Этапы реализации концепции защиты информации

Основные положения Концепции развития системы защиты информации реализуются: путем целенаправленной повседневной деятельности Государственной технической комиссии при Президенте Российской Федерации, Управления Гостехкомиссии России, органов власти и организаций; путем выполнения федеральных, межрегиональных и региональных научно-технических и целевых программ в области защиты информации, научно-исследовательских и опытно-конструкторских работ в области защиты информации, региональных программ информатизации с учетом результатов выполнения общегосударственных программ в области защиты информации.

Создание системы защиты информации в федеральном округе предлагается осуществлять в три этапа.

На первом этапе:

определяются принципы взаимодействия территориальных органов федеральных органов исполнительной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и иных организаций, входящих в систему защиты информации, при решении задач защиты информации, создается нормативно-методическая база; формируются Комиссии по защите информации в субъектах Российской Федерации;

определяется базовая научно-исследовательская организация в области защиты информации; определяются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и распространения информационных ресурсов;

создаются подразделения по технической защите информации в органах государственной власти субъектов Российской Федерации и органах местного самоуправления, осуществляются подготовка, переподготовка и повышение квалификации специалистов в области защиты информации; разрабатываются первоочередные нормативные правовые акты, организационно-распорядительные и методические документы для системы защиты информации;

оснащаются элементы системы защиты информации существующими средствами защиты информации и контроля эффективности ее защиты;

организуется контроль состояния защиты информации и создается информационно-аналитическая система оценки состояния защиты информации; выявляются проблемные вопросы в области технической защиты информации.

Ориентировочная длительность первого этапа – 1–2 года.

На втором этапе:

совершенствуется нормативная правовая база в области защиты информации субъектов Российской Федерации, разрабатываются и совершенствуются основные организационно-распорядительные документы по технической защите информации в органах исполнительной и судебной власти Российской Федерации, органах законодательной, исполнительной и судебной власти субъектов Российской Федерации, органах местного самоуправления, подведомственных им организациях и в других организациях системы защиты информации;

совершенствуются организационные мероприятия, технические методы и средства защиты информации на объектах системы защиты информации; внедряется информационно-аналитическая система оценки состояния технической защиты информации на объектах системы защиты информации; создается информационно-аналитическая система выявления, прогнозирования угроз безопасности информации и планирования мероприятий по защите информации в системе защиты информации.

Ориентировочная длительность второго этапа – 2–3 года.

На третьем этапе:

осуществляется дальнейшее совершенствование нормативно-методи­чес­кого и технического обеспечения системы защиты информации; осуществляется оснащение важнейших объектов защиты перспективными средствами защиты информации, а также контроля состояния защиты информации; разрабатываются и создаются региональные системы тех­ни­ческого контроля; осуществляется интеграция информационно-анали­ти­ческих систем защиты информации федерального округа в Единую информационно-аналитическую систему.

 

17.3. Финансирование мероприятий
по защите информации

Финансирование деятельности органов власти, бюджетных организаций и их структурных подразделений по защите государственной или служебной тайны осуществляется за счет средств соответствующих бюджетов, а остальных организаций – за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную и служебную тайну.

Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.

 

17.4. Результаты реализации концепции
защиты информации

Реализация Концепции позволит:

улучшить организационную структуру системы защиты информации, ее кадровое обеспечение; повысить оснащенность элементов системы защиты информации высокоэффективными системами, средствами и технологиями защиты информации, а также средствами контроля эффективности защиты информации; улучшить обеспеченность органов власти и организаций,, документами в области защиты информации; повысить обоснованность, оперативность и качество управления системой защиты информации.

В результате реализации основных направлений развития системы защиты информации будет создана система, обеспечивающая требуемый уровень безопасности и устойчивое развитие в информационной сфере с учетом экономических возможностей регионов и адекватно реагирующая на угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее.

