Этапы реализации концепции защиты информации

Управление Государственной технической комиссии при Президенте Российской Федерации.

Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.

Организационная система защиты информации

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ И ЕЕ ЗАДАЧИ

Решение проблемы защиты информации связано с необходимостью создания комплексной, своевременно реагирующей на изменение обстановки, системы защиты информации.

Основными задачами системы защиты информации являются:

проведение единой государственной политики, организация и координация работ по защите информации;

исключение или существенное затруднение добывания информации средствами технической разведки, а также предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждение специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;

принятие в пределах компетенции межрегиональных и региональных (по субъекту Российской Федерации), правовых актов, регулирующих отношения в области защиты информации;

анализ состояния и прогнозирование источников угроз безопасности информации в целом и в субъектах Российской Федерации;

формирование и организация деятельности межрегиональных, региональных и объектовых органов по защите информации;

разработка и внедрение новых методов, средств и технологий защиты информации и контроля ее эффективности;

контроль состояния защиты информации в органах власти и организациях;

анализ состояния системы защиты информации, выявление ключевых проблем в области защиты информации;

определение приоритетных направлений развития системы защиты информации;

научно-техническое, методическое и информационное обеспечение работ по защите информации в органах власти и организациях;

создание и развитие межрегиональных и региональных учебных, научно-исследовательских, производственных комплексов в области защиты информации;

создание системы мониторинга состояния защиты информации в в интересах информационного обеспечения принятия решений по защите информации;

реализация действующих систем государственного регулирования в области обеспечения защиты информации (лицензирования, сертификации, аттестации);

создание системы подготовки и переподготовки кадров в области защиты информации.

 

Организационная система защиты информации состоит из трех уровней: межрегионального, регионального и объектового.

На межрегиональном уровне:

Территориальные органы Минобороны России, ФСБ России, МВД России и других федеральных органов исполнительной власти межрегионального уровня, их подразделения по противодействию иностранным техническим разведкам и технической защите информации и постоянно-действующие технические комиссии.

Аппараты органов судебной власти Российской Федерации межрегионального уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

Научно-исследовательские организации в области защиты информации.

Аттестационные центры, органы по сертификации, аттестации объектов информатизации.

Высшие учебные заведения по подготовке специалистов в области противодействия иностранным техническим разведкам и технической защиты информации.

На региональном уровне:

1. Комиссии по защите информации в субъектах Российской Федерации.

2. Территориальные органы ФСБ России, МВД России регионального уровня, их подразделения по противодействию иностранным техническим разведкам и технической защите информации и постоянно-действующие технические комиссии.

3. Иные территориальные органы федеральных органов исполнительной власти регионального уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

4. Аппараты органов судебной власти Российской Федерации регионального уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

5. Аппараты органов законодательной власти субъектов Российской Федерации, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

6. Аппараты высших исполнительных органов государственной власти субъектов Российской Федерации, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

7. Исполнительные органы государственной власти субъектов Российской Федерации, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

8. Органы местного самоуправления, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

9. Организации, подведомственные исполнительным органам государственной власти субъектов Российской Федерации, выполняющие работы и оказывающие услуги в области ТЗИ.

10. Учебные заведения по переподготовке специалистов в области противодействия иностранным техническим разведкам и технической защиты информации.

На объектовом уровне:

1. Территориальные органы ФСБ России, МВД России городского (районного) уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

2. Иные территориальные органы федеральных органов исполнительной власти городского (районного) уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

3. Аппараты органов судебной власти Российской Федерации городского (районного) уровня, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

4. Организации, выполняющие работы по оборонной тематике и другие работы с использованием сведений, составляющих государственную и (или) служебную тайну, их подразделения по противодействию иностранным техническим разведкам и технической защите информации и постоянно-действующие технические комиссии.

5. Организации, подведомственные исполнительным органам государственной власти субъектов Российской Федерации, органам местного самоуправления, их подразделения по технической защите информации и постоянно-действующие технические комиссии.

6. Организации – лицензиаты Гостехкомиссии России, оказывающие услуги в области технической защиты информации.

 

 

17. ГОСУДАРСТВЕННАЯ ПОЛИТИКА
И ОБЩЕЕ РУКОВОДСТВО ДЕЯТЕЛЬНОСТЬЮ
ПО ЗАЩИТЕ ИНФОРМАЦИИ

На региональном уровне – Осуществляют полномочный представитель Президента Российской Федерации и Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации, в субъектах Российской Федерации, – главы высших исполнительных органов государственной власти субъектов Российской Федерации и комиссии по защите информации в субъектах Российской Федерации.

