- •Введение
- •1. Организационное обеспечение информационной безопасности
- •1.1. Методы, обеспечивающие безопасность информации
- •1.2. Проблема информационной безопасности
- •1.3. Основные составляющие информационной безопасности
- •1.4. Информация конфиденциального характера
- •1.5. Стратегия информационной безопасности и её цели
- •1.6. Административный уровень информационной безопасности
- •2. Концептуальные положения организационного обеспечения информационной безопасности
- •2.1. Концепции национальной безопасности рф
- •3. Угрозы информационной безопасности на объекте
- •3.1. Виды угроз безопасности
- •3.2. Модель угроз безопасности Меры защиты
- •3.3. Принципы комплексной системы защиты информации
- •3.4. Система обеспечения информационной безопасности
- •Литература
- •3.5. Предпосылки появления угроз
- •3.6. Угрозы безопасности информации и их классификация
- •4. Организация службы безопасности объекта
- •4.1. Концептуальная модель информационной безопасности
- •5. Концепция информационной безопасности
- •6. Овладение конфиденциальной информацией
- •6.1. Уязвимые места в информационной безопасности
- •6.2. Направления обеспечения информационной безопасности
- •6.3. Задачи службы безопасности предприятия
- •6.4. Концепция создания физической защиты важных объектов
- •7. Организационная структура системы обеспечения информационной безопасности
- •8. Основные мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •9. Система организационно-распорядительных документов по организации комплексной системы защиты информации
- •10. Разработка технико-экономического обоснования создания сфз и комплекса итсо
- •10.1. Правовые основы создания службы безопасности
- •10.2. Структура службы экономической безопасности
- •11. Технология защиты от угроз экономической безопасности
- •11.1. Служба безопасности и проверка контрагентов
- •12 . Подбор сотрудников и работа с кадрами
- •12.1. Обеспечение безопасности коммерческих структур
- •12.2. Организация внутриобъектового режима
- •13. Требования и рекомендации по защите информации
- •13.1. Требования по технической защите информации
- •14. Организация охраны объектов
- •14.1. Контрольно-пропускной режим на предприятии
- •14.2. Подготовка исходных данных
- •14.3. Оборудование пропускных пунктов
- •14.4. Организация пропускного режима
- •15. Организационно-правовые способы нарушения безопасности информации
- •15.1. Цель и задачи защиты информации
- •15.2. Основные направления деятельности по защите информации
- •15.3. Основы организации защиты информации
- •16. Система защиты информации и ее задачи
- •16.1. Организационная система защиты информации
- •1) Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.
- •2) Управление Государственной технической комиссии при Президенте Российской Федерации.
- •17. Государственная политика и общее руководство деятельностью по защите информации
- •17.1. Направления формирования системы защиты информации
- •17.2. Этапы реализации концепции защиты информации
- •17.3. Финансирование мероприятий по защите информации
- •17.4. Результаты реализации концепции защиты информации
- •Контрольные вопросы к экзамену
- •Стандартизованные термины и их определения
- •1. Основные понятия
- •2. Организация защиты информации
- •Информационное законодательство рф
- •Библиографический список
- •Организационное обеспечение информационной безопасности
- •6 80021, Г. Хабаровск, ул. Серышева, 47.
- •Л.П. Березюк
- •Учебное пособие Хабаровск
17.3. Финансирование мероприятий по защите информации
Финансирование деятельности органов власти, бюджетных организаций и их структурных подразделений по защите государственной или служебной тайны осуществляется за счет средств соответствующих бюджетов, а остальных организаций – за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную и служебную тайну.
Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость разработки образца продукции.
Создание технических средств защиты информации, требующее капитальных вложений осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.
17.4. Результаты реализации концепции защиты информации
Реализация Концепции позволит:
улучшить организационную структуру системы защиты информации , ее кадровое обеспечение; повысить оснащенность элементов системы защиты информации высокоэффективными системами, средствами и технологиями защиты информации, а также средствами контроля эффективности защиты информации; улучшить обеспеченность органов власти и организаций, , документами в области защиты информации; повысить обоснованность, оперативность и качество управления системой защиты информации.
В результате реализации основных направлений развития системы защиты информации будет создана система, обеспечивающая требуемый уровень безопасности и устойчивое развитие в информационной сфере с учетом экономических возможностей регионов и адекватно реагирующая на угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее.
Ожидаемый эффект от реализации Концепции состоит:
в предотвращении ущерба от утечки информации, несанкционированного доступа и специальных воздействий на нее в органах власти и организациях;
в обеспечении безопасности информации, циркулирующей в важнейших системах регионального управления; в создании выгодных, с позиции социально-экономической безопасности регионов, условий использования информационных ресурсов субъектов Российской Федерации.
Контрольные вопросы к экзамену
Содержание и структура понятия «безопасность».
Содержание и структура понятия «информационная безопасность».
Содержание и структура понятия «обеспечение информационной безопасности».
