- •1. Формування національної системи захисту інформації в період відродження української національної державності (1917-1921 рр.)
- •3. Радянська система захисту інформації в роки Другої світової війни (1939-1945 рр.)
- •4. Розвиток радянської системи захисту інформації в повоєнний період 1945-1960 рр.
- •5.Система захисту інформації в срср в 1960-1990 рр.
- •6. Формування національної системи захисту інформації в 1991-2010 рр.
- •7. Стан та перспективи розвитку системи захисту інформації в Україні на сучасному етапі.
- •8. Поняття, види та джерела інформації як предмета правовідносин
- •10.Поняття, напрями та види інформаційної діяльності
- •11. Зміст права на інформацію та засоби його гарантування
- •12. Поняття публічної інформації та порядок доступу громадян до неї.
- •13. Підстави у відмові на надання публічної інформації на запит і порядок оскарження такої відмови.
- •14. Порядок оприлюднення рішень органів державної влади
- •15. Порядок висвітлення в засобах масової інформації діяльності органів державної влади та органів місцевого самоврядування
- •16. Поняття та зміст державної статистичної діяльності
- •17. Структура та загальний правовий статус органів державної статистики.
- •18. Поняття та зміст видавничої справи, класифікація видань за законодавством України
- •19. Види та правовий статус суб'єктів видавничої справи та порядок їх державної реєстрації
- •20. Система архівних установ в Україні та їх правовий статус
- •21. Порядок зберігання та користування архівними документами
- •22. Поняття преси в Україні, зміст обмежень на діяльність преси
- •23. Процедура реєстрації друкованих засобів масової інформації в Україні
- •24. Правовий статус суб’єктів інформаційної діяльності преси в Україні
- •25. Правовий статус журналіста як суб’єкта інформаційної діяльності засобів масової інформації в Україні
- •26. Поняття, види та правовий статус телерадіоорганізацій
- •27.Порядок ліцензування теле - та радіомовлення в Україні
- •28. Правові наслідки поширення телерадіоорганізацією неправдивої інформації
- •29. Види реклами та вимоги до окремих видів реклами в Україні
- •30. Поняття та види інформації з обмеженим доступом, підстави обмеження доступу до інформації
- •31. Види таємної інформації, їх особливості та відмінності між ними
- •32. Конфіденційна та службова інформація як види ІзОд
- •33. Поняття та характеристика державної таємниці в україні
- •34. Порядок віднесення інформації до державної таємниці
- •35. Система субєктів охорони дт: перелік, ієрархія, розподіл функцій
- •36. Уповноважуючі субєкти системи охорони дт: їх повноваження та значення
- •37. Уповноважені субєкти системи охорони дт, їх правовий статус
- •38. Правовий статус державного експерта з питань таємниць як субєкта систем охорони дт
- •39. Роль і місце сбу як спеціально уповноваженого органу державної влади у сфері забезпечення охорони дт
- •40. Режимно-секретні органи як субєкти охорони дт
- •41. Поняття та перелік заходів охорони держ таємниці
- •42. Понятття та порядок надання допуску та доступу до держ таємниці
- •43. Зміст дозвільного порядку провадження діяльності пов’язаною з держ таємницею
- •44. Поняття та правові ознаки службової інформації. Порядок надання відомостей цього статусу
- •45. Порядок допуску до роботи із справами та документами з грифом «для службового користування»
- •46. Порядок обліку та транспортування матеріальних носіїв службової інформації
- •47. Порядок забезпечення схоронності документа з грифом «для службового користування» в установі
- •48. Контроль в установі за порядком обігу матеріальних носіїв службової інформації
- •49. Повноваження сбу у сфері захисту службової інформації
- •50. Завдання та види здійснюваних сбу перевірок стану обігу документів що містять службову інформацію.
- •51.Етапи проведення сбу перевірок стану обігу документів, які містять службову інформацію
- •52. Способи реагування сб України на порушення, виявлені в ході перевірок стану обігу документів, які містять службову інформацію
- •53. Правові ознаки комерційної таємниці
- •55. Нормативно-правове закріплення порядку обігу комерційної таємниці на підприємстві
- •56. Попередження та протидія незаконному використанню працівниками інформації, що становить комерційну таємницю
- •57.Поняття та зміст банківської таємниці в україні
- •58. Підстави та порядок надання банківської таємниці уповноваженим державним органом
- •59. Попередження та протидія незаконному використанню працівниками інформації, що становить комерційну таємницю
- •60. Основи діяльності бюро кредитних історій як баз даних інформації, що містить банківську таємницю
- •61. Відповідальність за правопорушення у сфері обігу банківської таємниці
- •62. Персональні дані як об’єкт правового захисту. Конституційні та міжнародно-правові основи захисту персональних даних
- •63 Порядок створення та функціонування баз персональних даних
- •64 Правові засоби захисту інформації про майновий стан та стан здоров’я особи
- •65. Таємниця усиновлення та адвокатська таємниця як засоби захисту персональних даних
- •66 Дисциплінарна і матеріальна відповідальність за правопорушення у сфері обігу іод.
