Федеральное агентство по образованию

Государственное образовательное учреждение

Московский Государственный Индустриальный Университет

КОМПЛЕКСНАЯ ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

Программа государственного междисциплинарного квалификационного экзамена по специальности 090104

Методические указания по подготовке и проведению государственного междисциплинарного квалификационного экзамена по специальности 090104

Москва 2010

Комплексная защита объектов информатизации. Программа государственного междисциплинарного квалификационного экзамена по специальности 090104. – М.,МГИУ, 39 стр.

Составители:

1.  , к. ф.-м.,н., доцент, доцент каф. информационной безопасности ГОУ МГИУ (раздел 3,6)

2.  , к. т.н., с. н.с., профессор каф. информацион­ной безопасности ГОУ МГИУ (раздел 2,4)

3.  , доцент каф. информационной безопасности ГОУ МГИУ (раздел 5,8)

4.  , к. т.н., профессор, зав. каф. информационной безопасности ГОУ МГИУ (раздел 1, общая редакция)

5.  , к. т.н., доцент, зам. зав. каф. информационной безопасности ГОУ МГИУ (раздел 7)


Под редакцией Семененко Вячеслава Алексеевича, к. т.н., проф., зав. каф. информационной безопасности

ГОУ МГИУ

Утверждено на заседании кафедры информационной безопасности

(протокол /09 от 01.01.2001)

Рецензент заведующий кафедры «Математические методы в экономике» профессор, д. т.н.

В методических указаниях рассматриваются вопросы подготовки к государственному междисциплинарному квалификационному экзамену по специальности приведена программа экзамена, а также список вопросов для подготовки.

НЕ нашли? Не то? Что вы ищете?

ББК 32.811 ISBN X

© МГИУ, 2010 г.

Содержание

1.  Цели государственного экзамена …………………………………..…… 4

2.  Требования к уровню подготовки специалиста ……..………………… 5

3.  Методические указания по подготовке к экзамену и форма экзамена … 8

4.  Критерии оценки знаний ………………………………………………..… .9

5.  Содержание программы государственного междисциплинарного

экзамена ……………………………………………………………………. 10

5.1.  Раздел 1. Теория информационной безопасности и

методология защиты информации …………………………….……. 10

5.2.  Раздел 2. Правовое обеспечение информационной

безопасности …………………………………………………..……… 15

5.3.  Раздел 3. Защита и обработка конфиденциальных документов ….. .18

5.4.  Раздел 4. Организационное обеспечение информационной

безопасности ………………………………………………….………. 22

5.5.  Раздел 5. Инженерно-техническая защита информации..…………. 25

5.6.  Раздел 6. Криптографические методы и средства обеспечения информационной безопасности …………………………….……… ..28

5.7.  Раздел 7. Программно-аппаратная зашита информации и защита информационных процессов в компьютерных системах ……….... 30

5.8.  Раздел 8. Комплексная зашита информации на предприятии ….. 32

6. Вопросы для подготовки к экзамену ……………………………….…… 35

1. ЦЕЛИ ГОСУДАРСТВЕННОГО ЭКЗАМЕНА

Государственный междисциплинарный квалификационный экза­мен по специальности 090104 «Комплексная защита объектов информатизации» проводится с целью оценки знаний, полученных за период обучения, в области зашиты информации.

Программа экзамена состоит из восьми разделов:

1.Теория информационной безопасности и методология защиты информации.

2.Правовое обеспечение информационной безопасности.

3.Защита и обработка конфиденциальных документов.

4.Организационное обеспечение информационной безопасности.

5.Инженерно-техническая защита информации.

6.Криптографические методы и средства обеспечения информационной безопасности.

7.Программно-аппаратная защита информации и защита инфор­мационных процессов в компьютерных системах.

8.Комплексная защита информации на предприятии.

Данные темы являются определяющими для специалистов в об­ласти комплексной защиты объектов информатизации.

2. ТРЕБОВАНИЯ К УРОВНЮ ПОДГОТОВКИ СПЕЦИАЛИСТА

Специалист в области защиты информации должен уметь решать задачи, соответствующие его квалификации по специальности 090104 «Комплексная защита объектов информатизации».

Специалист по защите информации должен знать:

·  базовый понятийный аппарат в области информационной безо­пасности и защиты информации;

·  виды и состав угроз информационной безопасности;

·  принципы и общие методы обеспечения информационной бе­зопасности;

·  основные положения государственной политики обеспечения информационной безопасности;

·  критерии, условия и принципы отнесения информации к за­щищаемой;

·  виды носителей защищаемой информации;

·  виды и подвиды тайн конфиденциальной информации;

·  виды уязвимости защищаемой информации и формы ее прояв­ления;

·  источники, виды и способы дестабилизирующего воздействия на защищаемую информацию;

·  каналы и методы несанкционированного доступа к конфиден­циальной информации;

·  состав объектов защиты информации;

·  классификацию видов, методов и средств защиты информации;

·  состав кадрового и ресурсного обеспечения защиты инфор­мации.

·  теоретические и методические основы рационального по­строения защищенного документооборота в любых организа­ционных структурах;

·  функциональные возможности и предпосылки эффективного применения различных типов технологических систем и спо­собов обработки и хранения конфиденциальных документов;

·  принципы и методы обработки конфиденциальных документов в потоках при любых используемых типах систем и способах выполнения процедур и операций по обработке и хранению этих документов;

·  методы и приемы защиты документированной информации и носителя этой информации от несанкционированного доступа в процессе выполнения каждой процедуры и операции;

·  порядок обработки, движения, хранения и использования кон­фиденциальных документов в ведомственных архивах;

·  организацию работы руководителей, специалистов и техниче­ского персонала с конфиденциальными документами на любом носителе информации;

·  теоретические основы функционирования систем защиты ин­формации, ее современные проблемы и терминологию;

·  цели, функции и процессы управления системами организаци­онной защиты информации в организациях с различными фор­мами собственности;

·  основные направления и методы организационной защиты ин­формации;

·  принципы построения, структуру и методологию правовой за­щиты информации в стране и за рубежом;

·  содержание и прак­тику применения основных законодательных актов и подза­конных документов, регламентирующих отношения и меру от­ношений субъектов информационного обмена, и должностных лиц, ответственных за защиту информации;

·  возможные действия противника, направленные на нарушение политики безопасности информации;

·  наиболее уязвимые для атак противника элементы компьютер­ных систем;

·  механизмы решения типовых задач программно-аппаратной защиты информации;

·  основные понятия, цели и задачи КСЗИ на предприятии;

·  сущность и составляющие КСЗИ;

·  принципы организации и этапы разработки КСЗИ;

·  факторы, влияющие на организацию КСЗИ;

·  технологическое и организационное построение КСЗИ;

·  технологию управления КСЗИ;

·  методику проведения анализа эффективности функционирова­ния КСЗИ.

Специалист по защите информации должен уметь:

·  выявлять угрозы информационной безопасности применитель­но к объектам защиты;

·  определять состав конфиденциальной информации примени­тельно к видам тайны;

·  выявлять причины, обстоятельства и условия дестабилизи­рующего воздействия на защищаемую информацию со сторо­ны различных источников воздействия;

·  выявлять применительно к объекту защиты каналы и методы несанкционированного доступа к конфиденциальной инфор­мации;

·  определять направления и виды защиты информации с учетом характера информации и задач по ее защите;

·  организовывать системное обеспечение защиты информации;

·  разрабатывать и оформлять нормативно-методические мате­риалы по регламентации процессов обработки, хранения и за­щиты конфиденциальных документов;

·  разрабатывать эффективные технологические схемы рацио­нального документооборота с использованием современных систем и способов обработки и хранения конфиденциальных документов;

·  формулировать задачи по разработке потребительских требо­ваний к автоматизированным системам обработки и хранения конфиденциальных документов;

·  разрабатывать и совершенствовать внемашинную часть орга­низации и технологии функционирования автоматизированных систем обработки и хранения конфиденциальных документов;

·  практически выполнять технологические операции по защите и обработке конфиденциальных документов в организацион­ных структурах;

·  руководить службой конфиденциальной документации;

·  контролировать и анализировать уровень организационной и технологической защищенности документов;

·  анализировать эффективность систем организационной защи­ты информации и разрабатывать направления ее развития;

·  разрабатывать нормативно-методические материалы по регла­ментации системы организационной защиты информации;

·  организовывать работу с персоналом, обладающим конфиден­циальной информацией;

·  организовывать охрану персонала, территорий, зданий, поме­щений и продукции организаций;

·  организовывать и проводить служебное расследование по фак­там разглашения, утечки информации и несанкционированного доступа к ней;

·  организовывать и проводить аналитическую работу по преду­преждению утечки конфиденциальной информации;

·  анализировать механизмы реализации программно-аппаратных методов защиты конкретных объектов и процессов для реше­ния профессиональных задач;

·  применять штатные средства программно-аппаратной защиты и специализированные продукты для решения типовых задач;

·  квалифицированно оценивать область применения конкретных механизмов программно-аппаратной защиты информации;

·  использовать аппаратные средства защиты информации при решении практических задач;

·  определять состав защищаемой информации и объектов защиты;

·  выявлять угрозы защищаемой информации, определять сте­пень их опасности;

·  разрабатывать структуру КСЗИ с учетом условий ее функцио­нирования;

·  определять состав кадрового, нормативно-методического и мате­риально-технического обеспечения функционирования КСЗИ;

·  выбирать методы и средства, необходимые для организации и функционирования КСЗИ;

·  осуществлять текущее руководство функционированием КСЗИ;

·  обеспечить взаимодействие персонала, реализовывающего функционирование КСЗИ.

3. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ПОДГОТОВКЕ К ЭКЗАМЕНУ И ФОРМА ЭКЗАМЕНА

Подготовка к государственному экзамену осуществляется в стро­гом соответствии с целевой установкой и в тесной взаимосвязи с по­требностями области применения. Основу теоретической подготовки студентов составляет освоение лекционного и практического мате­риала по базовым дисциплинам «Теория информационной безопасно­сти и методология защиты информации», «Правовое обеспечение информационной безопасности», «Защита и обработка конфиденциальных документов», «Орга­низационное обеспечение информационной безопасности», «Инженерно-техническая защита информации», «Криптографические методы и средства обеспечения информационной безопасности», «Про­граммно-аппаратная защита информации», «Защита информационных процессов в компьютерных системах», «Комплексная защита инфор­мации на предприятии», дополненной изучением соответствующих разделов рекомендуемой учебной литературы.

Проведенные практические и лабораторные занятия в компью­терных классах и специализированных лабораториях по защите ин­формации позволяют закрепить знания, полученные студентами на лекциях и в процессе самостоятельной работы. Особое внимание об­ращается на развитие умений и навыков установления связи положе­ний теории с профессиональной деятельности будущего специалиста.

Комплексная защита объектов информатизации требует углуб­ленного знания предметной области. В связи с этим необходимо ис­пользовать знания, приобретенные при изучении соответствующих специальных дисциплин, таких, как «Информатика», «Дискретная ма­тематика», «Программирование», «Вычислительные системы, сети и телекоммуникации» и т. д.

Для проверки уровня освоения учебного материала студенты имеют возможность воспользоваться контрольными вопросами по каждому разделу данной программы.

Государственный экзамен проводится в письменном виде. В со­став экзаменационного задания могут быть включены задачи, охваты­вающие содержание всех тем основополагающих дисциплин специ­альности.

4. КРИТЕРИИ ОЦЕНКИ ЗНАНИЙ

Знания, проявленные выпускником на государственном экзамене, оцениваются по четырехбалльной системе.

Оценка «отлично» выставляется студентам, успешно сдавшим эк­замен и показавшим глубокое знание теоретической части курса, умение проиллюстрировать изложение практическими примерами, полно и подробно ответившим на вопросы билета и вопросы членов экзаменационной комиссии.

Оценка «хорошо» выставляется студентам, сдавшим экзамен с незначительными замечаниями, показавшим глубокое знание теоре­тических вопросов, умение проиллюстрировать изложение практиче­скими примерами, полностью ответившим на вопросы билета и вопросы членов экзаменационной комиссии, но допустившим при отве­тах незначительные ошибки, указывающие на наличие не систематичности в знаниях.

Оценка «удовлетворительно» выставляется студентам, сдавшим экзамен со значительными замечаниями, показавшим знание основ­ных положений теории при наличии существенных пробелов в дета­лях, испытывающим затруднения при практическом применении тео­рии, допустившим существенные ошибки при ответе на вопросы би­летов и вопросы членов экзаменационной комиссии.

Оценка «неудовлетворительно» выставляется, если студент пока­зал существенные пробелы в знаниях основных положений теории, не умеет применять теоретические знания на практике, не ответил на во­просы билета или членов экзаменационной комиссии.

5. СОДЕРЖАНИЕ ПРОГРАММЫ ГОСУДАРСТВЕННОГО МЕЖДИСЦИПЛИНАРНОГО ЭКЗАМЕНА

5.1. Раздел 1. Теория информационной безопасности

и методология защиты информации

1.1.  Информация как предмет защиты

Понятия «информация», «документированная информация», «информационные ресурсы». Значение информации в информатиза­ции общества. Информация как основа прогресса. Информация как товар. Информация как предмет защиты. Современные факторы, оп­ределяющие значение информации.

1.2.Сущность и понятие информационной безопасности

Становление и развитие понятия «информационная безопас­ность». Современные подходы к определению понятия. Сущность информационной безопасности. Объекты информационной безопас­ности. Связь информационной безопасности с информатизацией об­щества. Структура информационной безопасности. Определение по­нятия «информационная безопасность».

1.3.Значение информационной безопасности и ее место в системе национальной безопасности

Значение информационной безопасности для обеспечения прав граждан, удовлетворения информационных потребностей субъектов информационных отношений, предотвращения негативного инфор­мационного воздействия, обеспечения безопасности различных сфер деятельности. Понятие и современная концепция национальной безо­пасности. Место информационной безопасности в системе нацио­нальной безопасности.

1.4. Современная доктрина информационной безопасности Российской Федерации. Понятие и назначение доктрины информационной безопасности

Интересы личности, общества и государства в информационной сфере Составляющие национальных интересов в информационной сфере, пути их достижения. Виды и состав угроз информационной безопасности. Состояние информационной безопасности Российской Федерации и основные задачи по их обеспечению. Принципы обеспе­чения информационной безопасности. Общие методы обеспечения информационной безопасности. Особенности обеспечения информа­ционной безопасности в различных сферах общественной жизни. Ос­новные положения государственной политики обеспечения информа­ционной безопасности, мероприятия по их реализации. Организаци­онная основа системы обеспечения информационной безопасности.

1.5. Сущность и понятие защиты информации

Значение раскрытия сущности и определения понятия защиты информации. Существующие походы к содержательной части поня­тия «защита информации» и способы реализации содержательной части. Методологическая основа для раскрытия сущности и опреде­ления понятия защиты информации. Формы выражения нарушения статуса информации. Обусловленность статуса информации ее уязви­мостью. Понятие уязвимости информации. Формы проявления уязви­мости информации. Виды уязвимости информации. Понятие «утечка информации». Соотношение форм и видов уязвимости информации. Содержательная часть понятия «защита информации». Способ реали­зации содержательной части защиты информации. Определение поня­тия «защита информации», его соотношение с понятием, сформули­рованным в ГОСТ 5092296 «Защита информации. Основные терми­ны и определения»

.

1.6. Цели и значение защиты информации

Существующие подходы к определению целей защиты информа­ции. Понятие целей защиты, информации, их отличие от задач защи­ты информации. Увязка целей защиты информации с защищаемой информацией и субъектами информационных отношений. Непосред­ственная цель защиты информации. Опосредованные (конечные) цели защиты информации.

Место защиты информации в системе нацио­нальной и информационной безопасности. Значение защиты инфор­мации для субъектов информационных отношений: государства, об­щества, личности. Значение защиты информации в политической, во­енной, экономической и других областях деятельности. Социальные последствия защиты информации.

1.7. Теоретические и концептуальные основы защиты информации. Понятие и назначение теории защиты информации

Основные положения теории защиты информации: объективная необходимость и общественная потребность в защите информации, включенность ее в систему общественных отношений, зависимость защиты информации от политико-правовых, социально-экономи­ческих, военно-политических реальностей, увязка с проблемами ин­форматизации общества, обеспечения баланса интересов личности, общества и государства, правовое регулирование и взаимный кон­троль субъектов информационных отношений в сфере защиты ин­формации, содействие повышению эффективности соответствующей области деятельности. Теоретические основы национальной политики в сфере защиты информации. Понятие и назначение концепции защи­ты информации. Теория защиты информации как основа концепции защиты информации. Содержание концепции защиты информации, ее значение для разработки стратегии, формирования целевых про­грамм и практических мероприятий по защите информации. Уровни и виды концепции защиты информации. Становление и развитие госу­дарственной концепции защиты информации.

1.8. Критерии, условия и принципы отнесения информации к защищаемой

Современные подходы к составу защищаемой информации. Ос­нова для отнесения информации к защищаемой, категории информа­ции, подпадающие под эту основу. Понятия «конфиденциальная ин­формация», «секретная информация», «открытая информация», пара­метры их защиты. Понятие защищаемой информации. Критерии от­несения открытой информации к защищаемой, их обусловленность необходимостью защиты информации от утраты. Критерии отнесения конфиденциальной информации к защищаемой, их обусловленность необходимостью защиты информации от утраты и утечки. Условия, необходимые для отнесения информации к защищаемой. Правовые и организационные принципы отнесения информации к защищаемой.

