- •1 Вычислительные сети
- •1. Основные топологии физических связей. Полносвязная, ячеистая топологии, шина, звезда, кольцо, смешанные топологии.
- •2. Модель osi: протокол, стек протоколов, уровни (физический, канальный, сетевой, прикладной, уровень представления).
- •3. Стек протоколов tcp/ip: протоколы ip, tcp, udp, icmp.
- •2 Криптографические методы и средства обеспечения иб
- •4. Классические и новые задачи использования криптографии
- •1. Обеспечение конфиденциальности информации
- •2. Защита от навязывания ложных сообщений — имитозащита
- •3. Идентификация законных пользователей
- •4. Контроль целостности информации
- •5. Аутентификация информации
- •6. Системы тайного электронного голосования
- •7. Электронная жеребьевка
- •8. Защита документов (бумажных) и ценных бумаг от подделки
- •9. Иные задачи
- •7. Понятие электронно-цифровая подпись. Суть основных этапов реализации электронной цифровой подписи. Охарактеризовать выполнение цифровой подписи по алгоритму rsa и гост.
- •8.Охарактеризовать общую схему подписывания и проверки подписи с использованием хэш-функции. Кратко пояснить схему вычисления хэш-функции по гост р 34.11-94, по алгоритму sha.
- •9. Понятие pki. Классификация pki. Схемы реализации pki. Структура pkix.
- •1. Простая pki
- •2. Иерархическая pki
- •3. Сетевая pki
- •4. Архитектура кросс-сертифицированной корпоративной pki
- •5. Архитектура мостового уц
- •10. Законодательство рф в области криптографической защиты информации. (_коданев_а_)
- •3 Моделирование процессов и систем защиты информации
- •11. Модель Харрисона-Руззо-Ульмана. Анализ безопасности систем Харрисона-Руззо-Ульмана.
- •13. Модели мандатного доступа. Модель Белла и Лападула. Проблемы модели Белла и Лападула.
- •14. Модель Биба.
- •15. Вероятностная модель безопасности информационных потоков.
- •4 Инженерно-техническая защита информации
- •5 Технические средства защиты информации
- •6 Технические средства охраны
- •27. Системы контроля и управления доступом. Назначение и виды систем контроля и управления доступом. Системы телевизионного наблюдения. Видеокамеры и видеосервера.
- •Средства механической защиты
- •Средства технической охраны
- •7 Защита и обработка конфиденциальных документов
- •30. Сущность, особенности и основные определения конфиденциального делопроизводства. Виды тайн. Формы уязвимости информации. Задачи конфиденциальной информации.
- •8 Организационное обеспечение информационной безопасности
- •36. Аналитические исследования в системе мер по предупреждению утечки (секретной) конфиденциальной информации
- •37. Организация защиты информации при приеме в организации посетителей, командированных лиц и иностранных представителей.
- •38. Организационные мероприятия по допуску к секретной (конфиденциальной) информации
- •40. Организация и планирование контроля функционирования системы защиты информации.
- •41. Организационные мероприятия по доступу к конфиденциальной информации.
- •42. Организация защиты секретной (конфиденциальной) информации, обрабатываемой с использованием средств вычислительной техники.
- •43. Организация охраны территории, зданий, помещений и персонала.
- •9 Правовое обеспечение информационной безопасности
- •44. Формирование информационных ресурсов и их классификация.
- •45. Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •46. Правовые формы защиты интеллектуальной собственности.
- •Глава 69. Общие положения
- •Глава 75. Право на секрет производства (ноу-хау)
- •47. Система правовой ответственности за разглашение, утечку информации
- •Глава 28. Преступления в сфере компьютерной информации
- •48. Правовая защита от компьютерных преступлений
- •10 Организация и управление службой защиты информации на предприятии
- •54. Оргпроектирование деятельности сзи на предприятии (понятие, сущность и назначение). Методы оргпроектирования
- •55. Взаимосвязь элементов объекта и субъекта управления при планировании и проектировании работы сзи
- •56. Роль внутренней и внешней среды в управлении сзи (определение, характеристики). Их влияние на политику безопасности предприятия. Основные свойства управления сзи на предприятии.
- •11 Праграммно-аппаратная защита информации
- •1. Классические вирусы
- •1.1. Компилируемые вирусы
- •1.2. Интерпретируемые вирусы
- •1.2.1. Макровирусы
- •1.2.2. Скриптовые вирусы
- •2. Сетевые черви (worms)
- •3. Троянские кони (трояны)
- •4. Вредоносный мобильный код
- •5. Вредоносное по, реализующее смешанные способы атаки — Blended («смешанные») Attacks
- •6. Tracking cookies («следящие» куки)
- •7. Прочее вредоносное по
- •7.1. Бэкдуры (Backdoor)
- •12 Защита информационных процессов в компьютерных системах
- •63. Международные стандарты информационной безопасности. «Оранжевая книга». Европейские стандарты. Канадские стандарты. Общие критерии.
41. Организационные мероприятия по доступу к конфиденциальной информации.
Определения
Конфиденциальная информация (КИ) — информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну [свое определение, т.к. другого нет].
Доступ к КИ — санкционированное полномочным должностным лицом ознакомление персонала предприятия и иных лиц с конфиденциальной информацией и ее носителями [на основе опр. «доступа к ГТ»].
Допуск к КИ (для сравнения) — процедура оформления права лиц на доступ к КИ [на основе опр. «допуска к ГТ»].
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [149-ФЗ].
Ограничение доступа вообще
Статья 5 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
В соответствии со статьей 6 149-ФЗ вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами.
Ограничение доступа к КТ
Обязанность обладателя по защите инф., сост. КТ, установлена ФЗ от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне» — в соотв. со статьей 10 он обязан (в том числе):
определить перечень информации сост. КТ;
установить и поддерживать порядок обращения с инф., сост. КТ (ограничить доступ) — путем введения разрешительной системы доступа;
вести учет лиц, получивших доступ к инф., сост. КТ, и лиц, которым она была предоставлена/передана.
Меры по охране конфиденциальности инф. признаются разумно достаточными, если (та же статья):
исключается доступ к информации, сост. КТ, любых лиц без согласия ее обладателя;
обеспечивается возможность использования информации, сост. КТ, работниками и передачи ее контрагентам без нарушения режима КТ.
Определения по КТ (из 98-ФЗ)
Доступ к информации, составляющей КТ — ознакомление определенных лиц с информацией, составляющей КТ, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации
Разрешительная система доступа
Разрешительная система доступа (РСД) к КИ = запрещаем доступ всем, а потом разрешаем избранным.
Цель введения РСД — исключение нанесения ущерба организации посредством несанкционированного распространения КИ.
РСД предусматривает установление в организации единого порядка обращения с носителями КИ, определение ограничений на доступ к ним различных категорий персонала (управленческого, административного и исполнительского уровней) и степени ответственности за сохранность указанных носителей сведений.
РСД должна формироваться так, что должны обеспечиваться:
конфиденциальность информации (защита от утечки, НСД);
работоспособность технологических процессов в организации.
Действующие лица
Верхушка системы — руководитель организации и его заместители.
Однако наиболее важная роль в этой структуре отводится руководителям структурных подразделений предприятия, сотрудники которых непосредственно допускаются к коммерческой тайне (работают с носителями сведений, составляющих коммерческую тайну). Эти руководители наделяются правом определять степень доступа непосредственно подчиненных им сотрудников к конкретным сведениям (носителям). В зависимости от категорий сотрудников предприятия или командированных лиц, необходимости ознакомления их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.