В органах власти и организациях, ответственность за организацию и состояние обеспечения защиты информации возлагается на их руководителей.

Управление Государственной технической комиссии при Президенте Российской Федерации округу осуществляет межотраслевую координацию и функциональное регулирование деятельности по защите информации на территории федерального округа.

Управления ФСБ и МВД России в субъектах Российской Федерации, территориальные органы федеральных органов исполнительной власти и российских агентств оборонных отраслей промышленности, учреждения и организации Министерства обороны – обеспечивают исполнение законодательства Российской Федерации, указов Президента Российской Феде­рации и постановлений Правительства Российской Федерации, решений Государственной технической комиссии при Президенте Российской Федерации, своих министерств и ведомств в области защиты информации.

Исполнительные органы государственной власти субъектов Российской Федерации, взаимодействуют с полномочным представителем Президента Российской Федерации, Управлением Государственной технической комиссией при Президенте Российской Федерации, Управлениями ФСБ России в субъектах Российской Федерации, по вопросам исполнения законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации, а также федеральных (межрегиональных, региональных) целевых программ по обеспечению защиты информации.

Функции, права и полномочия подразделений и коллегиальных органов, отвечающих за организацию и осуществление мероприятий по защите информации в органах власти и организациях, определяются положениями об этих подразделениях и органах.

 

17.1. Направления формирования системы
защиты информации

Целью формирования и развития системы защиты информации в является создание ее межрегиональных, региональных и объектовых компонентов, соответствующих задачам обеспечения безопасности и устойчивого развития в информационной сфере субъектов Российской Федерации, и государства в целом.

Основными принципами формирования и развития системы защиты информации являются:

обеспечение своевременной и адекватной реакции на возникающие и прогнозируемые угрозы от деятельности иностранных технических разведок, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;

соответствие уровня развития системы защиты информации задачам обеспечения информационной безопасности России и устойчивого развития регионов с учетом их экономических возможностей;

единообразие создания и реализации механизма комплексной защиты информации в различных регионах;

соблюдение международных договоров и соглашений, касающихся вопросов защиты информации;

рациональное сочетание координационных и директивных методов руководства системой защиты информации;

программно-целевое планирование развития системы защиты информации.

Основными задачами формирования и развития системы защиты информации являются:

формирование и совершенствование организационной структуры системы защиты информации в федеральном округе, развитие ее научно-технического и кадрового потенциала;

создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий (как на федеральном, так и на межрегиональном и региональном уровнях) для обеспечения деятельности системы защиты информации федерального округа;

обеспечение эффективной защиты информации в органах власти и организациях;

создание эффективной и гибкой системы управления деятельностью системы защиты информации в федеральном округе, приспособленной к изменяющимся условиям обстановки.

 

Основные положения Концепции развития системы защиты информации реализуются: путем целенаправленной повседневной деятельности Государственной технической комиссии при Президенте Российской Федерации, Управления Гостехкомиссии России, органов власти и организаций; путем выполнения федеральных, межрегиональных и региональных научно-технических и целевых программ в области защиты информации, научно-исследовательских и опытно-конструкторских работ в области защиты информации, региональных программ информатизации с учетом результатов выполнения общегосударственных программ в области защиты информации.

Создание системы защиты информации в федеральном округе предлагается осуществлять в три этапа.

На первом этапе:

определяются принципы взаимодействия территориальных органов федеральных органов исполнительной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и иных организаций, входящих в систему защиты информации, при решении задач защиты информации, создается нормативно-методическая база; формируются Комиссии по защите информации в субъектах Российской Федерации;

определяется базовая научно-исследовательская организация в области защиты информации; определяются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и распространения информационных ресурсов;

создаются подразделения по технической защите информации в органах государственной власти субъектов Российской Федерации и органах местного самоуправления, осуществляются подготовка, переподготовка и повышение квалификации специалистов в области защиты информации; разрабатываются первоочередные нормативные правовые акты, организационно-распорядительные и методические документы для системы защиты информации;

оснащаются элементы системы защиты информации существующими средствами защиты информации и контроля эффективности ее защиты;

организуется контроль состояния защиты информации и создается информационно-аналитическая система оценки состояния защиты информации; выявляются проблемные вопросы в области технической защиты информации.

Ориентировочная длительность первого этапа – 1–2 года.

