- •1. Система обеспечения информационной безопасности в Российской Федерации.
- •1.1 Понятие «система обеспечения информационной безопасности».
- •1.2 Государственная система обеспечения информационной безопасности рф и ее структура.
- •1.4 Общая характеристика деятельности федеральных органов исполнительной власти рф в области обеспечения информационной безопасности: фстэк, фсб, фсо, свр, мо, мвд рф.
- •2. Значение и цели защиты информации в современной России.
- •2.1 Общая характеристика целей защиты информации.
- •2.2 Соответствие целей защиты информации характеру защищаемой информации и характеристикам субъектов информационных отношений.
- •3. Угрозы безопасности информации.
- •3.1 Понятие «угроза безопасности информации». Причины возникновения угроз безопасности информации. Классификация и характеристика угроз.
- •3.2 Разработка моделей угроз безопасности информации конкретной организации.
- •3.3 Определение актуальности угроз.
- •3.4 Ущерб организации в результате реализации угроз безопасности информации.
- •3.5 Виды ущерба. Структура прямых и косвенных потерь при реализации угроз безопасности информации.
- •4. Каналы и методы несанкционированного доступа к информации.
- •4.2 Методы несанкционированного доступа к информации, применяемые при использовании каждого канала.
- •4.3 Классификация каналов несанкционированного доступа к информации.
- •4.4 Понятие «атаки» на информационную систему. Основные методы реализации атак на информационные системы.
- •5. Уязвимость информации в информационных системах.
- •5.1 Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации.
- •5.2 Классификация уязвимостей информации.
- •5.3 Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем.
- •5.4 Порядок оценки уязвимости информации в информационных системах.
- •6. Риски информационной безопасности.
- •6.1 Понятие «риск информационной безопасности».
- •7. Объекты защиты информации.
- •7.1 Понятие «рубеж защиты информации».
- •7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности.
- •8. Классификация методов и средств защиты информации.
- •8.1 Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности.
- •9. Механизмы защиты государственной тайны.
- •9.2 Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента рф № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».
- •10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.
- •10.2 Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •10.3 Понятие «служебная тайна» в соответствии с требованиями Указа Президента рф № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».
- •Федеральный закон о служебной тайне
- •2. Порядок обращения с документами, содержащими служебную информацию ограниченного распространения
- •Глава 3. Права субъекта персональных данных
- •Глава 4. Обязанности оператора
- •11. Механизмы защиты информации в информационных системах документооборота.
- •11.3 Средства и технологии эп: удостоверяющие центры и их функции, сертификаты ключа проверки эп; классы сертификатов и их отличия.
- •12. Механизмы управления информационной безопасностью.
- •12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.
- •12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.
- •1. Первоначальный аудит безопасности
- •2. Разработка
- •3. Внедрение
- •4. Аудит и контроль
- •5. Пересмотр и корректировка
- •13. Механизмы менеджмента информационной безопасности.
- •13.1 Управление информационной безопасностью предприятия на основе положений гост р исо/мэк 27001-2006.
- •13.2 Использование процессного подхода в управлении информационной безопасностью на основе модели pdca: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.
- •1. Средства защиты информации, встроенные в системное программное обеспечение.
- •1.1 Общая характеристика системы защиты информации, встроенной в современную операционную систему. Понятие, сущность и общая характеристика процессов аутентификации, авторизации и аудита.
- •1.4 Процедура аудита, осуществляемого средствами операционной системы. Сущность аудита, его роль в обеспечении безопасности и выполняемые функции.
- •1.5 Журналы событий и безопасности Windows. Порядок использования содержания журналов для получения сведений в целях обеспечения безопасности.
- •2. Прикладные программные средства защиты информации.
- •2.4 Средства создания виртуальных частных сетей. Понятие, возможности, принцип действия и область использования технологии vpn. Состав сети и основные функциональные возможности vpn.
- •Intranet vpn
- •Internet vpn
- •2.5 Средства обнаружения и предотвращения атак. Понятие, классификация и примеры сетевых атак.
- •3. Программно-аппаратные средства защиты информации.