Ожидаемый эффект от реализации Концепции состоит:

в предотвращении ущерба от утечки информации, несанкционированного доступа и специальных воздействий на нее в органах власти и организациях;

В обеспечении безопасности информации, циркулирующей в важнейших системах регионального управления; в создании выгодных, с позиции социально-экономической безопасности регионов, условий использования информационных ресурсов субъектов Российской Федерации.

 

КОНТРОЛЬНЫЕ ВОПРОСЫ К ЭКЗАМЕНУ

1. Содержание и структура понятия «безопасность».

2. Содержание и структура понятия «информационная безопасность».

3. Содержание и структура понятия «обеспечение информационной безопасности».

4. Принципы защиты информации от несанкционированного доступа.

5. Информационное оружие как угроза безопасности информации.

6. Методы оценки уязвимости информации.

7. Системная классификация и общий анализ угроз безопасности информации.

8. Источники угроз безопасности информации.

9. Структура монитора обращений. Пятимерное «пространство безопасности» Хартсона.

10. Вирусное подавление как форма радиоэлектронной борьбы.

11. Основные виды технических каналов и источников утечки информации.

12. Способы предотвращения утечки информации по техническим каналам.

13. Организационно – правовое обеспечение защиты информации. (Организационно- правовая основа, юридические аспекты).

14. Концепция комплексной системы защиты информации (Схема функций и результатов защиты информации)

15. Методология создания, организации и обеспечения функционирования систем комплексной защиты информации.

16. Пути и проблемы практической реализации концепции комплексной защиты информации.

17. Безопасность систем электронного документооборта в банковском учреждении.

18. Документ как предмет и процесс. Защита информационных технологий. Структура понятия информации (сведения и сообщения). Свойства информации в форме сведений и сообщений.

19. Определение информации в задачах информационной безопасности. Автономная информация. Информация воздействия. Информация взаимодействия.

20. Определение информации в задачах информационной безопасности. Автономная информация. Информация взаимодействия.

21. Информация и данные. Собственные свойства информации.

22. Информация и данные. Потребительские свойства информации.

23. Количественные оценки и показатели качества информации.

24. Циклический процесс получения информации.

25. Особенности и структура экономической информации.

26. Защита информации в автоматизированных системах банковских расчетов.

27. Безопасность электронного финансового документооборота.

28. Пример практического применения механизма ЭЦП.

29. Понятия компьютерного преступления.

30. Криминалистическая характеристика компьютерного преступления. Основные способы совершения компьютерного преступления. Проблемы построение систем защищенного документооборота.

31. Доктрина информационной безопасности (30.03.2004). Экономические методы обеспечения информационной безопасности.

32. Доктрина информационной безопасности РФ. Особенности обеспечения информационной безопасности в среде экономики.

33. Доктрина информационной безопасности РФ. Меры по обеспечению информационной безопасности РФ в среде экономики.

34. Доктрина информационной безопасности РФ. Основные составляющие национальных интересов РФ.

35. Дать определение понятию «информационная безопасность». Пояснить составляющие.

36. Каковы цели обеспечения информационной безопасности. Дать определение составляющим.

37. Дать определение понятию «система защиты информации.

38. Дать определение понятию «угроза».

39. Дать определение понятию «угроза конфиденциальности».

40. Дать определение понятию «угроза доступности»

41. Дать определение понятию «угроза целостности».

42. Дать определение понятию «источник угроз»

43. Классифицировать источники угроз.

44. Дать определение понятию «уязвимость».

45. Классифицировать способы воздействия угроз.

46. Виды реализации информационных угроз (перечислить, пояснить механизм реализации).

47. Виды реализации организационно-правовых угроз (перечислить, пояснить механизм реализации)

48. Виды реализации программных угроз (перечислить, пояснить механизмы реализации).

49. Виды реализации Internet угроз (перечислить, пояснить механизмы реализации)

50. Дать определение понятию «троянская программа».

51. Дать определение понятиям «риск», «управление риском».

52. Дать определение понятию «оценка риска» (ОР). Перечислить задачи оценки риска.

53. Описать два подхода к оценке риска.

54. Перечислить количественные методики оценки рисков.

55. Основные варианты действий по управлению рисками.