1.9. Классификация конфиденциальной информации по видам тайны

Понятие «тайна информации». Виды тайны конфиденциальной информации. Показатели разделения конфиденциальной информации на виды тайны. Становление и современное определение понятия «государственная тайна». Основания и организационно-правовые формы отнесения информации к государственной тайне. Перечни сведений, являющихся государственной тайной, их назначение и структура. Степени секретности сведений, отнесенных к государст­венной тайне. Критерии отнесения сведений к различным степеням секретности. Грифы секретности носителей информации. Различия между степенью и грифом секретности. Основания для рассекречива­ния информации. Становление и современное определение коммерче­ской тайны. Место коммерческой тайны в системе предприниматель­ской деятельности. Основания и методика отнесения сведений к ком­мерческой тайне. Функции государства в сфере защиты коммерческой тайны. Тенденция и определяющие факторы развития коммерческой тайны. Современные подходы к сущности служебной тайны. Понятие служебной тайны, границы и области ее действия. Распределение полномочий по отнесению сведений к служебной тайне. Понятие «личная тайна». Разновидности личной тайны. Функции государства и граждан в сфере защиты личной тайны. Современные подходы к сущности профессиональной тайны. Понятие и особенности профес­сиональной тайны. Сфера действия профессиональной тайны. Соот­ношение между профессиональной и другими видами тайны. Разно­видности профессиональной тайны.

1.10. Классификация носителей защищаемой информации

Понятие «носитель защищаемой информации». Соотношение между носителем и источником информации. Виды и типы носителей защищаемой информации. Способы фиксирования информации в но­сителях. Виды отображения информации в носителях. Методы вос­произведения отображенной в носителях информации. Опосредован­ные носители защищаемой информации.

1.11. Понятие и структура угроз информации

Современные подходы к понятию угрозы информации. Связь уг­розы информации с уязвимостью информации. Признаки и состав­ляющие угрозы: явления, факторы, условия. Понятие угрозы инфор­мации. Структура явлений как сущностных проявлений угрозы ин­формации. Структура факторов, создающих возможность дестабили­зирующего воздействия на информацию.

1.12. Источники, виды и способы дестабилизирующего воздействия на информацию

Источники дестабилизирующего воздействия на информацию как определяющая структурная часть угрозы. Состав и характеристика источников дестабилизирующего воздействия на информацию. Виды и способы дестабилизирующего воздействия на информацию со сто­роны различных источников. Соотношение видов дестабилизирую­щего воздействия на информацию с формами проявления уязвимости информации.

1.13. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию

Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию, их обусловлен­ность источниками и видами воздействия. Причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздейст­вие на информацию со стороны людей. Обстоятельства (предпосыл­ки), способствующие появлению этих причин. Условия, создающие возможность для дестабилизирующего воздействия на информацию. Причины, обстоятельства и условия дестабилизирующего воздейст­вия на информацию со стороны других источников воздействия.

1.14. Каналы и методы несанкционированного доступа к информации

Канал несанкционированного доступа к информации как состав­ная часть угрозы информации. Современные подходы к понятию ка­нала несанкционированного доступа к информации. Соотношение между каналами несанкционированного доступа и каналами утечки информации, их сущность и понятия. Состав и характеристика кана­лов несанкционированного доступа к информации. Специально соз­даваемые и потенциально существующие каналы. Методы несанк­ционированного доступа к информации, применяемые при использо­вании каждого канала. Зависимость методов и форм их использования от целей и возможностей соперника. Существующая классификация каналов, ее недостатки.

1.15. Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации

Структура государственных разведывательных органов ведущих зарубежных стран. Органы политической, военной и радиотехниче­ской разведки. Структура разведывательных служб частных объеди­нений. Направления и виды разведывательной деятельности, их соот­ношение и взаимосвязь. Особенности деятельности разведывательных органов, их сочетание при добывании информации.

1.16. Организационные основы и методологические принципы защиты информации

Организационные основы как необходимые условия для осуще­ствления защиты информации. Основы, обеспечивающие технологию защиты информации. Основы, необходимые для обеспечения сохран­ности и конфиденциальности информации. Значение методологиче­ских принципов защиты информации. Принципы, обусловленные принадлежностью, ценностью, конфиденциальностью, технологией защиты информации.

1.17. Объекты защиты информации

Понятие объекта защиты. Соотношение объекта с рубежом защи­ты информации. Носители информации как конечные объекты защи­ты. Особенности отдельных видов носителей как объектов защиты. Состав объектов хранения носителей информации, подлежащих за­щите. Состав подлежащих защите технических средств отображения, обработки, хранения, воспроизведения и передачи информации. Дру­гие объекты защиты информации. Виды и способы дестабилизирую­щего воздействия на объекты защиты.

1.18. Классификация видов, методов и средств защиты информации

Виды защиты информации, сферы их действия. Классификация методов защиты информации. Универсальные методы защиты ин­формации, области их применения. Области применения организаци­онных, криптографических и инженерно-технических методов защи­ты информации. Понятие и классификация средств защиты информа­ции. Назначение программных, криптографических и технических средств защиты. Кадровое и ресурсное обеспечение защиты информации

Значение и состав кадрового обеспечения защиты информации. Полномочия руководства предприятия в области защиты информа­ции. Полномочия подразделений по защите информации. Полномочия специальных комиссий по защите информации. Полномочия пользо­вателей защищаемой информации. Состав и назначение ресурсного обеспечения защиты информации. Значение ресурсного обеспечения для организации и эффективности защиты информации.

Назначение и структура систем защиты информации. Понятие «система защиты информации». Назначение систем. Классификация систем защиты информации, сферы их действия. Сущность и значение комплексной системы защиты информации как формы организации деятельности по защите информации. Структура системы защиты информации, назначение составных частей системы. Требования к системам защиты информации.

Основная литература

1.  Семененко безопасность: Учебное посо­бие. - М.: МГИУ, 2008.-215 с.

2.  , Бутакова информационной безо­пасности компьютерных систем: Учебное пособие. - М.: МОСУ, 20с.

Дополнительная литература

1.  Алексенцев информации. Словарь базовых терминов и определений. - М.: РГГУ, 2000.

2.  О концепции защиты информации // Безопас­ность информационных технологий. 1999. № 2.

3.  О составе защищаемой информации // Безопас­ность информационных технологий. 1999. № 2.

5.2. Раздел 2. Правовое обеспечение информационной безопасности

2.1. Назначение и структура правового обеспечения защиты информации

Правовое определение информации. Правовые последствия документирования информации. Доктрина информационной безопасности. Угрозы информационной безопасности. Роль права в противодействии информационным угрозам. Система нормативно-правовых актов, посвященных защите информации в Российской Федерации. Отрасли права, обеспечивающие законность в области защиты информации. Законодательное закрепление права на защиту информации. Право­вые основы защиты государственной тайны и иных видов тайн. Пра­вовая ответственность за утечку информации.

2.2. Правовые нормы и методы обеспечения правовой защиты информации

Правовая характеристика сферы защиты информации. Объекты и субъекты этой сферы. Особенности правовой защиты информации с использованием института вещных отношений и института защиты нематериальных благ. Запретительные и разрешительные правовые нормы. Правоспособность и дееспособность в сфере защиты информации. Лицензирова­ние и сертификация как методы правового регулирования. Правомерность использо­вания положений закона «О техническом регулировании» в сфере за­щиты информации.

2.3.  Основные законодательные акты, содержащие правовые нормы,

направленные на защиту информации.

Конституционное законодательство о защите информации. Зако­нодательные акты общего характера, содержащие положения о защи­те информации. Специальное законодательство по защите информа­ции. Особая роль законов «Об информации, информационных технологиях и о защи­те информации», «Об электронной цифровой подписи», «О государственной тайне», «О коммерческой тайне», «О персональных данных». Назначение подзаконных правовых актов, регулирующих процессы защиты ин­формации. Нормативно-правовые акты, отражающие меру ответственности за противоправные деяния в сфере защиты информации.

2.4. Правовая защита открытой, общедоступной информации

Правовое определение общедоступной информации. Обеспечение свободы доступа к информации. Виды информации, ограничение доступа к которым запрещено законом. Социально-вредная информация. Правовая защита субъектов информационного обме­на от социально-вредной информации. Правовое обеспечение сохранности ин­формации в «ключевых» или «критических» технологиях.

2.5. Проблемы правовой защиты интеллектуальной собственности

Интеллектуальный информационный продукт как объект интел­лектуальной собственности и предмет правовой защиты. Авторское исключительное право и право авторства. Виды интеллектуальной собственности и особенности их защиты. Правовая защита ноу-хау. Авторские и лицензионные договоры. Контрафактная продукция. Меры пресече­ния нарушений в сфере интеллектуальной собственности.

2.6. Информация ограниченного доступа

Необходимость введения ограничений доступа к информации. Конфиденциальность информации. Современные виды тайн. Государ­ственная тайна и иные виды тайн. Особенности организации правовой защиты различ­ного вида тайн. Основные нормативно-правовые документы по защи­те различных видов информации ограниченного доступа.


2.7. Государственная система правовой защиты государственной тайны

Законодательство РФ в области защиты государственной тайны. Органы государственной власти и должностные лица, отвечающие за сохранность государственной тайны. Сведения, составляющие предмет госу­дарственной тайны. Принципы засекре­чивания сведений, составляющих государствен­ную тайну. Распоряжение сведениями, составляющими государственную тайну. По­рядок допуска и доступа персонала к сведениям, составляющим гос­ударственную тайну. Правовые последствия, возникающих для лиц, нарушающих правила обраще­ния с информацией, составляющей государственную тайну.

