- •Понятие и виды защищаемой информации.
- •Государственное регулирование вопросов, связанных с защитой и обработкой конфиденциальных документов.
- •Определение потенциальных каналов и методов несанкционированного доступа к информации.
- •Отнесение сведений к государственной тайне и их засекречивание
- •Принципы добывания и обработки информации техническими средствами.
- •Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций.
- •Лицензирование деятельности юридических лиц в области защиты государственной тайны.
- •Направления, принципы и условия организационной защиты информации.
- •Подготовка конфиденциальных дел и документов для уничтожения.
- •Понятие коммерческой тайны. Правовое обеспечение защиты коммерческой тайны. Сведения составляющие коммерческую тайну.
- •Порядок засекречивания сведений и их носителей.
- •Сущность и задачи комплексной системы защиты информации.
- •Порядок допуска и доступа к государственной тайне.
- •Защита государственной тайны
- •Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •Профессиональная и служебная тайна.
- •Материально-вещественные каналы утечки информации.
- •Учет поступивших конфиденциальных документов.
- •Правовые основы защиты персональных данных.
- •Задачи, функции и ответственность ведомственного архива.
- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Правовые основы криптографической защиты информации.
- •Подготовка конфиденциальных дел и документов для архивного хранения.
- •Основные составляющие систем тсо: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, питания и тревожно-вызывной сигнализации.
- •Лицензирование в области технической защиты информации.
- •Конфиденциальное электронное делопроизводство.
- •Организация охраны предприятий.
- •Виды информации, защищаемой техническими средствами.
- •Допуск и доступ к конфиденциальной информации и документам.
- •Принципы организации и этапы разработки комплексной системы защиты информации.
- •Демаскирующие признаки объектов защиты.
- •Организация внутриобъектового и пропускного режимов на предприятиях.
- •Квартальные проверки фактического наличия конфиденциальных документов и носителей.
- •Источники и носители информации, защищаемой техническими средствами.
- •Методы, силы и средства организационной защиты информации.
- •Нерегламентные проверки наличия конфиденциальных документов, дел и носителей.
- •Организация охраны предприятий.
- •Оформление и учет носителей конфиденциальных документов.
- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •Создание дополнительных экземпляров конфиденциальных документов.
- •Классификация и структура технических каналов утечки информации.
- •Защита информации при публикаторской и рекламной деятельности.
- •Организация рабочих мест сотрудников службы защиты информации (рациональное размещение, оснащение оборудованием, техническими средствами).
- •Основные способы и принципы работы средств наблюдения объектов, подслушивания и перехвата сигналов.
- •Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •Допуск и доступ к конфиденциальной информации и документам.
- •Системный подход к инженерно-технической защите информации.
- •Направления и методы работы с персоналом, обладающим конфиденциальной информацией.
- •Принципы управления службой защиты информации.
- •Основные этапы проектирования системы защиты информации техническими средствами.
- •Потоки конфиденциальных документов. Понятие «Защищенный документооборот».
- •Факторы, влияющие на организацию комплексной системы защиты информации.
- •Принципы моделирования объектов защиты и технических каналов утечки информации.
- •Система доступа к конфиденциальным документам.
- •Определение объектов защиты.
- •Оптические каналы утечки информации.
- •Учет поступивших конфиденциальных документов.
- •Разработка модели комплексной системы защиты информации.
- •Радиоэлектронные каналы утечки информации.
- •Копирование конфиденциальных документов.
- •Сущность и содержание контроля функционирования комплексной системы защиты информации
- •Акустические каналы утечки информации.
- •Создание выписок из конфиденциальных документов.
- •Технологическое и организационное построение комплексной системы защиты информации.
- •Материально-вещественные каналы утечки информации.
- •Создание выписок из конфиденциальных документов.
- •Структура и содержание должностных инструкций сотрудников службы защиты информации.
- •Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.
- •Прием, предварительное рассмотрение поступивших конфиденциальных документов.
- •Правовые основы использования организационных и технических средств защиты информации.
- •Основные составляющие систем тсо: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, питания и тревожно-вызывной сигнализации.
- •Формирование конфиденциальных дел.
