- •1) Уголовный кодекс о защите информации.
- •2) Закон об информации, информационных технологиях и о защите информации от июля 2006 года.
- •3) Часть 4 гк рф.
- •4) Классификация конфиденциальной информации.
- •5) Классификация угроз информационной безопасности.
- •6) Объекты угроз информационной безопасности
- •7) Виды компьютерной преступности и классификация компьютерных преступлений от Интерпола
- •8) Каналы проникновения нарушителей и классификация злоумышленников
- •9) Классификация вредоносных программ. Защита от вирусов. Алгоритм работы шпионской программы.
- •10) Аутентификация и идентификация
- •11) Биометрическая защита
- •12) Общие сведения о шифровании информации. Алгоритмы шифрования.
- •13) Правовое обеспечение системы защиты информации
- •14) Организационное обеспечение системы защиты информации
- •15) Политика безопасности. Основные пункты и назначение.
- •16) Защита информации при работе с Интернетом. Ограничения при работе с Интернетом
- •17) Виды программного обеспечения системы защиты информации. Межсетевые экраны.
- •18) Криптографические средства защиты информации.
- •19) Этапы аудита системы информационной безопасности.
- •20) Защита электронной почты.
14) Организационное обеспечение системы защиты информации
Некоторые документы предприятия для организационного обеспечения системы защиты информации:
- устав;
- коллективный трудовой договор;
- трудовые договоры с сотрудниками предприятия;
- правила внутреннего распорядка служащих предприятия;
- должностные обязанности руководителей, специалистов и служащих предприятия.
- инструкции пользователей информационно-вычислительных сетей и баз данных;
- инструкции администраторов ИВС и БД;
- положение о подразделении по защите информации;
- концепция системы защиты информации на предприятии;
- инструкции сотрудников, допущенных к защищаемым сведениям;
- инструкции сотрудников, ответственных за защиту информации;
- памятка сотрудника о сохранении коммерческой или иной тайны;
- договорные обязательства.
При этом организационная часть системы должна включать в себя:
- выявление сведений, составляющих коммерческую тайну предприятия, и составление перечня таких сведений с разбиением его на группы по категории конфиденциальности и необходимому уровню их защиты (позднее, на этапе внедрения комплексной системы защиты информации, такие перечни составляются по каждому подразделению или направлению деятельности предприятия).
- планирование внедрения системы защиты информации, в процессе которого определяются наиболее уязвимые участки каналов информационного обмена, составляется график проведения организационных и организационно-технических мероприятий, производится расчет затрачиваемых ресурсов, составляется общий список привлекаемых к внедрению системы сотрудников (специалистов, служащих и руководителей) и подразделений, определяется порядок взаимодействия структурных элементов и частей предприятия на этапе создания системы защиты информации;
- проведение мероприятий по внедрению и реализации системы. На этом этапе осуществляются:
категорирование объектов электронной вычислительной техники;
- составление перечня выделенных помещений, в которых проводятся закрытые мероприятия или циркулирует критичная информация;
- определение должностных лиц, уполномоченных осуществлять контроль и оперативное управление СЗИ;
- повышение квалификации специалиста (специалистов) в области защиты информации, поддерживающего функционирование систем, средств и устройств информационной безопасности, а также выполняющего функции администратора безопасности информационных ресурсов средств вычислительной техники (СВТ) и ЛВС;
- регламентация функциональных обязанностей сотрудников подразделений информационной безопасности;
- определение контролируемых зон;
- выделение из эксплуатируемых в банке технических средств, используемых для передачи, хранения и обработки критичной информации;
- выявление вспомогательных технических средств и систем (ВТСС), предназначенных для обеспечения и сопровождения функционирования предприятия;
- уточнение назначения и обоснование необходимости применения ВТСС в функциональных и управленческих циклах работы;
- выявление задействованных и незадействованных воздушных, наземных, подземных, настенных кабелей, цепей, проводов, уходящих за пределы контролируемых зон;
- установление порядка периодических аттестационных проверок выделенных помещений;
-регистрация работ с использованием сведений, составляющих коммерческую тайну;
- регистрация всех событий, связанных с разработкой, использованием, передачей информации, содержащей конфиденциальные сведения, и внесением изменений в защищаемые информационные ресурсы;
- ведение учета документации и носителей конфиденциальной информации;
- реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени воздействия на информацию;
- разграничение прав доступа к защищаемым информационным ресурсам;
- проведение периодических проверок, включающих в себя применение специальных тестирующих программ, просмотр регистрационной документации, контроль за выполнением организационных мер по соблюдению правил, предусмотренных политикой безопасности, анализ состояния системы защиты, вынесение решений по совершенствованию технических средств и систем, организационного построения и политики безопасности.