- •1. Основные понятия и принципы в области лицензирования.
- •2. Полномочия и права лицензирующих органов.
- •3. Правовые основы лицензирования деятельности в области тзи и порядок её проведения.
- •Переч. Док-тов, необх-ых для получ лиц-ии на осуществление деят-сти по тз конф-ной и:
- •Исполнение государственной функции по лицензированию деятельности по тзи конфиденциальной информации включает в себя следующие административные процедуры:
- •4. Правовые основы лицензирования деят-сти в обл. Гос. Тайны и порядок её проведения.
- •5. Основные понятия в обл. Сертификации и виды сертификации.
- •6. Система сертификации в России.
- •7. Правовые основы сертификации деятельности в области тзи.
- •Уполномоченные федеральные органы по сертификации в области защиты информации
- •Формы оценки соответствия
- •Формы подтверждения соответствия
- •Сертификация сзи
- •Средства защиты информации, подлежащие сертификации
- •Средства защиты информации
- •Средства защиты информации от утечки по техническим каналам
- •Средства защиты от несанкционированного доступа
- •Средства контроля защищённости
- •Защищённые средства обработки информации
- •На соответствие каким документам проводится сертификация
- •Схемы сертификации
- •Организационная структура системы сертификации
- •8. Условия и порядок проведения сертификации в области тзи.
- •9. Содержание самооценки обработки и защиты персональных данных.
- •Содержание проведения самооценки обработки и защиты пДн
- •Содержание Программы самооценки (проверки) обработки и защиты пДн
- •Содержание Справки о самооценке (проверке) пункта X.XX. Программы
- •Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
- •Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
- •10. Содержание результатов самооценки обработки и защиты персональных данных.
- •Критерии оценок обработки и защиты пДн
- •Частные показатели обработки и защиты пДн
- •11. Сущность и содержание организационных основ защиты информации.
- •12. Организационные мероприятия по обеспечению информационной безопасности.
- •Организация мероприятия в отношении сотрудников всех уровней:
- •Организация мероприятия в отношении технических средств:
- •13. Основные понятия гос. Контроля (надзора) и муниципального контроля.
- •Основные понятия
- •14. Принципы з прав юл и ип при проведении гос. Контроля и муниципального контроля.
- •Принципы защиты прав юл и ип при осуществлении госконтроля (надзора):
- •15. Виды проверок, сроки и продолжительность их проведения.
- •Виды проверок
- •Сроки и продолжительность проверок
- •16. Порядок организации проверки и проведения, ограничения при их проведении.
- •Порядок проведения:
- •Ограничения при проведении проверок
- •17. Оформление результатов проверки.
- •Обязанности органов государственного контроля (надзора) при выявлении нарушений
- •18. Организация контрольно-пропускного режима на предприятии.
- •19. Содержание модели угроз в области защиты информации.
- •20. Сущность и содержание временных, территориальных, пространственных, частотных и энергетических ограничений для обеспечения зи.
-
18. Организация контрольно-пропускного режима на предприятии.
-
Контрольно-пропускной (кп) режим - это комплекс организационно-правовых ограничений и правил, устанавливающих порядок пропуска через кп пункты в отдельные здания (помещения) сотрудников объекта, посетителей, транспорта и материальных средств.
-
Кп режим (как часть системы безопасности) должен соответствовать действующему законодательству, уставу предприятия, а также иным НПА, регулирующим деятельность предприятия.
-
Задачи кп режима: 1) обеспечение санкционированного прохода сотрудников и посетителей, ввоза (вывоза) продукции и материальных ценностей, ритмичной работы предприятия; 2) предотвращение бесконтрольного проникновения посторонних лиц и транспортных средств на охраняемые территории и в отдельные здания (помещения); 3) своевременное выявление угроз интересам предприятия, а также потенциально опасных условий, способствующих нанесению предприятию материального и морального ущерба; 4) создание надежных гарантий поддержания организационной стабильности внешних и внутренних связей предприятия, отработка механизма оперативного реагирования на угрозы и негативные тенденции; 5) пресечение посягательств на законные интересы предприятия, использование юридических, экономических, организационных, социально-психологических, технических и иных средств для выявления и ослабления источников угроз безопасности предприятия.
-
Цели: 1) защита законных интересов предприятия, поддержание порядка внутреннего управления; 2) защита собственности предприятия, ее рациональное и эффективное использование; 3) рост прибылей предприятия; 3) внутренняя и внешняя стабильность предприятия; 4) защита коммерческих секретов и прав на интеллектуальную собственность.
