- •1. Методы управления защитой информации.
- •Функции администратора иб.:
- •Организационно-техническая форма защиты информации
- •6. Модель службы защиты информации и противодействия разведкам.
- •7. Страховая форма защиты информации
- •8. Структура организации защиты информации по требованиям безопасности информации в России
- •Объект информатизации
- •10. Модель деятельности службы зи.
- •Что относится к основным техническим средствам и системам
- •Основные
- •Вспомогательные
- •Какие документы используются при разработке Руководства
- •Что относится к вспомогательным техническим средствам и системам
- •«Общие положения» Руководства, что в нем приводится
- •Что включается в комплекс организационных мероприятий
- •Что такое руководство по защите информации от технических разведок и от её утечки по техническим каналам на предприятиях (в организациях, учреждениях, фирмах)
- •Органы сертификации и аттестации, их функции
- •Раздел «Охраняемые сведения об объекте» Руководства, что в нем указывается
- •19. Виды сертификации.
- •20. Раздел «Демаскирующие признаки объекта и технические каналы утечки информации» Руководства, что в нем указывается
- •21. Органы сертификации сзи, их функции
- •22. Раздел «Оценка возможностей иностранных технических разведок и других источников угроз безопасности информации» Руководства, что в нем указывается
- •23. Испытательные центры (лаборатории), их функции
- •24. Раздел «Организационные и технические мероприятия по зи» Руководства, что в нем указывается
- •25. Подача и рассмотрение заявки на сертификацию сзи
- •26. Раздел «Обязанности и права должностных лиц» Руководства, что в нем указывается
- •27. Аккредитация предприятий.
- •28. Раздел «Планирование работ по зи» Руководства, что в нем указывается
- •29. Что понимается под сертификацией продукции по тби.
- •30. Раздел «Контроль состояния зи» Руководства, что в нем указывается
- •31. Положение об аттестации ои по тби.
- •32. Раздел Аттестование рабочих мест
- •33. Что такое Аттестат соответствия, когда и кем выдается.
- •34. Раздел взаимодействие с другими предприятиями
- •35. Органы по аттестации объектов информатизации, их функции
- •37. Порядок проведения аттестации ои по тби.
- •Положение о подразделении по зи от иностранных технических разведок и от её утечки по техническим каналам на предприятии. Общие положения
- •40. Основные функции подразделения по зи
- •41 Угрозы информации и источники угроз
- •42. Права п/р по защите информации.
- •44. Финансирование подразделения по защите информации
1. Методы управления защитой информации.
Операционные методы и методы управления.
Меры защиты разделяют на законодательные, технические и организационные.
Организационные методы проще, дешевле, если есть возможность обойтись только ими, то это лучше. Технические методы более сложны, требуют аппаратуру и специалистов.
Сущетсвует 3 формы защиты информации: правовая, организационно-техническая, страховая.
Правовая форма — применение статей конституции, ГК, рекоммендаций ФСТЭК и тд. Регламентурует права и обязанности субъекта инф отношений, про статус органов, тех средств и способоз защиты,явл базой в обл ЗИ.
Орг-техн — применение организационных норм-метод документов, сертификация защищенных изделий и среств и способов защиты, создание объекта и системы защиты, аттестация ОЗ, лицензирование (предприятия и руководителя). Каждый объект, имеющий в обработке информацию (тайну) должен быть аттестован.
Страховая — согласно постановлению о ЗИ и сертификации продукции все программы (и др) предаставляют собой продукт и должны быть затсрахованы. Страховая форма основана на выдаце страховыми общетсвами гарантии мат гарантия рассекречевания.
Тех ср. обр информации — обеспечивает прием, хранение, поиск, преобразование, отобращение, передачу инф по каналам связи. К ним относятся ср-ва записи, ср-ва выч техники и ср-ва систем связи, записи, усиления звука, переговорные устройства, средства изготовления и размножения документов, проикционная аппаратура и др устройства связанные с приемом, хранением, накаплением и отобращением информации по каналам связи.
Управление безопасностью информационных технологий включает в себя анализ требований по обеспечению Безопасности, разработку плана выполнения этик требований, реализацию положений этого плана, а также управление и административный контроль над реализуемой системой безопасности. Этот процесс начинается с определения цело и и стратегии, которые устанавливает для себя организация е целях обеспечения безопасности и разработки политики безопасности информационных технологий.
Важной частью процесса управления безопасностью информационных технологий является оценка уровня риска и методов снижения его до приемлемого уровня. Необходимо при этом учитывать направленность деловой деятельности организации, ее организационную структуру и условия эксплуатации системы ИГ, а также специфические вопросы и виды рисков, присущие каждой системе обеспечения безопасности информационных технологий.
После проведения оценки требований безопасности, предъявляемых к системам и информационных технологий и отдельным видам услуг следует выбрать стратегию анализа риска. Применительно к системам с высоким уровнем риска подробно рассматриваются активы. возможные угрозы и уязвимости системы в целях проведения детального анализа риска, что позволит облегчить выбор эффективных защитных мер. которые будут соответствовать оценкам уровня риска.
После оценки уровня риска для каждой системы информационных технологий определяют соответствующие меры защиты, направленные на снижение уровня риска до приемлемого уровня.
Кроме того, управление безопасностью информационных технологий включает в себя решение текущих задач, связанных с проведением различных последующих действий, что может привести к корректировке полученных ранее результатов и принятых решений. Последующие действия включают в себя обслуживание и проверку соответствия безопасности, управление изменениями, мониторинг и обработку инцидентов.
Основные принципы создание и поддержание систем защиты информации .
Принципы:
Системности.
Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему.
Комплексности.
Предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов
Непрерывности защиты.
Непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования.
Разумная достаточность.
Расходы на защ. не должны превышать потерь при утери инфы.
Гибкость системы защиты.
Использование различн методов ЗИ в зависимости от требуемой ЗАщ.(уровня) варьирования уровня защищенности .
Открытость алгоритмов и механизмов защиты.
Защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей
Правовая форма защиты информации
Защита информации, базирующаяся на применении статей:
конституции и законодательства государства;
положений гражданского и уголовного кодексов
других нормативно-правовых документов в области информатики, информационных отношений и защиты информации.
Правовая форма защиты информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является базой для создания морально-этических норм в области защиты информации.
На уровне конкретного предприятия разрабатываются собственные нормативно- правовые документы, к которым относят:
Политика Информационной безопасности;
Положение о коммерческой тайне;
Положение о защите персональных данных;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.