1.Типы объектов защиты информации и их определения.

Объект защиты информации – информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

2.Свойства информации, обеспечиваемые при её защите.

Конфиденциальность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право.

Целостность (информации [ресурсов автоматизированной информационной системы]) –состояние информации [ресурсов автоматизированной информационной системы], при котором её [их] изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Доступность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно. Примечание - К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.

Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.

Подотчётность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация.

Аутентичность – свойство, гарантирующее, что субъект или ресурс идентичен заявленным. Примечание – аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

Достоверность – свойство соответствия предусмотренному поведению и результатам.

3. Категории доступа к информации. Степени секретности сведений, составляющих государственную тайну.

http://www.consultant.ru/document/cons_doc_LAW_93980/

Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ

• Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

Секретная информация – информация, содержащая сведения, отнесённые к государственной тайне.

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ.

Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне».

• Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Государственную тайну составляют:

сведения в военной области;

сведения в области экономики, науки и техники;

сведения в области внешней политики и экономики;

сведения в области разведывательной, контрразведывательной и оперативнорозыскной деятельности.

Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности»,

«совершенно секретно» и «секретно».

Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».

К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей

К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.

К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности.

Информация взята отсюда:

Лекция 1 - https://sdo.tusur.ru/mod/resource/view.php?id=35941 стр.17-19 23-26

4. Виды информации, относящейся к сведениям конфиденциального характера.

Конфиденциальная информация, как и государственная тайна, относится к информации ограниченного доступа. Согласно указу Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», к видам информации конфиденциального характера относятся: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна, тайна следствия и судопроизводства.

5. Понятие «нарушение информационной безопасности». Примеры атак на информационные системы.

Нарушение информационной безопасности организации – случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при её обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации.

Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

Сетевая атака – действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на неё или на ресурсы автоматизированной информационной системы.

Атака «отказ в обслуживании» – сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе. Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удалённого доступа к информации в ИС, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИС, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечёт за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

6. Понятие «угроза информационной безопасности». Формы представления информации.

Понятие

Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

[Взято из 2 лекции]

Формы представления информации

•Акустическая (речевая) информация, содержащаяся непосредственно

впроизносимой речи пользователя информационной системы ПДн (ИСПДн)

при осуществлении им функции голосового ввода ПДн в ИСПДн, либо воспроизводимой акустическими средствами ИСПДн (если такие функции предусмотрены технологией обработки ПДн), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счёт преобразований акустической информации.

•Информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов.

•Видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационновычислительных комплексов, технических средства обработки графической, видео- и буквенно-цифровой информации, входящих

всостав ИСПДн.

•Информация, обрабатываемая в ИСПДн, представленная в виде бит,

байт, IP-протоколов, файлов и других логических структур.

[Взято из 2 лекции]

7. Угрозы конфиденциальности информации, представленной в различных формах.

Утечка информации – неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками.

Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, приём и обработку информативных сигналов.

Информативный сигнал – сигнал, по параметрам которого может быть определена защищаемая информация.

Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Наведённый в токопроводящих линейных элементах технических средств сигнал; наводка – ток и напряжение в токопроводящих элементах, вызванные электромагнитным излучением, емкостными и индуктивными связями.

8. Угрозы целостности информации, представленной в различных формах.

Угрозы целостности (утраты, уничтожения, модификации) информации - это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами — от умышленных действий персонала до выхода из строя оборудования. (0 инфы в лекции)

10.Способы реализации угроз, направленных на акустическую информацию.

Перехват акустической (речевой) информации возможен:

•с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброаккустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счёт преобразований в технических средствах обработки информации, вспомогательных технических средствах и системах (ВТСС) и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн;

•с использованием специальных электронных устройств съёма речевой информации, внедрённых в технические средства обработки информации, ВТСС и помещения или подключенных к каналам связи.

11.Способы реализации угроз, направленных на видовую информацию.

Угрозы утечки видовой информации реализуются за счёт просмотра информации:

•с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы (ИС);

•с использованием специальных электронных устройств съёма, внедрённых в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.