2.8. Особенности правовой защиты различного вида тайн

Правовая защита служебной тайны. Правовая защита профессиональной тайны. Организация защиты коммерческой тайны. Защита тайны кредитной организации. Профили по защите конфиденциальной информации.

2.9.  Правовое обеспечение безопасности информационных

и телекоммуникационных систем

Особенности правовой защиты информационных и телекоммуни­кационных систем. Правовой порядок использования электронной цифровой подписи в телекоммуникационных системах. Уголовно-правовые и административные нормы, направленные на защиту информационных и телекоммуникационных систем. Структура нормативного документа ФСТЭК по технической защите информационных систем - СТР-К.

Основная литература

1.  Конституция Российской Федерации // Российская газета. 19декабря.

2.  Закон РФ «Об информации, информационных системах и о защите информа­ции» от 01.01.2001, № 000.

3.  Закон РФ «О государственной тайне» -1.

4.  Закон РФ «О персональных данных» Ф3.

5.  Закон РФ «О коммерческой тайне» от 01.01.2001. № 98.

6.  Закон РФ « Об электронной цифровой подписи» от 01.01.2001. № 000.

7.  Закон РФ «О техническом регулировании» от 01.01.2001. № 000Ф3.

8.  Закон РФ «О лицензировании отдельных видов деятельности» от 01.01.2001. № 000Ф3.

9.  Закон РФ «Об оперативно-розыскной деятельности» от 01.01.2001. № 000Ф3.

Дополнительная литература

1.  Копылов право. - М.: Юрист, 2003.

2.  , И др. Право и информационная безопасность. - М.: Прифизат, 2005.

3.  , И др. Правовое обеспечение информационной безопасности. - М.: Издательский центр «Академия», 2005.

4.  Чапков право. - Мю: Юрайт-Издат, 2006.

5.3.  Раздел 3. Защита и обработка конфиденциальных документов

3.1.  Технология конфиденциального документооборота

Понятие документооборота. Основополагающее единство движе­ния документов и информации. Документооборот и жизненный цикл документа. Роль и место документооборота в процессе управления организационными структурами и производственными процессами. Информационно-документационное обеспечение деятельности, рабо­ты. Требования, предъявляемые к документообороту.

Особенности автоматизированного безбумажного документообо­рота. Единство принципов и направлений движения традиционных и электронных документов. Стабильная для всех типов носителей ин­формации структура документооборота.

Типовой состав технологических стадий входного (входящего, поступающего), выходного (отправляемого, исходящего) и внутрен­него документопотоков.

Анализ угроз несанкционированного получения документиро­ванной информации, хищения или уничтожения документов, их фальсификации или подмены в документопотоках. Классификация каналов практической реализации возможных угроз. Предполагаемые рубежи и уровни защиты документопотоков.

Понятие защищенного документооборота, его цели и задачи. Взаимосвязь защищенного документооборота с системами, средства­ми и методами защиты документированной информации. Защищен­ный документооборот и используемая технологическая система обра­ботки и хранения документов. Цели и принципы функциональной и персональной избирательности в доставке документированной ин­формации потребителям. Избирательность и разрешительная система доступа к конфиденциальным документам и базам данных. Персо­нальная ответственность за сохранность информации, носителя ин­формации и документа.

Выделенный поток конфиденциальных документов и автономная технология их обработки и хранения. Организационные и технологи­ческие особенности делопроизводства по конфиденциальным доку­ментам.

Пооперационный учет движения конфиденциальных документов и доступа к ним руководителей и специалистов. Учет чистых носите­лей информации, предназначенных для документирования конфиден­циальной информации. Периодические и разовые проверки наличия конфиденциальных документов.

Потоки конфиденциальных документов. Принципы защиты до­кументопотоков, защищенная технология.

Уровень конфиденциальности информации. Организационное обеспечение защиты потоков документированной информации. Принципы, способы и средства защиты технических носителей ин­формации и машиночитаемых документов на разных стадиях их об­работки, движения и хранения.

3.2.  Стадии обработки и защиты конфиденциальных документов входного потока

Назначение и задачи стадии приема и первичной обработки кон­фиденциальных документов. Типовой состав операций процедуры приема пакетов, конвертов и иных отправлений, поступивших из поч­тового отделения или от нарочного. Учет поступлений, состав фикси­руемых данных. Типовой состав операций процедуры первичной обра­ботки документов. Назначение и задачи стадии предварительного рас­смотрения и распределения поступивших документов. Типовой состав операций процедуры предварительного рассмотрения документов.

Порядок определения рационального маршрута движения доку­мента. Принципы распределения документов между руководителями, структурными подразделениями и специалистами. Функциональная принадлежность документированной информации. Уровень компетен­ции должностных лиц при решении вопросов, поставленных в докумен­тах. Реализация порядка доступа к документам. Типовой состав опера­ций процедуры распределения поступивших документов.

Назначение и задачи стадии учета поступивших документов. Од­нократность регистрации документа. Состав процедур стадии учета документов.

Типовой состав операций процедуры первичной регистрации ис­ходных сведений о документе. Носители записи исходных сведений о документе.

Журналы учета (регистрации) документов. Регистрационно-контрольные карточки. Правила заполнения граф и зон учетной формы.

Задачи и порядок ведения журналов учета и картотек. Обоснова­ние состава дополнительно регистрируемых сведений, их назначение. Правила внесения изменений и дополнений в имеющиеся записи.

Типовой состав операций процедуры рассмотрения документов руководителем. Требования к формулированию заданий, поручений по исполнению документа и определению состава исполнителей и сроков исполнения. Правила работы руководителя и его референта с конфиденциальными документами, порядок хранения документов на их рабочих местах.

Типовой состав операций процедуры передачи документов на ис­полнение. Порядок доведения до исполнителя содержания конфиден­циального документа и резолюции руководителя. Порядок передачи документа на исполнение нескольким структурным подразделениям или специалистам. Порядок перемещения документа между руково­дителями и специалистами. Типовой состав учетных операций.

3.3.  Стадии обработки и защиты конфиденциальных документов выходного потока

Назначение и задачи стадии исполнения документов. Понятие исполнение документа, инициирующие условия начала исполнения. Состав процедур.

Типовой состав операций процедуры составления текста доку­мента. Состав, особенности применения и оформления, учет бумаж­ных и технических носителей информации. Критерии и порядок оп­ределения степени конфиденциальности документов, изменения и снятия грифа. Типовой состав операций процедуры изготовления до­кумента. Машинописное оформление конфиденциального документа. Типовой состав учетных операций при печатании и перепечатывании проекта документа, передаче печатного материала исполнителю. Формы учета и правила их заполнения. Порядок уничтожения черно­вика документа, испорченных листов и сопутствующих материалов. Оформление результатов уничтожения. Правила печатания под дик­товку и с диктофона.

Типовой состав операций процедуры издания документа. Техно­логия согласования, подписания, утверждения документа.

Документирование санкционирования доступа персонала к базам данных, учет доступа. Опись документов и носителей информации, находящихся у специалиста. Правила работы специалиста с конфи­денциальными документами, порядок обеспечения сохранности до­кументов на его рабочем месте.

Назначение и задачи стадии контроля исполнения документов. Контроль сроков исполнения документов, заданий и поручений. Кон­троль предупредительный (текущий) и последующий (итоговый). За­дачи и сферы защиты информации в процессе контроля исполнения документов. Состав контролируемых документов и сроки их испол­нения. Типовой состав операций процедуры постановки документов на контроль. Типовой состав операций процедуры ведения контроля. Напоминания исполнителям и справочная работа по контролируемым документам.

Назначение и задачи стадии копирования и размножения доку­ментов. Учет документов. Типовой состав операций процедуры оформ­ления результатов копирования или размножения.

Учет изготовленных экземпляров документа. Порядок уничтоже­ния печатных форм, брака и документирование результатов уничто­жения в соответствии с уровнем грифа конфиденциальности. Назна­чение и задачи стадии учета отправляемых и внутренних документов. Централизация учета. Состав процедур. Состав фиксируемых сведе­ний об отправляемых инициативном и ответном документах, о внут­реннем документе. Обоснование состава сведений, назначение и сфе­ра последующего использования каждого показателя.

Процедура передачи внутренних документов для исполнения или использования.

Типовой состав операций процедуры подготовки и передачи от­правляемых документов для экспедиционной обработки. Назначение и задачи стадии экспедиционной обработки отправляемых докумен­тов. Типовой состав операций процедуры контроля комплектности документов. Типовой состав операций процедуры конвертования до­кументов. Правила оформления конвертов (пакетов) с конфиденци­альными документами. Типовой состав операций процедуры переда­чи конвертов (пакетов) нарочным или в почтовое отделение. Оформ­ление реестров. Прядок документирования факта передачи нарочным конверта (пакета) адресату. Правила отправления телеграмм, теле­факсов и телетайпограмм.

