- •Вопросы по теме №1
- •10.03.01 Информационная безопасность
- •Теория защиты информации. Основные направления.
- •Обеспечение информационной безопасности и направления защиты.
- •Основы обеспечения информационной безопасности организации
- •Комплексность (целевая, инструментальная, структурная, функциональная, временная).
- •Требования к системе защиты информации.
- •Угрозы информации.
- •Виды угроз. Основные нарушения.
- •Характер происхождения угроз.
- •Источники угроз. Предпосылки появления угроз.
- •Система защиты информации.
- •Классы каналов несанкционированного получения информации.
- •11. Причины нарушения целостности информации.
- •12. Методы и модели оценки уязвимости информации.
- •13. Общая модель воздействия на информацию.
- •18. Рекомендации по использованию моделей оценки уязвимости информации.
- •19. Допущения в моделях оценки уязвимости информации.
- •20. Методы определения требований к защите информации.
- •21. Факторы, обуславливающие конкретные требования к защите, обусловленные спецификой автоматизированной обработки информации. Задачи по защите информации
- •Объекты защиты
- •Планирование и реализация систем защиты
- •Методы защиты информации
- •Организационные
- •Аппаратно-программные
- •Методы контроля доступа
- •Методы идентификации пользователей
- •Средства разграничения доступа
- •Протоколирование
- •Криптографические средства
- •Siem-системы
- •22. Классификация требований к средствам защиты информации. Организационные требования
- •Существенные различия между моделями регулирования
- •Организационные меры для государственного органа
- •Организационные меры у операторов пд
- •Требования к программным продуктам
- •Государственные ис
- •Программные и технические средства для операторов пд
- •Требования к файрволам
- •23. Требования к защите, определяемые структурой автоматизированной системы обработки данных.
- •24. Требования к защите, обуславливаемые видом защищаемой информации.
- •25. Требования, обуславливаемые, взаимодействием пользователя с комплексом средств автоматизации.
- •26. Анализ существующих методик определения требований к защите информации.
- •27. Стандарт сша "Критерии оценки гарантировано защищенных вычислительных систем в интересах министерства обороны сша". Основные положения.
- •28. Руководящем документе Гостехкомиссии России "Классификация автоматизированных систем и требований по защите информации", выпущенном в 1992 году. Часть 1.
- •29. Классы защищенности средств вычислительной техники от несанкционированного доступа.
- •30.Факторы, влияющие на требуемый уровень защиты информации.
- •31. Функции и задачи защиты информации. Основные положения механизмов непосредственной защиты и механизмы управления механизмами непосредственной защиты.
- •32. Методы формирования функций защиты.
- •33. События, возникающие при формировании функций защиты.
- •34. Классы задач функций защиты.
- •39. Стратегии защиты информации.
- •40. Способы и средства защиты информации.
- •41. Способы "абсолютной системы защиты".
- •42. Архитектура систем защиты информации. Требования.
- •43. Общеметодологических принципов архитектуры системы защиты информации.
- •44. Построение средств защиты информации.
- •45. Ядро системы защиты.
- •46. Семирубежная модель защиты.
Организационные меры у операторов пд
Существенно проще организационные требования к созданию и функционированию информационной системы, в которой хранятся персональные данные, у частных компаний – операторов ПД. Первой задачей юридического лица, которое собирается начать деятельность по обработке персональных данных, является уведомление об этом Роскомнадзор. Далее предстоит определить класс защищенности системы и оборудовать ее согласно требованиям ФСТЭК РФ.
Класс определяется исходя из двух параметров:
количество обрабатываемых записей более или менее 100 000 человек, не являющихся сотрудниками компании;
категория данных. Они делятся на три группы – общедоступные, биометрические и специальные (медицинские и касающиеся личных политических, религиозных и иных интересов человека).
Установив категорию, необходимо принять основополагающие документы, определяющие порядок работы с ПД. Согласовывать их ни с кем не требуется, достаточно наличия на предприятии и в доступе в Интернете, если получение данных осуществляется по каналам телекоммуникационной связи.
Необходимо разработать и утвердить:
положение о защите персональных данных;
формат согласия на обработку ПД, а затем организовать порядок его подписания гражданами как собственноручно, например, для организаций сферы ЖКХ, так и путем проставления галочки в специальном поле на сайте для интернет-магазина;
приказы о назначении лиц, допущенных к обработке ПД;
модель угроз.
Документальное обеспечение организационных мер согласно требованиям федеральной службы на этом заканчивается. Конкретные методики защиты помещений, разграничения уровней допуска пользователей, определения архитектуры системы остаются на усмотрение юридического лица.
Ему необходимо решить задачи:
идентификации и аутентификации пользователей;
ограничения доступа, к ПК, программам, носителям информации;
регистрации инцидентов безопасности;
антивирусной защиты;
предотвращения внешних несанкционированных вторжений;
защиты облачной среды;
обеспечения доступности и целостности данных.
Для решения этих задач используются программные средства, и они должны быть сертифицированы ФСТЭК РФ по классу, соответствующему классу системы оператора. Потребуется раз в три года проводить переоценку работы системы безопасности, но оператор может делать это самостоятельно, если не желает привлечь специализированные организации, имеющие лицензию.
Требования к программным продуктам
Для защиты информации, содержащейся в государственных ИС, согласно нормам Приказа № 17, могут применяться только сертифицированные программные средства. На частные компании эти нормы распространяются только при обработке ими персональных данных определенных категорий.
Государственные ис
Даже несмотря на то, что обрабатываемая в государственных органах информация не является государственной тайной, она интересует злоумышленников.
Для сохранности необходимо внедрять только сертифицированные по требуемому классу защиты программные продукты со следующими функциями:
идентификация и аутентификация пользователей и мобильных устройств;
управление доступом к информации, его разграничения. контролировать соединения и трафик, использовать защиту от удаленного доступа, средства доверенной загрузки данных;
ограничение программной среды. Это возможность запуска процессов и программ отдельно друг от друга, установки только разрешенного и сертифицированного программного обеспечения, запрет на инсталляцию иных программ;
защита носителей информации, их учета, контроля за их перемещением и подключением, контроля записи информации на съемные носители;
регистрация инцидентов безопасности, формирования заданной реакции на них, сбора и анализа статистической информации об инцидентах безопасности;
своевременно обновляемые антивирусные программы;
обнаружение внешних вторжений;
мониторинг уязвимостей информационной системы, контроля за своевременным обновлением операционных систем и программ, сменой паролей;
обеспечение целостности информации, файлов, программ, защиты от спама, контроля исходящего трафика, ограничения возможностей инсайдеров по загрузке новых данных в ИС, контроля точности сведений, вводимых в ИС, реакции на ошибки пользователей;
защита облачной среды.
Выбор сертифицированных защитных средств определяется классом системы. Но если на конкретный временной период бюджетные требования не позволяют установить программное обеспечение нужного класса и уровня сертификации, по согласованию с территориальным органом ведомства допустимы временные отступления и установка иных сертифицированных средств.