7.11. Компьютерные вирусы

реклама
Федеральное агентство по образованию
Государственное образовательное учреждение
Московский Государственный Индустриальный Университет
КОМПЛЕКСНАЯ ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
Программа государственного междисциплинарного квалификационного
экзамена по специальности 090104
Методические указания по подготовке и проведению государственного
междисциплинарного квалификационного экзамена по специальности 090104
Москва 2010
Комплексная защита объектов информатизации. Программа государственного
междисциплинарного квалификационного экзамена по специальности 090104. –
М.,МГИУ, 39 стр.
Составители:
1. Бутакова Наталья Георгиевна, к.ф.-м.,н., доцент, доцент каф. информационной
безопасности ГОУ МГИУ (раздел 3,6)
2. Масленников Дмитрий Павлович, к.т.н., с.н.с., профессор каф. информационной
безопасности ГОУ МГИУ (раздел 2,4)
3. Рагозин Юрий Николаевич, доцент каф. информационной безопасности ГОУ МГИУ
(раздел 5,8)
4. Семененко Вячеслав Алексеевич, к.т.н., профессор, зав. каф. информационной
безопасности ГОУ МГИУ (раздел 1, общая редакция)
5. Федоров Николай Владимирович, к.т.н., доцент, зам. зав. каф. информационной
безопасности ГОУ МГИУ (раздел 7)
Под редакцией Семененко Вячеслава Алексеевича, к.т.н., проф., зав. каф.
информационной безопасности
ГОУ МГИУ
Утверждено на заседании кафедры информационной безопасности
(протокол № 05/09 от 09.12.2009)
Рецензент заведующий кафедры «Математические методы в экономике»
профессор, д.т.н. Казаков Олег Леонидович
В методических указаниях рассматриваются вопросы подготовки к
государственному
междисциплинарному
квалификационному
экзамену
по
специальности 090104, приведена программа экзамена, а также список вопросов для
подготовки.
ББК 32.811
ISBN 5-276-0515-X
© МГИУ, 2010 г.
2
Содержание
Цели государственного экзамена …………………………………..…… 4
Требования к уровню подготовки специалиста ……..………………… 5
Методические указания по подготовке к экзамену и форма экзамена … 8
Критерии оценки знаний ………………………………………………..… .9
Содержание программы государственного междисциплинарного
экзамена ……………………………………………………………………. 10
5.1. Раздел 1. Теория информационной безопасности и
методология защиты информации …………………………….……. 10
5.2. Раздел 2. Правовое обеспечение информационной
безопасности …………………………………………………..……… 15
5.3. Раздел 3. Защита и обработка конфиденциальных документов ….. .18
5.4. Раздел 4. Организационное обеспечение информационной
безопасности ………………………………………………….………. 22
5.5. Раздел 5. Инженерно-техническая защита информации ..…………. 25
5.6. Раздел 6. Криптографические методы и средства обеспечения
информационной безопасности …………………………….……… ..28
5.7. Раздел 7. Программно-аппаратная зашита информации и защита
информационных процессов в компьютерных системах ……….... 30
5.8. Раздел 8. Комплексная зашита информации на предприятии ….. 32
6. Вопросы для подготовки к экзамену ……………………………….…… 35
1.
2.
3.
4.
5.
3
1. ЦЕЛИ ГОСУДАРСТВЕННОГО ЭКЗАМЕНА
Государственный междисциплинарный квалификационный экзамен по
специальности 090104 «Комплексная защита объектов информатизации» проводится с
целью оценки знаний, полученных за период обучения, в области зашиты
информации.
Программа экзамена состоит из восьми разделов:
1. Теория информационной безопасности и методология защиты информации.
2. Правовое обеспечение информационной безопасности.
3. Защита и обработка конфиденциальных документов.
4. Организационное обеспечение информационной безопасности.
5. Инженерно-техническая защита информации.
6. Криптографические методы и средства обеспечения информационной безопасности.
7. Программно-аппаратная защита информации и защита информационных процессов
в компьютерных системах.
8. Комплексная защита информации на предприятии.
Данные темы являются определяющими для специалистов в области комплексной
защиты объектов информатизации.
4
2. ТРЕБОВАНИЯ К УРОВНЮ ПОДГОТОВКИ СПЕЦИАЛИСТА
Специалист в области защиты информации должен уметь решать задачи,
соответствующие его квалификации по специальности 090104 «Комплексная защита
объектов информатизации».
Специалист по защите информации должен знать:
 базовый понятийный аппарат в области информационной безопасности и
защиты информации;
 виды и состав угроз информационной безопасности;
 принципы и общие методы обеспечения информационной безопасности;
 основные положения государственной политики обеспечения информационной
безопасности;
 критерии, условия и принципы отнесения информации к защищаемой;
 виды носителей защищаемой информации;
 виды и подвиды тайн конфиденциальной информации;
 виды уязвимости защищаемой информации и формы ее проявления;
 источники, виды и способы дестабилизирующего воздействия на защищаемую
информацию;
 каналы и методы несанкционированного доступа к конфиденциальной
информации;
 состав объектов защиты информации;
 классификацию видов, методов и средств защиты информации;
 состав кадрового и ресурсного обеспечения защиты информации.
 теоретические и методические основы рационального построения защищенного
документооборота в любых организационных структурах;
 функциональные возможности и предпосылки эффективного применения
различных типов технологических систем и способов обработки и хранения
конфиденциальных документов;
 принципы и методы обработки конфиденциальных документов в потоках при
любых используемых типах систем и способах выполнения процедур и операций
по обработке и хранению этих документов;
 методы и приемы защиты документированной информации и носителя этой
информации от несанкционированного доступа в процессе выполнения каждой
процедуры и операции;
 порядок обработки, движения, хранения и использования конфиденциальных
документов в ведомственных архивах;
 организацию работы руководителей, специалистов и технического персонала с
конфиденциальными документами на любом носителе информации;
 теоретические основы функционирования систем защиты информации, ее
современные проблемы и терминологию;
 цели, функции и процессы управления системами организационной защиты
информации в организациях с различными формами собственности;
 основные направления и методы организационной защиты информации;
5
 принципы построения, структуру и методологию правовой защиты информации
в стране и за рубежом;
 содержание и практику применения основных законодательных актов и подзаконных документов, регламентирующих отношения и меру отношений
субъектов информационного обмена, и должностных лиц, ответственных за
защиту информации;
 возможные действия противника, направленные на нарушение политики
безопасности информации;
 наиболее уязвимые для атак противника элементы компьютерных систем;
 механизмы решения типовых задач программно-аппаратной защиты
информации;
 основные понятия, цели и задачи КСЗИ на предприятии;
 сущность и составляющие КСЗИ;
 принципы организации и этапы разработки КСЗИ;
 факторы, влияющие на организацию КСЗИ;
 технологическое и организационное построение КСЗИ;
 технологию управления КСЗИ;
 методику проведения анализа эффективности функционирования КСЗИ.
Специалист по защите информации должен уметь:
 выявлять угрозы информационной безопасности применительно к объектам
защиты;
 определять состав конфиденциальной информации применительно к видам
тайны;
 выявлять причины, обстоятельства и условия дестабилизирующего воздействия
на защищаемую информацию со стороны различных источников воздействия;
 выявлять применительно к объекту защиты каналы и методы
несанкционированного доступа к конфиденциальной информации;
 определять направления и виды защиты информации с учетом характера
информации и задач по ее защите;
 организовывать системное обеспечение защиты информации;
 разрабатывать и оформлять нормативно-методические материалы по
регламентации процессов обработки, хранения и защиты конфиденциальных
документов;
 разрабатывать
эффективные
технологические
схемы
рационального
документооборота с использованием современных систем и способов обработки
и хранения конфиденциальных документов;
 формулировать задачи по разработке потребительских требований к
автоматизированным системам обработки и хранения конфиденциальных
документов;
 разрабатывать и совершенствовать внемашинную часть организации и
технологии функционирования автоматизированных систем обработки и
хранения конфиденциальных документов;
 практически выполнять технологические операции по защите и обработке
конфиденциальных документов в организационных структурах;
6
 руководить службой конфиденциальной документации;
 контролировать и анализировать уровень организационной и технологической
защищенности документов;
 анализировать эффективность систем организационной защиты информации и
разрабатывать направления ее развития;
 разрабатывать нормативно-методические материалы по регламентации системы
организационной защиты информации;
 организовывать работу с персоналом, обладающим конфиденциальной
информацией;
 организовывать охрану персонала, территорий, зданий, помещений и продукции
организаций;
 организовывать и проводить служебное расследование по фактам разглашения,
утечки информации и несанкционированного доступа к ней;
 организовывать и проводить аналитическую работу по предупреждению утечки
конфиденциальной информации;
 анализировать механизмы реализации программно-аппаратных методов защиты
конкретных объектов и процессов для решения профессиональных задач;
 применять
штатные
средства
программно-аппаратной
защиты
и
специализированные продукты для решения типовых задач;
 квалифицированно оценивать область применения конкретных механизмов
программно-аппаратной защиты информации;
 использовать аппаратные средства защиты информации при решении
практических задач;
 определять состав защищаемой информации и объектов защиты;
 выявлять угрозы защищаемой информации, определять степень их опасности;
 разрабатывать структуру КСЗИ с учетом условий ее функционирования;
 определять состав кадрового, нормативно-методического и материальнотехнического обеспечения функционирования КСЗИ;
 выбирать методы и средства, необходимые для организации и
функционирования КСЗИ;
 осуществлять текущее руководство функционированием КСЗИ;
 обеспечить взаимодействие персонала, реализовывающего функционирование
КСЗИ.