3.4.  Систематизация и оперативное хранение конфиденциальных документов и дел

Назначение и задачи стадии составления и ведения номенклату­ры дел. Методика составления номенклатуры дел: изучение состава документов, разработка классификационной схемы номенклатуры, формулирование заголовков дел и их систематизация, индексирова­ние дел, определение сроков хранения дел. Правила формулирования заголовков дел. Перечень документов с указанием сроков их хране­ния. Назначение перечня. Типовые и ведомственные перечни. Оформ­ление номенклатуры дел, ее согласование и утверждение. Типовой состав операций процедуры ведения и закрытия номенклатуры дел.

Назначение и задачи стадии формирования и оперативного хра­нения дел. Понятие формирование дел. Единство регистрационного индекса и места хранения документа. Типовой состав операций про­цедуры формирования дел. Заведение дел постоянного и временного сроков хранения, оформление обложки дела. Требования, предъяв­ляемые к группировке документов в дела. Технологические операции группировки. Разложение документов внутри дела. Особенности формирования личных дел. Дополнительные требования к формиро­ванию в дела конфиденциальных документов. Нумерация листов. За­полнение описи документов дела. Составление заверительной надпи­си. Прошивка и опечатывание дела. Оформление карточки учета вы - дачи дела. Типовой состав операций процедуры хранения дел. Прави­ла хранения документов, выдачи и приема дел, изъятие документов из дела.

Назначение и состав документов и дел выделенного хранения. Формы учета и содержания регистрируемых сведений. Технологиче­ские операции перевода документов и дел на выделенное хранение.

Назначение и задачи стадии подготовки и передачи дел в архив. Процедура экспертизы ценности документов. Понятие «экспертиза ценности документов», ее задачи, принципы и критерии. Требования, предъявляемые к экспертизе. Организация проведения экспертизы ценности документов. Задачи, функции, состав и порядок работы экс­пертной комиссии. Этапы проведения экспертизы ценности докумен­тов. Типовой состав операций каждого этапа. Дополнительные требо­вания к проведению экспертизы ценности конфиденциальных доку­ментов. Оформление результатов экспертизы.

Назначение и виды описей дел. Порядок составления описи, ее оформление, согласование и утверждение. Типовой состав операций процедуры подготовки дел к передаче в архив. Типовой состав опера­ций процедуры передачи дел в архив/

Назначение и задачи стадии уничтожения документов и носите­лей информации. Процедура отбора документов и носителей инфор­мации для уничтожения. Организация и порядок отбора. Типовой со­став операций. Оформление результатов отбора. Порядок составления и оформления акта о выделении к уничтожению документов, не под­лежащих хранению. Требования по включению в акт документов, дел и носителей информации. Подготовка к уничтожению бумажных, машиночитаемых, аудиовизуальных, конструкторских, технологиче­ских и научно-технических документов. Процедура уничтожения до­кументов и носителей информации. Требования к процессу уничто­жения документов в соответствии со степенью их конфиденциально­сти. Порядок внесения отметок об уничтожении документов и носи­телей информации в учетные формы. Средства организационной тех­ники, используемые при выполнении процедуры.

3.5.  Проверка наличия конфиденциальных документов, дел и носителей информации

Назначение и задачи проверки наличия документов, дел и носите­лей информации. Сферы распространения проверки. Требования, предъявляемые к проверке. Виды проверок. Периодичность проверок наличия и уровень конфиденциальности информации. Проверки регламентированные (периодические) и нерегламентированные (неперио­дические). Типовой состав процедур и операций проверки наличия.

Организация поиска отсутствующих конфиденциальных доку­ментов. Специализированная комиссия для установления причин от­сутствия документов. Оформление заключения о результатах работы комиссии. Списание документов, отметки в учетных формах.

Текущая проверка наличия документов, дел и носителей инфор­мации. Ее цели, состав проверяемых документов. Оформление ре­зультата проверки.

Квартальная и годовая проверки наличия документов, дел и но­сителей информации. Цели проверок и состав проверяемых докумен­тов. Оформление результатов проверок.

Ежемесячная проверка наличия особо важных конфиденциаль­ных документов. Ее цели, состав проверяемых документов. Оформле­ние результата проверки.

Проверка наличия документов, дел и носителей информации при увольнении сотрудника. Ее цели и оформление результата проверки. Порядок приема от увольняющегося документов, дел и носителей информации. Оформление результата приема.

Проверки наличия и сохранности баз данных в ЭВМ. Цели про­верки и порядок ее проведения. Оформление результата проверки.

Предпосылки нерегламентированных проверок наличия доку­ментов, дел и носителей информации. Цели проверки, состав прове­ряемых документов и оформление результата проверки.

Основная литература

1.  , Бутакова и обработка конфиденциальных документов: Учебное пособие. - М.: МГИУ,20с.

2.  Бутакова защиты конфиденциальных документов: Учебное пособие. - М.: МОСУ, 2005 — 246 с.

3.  , Бутакова защиты информации в ком­пьютерных системах: Учебное пособие. - М.: МОСУ, 20с.

Дополнительная литература

1.  Алексенцев делопроизводство. - М.: «Управление персоналом», 20с.

2.  Андреева : Практическое пособие. - М.: персоналом», 20с.

3.  Рогожин кадровика. Оформление документов. - М.: Бератор, 20с.

4.  Крысин безопасность: Практическое руко­водство. - М.: «СПАРРК», Киев: «ВЕК+», 20с.

5.4. Раздел 4. Организационное обеспечение информационной безопасности

4.1.  Политика информационной безопасности предприятия

Основные цели и задачи системы организационной защиты информации. Угрозы информационной безопасности. Внутренние и внешние угрозы. Случайные и преднамеренные угрозы. Организаци­онные меры противодействия угрозам. Каналы утечки информации

Концепция информационной безопасности предприятия. Структура и тре­бования по информационной безопасности предприятия. Процедуры и методы информационной безопасности предприятия. Особенности информационной защиты компьютерных сетей. Реализация принципа разделения полномочий.

4.2.  Работа с персоналом, допущенным к конфиденциальной информации

Задачи и направления работы с персоналом. Особенности приема сотрудников на работу. Критерии подбора персонала, процедуры подбора и документирования приема. Учет психологических особен­ностей сотрудников, принимаемых на работу. Обязательство о нераз­глашении тайны. Особенности увольнения сотрудников с работы. Процедуры увольнения и их документирование. Направления и мето­ды текущей работы с персоналом. Инструктирование и обучение со­трудников, задачи, принципы и способы. Меры поощрения и наказания, используемые для поддержания дисциплины сотрудников, допущенных к работе с конфиденциальной информации.

4.3.  Организационная защита информации в процессе проведения совещаний и переговоров по конфиденциальным вопросам

Задачи и направления защиты информации в процессе проведе­ния совещаний и переговоров, а также при приеме посетителей. Тре­бования к отбору информации для ее оглашения в процессе перегово­ров. Правила подготовки и проведения совещаний и переговоров. До­кументирование информации, оформление стенограмм, протоколов и итоговых документов. Порядок использования аудио - и видеозаписи хода переговоров. Требования к помещениям и их охране. Обязанно­сти лиц, ответственных за проведение совещаний и переговоров. Ме­тоды контроля за действиями посетителей. Требования к помещениям для приема посетителей.

4.4.  Организация защиты информации в автоматизированных информационных системах, обрабатывающих конфиденциальную информацию

Стадии создания информационных систем. Порядок организаци­онной защиты информации в процессе проектирования, пуско - наладочных работ и эксплуатации информационных систем. Органи­зация защиты информации при выходе в сети общего пользования. Порядок аттестации объектов информатизации и информационных систем, обрабатывающих конфиденциальную информацию.

4.5.  Организационная защита информации при взаимодействии со сторонними организациями в процессе договорной, выставочной, рекламной и иной внешней деятельности предприятия

Угроза информационной безопасности при взаимодействии со сторонними организациями. Порядок отбора и подготовки информа­ции к оглашению. Отражение вопросов защиты информации при под­готовке договоров. Виды публикации информации. Оформление раз­решения на опубликование информации. Осо­бенности обеспечения безопасности информации в процессе выста­вочной деятельности.

4.6.  Порядок установления пропускного и объектового режимов

Виды, назначение и задачи охраны объектов. Состав функции ох­раны. Построение системы охраны объекта, рубежи охраны. Регла­ментация деятельности, обязанностей и ответственности персонала охраны. Взаимодействие персонала с техническими средствами сиг­нализации, информирования и идентификации. Порядок сдачи под охрану и снятия с охраны объектов и режимных помещений. Назна­чение и задачи пропускного режима. Понятие, задачи и структура пропускного и объектового режима. Порядок организации доступа персонала в помещения различной категории. Функционирование контрольно-пропускных пунктов. Виды пропусков и идентификато­ров, их учет и порядок выдачи.

4.7. Порядок допуска и доступа персонала и иных лиц к конфиденциальной информации

Назначение, принципы и задачи разрешительной системы допус­ка и доступа к информации ограниченного доступа. Структура разрешительной системы. Назначение и формы допусков, порядок оформления, учета и хранения. Несанкциониро­ванный доступ. Порядок оформления разрешения на доступ, мандат­ная и матричная системы доступа. Порядок доступа к ин­формации ограниченного доступа лиц, командированных другими организациями. Особенно­сти доступа к конфиденциальной информации.