Принципы защиты информации от несанкционированного доступа.
Информационное оружие как угроза безопасности информации.
Методы оценки уязвимости информации.
Системная классификация и общий анализ угроз безопасности информации.
Источники угроз безопасности информации.
Структура монитора обращений. Пятимерное «пространство безопасности» Хартсона.
Вирусное подавление как форма радиоэлектронной борьбы.
Основные виды технических каналов и источников утечки информации.
Способы предотвращения утечки информации по техническим каналам.
Организационно – правовое обеспечение защиты информации. (Организационно- правовая основа, юридические аспекты).
Концепция комплексной системы защиты информации (Схема функций и результатов защиты информации)
Методология создания, организации и обеспечения функционирования систем комплексной защиты информации.
Пути и проблемы практической реализации концепции комплексной защиты информации.
Безопасность систем электронного документооборта в банковском учреждении.
Документ как предмет и процесс. Защита информационных технологий. Структура понятия информации (сведения и сообщения). Свойства информации в форме сведений и сообщений.
Определение информации в задачах информационной безопасности. Автономная информация. Информация воздействия. Информация взаимодействия.
Определение информации в задачах информационной безопасности. Автономная информация. Информация взаимодействия.
Информация и данные. Собственные свойства информации.
Информация и данные. Потребительские свойства информации.
Количественные оценки и показатели качества информации.
Циклический процесс получения информации.
Особенности и структура экономической информации.
Защита информации в автоматизированных системах банковских расчетов.
Безопасность электронного финансового документооборота.
Пример практического применения механизма ЭЦП.
Понятия компьютерного преступления.
Криминалистическая характеристика компьютерного преступления. Основные способы совершения компьютерного преступления. Проблемы построение систем защищенного документооборота.
Доктрина информационной безопасности (30.03.2004). Экономические методы обеспечения информационной безопасности.
Доктрина информационной безопасности РФ. Особенности обеспечения информационной безопасности в среде экономики.
Доктрина информационной безопасности РФ. Меры по обеспечению информационной безопасности РФ в среде экономики.
Доктрина информационной безопасности РФ. Основные составляющие национальных интересов РФ.
Дать определение понятию «информационная безопасность». Пояснить составляющие.
Каковы цели обеспечения информационной безопасности. Дать определение составляющим.
Дать определение понятию «система защиты информации.
Дать определение понятию «угроза».
Дать определение понятию «угроза конфиденциальности».
Дать определение понятию «угроза доступности»
Дать определение понятию «угроза целостности».
Дать определение понятию «источник угроз»
Классифицировать источники угроз.
Дать определение понятию «уязвимость».
Классифицировать способы воздействия угроз.
Виды реализации информационных угроз (перечислить, пояснить механизм реализации).
Виды реализации организационно-правовых угроз (перечислить, пояснить механизм реализации)
Виды реализации программных угроз (перечислить, пояснить механизмы реализации).
Виды реализации Internet угроз (перечислить, пояснить механизмы реализации)
Дать определение понятию «троянская программа».
Дать определение понятиям «риск», «управление риском».
Дать определение понятию «оценка риска» (ОР). Перечислить задачи оценки риска.
Описать два подхода к оценке риска.
Перечислить количественные методики оценки рисков.
Основные варианты действий по управлению рисками.
Дать определение понятию «Политика безопасности».
Содержание документа Политика безопасности.
Цели безопасности
Содержание законодательных мер обеспечения информационной безопасности.
Содержание административных мер обеспечения информационной безопасности.
Содержание процедурных мер обеспечения информационной безопасности.
Охарактеризовать элемент безопасности «Управление персоналом». Охарактеризовать элемент безопасности «Физическая безопасность».
Раскрыть понятие «Защищенная область».
Раскрыть понятие «Защита оборудования».
Перечислить механизмы, с помощью которых реализован такой элемент безопасности как «Поддержание работо-способности ИС».
Дать определение понятию «Обеспечение высокой доступности сервиса».
Угрозы доступности.
Перечислить задачи системы антивирусной безопасности.
Содержание документа Функциональная политика антивирусной безопасности.
Перечислить нетрадиционные методы, применяемые для защиты от разрушающих программных средств.
Перечислить и пояснить критерии выбора антивирусных средств.
Перечислить цели реагирования на нарушения информационной безопасности.
Раскрыть понятие «уведомление о нарушениях информационной безопасности».
Перечислить и пояснить требования к извещению о нарушениях информационной безопасности.
Объяснить подход реагирования «защититься и продолжить». Объяснить подход реагирования «выследить и осудить».
Цели и задачи организационной защиты информации, ее связь с правовой защитой информации.
Классификация технических каналов утечки информации. Каналы утечки информации в средствах и системах информатизации.
Виды угроз информационной безопасности на объекте защиты и их характеристика.
Классификация технических каналов утечки информации. Каналы утечки информации из выделенных помещений.