7
3. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ПОДГОТОВКЕ К ЭКЗАМЕНУ
И ФОРМА ЭКЗАМЕНА
Подготовка к государственному экзамену осуществляется в строгом
соответствии с целевой установкой и в тесной взаимосвязи с потребностями области
применения. Основу теоретической подготовки студентов составляет освоение
лекционного и практического материала по базовым дисциплинам «Теория
информационной безопасности и методология защиты информации», «Правовое
обеспечение
информационной
безопасности»,
«Защита
и
обработка
конфиденциальных документов», «Организационное обеспечение информационной
безопасности», «Инженерно-техническая защита информации», «Криптографические
методы и средства обеспечения информационной безопасности», «Программноаппаратная защита информации», «Защита информационных процессов в
компьютерных системах», «Комплексная защита информации на предприятии»,
дополненной изучением соответствующих разделов рекомендуемой учебной
литературы.
Проведенные практические и лабораторные занятия в компьютерных классах и
специализированных лабораториях по защите информации позволяют закрепить
знания, полученные студентами на лекциях и в процессе самостоятельной работы.
Особое внимание обращается на развитие умений и навыков установления связи
положений теории с профессиональной деятельности будущего специалиста.
Комплексная защита объектов информатизации требует углубленного знания
предметной области. В связи с этим необходимо использовать знания, приобретенные
при изучении соответствующих специальных дисциплин, таких, как «Информатика»,
«Дискретная математика», «Программирование», «Вычислительные системы, сети и
телекоммуникации» и т.д.
Для проверки уровня освоения учебного материала студенты имеют
возможность воспользоваться контрольными вопросами по каждому разделу данной
программы.
Государственный экзамен проводится в письменном виде. В состав
экзаменационного задания могут быть включены задачи, охватывающие содержание
всех тем основополагающих дисциплин специальности.
8
4. КРИТЕРИИ ОЦЕНКИ ЗНАНИЙ
Знания, проявленные выпускником на государственном экзамене, оцениваются
по четырехбалльной системе.
Оценка «отлично» выставляется студентам, успешно сдавшим экзамен и
показавшим глубокое знание теоретической части курса, умение проиллюстрировать
изложение практическими примерами, полно и подробно ответившим на вопросы
билета и вопросы членов экзаменационной комиссии.
Оценка «хорошо» выставляется студентам, сдавшим экзамен с незначительными
замечаниями, показавшим глубокое знание теоретических вопросов, умение
проиллюстрировать изложение практическими примерами, полностью ответившим на
вопросы билета и вопросы членов экзаменационной комиссии, но допустившим при
ответах незначительные ошибки, указывающие на наличие не систематичности в
знаниях.
Оценка «удовлетворительно» выставляется студентам, сдавшим экзамен со
значительными замечаниями, показавшим знание основных положений теории при
наличии существенных пробелов в деталях, испытывающим затруднения при
практическом применении теории, допустившим существенные ошибки при ответе на
вопросы билетов и вопросы членов экзаменационной комиссии.
Оценка «неудовлетворительно» выставляется, если студент показал
существенные пробелы в знаниях основных положений теории, не умеет применять
теоретические знания на практике, не ответил на вопросы билета или членов
экзаменационной комиссии.
9
5. СОДЕРЖАНИЕ ПРОГРАММЫ ГОСУДАРСТВЕННОГО
МЕЖДИСЦИПЛИНАРНОГО ЭКЗАМЕНА
5.1. Раздел 1. Теория информационной безопасности
и методология защиты информации
1.1.
Информация как предмет защиты
Понятия «информация», «документированная информация», «информационные
ресурсы». Значение информации в информатизации общества. Информация как основа
прогресса. Информация как товар. Информация как предмет защиты. Современные
факторы, определяющие значение информации.
1.2.Сущность и понятие информационной безопасности
Становление и развитие понятия «информационная безопасность». Современные
подходы к определению понятия. Сущность информационной безопасности. Объекты
информационной
безопасности.
Связь
информационной
безопасности
с
информатизацией общества. Структура информационной безопасности. Определение
понятия «информационная безопасность».
1.3.Значение информационной безопасности и ее место в системе национальной
безопасности
Значение информационной безопасности для обеспечения прав граждан,
удовлетворения информационных потребностей субъектов информационных
отношений, предотвращения негативного информационного воздействия, обеспечения
безопасности различных сфер деятельности. Понятие и современная концепция
национальной безопасности. Место информационной безопасности в системе национальной безопасности.
1.4. Современная доктрина информационной безопасности Российской Федерации.
Понятие и назначение доктрины информационной безопасности
Интересы личности, общества и государства в информационной сфере
Составляющие национальных интересов в информационной сфере, пути их
достижения. Виды и состав угроз информационной безопасности. Состояние
информационной безопасности Российской Федерации и основные задачи по их
обеспечению. Принципы обеспечения информационной безопасности. Общие методы
обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в различных сферах общественной жизни. Основные
положения государственной политики обеспечения информационной безопасности,
10
мероприятия по их реализации. Организационная основа системы обеспечения
информационной безопасности.
1.5. Сущность и понятие защиты информации
Значение раскрытия сущности и определения понятия защиты информации.
Существующие походы к содержательной части понятия «защита информации» и
способы реализации содержательной части. Методологическая основа для раскрытия
сущности и определения понятия защиты информации. Формы выражения нарушения
статуса информации. Обусловленность статуса информации ее уязвимостью. Понятие
уязвимости информации. Формы проявления уязвимости информации. Виды
уязвимости информации. Понятие «утечка информации». Соотношение форм и видов
уязвимости информации. Содержательная часть понятия «защита информации».
Способ реализации содержательной части защиты информации. Определение понятия
«защита информации», его соотношение с понятием, сформулированным в ГОСТ
5092296 «Защита информации. Основные термины и определения»
.
1.6. Цели и значение защиты информации
Существующие подходы к определению целей защиты информации. Понятие
целей защиты, информации, их отличие от задач защиты информации. Увязка целей
защиты информации с защищаемой информацией и субъектами информационных
отношений. Непосредственная цель защиты информации. Опосредованные (конечные)
цели защиты информации.
Место защиты информации в системе национальной и информационной
безопасности. Значение защиты информации для субъектов информационных
отношений: государства, общества, личности. Значение защиты информации в
политической, военной, экономической и других областях деятельности. Социальные
последствия защиты информации.
1.7. Теоретические и концептуальные основы защиты информации. Понятие и
назначение теории защиты информации
Основные положения теории защиты информации: объективная необходимость
и общественная потребность в защите информации, включенность ее в систему
общественных отношений, зависимость защиты информации от политико-правовых,
социально-экономических, военно-политических реальностей, увязка с проблемами
информатизации общества, обеспечения баланса интересов личности, общества и
государства, правовое регулирование и взаимный контроль субъектов
информационных отношений в сфере защиты информации, содействие повышению
эффективности соответствующей области деятельности. Теоретические основы
национальной политики в сфере защиты информации. Понятие и назначение
концепции защиты информации. Теория защиты информации как основа концепции
защиты информации. Содержание концепции защиты информации, ее значение для
разработки стратегии, формирования целевых программ и практических мероприятий
11
по защите информации. Уровни и виды концепции защиты информации. Становление
и развитие государственной концепции защиты информации.
1.8. Критерии, условия и принципы отнесения информации к защищаемой
Современные подходы к составу защищаемой информации. Основа для
отнесения информации к защищаемой, категории информации, подпадающие под эту
основу. Понятия «конфиденциальная информация», «секретная информация»,
«открытая информация», параметры их защиты. Понятие защищаемой информации.
Критерии отнесения открытой информации к защищаемой, их обусловленность
необходимостью защиты информации от утраты. Критерии отнесения
конфиденциальной информации к защищаемой, их обусловленность необходимостью
защиты информации от утраты и утечки. Условия, необходимые для отнесения
информации к защищаемой. Правовые и организационные принципы отнесения
информации к защищаемой.
1.9. Классификация конфиденциальной информации по видам тайны
Понятие «тайна информации». Виды тайны конфиденциальной информации.
Показатели разделения конфиденциальной информации на виды тайны. Становление и
современное определение понятия «государственная тайна». Основания и
организационно-правовые формы отнесения информации к государственной тайне.
Перечни сведений, являющихся государственной тайной, их назначение и структура.
Степени секретности сведений, отнесенных к государственной тайне. Критерии
отнесения сведений к различным степеням секретности. Грифы секретности носителей
информации. Различия между степенью и грифом секретности. Основания для
рассекречивания информации. Становление и современное определение коммерческой
тайны. Место коммерческой тайны в системе предпринимательской деятельности.
Основания и методика отнесения сведений к коммерческой тайне. Функции
государства в сфере защиты коммерческой тайны. Тенденция и определяющие
факторы развития коммерческой тайны. Современные подходы к сущности служебной
тайны. Понятие служебной тайны, границы и области ее действия. Распределение
полномочий по отнесению сведений к служебной тайне. Понятие «личная тайна».
