениями, перечисленными вначале.
Кто осуществляет лицензирование:
ФСТЭК России. Деятельность по технической защите конфиденциальной информации ФСТЭК России, ФСБ России. Деятельность по разработке и (или) производству средств защиты конфиденциальной информации ФСБ России.Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).Деятельность по распространению шифровальных (криптографических) средств. Деятельность по техническому обслуживанию шифровальных (криптографических) средств. Предоставление услуг в области шифрования информации .Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
1) лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования;
2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа;
3) лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом, в соответствии с федеральными законами, указанными в части 3 статьи 1 настоящего Федерального закона и регулирующими отношения в соответствующих сферах деятельности;
4) лицензирующие органы - уполномоченные федеральные органы исполнительной власти или их территориальные органы и в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование;
5) соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии;
6) лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию;
7) лицензионные требования - совокупность требований, которые установлены положениями о лицензировании конкретных видов деятельности, основаны на соответствующих требованиях законодательства Российской Федерации и направлены на обеспечение достижения целей лицензирования;
Лицензирующим органом предъявляются требования к лицензиату(общими являются примерно схожими, пунк 4тый во всех положениях):
выполнение нормативных правовых актов, относящихся к лицензируемой деятельности, нормативно-методических документов, регламентирующих осуществление лицензируемой деятельности;
создание и соблюдение условий, предотвращающих несанкционированный доступ к нормативным и методическим документам, регламентирующим осуществление лицензируемой деятельности, а также техническим средствам, используемым для ее осуществления;
наличие у руководителя соискателя лицензии (лицензиата) и (или) уполномоченного им лица документа о высшем профессиональном образовании в области технической защиты информации либо документов о высшем или среднем профессиональном (техническом) образовании и о переподготовке или повышении квалификации по вопросам технической защиты информации, а также производственного стажа в области лицензируемой деятельности не менее 5 лет;
наличие у инженерно-технического персонала, осуществляющего работы в области лицензируемой деятельности, документа о высшем образовании или профессиональной подготовке со специализацией, соответствующей выполняемым работам.
Для получения лицензии соискатель лицензии представляет по установленной форме в лицензирующий орган заявление о предоставлении лицензии, которое подписывается руководителем постоянно действующего исполнительного органа юридического лица или иным имеющим право действовать от имени этого юридического лица лицом либо индивидуальным предпринимателем и в котором указываются:
1) полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, адрес его места нахождения, адреса мест осуществления лицензируемого вида деятельности, который намерен осуществлять соискатель лицензии, государственный регистрационный номер записи о создании юридического лица, данные документа, подтверждающего факт внесения сведений о юридическом лице в единый государственный реестр юридических лиц, с указанием адреса места нахождения органа, осуществившего государственную регистрацию, а также номера телефона и (в случае, если имеется) адреса электронной почты юридического лица;