•Перехват (просмотр) информации может осуществляться посторонними лицами путём их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов ИС с использованием оптических (оптикоэлектронных) средств.

•Необходимым условием осуществления просмотра (регистрации) информации является наличие прямой видимости между средством наблюдения и носителем информации.

12.Способы реализации угроз информации, представленной в виде сигналов.

13.Способы реализации угроз, направленных на компьютерную информацию.

Способы реализации угроз утечки по каналам ПЭМИН (побочные электромагнитные излучения и наводки):

Генерация информации, циркулирующей в технических средствах ИС в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИС сопровождается ПЭМИ, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИС.

Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, обрабатывающих информацию (в средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приёма и обработки информации, звуко, видео и т.д.).

1. Размещение средств для утечки информации по техническим

каналам

Перехват информации по техническим каналам может вестись:

•стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц;

•портативной возимой аппаратурой, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями;

•портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них;

•автономной автоматической аппаратурой (закладочное устройство), скрытно устанавливаемой физическими лицами непосредственно в служебных помещениях или в непосредственной близости от них.

2. Закладочное устройство

Закладочное средство [устройство] – техническое средство [устройство] приёма, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в

целях перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы. (Прим. Местами установки закладочных средств на охраняемой территории могут быть любые элементы контролируемой зоны, например: ограждение, конструкции, оборудование, предметы интерьера, транспортные средства).

3. Способы реализации угроз утечки из-за наводок

Каналы утечки информации, обусловленные наводками, образуются за счёт соединительных линий технических средств ИС и ВТСС и посторонних проводников (в том числе цепей электропитания и заземления).

Для съёма информации с проводных линий могут использоваться:

•средства съёма сигналов, содержащих защищаемую информацию, с цепей технических средств ИС и ВТСС, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники);

•средства съёма наведённых информативных сигналов с цепей электропитания;

•средства съёма наведённых информативных сигналов с шин заземления;

•средства съёма наведённых информативных сигналов с проводящих инженерных коммуникаций.

4. Способ реализации угрозы целостности на основе сигналов

Преднамеренное силовое электромагнитное воздействие на информацию – несанкционированное воздействие на информацию, осуществляемое путём применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

5. Компьютерная атака

Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств

6. Угрозы доступа в операционную среду ИС

Угрозы, реализуемые в ходе загрузки операционной системы.

Эти угрозы безопасности информации направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИС. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации

Угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем.

Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами.

Угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ.

Большая часть таких угроз – это угрозы внедрения вредоносных программ.

7. Программное воздействие

Программное (программно-математическое) воздействие –

несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

Наличие в ИС вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные

механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.

Основные виды вредоносных программ:

•Программные закладки.

•Классические программные (компьютерные) вирусы.

•Вредоносные программы, распространяющиеся по сети (сетевые

черви).

•Другие вредоносные программы, предназначенные для осуществления НСД.

8. Программная закладка

Программная закладка – преднамеренно внесённый в программное обеспечение функциональный объект, который при определённых условиях инициирует реализацию недекларированных возможностей программного обеспечения. (Прим. Программная закладка может быть реализована в виде вредоносной программы или программного кода).

Недекларированные возможности – функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации.

9. Компьютерный вирус

(Компьютерный) вирус – вредоносная программа, способная создавать свои копии и (или) другие вредоносные программы.

10.Сетевая атака

Сетевая атака – действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на неё или на ресурсы автоматизированной информационной системы. (Прим. Сетевой протокол – совокупность семантических и синтаксических правил, определяющих взаимодействие программ управления сетью, находящейся в одной ЭВМ, с одноименными программами, находящимися в другой ЭВМ).

11.Анализ сетевого трафика

Угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль.

12.Отказ в обслуживании

Атака «отказ в обслуживании» – сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе.

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удалённого доступа к информации в ИС, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИС, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечёт за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

14.Понятие «обеспечение информационной безопасности организации». Примеры методов и средств защиты информации.

Организационный элемент СЗИ - Организационное обеспечение информационной безопасности заключается в установлении правил и норм, а также в контроле их исполнения.