Разновидности личной тайны. Функции государства и граждан в сфере защиты личной
тайны. Современные подходы к сущности профессиональной тайны. Понятие и
особенности профессиональной тайны. Сфера действия профессиональной тайны.
Соотношение между профессиональной и другими видами тайны. Разновидности
профессиональной тайны.
1.10. Классификация носителей защищаемой информации
Понятие «носитель защищаемой информации». Соотношение между носителем
и источником информации. Виды и типы носителей защищаемой информации.
Способы фиксирования информации в носителях. Виды отображения информации в
12
носителях. Методы воспроизведения отображенной в носителях информации.
Опосредованные носители защищаемой информации.
1.11. Понятие и структура угроз информации
Современные подходы к понятию угрозы информации. Связь угрозы
информации с уязвимостью информации. Признаки и составляющие угрозы: явления,
факторы, условия. Понятие угрозы информации. Структура явлений как сущностных
проявлений угрозы информации. Структура факторов, создающих возможность
дестабилизирующего воздействия на информацию.
1.12. Источники, виды и способы дестабилизирующего воздействия на информацию
Источники дестабилизирующего воздействия на информацию как определяющая
структурная часть угрозы. Состав и характеристика источников дестабилизирующего
воздействия на информацию. Виды и способы дестабилизирующего воздействия на
информацию со стороны различных источников. Соотношение видов дестабилизирующего воздействия на информацию с формами проявления уязвимости информации.
1.13. Причины, обстоятельства и условия дестабилизирующего воздействия на
информацию
Соотношение
между
причинами,
обстоятельствами
и
условиями
дестабилизирующего воздействия на информацию, их обусловленность источниками и
видами воздействия. Причины, вызывающие преднамеренное и непреднамеренное
дестабилизирующее воздействие на информацию со стороны людей. Обстоятельства
(предпосылки), способствующие появлению этих причин. Условия, создающие
возможность для дестабилизирующего воздействия на информацию. Причины,
обстоятельства и условия дестабилизирующего воздействия на информацию со
стороны других источников воздействия.
1.14. Каналы и методы несанкционированного доступа к информации
Канал несанкционированного доступа к информации как составная часть угрозы
информации. Современные подходы к понятию канала несанкционированного доступа
к информации. Соотношение между каналами несанкционированного доступа и
каналами утечки информации, их сущность и понятия. Состав и характеристика каналов несанкционированного доступа к информации. Специально создаваемые и
потенциально существующие каналы. Методы несанкционированного доступа к
информации, применяемые при использовании каждого канала. Зависимость методов
и форм их использования от целей и возможностей соперника. Существующая
классификация каналов, ее недостатки.
13
1.15. Направления, виды и особенности деятельности разведывательных служб по
несанкционированному доступу к информации
Структура государственных разведывательных органов ведущих зарубежных
стран. Органы политической, военной и радиотехнической разведки. Структура
разведывательных
служб
частных
объединений.
Направления
и
виды
разведывательной деятельности, их соотношение и взаимосвязь. Особенности
деятельности разведывательных органов, их сочетание при добывании информации.
1.16. Организационные основы и методологические принципы защиты информации
Организационные основы как необходимые условия для осуществления защиты
информации. Основы, обеспечивающие технологию защиты информации. Основы,
необходимые для обеспечения сохранности и конфиденциальности информации.
Значение методологических принципов защиты информации. Принципы,
обусловленные принадлежностью, ценностью, конфиденциальностью, технологией
защиты информации.
1.17. Объекты защиты информации
Понятие объекта защиты. Соотношение объекта с рубежом защиты информации.
Носители информации как конечные объекты защиты. Особенности отдельных видов
носителей как объектов защиты. Состав объектов хранения носителей информации,
подлежащих защите. Состав подлежащих защите технических средств отображения,
обработки, хранения, воспроизведения и передачи информации. Другие объекты
защиты информации. Виды и способы дестабилизирующего воздействия на объекты
защиты.
1.18. Классификация видов, методов и средств защиты информации
Виды защиты информации, сферы их действия. Классификация методов защиты
информации. Универсальные методы защиты информации, области их применения.
Области применения организационных, криптографических и инженерно-технических
методов защиты информации. Понятие и классификация средств защиты информации.
Назначение программных, криптографических и технических средств защиты.
Кадровое и ресурсное обеспечение защиты информации
Значение и состав кадрового обеспечения защиты информации. Полномочия
руководства предприятия в области защиты информации. Полномочия подразделений
по защите информации. Полномочия специальных комиссий по защите информации.
Полномочия пользователей защищаемой информации. Состав и назначение
ресурсного обеспечения защиты информации. Значение ресурсного обеспечения для
организации и эффективности защиты информации.
Назначение и структура систем защиты информации. Понятие «система защиты
информации». Назначение систем. Классификация систем защиты информации, сферы
их действия. Сущность и значение комплексной системы защиты информации как
14
формы организации деятельности по защите информации. Структура системы защиты
информации, назначение составных частей системы. Требования к системам защиты
информации.
Основная литература
1. Семененко В.А. Информационная безопасность: Учебное пособие. - М.: МГИУ,
2008.-215 с.
2. Семененко В.А., Бутакова Н.Г. Основы информационной безопасности
компьютерных систем: Учебное пособие. - М.: МОСУ, 2005. -220 с.
Дополнительная литература
1. Алексенцев А.И. Защита информации. Словарь базовых терминов и определений.
- М.: РГГУ, 2000.
2. Алексенцев А.А. О концепции защиты информации // Безопасность
информационных технологий. 1999. № 2.
3. Алексенцев А.А. О составе защищаемой информации // Безопасность
информационных технологий. 1999. № 2.
5.2. Раздел 2. Правовое обеспечение информационной безопасности
2.1. Назначение и структура правового обеспечения защиты информации
Правовое определение информации. Правовые последствия документирования
информации. Доктрина информационной безопасности. Угрозы информационной
безопасности. Роль права в противодействии информационным угрозам. Система
нормативно-правовых актов, посвященных защите информации в Российской
Федерации. Отрасли права, обеспечивающие законность в области защиты
информации. Законодательное закрепление права на защиту информации. Правовые
основы защиты государственной тайны и иных видов тайн. Правовая ответственность
за утечку информации.
2.2. Правовые нормы и методы обеспечения правовой защиты информации
Правовая характеристика сферы защиты информации. Объекты и субъекты этой
сферы. Особенности правовой защиты информации с использованием института
вещных отношений и института защиты нематериальных благ. Запретительные и
разрешительные правовые нормы. Правоспособность и дееспособность в сфере
защиты информации. Лицензирование и сертификация как методы правового
регулирования. Правомерность использования положений закона «О техническом
регулировании» в сфере защиты информации.
15
2.3. Основные законодательные акты, содержащие правовые нормы,
направленные на защиту информации.
Конституционное законодательство о защите информации. Законодательные
акты общего характера, содержащие положения о защите информации. Специальное
законодательство по защите информации. Особая роль законов «Об информации,
информационных технологиях и о защите информации», «Об электронной цифровой
подписи», «О государственной тайне», «О коммерческой тайне», «О персональных
данных». Назначение подзаконных правовых актов, регулирующих процессы защиты
информации. Нормативно-правовые акты, отражающие меру ответственности за
противоправные деяния в сфере защиты информации.
2.4. Правовая защита открытой, общедоступной информации
Правовое определение общедоступной информации. Обеспечение свободы
доступа к информации. Виды информации, ограничение доступа к которым запрещено
законом.
Социально-вредная
информация.
Правовая
защита
субъектов
информационного обмена от социально-вредной информации. Правовое обеспечение
сохранности информации в «ключевых» или «критических» технологиях.
2.5. Проблемы правовой защиты интеллектуальной собственности
Интеллектуальный информационный продукт как объект интеллектуальной
собственности и предмет правовой защиты. Авторское исключительное право и право
авторства. Виды интеллектуальной собственности и особенности их защиты. Правовая
защита ноу-хау. Авторские и лицензионные договоры. Контрафактная продукция.
Меры пресечения нарушений в сфере интеллектуальной собственности.
2.6. Информация ограниченного доступа
Необходимость
введения
ограничений
доступа
к
информации.
Конфиденциальность информации. Современные виды тайн. Государственная тайна и
иные виды тайн. Особенности организации правовой защиты различного вида тайн.
Основные нормативно-правовые документы по защите различных видов информации
ограниченного доступа.
2.7. Государственная система правовой защиты государственной тайны
Законодательство РФ в области защиты государственной тайны. Органы
государственной власти и должностные лица, отвечающие за сохранность
государственной тайны. Сведения, составляющие предмет государственной тайны.
Принципы
засекречивания сведений, составляющих государственную тайну.
Распоряжение сведениями, составляющими государственную тайну. Порядок допуска
и доступа персонала к сведениям, составляющим государственную тайну. Правовые
16
последствия, возникающих для лиц, нарушающих правила обращения с информацией,
составляющей государственную тайну.
2.8. Особенности правовой защиты различного вида тайн
Правовая защита служебной тайны. Правовая защита профессиональной тайны.
Организация защиты коммерческой тайны. Защита тайны кредитной организации.
Профили по защите конфиденциальной информации.
