- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
32. Нормативные документы, регламентирующие деятельность персонала по защите информации
Состав и содержание основных нормативных документов. Должностная инструкция. Перечень сведений, составляющих КИ. Подписка о неразглашении, договор о неразглашении, трудовой договор. Приказы и распоряжения о допуске и доступе к КИ. Положение о защите КИ. Различные акты проверок( исполнения персоналом мер по защите информации, поддержания работоспособности системы, нарушения в работе системы ЗИ и т.д), учебные программы и методики для персонала. Правила работы с посетителями предприятия
33. Материально-техническое обеспечение ксзи
Материально-техническое обеспечение КСЗИ включает в себя:
Недвижимость – помещения для службы защиты информации;
Оснащение рабочих мест сотрудников – мебель, ПК + оргтехника, средства связи, малоценные и быстроизнашивающиеся материалы;
Инженерно - технические средства защиты:
Инженерная защита - физические барьеры (ограждения периметра объекта, стальные двери, решетки, шкафы, сейфы, хранилища и т.п.). Выделенные помещения со специальными строительными требованиями;
Технические средства защиты объекта – пожарная сигнализация, охранная сигнализация, системы контроля и управления доступом, системы охранного видеонаблюдения, досмотровые системы и др.
Технические средства защиты информации:
аппаратура для поиска ТС несанкционированного съема информации;
аппаратура для активной защиты информации от утечки по техническим каналам;
аппаратура для пассивной защиты информации от утечки по техническим каналам.
Программные средства защиты информации;
Криптографические средства защиты информации;
Аппаратура для ведения конкурентной разведки и контрразведывательной работы (для скрытого фото, видео и аудиоконтроля);
Транспортные средства.
Следует отметить, что ИТСЗ требуют не только разовых затрат на их приобретение, монтаж, ввод в эксплуатацию, но и определенных постоянных затрат по их техническому обслуживанию.
34. Нормативно-методические документы, обеспечивающие функционирование ксзи
Нормативно-методическое обеспечение КСЗИ на предприятии представляет собой комплекс положений законодательных актов, нормативов, руководящих документов, стандартов, правил, процедур, регламентирующих производственную деятельность и взаимоотношения исполнителей с целью сведения к минимуму риска нежелательных событий – разглашения, утечки и утраты информации. Нормативная база по обеспечению информационной безопасности внутри государства (внутригосударственное право) представляет собой трехступенчатую структуру.
Отметим, что само себе понятие право означает совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и личностей. Поэтому НМД можно рассматривать как локальные правовые акты предприятия.
Требования, предъявляемые к нормативно-методическому обеспечению КСЗИ:
1. Соответствие разрабатываемых на предприятии нормативных документов, требованиям нормативно-правовых документов государственных органов и ведомственных институтов в части защиты информации.
2. Соответствие разрабатываемых на предприятии нормативных документов требованиям ГОСТов по защите информации.
3. Своевременное внесение изменений и дополнений в действующие на предприятии НМД при изменении нормативно-правовой базы на государственном и ведомственном уровнях.
4. Полная обеспеченность специализированных подразделений необходимыми документами для решения ими всей совокупности задач по защите информации.
5. Отражение в содержании НМД всей специфики работ по защите информации для конкретного предприятия.
Нормативно-правовые документы:
Устав (Учредительный договор)
Коллективный договор
Правила внутреннего трудового распорядка
Трудовой договор (контракт)
Договор о неразглашении (нераспространении) сведений (подписка о неразглашении)
Гражданско-правовые договора
Перечень конфиденциальных сведений
Приказы
Нормативно-организационные документы:
Положение о защите конфиденциальной информации (основные разделы документа)
Положение о службе безопасности предприятия (основные разделы документа)
Положение о подразделении охраны
Положение о подразделении защиты информации (основные разделы документа)
Положение о подразделении режима
Положение о службе защищенного документооборота
Должностные инструкции сотрудников этих служб (основные разделы документа)
Должностная инструкция специалиста (менеджера) по безопасности для небольшой фирмы
Положения о структурных подразделениях, работающих с конфиденциальной информацией
Должностные инструкции сотрудников предприятия, работающих с конфиденциальной информацией.
Нормативно-технологические документы
Инструкция о порядке формирования перечня конфиденциальных ведений
Инструкция по созданию, работе, движению и хранению конфиденциальных документов
Порядок подготовки и проведения конфиденциальных совещаний
Порядок подготовки и проведения конфиденциальных переговоров
Инструкция по защите информации в публикаторской и рекламно-выставочной деятельности
Инструкция по проверке сохранности носителей с конфиденциальной информацией
Инструкция по проверке соблюдения персоналом требований по работе с конфиденциальной информацией
Порядок проведения служебных расследований по фактам утечки конфиденциальной информации
Нормативно-методические и информационные документы (правила, требования, указания, памятки и т.п.).
Методика оценки уровня осведомленности сотрудника
Методика оценки критических расстояний распространения ЭМИ
Памятка сотруднику об основных мерах по защите информации
Специализированные НМД по внутреннему и внешнему электронному документообороту.
Порядок разработки и внедрения НМД
Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии).
Все разработанные НМД должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и утверждены руководителем предприятия.