-
Основные мероприятия кп режима разрабатываются службой безопасности, утверждаются руководителем фирмы и оформляются инструкцией о кп режиме.
-
Требования по кп режиму должны быть доведены в обязательном порядке до каждого сотрудника объекта. Все рабочие и служащие объекта обязаны соблюдать их. По каждому случаю нарушения кп режима должно проводиться административное расследование.
-
При разработке кп режима следует сбалансировать необходимые ограничения и интересы предприятия. Для этого необходимо: 1. Оценить исходные данные (специфику предприятия, «суточный объем» потоков транспорта и людей, выделить (по степени важности) категории объектов).
-
2. Распределить объекты предприятия(здания, помещения), определить категории режима (общедоступные, закрытые, ограниченного доступа).
-
3. Разработать детальную инструкцию о пропускном режиме, которая будет содержать: общие положения (ответственныеые лица; норматив. акты, на основании которых составляется инструкция; санкции за нарушения; требования к оборудованию различных помещений, цель введения кп режима), виды и порядок оформления пропусков, обязанности должностных лиц по поддержанию кп режима, порядок допуска на объект транспортных средств, вывоз продукции и т.д., порядок пропуска сотрудников и др. лиц,
-
19. Содержание модели угроз в области защиты информации.
-
Модель угроз (ИБ) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
-
При обследовании объекта специалистами модель угроз строится с помощью специального документа, который содержит названия предполагаемых угроз, сгруппированные по категориям, и некоторые количественные параметры для оценки их силы (опасности) и вероятности проявления. Для объектов, по которым не требуется проводить аттестацию на соответствие требованиям какого-либо нормативно-технического документа, модель угроз может быть составлена в форме текстового описания.
-
В общем случае актуальны угрозы связанные с НСД к информации,, осуществляемые при непосредственном физическом доступе к средствам автоматизированной системы (АС):
-
кража (утеря) носителей информации;
-
несанкционированный доступ к информации, хранящейся на съемных носителях;
-
восстановление защищаемой информации и информации об АС путем анализа выведенных из употребления носителей информации;
-
несанкционированный доступ к информации;
-
модификация, уничтожение, блокирование информации;
-
нарушение работоспособности АРМ из состава АС;
-
нарушение работоспособности коммутационного оборудования, каналов связи;
-
несанкционированное (в том числе непреднамеренное) отключение средств защиты информации;
-
внедрение вредоносного ПО;
-
установка ПО, не предназначенного для исполнения служебных обязанностей;
-
установка аппаратных закладок в приобретаемые ПЭВМ;
-
внедрение аппаратных закладок посторонними лицами после начала эксплуатации;
-
вывод информации на неучтенные носители (в том числе вывод на печать);
-
утечка защищаемой информации;
-
модификация технических средств АС, внесение неисправностей в технические средства.
-
Модель нарушителя тесно связана с моделью угроз и обычно является ее частью. Смысловые отношения между ними следующие. В модели угроз содержится максимально полное описание опасностей для объекта. В модели нарушителя конкретизируется: кто, какими средствами и с использованием каких знаний может реализовать угрозы и нанести ущерб объекту.
-
При разработке модели предполагается, что доступ к защищаемой информации нарушитель может получить путем:
-
преодоления (обхода) средств и системы ЗИ, систем контроля доступа;
-
использования специализированных средств съема (добывания) И по техническим каналам;
-
использование средств специальных воздействий;
-
внедрения аппаратных закладных устройств.
-
Нарушители ИБ могут быть следующих типов:
-
внешние нарушители, осуществляющие атаки из-за пределов контролируемой зоны АС;
-
внутренние нарушители, осуществляющие атаки, находясь в пределах контролируемой зоны АС.
-
20. Сущность и содержание временных, территориальных, пространственных, частотных и энергетических ограничений для обеспечения зи.
-
Согласно Доктрине информационной безопасности Российской Федерации (9 сентября 2000 года):
-
Основными ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИМИ мероприятиями по защите информации в общереспубликанских инфокоммуникационных системах является введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
-
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
-
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
-
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты
-
Энергетические – это снижение интенсивности излучения и работа на пониженных мощностях.
-
Частотные – частотные преобразования сигнала
-
( примечание: воспользовавшись приобретённым умением творчески мыслить, пытаемся впарить что-нибудь про эти ограничения Кузьмичу)
-
-