- •1. Система обеспечения информационной безопасности в Российской Федерации.
- •1.1 Понятие «система обеспечения информационной безопасности».
- •1.2 Государственная система обеспечения информационной безопасности рф и ее структура.
- •1.4 Общая характеристика деятельности федеральных органов исполнительной власти рф в области обеспечения информационной безопасности: фстэк, фсб, фсо, свр, мо, мвд рф.
- •2. Значение и цели защиты информации в современной России.
- •2.1 Общая характеристика целей защиты информации.
- •2.2 Соответствие целей защиты информации характеру защищаемой информации и характеристикам субъектов информационных отношений.
- •3. Угрозы безопасности информации.
- •3.1 Понятие «угроза безопасности информации». Причины возникновения угроз безопасности информации. Классификация и характеристика угроз.
- •3.2 Разработка моделей угроз безопасности информации конкретной организации.
- •3.3 Определение актуальности угроз.
- •3.4 Ущерб организации в результате реализации угроз безопасности информации.
- •3.5 Виды ущерба. Структура прямых и косвенных потерь при реализации угроз безопасности информации.
- •4. Каналы и методы несанкционированного доступа к информации.
- •4.2 Методы несанкционированного доступа к информации, применяемые при использовании каждого канала.
- •4.3 Классификация каналов несанкционированного доступа к информации.
- •4.4 Понятие «атаки» на информационную систему. Основные методы реализации атак на информационные системы.
- •5. Уязвимость информации в информационных системах.
- •5.1 Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации.
- •5.2 Классификация уязвимостей информации.
- •5.3 Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем.
- •5.4 Порядок оценки уязвимости информации в информационных системах.
- •6. Риски информационной безопасности.
- •6.1 Понятие «риск информационной безопасности».
- •7. Объекты защиты информации.
- •7.1 Понятие «рубеж защиты информации».
- •7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности.
- •8. Классификация методов и средств защиты информации.
- •8.1 Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности.
- •9. Механизмы защиты государственной тайны.
- •9.2 Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента рф № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».
- •10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.
- •10.2 Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •10.3 Понятие «служебная тайна» в соответствии с требованиями Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •Федеральный закон о служебной тайне
- •2. Порядок обращения с документами, содержащими служебную информацию ограниченного распространения
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •11. Механизмы защиты информации в информационных системах документооборота.
- •11.3 Средства и технологии эп: удостоверяющие центры и их функции, сертификаты ключа проверки эп; классы сертификатов и их отличия.
- •12. Механизмы управления информационной безопасностью.
- •12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.
- •12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.
- •1. Первоначальный аудит безопасности
- •2. Разработка
- •3. Внедрение
- •4. Аудит и контроль
- •5. Пересмотр и корректировка
- •13. Механизмы менеджмента информационной безопасности.
- •13.1 Управление информационной безопасностью предприятия на основе положений гост р исо/мэк 27001-2006.
- •13.2 Использование процессного подхода в управлении информационной безопасностью на основе модели pdca: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.
- •1. Средства защиты информации, встроенные в системное программное обеспечение.
- •1.1 Общая характеристика системы защиты информации, встроенной в современную операционную систему. Понятие, сущность и общая характеристика процессов аутентификации, авторизации и аудита.
- •1.4 Процедура аудита, осуществляемого средствами операционной системы. Сущность аудита, его роль в обеспечении безопасности и выполняемые функции.
- •1.5 Журналы событий и безопасности Windows. Порядок использования содержания журналов для получения сведений в целях обеспечения безопасности.
- •2. Прикладные программные средства защиты информации.
- •2.4 Средства создания виртуальных частных сетей. Понятие, возможности, принцип действия и область использования технологии vpn. Состав сети и основные функциональные возможности vpn.
- •Intranet vpn
- •Internet vpn
- •2.5 Средства обнаружения и предотвращения атак. Понятие, классификация и примеры сетевых атак.
- •3. Программно-аппаратные средства защиты информации.
- •3.2 Электронная подпись (эп). Контроль целостности информации с использованием эп. Процессы формирования и проверки эп. Технология использования эп.
- •4. Системы резервного копирования.
- •5. Обеспечение безопасности информации в «облачных» вычислениях.
- •Практика
- •11. Управление параметрами логического входа в операционную систему ms Windows с использованием программно-аппаратных средств биометрической аутентификации.
- •12. Защита ресурсов операционной системы ms Windows от нсд с использованием программно-аппаратного средства.
- •16. Обнаружение закладочных устройств в защищаемом помещении предприятия.
