- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
Порядок проведения аттестации.
Порядок проведения аттестации регламентируется ”Положением по аттестации объектов информатизациипо по требованиям безопасности информации” и состоит из:
предварительное ознакомление с аттестуемым объектом информатизации. В ходе этого этапа проводится:
Анализ и оценка исходных данных и документации
Изучение технологического процесса обработки и передачи информации, анализ информационных потоков, определение программных состовляющих тех. средств и систем используемых для обработки информации.
Проверка состояния организации работы, выполнение организационно-технических требований по защите информации, оценка правильности классификации информационных систем, категоризирование объектов вычислительной техники в составе информационной системы и выделение помещений.
Проверка подготовки кадров, правильности ответственности персонала.
Проверка наличия предписаний на эксплуатацию средств выч. техники, заключений по спец.проверке тех.средств, сертификатов средств защиты.
Подготовка и согласование программно-аттестационных испытаний, разработка и согласование методик проведения испытаний
Подготовка аналитического отчёта по рез-там предварит-ого ознакомления(в случае неподготовленности объектов аттестации о необходимости проведения до.работ по ЗИ)
В случае необходимости дооснащения объектов тех.срествами ЗИ в целях предотвращения её утечки за пределы контролируемой зоны.
аттестационные испытания объектов выч.техники. После проведения предварительного обследования выч.техники и устранения выявленных замечаний проводятся аттестационные испытания по следующим направлениям:
испытание на соответствие требований по защите информации от утечки за счет ПЭМН.
испытания выч.техники на соответствие требований по ЗИ от утечки за счёт наводок на вспомогательные тех.средства, системы и линии связи.
испытания на соответствие требованиям по защите информации от утечки по цепям заземления и электропитания.
аттестационные испытания объекта информатизации на соответствие требованиям по ЗИ от несанкционированного доступа
аттестационные испытания выделенных помещений. После проведения предварительного обследования выделенного помещения и устранения выявленных при этом замечаний производятся аттестационные испытания на соответствие требованиям по ЗИ речевой информации от утечки:
по акустическому каналу
по вибро-акустическому и оптико-электронному каналам.
по каналу акусто-электрических преобразований (телефон с положенной трубкой)
оценка результатов испытаний подготовка отчётной документации.
После проведения испытаний проводится оценка результатов и все аттестационные испытания оформляются в виде протоколов.
На основании полученных результатов составляется заключение, в котором оценивается соответствие аттестуемого объекта требованиям безопасности информации и делается вывод о возможности или невозможности выдачи аттестата соответствия. В случае невозможности приводятся выявленные нарушения и недостатки, даются рекомендации по их устранению.