- •1. Основные понятия и определения информационной безопасности.
- •3. Классификация угроз информационной безопасности.
- •3. Классификация угроз информационной безопасности.
- •4. Методы и средства защиты информации
- •5. Правовые меры обеспечение иб.
- •6. Законодательные и нормативные акты рф в области иб
- •7. Критерии оценки безопасности компьютерных систем согласно “Оранжевой книге”.
- •8. Защита программного обеспечения, основанная на идентификации аппаратного и программного обеспечения.
- •9. Электронные ключи
- •Аутентификация с помощью электронного ключа
- •10. Организационно- административные методы защиты ис.
- •11. Формирование политики безопасности организации
- •6. Дублирование, резервирование и раздельное хранение конфиденциальной информации
- •11. Формирование политики безопасности организации
- •12. Основные принципы формирования пользовательских паролей
- •13,14,15. Идентификация, аутентификация и авторизация пользователей
- •13,14 Идентификация и аутентификация пользователей
- •Метод парольной зашиты
- •Аутентификация с использованием смарт-карт
- •Биометрические средства аутентификации
- •Аутентификация с помощью электронного ключа
- •16. Криптографические методы защиты.
- •16. Криптографические методы защиты.
- •17 Симметричные криптосистемы
- •18 Поточные шифры
- •19. Свойства синхронных и асинхронных поточных шифров
- •20. Шифры подстановки и перестановки
- •21. Блочные шифры.
- •21 Блочные шифры
- •22. Шифр Файстеля.
- •23. Ассиметричные криптосистемы.
- •24. Алгоритм rsa
- •24 Алгоритм rsa
- •25. Сравнение симметричных и асимметричных алгоритмов
- •26. Реализация алгоритмов шифрования
- •26 Реализации алгоритмов шифрования
- •27. Электронная цифровая подпись.
- •28,29. Защита информации в компьютерных сетях. Объекты защиты информации в сети.
- •30. Уровни сетевых атак согласно эталонной модели взаимодействия открытых систем osi.
- •31. Потенциальные угрозы безопасности в Internet
- •32. Методы защиты информации в сети Internet.
- •33. Использование межсетевых экранов для обеспечения информационной безопасности в Internet. Классификация межсетевых экранов.
- •34 Схемы подключения межсетевых экранов
- •35. Частные виртуальные сети vpn. Классификация vpn.
- •Классификация vpn
- •36.Защита на уровне ip. Протокол ipSec
- •37 Методы защиты от вредоносных программ
- •38. Анализ рынка антивирусных программ
- •39. Комплексная защита ис
11. Формирование политики безопасности организации
Общие положения 1.1. Политика безопасности организации – совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Порядок доступа к конфиденциальной информации
В целях обеспечения защиты информации в фирме, устанавливается следующий порядок допуска к работе с конфиденциальными источниками:
решение о выдаче работнику ключа доступа (флеш-накопителя) к определенному компьютеру сети принимается руководством фирмы;
ключ доступа (флеш-накопитель) должен находиться только у пользователя, которому он принадлежит и не должен быть доступен для других пользователей и посторонних лиц, то есть оставлять ключи доступа на рабочем месте запрещается;
при работе с программой допускается использование только одного флеш-накопителя – электронного ключа;
доступ к компьютерной сети фирмы осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается;
категорически запрещается снимать несанкционированные копии базы данных фирмы, знакомить с содержанием электронной информации лиц, не допущенных к этому.
Работа с криптографическими системами
3.1. К работе с криптографическими системами допускаются только сотрудники фирмы, имеющие соответствующее разрешение от руководства фирмы.
3.2. Секретные пароли и пин-код не должны храниться и ответственность за их воспроизведение полностью ложиться на работников фирмы. Разглашение сотрудниками секретных паролей и пин-кода должно быть исключено;
3.3. Категорически запрещается:
выводить секретные пароли и пин-код на дисплей компьютера или принтер;
устанавливать в дисковод компьютера ключ доступа в непредусмотренных режимах функционирования;
записывать на ключ доступа постороннюю информацию.
При компрометации секретных паролей, пин-кода и прочей электронной информации управлением фирмы принимаются меры для прекращения любых операций с использованием этих паролей, пин-кода и прочей информации; принимаются меры для смены паролей и пин-кода. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства фирмы.
Физическая безопасность
Физическим мерам защиты традиционно придается большое значение. Конкретная структура физической системы защиты (да и любой другой защиты) определяется важностью материального, информационного или другого ресурса, подлежащего защите, а также уровнем необходимой секретности, материальными возможностями организации, возможностями проведения различных организационных мероприятий, существующим законодательством и целым рядом других не менее значимых факторов.
Физическая безопасность может включать в себя следующее.
Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, телефонная станция, основной маршрутизатор, файервол) находятся в отдельном помещении, доступ в которую разрешен только сотрудникам, имеющими соответствующее разрешение от руководства. В этом помещении установлен кондиционер и хорошая система вентиляции.
Также необходимо отключить неиспользуемые дисководы, параллельные и последовательные порты сервера. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Кроме того, важной мерой защиты является установка железных решеток и дверей.
Рабочее место операторов, работающих с денежными средствами при приеме платежей у клиентов, также необходимо изолировать, выделив для общения с клиентом небольшое окно из стеклопластика. Это позволит снизить вероятность кражи.
Защита кабельной системы сети заключается в размещении ее в коробах, позволяющих скрыть и надежно закрепить провода.
Одной из немаловажных проблем является обычная электрическая сеть – частые перепады напряжения в электросети. Для защиты компьютеров от высокочастотных импульсных помех служат сетевые фильтры, оберегающие технику от большинства помех и перепадов напряжения. Кроме того, сервер следует оснастить источником бесперебойного питания (UPS).
Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии работников, имеющих право находится в помещении в связи с выполнением своих должностных обязанностей.
Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения руководства фирмы.
Разграничение прав доступа к программному обеспечению и системам хранения данных
5.1. Для входа в компьютерную сеть сотрудник должен ввести имя, пароль и пин-код. Не допускается режимы безпарольного (гостевого) доступа к какой-либо информации фирмы.
5.2. При работе с информационной системой пароль должен быть не менее шести символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями.
5.3. Каждый пользователь обязан менять свой пароль каждые пол года.