- •Место пази в системе кзи.
- •2. Модели угроз в пази
- •3. Модели системы пази.
- •1. Средства защиты информации
- •2. Аппаратные средства защиты информации
- •2.1 Задачи аппаратного обеспечения защиты информации
- •2.2 Виды аппаратных средств защиты информации
- •3. Программные средства защиты информации
- •3.1 Средства архивации информации
- •3.2 Антивирусные программы
- •3.3 Криптографические средства
- •3.4 Идентификация и аутентификация пользователя
- •3.5 Защита информации в кс от несанкционированного доступа
- •3.6 Другие программные средства защиты информации
- •Программно-аппаратные средства защиты информации в компьютерах
- •Методы и средства организационно-правовой защиты информации
- •Методы и средства инженерно-технической защиты
- •Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •Криптографические методы защиты и шифрование
- •4. Нормативно правовая база построения пази.
- •D — Минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
- •5. Классификация ас и способов защиты.
- •6. Понятие ндв в пази.
- •Контроль исходного состояния программного обеспечения.
- •7.Модель нарушителя при построении системы пази.
- •8. Лицензирование средств пази.
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
- •Перечень федеральных органов исполнительной власти, осуществляющих лицензирование
- •9. Процедура идентификации и аутентификации пользователей кс.
- •10. Идентификация и аутентификация с нулевой передачей данных.
- •11.Биометрические средства идентификации. Их характеристики.
- •12.Биометрические средства идентификации 1. (дактилоскопия, сетчатка)
- •13.Биометрические средства идентификации 2. (лицо, голос, сосуды)
- •14.Вредоносное по. Вирусы.
- •15.Сетевое вредоносное по.
- •16.Вредоносное по, использующее ресурсы кс.
- •17.Методы защиты от вредоносного по, антивирусные пакеты.
- •18.Основные понятия сетевой безопасности.
- •19.Межсетевые экраны. Классификация.
- •1)Управляемые коммутаторы (канальный уровень):
- •2)«Мэ с фильтрацией пакетов»
- •3)«Мэ сеансового уровня»
- •4)«Мэ прикладного уровня»
- •5)«Мэ экспертного уровня»
- •20.Межсетевые экраны. Применение.
- •Конфигурация с двумя межсетевыми экранами
- •21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
- •22.Средства безопасности ос ms Windows. Подсистема защиты данных.
- •23.Средства безопасности ос ms Windows. Подсистема сетевой безопасности.
- •24.Эцп.
- •25.Аппаратные средства зи. Комплексы Соболь и Аккорд.
- •26.Комплекс пази SecretNet.
- •27.Управление рисками кс.
- •28.Анализ рисков кс.
- •29.Способы уменьшения рисков кс.
- •30.Алгоритм устранения угрозы кс.
8. Лицензирование средств пази.
Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации.
Основные принципы устанавливает Положение о государственном лицензировании деятельности в области защиты информации от 27 апреля 1994 г. № 10
Деятельность системы лицензирования организуютгос.органы по лицензированию: Гостехкомиссия при Президенте РФ и Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ).
Государственные органы по лицензированию в пределах их компетенции, установленной законодательством Российской Федерации, осуществляют лицензирование деятельности в области защиты информации в соответствии с перечнями видов деятельности, приведенными в табл.
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
1. Сертификация, сертификационные испытания защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации.
2. Аттестование систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.
3. Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.
4. Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ.
5. Проектирование объектов в защищенном исполнении.
6. Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
1. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации.
2. Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
3. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.
4. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации, предназначенных для использования в высших органах государственной власти РФ.
5. Проведение работ по выявлению электронных устройств перехвата информации в помещениях государственных структур на территории Российской Федерации.
6. Проведение работ по выявлению электронных устройств перехвата информации в технических средствах государственных структур на территории Российской Федерации.
7. Проведение специсследований на ПЭМИН специализированных защищенных ТСОИ, предназначенных для использования в высших органах государственной власти Российской Федерации.
8. Проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации.
9. Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.
Лицензия на право деятельности по защите информации (далее - лицензия) выдается предприятию государственным органом по лицензированию на конкретные виды деятельности на срок до трех лет, по истечении которых осуществляется ее перерегистрация.
Лицензия выдается подавшему заявку на ее получение предприятию-заявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности предприятия по заявленному направлению работ.
Для получения лицензии представляются: заявление; представление органа государственной власти Российской Федерации; материалы экспертизы, подтверждающие наличие необходимых условий для проведения работ по заявленным видам деятельности, а также профессиональную пригодность руководителя предприятия-заявителя; копии документов о государственной регистрации предпринимательской деятельности и устава предприятия.
Отказ в выдаче лицензии производится в случаях, если:
• отсутствуют необходимые условия для проведения работ по заявленному виду деятельности;
• проф подготовка руководителя предприятия-заявителя не соответствует установленным требованиям;
• в представленных для получения лицензии документах указаны недостоверные сведения; заявитель в установленном законом порядке признан виновным в недобросовестной конкуренции в лицензируемой деятельности.
Предприятия, осуществляющие деятельность по защите информации, виды которой указаны в табл., без лицензии, несут ответственность, предусмотренную законодательством Российской Федерации.
Лицензиаты обязаны:
• осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации;
• обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами;
• ежегодно представлять непосредственно в государственный орган по лицензированию или в лицензионный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.
Экспертиза предприятия-заявителя осуществляется экспертной комиссией соответствующего лицензионного центра на основании заявки предприятия, содержащей лицензируемые виды деятельности и перечни необходимых для их обеспечения производственного и испытательного оборудования, нормативной и методической документации, имеющейся на предприятии. Результатом работы комиссии является экспертное заключение, в котором дается оценка возможности заявителя осуществлять работы в избранном виде деятельности по защите информации.