2.9. Правовое обеспечение безопасности информационных
и телекоммуникационных систем
Особенности правовой защиты информационных и телекоммуникационных
систем. Правовой порядок использования электронной цифровой подписи в
телекоммуникационных системах. Уголовно-правовые и административные нормы,
направленные на защиту информационных и телекоммуникационных систем.
Структура нормативного документа ФСТЭК по технической защите информационных
систем - СТР-К.
Основная литература
1. Конституция Российской Федерации // Российская газета. 1993. 25 декабря.
2. Закон РФ «Об информации, информационных системах и о защите информации»
от 27.07.2006, № 14973.
3. Закон РФ «О государственной тайне» от 02.07.1993 № 5481-1.
4. Закон РФ «О персональных данных» от 27.07.2006 № 152Ф3.
5. Закон РФ «О коммерческой тайне» от 29.04.2004. № 98.
6. Закон РФ « Об электронной цифровой подписи» от 19.01.2002. №193.
7. Закон РФ «О техническом регулировании» от 27.12.2002. № 184Ф3.
8. Закон РФ «О лицензировании отдельных видов деятельности» от 08.08.2001. №
128Ф3.
9. Закон РФ «Об оперативно-розыскной деятельности» от 12.08.1995. № 144Ф3.
Дополнительная литература
1. Копылов В.А. Информационное право. - М.: Юрист, 2003.
2. Фисун А.П., Касимов А.И. И др. Право и информационная безопасность. - М.:
Прифизат, 2005.
3. Казанцев С.Я., Загздай О.Э. И др. Правовое обеспечение информационной
безопасности. - М.: Издательский центр «Академия», 2005.
4. Чапков С.Е. Информационное право. - Мю: Юрайт-Издат, 2006.
5.3. Раздел 3. Защита и обработка конфиденциальных документов
17
3.1.
Технология конфиденциального документооборота
Понятие документооборота. Основополагающее единство движения документов
и информации. Документооборот и жизненный цикл документа. Роль и место
документооборота в процессе управления организационными структурами и
производственными процессами. Информационно-документационное обеспечение
деятельности, работы. Требования, предъявляемые к документообороту.
Особенности автоматизированного безбумажного документооборота. Единство
принципов и направлений движения традиционных и электронных документов.
Стабильная для всех типов носителей информации структура документооборота.
Типовой состав технологических стадий входного (входящего, поступающего),
выходного (отправляемого, исходящего) и внутреннего документопотоков.
Анализ
угроз
несанкционированного
получения
документированной
информации, хищения или уничтожения документов, их фальсификации или подмены
в документопотоках. Классификация каналов практической реализации возможных
угроз. Предполагаемые рубежи и уровни защиты документопотоков.
Понятие защищенного документооборота, его цели и задачи. Взаимосвязь
защищенного документооборота с системами, средствами и методами защиты
документированной информации. Защищенный документооборот и используемая
технологическая система обработки и хранения документов. Цели и принципы
функциональной и персональной избирательности в доставке документированной информации потребителям. Избирательность и разрешительная система доступа к
конфиденциальным документам и базам данных. Персональная ответственность за
сохранность информации, носителя информации и документа.
Выделенный поток конфиденциальных документов и автономная технология их
обработки и хранения. Организационные и технологические особенности
делопроизводства по конфиденциальным документам.
Пооперационный учет движения конфиденциальных документов и доступа к
ним руководителей и специалистов. Учет чистых носителей информации,
предназначенных
для
документирования
конфиденциальной
информации.
Периодические и разовые проверки наличия конфиденциальных документов.
Потоки конфиденциальных документов. Принципы защиты документопотоков,
защищенная технология.
Уровень конфиденциальности информации. Организационное обеспечение
защиты потоков документированной информации. Принципы, способы и средства
защиты технических носителей информации и машиночитаемых документов на
разных стадиях их обработки, движения и хранения.
3.2.
Стадии обработки и защиты конфиденциальных документов входного потока
Назначение и задачи стадии приема и первичной обработки конфиденциальных
документов. Типовой состав операций процедуры приема пакетов, конвертов и иных
отправлений, поступивших из почтового отделения или от нарочного. Учет
поступлений, состав фиксируемых данных. Типовой состав операций процедуры
18
первичной обработки документов. Назначение и задачи стадии предварительного рассмотрения и распределения поступивших документов. Типовой состав операций
процедуры предварительного рассмотрения документов.
Порядок определения рационального маршрута движения документа. Принципы
распределения документов между руководителями, структурными подразделениями и
специалистами. Функциональная принадлежность документированной информации.
Уровень компетенции должностных лиц при решении вопросов, поставленных в
документах. Реализация порядка доступа к документам. Типовой состав операций
процедуры распределения поступивших документов.
Назначение и задачи стадии учета поступивших документов. Однократность
регистрации документа. Состав процедур стадии учета документов.
Типовой состав операций процедуры первичной регистрации исходных сведений
о документе. Носители записи исходных сведений о документе.
Журналы учета (регистрации) документов. Регистрационно-контрольные
карточки. Правила заполнения граф и зон учетной формы.
Задачи и порядок ведения журналов учета и картотек. Обоснование состава
дополнительно регистрируемых сведений, их назначение. Правила внесения
изменений и дополнений в имеющиеся записи.
Типовой состав операций процедуры рассмотрения документов руководителем.
Требования к формулированию заданий, поручений по исполнению документа и
определению состава исполнителей и сроков исполнения. Правила работы
руководителя и его референта с конфиденциальными документами, порядок хранения
документов на их рабочих местах.
Типовой состав операций процедуры передачи документов на исполнение.
Порядок доведения до исполнителя содержания конфиденциального документа и
резолюции руководителя. Порядок передачи документа на исполнение нескольким
структурным подразделениям или специалистам. Порядок перемещения документа
между руководителями и специалистами. Типовой состав учетных операций.
3.3.
Стадии обработки и защиты конфиденциальных документов выходного
потока
Назначение и задачи стадии исполнения документов. Понятие исполнение
документа, инициирующие условия начала исполнения. Состав процедур.
Типовой состав операций процедуры составления текста документа. Состав,
особенности применения и оформления, учет бумажных и технических носителей
информации. Критерии и порядок определения степени конфиденциальности
документов, изменения и снятия грифа. Типовой состав операций процедуры
изготовления документа. Машинописное оформление конфиденциального документа.
Типовой состав учетных операций при печатании и перепечатывании проекта
документа, передаче печатного материала исполнителю. Формы учета и правила их
заполнения. Порядок уничтожения черновика документа, испорченных листов и
сопутствующих материалов. Оформление результатов уничтожения. Правила
печатания под диктовку и с диктофона.
Типовой состав операций процедуры издания документа. Технология
согласования, подписания, утверждения документа.
19
Документирование санкционирования доступа персонала к базам данных, учет
доступа. Опись документов и носителей информации, находящихся у специалиста.
Правила работы специалиста с конфиденциальными документами, порядок
обеспечения сохранности документов на его рабочем месте.
Назначение и задачи стадии контроля исполнения документов. Контроль сроков
исполнения документов, заданий и поручений. Контроль предупредительный
(текущий) и последующий (итоговый). Задачи и сферы защиты информации в
процессе контроля исполнения документов. Состав контролируемых документов и
сроки их исполнения. Типовой состав операций процедуры постановки документов на
контроль. Типовой состав операций процедуры ведения контроля. Напоминания
исполнителям и справочная работа по контролируемым документам.
Назначение и задачи стадии копирования и размножения документов. Учет
документов. Типовой состав операций процедуры оформления результатов
копирования или размножения.
Учет изготовленных экземпляров документа. Порядок уничтожения печатных
форм, брака и документирование результатов уничтожения в соответствии с уровнем
грифа конфиденциальности. Назначение и задачи стадии учета отправляемых и
внутренних документов. Централизация учета. Состав процедур. Состав фиксируемых
сведений об отправляемых инициативном и ответном документах, о внутреннем
документе. Обоснование состава сведений, назначение и сфера последующего
использования каждого показателя.
Процедура передачи внутренних документов для исполнения или
использования.
Типовой состав операций процедуры подготовки и передачи отправляемых
документов для экспедиционной обработки. Назначение и задачи стадии
экспедиционной обработки отправляемых документов. Типовой состав операций
процедуры контроля комплектности документов. Типовой состав операций процедуры
конвертования документов. Правила оформления конвертов (пакетов) с конфиденциальными документами. Типовой состав операций процедуры передачи конвертов
(пакетов) нарочным или в почтовое отделение. Оформление реестров. Прядок
документирования факта передачи нарочным конверта (пакета) адресату. Правила
отправления телеграмм, телефаксов и телетайпограмм.
3.4.
Систематизация и оперативное хранение конфиденциальных документов и дел
Назначение и задачи стадии составления и ведения номенклатуры дел. Методика
составления номенклатуры дел: изучение состава документов, разработка
классификационной схемы номенклатуры, формулирование заголовков дел и их
систематизация, индексирование дел, определение сроков хранения дел. Правила
формулирования заголовков дел. Перечень документов с указанием сроков их хранения. Назначение перечня. Типовые и ведомственные перечни. Оформление
номенклатуры дел, ее согласование и утверждение. Типовой состав операций
процедуры ведения и закрытия номенклатуры дел.
Назначение и задачи стадии формирования и оперативного хранения дел.