56. Дать определение понятию «Политика безопасности».

57. Содержание документа Политика безопасности.

58. Цели безопасности

59. Содержание законодательных мер обеспечения информационной безопасности.

60. Содержание административных мер обеспечения информационной безопасности.

61. Содержание процедурных мер обеспечения информационной безопасности.

62. Охарактеризовать элемент безопасности «Управление персоналом». Охарактеризовать элемент безопасности «Физическая безопасность».

63. Раскрыть понятие «Защищенная область».

64. Раскрыть понятие «Защита оборудования».

65. Перечислить механизмы, с помощью которых реализован такой элемент безопасности как «Поддержание работо-способности ИС».

66. Дать определение понятию «Обеспечение высокой доступности сервиса».

67. Угрозы доступности.

68. Перечислить задачи системы антивирусной безопасности.

69. Содержание документа Функциональная политика антивирусной безопасности.

70. Перечислить нетрадиционные методы, применяемые для защиты от разрушающих программных средств.

71. Перечислить и пояснить критерии выбора антивирусных средств.

72. Перечислить цели реагирования на нарушения информационной безопасности.

73. Раскрыть понятие «уведомление о нарушениях информационной безопасности».

74. Перечислить и пояснить требования к извещению о нарушениях информационной безопасности.

75. Объяснить подход реагирования «защититься и продолжить». Объяснить подход реагирования «выследить и осудить».

76. Цели и задачи организационной защиты информации, ее связь с правовой защитой информации.

77. Классификация технических каналов утечки информации. Каналы утечки информации в средствах и системах информатизации.

78. Виды угроз информационной безопасности на объекте защиты и их характеристика.

79. Классификация технических каналов утечки информации. Каналы утечки информации из выделенных помещений.

80. Основные требования ФСТЭК к технической защите информации.

81. Средства и методы физической охраны объектов.

82. Основные способы осуществления мер обеспечения безопасности информации. Раскрыть содержание организационных (административных) мер.

83. Порядок проведения аттестации объектов информатизации. Этапы аттестации. Содержание 2-го этапа аттестации.

84. Модели нарушителей информационной безопасности на объекте. Характеристика 4-го уровня нарушителя.

85. Организационные мероприятия по защите конфиденциальной информации.

86. Основные организационно-распорядительные документы, разрабатываемые на объекте защиты.

87. Категории конфиденциальности информации. Что относится к информации первой категории.

88. Структура органов по защите информации в РФ (в Министерстве природных ресурсов Российской Федерации).

89. Категории объектов информатизации. Краткая характеристика каждой категории.

90. Структура государственной системы ПД ИТР и технической защиты информации в РФ (в Министерстве природных ресурсов Российской Федерации).

91. Основные направления деятельности по защите информации. Основы организации защиты информации с СЗФО.

92. Функции и задачи службы безопасности объекта информатизации.

93. Требования защищенности СВТ от НСД к информации. Классы и группы защищенности СВТ от НСД.

94. Типовая структура службы безопасности. Задачи, решаемые подразделениями службы безопасности.

95. Исходные данные по аттестуемому объекту информатизации.

96. Основные документы, регламентирующие деятельность подразделения (специалиста) по защите информации.

97. Требования к помещениям, в которых циркулирует защищаемая информация. Категорирование помещений. Определение границ контролируемых зон (КЗ).

98. Организация обучения персонала, ее методы и формы.

99. Требования руководящих документов по порядку разработки и содержанию «Положения о подразделении (специалисте) по защите информации».

100. Организационные мероприятия, проводимые с целью защиты СВТ и АС от НСД.

101. Классификационные требования к уровню подготовки главного инженера (руководителя подразделения) по защите информации.

102. Четыре основные составляющие национальных интересов РФ в информационной сфере.

103. Требования руководящих документов по порядку разработки и содержанию «Руководства по защите информации …».

104. Внешние источники угроз безопасности информации.

105. Типовой перечень внутренних организационно-распорядительных документов по защите конфиденциальной информации.

106. Внутренние источники угроз безопасности информации.