4.8. Аналитическая и плановая работа в сфере организационной защиты информации

Контроль состояния информационной безопасности. Назначение и взаимосвязь аналитической, плановой и контрольной работы, ее ме­сто в построении и функционировании системы организационной за­щиты информации. Цели и задачи аналитической работы по выявле­нию угроз безопасности информации. Этапы аналитической работы. Оценка надежности информационной защи­ты. Цели и задачи планирования мероприятий по формированию и совершенствованию системы организационной защиты информации. Виды программ и планов. Контроль за выполнением программ и пла­нов. Аудит информационной безопасности. Методы прогнозирования и верификации состояния безопасности информации.

4.9. Организация служебного расследования по фактам утраты конфиденциальной информации

Цели и задачи служебного расследования. Основания для слу­жебного расследования. Меры, принимаемые по результатам рассле­дования. Документирование хода и результатов служебного рассле­дования. Порядок проведения служебного расследования в случаях возникновения сложных инцидентов. Особенности проведения служебного расследования инцидентов, происшедших в компьютер­ных сетях.

4.10. Организационные меры по обеспечению и поддержанию информационной безопасности в период чрезвычайных ситуаций

Виды и характерные особенности чрезвычайных ситуаций. Эта­пы развития чрезвычайных ситуаций. Основные задачи по поддержа­нию информационной безопасности в период чрезвычайных ситуа­ций. Кризисные группы. Планирование и проверка готовности под­разделений предприятий к действиям период чрезвычайных ситуаций. Особенности подготовки распорядительных документов по действиям сотрудников, обеспечивающих безопасность информации на период чрезвычайных ситуаций. Организационные меры, принимаемые на предприятии по обеспечению пожарной безопасности. Порядок вос­становления целостности и доступности информации в период после окончания чрезвычайной ситуации.

Основная литература

1.  Семененко безопасность. - М.: МГИУ, 2008.

2. Завгородний защита информации в компью­терных системах. - М., 2003.

3. Ярочкин безопасность: Учебное пособие для вузов. - М., 2005.

4. Информационная безопасность предпри­ятий. - СПб., 2003.

Дополнительная литература

1.  Ярочкин безопасности фирмы. - М.: 2006.

2.  , и др. Управление персоналом. - М.: 2004.

3.  , , Федулов безопасность предприятия. - М.: 2004.

4.  , Аудит информационной безопасности. - М.: 2006.

5.5. Раздел 5. Инженерно-техническая защита информации

5.1.  Объекты информационной безопасности

Основные свойства информации как предмета инженерно-техни­ческой защиты. Понятие объекта защиты и его структурное представление. Демаскирующие признаки объектов защиты и их классификация. Источ­ники и носители конфиденциальной информации. Источники опас­ных сигналов.

5.2.  Угрозы безопасности информации

Виды угроз безопасности информации. Органы добывания ин­формации. Классификация видов и средств технической разведки. Принципы ведения разведки. Технология добывания информации. Каналы и методы несанкцио­нированного доступа к источникам информации.

5.3.  Способы и средства добывания информации техническими средствами

Способы и средства наблюдения. Способы и средства перехвата сигналов. Способы и средства подслушивания акустических сигналов. Способы и средства добывания информации о демаскирующих при­знаках веществ.

5.4.  Технические каналы утечки информации

Типовая структура технического канала утечки информации. Характеристики каналов утечки информации. Оптические каналы утечки информации. Радиоэлектронные каналы утечки информации. Акустические каналы утечки информации. Материально-веществен­ные утечки информации.

5.5. Методы, способы и средства инженерно-технической охраны объекта

Концепция инженерно-технической защиты информации. Спосо­бы и средства технической охраны. Способы и средства инженерной защиты объектов. Способы и средства обнаружения злоумышленни­ков и пожара. Способы и средства видеоконтроля. Средства контроля и управления доступом на объект защиты. Автоматизированные интегральные системы безопасности.

5.6.  Способы и средства защиты информации от наблюдения

Способы и средства противодействия наблюдению в оптическом диапазоне волн. Способы и средства противодействия радиолокаци­онному и гидроакустическому наблюдению.

5.7.  Способы и средства защиты информации от подслушивания

Способы и средства информационного скрытия акустических сигналов и речевой информации. Способы и средства энергетическо­го скрытия акустических сигналов.

5.8.  Способы и средства предотвращения утечки информации с помощью закладных устройств

Классификация закладных устройств. Основные демаскирующие признаки проводных и радиозаклад­ных устройств, качественная оценка их информативности. Способы подавления сигналов закладных устройств. Мотивация и порядок проведения поисковых исследований закладных устройств. Аппаратура поиска обнаружения закладных устройств.

5.9.  Способы и средства предотвращения утечки информации через побочные электромагнитные излучения и наводки

Подавление сигналов побочных электромагнитных излучений и наводок. Средства пассивной и активной защиты (фильтры, экраны).

.

5.10. Способы предотвращения утечки информации по материально-вещественному каналу

Классификация способов предотвращения утечки информации по материально-вещественному каналу. Способы и средства уничтоже­ния информации, содержащейся в отходах делопроизводства и про­мышленного производства. Способы и средства стирания инфор­мации на магнитных носителях. Способы защиты демаскирующих веществ.

5.11. Организация инженерно-технической защиты информации

Общие положения по инженерно-технической защиты информа­ции в организации. Организационные и технические меры по инже­нерно-технической защите информации в организации.

5.  12. Основы методического обеспечения инженерно-технической защиты информации

Моделирование угроз безопасности информации. Системный подход к защите информации. Моделирование объек­та защиты. Методические рекомендации по разработке типовых мер защиты.

Основная литература

1.  Торокин -техническая защита информа­ции. - М: «Гелиос», 20с.

2.  Меньшаков объектов и информации от технических средств разведки. - М.: Изд-во РГГУ, 2001.

3.  Хорев защита информации. Часть 1. Технические каналы утечки информации: Учебное пособие. - М.: НПЦ «Аналитика», 20с.

Дополнительная литература

1.  Петраков практической защиты информации. - М.: Радио и связь, 1999.

5.6. Раздел 6. Криптографические методы и средства обеспечения информационной безопасности

6.1. Основные задачи современной криптографии

Конфиденциальность. Целостность. Аутентификация. Неотслеживаемость. Цифровая подпись. Управление ключами. Общие требования к криптосистемам.

6.2. Шифры перестановки, шифры замены, Шифры гаммирования

Шифр Сцитала. Маршрутные перестановки. Шифры вертикальной перестановки. Поворотные решетки. Элементы криптоанализа простых шифров перестановки.

Поточные шифры простой замены. Шифры многоалфавитной замены Биграммные и n-граммные шифры замены. Матричные шифры. Модель шифров замены. Классификация шифров замены. Криптоанализ поточного шифра простой замены.

Основные требования к гамме. Шифр Виженера. Одноразовый блокнот К. Шеннона. Аддитивные методы шифрования. Режим гаммирования ГОСТ .

6.3.Блочные и поточные системы шифрования

Регистры сдвига с обратной связью. Скремблеры. Методы рандомизации сообщений. Поточные шифрсистемы. Блочные системы шифрования. Конструкции Фейстеля. Режимы шифрования блочных шифров. Алгоритмы блочного шифрования. Стандарты шифрования DES, AES, ГОСТ .

6.4.Системы шифрования с открытыми ключами

Асимметричные системы. Открытое распределение ключей. Схема Диффи-Хеллмана. Криптосистема RSA. Схема шифрования Эль-Гамаля. Криптография на эллиптических кривых. Криптоанализ шифра RSA.

6.5. ЭЛЕКТРОННЫЕ Цифровые подписи

Механизм действия электронной цифровой подписи. Функции хеширования. Алгоритмы цифровой подписи. Криптоанализ односторонних хеш-функций. Стандарты цифровой подписи ГОСТ Р 34.10, DSA (ECDSA).

Основная литература

1.  , , Федоров защита информации. – М.:МГИУ, 2010.-376с.

2.  , , Черемушкин криптографии: Учебное пособие. – М.: Гелиос АРВ, 2002. – 480 с.

3.  Словарь криптографических терминов / Под редакцией и .- М: МЦНМО, 2006.

4.  Основы защиты конфиденциальных документов: Учебное пособие. - М.:МОСУ, 2005. – 246 с.

5.  , Бутакова защиты информации в компьютерных системах: Учебное пособие. – М.: МОСУ, 2004. – 238 с.

6.  Закон «Об информации, информационных технологиях и защите информации» от 01.01.01 года N 149-ФЗ.

7.  Федеральный Закон “Об электронной цифровой подписи” от 01.01.01 г. N 1-ФЗ.

8.  ГОСТ . Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.- М., Госстандарт, 1990.

9.  ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.- М., Госстандарт, 2001.

10.  ГОСТ Р 34.11-94. Функция хеширования.- М., Госстандарт, 1994.

Дополнительная литература

1.  Нечаев криптографии (Основы теории защиты информации): Учеб. пособие для ун-тов и пед. Вузов / Под ред. – М.: Высш. шк., 1999, - 109 с.

