- •Понятие информации. Фазы обращения информации в информационных системах.
- •3. Виды и источники угроз информационной безопасности рф
- •6.Цели и задачи обеспечения информационной безопасности.
- •7. Архитектура сзи организации
- •2. Эргономические
- •3. Экономические
- •5. Организационные
- •9. Последовательность и содержание основных этапов проектирования сзи организации
- •11.Анализ угроз информационной безопасности
- •12) Внутренние и внешние источники угроз информационной безопасности. Схема воздействия угроз на информационную систему.
- •13. Перечень основных формальных и неформальных средств защиты информации.
- •14. Стратегии защиты информации на объекте информатизации.
- •15. Роль персонала в обеспечении информационной безопасности предприятия
- •17)Основные понятия защиты информации
- •18. Каналы утечки конфиденциальной информации
- •19) Организационная защита информации
- •21. Инженерно-техническая защита информации.
- •22) Криптографическая защита информации
- •Методы шифрования Одноалфавитный метод
- •Шифрование методом перестановки символов
- •Шифрование инверсными символами (по дополнению до 255)
- •Многоалфавитные методы
- •Вопрос 23
- •24. Способы несанкционированного доступа и защиты от него в компьютерных системах.
- •25. Организация базы учетных записей пользователей в ос Unix.
- •Вопрос 27. Способы аутентификации пользователей
- •26.Организация базы учетных записей пользователей в ос Windows.
- •Вопрос 27. Способы аутентификации пользователей
3. Экономические
- минимум затрат на систему защиты информации;- максимум использования серийных средств защиты
4. Технические- комплексное использование средств защиты;- оптимизация архитектуры
5. Организационные
- структурированность всех компонентов защиты;- простота эксплуатации.
8. Функциональное построение СЗИ организации и назначение основных подразделений. Исходя из анализа необходимости нейтрализации основных видов угроз информации и реализации основных методов защиты информации, а также в соответствии с подходами, определенными руководящим документом Государственной технической комиссии, функциональное построение СЗИ можно представить совокупностью следующих подсистем: 1.Ограничения доступа. Подсистема должна выполнять функции идентификации, проверки подлинности (аутентификации) и контроля доступа пользователей конфиденциально 2.Криптографической защиты. Подсистема реализует функцию шифрования конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и г. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, и также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом. 3. Обеспечения целостности. Является обязательной для СЗИ и включает организационные, программно-аппаратные и другие средства и методы, обеспечивающие: контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения; периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств; наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД; восстановление СЗИ НСД при отказе и сбое; резервирование информационных ресурсов на других типах носителей; применение сертифицированных (аттестованных) средств и методов защиты, сертификация которых проводится специальными и испытательными центрами. 4. Регистрации и учета. Включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора: входа/выхода пользователей в/из системы (узла сети);выдачи печатных (графических) выходных документов; запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы; доступа программ пользователей к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи; 5. Подсистема управления – некоторое управляющее звено, которое в специальных публикациях получило название «ядро СЗИ»
9. Последовательность и содержание основных этапов проектирования сзи организации
Рекомендуется выделять следующие этапы:
— на предпроектной стадии:
1) разработка технико-экономического обоснования;
2) разработка технического задания;
— на стадии проектирования:
1) разработка технического проекта;
2) разработка рабочего проекта;
— на стадии ввода в эксплуатацию:
1) ввод в действие отдельных элементов системы;
2) комплексная стыковка элементов системы;
3) опытная эксплуатация;
4) приемочные испытания и сдача в эксплуатацию.
Поскольку системы обеспечения безопасности имеют определенную специфику по сравнению с другими системами, содержание некоторых этапов может отличаться о рекомендованного. Тем не менее общая концепция сохраняется неизменной. Рассмотрим последовательность выполняемых работ.
Разработка технико-экономического обоснования. На этом этапе анализируется деятельность объекта, готовятся исходные данные для технико-экономического обоснования (ТЭО) и готовятся ТЭО. Главное на этом этапе обоснование целесообразности и необходимости создания системы защиты, ориентировочный выбор защищаемых каналов, определение объемов и состава работ по созданию системы защиты, сметы и сроков их выполнения.
Технико-экономическое обоснование должно согласовываться со всеми организациями и службами, ответственными за обеспечение безопасности, и утверждаться лицом принимающим решения.
Разработка технического задания. Основная цель этого этапа — разработка и обоснование требований к структуре системы защиты и обеспечение совместимости и взаимодействия всех средств. Главное на этом этапе — сбор подготовка исходных данных, определение состава системы, плана ее создания и оценка затрат. Разработка технического задания начинается после утверждения ТЭО.
Разработка технического проекта. На этом этапе разрабатываются и обосновываются все проектные решения. Разработан и обоснован выбранный вариант проекта; уточнены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться 2–3 варианта решения поставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте. Разработка рабочего проекта имеет своей целью детализировать проектные решения, принятые на предыдущем этапе. В частности:
— определяется и фиксируется регламент взаимодействия отдельных служб и составляющих системы обеспечения безопасности;
— составляются технологические и должностные инструкции персонала;
— разрабатывается рабочая документация. Ввод в эксплуатацию — это стадия создания системы защиты, состоящая из нескольких этапов (см. выше). На практике при создании систем защиты границы между этими этапами размыты. Состав выполняемых работ следующий:
— комплектация технического обеспечения системы;
— монтажные или строительно-монтажные работы и пуско-наладочные работы;
— обучение персонала (предварительно должны быть укомплектованы все службы системы обеспечения безопасности с учетом требуемой квалификации);
— опытная эксплуатация компонентов и системы в целом;
— приемочные испытания и приемка системы в эксплуатацию.
Все эти работы начинаются только после утверждения всех документов и выделения финансовых средств. После окончания работ и испытаний необходимо уточнить все вопросы гарантийного и послегарантийного обслуживания системы защиты.
10. Содержание процесса эксплуатации СЗИ организации. • Руководство организации должно поддерживать обеспечение защиты информации в организации с помощью эффективного управления СЗИ, четкого назначения и распределения обязанностей персонала по обеспечению защиты информации. При этом руководство должно проводить регулярную проверку подхода организации к управлению СЗИ и ее реализации (т.е. целей управления, правил, процессов и процедур по обеспечению защиты информации).
• Руководство организации должно рассматривать и утверждать планы по устранению недостатков, выявленных в процессе проведения контроля защищенности ИС.
• Руководство организации должно не реже чем раз в полгода и при возникновении чрезвычайных событий проводить совещания, на которых рассматривать текущее состояние обеспечения защиты информации, причины возникновения нарушений безопасности информации, принимать меры по повышению эффективности СЗИ. Решения совещаний (утвержденные руководством решения, заключения, протоколы) должны доводиться до сведения всего персонала организации и в необходимых случаях до соответствующих исполнителей.
• В договоре найма на работу и/или в должностной инструкции сотрудника организации должны быть определены обязанности по обеспечению безопасности информации при обработке данных организации, а также меры, принимаемые в отношении сотрудника, если он нарушает требования безопасности. При заключении трудового договора сотрудник должен принять обязательства о выполнении оговоренных требований в течение определенного времени после увольнения.
• Сотрудники организации должны быть ознакомлены с требованиями и правилами по обеспечению защиты информации в части, их касающейся.
• Права доступа сотрудников к информации должны изменяться при изменении их должности. После увольнения сотрудника все его права на доступ к какой-либо информации ИС должны быть аннулированы, все ранее предоставленные сотруднику технические средства и материалы должны быть возвращены.
В организации должен быть установлен порядок подготовки и переподготовки кадров в области защиты информации.