Начальный анализ объекта защиты и средств защиты

•Составление и регулярное обновление состава защищаемой информации предприятия, составление перечня защищаемых бумажных, машиночитаемых и электронных документов, регламентация обновления и ведения перечня защищаемой информации и её носителей.

•Создание иерархической системы разграничения доступа персонала к защищаемой информации.

Начальный анализ объекта защиты и средств защиты

•Выявление угроз защищаемой информации и угроз системе, в которой обрабатывается эта информация.

•Выявление помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, определение необходимости проведения аттестации этих помещений.

• Определение средств защиты информации и охраны, предназначенных для обработки защищаемой информации.

Работа с персоналом

•Определение методов отбора персонала для работ с защищаемой информацией, методов воспитательной работы с персоналом, требований к обучению и инструктированию сотрудников. • Регламентация порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий персонала, а также при внештатных ситуациях.

•Осуществление и регламентация контроля соблюдения сотрудниками порядка защиты информации.

Организация пропускного режима и физической защиты объекта

•Создание и регламентация пропускного и внутриобъектового режима на территории, в здании и помещениях предприятия, предназначенных для обработки защищаемой информации. Оснащение техническими средствами защиты.

•Регламентация порядка защиты информации при проведении совещаний, заседаний, переговоров, приёме посетителей, работе с представителями рекламных агентств, средств массовой информации.

Организация подразделения безопасности

•Формирование и организация деятельности подразделения по обеспечению безопасности (включая физическую охрану) или информационной безопасности.

•Регламентация работы по управлению системой защиты информации.

•Регламентация эксплуатации средств защиты информации

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;

управление, или оказание воздействия на элементы защищаемой системы;

маскировка, или преобразование данных, обычно – криптографическими способами;

регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;

принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;

побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;

проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;

разграничивают зоны ответственности, чтобы исключить ситуации,

когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;

внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топменеджментом организации;

составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный

сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также

аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;

дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;

создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;

обеспечение возможности использовать резервные системы электропитания;

обеспечение безопасности от пожара или повреждения оборудования водой;

установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

Вкомплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени

или образа пользователю, который взаимодействует с информацией.

Аутентификация – это система способов проверки совпадения пользователя с

тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

15.Понятие «система защиты информации». Направления защиты информации.

Система защиты информации (СЗИ) – совокупность органов и (или)

исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Защита информации представляет собой принятие правовых,

организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа,

уничтожения, модифицирования, блокирования, копирования,

предоставления, распространения, а также от иных неправомерных действий

вотношении такой информации;

•соблюдение конфиденциальности информации ограниченного

доступа;

•реализацию права на доступ к информации.

16.Элементы информационной системы, являющиеся объектами защиты.

В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, техника защиты информации

Техника защиты информации – средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации), общесистемное, прикладное, специальное программное обеспечение и информационные технологии.

17.Угрозы конфиденциальности и целостности, направленные на автоматизированные информационные системы.

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждён ФСТЭК 15 февраля 2008 года.

• «Доктрина информационной безопасности Российской Федерации» (утв. Президентом РФ 09.09.2000 N Пр-1895).

Угрозы безопасности информационных и телекоммуникационных средств и систем

• Противоправные сбор и использование информации. Нарушения технологии обработки информации. Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия. Разработка и распространение программ, нарушающих нормальное функционирование информационных и информационнотелекоммуникационных систем, в том числе систем защиты информации.

18.Угрозы конфиденциальности и целостности, направленные на персонал организации.

Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связиДругие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

1.Ввод неправильных данных.

2.Изменение сведений.

3.Подделка заголовка.

4.Подделка всего текста письма.

5.Отказ от исполненных действий.

6.Дублирование информации.

7.Внесение дополнительных сведений. (целостность)

1.Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.

2.Использование одних и тех же паролей в различных системах.

3.Размещение информации в среде, которая не обеспечивает конфиденциальность.

4.Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.

5.Выставки, на которых презентуется оборудование с конфиденциальными св едениями.

6.Хранение сведений на резервных носителях.

7.Распространение информации по множеству источников, что приводит к перехвату сведений.