На втором этапе:

совершенствуется нормативная правовая база в области защиты информации субъектов Российской Федерации, разрабатываются и совершенствуются основные организационно-распорядительные документы по технической защите информации в органах исполнительной и судебной власти Российской Федерации, органах законодательной, исполнительной и судебной власти субъектов Российской Федерации, органах местного самоуправления, подведомственных им организациях и в других организациях системы защиты информации;

совершенствуются организационные мероприятия, технические методы и средства защиты информации на объектах системы защиты информации; внедряется информационно-аналитическая система оценки состояния технической защиты информации на объектах системы защиты информации; создается информационно-аналитическая система выявления, прогнозирования угроз безопасности информации и планирования мероприятий по защите информации в системе защиты информации.

Ориентировочная длительность второго этапа – 2–3 года.

На третьем этапе:

осуществляется дальнейшее совершенствование нормативно-методи­чес­кого и технического обеспечения системы защиты информации; осуществляется оснащение важнейших объектов защиты перспективными средствами защиты информации, а также контроля состояния защиты информации; разрабатываются и создаются региональные системы тех­ни­ческого контроля; осуществляется интеграция информационно-анали­ти­ческих систем защиты информации федерального округа в Единую информационно-аналитическую систему.

 

17.3. Финансирование мероприятий
по защите информации

Финансирование деятельности органов власти, бюджетных организаций и их структурных подразделений по защите государственной или служебной тайны осуществляется за счет средств соответствующих бюджетов, а остальных организаций – за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную и служебную тайну.

Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.

 

17.4. Результаты реализации концепции
защиты информации

Реализация Концепции позволит:

улучшить организационную структуру системы защиты информации , ее кадровое обеспечение; повысить оснащенность элементов системы защиты информации высокоэффективными системами, средствами и технологиями защиты информации, а также средствами контроля эффективности защиты информации; улучшить обеспеченность органов власти и организаций, , документами в области защиты информации; повысить обоснованность, оперативность и качество управления системой защиты информации.

В результате реализации основных направлений развития системы защиты информации будет создана система, обеспечивающая требуемый уровень безопасности и устойчивое развитие в информационной сфере с учетом экономических возможностей регионов и адекватно реагирующая на угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее.

Ожидаемый эффект от реализации Концепции состоит:

в предотвращении ущерба от утечки информации, несанкционированного доступа и специальных воздействий на нее в органах власти и организациях;

в обеспечении безопасности информации, циркулирующей в важнейших системах регионального управления; в создании выгодных, с позиции социально-экономической безопасности регионов, условий использования информационных ресурсов субъектов Российской Федерации.

 

КОНТРОЛЬНЫЕ ВОПРОСЫ К ЭКЗАМЕНУ

1. Содержание и структура понятия «безопасность».

2. Содержание и структура понятия «информационная безопасность».

3. Содержание и структура понятия «обеспечение информационной безопасности».

4. Принципы защиты информации от несанкционированного доступа.

5. Информационное оружие как угроза безопасности информации.

6. Методы оценки уязвимости информации.

7. Системная классификация и общий анализ угроз безопасности информации.

8. Источники угроз безопасности информации.

9. Структура монитора обращений. Пятимерное «пространство безопасности» Хартсона.

10. Вирусное подавление как форма радиоэлектронной борьбы.

11. Основные виды технических каналов и источников утечки информации.

12. Способы предотвращения утечки информации по техническим каналам.

13. Организационно – правовое обеспечение защиты информации. (Организационно- правовая основа, юридические аспекты).

14. Концепция комплексной системы защиты информации (Схема функций и результатов защиты информации)

15. Методология создания, организации и обеспечения функционирования систем комплексной защиты информации.

16. Пути и проблемы практической реализации концепции комплексной защиты информации.

17. Безопасность систем электронного документооборта в банковском учреждении.

18. Документ как предмет и процесс. Защита информационных технологий. Структура понятия информации (сведения и сообщения). Свойства информации в форме сведений и сообщений.

19. Определение информации в задачах информационной безопасности. Автономная информация. Информация воздействия. Информация взаимодействия.

20. Определение информации в задачах информационной безопасности. Автономная информация. Информация взаимодействия.

21. Информация и данные. Собственные свойства информации.

22. Информация и данные. Потребительские свойства информации.

23. Количественные оценки и показатели качества информации.

24. Циклический процесс получения информации.

25. Особенности и структура экономической информации.

26. Защита информации в автоматизированных системах банковских расчетов.

27. Безопасность электронного финансового документооборота.

28. Пример практического применения механизма ЭЦП.

29. Понятия компьютерного преступления.