- •16.1 Практическое обнаружение излучающих закладочных устройств в защищаемом помещении предприятия с использованием поискового комплекса «Крона».
- •16.2 Практическое обнаружение неизлучающих закладочных устройств в защищаемом помещении предприятия с использованием нелинейного локатора nr-900ems.
- •17. Разработка плана расследования инцидента информационной безопасности в должности руководителя (сотрудника) группы реагирования.
- •1. Общая характеристика каналов утечки информации.
- •2. Способы и средства инженерно-технической защиты информации.
- •2.4 Общая характеристика средств нейтрализации угроз. Средства управления системами защиты. Интегрированные системы защиты.
- •3. Оценка защищенности объектов информатизации.
- •4. Аттестация объектов информатизации по требованиям безопасности информации.
- •1. Реализация проекта создания системы защиты информации (приобретения технических, программно-аппаратных средств защиты информации).
- •2. Моделирование затрат на информационную безопасность.
- •1. Методы криптографической защиты информации.
- •2. Симметричные алгоритмы шифрования.
- •2.1 Модель симметричной криптосистемы. Примеры алгоритмов симметричного шифрования: des, Triple des, aes и их основные характеристики.
- •3. Асимметричные алгоритмы шифрования.
- •4. Электронная подпись.
- •1. Управление инцидентами информационной безопасности на предприятии.
- •1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.
Теория информационной безопасности и методология защиты информации
1. Система обеспечения информационной безопасности в Российской Федерации.
1.1 Понятие «система обеспечения информационной безопасности».
Система обеспечения информационной безопасности (СОИБ) состоит как из системы организационных и технических мер обеспечения ИБ, так и системы менеджмента информационной безопасности, обеспечивающей непрерывное функционирование СОИБ как системы управления ИБ.
Целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
1.2 Государственная система обеспечения информационной безопасности рф и ее структура.
Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.
Основные функции:
• разработка нормативной правовой базы в области обеспечения информационной безопасности РФ;
• создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
• определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
Основными направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации являются:
1. систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности и определение соответствующих практических задач;
2. проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники;
3. постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения;
4. совершенствование структуры функциональных органов системы, координация их взаимодействия.
1.3 Коллегиальность в обеспечении информационной безопасности: вневедомственная комиссия РФ по защите государственной тайны, ее состав, полномочия и порядок обеспечения деятельность в соответствии с Положением о Межведомственной комиссии РФ по защите государственной тайны (Указ Президента РФ от 6.10.2004 г. №1286).
Межведомственная комиссия является коллегиальным органом, созданным для координации деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне.
Межведомственная комиссия формирует перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению тех или иных сведений к государственной тайне, а также перечень сведений, отнесенных к государственной тайне. Комиссия подготавливает предложения по правовому регулированию защиты государственной тайны. Она определяет порядок рассекречивания носителей сведений, составляющих государственную тайну и выполняет другие задачи и функции.
Решения межведомственной комиссии, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления предприятиями, учреждениями, организациями, должностными лицами и гражданами.
Межведомственная комиссия формируется в составе председателя Межведомственной комиссии, его заместителей (заместитель Руководителя Администрации Президента Российской Федерации, осуществляющий организационное, информационно-аналитическое и документационное обеспечение деятельности Президента Российской Федерации по общим вопросам и директор ФСТЭК), ответственного секретаря и членов Межведомственной комиссии.
В состав Межведомственной комиссии входят руководители федеральных органов исполнительной власти, Администрации Президента Российской Федерации, Аппарата Правительства Российской Федерации и (или) их заместители.
При необходимости в состав Межведомственной комиссии могут быть включены другие должностные лица.
