- •1. Структура информационных ресурсов и соответствующих законодательных актов.
- •2. Государственная тайна и ее защита.
- •3. Федеральные требования по защите информации.
- •4. Уголовный кодекс рф и информационная безопасность.
- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •14. Подход клиент/сервер и информационная безопасность.
- •15. Классификация угроз и механизмы защиты (по цели реализации угрозы, по принципу воздействия).
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •4. Перехват трафика внутри сети:
- •1. Доступ к каналам связи:
- •2. Внешние атаки через internet:
- •3. Доступ через Internet с мобильного пользователя:
- •20. Проектирование средств защиты информации. Вертикальная структура.
18. Организационно-распорядительные мероприятия.
Организационные мероприятия для обеспечения защиты информации от утечки, модификации или уничтожения включают:
Физическая охрана периметра здания офиса;
Контроль доступа в помещения АСОИ посторонних лиц, особенно в нерабочее время, должна функционировать пропускная система входа в здание предприятия;
Распоряжения о персональном доступе в кроссовое помещение;
Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться;
Документ о конфиденциальных ресурсах и регламент порядка доступа к этой информации;
Положения о пользователях АИС, т.е. должны быть указаны какие права и обязанности должен соблюдать пользователь при работе с данной АИС, а также координаты сотрудника или отдела, куда можно обращаться за помощью, если возникли проблемы в процессе работы с системой; права доступа утверждаются руководителем предприятия.
Положение об администраторе системы и приказ о его назначении;
Заключение договора о конфиденциальности с сотрудниками общества;
Регламент о резервном копировании и архивировании, который описывает: кто отвечает за эти действия, а также график их выполнения (предусмотреть количество создаваемых экземпляров при проведении резервного копирования, очередность их перезаписи; архивные копии должны храниться отдельно в разных помещениях, а лучше в разных зданиях).
Запрет использования переносных устройств информации (съемные винчестеры, flash-устройства);
Должен быть разработан список доступа пользователей к информационным объектам: матрица доступа (каждый сотрудник, использующий АС должен иметь доступ только к той информации, с которой он непосредственно работает);
Описание конфигурации серверов, все конфигурационные файлы должны быть зарезервированы (сохранены);
Регламент антивирусной защиты;
Регламент очистки памяти после выполнения задач, связанных с защищаемой информацией;
Регламент действий по восстановлению системы после сбоев;
Резервирование аппаратных ресурсов системы (обязательное наличие горячих ресурсов при выходе из строя активного оборудования);
Создан список исполнителей регламентов.
19. Проектирование средств защиты информации. Горизонтальная структура.
В разрабатываемой подсистеме (системе) в зависимости от используемых ролей настраиваются права конкретного пользователя, при этом оговариваются набор доступных ему подсистем и перечень операций, которые он может выполнять в каждой из них.
Все пользователи системы, а также файловый сервер должны быть соединены в сеть. Компьютеры пользователей соединены между собой специальным устройствам (Switch/Hub), которые позволяют объединить компьютеры в небольшую локальную сеть. Пользователи должны иметь в своём распоряжении все необходимые дополнительные устройства (сканер, принтер, плоттер и т.д.).
Угрозы безопасности могут быть как внутренние (внутри ЛВС), так и внешние (если к сети есть доступ из внешнего мира, например прямой выход в Internet или при работе с удаленными пользователями).
Внутренние угрозы:
1. Физический доступ к серверам и активному оборудованию: перезагрузка, выключение, выведение из строя противоправными действиями:
Обеспечение физической охраны помещения;
Выделение отдельного специального помещения для серверов и активного оборудования;
Регламент на посещение помещений с активным оборудованием, контроль ключей.
2. Физический доступ к ПЭВМ пользователей: материальный ущерб оборудованию, незаконный доступ к информации с рабочего места пользователя:
Обеспечение физической охраны;
Регламент работы пользователей в своих помещениях (контроль окон и дверей);
Использование на рабочих местах пользователей хранителей экрана;
Желательно убрать все устройства для физических носителей;
3. Физический доступ к принтеру: извлечение конфиденциальной информации, напечатанной на данном принтере:
Сгруппировать сотрудников предприятия, таким образом, чтобы внутри отдельной группы велась работа только с одной конфиденциальной информацией;
произвести настройки сетевых ресурсов, так, чтобы сотрудники выделенных групп могли осуществить печать только на “отведенных” для них устройствах печати.