- •7.Угрозы интересам общества в информационной сфере.
- •8.Угрозы интересам государства в информационной сфере.
- •9.Информационные войны в системе угроз информационной безопасности.
- •Службы контроля, надзора и обеспечения иб в фоив.
- •21.Понятие защиты информации
- •26.Аттестация объектов информатизации по требованиям безопасности информации.
- •27.Сертификация продукции и услуг в области защиты информации.
- •28.Система органов по сертификации средств защиты информации.
- •35.Ответственность за нарушение режима государственной тайны.
- •38.Понятие и природа коммерческой тайны.
21.Понятие защиты информации
Защита информации (ГОСТ Р 50922: 2006 «Защита информации. Основные термины и определения») - деятельность, направленная на предотвращение утечки защищаемой информации, непреднамеренных и несанкционированных воздействий на защищаемую информацию.
Правовая защита информации – защита информации, осуществляемая правовыми методами, включающими разработку законодательства и иных НПА, регулирующих отношения субъектов в сфере защиты информации, применение таких документов и контроль и надзор за их исполнением.
Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, посредством технических, программных и программно-технических средств (пароль на компьютере).
Криптографическая защита информации – защита информации путем криптографических преобразований
Способы защиты информации – порядок и правила применения принципов и средств защиты информации.
-
Защита информации от утечки – ЗИ, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и получения несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации иностранными разведками и иными заинтересованными субъектами.
-
Защите информации от несанкционированного воздействия – ЗИ, направленная на предотвращение несанкционированного доступа и воздействий на защищаемую информацию с нарушением установленных правил и прав на изменение информации, приводящих к разрушению, искажению, уничтожению, сбою в работе, незаконному перехвату, копированию и блокированию доступа к ней, а также к утрате, повреждению, уничтожению и сбою функционирования носителя информации.
-
Защита информации от непреднамеренных воздействий – ЗИ, направленная на предотвращение воздействий на защищаемую информацию в результате ошибок ее пользователя, сбоя технических и программных средств информационной системы, природных явлений и иных факторов, нецеленаправленных на ее изменение, приводящих к искажению, уничтожению, блокированию, копированию защищаемой информации, а также к утрате, повреждению и сбою функционирования ее носителя.
-
Защита информации от разглашения – ЗИ, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов, не имеющих права доступа к такой информации.
-
Защита информации от несанкционированного доступа – ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами, обладателем информации, правил и прав разграничения доступа к защищаемой информации.
22.Концепция комплексной системы защиты информации.
Системный подход – методологическое направление в науке, основная задача которого заключается в разработке методов исследования и конструирования сложноорганизованных объектов - систем различных типов и классов.
Система защиты информации – совокупность средств, мер, мероприятия и персонала, располагаемых в рамках одной информационной системы и используемых для решения вопросов защиты информации.
Большинство современных СЗИ характеризуются своей комплексностью.
Комплексность – решение в рамках единой концепции 2 и более разноплановых задач (целевая комплексность), либо использование разнопланового инструментария при решении одной и той же задачи (инструментальная комплексность), либо и то, и другое одновременно (всеобщая комплексность).
Сложность современных СЗИ, их изменчивость и большое количество воздействий на защищаемую информацию обуславливают необходимость именно всеобщей комплексности.
Системно-концептуальный подход к защите информации:
-
Системность целевая – характеристика защищенности информации является основной составляющей понятия качества информации;
-
Системность пространственная – решение вопросов защиты информации должно обеспечиваться взаимоувязанными действиями всех компонентов предприятия;
-
Системность временная – непрерывность ведения работ по ЗИ в рамках плана;
-
Системность организационная – единства в организации и управлении при ведении работ по ЗИ.
Концептуальность данного подхода предполагает разработку единой концепции, содержащей научно обоснованные теории, положения и решения, необходимые и достаточные для оптимизации управления и обеспечения надежности ЗИ, а также для целенаправленной организации всех работ по ЗИ.
23.Модель защиты информации.
В соответствии с ГОСТ Р 50922-2006 “Защита информации”
“Защита информации- Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.”
Кибернетическая модель. Для того чтобы сформировать и затем управлять сложной системой, необходима информация о структуре, параметрах и других важных характеристиках и свойствах субъекта и объекта управления, образующих систему. В данном случае такую информацию будет содержать в себе кибернетическая модель КСЗИ. Именно она позволит приступить к решению задачи управления системой защиты на объекте.
Функциональная модель. Функциональная модель отображает состав, содержание и взаимосвязи тех функций, осуществление которых достигается целью деятельности моделируемых систем.
Информационная модель. Информационная модель отражает структуру, содержание, объем и направление циркуляции тех информационных потоков, которые необходимы для решения всех задач предприятия и КСЗИ.
24.Классификация уровней защищенности информации.
25.Понятие системы лицензирования в области защиты информации.
Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению, продлению срока действия лицензии в случае, если ограничение срока действие лицензии предусмотрено фз, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формир и ведению реестра лицензии, формированию гос инф ресурса, а также по предоставлению в уст порядке информации по вопросам лицензирования.
Деятельность по лицензированию в области защиты информации выполняют фсб, фстэк россии.
Центр по лицензированию, сертификации и защите гос тайны фсб россии и территориальные подразделения осуществляют лиценз деят юр лиц и ип по след видам деятельности:
-
Осуществление работ, связанных с использованием сведений, составляющих гос тайну - только для юр лиц
-
Деятельность, связанная с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну - только для юр лиц
-
Осуществление мероприятий и или оказание услуг в области защиты гос тайны - только для юр лиц
-
Деятельность по разработке, производству и расп шифровальных криптографических средств, инф систем и телекоммуникационных систем, защищённых с использованием шифр средств за исключением для обеспечения собств нужд юр лица или ип
-
Деятельность п разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.
-
Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации - за искл случая, если указанная деятельность осуществляется для обеспечения собственных нужд юр лица или ип.
-
Деятельность по разработке и производству средств защиты конфиденциальной информации.
Фстэк РФ:
-
Деятельность по технической защите конфиденциальной информации
-
Разработка или производство средств защиты конфиденциальной информации
Фз о лицензировании отдельных видов деятельности;
Фз об организации лицензирования отдельных видов деятельности;
Постановление правительства о сертификации средств защиты информации;
Пост правительства о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации;
Постановление правительства о лицензировании деятельности по техн защите конфиденциальной информации;
Положение о сертификации средств защиты информации по требованиям безопасности информации;
Приказ фстэк россии об утверждении административного регламента фстэк по предоставлению гос услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации;
Приказ фстэк россии об утверждении адм регламента фстэк по предоставлению услуги по лицензированию деятельности по технической защите конфид информации;