Понятие формирование дел. Единство регистрационного индекса и места хранения
20
документа. Типовой состав операций процедуры формирования дел. Заведение дел
постоянного и временного сроков хранения, оформление обложки дела. Требования,
предъявляемые к группировке документов в дела. Технологические операции
группировки. Разложение документов внутри дела. Особенности формирования
личных дел. Дополнительные требования к формированию в дела конфиденциальных
документов. Нумерация листов. Заполнение описи документов дела. Составление
заверительной надписи. Прошивка и опечатывание дела. Оформление карточки учета
вы- дачи дела. Типовой состав операций процедуры хранения дел. Правила хранения
документов, выдачи и приема дел, изъятие документов из дела.
Назначение и состав документов и дел выделенного хранения. Формы учета и
содержания регистрируемых сведений. Технологические операции перевода
документов и дел на выделенное хранение.
Назначение и задачи стадии подготовки и передачи дел в архив. Процедура
экспертизы ценности документов. Понятие «экспертиза ценности документов», ее
задачи, принципы и критерии. Требования, предъявляемые к экспертизе. Организация
проведения экспертизы ценности документов. Задачи, функции, состав и порядок
работы экспертной комиссии. Этапы проведения экспертизы ценности документов.
Типовой состав операций каждого этапа. Дополнительные требования к проведению
экспертизы ценности конфиденциальных документов. Оформление результатов
экспертизы.
Назначение и виды описей дел. Порядок составления описи, ее оформление,
согласование и утверждение. Типовой состав операций процедуры подготовки дел к
передаче в архив. Типовой состав операций процедуры передачи дел в архив/
Назначение и задачи стадии уничтожения документов и носителей информации.
Процедура отбора документов и носителей информации для уничтожения.
Организация и порядок отбора. Типовой состав операций. Оформление результатов
отбора. Порядок составления и оформления акта о выделении к уничтожению
документов, не подлежащих хранению. Требования по включению в акт документов,
дел и носителей информации. Подготовка к уничтожению бумажных,
машиночитаемых, аудиовизуальных, конструкторских, технологических и научнотехнических документов. Процедура уничтожения документов и носителей
информации. Требования к процессу уничтожения документов в соответствии со
степенью их конфиденциальности. Порядок внесения отметок об уничтожении
документов и носителей информации в учетные формы. Средства организационной
техники, используемые при выполнении процедуры.
3.5.
Проверка наличия конфиденциальных документов, дел и носителей информации
Назначение и задачи проверки наличия документов, дел и носителей
информации. Сферы распространения проверки. Требования, предъявляемые к
проверке. Виды проверок. Периодичность проверок наличия и уровень
конфиденциальности информации. Проверки регламентированные (периодические) и
нерегламентированные (непериодические). Типовой состав процедур и операций
проверки наличия.
21
Организация
поиска
отсутствующих
конфиденциальных
документов.
Специализированная комиссия для установления причин отсутствия документов.
Оформление заключения о результатах работы комиссии. Списание документов,
отметки в учетных формах.
Текущая проверка наличия документов, дел и носителей информации. Ее цели,
состав проверяемых документов. Оформление результата проверки.
Квартальная и годовая проверки наличия документов, дел и носителей
информации. Цели проверок и состав проверяемых документов. Оформление
результатов проверок.
Ежемесячная проверка наличия особо важных конфиденциальных документов.
Ее цели, состав проверяемых документов. Оформление результата проверки.
Проверка наличия документов, дел и носителей информации при увольнении
сотрудника. Ее цели и оформление результата проверки. Порядок приема от
увольняющегося документов, дел и носителей информации. Оформление результата
приема.
Проверки наличия и сохранности баз данных в ЭВМ. Цели проверки и порядок
ее проведения. Оформление результата проверки.
Предпосылки нерегламентированных проверок наличия документов, дел и
носителей информации. Цели проверки, состав проверяемых документов и
оформление результата проверки.
Основная литература
1. Семененко В.А., Бутакова Н.Г.
Защита и обработка конфиденциальных
документов: Учебное пособие. - М.: МГИУ,2008. 284 с.
2. Бутакова Н.Г. Основы защиты конфиденциальных документов: Учебное пособие. М.: МОСУ, 2005 — 246 с.
3. Семененко В.А., Бутакова Н.Г. Основы защиты информации в компьютерных
системах: Учебное пособие. - М.: МОСУ, 2004. - 238 с.
Дополнительная литература
1. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: ООО «Журнал
«Управление персоналом», 2003. - 200 с.
2. Андреева Т.И. Делопроизводство: Практическое пособие. - М.: ООО «Управление
персоналом», 2005. - 200 с.
3. Рогожин М.Ю. Справочник кадровика. Оформление документов. - М.: Бератор,
2004. - 344 с.
4. Крысин А.В. Информационная безопасность: Практическое руководство. - М.:
«СПАРРК», Киев: «ВЕК+», 2003. - 320 с.
5.4. Раздел 4. Организационное обеспечение информационной безопасности
4.1.
Политика информационной безопасности предприятия
22
Основные цели и задачи системы организационной защиты информации. Угрозы
информационной безопасности. Внутренние и внешние угрозы. Случайные и
преднамеренные угрозы. Организационные меры противодействия угрозам. Каналы
утечки информации
Концепция информационной безопасности предприятия. Структура и требования по информационной безопасности предприятия. Процедуры и методы
информационной безопасности предприятия. Особенности информационной защиты
компьютерных сетей. Реализация принципа разделения полномочий.
4.2.
Работа с персоналом, допущенным к конфиденциальной информации
Задачи и направления работы с персоналом. Особенности приема сотрудников
на работу. Критерии подбора персонала, процедуры подбора и документирования
приема. Учет психологических особенностей сотрудников, принимаемых на работу.
Обязательство о неразглашении тайны. Особенности увольнения сотрудников с
работы. Процедуры увольнения и их документирование. Направления и методы
текущей работы с персоналом. Инструктирование и обучение сотрудников, задачи,
принципы и способы. Меры поощрения и наказания, используемые для поддержания
дисциплины сотрудников, допущенных к работе с конфиденциальной информации.
4.3.
Организационная защита информации в процессе проведения совещаний и
переговоров по конфиденциальным вопросам
Задачи и направления защиты информации в процессе проведения совещаний и
переговоров, а также при приеме посетителей. Требования к отбору информации для
ее оглашения в процессе переговоров. Правила подготовки и проведения совещаний и
переговоров. Документирование информации, оформление стенограмм, протоколов и
итоговых документов. Порядок использования аудио- и видеозаписи хода
переговоров. Требования к помещениям и их охране. Обязанности лиц, ответственных
за проведение совещаний и переговоров. Методы контроля за действиями
посетителей. Требования к помещениям для приема посетителей.
4.4.
Организация защиты информации в автоматизированных информационных
системах, обрабатывающих конфиденциальную информацию
Стадии создания информационных систем. Порядок организационной защиты
информации в процессе проектирования, пуско - наладочных работ и эксплуатации
информационных систем. Организация защиты информации при выходе в сети общего
пользования. Порядок аттестации объектов информатизации и информационных
систем, обрабатывающих конфиденциальную информацию.
4.5. Организационная защита информации при взаимодействии со
сторонними организациями в процессе договорной, выставочной, рекламной и иной
внешней деятельности предприятия
23
Угроза информационной безопасности при взаимодействии со сторонними
организациями. Порядок отбора и подготовки информации к оглашению. Отражение
вопросов защиты информации при подготовке договоров. Виды публикации
информации. Оформление разрешения на опубликование информации. Особенности
обеспечения безопасности информации в процессе выставочной деятельности.
4.6.
Порядок установления пропускного и объектового режимов
Виды, назначение и задачи охраны объектов. Состав функции охраны.
Построение системы охраны объекта, рубежи охраны. Регламентация деятельности,
обязанностей и ответственности персонала охраны. Взаимодействие персонала с
техническими средствами сигнализации, информирования и идентификации. Порядок
сдачи под охрану и снятия с охраны объектов и режимных помещений. Назначение и
задачи пропускного режима. Понятие, задачи и структура пропускного и объектового
режима. Порядок организации доступа персонала в помещения различной категории.
Функционирование контрольно-пропускных пунктов. Виды пропусков и
идентификаторов, их учет и порядок выдачи.
4.7. Порядок допуска и доступа персонала и иных лиц к конфиденциальной
информации
Назначение, принципы и задачи разрешительной системы допуска и доступа к
информации ограниченного доступа. Структура разрешительной системы. Назначение
и формы допусков, порядок оформления, учета и хранения. Несанкционированный
доступ. Порядок оформления разрешения на доступ, мандатная и матричная системы
доступа. Порядок доступа к информации ограниченного доступа лиц,
командированных другими организациями. Особенности доступа к конфиденциальной
информации.
4.8. Аналитическая и плановая работа в сфере организационной защиты информации
Контроль состояния информационной безопасности. Назначение и взаимосвязь
аналитической, плановой и контрольной работы, ее место в построении и
функционировании системы организационной защиты информации. Цели и задачи
аналитической работы по выявлению угроз безопасности информации. Этапы
аналитической работы. Оценка надежности информационной защиты. Цели и задачи
планирования мероприятий по формированию и совершенствованию системы
организационной защиты информации. Виды программ и планов. Контроль за
выполнением программ и планов. Аудит информационной безопасности. Методы
прогнозирования и верификации состояния безопасности информации.
