- •Квалификационная характеристика специалиста по защите информации специальности 090104. Объекты и виды профессиональной деятельности, состав решаемых задач.
- •Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать специалист.
- •Современная государственная политика в области защиты информации.
- •Критерии, условия и принципы отнесения информации к защищаемой
- •Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
- •Назначение и структура систем защиты
- •Классификация носителей защищаемой информации, порядок нанесения информации.
- •Классификация видов, методов и средств защиты
- •Понятие и структура угроз информации
- •Виды тайн. Источники угроз. Способы воздействия угроз.
- •Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
- •Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
- •Уровни политики безопасности: верхний, средний и нижний.
- •Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.
- •Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
- •Структура Службы безопасности.
- •Формирование информационных ресурсов и их классификация.
- •Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
- •Правовые формы защиты интеллектуальной собственности.
- •Система правовой ответственности за разглашение, утечку информации.
- •Правовая защита от компьютерных преступлений.
- •Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
- •Что такое канал утечки информации, технический канал утечки информации? Структура технического канала утечки информации?
- •Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
- •Промышленная разведка. Коммерческая разведка. Система корпоративной разведки. Циклы разведки.
- •Этапы добывания информации. Вероятность обнаружения и распознавания объектов. Информационная работа.
- •Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).
- •Содержание работ по моделированию объектов защиты и каналов утечки информации.
- •Моделирование угроз информации
- •Моделирование каналов несанкционированного доступа к информации
- •Моделирование каналов утечки информации
- •Классификации информации и документов. Свойства различных видов документов.
- •Понятия, определения и особенности конфиденциального документооборота.
- •Принципы обработки конфиденциальных документов.
- •Назначение, состав, этапы организации бумажного защищенного делопроизводства.
- •Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.
- •Разработка проекта комплексной системы защиты объекта информатизации (ои). Согласно гост р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
- •5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных пэвм
- •5.7. Защита информации в локальных вычислительных сетях
- •5.8. Защита информации при межсетевом взаимодействии
- •5.9. Защита информации при работе с системами управления базами данных
- •Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Шифрование
- •Контроль целостности
- •Контроль защищенности
- •Обнаружение отказов и оперативное восстановление
- •Управление
- •Место сервисов безопасности в архитектуре информационных систем
- •Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
- •Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
- •Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.
- •Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
- •Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
- •Общие положения защиты информации техническими средствами. Активные, пассивные и комбинированные технические средства защиты информации.
- •Защита информации от перехвата по побочным каналам утечки.
- •Защиты информации от подслушивания. Способы и средства защиты.
- •Методы защиты информации техническими средствами в учреждениях и предприятиях.
- •Аппаратные средства защиты информации
- •Технические средства защиты информации
- •Модели и методы оценки эффективности защиты информации
- •Контроль эффективности мер по защите информации техническими средствами.
- •Защита внутриобъектовых и межобъектовых линий связи.
- •Основные характеристики и параметры современных видеокамер, видеорегистраторов.
- •Технические средства автоматизированного проектирования систем охранно-пожарной сигнализации и видеонаблюдения.
- •Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
- •Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
- •Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью эвм).
- •Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные атс, радиотелефоны, сотовая связь).
Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
Для сохранения конфиденциальности информации, и ее защиты необходимо регулировать отношения между администрацией и персоналом, опираясь на правовые нормы. Регулирование информационных отношений с помощью права осуществляется посредством установления определенных информационно-правовых норм, т.е. путем установления правил поведения субъектов информационных отношений и применения норм информационного права.
В процессе своей работы предприятие должно руководствоваться определенными документами, регулирующими взаимоотношения между администрацией и работниками. Состав нормативно-правовой базы предприятия по защите информации:
перечень сведений, ограниченного доступа;
положение о порядке обеспечения безопасности информации;
должностные инструкции сотрудников, допущенных к работе ИОД;
памятку работнику о защите ИОД;
договорное обязательство при приеме на работу сотрудника;
соглашения, подготавливаемые на случай возможного увольнения работников, имеющих доступ к сведениям, ограниченного доступа.
Перечень сведений, составляющих коммерческую тайну, определяется руководителем предприятия. Структурно этот перечень должен включать несколько частей, соответствующих различным видам тайны (концептуальной, организационной, технологической, параметрической и эксплуатационной).
Положение о порядке обеспечения безопасности ИОД включает в себя следующие разделы: порядок определения грифа, ограничивающего распространение информации; порядок допуска сотрудников к работе с информацией, составляющей тайну; обязанности сотрудников, допущенных к работе с информацией, составляющей тайну; принципы организации режима работы с информацией, составляющей коммерческую тайну.
Должностные инструкции: Допуск сотрудников к работе с ИОД, осуществляется первым лицом предприятия (директором, президентом и т.д.) и его заместителями и руководителями структурных подразделений. Для принятия решения о допуске работника к информации, составляющей тайну, необходимо его предварительно проверить в течение испытательного срока.
К работе с ИОД допускаются работники, прошедшие испытательный срок, только после изучения ими требований соответствующих документов по защите тайны предприятия, сдачи зачетов на знание изложенных в них требований, оформления ими в письменном виде обязательств по ее неразглашению.
Обязанности работников, допущенных к работе с ИОД состоят в следующем:
в строгом сохранении тайны, ставшей им известной в связи с выполнением служебных обязанностей, либо от других работников фирмы;
в принятии мер по пресечению действий других лиц, которые могут привести к утечке информации;
в немедленном информировании непосредственного руководителя и сотрудника службы безопасности предприятия обо всех фактах несанкционированного доступа к охраняемой информации, либо о создании предпосылок к этому;
в неиспользовании секретов предприятия в личных целях;
в ознакомлении только с теми закрытыми документами, к которым получен допуск в связи с выполнением служебных обязанностей;
в доведении до минимально необходимого числа лиц, участвующих в подготовке документов, содержащих коммерческую тайну;
в неукоснительном соблюдении порядка учета и хранения носителей информации (печатные документы, магнитные носители, образцы и т.д.).
Памятка работнику о защите ИОД должна содержать в очень краткой форме:
основные обязанности и права работника в связи с необходимостью защиты коммерческой тайны;
ключевые моменты, определяющие режим секретности проводимых работ;
перечень основных документов предприятия, регламентирующих порядок обеспечения безопасности тайны.
В трудовом договоре с работником при приеме на работу внесятся следующие обязательства:
в период работы на предприятии не разглашать ИОД, которая стала известны работнику в связи с выполнением им служебных обязанностей;
выполнять в точности относящиеся к работнику требования приказов и иных документов по защите ИОД, с которыми он ознакомлен;
в случае увольнения не разглашать и не использовать известные работнику сведения в личных интересах, или в интересах других физических или юридических лиц.
Также должна быть запись о том, что работник предупрежден о материальной, дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством.
Документы, подготавливаемые на случай возможного увольнения работников, имеющих доступ к ИОД, предназначены для предотвращения разглашения защищаемых сведений и имеют форму соглашения, анкеты, заявления, либо иную.
Обязанности по сохранению ИОД возлагаются и на руководителя организации. Для этого в контракт, заключаемый с руководителем, вводятся соответствующие положения:
обязательство руководителя хранить ИОД и не использовать ее в ущерб организации;
о персональной ответственности за создание необходимых условий для сохранности ИОД;
об ответственности руководителя за нарушения режима защиты ИОД и возможных последствиях.