- •67 Цивільно-правова відповідальність за правопорушення у сфері обігу іод.
- •68 Адміністративна відповідальність за правопорушення у сфері обігу інформації з обмеженим доступом
- •69. Кримінальна відповідальність за правопорушення у сфері обігу інформації з обмеженим доступом
- •70 Основні положення міжурядових угод про взаємний захист інформації
- •71. Поняття «технічний захист інформації)».
- •72. Поняття «об’єкт інформаційної діяльності», «інформаційно- телекомунікаційна система», «автоматизована система».
- •(Закон україни Про захист інформації в інформаційно-телекомунікаційних системах)
- •73. Класифікація автоматизованих систем.
- •74. Об’єкти захисту інформації з точки зору тзі.
- •75. Основні характеристики електромагнітного, електричного та параметричного каналу витоку інформації.
- •76. Основні характеристики акустичного, віброакустичного та акустоелектричного каналу витоку інформації.
- •77. Засоби технічної розвідки
- •78. Закладні пристрої (спеціальні технічні засоби). Визначення, класифікація, технічні характеристики, методи застосування.
- •79. Класифікація шкідливих програм, їх основні характеристики. За наявністю матеріальної вигоди
- •За метою розробки
- •80. Класифікація методів несанкціонованого доступу в ас класів 1,2,3.
- •3. Засоби, призначені для контролю ефективності захисту інформації.
- •82. Методи пасивного та активного захисту оід від витоку мовного сигналу акустичним, віброакустичним та електроакустичним каналом.
- •83. Методи пасивного та активного захисту ас від пемвн.
- •84. Предмет, задачі, методи та засоби спеціальних досліджень.
- •85. Методи та засоби розмежування доступу в ас.
- •86. Принципи побудови сучасних програмних засобів захисту інформації.
- •87. Методи виявлення та видалення шкідливих програм.
- •88. Порядок застосування комплексів засобів захисту в ас, їх організаційне забезпечення.
- •89. Критерії оцінювання захищеності інформації в ас від нсд.
- •Критерії конфіденційності
- •Критерії цілісності
- •Критерії доступності
- •Критерії спостереженості
- •Критерії гарантій
- •90. Роль та місце тзі серед інших видів інформації.
- •91. Структура та основний зміст «Концепції технічного захисту інформації в Україні».
- •92. Структура та основний зміст «Положення про технічний захист інформації в Україні».
- •93. Поняття «ліцензування», «експертизи» та «сертифікації» в сфері тзі, основні положення
- •94. Поняття «криптографія», «криптоаналіз», «криптологія» та «криптографічний захист інформації».
- •95. Поняття «методи кзі», «засоби кзі», «криптографічна система», «система кзі».
- •96. Призначення та загальні принципи роботи сучасних методів кзі
- •97. Поняття «симетричної» та «асиметричної» криптографії.
- •98. Поняття «криптографічна стійкість» для методів, засобів та систем кзі
- •99. Поняття «теоретична криптографічна стійкість» та «практична криптографічна стійкість» методів кзі
- •100. Класифікація засобів і систем кзі, їх основні характеристики.
- •104. Сучасний стан стандартизації у сферіКзі в Україні та світі.
88. Порядок застосування комплексів засобів захисту в ас, їх організаційне забезпечення.
Основні організаційні та організаційно-технічні заходи щодо створення і підтримання функціонування комплексної системи захисту
Вони включають:
· разові (одноразово проводяться і повторювані тільки при повному перегляді прийнятих рішень) заходи;
· заходи, що проводяться при здійсненні або виникнення певних змін у самій захищається АС або в зовнішньому середовищі (за необхідності);
· періодично проводяться (через певний час) заходи;
· постійно (безперервно або дискретно у випадкові моменти часу) проводяться заходи.