30. Криминалистическая характеристика компьютерного преступления. Основные способы совершения компьютерного преступления. Проблемы построение систем защищенного документооборота.

31. Доктрина информационной безопасности (30.03.2004). Экономические методы обеспечения информационной безопасности.

32. Доктрина информационной безопасности РФ. Особенности обеспечения информационной безопасности в среде экономики.

33. Доктрина информационной безопасности РФ. Меры по обеспечению информационной безопасности РФ в среде экономики.

34. Доктрина информационной безопасности РФ. Основные составляющие национальных интересов РФ.

35. Дать определение понятию «информационная безопасность». Пояснить составляющие.

36. Каковы цели обеспечения информационной безопасности. Дать определение составляющим.

37. Дать определение понятию «система защиты информации.

38. Дать определение понятию «угроза».

39. Дать определение понятию «угроза конфиденциальности».

40. Дать определение понятию «угроза доступности»

41. Дать определение понятию «угроза целостности».

42. Дать определение понятию «источник угроз»

43. Классифицировать источники угроз.

44. Дать определение понятию «уязвимость».

45. Классифицировать способы воздействия угроз.

46. Виды реализации информационных угроз (перечислить, пояснить механизм реализации).

47. Виды реализации организационно-правовых угроз (перечислить, пояснить механизм реализации)

48. Виды реализации программных угроз (перечислить, пояснить механизмы реализации).

49. Виды реализации Internet угроз (перечислить, пояснить механизмы реализации)

50. Дать определение понятию «троянская программа».

51. Дать определение понятиям «риск», «управление риском».

52. Дать определение понятию «оценка риска» (ОР). Перечислить задачи оценки риска.

53. Описать два подхода к оценке риска.

54. Перечислить количественные методики оценки рисков.

55. Основные варианты действий по управлению рисками.

56. Дать определение понятию «Политика безопасности».

57. Содержание документа Политика безопасности.

58. Цели безопасности

59. Содержание законодательных мер обеспечения информационной безопасности.

60. Содержание административных мер обеспечения информационной безопасности.

61. Содержание процедурных мер обеспечения информационной безопасности.

62. Охарактеризовать элемент безопасности «Управление персоналом». Охарактеризовать элемент безопасности «Физическая безопасность».

63. Раскрыть понятие «Защищенная область».

64. Раскрыть понятие «Защита оборудования».

65. Перечислить механизмы, с помощью которых реализован такой элемент безопасности как «Поддержание работо-способности ИС».

66. Дать определение понятию «Обеспечение высокой доступности сервиса».

67. Угрозы доступности.

68. Перечислить задачи системы антивирусной безопасности.

69. Содержание документа Функциональная политика антивирусной безопасности.

70. Перечислить нетрадиционные методы, применяемые для защиты от разрушающих программных средств.

71. Перечислить и пояснить критерии выбора антивирусных средств.

72. Перечислить цели реагирования на нарушения информационной безопасности.

73. Раскрыть понятие «уведомление о нарушениях информационной безопасности».

74. Перечислить и пояснить требования к извещению о нарушениях информационной безопасности.

75. Объяснить подход реагирования «защититься и продолжить». Объяснить подход реагирования «выследить и осудить».

76. Цели и задачи организационной защиты информации, ее связь с правовой защитой информации.

77. Классификация технических каналов утечки информации. Каналы утечки информации в средствах и системах информатизации.

78. Виды угроз информационной безопасности на объекте защиты и их характеристика.

79. Классификация технических каналов утечки информации. Каналы утечки информации из выделенных помещений.

80. Основные требования ФСТЭК к технической защите информации.

81. Средства и методы физической охраны объектов.

82. Основные способы осуществления мер обеспечения безопасности информации. Раскрыть содержание организационных (административных) мер.

83. Порядок проведения аттестации объектов информатизации. Этапы аттестации. Содержание 2-го этапа аттестации.

84. Модели нарушителей информационной безопасности на объекте. Характеристика 4-го уровня нарушителя.

85. Организационные мероприятия по защите конфиденциальной информации.

86. Основные организационно-распорядительные документы, разрабатываемые на объекте защиты.

87. Категории конфиденциальности информации. Что относится к информации первой категории.

88. Структура органов по защите информации в РФ (в Министерстве природных ресурсов Российской Федерации).

89. Категории объектов информатизации. Краткая характеристика каждой категории.

90. Структура государственной системы ПД ИТР и технической защиты информации в РФ (в Министерстве природных ресурсов Российской Федерации).

91. Основные направления деятельности по защите информации. Основы организации защиты информации с СЗФО.