2.  Зубов шифры.- М: Гелиос АРВ, 200с.

3.  . Введение в теорию чисел. Алгоритм RSA. – М.: Постмаркет, 2001. – 328 с.

4.  Виноградов теории чисел. – 10-е изд., стер. – СПб.: Издательство «Лань», 2004. – 176 с.

5.  Введение в криптографию / Под общей редакцией . – 3-е изд., доп. – М.: МЦНМО: «ЧеРо», 2000. – 288 с.

6.  Практическая криптография. – СПб.: БХВ-Петербург, 2003. – 464 с.

5.7. Раздел 7. Программно-аппаратная зашита информации и защита информационных процессов в компьютерных системах

7.1. Информационная безопасность

в компьютерных системах

Компьютерная система как объект защиты информации. Понятие угрозы информационной безопасности в КС. Классификация и общий анализ угроз. Информационной безопасности в КС. Случайные угрозы информационной безопасности. Преднамеренные угрозы информационной безопасности.

7.2. Понятие политики безопасности в компьютерных системах

Разработка политики информационной безопасности. Методология политики безопасности компьютерных систем. Основные положения политики информационной безопасности. Жизненный цикл политики безопасности. Принципы политики безопасности.

7.3. Архитектура системы программно-аппаратной защиты

Функциональная модель системы защиты. Состав и назначение функциональных блоков. Основные группы механизмов защиты. Функциональная модель. Рекомендации по отдельным уровням функциональной модели.

7.4. Модель компьютерной системы

Понятие доступа и монитора безопасности. Обеспечение гарантий выполнения политики безопасности. Методология проектирования гарантиро­ванно защищенных КС. Метод генерации изолированной программной среды.

7.5.  Модели типовых политик безопасности компьютерных

средств защиты информации

Дискретные модели. Модель АДЕПТ-50. Пятимерное пространство безопасности Хартстона. Мандатная модель. Модель Белла-Лападула.

7.6. Проектирование средств реализации механизмов

безопасности на аппаратном уровне

Защита на уровне расширений BIOS. Программирование расши­ренного BIOS. Пример программы расширения BIOS. Защита на уровне загрузчиков операционных сред. Защитные механизмы при начальной загрузке OS. Программирование модифицированного за­грузчика.

7.7. Программно-аппаратные средства идентификации и аутентификации пользователей

Идентификация и аутентификация. Основные понятия и классификация. Простая аутентификация. Аутентификация на основе многоразовых паролей. Аутентификация на основе одноразовых паролей. Аутентификация на основе сертификатов. Биометрическая идентификация и аутентификация пользователей. Строгая аутентификация. Протоколы аутентификации с симметричными алгоритмами шифрования. Протоколы, основанные на использовании однонаправленных ключевых хэш-функций. Аутентификация с использованием асимметричных алгоритмов шифрования. Аутентификация, основанная на использовании цифровой подписи. Протоколы аутентификации с нулевой передачей значений. Упрощенная схема аутентификации с нулевой передачей знаний. Параллельная схема аутентификации с нулевой передачей знаний. Механизм идентификации и аутентификации в ОС Windows. Протокол аутентификации Kerberos.

7.8. Защита файловой системы Windows

Общие сведения о файловых системах. Файловые системы FAT и FAT32. Файловая система NTFS. Ограничения файловых систем и вопросы совместимости. Разрешения для файлов и папок. Шифрующая файловая система (EFS) Encrypting File System. Технология шифрования. Восстановление данных. Процесс шифрования. Процесс дешифрирования. Процесс восстановления. Взаимодействие файловой системы защиты NTFS и защиты ресурса общего доступа (Sharing). Типовые задачи администрирования. Администрирование дисков в Windows. Сходства и различия между Disk Management и Disk Administrator.

7.9. Защита файловой системы OS Linux

Файловая система OS Linux. Основные концепции файловой системы. Виртуальная Файловая Система (VFS).

7.10. Программные и аппаратные средства защиты

компьютерных информационных систем

Подходы к защите информационных систем. Устойчивость к прямому копированию. Устойчивость к взлому. Аппаратные ключи. Структура системы защиты от несанкционированного копирования. Защита программ на жестком диске. Защита программ от трассировки. Обзор современных средств защиты.

7.11. Компьютерные вирусы

Классификация вирусов. Механизмы заражения компьютерными вирусами. Признаки появления вирусов. Методы и средства защиты от компьютерных вирусов. Антивирусные средства. Профилактика заражения вирусами компьютерных систем. Антивирус. Алгоритм работы. Структура антивирусной защиты предприятия.

7.12. Компьютерная безопасность

вычислительных сетей

Понятие “межсетевой экран”. Руководящий документ Гостехкомиссии России по межсетевому экранированию. Классы защищенности МЭ. Основные требования, предъявляемые к межсетевым экранам. Основные функции МЭ. Основные компоненты МЭ. Политика безопасности в компьютерных сетях. Политика брандмауэра. Стратегии брандмауэра. Аппаратные и программные брандмауэры. Особенности современных межсетевых экранов.

Основная литература

1.  , Федоров -аппаратная защита информации. - М.: МГИУ, 20с.

2.  , Федоров безопасность. – М.: МОСУ, 2с.

Дополнительная литература

1.  Щербаков в теорию и практику компьютерной безопасности. - М.: издатель , 20с.

Раздел 8. Комплексная зашита информации на предприятии

8.1.  Сущность и задачи комплексной системы защиты информации (КСЗИ)

Назначение и общее содержание КСЗИ. Основные задачи КСЗИ. Факторы, влияющие на организацию КСЗИ. Принципы организации КСЗИ. Основные требования, предъ­являемые к КСЗИ. КСЗИ как средство вы­ражения концептуальных основ защиты информации. Понятие систе­мы защиты информации. Основные системные представления защиты информации. Системный подход. Системный анализ комплексной защиты информации.

8.2.  Принципы организации КСЗИ

Основные требования, предъ­являемые к КСЗИ. Основные компоненты создания КСЗИ.

8.3.  Технология организации КСЗИ

Общее содержание работ по организации КСЗИ. Характеристика основных стадий создания КСЗИ. Назначение и структура задания на проектирование, технического задания, технико-экономического обоснования. Предпроектное обследование, технический проект, ра­бочий проект. Апробация и ввод в эксплуатацию.

8.4.  Разработка модели КСЗИ

Моделирование как инструмент анализа КСЗИ. Функциональная модель КСЗИ. Модель потенци­ального нарушителя. Организационная модель КСЗИ. Информацион­ная модель КСЗИ.

8.5.  Обеспечение функционирования КСЗИ

Нормативно-методические документы, обеспечивающие функ­ционирование КСЗИ. Определение кадрового обеспечения функционирования КСЗИ. Нормативные до­кументы, регламентирующие деятельность персонала по защите ин­формации. Распределение функций по защите информации среди персонала предприятия. Обеспечение благоприятного психологиче­ского климата в коллективе как элемент системы. Подбор и обучение персонала.

8.6.  Назначение, структура и содержание управления КСЗИ

Понятие и цели управления КСЗИ. Сущность процессов управле­ния. Принципы управления службой защиты информации. Основные законы кибернетики. Планирование деятельности КСЗИ. Способы и стадии планирования. Структура и общее содержа­ние планов. Организация выполнения планов.

8.7.  Технология управления КСЗИ

Определение и основные понятия технологии управления КСЗИ. Понятие управленческого решения. Особенности поиска и принятия решений в КСЗИ. Методы, используемые для принятия управленче­ских решений в зависимости от особенностей ситуации.

8.8.  Управление КСЗИ в условиях чрезвычайных ситуаций

Понятие и основные виды чрезвычайных ситуаций. Технология принятия решений в условиях чрезвычайной ситуации. Подготовка мероприятий на случай возникновения чрезвычайных ситуаций.

8.9.  Сущность и содержание контроля функционирования КСЗИ

Понятие и виды контроля функционирования КСЗИ. Цель прове­дения контрольных мероприятий в КСЗИ. Методы контроля. Особен­ности проведения контроля функционирования КСЗИ. Анализ и ис­пользование результатов проведения контрольных мероприятий.

Основная литература

1.  Гришина комплексной системы защиты информации. - М.: Гелиос, 2007.

2.  Малюк безопасность. Концептуальные и методологические основы защиты информации. - Мю: Горячая линия, 2004.

6. ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЭКЗАМЕНУ

Раздел 1. Теория информационной безопасности

и методология защиты информации

1.  Информация как средство отражения окружающего мира и как средство его познания. Информация и данные. Количественные оценки и показатели качества информации.

2.  Информационная природа эволюционных преобразований в со­временном обществе. Информатизация и компьютеризация. Ин­формационные продукты и услуги как рыночный товар. Объек­тивная необходимость и общественная потребность защи­ты информации.

3.  Уязвимость информации, ее формы и виды. Утрата и утечка ин­формации. Информационный статус и его составляющие: целост­ность, конфиденциальность и доступность информации. Сущ­ность понятия «защита информации».