Основные требования ФСТЭК к технической защите информации.
Средства и методы физической охраны объектов.
Основные способы осуществления мер обеспечения безопасности информации. Раскрыть содержание организационных (административных) мер.
Порядок проведения аттестации объектов информатизации. Этапы аттестации. Содержание 2-го этапа аттестации.
Модели нарушителей информационной безопасности на объекте. Характеристика 4-го уровня нарушителя.
Организационные мероприятия по защите конфиденциальной информации.
Основные организационно-распорядительные документы, разрабатываемые на объекте защиты.
Категории конфиденциальности информации. Что относится к информации первой категории.
Структура органов по защите информации в РФ (в Министерстве природных ресурсов Российской Федерации).
Категории объектов информатизации. Краткая характеристика каждой категории.
Структура государственной системы ПД ИТР и технической защиты информации в РФ (в Министерстве природных ресурсов Российской Федерации).
Основные направления деятельности по защите информации. Основы организации защиты информации с СЗФО.
Функции и задачи службы безопасности объекта информатизации.
Требования защищенности СВТ от НСД к информации. Классы и группы защищенности СВТ от НСД.
Типовая структура службы безопасности. Задачи, решаемые подразделениями службы безопасности.
Исходные данные по аттестуемому объекту информатизации.
Основные документы, регламентирующие деятельность подразделения (специалиста) по защите информации.
Требования к помещениям, в которых циркулирует защищаемая информация. Категорирование помещений. Определение границ контролируемых зон (КЗ).
Организация обучения персонала, ее методы и формы.
Требования руководящих документов по порядку разработки и содержанию «Положения о подразделении (специалисте) по защите информации».
Организационные мероприятия, проводимые с целью защиты СВТ и АС от НСД.
Классификационные требования к уровню подготовки главного инженера (руководителя подразделения) по защите информации.
Четыре основные составляющие национальных интересов РФ в информационной сфере.
Требования руководящих документов по порядку разработки и содержанию «Руководства по защите информации …».
Внешние источники угроз безопасности информации.
Типовой перечень внутренних организационно-распорядительных документов по защите конфиденциальной информации.
Внутренние источники угроз безопасности информации.
Задачи, которые необходимо решить для реализации четвертой составляющей национальных интересов РФ в информационной сфере.
Основные направления обеспечения защиты информации от НСД.
Положение по аттестации объектов информатизации.
Основные принципы защиты информации от НСД.
Порядок согласования и утверждения Руководства по защите информации.
Классификационные требования к уровню подготовки выпускника по специальности 090105 «Информационная безопасность телекоммуникационных систем».
Оценка класса защищенности средств вычислительной техники (сертификация СВТ).
Что такое информационная безопасность?
В чем заключаются интересы личности в информационной сфере?
В чем заключаются интересы общества в информационной сфере?
В чем заключаются интересы государства в информационной сфере?
Четыре основные составляющие национальных интересов РФ?
Виды угроз?
Внешние источники угроз?
Внутренние источники угроз?
Что способствует решению вопросов по обеспечению информационной безопасности РФ?
Что приводит к серьезным последствиям. Почему?
Задачи информационной безопасности РФ?
Правовые методы обеспечения информационной безопасности РФ?
Организационно-технические методы обеспечения информационной безопасности РФ?
Экономические методы обеспечения информационной безопасности РФ?
Что наиболее подвержено воздействию угроз информационной безопасности РФ?
Основные меры по обеспечению информационной безопасности РФ в сфере экономики?
Объекты обеспечения информационной безопасности РФ во внутренней политике?
Угрозы информационной безопасности РФ в сфере внутренней политики?
Какие внешние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?
Какие внутренние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?
Наиболее важные объекты обеспечения информационной безопасности РФ в области науки и техники?
Обеспечение информационной безопасности РФ в духовной жизни?
Обеспечение информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?
Основные угрозы информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?
Основные направления обеспечения информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?
Обеспечение информационной безопасности РФ в сфере обороны?
Международное сотрудничество РФ в области обеспечения информационной безопасности?
Основные положения государственной политики обеспечения информационной безопасности РФ?
На каких принципах основывается государственная политика обеспечение информационной безопасности РФ?
Государство в процессе реализации своих функций по обеспечению информационной безопасности РФ?
Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности РФ?
Для чего предназначена система обеспечения информационной безопасности РФ?
Основные функции системы обеспечения информационной безопасности РФ?
Основные элементы организационной основы системы обеспечения информационной безопасности РФ?
Что делает правительство РФ в пределах своих полномочий?
Что делает Совет Безопасности РФ?
Что делают Федеральные органы исполнительной власти?
Что делают Межведомственные и государственные комиссии?
Что делают Органы исполнительной власти субъектов Российской Федерации?
Что делают Органы местного самоуправления?
Что делают Органы судебной власти?
Что предполагает реализация первоочередных мероприятий по обеспечению информационной безопасности РФ настоящая Доктрина?