4.9. Организация служебного расследования по фактам утраты конфиденциальной
информации
24
Цели и задачи служебного расследования. Основания для служебного
расследования.
Меры,
принимаемые
по
результатам
расследования.
Документирование хода и результатов служебного расследования. Порядок
проведения служебного расследования в случаях возникновения сложных инцидентов.
Особенности проведения служебного расследования инцидентов, происшедших в
компьютерных сетях.
4.10. Организационные меры по обеспечению и поддержанию информационной
безопасности в период чрезвычайных ситуаций
Виды и характерные особенности чрезвычайных ситуаций. Этапы развития
чрезвычайных ситуаций. Основные задачи по поддержанию информационной
безопасности в период чрезвычайных ситуаций. Кризисные группы. Планирование и
проверка готовности подразделений предприятий к действиям период чрезвычайных
ситуаций. Особенности подготовки распорядительных документов по действиям
сотрудников, обеспечивающих безопасность информации на период чрезвычайных
ситуаций. Организационные меры, принимаемые на предприятии по обеспечению
пожарной безопасности. Порядок восстановления целостности и доступности
информации в период после окончания чрезвычайной ситуации.
Основная литература
1. Семененко В.А. Информационная безопасность. - М.: МГИУ, 2008.
2. Завгородний В.И. Комплексная защита информации в компьютерных системах. М., 2003.
3. Ярочкин В.И. Информационная безопасность: Учебное пособие для вузов. - М.,
2005.
4. Консер И., Беляев А. Информационная безопасность предприятий. -СПб., 2003.
Дополнительная литература
1. Ярочкин В.И. Система безопасности фирмы. - М.: 2006.
2. Марченко О.И., Бурмистров Е.В. и др. Управление персоналом. - М.: 2004.
3. Садердиков А.А., Трайнев В.А., Федулов А.А. Информационная безопасность
предприятия. - М.: 2004.
4. Аверченков В.И., Аудит информационной безопасности. - М.: 2006.
5.5. Раздел 5. Инженерно-техническая защита информации
5.1.
Объекты информационной безопасности
Основные свойства информации как предмета инженерно-технической защиты.
Понятие объекта защиты и его структурное представление. Демаскирующие признаки
25
объектов защиты и их классификация. Источники и носители конфиденциальной
информации. Источники опасных сигналов.
5.2.
Угрозы безопасности информации
Виды угроз безопасности информации. Органы добывания информации.
Классификация видов и средств технической разведки. Принципы ведения разведки.
Технология добывания информации. Каналы и методы несанкционированного доступа
к источникам информации.
5.3.
Способы и средства добывания информации техническими средствами
Способы и средства наблюдения. Способы и средства перехвата сигналов.
Способы и средства подслушивания акустических сигналов. Способы и средства
добывания информации о демаскирующих признаках веществ.
5.4.
Технические каналы утечки информации
Типовая структура технического канала утечки информации. Характеристики
каналов утечки информации. Оптические каналы утечки информации.
Радиоэлектронные каналы утечки информации. Акустические каналы утечки
информации. Материально-вещественные утечки информации.
5.5. Методы, способы и средства инженерно-технической охраны объекта
Концепция инженерно-технической защиты информации. Способы и средства
технической охраны. Способы и средства инженерной защиты объектов. Способы и
средства обнаружения злоумышленников и пожара. Способы и средства
видеоконтроля. Средства контроля и управления доступом на объект защиты.
Автоматизированные интегральные системы безопасности.
5.6.
Способы и средства защиты информации от наблюдения
Способы и средства противодействия наблюдению в оптическом диапазоне
волн. Способы и средства противодействия радиолокационному и гидроакустическому
наблюдению.
5.7.
Способы и средства защиты информации от подслушивания
Способы и средства информационного скрытия акустических сигналов и
речевой информации. Способы и средства энергетического скрытия акустических
сигналов.
5.8.
Способы и средства предотвращения утечки информации с помощью
закладных устройств
26
Классификация закладных устройств. Основные демаскирующие признаки
проводных и радиозакладных устройств, качественная оценка их информативности.
Способы подавления сигналов закладных устройств. Мотивация и порядок проведения
поисковых исследований закладных устройств. Аппаратура поиска обнаружения
закладных устройств.
5.9.
Способы и средства предотвращения утечки информации через побочные
электромагнитные излучения и наводки
Подавление сигналов побочных электромагнитных излучений и наводок.
Средства пассивной и активной защиты (фильтры, экраны).
.
5.10. Способы предотвращения утечки информации по материально-вещественному
каналу
Классификация способов предотвращения утечки информации по материальновещественному каналу. Способы и средства уничтожения информации, содержащейся
в отходах делопроизводства и промышленного производства. Способы и средства
стирания информации на магнитных носителях. Способы защиты демаскирующих
веществ.
5.11. Организация инженерно-технической защиты информации
Общие положения по инженерно-технической защиты информации в
организации. Организационные и технические меры по инженерно-технической
защите информации в организации.
5. 12. Основы методического обеспечения инженерно-технической защиты
информации
Моделирование угроз безопасности информации. Системный подход к защите
информации. Моделирование объекта защиты. Методические рекомендации по
разработке типовых мер защиты.
Основная литература
1. Торокин А.А. Инженерно-техническая защита информации. - М: «Гелиос», 2005. 959 с.
2. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки.
- М.: Изд-во РГГУ, 2001.
3. Хорев А.А. Техническая защита информации. Часть 1. Технические каналы утечки
информации: Учебное пособие. - М.: НПЦ «Аналитика», 2008. - 432 с.
27
Дополнительная литература
1. Петраков А.В. Основы практической защиты информации. - М.: Радио и связь,
1999.
5.6. Раздел 6. Криптографические методы и средства обеспечения информационной
безопасности
6.1. ОСНОВНЫЕ ЗАДАЧИ СОВРЕМЕННОЙ КРИПТОГРАФИИ
Конфиденциальность.
Целостность. Аутентификация. Неотслеживаемость.
Цифровая подпись. Управление ключами. Общие требования к криптосистемам.
6.2. ШИФРЫ ПЕРЕСТАНОВКИ, ШИФРЫ ЗАМЕНЫ, ШИФРЫ
ГАММИРОВАНИЯ
Шифр Сцитала. Маршрутные перестановки. Шифры вертикальной
перестановки. Поворотные решетки. Элементы криптоанализа простых шифров
перестановки.
Поточные шифры простой замены. Шифры многоалфавитной замены
Биграммные и n-граммные шифры замены. Матричные шифры. Модель шифров
замены. Классификация шифров замены. Криптоанализ поточного шифра простой
замены.
Основные требования к гамме. Шифр Виженера. Одноразовый блокнот
К.Шеннона. Аддитивные методы шифрования. Режим гаммирования ГОСТ 28147-89.
6.3.БЛОЧНЫЕ И ПОТОЧНЫЕ СИСТЕМЫ ШИФРОВАНИЯ
Регистры сдвига с обратной связью. Скремблеры. Методы рандомизации
сообщений. Поточные шифрсистемы. Блочные системы шифрования. Конструкции
Фейстеля. Режимы шифрования блочных шифров. Алгоритмы блочного шифрования.
Стандарты шифрования DES, AES, ГОСТ 28147-89.
6.4.СИСТЕМЫ ШИФРОВАНИЯ С ОТКРЫТЫМИ КЛЮЧАМИ
Асимметричные системы. Открытое распределение ключей. Схема ДиффиХеллмана. Криптосистема RSA. Схема шифрования Эль-Гамаля. Криптография на
эллиптических кривых. Криптоанализ шифра RSA.
6.5. ЭЛЕКТРОННЫЕ ЦИФРОВЫЕ ПОДПИСИ
28
Механизм действия электронной цифровой подписи. Функции хеширования.
Алгоритмы цифровой подписи. Криптоанализ односторонних хеш-функций.
Стандарты цифровой подписи ГОСТ Р 34.10, DSA (ECDSA).
Основная литература
1. Бутакова Н.Г., Семененко В.С., Федоров В.Н. Криптографическая защита
информации. – М.:МГИУ, 2010.-376с.
2. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы
криптографии: Учебное пособие. – М.: Гелиос АРВ, 2002. – 480 с.
3. Словарь криптографических терминов / Под редакцией Б.А.Погорелова и
В.Н.Сачкова.- М: МЦНМО, 2006.
4. Бутакова Н.Г.Основы защиты конфиденциальных документов: Учебное пособие.
- М.:МОСУ, 2005. – 246 с.
5. Семененко В.А., Бутакова Н.Г. Основы защиты информации в компьютерных
системах: Учебное пособие. – М.: МОСУ, 2004. – 238 с.
6. Закон «Об информации, информационных технологиях и защите информации»
от 27 июля 2006 года N 149-ФЗ.
7. Федеральный Закон “Об электронной цифровой подписи” от 10 января 2002 г. N
1-ФЗ.
8. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования.- М., Госстандарт, 1990.
9. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной цифровой
подписи.- М., Госстандарт, 2001.
10.ГОСТ Р 34.11-94. Функция хеширования.- М., Госстандарт, 1994.
1.
2.
3.
4.
5.
6.
Дополнительная литература
Нечаев В.И. Элементы криптографии (Основы теории защиты информации):
Учеб. пособие для ун-тов и пед. Вузов / Под ред. В.А.Садовничего – М.:
Высш.шк., 1999, - 109 с.
Зубов А.Ю. Совершенные шифры.- М: Гелиос АРВ , 2003.- 162 с.
Коутинхо С.. Введение в теорию чисел. Алгоритм RSA. – М.: Постмаркет,
2001. – 328 с.
Виноградов И.М. Основы теории чисел. – 10-е изд., стер. – СПб.:
Издательство «Лань», 2004. – 176 с.
Введение в криптографию / Под общей редакцией В.В.Ященко. – 3-е изд.,
доп. – М.: МЦНМО: «ЧеРо», 2000. – 288 с.
Масленников М. Практическая криптография. – СПб.: БХВ-Петербург, 2003.
– 464 с.
29
5.7. Раздел 7. Программно-аппаратная зашита информации и защита информационных
процессов в компьютерных системах
7.1. Информационная безопасность
в компьютерных системах
Компьютерная система как объект защиты информации. Понятие угрозы
информационной безопасности в КС. Классификация и общий анализ угроз.
Информационной безопасности в КС. Случайные угрозы информационной
безопасности. Преднамеренные угрозы информационной безопасности.
7.2. Понятие политики безопасности в компьютерных системах
Разработка политики информационной безопасности. Методология политики
безопасности компьютерных систем. Основные положения политики информационной
безопасности. Жизненный цикл политики безопасности. Принципы политики
безопасности.
7.3. Архитектура системы программно-аппаратной защиты
Функциональная модель системы защиты. Состав и назначение функциональных
блоков. Основные группы механизмов защиты. Функциональная модель.
Рекомендации по отдельным уровням функциональной модели.
7.4. Модель компьютерной системы
Понятие доступа и монитора безопасности. Обеспечение гарантий выполнения
политики безопасности. Методология проектирования гарантированно защищенных
КС. Метод генерации изолированной программной среды.
7.5. Модели типовых политик безопасности компьютерных
средств защиты информации
Дискретные модели. Модель АДЕПТ-50. Пятимерное
безопасности Хартстона. Мандатная модель. Модель Белла-Лападула.
пространство
7.6. Проектирование средств реализации механизмов
безопасности на аппаратном уровне
Защита на уровне расширений BIOS. Программирование расширенного BIOS.
Пример программы расширения BIOS. Защита на уровне загрузчиков операционных
сред. Защитные механизмы при начальной загрузке OS. Программирование
модифицированного загрузчика.
30
7.7. Программно-аппаратные средства идентификации и аутентификации
пользователей
Идентификация и аутентификация. Основные понятия и
классификация.
Простая аутентификация. Аутентификация на основе многоразовых паролей.
Аутентификация на основе одноразовых паролей. Аутентификация на основе
сертификатов. Биометрическая идентификация и аутентификация пользователей.
Строгая аутентификация. Протоколы аутентификации с симметричными алгоритмами
шифрования. Протоколы, основанные на использовании однонаправленных ключевых
хэш-функций. Аутентификация с использованием асимметричных
алгоритмов
шифрования. Аутентификация, основанная на использовании цифровой подписи.
Протоколы аутентификации с нулевой передачей значений. Упрощенная схема
аутентификации с нулевой передачей знаний. Параллельная схема аутентификации с
нулевой передачей знаний. Механизм идентификации и аутентификации в ОС
Windows. Протокол аутентификации Kerberos.
7.8. Защита файловой системы Windows
Общие сведения о файловых системах. Файловые системы FAT и FAT32.
Файловая система NTFS. Ограничения файловых систем и вопросы совместимости.
Разрешения для файлов и папок. Шифрующая файловая система (EFS) Encrypting File
System. Технология шифрования. Восстановление данных. Процесс шифрования.
Процесс дешифрирования. Процесс восстановления. Взаимодействие файловой
системы защиты NTFS и защиты ресурса общего доступа (Sharing). Типовые задачи
администрирования. Администрирование дисков в Windows. Сходства и различия
между Disk Management и Disk Administrator.
7.9. Защита файловой системы OS Linux
Файловая система
OS Linux. Основные концепции файловой системы.
Виртуальная Файловая Система (VFS).
7.10. Программные и аппаратные средства защиты
компьютерных информационных систем
Подходы к защите информационных систем. Устойчивость к прямому
копированию. Устойчивость к взлому. Аппаратные ключи. Структура системы защиты
от несанкционированного копирования. Защита программ на жестком диске. Защита
программ от трассировки. Обзор современных средств защиты.
31
7.11. Компьютерные вирусы
Классификация вирусов. Механизмы заражения компьютерными
вирусами. Признаки появления вирусов. Методы и средства защиты от
компьютерных вирусов. Антивирусные средства. Профилактика заражения
вирусами компьютерных систем. Антивирус. Алгоритм работы. Структура
антивирусной защиты предприятия.
7.12. Компьютерная безопасность
вычислительных сетей
Понятие “межсетевой экран”. Руководящий документ Гостехкомиссии России по
межсетевому экранированию. Классы защищенности МЭ. Основные требования,
предъявляемые к межсетевым
экранам. Основные функции МЭ. Основные
компоненты МЭ. Политика безопасности в компьютерных сетях.
Политика
брандмауэра. Стратегии брандмауэра. Аппаратные и программные брандмауэры.
Особенности современных межсетевых экранов.
Основная литература
1. Семененко В.А., Федоров Н.В. Программно-аппаратная защита информации. - М.:
МГИУ, 2007. - 220 с.
2. Семененко В.А., Федоров Н.В. Компьютерная безопасность. – М.: МОСУ, 2006 356 с.
Дополнительная литература
1. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачева С.В., 2001. - 352 с.
Раздел 8. Комплексная зашита информации на предприятии
8.1.
Сущность и задачи комплексной системы защиты информации (КСЗИ)
Назначение и общее содержание КСЗИ. Основные задачи КСЗИ. Факторы,
влияющие на организацию КСЗИ. Принципы организации КСЗИ. Основные
требования, предъявляемые к КСЗИ. КСЗИ как средство выражения концептуальных
основ защиты информации. Понятие системы защиты информации. Основные
системные представления защиты информации. Системный подход. Системный
анализ комплексной защиты информации.
8.2.
Принципы организации КСЗИ
32
Основные требования, предъявляемые к КСЗИ. Основные компоненты создания
КСЗИ.
8.3.
Технология организации КСЗИ
Общее содержание работ по организации КСЗИ. Характеристика основных
стадий создания КСЗИ. Назначение и структура задания на проектирование,
технического задания, технико-экономического обоснования. Предпроектное
обследование, технический проект, рабочий проект. Апробация и ввод в
эксплуатацию.
8.4.
Разработка модели КСЗИ
Моделирование как инструмент анализа КСЗИ. Функциональная модель КСЗИ.
Модель потенциального нарушителя. Организационная модель КСЗИ. Информационная модель КСЗИ.
8.5.
Обеспечение функционирования КСЗИ
Нормативно-методические документы, обеспечивающие функционирование
КСЗИ. Определение кадрового обеспечения функционирования КСЗИ. Нормативные
документы, регламентирующие деятельность персонала по защите информации.
Распределение функций по защите информации среди персонала предприятия.
Обеспечение благоприятного психологического климата в коллективе как элемент
системы. Подбор и обучение персонала.
8.6.
Назначение, структура и содержание управления КСЗИ
Понятие и цели управления КСЗИ. Сущность процессов управления. Принципы
управления службой защиты информации. Основные законы кибернетики.
Планирование деятельности КСЗИ. Способы и стадии планирования. Структура и
общее содержание планов. Организация выполнения планов.
8.7.
Технология управления КСЗИ
Определение и основные понятия технологии управления КСЗИ. Понятие
управленческого решения. Особенности поиска и принятия решений в КСЗИ. Методы,
используемые для принятия управленческих решений в зависимости от особенностей
ситуации.
8.8.
Управление КСЗИ в условиях чрезвычайных ситуаций
Понятие и основные виды чрезвычайных ситуаций. Технология принятия
решений в условиях чрезвычайной ситуации. Подготовка мероприятий на случай
возникновения чрезвычайных ситуаций.
33
8.9.
Сущность и содержание контроля функционирования КСЗИ
Понятие и виды контроля функционирования КСЗИ. Цель проведения
контрольных мероприятий в КСЗИ. Методы контроля. Особенности проведения
контроля функционирования КСЗИ. Анализ и использование результатов проведения
контрольных мероприятий.
Основная литература
1. Гришина Н.В. Организация комплексной системы защиты информации. - М.:
Гелиос, 2007.
2. Малюк А.А. Информационная безопасность. Концептуальные и методологические
основы защиты информации. - Мю: Горячая линия, 2004.
34
6. ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЭКЗАМЕНУ
Раздел 1. Теория информационной безопасности
и методология защиты информации
1. Информация как средство отражения окружающего мира и как средство его
познания. Информация и данные. Количественные оценки и показатели качества
информации.
2. Информационная природа эволюционных преобразований в современном
обществе. Информатизация и компьютеризация. Информационные продукты и
услуги как рыночный товар. Объективная необходимость и общественная
потребность защиты информации.
3. Уязвимость информации, ее формы и виды. Утрата и утечка информации.