Межведомственная комиссия осуществляет следующие полномочия:
координирует деятельность органов государственной власти, органов местного самоуправления и организаций по вопросам реализации федерального законодательства в области государственной тайны;
рассматривает и представляет в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации предложения по правовому регулированию вопросов защиты государственной тайны и совершенствованию системы защиты государственной тайны в Российской Федерации;
формирует перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне;
формирует перечень сведений, отнесенных к государственной тайне;
формирует в установленном порядке перечень особорежимных объектов Российской Федерации;
определяет порядок рассекречивания носителей сведений, составляющих государственную тайну, в случае ликвидации организации-фондообразователя и отсутствия ее правопреемника;
осуществляет рассекречивание и продление сроков засекречивания документов Правительства СССР и других архивных документов;
рассматривает в случаях, предусмотренных Законом Российской Федерации "О государственной тайне", запросы органов государственной власти, органов местного самоуправления, организаций и граждан о рассекречивании сведений, отнесенных к государственной тайне;
рассматривает вопросы о возможности передачи сведений, составляющих государственную тайну, другим государствам и международным организациям;
принимает решения о передаче органом государственной власти, органом местного самоуправления, организацией сведений, составляющих государственную тайну, в случаях изменения их функций, форм собственности, ликвидации или прекращения работ с использованием сведений, составляющих государственную тайну, другому органу государственной власти, органу местного самоуправления, организации;
организует разработку и представляет в установленном порядке в Правительство Российской Федерации предложения о порядке определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие несанкционированного распространения сведений, составляющих государственную тайну;
организует разработку и представляет в установленном порядке в Правительство Российской Федерации предложения по правилам отнесения сведений, составляющих государственную тайну, к различным степеням секретности;
рассматривает по поручениям Президента Российской Федерации и Правительства Российской Федерации экспертные заключения в целях определения размеров возможного ущерба, который может быть нанесен безопасности Российской Федерации вследствие несанкционированного распространения сведений, составляющих государственную тайну;
рассматривает по поручениям Президента Российской Федерации и Правительства Российской Федерации проекты международных договоров Российской Федерации о совместном использовании и защите сведений, составляющих государственную тайну;
дает заключения на решения руководителей органов государственной власти, связанные с изменением действующих в органах государственной власти, органах местного самоуправления и организациях перечней сведений, подлежащих засекречиванию, которые могут привести к изменению перечня сведений, отнесенных к государственной тайне, приостанавливает или опротестовывает их решения;
координирует в установленном порядке работы по техническому регулированию в отношении продукции (работ, услуг), сведения о которых составляют государственную тайну, а также работы по организации сертификации средств защиты информации;
координирует в установленном порядке проведение работ по лицензированию деятельности организаций, связанной с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны;
решает вопрос о продлении 30-летнего срока засекречивания сведений, составляющих государственную тайну;
дает по запросу межведомственной комиссии, образуемой для рассмотрения обращений граждан Российской Федерации в связи с ограничениями их права на выезд из Российской Федерации, заключение о том, что сведения особой важности или совершенно секретные сведения, о которых гражданин был осведомлен на день подачи заявления о выезде из Российской Федерации, сохраняют либо утратили соответствующую степень секретности;
координирует деятельность в области подготовки, переподготовки и (или) повышения квалификации специалистов по вопросам защиты государственной тайны;
осуществляет разработку методических рекомендаций по организации и проведению государственной аттестации руководителей организаций, ответственных за защиту сведений, составляющих государственную тайну, определяет перечень учебных заведений, свидетельство об окончании которых дает право на освобождение указанных руководителей от государственной аттестации;
осуществляет иные полномочия в соответствии с федеральным законодательством о государственной тайне.
Председатель Межведомственной комиссии:
а) организует деятельность Межведомственной комиссии;
б) утверждает Регламент Межведомственной комиссии;
в) подписывает документы по вопросам, отнесенным к компетенции Межведомственной комиссии;
г) докладывает Президенту Российской Федерации и Председателю Правительства Российской Федерации по вопросам, отнесенным к компетенции Межведомственной комиссии;
д) вносит Президенту Российской Федерации и в Правительство Российской Федерации проекты федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, а также проекты документов по вопросам, отнесенным к компетенции Межведомственной комиссии;
е) распределяет обязанности между заместителями председателя Межведомственной комиссии по вопросам, отнесенным к компетенции Межведомственной комиссии.
Заместители председателя Межведомственной комиссии:
а) создают межведомственные рабочие и экспертные группы для обеспечения деятельности Межведомственной комиссии;
б) представляют Межведомственную комиссию во взаимоотношениях с органами государственной власти, иными государственными органами, органами местного самоуправления и организациями, имеют право переписки с указанными органами и организациями;
в) запрашивают и получают в установленном порядке от государственных органов, органов местного самоуправления, организаций, должностных лиц и граждан необходимые для осуществления деятельности Межведомственной комиссии информацию, документы и материалы;
г) пользуются в установленном порядке базами данных Администрации Президента Российской Федерации, Аппарата Правительства Российской Федерации и федеральных органов исполнительной власти;
д) по поручению председателя Межведомственной комиссии:
вносят Президенту Российской Федерации и в Правительство Российской Федерации проекты федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, заключений и официальных отзывов на проекты федеральных законов, поправок к ним, проекты других документов по вопросам, отнесенным к компетенции Межведомственной комиссии;
подписывают документы по вопросам, отнесенным к компетенции Межведомственной комиссии;
организуют подготовку заседаний Межведомственной комиссии.