- •Понятие сертификации по российскому законодательству
- •Отрасли права, обеспечивающие правовое регулирование в сфере защиты информации и охраны интеллектуальной собственности.
- •Оформление конфиденциальных дел.
- •Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.
- •Составление и оформление номенклатуры конфиденциальных дел.
- •Задачи и функции службы защиты информации.
- •Технология отправки конфиденциальных документов.
- •Методы, силы и средства организационной защиты информации.
- •Порядок создания службы защиты информации. Организация взаимодействия службы защиты информации и подразделений предприятия и соподчиненных внешних служб защиты информации.
- •Назначение, виды и принципы проведения проверок наличия конфиденциальных документов, дел и носителей конфиденциальной информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Общие и специфические требования, предъявляемые к сотрудникам службы защиты информации. Методы получения информации о кандидатурах на должности.
- •Источники и носители информации, защищаемой техническими средствами.
Сущность и содержание контроля функционирования комплексной системы защиты информации
Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления для достижения поставленной цели.
В целом процесс контроля можно разбить на последовательные этапы:
- формулирование цели
- формирование стандартов
- разработка критериев оценки
- разработка систем показателей
- проведение процедуры сравнительного анализа
- обобщение полученной информации и
- корректировка деятельности.
• Основные требования к контролю: комплексность; своевременность; стандартизация; простота; доступность; гибкость; объективность; экономичность.
• Общие цели контроля: уменьшение отклонений от заданных норм; уменьшение неопределенной деятельности; предотвращение кризисных ситуаций.
• Современные виды контроля: мониторинг — непрерывное поступление информации; контроллинг — оценка экономичности; бенчмаркинг (управленческое воздействие, заключающееся во внедрении в практику деятельности организации технологий, стандартов и методов деятельности более успешных организаций — аналогов).
Контроль функционирования КСЗИ можно разделить на два основных вида — внешний и внутренний. Внешний контроль функционирования КСЗИ осуществляется различного рода государственными органами, а также может осуществляться аудиторскими организациями.
Внутренний контроль осуществляется службой безопасности предприятия и подразделением зашиты информации предприятия.
Внешний контроль отслеживает обеспечение защиты государственной тайны и персональных данных:
Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комиссиями, службой безопасности и подразделением защиты информации. Подразделяется на текущий (постоянный), периодический (плановый) и внезапный.
Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и
несанкционированного (неправомерного, противоправного) доступа к информации, выработка рекомендаций по закрытию этих каналов.
• Основные задачи контроля:
— оценка деятельности органов управления по методическому руководству и координации работ в области зашиты информации в подчиненных подразделениях;
— выявление каналов утечки информации об объектах зашиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;
— выявление работ с защищаемой информацией, выполняемых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;
— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подготовка предложений по совершенствованию защиты информации;
— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.
• Система контроля состояния защиты информации базируется на следующих основных принципах:
— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;
— независимость органов контроля от должностных лиц контролируемых объектов при осуществлении полномочий;
— соблюдение законности в работе органов контроля и их должностных лиц;
— системность и регулярность в проведении контроля;
— профессионализм сотрудников органов контроля, применение ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
— объективность анализа обстоятельств и причин нарушений в состоянии зашиты информации;
— наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и недостатков;
— экономическая целесообразность функционирования контрольных органов — оптимальное сочетание результативности деятельности органов с затратами на их содержание.
Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; атаки; отзыв и изучение документов и др.
Периодичность проведения проверок состояния технической зашиты информации устанавливается:
• для организаций, работающих со сведениями «особой важности» (образцы 1-й категории) — не реже одного раза в два года;
• для организаций, работающих со сведениями, имеющими гриф «совершенно секретно» (образцы 2-й категории) — не реже одного раза в три года;
• для организаций, работающих со сведениями, имеющими гриф «секретно» (образцы 3-й категории) — не реже одного раза в пять лет.
В зависимости от вида контроль эффективности защиты может быть организационным и техническим.
Организационный контроль — проверка соответствия полноты и обоснованности мероприятий по защите требованиям руководящих документов в области технической защиты информации.
Технический контроль — это контроль эффективности защиты, проводимый с использованием соответствующих средств. Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля.
Билет № 22