- •1. Система обеспечения информационной безопасности в Российской Федерации.
- •1.1 Понятие «система обеспечения информационной безопасности».
- •1.2 Государственная система обеспечения информационной безопасности рф и ее структура.
- •1.4 Общая характеристика деятельности федеральных органов исполнительной власти рф в области обеспечения информационной безопасности: фстэк, фсб, фсо, свр, мо, мвд рф.
- •2. Значение и цели защиты информации в современной России.
- •2.1 Общая характеристика целей защиты информации.
- •2.2 Соответствие целей защиты информации характеру защищаемой информации и характеристикам субъектов информационных отношений.
- •3. Угрозы безопасности информации.
- •3.1 Понятие «угроза безопасности информации». Причины возникновения угроз безопасности информации. Классификация и характеристика угроз.
- •3.2 Разработка моделей угроз безопасности информации конкретной организации.
- •3.3 Определение актуальности угроз.
- •3.4 Ущерб организации в результате реализации угроз безопасности информации.
- •3.5 Виды ущерба. Структура прямых и косвенных потерь при реализации угроз безопасности информации.
- •4. Каналы и методы несанкционированного доступа к информации.
- •4.2 Методы несанкционированного доступа к информации, применяемые при использовании каждого канала.
- •4.3 Классификация каналов несанкционированного доступа к информации.
- •4.4 Понятие «атаки» на информационную систему. Основные методы реализации атак на информационные системы.
- •5. Уязвимость информации в информационных системах.
- •5.1 Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации.
- •5.2 Классификация уязвимостей информации.
- •5.3 Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем.
- •5.4 Порядок оценки уязвимости информации в информационных системах.
- •6. Риски информационной безопасности.
- •6.1 Понятие «риск информационной безопасности».
- •7. Объекты защиты информации.
- •7.1 Понятие «рубеж защиты информации».
- •7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности.
- •8. Классификация методов и средств защиты информации.
- •8.1 Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности.
- •9. Механизмы защиты государственной тайны.
- •9.2 Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента рф № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».
- •10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.
- •10.2 Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •10.3 Понятие «служебная тайна» в соответствии с требованиями Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •Федеральный закон о служебной тайне
- •2. Порядок обращения с документами, содержащими служебную информацию ограниченного распространения
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •11. Механизмы защиты информации в информационных системах документооборота.
- •11.3 Средства и технологии эп: удостоверяющие центры и их функции, сертификаты ключа проверки эп; классы сертификатов и их отличия.
- •12. Механизмы управления информационной безопасностью.
- •12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.
- •12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.
- •1. Первоначальный аудит безопасности
- •2. Разработка
- •3. Внедрение
- •4. Аудит и контроль
- •5. Пересмотр и корректировка
- •13. Механизмы менеджмента информационной безопасности.
- •13.1 Управление информационной безопасностью предприятия на основе положений гост р исо/мэк 27001-2006.
- •13.2 Использование процессного подхода в управлении информационной безопасностью на основе модели pdca: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.
- •1. Средства защиты информации, встроенные в системное программное обеспечение.
- •1.1 Общая характеристика системы защиты информации, встроенной в современную операционную систему. Понятие, сущность и общая характеристика процессов аутентификации, авторизации и аудита.
- •1.4 Процедура аудита, осуществляемого средствами операционной системы. Сущность аудита, его роль в обеспечении безопасности и выполняемые функции.
- •1.5 Журналы событий и безопасности Windows. Порядок использования содержания журналов для получения сведений в целях обеспечения безопасности.
- •2. Прикладные программные средства защиты информации.
- •2.4 Средства создания виртуальных частных сетей. Понятие, возможности, принцип действия и область использования технологии vpn. Состав сети и основные функциональные возможности vpn.
- •Intranet vpn
- •Internet vpn
- •2.5 Средства обнаружения и предотвращения атак. Понятие, классификация и примеры сетевых атак.
- •3. Программно-аппаратные средства защиты информации.