92. Функции и задачи службы безопасности объекта информатизации.

93. Требования защищенности СВТ от НСД к информации. Классы и группы защищенности СВТ от НСД.

94. Типовая структура службы безопасности. Задачи, решаемые подразделениями службы безопасности.

95. Исходные данные по аттестуемому объекту информатизации.

96. Основные документы, регламентирующие деятельность подразделения (специалиста) по защите информации.

97. Требования к помещениям, в которых циркулирует защищаемая информация. Категорирование помещений. Определение границ контролируемых зон (КЗ).

98. Организация обучения персонала, ее методы и формы.

99. Требования руководящих документов по порядку разработки и содержанию «Положения о подразделении (специалисте) по защите информации».

100. Организационные мероприятия, проводимые с целью защиты СВТ и АС от НСД.

101. Классификационные требования к уровню подготовки главного инженера (руководителя подразделения) по защите информации.

102. Четыре основные составляющие национальных интересов РФ в информационной сфере.

103. Требования руководящих документов по порядку разработки и содержанию «Руководства по защите информации …».

104. Внешние источники угроз безопасности информации.

105. Типовой перечень внутренних организационно-распорядительных документов по защите конфиденциальной информации.

106. Внутренние источники угроз безопасности информации.

107. Задачи, которые необходимо решить для реализации четвертой составляющей национальных интересов РФ в информационной сфере.

108. Основные направления обеспечения защиты информации от НСД.

109. Положение по аттестации объектов информатизации.

110. Основные принципы защиты информации от НСД.

111. Порядок согласования и утверждения Руководства по защите информации.

112. Классификационные требования к уровню подготовки выпускника по специальности 090105 «Информационная безопасность телекоммуникационных систем».

113. Оценка класса защищенности средств вычислительной техники (сертификация СВТ).

114. Что такое информационная безопасность?

115. В чем заключаются интересы личности в информационной сфере?

116. В чем заключаются интересы общества в информационной сфере?

117. В чем заключаются интересы государства в информационной сфере?

118. Четыре основные составляющие национальных интересов РФ?

119. Виды угроз?

120. Внешние источники угроз?

121. Внутренние источники угроз?

122. Что способствует решению вопросов по обеспечению информационной безопасности РФ?

123. Что приводит к серьезным последствиям. Почему?

124. Задачи информационной безопасности РФ?

125. Правовые методы обеспечения информационной безопасности РФ?

126. Организационно-технические методы обеспечения информационной безопасности РФ?

127. Экономические методы обеспечения информационной безопасности РФ?

128. Что наиболее подвержено воздействию угроз информационной безопасности РФ?

129. Основные меры по обеспечению информационной безопасности РФ в сфере экономики?

130. Объекты обеспечения информационной безопасности РФ во внутренней политике?

131. Угрозы информационной безопасности РФ в сфере внутренней политики?

132. Какие внешние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?

133. Какие внутренние угрозы информационной безопасности РФ в сфере внешней политики представляют наибольшую опасность?

134. Наиболее важные объекты обеспечения информационной безопасности РФ в области науки и техники?

135. Обеспечение информационной безопасности РФ в духовной жизни?

136. Обеспечение информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

137. Основные угрозы информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

138. Основные направления обеспечения информационной безопасности РФ в общегосударственных информационных и телекоммуникационных системах?

139. Обеспечение информационной безопасности РФ в сфере обороны?

140. Международное сотрудничество РФ в области обеспечения информационной безопасности?

141. Основные положения государственной политики обеспечения информационной безопасности РФ?

142. На каких принципах основывается государственная политика обеспечение информационной безопасности РФ?

143. Государство в процессе реализации своих функций по обеспечению информационной безопасности РФ?

144. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности РФ?

145. Для чего предназначена система обеспечения информационной безопасности РФ?

146. Основные функции системы обеспечения информационной безопасности РФ?

147. Основные элементы организационной основы системы обеспечения информационной безопасности РФ?

148. Что делает правительство РФ в пределах своих полномочий?

149. Что делает Совет Безопасности РФ?

150. Что делают Федеральные органы исполнительной власти?

151. Что делают Межведомственные и государственные комиссии?

152. Что делают Органы исполнительной власти субъектов Российской Федерации?

153. Что делают Органы местного самоуправления?

154. Что делают Органы судебной власти?

155. Что предполагает реализация первоочередных мероприятий по обеспечению информационной безопасности РФ настоящая Доктрина?

СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ
И ИХ ОПРЕДЕЛЕНИЯ