- •3. Государственные секреты
- •4. Служебная тайна
- •5. Коммерческая тайна: понятие, характеристика.
- •6. Интеллектуальная собственность
- •8.Патентное право
- •11. Выбор механизма охраны объекта интеллектуальной собственности.
- •16. Каналы утечки и носители информации.
- •Уровни защиты, в соответствии с механизмами реагирования на угрозы:
- •19. Защита информации: понятие, виды, объекты.
- •Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации.
- •20. Принципы защиты информации.
- •21. Модель безопасности: компоненты и взаимосвязи.
- •25. Ответственность за разглашение коммерческой тайны
- •28 Организация перехода к режиму кт
- •29 Организационные методы защиты конфиденциальной информации
- •31. Организационная структура службы безопасности. Группа режима
- •32. Защищенный документооборот
- •33. Технологические системы защиты и обработки конфиденциальных документов
- •37. Организация исполнения конфиденциальных документов
- •38. Копирование конфиденциальных документов
- •39. Назначение и порядок проведения проверки наличия документов, дел и носителей информации
- •41 Условия работы с конфиденциальными документами
- •43 Определение круга лиц, имеющих доступ к коммерческой тайне
- •44 Оценка опасности разглашения конфиденциальной информации работниками организации
- •45 Профилактика правонарушений в области коммерческой тайны
- •47. Информационная система: понятие, объекты, направления защиты.
- •48. Модель системы менеджмента информационной безопасности.
- •49. Политика информационной безопасности.
- •50. Система менеджмента информационной безопасности (смиб):
- •51. Система менеджмента информационной безопасности (смиб): требования к внедрению и обеспечению функционированию.
- •53.Классификация технических каналов утечки информации
- •60. Рекомендации по проведению телефонных разговоров
- •61.Взаимодействие предприятий с государственными органами
- •62 Работа со сми с учетом защиты кт
47. Информационная система: понятие, объекты, направления защиты.
Информационная система (ИС) — организационнотехническая система, реализующая информационные технологии и предусматривающая аппаратное, программное и другиевиды обеспечения, а также соответствующий персонал.
Под информационной системой можно также понимать автоматизированную систему, предназначенную для организации, хранения, пополнения, поддержки и предоставления пользователям информации в соответствии с их запросами.
Целью любой информационной системы, независимо от области ее применения, программного и аппаратного обеспечения, является предоставление полной, достоверной исвоевременной информации.В ИС принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.
Под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация.
Объект защиты должен соответствовать следующим условиям:
принадлежность к одному и тому же организационному компоненту ИС;
участие в осуществлении одних и тех же функций, связанных с автоматизированной обработкой информации в ИС;
локализация (ограничение) с точки зрения территор расположения ИС.
Исходя из структуры ИС, к объектам защиты можно отнести:
рабочие станции пользователей ИС;
рабочие станции администраторов (сети, СУБД, системы защиты и др.);
серверы (сетевые, баз данных, приложений);
аппаратура связи (модемы, маршрутизаторы);
каналы связи (выделенные, коммутируемые);
периферийные устройства коллективного пользования (принтеры);
помещения, связанные с автоматизированной обработкой инфо (местаустановки оборудования, хранилища машинных носителей инфо и т.п.).
Под элементом защиты подразумевается находящаяся в ИС совокупность данных,
которая может содержать подлежащие защите сведения.
Элементы защиты специфицируются, как правило, для каждого отдельного объекта
защиты. Так, по признаку локализации можно выделить следующие основные элементызащиты данных:
обрабатываемых в ЭВМ;
на дискете;
на локальном жестком диске рабочей станции;
на жестком диске сервера;
обрабатываемые в аппаратуре связи;
передаваемые по каналу (линии) связи;
данные, выводимые из ЭВМ на периферийные устройства.
48. Модель системы менеджмента информационной безопасности.
Зрелая система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление ИБ — отсутствие неприемлемых рисков со стороны ИТ-систем для организации и поддержание баланса между рисками и затратами на обеспечение ИБ, с учетом требований бизнеса, законодательной и нормативной базы.
Современная СМИБ представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие «взгляды» на СМИБ: процессный, документальный и зрелостный.
Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним, жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Документированные процессы СМИБ обеспечивают выполнение всех требований стандарта 27001.
Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.
Зрелостная модель СМИБ определяет детализацию разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.
При построении СМИБ выполняются следующие работы:
организация управления проектом, формирование проектной группы со стороны заказчика и исполнителя;
определение области деятельности (ОД) СМИБ;
обследование организации в ОД СМИБ и т.д.
Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:
выбор сертифицирующей организации;
организацию предсертификационного аудита и т.д.
Методологическая основа построения СМИБ
Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.
Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.
В общий перечень подсистем входят:
подсистема антивирусной и антиспам защиты;
подсистема обнаружения и предотвращения вторжений т.д.
Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.