Разові заходи
До разових заходів відносять:
· загальносистемні заходи по створенню науково-технічних і методологічних основ (концепції та інших керівних документів) захисту АС;
· заходи, що здійснюються при проектуванні, будівництві та обладнанні обчислювальних центрів та інших об'єктів АС (виключення можливості таємного проникнення в приміщення, виключення можливості встановлення прослуховуючої апаратури і т.п.);
· заходи, що здійснюються при проектуванні, розробці та введенні в експлуатацію технічних засобів і програмного забезпечення (перевірка і сертифікація використовуваних технічних і програмних засобів, документування і т.п.);
· проведення спецперевірок всіх застосовуються в АС засобів обчислювальної техніки і проведення заходів щодо захисту інформації від витоку каналами побічних електромагнітних випромінювань і наведень;
· розробка та затвердження функціональних обов'язків посадових осіб служби комп'ютерної безпеки;
· внесення необхідних змін і доповнень у всі організаційно-розпорядчі документи (положення про підрозділи, функціональні обов'язки посадових осіб, інструкції користувачів системи і т.п.) з питань забезпечення безпеки програмно-інформаційних ресурсів АС і діям у разі виникнення кризових ситуацій;
· оформлення юридичних документів (у формі договорів, наказів і розпоряджень керівництва організації) з питань регламентації відносин з користувачами (клієнтами), які працюють в автоматизованій системі, між учасниками інформаційного обміну і третьою стороною (арбітражем, третейським судом) про правила вирішення спорів, пов'язаних із застосуванням електронного підпису;
· визначення порядку призначення, зміни, затвердження та надання конкретним посадовим особам необхідних повноважень по доступу до ресурсів системи;
· заходи щодо створення системи захисту АС і створенню інфраструктури;
· заходи щодо розробки правил керування доступом до ресурсів системи (визначення переліку завдань, що вирішуються структурними підрозділами організації з використанням АС, а також використовуються при їх вирішенні режимів обробки і доступу до даних; визначення переліку файлів та баз даних, які містять відомості, що становлять комерційну і службову таємницю, а також вимоги до рівнів їх захищеності від НСД при передачі, зберігання і обробки в АС; виявлення найбільш імовірних загроз для даної АС, виявлення вразливих місць процесу обробки інформації і каналів доступу до неї; оцінку можливого збитку, викликаного порушенням безпеки інформації, розробку адекватних вимог за основними напрямками захисту);
· організацію надійного пропускного режиму;
· визначення порядку обліку, видачі, використання і зберігання знімних магнітних носіїв інформації, що містять еталонні та резервні копії програм і масивів інформації, архівні дані і т.п.;
· організацію обліку, зберігання, використання та знищення документів та носіїв з закритою інформацією;
· визначення порядку проектування, розробки, налагодження, модифікації, придбання, специсследования, прийому в експлуатацію, зберігання і контролю цілісності програмних продуктів, а також порядок поновлення версій використовуваних і встановлення нових системних і прикладних програм на робочих місцях захищеної системи (хто володіє правом вирішення таких дій, хто здійснює, хто контролює і що при цьому вони повинні робити);
визначення порядку проектування, розробки, налагодження, модифікації, придбання, специсследования, прийому в експлуатацію, зберігання і контролю цілісності програмних продуктів, а також порядок поновлення версій використовуваних і встановлення нових системних і прикладних програм на робочих місцях захищеної системи (хто володіє правом вирішення таких дій, хто здійснює, хто контролює і що при цьому вони повинні робити);
· створення відділів (служб) комп'ютерної безпеки або, в разі невеликих організацій і підрозділів, призначення позаштатних відповідальних, які здійснюють єдине керівництво, організацію та контроль за додержанням всіма категоріями посадових осіб вимог щодо забезпечення безпеки програмно-інформаційних ресурсів автоматизованої системи обробки інформації;
· визначення переліку необхідних регулярно проведених превентивних заходів і оперативних дій персоналу щодо забезпечення безперервної роботи і відновлення обчислювального процесу АС в критичних ситуаціях, що виникають як наслідок НСД, збоїв і відмов СВТ, помилок у програмах і діях персоналу, стихійних лих.
Періодично проводяться заходи
До періодично проведених заходів відносять:
· розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);
· аналіз системних журналів, вжиття заходів щодо виявлених порушень правил роботи;
· заходи щодо перегляду правил розмежування доступу користувачів до інформації в організації;
· періодично з залученням сторонніх фахівців здійснення аналізу стану і оцінки ефективності заходів і застосовуваних засобів захисту. На основі отриманої в результаті такого аналізу інформації приймати необхідні заходи по вдосконаленню системи захисту;
· заходи щодо перегляду складу і побудови системи захисту.
