- •1. Система обеспечения информационной безопасности в Российской Федерации.
- •1.1 Понятие «система обеспечения информационной безопасности».
- •1.2 Государственная система обеспечения информационной безопасности рф и ее структура.
- •1.4 Общая характеристика деятельности федеральных органов исполнительной власти рф в области обеспечения информационной безопасности: фстэк, фсб, фсо, свр, мо, мвд рф.
- •2. Значение и цели защиты информации в современной России.
- •2.1 Общая характеристика целей защиты информации.
- •2.2 Соответствие целей защиты информации характеру защищаемой информации и характеристикам субъектов информационных отношений.
- •3. Угрозы безопасности информации.
- •3.1 Понятие «угроза безопасности информации». Причины возникновения угроз безопасности информации. Классификация и характеристика угроз.
- •3.2 Разработка моделей угроз безопасности информации конкретной организации.
- •3.3 Определение актуальности угроз.
- •3.4 Ущерб организации в результате реализации угроз безопасности информации.
- •3.5 Виды ущерба. Структура прямых и косвенных потерь при реализации угроз безопасности информации.
- •4. Каналы и методы несанкционированного доступа к информации.
- •4.2 Методы несанкционированного доступа к информации, применяемые при использовании каждого канала.
- •4.3 Классификация каналов несанкционированного доступа к информации.
- •4.4 Понятие «атаки» на информационную систему. Основные методы реализации атак на информационные системы.
- •5. Уязвимость информации в информационных системах.
- •5.1 Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации.
- •5.2 Классификация уязвимостей информации.
- •5.3 Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем.
- •5.4 Порядок оценки уязвимости информации в информационных системах.
- •6. Риски информационной безопасности.
- •6.1 Понятие «риск информационной безопасности».
- •7. Объекты защиты информации.
- •7.1 Понятие «рубеж защиты информации».
- •7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности.
- •8. Классификация методов и средств защиты информации.
- •8.1 Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности.
- •9. Механизмы защиты государственной тайны.
- •9.2 Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента рф № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».
- •10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.
- •10.2 Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •10.3 Понятие «служебная тайна» в соответствии с требованиями Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •Федеральный закон о служебной тайне
- •2. Порядок обращения с документами, содержащими служебную информацию ограниченного распространения
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •11. Механизмы защиты информации в информационных системах документооборота.
- •11.3 Средства и технологии эп: удостоверяющие центры и их функции, сертификаты ключа проверки эп; классы сертификатов и их отличия.
- •12. Механизмы управления информационной безопасностью.
- •12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.
- •12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.
- •1. Первоначальный аудит безопасности
- •2. Разработка
- •3. Внедрение
- •4. Аудит и контроль
- •5. Пересмотр и корректировка
- •13. Механизмы менеджмента информационной безопасности.
- •13.1 Управление информационной безопасностью предприятия на основе положений гост р исо/мэк 27001-2006.
- •13.2 Использование процессного подхода в управлении информационной безопасностью на основе модели pdca: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.
- •1. Средства защиты информации, встроенные в системное программное обеспечение.
- •1.1 Общая характеристика системы защиты информации, встроенной в современную операционную систему. Понятие, сущность и общая характеристика процессов аутентификации, авторизации и аудита.
- •1.4 Процедура аудита, осуществляемого средствами операционной системы. Сущность аудита, его роль в обеспечении безопасности и выполняемые функции.
- •1.5 Журналы событий и безопасности Windows. Порядок использования содержания журналов для получения сведений в целях обеспечения безопасности.
- •2. Прикладные программные средства защиты информации.
- •2.4 Средства создания виртуальных частных сетей. Понятие, возможности, принцип действия и область использования технологии vpn. Состав сети и основные функциональные возможности vpn.
- •Intranet vpn
- •Internet vpn
- •2.5 Средства обнаружения и предотвращения атак. Понятие, классификация и примеры сетевых атак.
- •3. Программно-аппаратные средства защиты информации.
- •3.2 Электронная подпись (эп). Контроль целостности информации с использованием эп. Процессы формирования и проверки эп. Технология использования эп.
- •4. Системы резервного копирования.
- •5. Обеспечение безопасности информации в «облачных» вычислениях.
- •Практика
- •11. Управление параметрами логического входа в операционную систему ms Windows с использованием программно-аппаратных средств биометрической аутентификации.
- •12. Защита ресурсов операционной системы ms Windows от нсд с использованием программно-аппаратного средства.
- •16. Обнаружение закладочных устройств в защищаемом помещении предприятия.
- •16.1 Практическое обнаружение излучающих закладочных устройств в защищаемом помещении предприятия с использованием поискового комплекса «Крона».
- •16.2 Практическое обнаружение неизлучающих закладочных устройств в защищаемом помещении предприятия с использованием нелинейного локатора nr-900ems.
- •17. Разработка плана расследования инцидента информационной безопасности в должности руководителя (сотрудника) группы реагирования.
- •1. Общая характеристика каналов утечки информации.
- •2. Способы и средства инженерно-технической защиты информации.
- •2.4 Общая характеристика средств нейтрализации угроз. Средства управления системами защиты. Интегрированные системы защиты.
- •3. Оценка защищенности объектов информатизации.
- •4. Аттестация объектов информатизации по требованиям безопасности информации.
- •1. Реализация проекта создания системы защиты информации (приобретения технических, программно-аппаратных средств защиты информации).
- •2. Моделирование затрат на информационную безопасность.
- •1. Методы криптографической защиты информации.
- •2. Симметричные алгоритмы шифрования.