Информационный статус и его составляющие: целостность, конфиденциальность
и доступность информации. Сущность понятия «защита информации».
4. Соотношение понятий «защита информации» и «информационная безопасность».
Объекты информационной безопасности и их информационное измерение. Связь
проблемы обеспечения информационной безопасности с процессами
информатизации общества.
5. Информационная безопасность как составляющая национальной безопасности.
Угрозы национальным интересам РФ в информационной сфере. Информационные
войны, информационное оружие и информационный терроризм.
6. Доктрина информационной безопасности РФ. Политика сбалансированного
обеспечения безопасного развития личности, общества и государства в
информационной сфере.
7. Общедоступная информация и информация с ограниченным доступом.
Классификация информации с ограниченным доступом по видам тайн.
Государственная, коммерческая, профессиональная, личная и другие виды тайны.
8. Документированная информация как объект правовой защиты. Носители
защищаемой информации. Правоотношения при формировании и использование
информационных ресурсов.
9. Методологические принципы и организационные мероприятия, реализуемые в
процессе защиты информации.
10. Обобщенные
модели
систем
защиты
информации.
Одноуровневые,
многоуровневые и многозвенные модели. Общая характеристика средств, методов
и мероприятии, применяемых для защиты информации.
11. Компьютерная система (КС) как объект защиты информации. Эволюция
концептуальных основ реализации ее защиты. Общая характеристика случайных и
преднамеренных угроз в КС.
12. Реализация
информационных
угроз
компьютерным
системам
путем
несанкционированного доступа (НСД). Классификация каналов НСД.
Собирательный образ потенциального нарушителя.
35
13. Основные противодействия случайным угрозам в компьютерных системах.
Помехоустойчивое кодирование. Дублирование информации и резервирование
технических средств.
14. Общая характеристика средств и методов защиты информации в компьютерных
системах от утечки по техническим каналам.
15. Базовые принципы, лежащие в основе моделей политики безопасности в
компьютерных системах. Матричная модель и мандатная модель управления
доступом к ресурсам КС. Идентификация и аутентификация субъектов доступа.
16. Общие понятия и классификация криптографических средств. Методы
шифрования.
17. Общая характеристика и классификация компьютерных вирусов. Антивирусные
средства, методы и мероприятия.
18. Отечественные нормативные документы и зарубежные стандарты в области
защиты информации и безопасности информационных технологий.
19. Методологические принципы, реализуемые при построении комплексной системы
защиты информации (КСЗИ). Функции и задачи защиты, механизмы защиты
уровень защищенности, управление защитой и другие базовые понятия,
используемые при формировании КСЗИ.
20. Общетеоретическая постановка задачи оптимизации комплексной системы
защиты информации на основе выбранного критерия эффективности защиты.
Раздел 2. Правовое обеспечение информационной безопасности
1. Виды информации по категориям доступа. Общедоступная информация и
информация и информация ограниченного доступа. Конфиденциальная
информация.
2. Основные нормативно-правовые акты, регулирующие отношения в сфере защиты
информации в России.
3. Организационно-правовая структура правового обеспечения защиты информации
в России.
4. Порядок лицензирования деятельности по технической защите информации
ограниченного доступа.
5. Коммерческая тайна. Правовой порядок установления режима коммерческой
тайны.
6. Особенности правовой защиты интеллектуальной собственности. Виды
интеллектуальной собственности. Право авторства и авторские (исключительные)
права на интеллектуальную собственность.
7. Особенности правовой защиты персональных данных.
8. Принципы и порядок отнесения сведений к государственной тайне. Грифы
секретности носителей этих сведений.
9. Порядок допуска и доступа должностных лиц и граждан к сведениям,
составляющим государственную тайну.
10. Правовое регулирование отношений по защите информации в информационных и
телекоммуникационных сетях, а также в сети Интернет.
36
11. Правовой
порядок
установления
соответствия
параметров
объектов
информатизации и средств защиты информации требованиям нормативных
документов.
Раздел 3. Защита и обработка конфиденциальных документов
1.
2.
3.
4.
5.
Специфика технологии защищенного документооборота.
Стадии обработки и защиты конфиденциальных документов входного потока.
Стадии обработки и защиты конфиденциальных документов выходного потока.
Систематизация и оперативное хранение конфиденциальных документов и дел.
Проверка наличия конфиденциальных документов, дел и носителей информации.
Раздел 4. Организационное обеспечение информационной безопасности
1. Политика информационной безопасности предприятия как совокупность
нормативно-правовых и распорядительных документов по защите информации.
2. Угрозы безопасности информации. Каналы утечки информации от
информационных
и
телекоммуникационных
систем
и
направление
организационной защиты информации в этих системах.
3. Особенности поиска, оформления и приема на работу сотрудников, допущенных к
конфиденциальной информации.
4. Текущая работа с персоналом, допущенным к конфиденциальной информации.
Меры поощрения и взыскивания, используемые для поддержания дисциплины.
5. Организационная защита информации в процессе проведения совещаний и
переговоров по конфиденциальным вопросам.
6. Принципы и задачи ограничения и разграничения доступа к конфиденциальной
информации.
7. Организация внутриобъектового и пропускного режимов на предприятии.
Организация охраны объектов информатизации.
8. Организация защиты информации при чрезвычайных обстоятельствах.
9. Организация служебного расследования по фактам утраты информации и
инцидентам в информационных и телекоммуникационных сетях.
10. Порядок аттестации объектов информатизации.
Раздел 5.Инженерно-техническая защита информации
1.
2.
3.
4.
5.
6.
Способы и средства добывания информации техническими средствами.
Технические каналы утечки информации.
Методы, способы и средства инженерно-технической охраны объекта.
Способы и средства защиты информации от наблюдения.
Способы и средства защиты информации от подслушивания.
Способы и средства предотвращения утечки информации с помощью закладных
устройств.
37
7. Способы и средства предотвращения утечки информации через побочные
электромагнитные излучения и наводки.
8. Способы предотвращения утечки информации по материально- вещественному
каналу.
9. Организация инженерно-технической защиты информации.
10. Основы методического обеспечения инженерно-технической защиты информации.
Раздел 6. Криптографические методы и средства обеспечения информационной
безопасности
1. Основные понятия и определения криптографии. Классификация криптосистем
(шифров). Простейшие шифры - простая замена шифр сцитала, шифр Цезаря,
колонная замена. Требования к криптографическим системам. Основные
характеристики криптографических систем.
2. Симметричные криптосистемы. Блочные шифры. Определение Режимы применения
блочных шифров.
3. Блочные шифры. Российский стандарт шифрования ГОСТ 28147-89. Режимы
применения алгоритма шифрования ГОСТ 28147-89.
4. Потоковые шифры (шифры гаммирования). Определение. Общие сведения о
потоковых шифрах. Самосинхронизирующиеся шифры. Синхронные шифры.
5. Потоковые шифры. Определение. Общие сведения о потоковых шифрах.
Использование блочного шифра в режиме потокового шифрования.
6. Асимметричные криптосистемы. Схема функционирования. Односторонние
функции. Функции-ловушки. Криптосистема Эль-Гамаля.
7. Управление криптографическими ключами. Понятие ключа шифрования виды
ключей. Постановка проблемы управления криптографическими ключами.
Генерация ключей. Системы управления ключами в случае симметрического
алгоритма шифрования.
8. Криптографические протоколы. Понятие, назначение и основные области
применения криптографического протокола. Основные структурные компоненты
современных криптографических алгоритмов.
9. Электронная цифровая подпись. Постановка проблемы. Основные области
применения. Функции хеширования. Функция хеширования ГОСТ Р 34.11-94.
Стандарт цифровой подписи ГОСТ Р 34.10-94. Стандарт цифровой подписи ГОСТ
34.10-2001.
Раздел 7. Программно-аппаратная зашита информации и защита информационных
процессов в компьютерных системах
1. Понятие политики безопасности при программно-аппаратной защите информации.
2. Модели компьютерных систем. Доступ и монитор безопасности.
3. Модели безопасного субъектного взаимодействия в компьютерной системе.
Аутентификация пользователей. Сопряжение защитных механизмов.
4. Проектирование средств реализации механизмов безопасности на аппаратном
уровне.
38
Политика безопасности для различных операционных систем.
Управление безопасностью в компьютерных системах.
Средства и методы ограничения доступа к файлам.
Защита программ от несанкционированного копирования.
Средства защиты информационных процессов в локальной ЭВМ. Средства
разграничения прав доступа (аппаратные).
10. Модели сетевых сред.
11. Создание механизмов безопасности в распределенной компьютерной системе.
12. Методы и средства защиты от компьютерных вирусов.
13. Основные требования, предъявляемые к межсетевым экранам. Основные функции
МЭ. Основные компоненты МЭ.
5.
6.
7.
8.
9.
Раздел 8. Комплексная зашита информации на предприятии
1.
2.
3.
4.
5.
6.
7.
8.
9.
Понятие и назначение КСЗИ.
Определение компонентов КСЗИ.
Концепция создания КСЗИ.
Технология разработки КСЗИ, основные этапы разработки КСЗИ.
Структура и содержание цикла работ по защите информации на предприятии.
Источники и способы дестабилизирующего воздействия на информацию.
Организационная компонента КСЗИ.
Факторы, влияющие на создание КСЗИ.
Требования, предъявляемые к КСЗИ.
39
Скачать