Основные условия правомерного доступа персонала к КТ
подписанные работником обязательства о неразглашении инф., составляющей КТ, а также трудового договора, который может содержать эти обязательства;
наличие у работника оформленного в установленном порядке допуска к инф, сост. КТ;
наличие утвержденных руководителем предприятия должностных обязанностей работника;
оформление разрешения руководителя на ознакомление работника с конкретной информацией, составляющей КТ, и ее носителями.
Доступ к КИ в соответствии с РСД
Право сотрудника на доступ к КИ и работу с ее носителями регулируется разрешением полномочных должностных лиц, оформленным в письменном виде.
Способы документального оформления разрешений:
Составление именных или должностных списков сотрудников с указанием категорий сведений, к которым они допускаются.
Оформление разрешения непосредственно на документе в виде резолюции, адресованной конкретному лицу.
Указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников, которые при решении конкретных производственных задач должны быть допущены к КИ.
Положение об РСД
Разработка Положения о разрешительной системе доступа (может называться по другому) осуществляется специально созданной комиссией предприятия, которая состоит из представителей его структурных подразделений.
Основные разделы Положения:
1. Общие требования по доступу сотрудников к КИ.
2. Порядок доступа к носителям информации, имеющим различные категории конфиденциальности.
3. Порядок доступа к делам и документам архивного хранения.
4. Порядок копирования, размножения документов и рассылки их нескольким адресатам.
5. Порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов.
6. Порядок доступа к информации, ее носителям в ходе проведения совещаний, конференций и других мероприятий.
Положение утверждается руководителем организации; доводится до сведения непосредственных исполнителей, указанных в нем мероприятий, а также до сведения каждого сотрудника предприятия в части его касающейся.
В вопросах разработки Положения особая роль отводится службе ЗИ, в задачи которой входит:
проведение мероприятий, направленных на организацию круга лиц к конкретной информации, ее носителям;
выявление фактов неправомерного доступа лиц к КТ;
оценка эффективности принимаемых руководителем структурных подразделений мер по исключению утечки информации.
подготовка предложений о внесении изменений в должностные инструкции и иные документы;
разработка и представление на утверждение руководителю проектов внутренних организационно-распорядительных документов по вопросам защиты КТ;
методическое руководство деятельностью должностных лиц и структурных подразделений по реализации Положения о разрешительной системе доступа к коммерческой тайне.
Наиболее важная функция службы ЗИ заключается в осуществлении контроля за соблюдением сотрудниками предприятия Положений организационно-плановых и распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа.
Служба безопасности контролирует:
соответствие выданного руководителем структурного подразделения разрешения на доступ требованиям РСД;
правомерность передачи носителей сведений, содержащих КТ;
соблюдение работниками установленных требований по работе с носителями сведений, составляющих КТ, на рабочих местах;
правомочность и целесообразность использования материалов, содержащих сведения КТ в различных конференциях, совещаниях и проводимых мероприятиях, связанных с привлечением других организаций.
Учет лиц, получивших доступ к КИ, или лиц, которым КИ была предоставлена или передана
Учет ведется уполномоченным лицом (например, из подразделения конф. делопроизводства).
Учет доступа к документам или их носителям может вестись:
в журнальной форме (если кол-во документов небольшое);
в карточной форме.
Учет доступа к файлам, записям баз данных может вестись средствами СЗИ или прикладного ПО.
Иные сведения конфиденциального характера
Про иные СКХ в законодательстве написано крайне скупо. Кроме, возможно, служебной тайны.
Для нее существует: Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (утв. Постановлением Правительства РФ от 03.11.1994 г. № 1233 «Об утверждении положения…»).
На основе данного положения вышестоящие органы исполнительной власти (например ФМС России для Управления ФМС России по Респ. Коми) «спускают» свои инструкции и «примерные перечни сведений, относимых к служебной информации огр. распр.». Но там все тоже очень кратко и примерно как по КТ (руководитель разрешает, может делегировать полномочия, несет ответственность и т.п.).