- •1) Уголовный кодекс о защите информации.
- •2) Закон об информации, информационных технологиях и о защите информации от июля 2006 года.
- •3) Часть 4 гк рф.
- •4) Классификация конфиденциальной информации.
- •5) Классификация угроз информационной безопасности.
- •6) Объекты угроз информационной безопасности
- •7) Виды компьютерной преступности и классификация компьютерных преступлений от Интерпола
- •8) Каналы проникновения нарушителей и классификация злоумышленников
- •9) Классификация вредоносных программ. Защита от вирусов. Алгоритм работы шпионской программы.
- •10) Аутентификация и идентификация
- •11) Биометрическая защита
- •12) Общие сведения о шифровании информации. Алгоритмы шифрования.
- •13) Правовое обеспечение системы защиты информации
- •14) Организационное обеспечение системы защиты информации
- •15) Политика безопасности. Основные пункты и назначение.
- •16) Защита информации при работе с Интернетом. Ограничения при работе с Интернетом
- •17) Виды программного обеспечения системы защиты информации. Межсетевые экраны.
- •18) Криптографические средства защиты информации.
- •19) Этапы аудита системы информационной безопасности.
- •20) Защита электронной почты.
15) Политика безопасности. Основные пункты и назначение.
Это документ, в котором содержится взгляд руководства организации на защиту обрабатываемой ими информации в ИС предприятия; набор служебных инструкций подразделениям или конкретному лицу, направленный на обеспечение режима ИБ на предприятии.
При выработке политики безопасности необходимо определить цели, возможные каналы и направления утечек, вероятности утечек, ценность информации, минимальные кванты информации и доступ к ним, и возможные средства защиты.
Затем следует:
- выстроить схему защищенной сети с учетом распределения средств защиты между уровнями
- оценить стоимость возможной схемы защиты
- оценить потребность в дополнительном персонале
- разработать дополнительные организационные меры
- разработать методы социальной инженерии
- оценить общий бюджет системы защиты
- запустить схему защиты
Цели политики безопасности:
- определение конфиденциальной информации
- проверка наличия грифованной и составляющей гостайну информации
- определение информационных потоков
- категоризация информации
- распределение информации по сегментам и серверам
Каналы и направления утечек:
- какие каналы утечки присутствуют в сети?
- кто имеет доступ к этим каналам?
- каковы возможные направления утечек?
- как налажено взаимодействие между службами, отвечающими за сохранность информации?
- категоризация каналов и направлений
- оценка необходимых технических мер
Ценность информации:
- какова оценочная ценность информации для нас, как для владельца/пользователя?
- какова оценочная ценность информации для конкурента/нарушителя?
- каковы мощности и ресурсы потенциального потребителя нашей/доверенной информации?
- категоризация информации по степени защищенности от взлома
- оценка необходимых технических мер, средств и методов
Квантование информации:
- какие минимальные кванты информации можно считать не представляющими интереса для конкурента/нарушителя?
- какие взаимодействия между квантами информации приводят к появлению конфиденциальной информации?
- как можно разграничить доступ к квантам информации при рутинной обработке?
- квантование информации по носителям/ресурсам
- разграничение доступа к квантам
Определение возможных средств защиты:
- нужны ли средства защиты от НСД?
- нужны ли средства криптографической защиты информации (СКЗИ)?
- программные или аппаратные средства?
- необходимые юридические процедуры
- определение комплекса мер и средств защиты, необходимых процедур и затрат
Дополнительный персонал и оргмеры:
- какой дополнительный персонал требуется для реализации предложенной схемы?
- какие затраты на переподготовку персонала требуются разово, периодически?
- возможные затраты на автосорсинг, аутсорсинг?
- необходимые юридические процедуры
- определение потребности в необходимом персонале и бюджете
- какие дополнительные оргмеры требуются?
- каковы перспективы внедрения этих мер?
- требуется ли для дополнительных оргмер дополнительное оборудование, обучение?
- необходимые юридические процедуры
- разработка списка оргмер и путей их внедрения
Оценка необходимых мер в социальной инженерии:
- какие участки требуют мер социальной инженерии?
- общая кадровая ситуация на предприятии, в организации или учреждении
- финансовое стимулирование за дополнительный труд, за ограничения
- необходимые юридические процедуры
- разработка методов социальной инженерии и путей их внедрения
Оценка общего бюджета:
- затраты на дополнительное оборудование
- затраты на (пере)подготовку персонала
- затраты по социальной инженерии
- затраты на юридическое оформление
- дополнительные затраты
- оценка общего бюджета
Запуск системы защиты:
- формулировка основных принципов и положений
- разработка системы
- тестирование системы на отдельном сегменте
- ввод системы в режим ограниченной эксплуатации
- расширение системы до уровня всего предприятия/учреждения/организации