8.Оставление ноутбуков без присмотра.

9.Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором (конфид.)

19.Способы реализации угроз, направленных на автоматизированные информационные системы и системы защиты информации.

Перехват акустической (речевой) информации возможен:

•с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счёт преобразований в технических средствах обработки информации, вспомогательных технических средствах и системах (ВТСС) и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн;

•с использованием специальных электронных устройств съёма речевой информации, внедрённых в технические средства обработки информации, ВТСС и помещения или подключенных к каналам связи.

Угрозы утечки видовой информации реализуются за счёт просмотра информации:

•с помощью оптических (оптикоэлектронных)

средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы (ИС);

• с использованием специальных электронных устройств съёма, внедрённых в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений. Перехват (просмотр) информации может осуществляться посторонними лицами путём их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов ИС с использованием оптических (оптикоэлектронных) средств.

•Необходимым условием осуществления просмотра (регистрации) информации является наличие прямой видимости между средством наблюдения и носителем информации.

Перехват информации по техническим каналам может вестись:

•стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц;

•портативной возимой аппаратурой, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями;

•портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них;

•автономной автоматической аппаратурой (закладочное устройство), скрытно устанавливаемой физическими лицами непосредственно в служебных помещениях или в непосредственной близости от них.

Каналы утечки информации, обусловленные наводками, образуются за счёт соединительных линий технических средств ИС и ВТСС и посторонних проводников (в том числе цепей электропитания и заземления).

Преднамеренное силовое электромагнитное воздействие на информацию – несанкционированное воздействие на информацию, осуществляемое путём применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

20.Понятие «Уязвимость». Причины возникновения уязвимостей.

Уязвимость (информационной системы); брешь – свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Причины возникновения уязвимостей:

•Ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения.

•Преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения.

•Неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ.

•Несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях).

•Внедрение вредоносных программ, создающих

уязвимости в программном и программноаппаратном обеспечении.

•Несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей.

•Сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

21.Законодательные акты, регламентирующие работу со сведениями, составляющими государственную тайну.

Документы по работе с государственной тайной:

•Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».

•Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным

степеням секретности».

• Указ Президента РФ от 06.10.2004 №1286 «Вопросы межведомственной комиссии по защите государственной тайны».

• Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне».

22.Законодательные акты, регламентирующие работу с персональными данными.

Документы по работе с персональными данными

•Федеральный закон от 27.07.06 №152ФЗ «О персональных данных».

•Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

•Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

•Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

•Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

ФЗ «О персональных данных»

•Принципы и условия обработки персональных данных.

•Права субъекта персональных данных.

•Обязанности оператора.

•Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона.

23.Законодательные акты, регламентирующие работу со сведениями, составляющими служебную и коммерческую тайну.

Документы по работе со служебной тайной

•Постановление Правительства РФ от 03.11.1994 N 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии».

•Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), приказ ГТК РФ от 30.08.2002 №282.

Документы по работе с коммерческой тайной

•Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Некоторые статьи:

•право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации; • охрана конфиденциальности информации;

•охрана конфиденциальности информации в рамках трудовых отношений.

Уголовный кодекс

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Трудовой кодекс

Статья 81. Расторжение трудового договора по инициативе работодателя.

• Трудовой договор может быть расторгнут работодателем в случае однократного грубого нарушения работником трудовых обязанностей: разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Статья 243. Случаи полной материальной ответственности.

• Материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами.

Информация взята отсюда:

Лекция 4 - https://sdo.tusur.ru/mod/resource/view.php?id=35945 стр. 9, 14, 24, 31, 34

24.Основные функции ФСБ России в области обеспечения информационной безопасности.

Комплекс работ по защите государственной тайны (допуск, контроль,

разработка нормативных документов, мер и средств защиты и т.п.).

• Комплекс работ по разработке, сертификации, эксплуатации и т.п.

криптографических средств защиты информации.

•Сертификация средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации.

•Лицензирование отдельных видов деятельности.

•Комплекс работ по обеспечению информационной безопасности информационнотелекоммуникационных систем и сетей критически важных объектов, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий.