- •2.1 Модель симметричной криптосистемы. Примеры алгоритмов симметричного шифрования: des, Triple des, aes и их основные характеристики.
- •3. Асимметричные алгоритмы шифрования.
- •4. Электронная подпись.
- •1. Управление инцидентами информационной безопасности на предприятии.
- •1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.
7. Объекты защиты информации.
7.1 Понятие «рубеж защиты информации».
Рассмотренные методы защиты на практике реализуются применением
различных средств защиты. На сегодняшний день существуют две группы
средств защиты: формальные и неформальные.
Первые выполняют
функции по защите формально, то есть преимущественно без участия
человека (технические). К неформальным относятся средства, основу
которых составляет целенаправленная деятельность людей
(законодательные, организационные, морально-этические). Названные
средства рассматриваются как последовательность барьеров или рубежей
защиты информации, последовательно преодолевая которые можно получить
доступ к защищаемым объектам системы.
Первый рубеж защиты, встающий на пути злоумышленника, является
чисто правовым и связан с необходимостью соблюдения юридических норм
при передаче, обработке и хранении информации. К законодательным
средствам защиты относятся действующие в стране нормативные правовые
акты, регламентирующие вопросы защиты информации. Этим они
препятствуют несанкционированному использованию информации и
являются сдерживающим фактором для потенциальных нарушителей.
Второй рубеж защиты образуют морально-этические средства.
Этический момент при соблюдении требований защиты играет большую
роль. Важно, чтобы люди, имеющие доступ к компьютерам, работали в
здоровом морально-этическом климате. К морально-этическим средствам
относятся нормы поведения, которые традиционно складываются в обществе
по мере развития информационных технологий. Они не являются
обязательными, но их игнорирование ведет к падению престижа человека,
группы лиц или организации.
Третьим рубежом защиты являются организационные средства
защиты, регламентирующие процесс функционирования КИС, использования
ее ресурсов, деятельность персонала, порядок взаимодействия пользователей
с системой с целью затруднения или исключения возможности реализации
угроз безопасности. Важно отметить, что пока не будут разработаны и
реализованы действенные средства организационной защиты применение
другие средств будет неэффективным. Организационные средства защиты
представляют мощный барьер на пути незаконного использования ресурсов
системы и надежную базу для других уровней защиты.
Четвертый рубеж защиты — технические средства защиты,
реализуемы посредством физических, аппаратных, программных,
криптографических устройств, выполняющие такие функции защиты, как
создание физического препятствия на пути злоумышленника, идентификация
и аутентификация субъектов и объектов системы, разграничение доступа к
ресурсам, контроль целостности данных, обеспечение конфиденциальности,
регистрация и анализ событий, резервирование ресурсов и компонентов
системы электронного документооборота.
7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности.
Носитель информации - физическое лицо, или материальный объект,
в том числе физическое поле, в которых информация находит свое
отображение в виде символов, образов, сигналов, технических решений
и процессов.
Носители защищаемой информации можно классифицировать следующим образом:
человек;
документы;
изделия (предметы);
вещества и материалы;
электромагнитные, тепловые, радиационные и другие излучения;
гидроакустические, сейсмические и другие поля;
геометрические формы строений, их размеры и т.п.
Также защищенные носители информации в сфере IT
Защищенные носители информации позволяют организовать двухфакторную аутентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство.Выделяют следующие возможности использования носителей информации:
Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell).
Защита компьютеров от несанкционированной загрузки.
Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция).
Электронная почта – формирование ЭЦП и шифрование данных, контроль доступа, защита паролей.
Системы шифрования с открытым ключом (PKI), удостоверяющие центры – хранение сертификатов X.509, надежное и безопасное хранение ключевой информации, значительное снижение риска компрометации закрытого ключа.
Организация защищенных каналов передачи данных (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами.
Системы документооборота – создание юридически значимого защищенного документооборота с использованием ЭЦП и шифрования (передача налоговой отчетности, договоров и прочей коммерческой информации по сети Интернет).
Бизнес-приложения, базы данных, ERP системы – аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных.
Системы «Клиент-Банк», электронные платежи – обеспечение юридической значимости совершенных транзакций, строгая взаимная аутентификация и авторизация клиентов.
Криптография − обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации(криптопровайдеры и криптобиблиотеки).
Терминальный доступ и тонкие клиенты – аутентификация пользователей, хранение параметров и настроек сеанса работы.
Шифрование дисков – разграничение и контроль доступа к защищенным данным, аутентификация пользователей, хранение ключей шифрования.
Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации.
Поддержка унаследованных приложений и замены парольной защиты на более надежную двухфакторную аутентификацию.
7.3 Организация защиты информации на основе «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К): защита речевой конфиденциальной информации; защита конфиденциальной информации, обрабатываемой в автоматизированных системах; защита конфиденциальной информации при взаимодействии с сетями общего пользования.
Звук:
4.2.2. Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).
Не рекомендуется располагать ЗП на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.
4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи.
4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.
4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.
АС:
5.1.3. В качестве основных мер защиты информации рекомендуются:
· документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
· ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
· регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
· учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
· использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
· необходимое резервирование технических средств и дублирование массивов и носителей информации;
· использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
· использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
· использование сертифицированных средств защиты информации;
· размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
· размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
· развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
· электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
· использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
· размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
· организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
· предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Сети:
6.3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети.
6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации.
6.3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации.
6.3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП.
6.3.5. При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).
6.3.7. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий.
6.3.8. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".
6.3.10. Технические средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети.