- •Понятие иб. Существенные признаки понятия иб. Составляющие иб.
- •Необходимые требования для построения и эксплуатации системы обеспечения иб объекта.
- •Основные нормативные документы в области иб и государственные органы рф, контролирующие деятельность в области защиты информации
- •Политика безопасности информации в организации: определение, направления защиты информационной системы, этапы создания средств защиты информации.
- •Классификация компьютерных систем: по способу построения, функциональному назначению, размещению информации в сети
- •Классификация компьютерных систем: по числу главных вычислительных машин, типу используемых эвм, методу передачи данных и по реализации топологии соединения кс в сети.
- •Преднамеренные угрозы безопасности информационных процессов в компьютерных системах: виды, стратегии нарушителя.
- •Программно-аппаратные методы защиты информационных процессов.
- •Организационные методы зип в кс: ограничение доступа, контроль доступа к аппаратуре
- •Ом зип в кс: разграничение и контроль доступа, разделение привилегий на доступ.
- •Ом зип в кс: идентификация и установление подлинности
- •Модели защиты информационного процесса
- •Экономическая целесообразность зи.
Теоретические вопросы
Понятие иб. Существенные признаки понятия иб. Составляющие иб.
ИБ – состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних и внешних угроз.
Признаки ИБ, также составляющие:
Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;
целостность - избежание несанкционированной модификации информации;
доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Необходимые требования для построения и эксплуатации системы обеспечения иб объекта.
Выбор информации в качестве предмета защиты
Использование в расчетах прочности защиты время жизни информации
Использование в построении защиты классификации компьютерных систем по видам, принципам построения и обработки данных
Применение различных подходов к преднамеренным и непреднамеренным угрозам информации
Сведение всех потенциальных угроз к трем событиям: утечке, модификации, утрате
Разработка и использование в постановке задачи модели поведения нарушителя и его классификации
Определение в компьютерных системах возможных каналов несанкционированного доступа к информации со стороны нарушителя
Основные нормативные документы в области иб и государственные органы рф, контролирующие деятельность в области защиты информации
Документы:
Конституция -> Указы президента -> Уголовный кодекс -> Федеральные законы -> Постановления правительства -> Основные нормативно-правовые акты исполнительных органов государственной власти.
Регуляторы:
Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
Федеральная служба безопасности Российской Федерации (ФСБ России);
Федеральная служба охраны Российской Федерации (ФСО России);
Служба внешней разведки Российской Федерации (СВР России);
Министерство обороны Российской Федерации (Минобороны России);
Министерство внутренних дел Российской Федерации (МВД России);
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Политика безопасности информации в организации: определение, направления защиты информационной системы, этапы создания средств защиты информации.
Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Направления защиты информационной системы:
Защита объектов информационной системы;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
Подавление побочных электромагнитных излучений;
Управление системой защиты.
Этапы создания средств защиты информации:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.