Заходи, що проводяться по необхідності
До заходів, що проводяться за необхідності, відносять:
· заходи, здійснювані при кадрових змінах у складі персоналу системи;
· заходи, що здійснюються при ремонті і модифікаціях обладнання та програмного забезпечення (суворе санкціонування, розгляд і затвердження всіх змін, перевірка їх на задоволення вимог захисту, документальне відображення змін і т.п.);
· заходи по підбору і розстановці кадрів (перевірка прийнятих на роботу, навчання правилам роботи з інформацією, ознайомлення з мірами відповідальності за порушення правил захисту, навчання, створення умов, при яких персоналу було б невигідно порушувати свої обов'язки і т.д.).
Постійно проводяться заходи
Постійно проводяться заходи включають:
· заходи по забезпеченню достатнього рівня фізичного захисту всіх компонентів АС (протипожежна охорона, охорона приміщень, пропускний режим, забезпечення збереження та фізичної цілісності СВТ, носіїв інформації і т.п.).
· заходи щодо безперервної підтримки функціонування і управління використовуваними засобами захисту;
· явний і прихований контроль за роботою персоналу системи;
· контроль за реалізацією обраних заходів захисту в процесі проектування, розробки, введення в дію і функціонування АС;
· постійно (силами відділу (служби безпеки) і періодично (з залученням сторонніх фахівців) здійснюваний аналіз стану і оцінка ефективності заходів і застосовуваних засобів захисту.
Перелік основних нормативних та організаційно-розпорядчих документів, необхідних для організації комплексної системи захисту інформації від НСД
Для організації та забезпечення ефективного функціонування комплексної системи комп'ютерної безпеки повинні бути розроблені наступні групи організаційно-розпорядчих документів:
· документи, що визначають порядок і правила забезпечення безпеки інформації під час її обробки в АС (план захисту інформації в АС, план забезпечення безперервної роботи і відновлення інформації);
· документи, що визначають відповідальність взаємодіючих організацій (суб'єктів) при обміні електронними документами (договір про організацію обміну електронними документами).
План захисту інформації в АС повинен містити такі відомості:
· опис захищається системи (основні характеристики об'єкта, що захищається): призначення АС, перелік вирішуваних АС завдань, конфігурація, характеристики і розміщення технічних засобів і програмного забезпечення, перелік категорій інформації (пакетів, файлів, наборів та баз даних, в яких вони містяться), підлягають захисту в АС та вимог щодо забезпечення доступності, конфіденційності, цілісності цих категорій інформації, перелік користувачів та їх повноваження по доступу до ресурсів системи і т.п.;
· мета захисту системи та шляхи забезпечення безпеки АС і циркулюючої в ній інформації;
· перелік значущих загроз безпеки АС, від яких вимагається захист і найбільш вірогідних шляхів нанесення збитку;
· основні вимоги до організації процесу функціонування АС і заходів забезпечення безпеки оброблюваної інформації ;
· вимоги до умов застосування і визначення зон відповідальності встановлених в системі технічних засобів захисту від НСД;
· основні правила, що регламентують діяльність персоналу з питань забезпечення безпеки АС (особливі обов'язки посадових осіб АС).
План забезпечення безперервної роботи і відновлення інформації повинен відображати такі питання:
· мета забезпечення безперервності процесу функціонування АС, своєчасність відновлення її працездатності і чим вона досягається;
· перелік і класифікація можливих кризових ситуацій;
· вимоги, заходи і засоби забезпечення безперервної роботи і відновлення процесу обробки інформації (порядок створення, зберігання і використання резервних копій інформації та дублюючих ресурсів і т.п.);
· обов'язки та порядок дій різних категорій персоналу системи в кризових ситуаціях з ліквідації їх наслідків, мінімізації завдається шкоди та відновлення нормального процесу функціонування системи.
Договір про порядок організації обміну електронними документами має включати документи, в яких відображаються такі питання:
· розмежування відповідальності суб'єктів, які беруть участь у процесах обміну електронними документами;
· визначення порядку підготовки, оформлення, передачі, прийому, перевірки автентичності і цілісності електронних документів;
· визначення порядку генерації, сертифікації та розповсюдження ключової інформації (ключів, паролів тощо);
· визначення порядку вирішення спорів у випадку виникнення конфліктів.