- •3.2 Электронная подпись (эп). Контроль целостности информации с использованием эп. Процессы формирования и проверки эп. Технология использования эп.
- •4. Системы резервного копирования.
- •5. Обеспечение безопасности информации в «облачных» вычислениях.
- •Практика
- •11. Управление параметрами логического входа в операционную систему ms Windows с использованием программно-аппаратных средств биометрической аутентификации.
- •12. Защита ресурсов операционной системы ms Windows от нсд с использованием программно-аппаратного средства.
- •16. Обнаружение закладочных устройств в защищаемом помещении предприятия.
- •16.1 Практическое обнаружение излучающих закладочных устройств в защищаемом помещении предприятия с использованием поискового комплекса «Крона».
- •16.2 Практическое обнаружение неизлучающих закладочных устройств в защищаемом помещении предприятия с использованием нелинейного локатора nr-900ems.
- •17. Разработка плана расследования инцидента информационной безопасности в должности руководителя (сотрудника) группы реагирования.
- •1. Общая характеристика каналов утечки информации.
- •2. Способы и средства инженерно-технической защиты информации.
- •2.4 Общая характеристика средств нейтрализации угроз. Средства управления системами защиты. Интегрированные системы защиты.
- •3. Оценка защищенности объектов информатизации.
- •4. Аттестация объектов информатизации по требованиям безопасности информации.
- •1. Реализация проекта создания системы защиты информации (приобретения технических, программно-аппаратных средств защиты информации).
- •2. Моделирование затрат на информационную безопасность.
- •1. Методы криптографической защиты информации.
- •2. Симметричные алгоритмы шифрования.
- •2.1 Модель симметричной криптосистемы. Примеры алгоритмов симметричного шифрования: des, Triple des, aes и их основные характеристики.
- •3. Асимметричные алгоритмы шифрования.
- •4. Электронная подпись.
- •1. Управление инцидентами информационной безопасности на предприятии.
- •1.1 Менеджмент инцидентов информационной безопасности на основе требований нормативных документов. Общая характеристика и краткое содержание этапов менеджмента инцидентов информационной безопасности.
11. Механизмы защиты информации в информационных системах документооборота.
Механизмы защиты
Известно, что фокус всех систем ИБ в ЭДО сформирован на применении средств аутентификации должностных лиц в виде электронной подписи (ЭП), на разграничении доступа к документам на основе определения ролей пользователей, на возможном шифровании содержимого хранилища документов и применении криптотуннелей: либо для доставки документов до пользователей, либо для обеспечения доступа пользователей к серверам ЭДО в случае коллективной обработки документов.
Следует рассмотреть все эти механизмы защиты, общие для всех систем ЭДО, в их современном понимании. Например, электронная подпись. В соответствии с современными требованиями к ЭП, сформулированными в № 63-ФЗ "Об электронной подписи", сегодня вполне правомерно использование простой и неквалифицированной ЭП в системах ЭДО, что раньше было недопустимо. Это, с одной стороны, существенно упрощает жизнь разработчикам и заказчикам, но с другой – существенно усложняет сам процесс аутентификации. С использованием ЭП достоверность механизмов защиты, ранее внедряемых посредством ЭЦП (электронно-цифровая подпись), существенно снижается. Это послабление делает этот механизм защиты дополнительным, но никак не основным (как было ранее). Известны решения, построенные на принципах кросс-сертификации, что в целом поддерживает прежний status-quo, но необходимо использование иных механизмов защиты в качестве основных.
Системы разграничения доступа в ЭДО обычно практически полностью основаны на аналогичных из состава СУБД, обслуживающей документооборот. Мало того, что часто такие системы не проходят необходимые процедуры сертификации в качестве средств контроля НСД (несанкционированного доступа), так они опираются на столь же несертифицированные, хотя и более развитые средства СУБД. В результате в целом системы ЭДО имеют низкие классы защищенности и уж тем более не имеют возможности обрабатывать сведения, составляющие гостайну РФ.
Использование внешних по отношению к ЭДО криптосредств сегодня является, пожалуй, "последним рубежом обороны" в таких системах. Однако вопросы применения разнородных средств шифрования в единой СЭД и сертификации этих средств по соответствующим требованиям в необходимом объеме здесь остаются открытыми. Не говоря уже о проведении необходимых процедур оценки корректности встраивания криптомодулей в прикладные задачи и т.п.
11.1 Системы электронного документооборота: понятие, архитектура, выполняемые функции, преимущества и недостатки, перечень механизмов защиты информации, примеры программных реализаций систем электронного документооборота.
Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.
СЭД — программно-аппаратный комплекс, предназначенный для передачи ин-
формации по телекоммуникационным каналам связи между территориально уда-
ленными информационными массивами.
Базовой единицей СЭД является электронный документ (ЭД). В общем случае
ЭД представляет собой совокупность файлов разного типа (составных частей доку-
мента) и снабжен регистрационной карточкой.
Регистрационно-контрольная карточка содержит набор реквизитов, таких как
название организации, вид документа, отметки о согласованиях и утверждениях,
даты, адреса сторон и т.д., и позволяет регистрировать, идентифицировать и нахо-
дить документ, контролировать исполнительскую дисциплину, отслеживать исто-
рию документа и архивировать его.
Основная задача СЭД – управление полным жизненным циклом документа,
начиная с его создания и заканчивая списанием в архив и уничтожением, т.е. управ-
ление движением документов (документооборотом).
Как правило, СЭД состоит из двух основных блоков: статического (электронный
архив) и динамического (документооборот). Первый блок обеспечивает первичную
обработку документов (регистрация входящей и исходящей информации, поиск,
составление отчетов и пр.), а второй – организацию информационных потоков, по
которым проходят документы, контроль исполнения, групповую работу над доку-ментом и т.п.
Помимо базовых функций в современных СЭД реализовано множество других подсистем, обеспечивающих такие функции как: потоковый ввод бумажных доку-ментов; поддержка истории работы с документом (для учета обращений и подго-товки отчетов), поиск по атрибутам документа и по его содержанию, разграничение прав доступа, маршрутизация документов по рабочим местам пользователей, интеграция с почтовыми системами, формирование отчетов, защита документов с по-мощью шифрования и ЭП.
Виды СЭД:
АСКИД – автоматизированные системы контроля исполнения документов;
- электронные архивы;
- СОГР – системы организации групповой работы (GroupWare);
- САДП – системы автоматизации деловых процессов (WMS – Workflow Management System);
- СУД – системы управления документами (DMS – Document Management System).
Среди плюсов внедрения электронного документооборота – экономия, которая получается при отказе от ежемесячных закупок бумаги, чернил и других расходных материалов, а также оплату почтовых услуг. К тому же, реализация общего доступа к документам, находящимся при таком раскладе в цифровом формате, повышает мобильность сотрудников, многие из которых получают возможность работать удаленно. Наконец, стоит вспомнить и о том, что в компьютере или облачном хранилище быстро найти нужный документ в разы проще, чем в куче бумаг.
По мнению экспертов, главный минус введения электронного документооборота заключается в том, что пока что нельзя полностью утверждать о достойному уровне конфиденциальности информации. Локальные сервера, ограничения доступа и различные способы шифрования способны решить проблему лишь частично, поэтому особо важные документы необходимо иметь и в бумажном виде. Это спасет и в том случае, если вся база данных будет утеряна по причине какого-то технического сбоя; впрочем, хранение данных в облачных сервисах сводит на нет этот минус. Наконец, многих останавливает то, что переход с бумаг на электронные документы – дело довольно длительное и сложное.
11.2 Использование механизма электронной подписи (ЭП) в соответствии с требованиями Федерального Закона РФ №63-ФЗ 2011 г. «Об электронной подписи»: сфера действия Закона, принципы использования ЭП, виды и характеристика; порядок обеспечения юридической значимости документов, подписанных ЭП.
Сфера действия:
Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Виды электронных подписей:
Существует простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи
Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Порядок признания электронной подписи:
Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи
4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).