4.  Соотношение понятий «защита информации» и «информацион­ная безопасность». Объекты информационной безопасности и их информационное измерение. Связь проблемы обеспечения ин­формационной безопасности с процессами информатизации об­щества.

5.  Информационная безопасность как составляющая национальной безопасности. Угрозы национальным интересам РФ в информа­ционной сфере. Информационные войны, информационное ору­жие и информационный терроризм.

6.  Доктрина информационной безопасности РФ. Политика сбалан­сированного обеспечения безопасного развития личности, обще­ства и государства в информационной сфере.

7.  Общедоступная информация и информация с ограниченным доступом. Классификация информации с ограниченным доступом по видам тайн. Государственная, коммерческая, профессиональная, личная и другие виды тайны.

8.  Документированная информация как объект правовой защиты. Носители защищаемой информации. Правоотношения при фор­мировании и использование информационных ресурсов.

9.  Методологические принципы и организационные мероприятия, реализуемые в процессе защиты информации.

10. Обобщенные модели систем защиты информации. Одноуровне­вые, многоуровневые и многозвенные модели. Общая характеристика средств, методов и мероприятии, применяемых для защиты информации.

11. Компьютерная система (КС) как объект защиты информации. Эволюция концептуальных основ реализации ее защиты. Общая характеристика случайных и преднамеренных угроз в КС.

12. Реализация информационных угроз компьютерным системам пу­тем несанкционированного доступа (НСД). Классификация кана­лов НСД. Собирательный образ потенциального нарушителя.

13. Основные противодействия случайным угрозам в компьютерных системах. Помехоустойчивое кодирование. Дублирование инфор­мации и резервирование технических средств.

14. Общая характеристика средств и методов защиты информации в компьютерных системах от утечки по техническим каналам.

15. Базовые принципы, лежащие в основе моделей политики безо­пасности в компьютерных системах. Матричная модель и ман­датная модель управления доступом к ресурсам КС. Идентифика­ция и аутентификация субъектов доступа.

16. Общие понятия и классификация криптографических средств. Методы шифрования.

17. Общая характеристика и классификация компьютерных вирусов. Антивирусные средства, методы и мероприятия.

18. Отечественные нормативные документы и зарубежные стандарты в области защиты информации и безопасности информационных технологий.

19. Методологические принципы, реализуемые при построении ком­плексной системы защиты информации (КСЗИ). Функции и зада­чи защиты, механизмы защиты уровень защищенности, управле­ние защитой и другие базовые понятия, используемые при фор­мировании КСЗИ.

20. Общетеоретическая постановка задачи оптимизации комплексной системы защиты информации на основе выбранного критерия эффективности защиты.

Раздел 2. Правовое обеспечение информационной безопасности

1.  Виды информации по категориям доступа. Общедоступная информация и информация и информация ограниченного доступа. Конфиденциальная информация.

2.  Основные нормативно-правовые акты, регулирующие отношения в сфере защиты информации в России.

3.  Организационно-правовая структура правового обеспечения за­щиты информации в России.

4.  Порядок лицензирования деятельности по технической защите информации ограниченного доступа.

5.  Коммерческая тайна. Правовой порядок установления режима коммерческой тайны.

6.  Особенности правовой защиты интеллектуальной собственности. Виды интеллектуальной собственности. Право авторства и ав­торские (исключительные) права на интеллектуальную собст­венность.

7.  Особенности правовой защиты персональных данных.

8.  Принципы и порядок отнесения сведений к государственной тай­не. Грифы секретности носителей этих сведений.

9.  Порядок допуска и доступа должностных лиц и граждан к сведе­ниям, составляющим государственную тайну.

10. Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет.

11. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов.

Раздел 3. Защита и обработка конфиденциальных документов

1.  Специфика технологии защищенного документооборота.

2.  Стадии обработки и защиты конфиденциальных документов входного потока.

3.  Стадии обработки и защиты конфиденциальных документов вы­ходного потока.

4.  Систематизация и оперативное хранение конфиденциальных до­кументов и дел.

5.  Проверка наличия конфиденциальных документов, дел и носите­лей информации.

Раздел 4. Организационное обеспечение информационной безопасности

1.  Политика информационной безопасности предприятия как сово­купность нормативно-правовых и распорядительных документов по защите информации.

2.  Угрозы безопасности информации. Каналы утечки информации от информационных и телекоммуникационных систем и направ­ление организационной защиты информации в этих системах.

3.  Особенности поиска, оформления и приема на работу сотрудни­ков, допущенных к конфиденциальной информации.

4.  Текущая работа с персоналом, допущенным к конфиденциальной информации. Меры поощрения и взыскивания, используемые для поддержания дисциплины.

5.  Организационная защита информации в процессе проведения со­вещаний и переговоров по конфиденциальным вопросам.

6.  Принципы и задачи ограничения и разграничения доступа к кон­фиденциальной информации.

7.  Организация внутриобъектового и пропускного режимов на предприятии. Организация охраны объектов информатизации.

8.  Организация защиты информации при чрезвычайных обстоя­тельствах.

9.  Организация служебного расследования по фактам утраты ин­формации и инцидентам в информационных и телекоммуникаци­онных сетях.

10. Порядок аттестации объектов информатизации.

Раздел 5.Инженерно-техническая защита информации

1.  Способы и средства добывания информации техническими средс­твами.

2.  Технические каналы утечки информации.

3.  Методы, способы и средства инженерно-технической охраны объекта.

4.  Способы и средства защиты информации от наблюдения.

5.  Способы и средства защиты информации от подслушивания.

6.  Способы и средства предотвращения утечки информации с по­мощью закладных устройств.

7.  Способы и средства предотвращения утечки информации через побочные электромагнитные излучения и наводки.

8.  Способы предотвращения утечки информации по материально - вещественному каналу.

9.  Организация инженерно-технической защиты информации.

10. Основы методического обеспечения инженерно-технической за­щиты информации.

Раздел 6. Криптографические методы и средства обеспечения информационной безопасности

1.  Основные понятия и определения криптографии. Классификация криптосистем (шифров). Простейшие шифры - простая замена шифр сцитала, шифр Цезаря, колонная замена. Требования к криптографическим системам. Основные характеристики крипто­графических систем.

2.  Симметричные криптосистемы. Блочные шифры. Определение Режимы применения блочных шифров.

3.  Блочные шифры. Российский стандарт шифрования ГОСТ . Режимы применения алгоритма шифрования ГОСТ .

4.  Потоковые шифры (шифры гаммирования). Определение. Общие сведения о потоковых шифрах. Самосинхронизирующиеся шиф­ры. Синхронные шифры.

5.  Потоковые шифры. Определение. Общие сведения о потоковых шифрах. Использование блочного шифра в режиме потокового шифрования.

6.  Асимметричные криптосистемы. Схема функционирования. Одно­сторонние функции. Функции-ловушки. Криптосистема Эль-Гамаля.

7.  Управление криптографическими ключами. Понятие ключа шиф­рования виды ключей. Постановка проблемы управления крип­тографическими ключами. Генерация ключей. Системы управле­ния ключами в случае симметрического алгоритма шифрования.

8.  Криптографические протоколы. Понятие, назначение и основные области применения криптографического протокола. Основные структурные компоненты современных криптографических алго­ритмов.

9.  Электронная цифровая подпись. Постановка проблемы. Основ­ные области применения. Функции хеширования. Функция хеширования ГОСТ Р 34.11-94. Стандарт цифровой подписи ГОСТ Р 34.10-94. Стандарт цифровой подписи ГОСТ 34.10-2001.

Раздел 7. Программно-аппаратная зашита информации и защита информационных процессов в компьютерных системах

1.  Понятие политики безопасности при программно-аппаратной за­щите информации.

2.  Модели компьютерных систем. Доступ и монитор безопасности.

3.  Модели безопасного субъектного взаимодействия в компьютер­ной системе. Аутентификация пользователей. Сопряжение за­щитных механизмов.

4.  Проектирование средств реализации механизмов безопасности на аппаратном уровне.

5.  Политика безопасности для различных операционных систем.

6.  Управление безопасностью в компьютерных системах.

7.  Средства и методы ограничения доступа к файлам.

8.  Защита программ от несанкционированного копирования.

9.  Средства защиты информационных процессов в локальной ЭВМ. Средства разграничения прав доступа (аппаратные).

10. Модели сетевых сред.

11. Создание механизмов безопасности в распределенной компью­терной системе.

12. Методы и средства защиты от компьютерных вирусов.

13. Основные требования, предъявляемые к межсетевым экранам. Основные функции МЭ. Основные компоненты МЭ.

Раздел 8. Комплексная зашита информации на предприятии

1.  Понятие и назначение КСЗИ.

2.  Определение компонентов КСЗИ.

3.  Концепция создания КСЗИ.

4.  Технология разработки КСЗИ, основные этапы разработки КСЗИ.

5.  Структура и содержание цикла работ по защите информации на предприятии.

6.  Источники и способы дестабилизирующего воздействия на ин­формацию.

7.  Организационная компонента КСЗИ.

8.  Факторы, влияющие на создание КСЗИ.

9.  Требования, предъявляемые к КСЗИ.