107. Задачи, которые необходимо решить для реализации четвертой составляющей национальных интересов РФ в информационной сфере.

108. Основные направления обеспечения защиты информации от НСД.

109. Положение по аттестации объектов информатизации.

110. Основные принципы защиты информации от НСД.

111. Порядок согласования и утверждения Руководства по защите информации.

112. Классификационные требования к уровню подготовки выпускника по специальности 090105 «Информационная безопасность телекоммуникационных систем».

113. Оценка класса защищенности средств вычислительной техники (сертификация СВТ).

114. Что такое информационная безопасность?

115. В чем заключаются интересы личности в информационной сфере?

116. В чем заключаются интересы общества в информационной сфере?

117. В чем заключаются интересы государства в информационной сфере?

118. Четыре основные составляющие национальных интересов РФ?

119. Виды угроз?

120. Внешние источники угроз?

121. Внутренние источники угроз?

122. Что способствует решению вопросов по обеспечению информационной безопасности РФ?

123. Что приводит к серьезным последствиям. Почему?

124. Задачи информационной безопасности РФ?

125. Правовые методы обеспечения информационной безопасности РФ?

126. Организационно-технические методы обеспечения информационной безопасности РФ?

127. Экономические методы обеспечения информационной безопасности РФ?

128. Что наиболее подвержено воздействию угроз информационной безопасности РФ?

129. Основные меры по обеспечению информационной безопасности РФ в сфере экономики?

130. Объекты обеспечения информационной безопасности РФ во внутренней политике?

131. Угрозы информационной безопасности РФ в сфере внутренней политики?

132. Какие внешние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?

133. Какие внутренние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?

134. Наиболее важные объекты обеспечения информационной безопасности РФ в области науки и техники?

135. Обеспечение информационной безопасности РФ в духовной жизни?

136. Обеспечение информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

137. Основные угрозы информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

138. Основные направления обеспечения информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

139. Обеспечение информационной безопасности РФ в сфере обороны?

140. Международное сотрудничество РФ в области обеспечения информационной безопасности?

141. Основные положения государственной политики обеспечения информационной безопасности РФ?

142. На каких принципах основывается государственная политика обеспечение информационной безопасности РФ?

143. Государство в процессе реализации своих функций по обеспечению информационной безопасности РФ?

144. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности РФ?

145. Для чего предназначена система обеспечения информационной безопасности РФ?

146. Основные функции системы обеспечения информационной безопасности РФ?

147. Основные элементы организационной основы системы обеспечения информационной безопасности РФ?

148. Что делает правительство РФ в пределах своих полномочий?

149. Что делает Совет Безопасности РФ?

150. Что делают Федеральные органы исполнительной власти?

151. Что делают Межведомственные и государственные комиссии?

152. Что делают Органы исполнительной власти субъектов Российской Федерации?

153. Что делают Органы местного самоуправления?

154. Что делают Органы судебной власти?

155. Что предполагает реализация первоочередных мероприятий по обеспечению информационной безопасности РФ настоящая Доктрина?

СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ
И ИХ ОПРЕДЕЛЕНИЯ

Основные понятия

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

 

Примечание: Собственником информации может быть – государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

 

Защита информации – защита информации: деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

 

Защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

 

Защита информации от несанкционированного воздействия – защита информации от нсв: деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

 

Зашита информации от непреднамеренного воздействия – деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией. Сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

 

Защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

 

Защита информации от несанкционированного доступа – защита информации от нсд: деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

 

Примечание: Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

 

Защита информации от [иностранной] разведки – деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

 

Защита информации от [иностранной] технической разведки – деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.

 

Защита информации от агентурной разведки – деятельность по предотвращению получения защищаемой информации агентурной разведкой.

 

Цель защиты информации – желаемый результат защиты информации.

 

Примечание: целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

 

Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели.

 

Показатель эффективности зашиты информации – мера или характеристика для оценки эффективности защиты информации.

 

Нормы эффективности защиты информации – значения показателей эффективности защиты информации, установленные нормативными документами.