25.Основные функции ФСТЭК России в области обеспечения информационной безопасности.

•Комплекс работ по противодействию техническим разведкам и технической защите информации (включая сертификацию соответствующих средств).

•Радиоконтроль за соблюдением установленного порядка передачи служебной информации.

•Лицензирование отдельных видов деятельности. Указ Президента РФ от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю».

26.Правовые документы, устанавливающие ответственность за компьютерные преступления.

Законодательство по правонарушениям в области

информационной безопасности

1.Уголовный кодекс

2.Кодекс об административных правонарушениях

3.Трудовой кодекс

4.Гражданский кодекс

[Взято из 4 лекции]

27 Правовые документы, устанавливающие ответственность за разглашение сведений ограниченного доступа..

Документы по работе с государственной тайной

Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне». • Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».

Указ Президента РФ от 06.10.2004 №1286 «Вопросы межведомственной комиссии по защите государственной тайны».

• Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне».

Документы по работе с коммерческой тайной

Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Некоторые статьи:

•право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации;

•охрана конфиденциальности информации;

•охрана конфиденциальности информации в рамках трудовых отношений.

Документы по работе с персональными данными

Федеральный закон от 27.07.06 №152ФЗ «О персональных данных».

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О

персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Документы по работе со служебной тайной

Постановление Правительства РФ от 03.11.1994 N 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии».

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), приказ ГТК РФ от 30.08.2002 №282.

28.Правовые документы, устанавливающие ответственность за разглашение персональных данных.

Правовые документы, устанавливающие ответственность за разглашение персональных данных:

1)Методические рекомендации ФСБ РФ от 31 марта 2015 года № 149/7/2/6- 432

2)Законодательства Российской Федерации в области персональных данных

3)Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

4)Гражданский кодекс Российской Федерации

29.Задачи организационной защиты информации.

Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженернотехнические и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации.

Данные меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

30.Стандарты семейства ISO 27000.

Разделы

ISO 27001

•Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности.

•Ответственность руководства (в т.ч .

Управление ресурсами).

•Анализ системы менеджмента ИБ со стороны руководства.

•Улучшение системы менеджмента информационной безопасности. Приложение: Цели и меры управления.

Разделы

ISO 27002

•Политика в области защиты.

•Организация защиты информации.

•Менеджмент активов.

•Защита человеческих ресурсов.

•Физическая и экологическая безопасность.

•Менеджмент средств связи и операций.

•Управление доступом.

•Приобретение, разработка и обслуживание информационных систем.

•Менеджмент инцидентов в системе защиты информации.

•Менеджмент непрерывности бизнеса.

•Соответствие.

31.Этапы анализа объектов защиты.

1)определяется информация, которая нуждается в защите;

2)выделяются наиболее важные критические элементы защищаемой информации;

3)определяется срок жизни критической информации - время, необходимое конкуренту для реализации добытой информации;

4)определяются ключевые элементы информации (индикаторы) отражающие характер охраняемых сведений;

5)классифицируются индикаторы по функциональным зонам предприятия

(производственно-технологические процессы, система материальнотехнического обеспечения производства, подразделения управления).

32.Основные нормативные документы, регламентирующие обеспечение информационной безопасности в организации.

33.Основные определения в области технической защиты информации.

Технический канал утечки

Утечка (информации) по техническому каналу – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Технический канал утечки информации – совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

Средства защиты

Средство защиты информации от утечки по техническим каналам (ГОСТ Р 50.1.0562005) – техническое средство, вещество или материал, предназначенные и (или) используемые для ЗИ от утечки по техническим каналам.

Специальная защита (ФСБ №149/54-144) – комплекс организационных и технических мероприятий, обеспечивающих защиту информации от утечки по каналам побочных излучений и наводок.

Определения

Специальное исследование (объекта защиты информации) –

исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

Специальная проверка – проверка объекта информатизации в целях выявления и изъятия возможно внедрённых закладочных устройств.

Средство поиска закладочных устройств – техническое средство,

предназначенное для поиска закладочных устройств, установленных на объекте информатизации.