- •3.2 Электронная подпись (эп). Контроль целостности информации с использованием эп. Процессы формирования и проверки эп. Технология использования эп.
- •4. Системы резервного копирования.
- •5. Обеспечение безопасности информации в «облачных» вычислениях.
- •Практика
- •11. Управление параметрами логического входа в операционную систему ms Windows с использованием программно-аппаратных средств биометрической аутентификации.
- •12. Защита ресурсов операционной системы ms Windows от нсд с использованием программно-аппаратного средства.
- •16. Обнаружение закладочных устройств в защищаемом помещении предприятия.
- •16.1 Практическое обнаружение излучающих закладочных устройств в защищаемом помещении предприятия с использованием поискового комплекса «Крона».
- •16.2 Практическое обнаружение неизлучающих закладочных устройств в защищаемом помещении предприятия с использованием нелинейного локатора nr-900ems.
- •17. Разработка плана расследования инцидента информационной безопасности в должности руководителя (сотрудника) группы реагирования.
- •1. Общая характеристика каналов утечки информации.
- •2. Способы и средства инженерно-технической защиты информации.
- •2.4 Общая характеристика средств нейтрализации угроз. Средства управления системами защиты. Интегрированные системы защиты.
- •3. Оценка защищенности объектов информатизации.
- •4. Аттестация объектов информатизации по требованиям безопасности информации.
- •1. Реализация проекта создания системы защиты информации (приобретения технических, программно-аппаратных средств защиты информации).
- •2. Моделирование затрат на информационную безопасность.
- •1. Методы криптографической защиты информации.
- •2. Симметричные алгоритмы шифрования.
- •2.1 Модель симметричной криптосистемы. Примеры алгоритмов симметричного шифрования: des, Triple des, aes и их основные характеристики.
- •3. Асимметричные алгоритмы шифрования.
- •4. Электронная подпись.
- •1. Управление инцидентами информационной безопасности на предприятии.
- •1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.
10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.
10.1 Понятие «коммерческая тайна». Правовой режим коммерческой тайны и порядок его установления в организации на основе требований Федерального Закона РФ №98-ФЗ 2004 года «О коммерческой тайне»: охрана конфиденциальности информации при осуществлении трудовых отношений, при предоставлении информации, ответственность за нарушения Закона.
1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицами;
к ней нет свободного доступа на законном основании
в отношении тайны обладателем информации введен режим коммерческой тайны.
2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;
3) режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;
Ст. 10 – обязательные меры:
1. Перечень информации коммерческой тайны;
2. Ограничение доступа к данной ниформации – установление порядка обращения с данной информацией, контроль данного порядка;
3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайны, учет лиц, которым данная инфомрация была передана по договорам, и предоставлена по мотивированным требованиям.
4. Регулирование отношений по использованию информации, составляющей коммерческую тайну работниками – на основании трудовых договоров, контрагентами – на основании гражданско-правовых документов.
5. Нанесение на материальные носители грифа «коммерческая тайна» с указанием обладателя данной информации. Полное наименование юридического лица, его регистрационное местонахождение.
К коммерческой тайне не относится – информация учредительных документов, подтверждающая факт внесения в реестр предприятия, информаия, содержащаяся в документах на право осуществления предпринимательской деятельности, информация о составе имущества государственного и унитарного предприятия, информация об использовании ими средств, соответствующего бюджета, информация о загрязнении окружающей среды и т.д., оказывающие негативное влияние, сведения о численности и составе работников, о системе оплаты труда.
Статья 11. Охрана конфиденциальности информации в рамках трудовых отношений
1.В целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
3) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
4) возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;
5) передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
6. Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
Статья 13. Охрана конфиденциальности информации при ее предоставлении
2. Должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, за исключением случаев, предусмотренных настоящим Федеральным законом, а также не вправе использовать эту информацию в корыстных или иных личных целях.
Статья 14. Ответственность за нарушение настоящего Федерального закона
1. Нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.
3. Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.
4. Лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности.