А есть ли смысл готовиться? Подозреваю, что Рекунков просто не явиться

1. Задачи системы защиты информации

   Система защиты информации - это комплексный набор мер, инструментов и процедур, предназначенных для защиты информационных активов от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации или уничтожения. Основными задачами эффективного СЗИ являются:

   • Конфиденциальность: обеспечение доступа к информации только уполномоченным лицам, организациям или образованиям. Это включает в себя контроль доступа к конфиденциальным данным, внедрение механизмов аутентификации и авторизации, а также шифрование данных при передаче и хранении.
   • Целостность: защита точности и согласованности информации, предотвращение несанкционированного или непреднамеренного изменения. Это включает методы проверки данных, механизмы обнаружения и исправления ошибок, а также процедуры резервного копирования и восстановления.
   • Доступность: обеспечение своевременного и надежного доступа авторизованных пользователей к информации, когда это необходимо. Это включает в себя защиту ИТ-инфраструктуры от сбоев, реализацию планов аварийного восстановления и обеспечение надлежащей производительности системы.
   • Невозможность отказа: проверка личности отправителей и получателей информации и предотвращение отказа в действиях или обмене сообщениями. Это включает в себя цифровые подписи, услуги по отказу и ведение журнала аудита.
   • Подотчетность: отслеживание и регистрация действий пользователей и системных событий для идентификации и привлечения отдельных лиц к ответственности за их действия. Это включает в себя журналы контроля доступа, контрольные журналы и возможности криминалистического анализа.

   В дополнение к этим основным задачам комплексная система СЗИ может также решать другие проблемы безопасности, такие как:

   • Управление угрозами: выявление, оценка и смягчение потенциальных угроз информационным активам.
   • Управление уязвимостями: Выявление, определение приоритетов и устранение уязвимостей в программном обеспечении, системах и сетях.
   • Управление рисками: Оценка и управление рисками информационной безопасности с целью минимизации их воздействия на организацию.
   • Информирование и обучение по вопросам безопасности: Обучение сотрудников передовым методам и процедурам обеспечения безопасности, направленным на снижение количества человеческих ошибок и атак с использованием социальной инженерии.
   • Реагирование на инциденты: разработка и внедрение процедур реагирования на инциденты безопасности, такие как утечка данных или заражение вредоносными программами.
   • Соблюдение требований: обеспечение соблюдения соответствующих правил конфиденциальности данных и отраслевых стандартов.

2. Структура системы государственного лицензирования.

   Основные компоненты системы:

   • Лицензирующие органы: Это государственные органы, ответственные за выдачу лицензий на определенные виды деятельности и управление ими. Они устанавливают лицензионные требования, разрабатывают процедуры лицензирования и проводят проверки для обеспечения соответствия.
   • Лицензионные центры: Это специализированные организации, которые оказывают административную и техническую поддержку процессу лицензирования. Они помогают заявителям в подготовке и подаче документации, проводят экзамены и оценки, а также облегчают общение между заявителями и лицензирующими органами.
   • Предприятия-кандидаты: Это юридические или физические лица, которые стремятся получить лицензии на осуществление определенной деятельности. Они должны соответствовать установленным лицензионным требованиям, представить необходимую документацию и пройти проверки для подтверждения соответствия.

   Организационные уровни:

   • Федеральный уровень: Лицензирующие органы на федеральном уровне отвечают за выдачу лицензий на деятельность, имеющую общенациональное значение или требующую привлечения федеральных ресурсов. В качестве примеров можно привести Министерство связи и массовых коммуникаций, Министерство транспорта и Центральный банк России.
   • Региональный уровень: Лицензирующие органы на региональном уровне выдают лицензии на деятельность, которая в основном осуществляется в пределах определенного региона. Они также могут выдавать лицензии на деятельность, делегированную федеральными органами власти. Примерами могут служить региональные министерства торговли и промышленности, региональные департаменты охраны окружающей среды и региональные департаменты здравоохранения.
   • Муниципальный уровень: Муниципальные лицензирующие органы отвечают за выдачу лицензий на виды деятельности, которые в основном осуществляются в пределах конкретного муниципалитета. Они также могут выдавать лицензии на виды деятельности, делегированные региональными или федеральными властями. Примерами могут служить муниципальные департаменты торговли и защиты прав потребителей, муниципальные департаменты строительства и архитектуры и муниципальные департаменты образования.

   Взаимодействия и процессы:

   • Процесс подачи заявки: Предприятия-кандидаты подают заявки в соответствующий лицензирующий орган или центр лицензирования. Заявка, как правило, содержит подробную информацию о заявителе, планируемой деятельности и мерах, принимаемых для обеспечения соблюдения лицензионных требований.
   • Проверка документации: Лицензирующий орган или лицензионный центр рассматривает заявление и сопроводительную документацию для проверки полноты и соблюдения правил лицензирования. В случае обнаружения недостатков заявителю может быть предложено предоставить дополнительную информацию или внести необходимые исправления.
   • Экзамены и оценки: В зависимости от характера деятельности лицензирующий орган или лицензионный центр могут проводить экзамены, оценки или инспекции для оценки компетентности, квалификации и оснащения заявителя. Эти оценки могут включать техническую компетентность, финансовую стабильность и соответствие стандартам безопасности и охраны окружающей среды.
   • Выдача лицензии: После успешного завершения процесса рассмотрения и оценки лицензирующий орган или лицензионный центр выдает лицензию заявителю. В лицензии указывается сфера разрешенной деятельности, срок действия и любые применимые условия или ограничения.
   • Проверки и мониторинг: Лицензирующий орган или лицензионный центр могут проводить периодические проверки или аудиты, чтобы убедиться, что лицензиаты соблюдают условия своих лицензий. Эти проверки могут включать проверку соблюдения стандартов безопасности, экологических норм и других применимых требований.
   • Приостановление или отзыв лицензии: В случае несоблюдения требований или серьезных нарушений лицензирующий орган может приостановить или отозвать лицензию. Это действие может быть предпринято для защиты общественной безопасности, предотвращения ущерба окружающей среде или обеспечения добросовестной рыночной практики.

3. Свойства информации как объекта защиты.

   Информация, как объект защиты, обладает рядом неотъемлемых свойств, которые требуют ее защиты:

   • Неосязаемость: Информация существует в неосязаемой форме, не имея физического присутствия, как материальные активы. Это делает ее более уязвимой для несанкционированного доступа, кражи или модификации без физических доказательств вторжения.
   • Воспроизводимость: Информация может быть легко воспроизведена и скопирована, в отличие от физических ресурсов, которые уникальны или имеют ограниченное количество копий. Такая простота тиражирования повышает риск несанкционированного распространения и потенциальной потери контроля над конфиденциальной информацией.
   • Возможность передачи: Информация может передаваться быстро и эффективно по различным каналам связи, включая электронные сети, физические носители и даже устную коммуникацию. Такая простота передачи делает ее уязвимой для перехвата, подслушивания и несанкционированного доступа во время передачи.
   • Изменяемость: Информация может быть изменена или испорчена относительно легко, как намеренно, так и непреднамеренно. Такая подверженность изменениям представляет угрозу целостности данных и надежности информационных систем.
   • Ценность: Информация представляет собой значительную ценность, как материальную, так и нематериальную, для отдельных лиц, организаций и общества в целом. Эта ценность делает ее главной мишенью для кражи, шпионажа и других вредоносных действий, направленных на получение несанкционированного доступа к конфиденциальной информации или контроля над ней.

4. Классификация угроз безопасности информации.

   

5. Цели и задачи информационной безопасности.

   Цели ИБ:

   • Конфиденциальность: Защита информации от несанкционированного доступа, обеспечивая доступ к ней только авторизованным лицам.
   • Целостность: Обеспечение точности и неизменности информации, предотвращая ее несанкционированное изменение или уничтожение.
   • Доступность: Обеспечение своевременного и бесперебойного доступа к информации для авторизованных пользователей.

   Задачи ИБ:

   • Защита информации от внутренних и внешних угроз: Сюда входят технические и организационные меры, направленные на предотвращение утечки информации, несанкционированного доступа, заражения вирусами и другими вредоносными программами.
   • Обеспечение конфиденциальности информации: Регулирование доступа к информации, шифрование данных, контроль за использованием информации.
   • Сохранение целостности информации: Обеспечение корректности и неизменности информации, резервное копирование данных, контроль за изменениями в информации.
   • Обеспечение доступности информации: Поддержание работоспособности информационных систем, защита от отказов и сбоев, восстановление информации в случае аварий.
   • Соответствие требованиям законодательства: Соблюдение законов и нормативных актов в области защиты информации, таких как ФЗ-152 "О персональных данных".
   • Повышение осведомленности сотрудников в области ИБ: Проведение обучения сотрудников по вопросам ИБ, разъяснение им важности защиты информации и правил ее использования.
   • Контроль и аудит информационных систем: Регулярный контроль состояния информационных систем, выявление и устранение уязвимостей, аудит действий пользователей.
   • Совершенствование системы ИБ: Постоянное совершенствование системы ИБ, внедрение новых технологий и методов защиты информации.

   Достижение целей и задач ИБ позволяет:

   • Защитить информацию от утечки и несанкционированного доступа: Это предотвращает финансовые потери, ущерб репутации и другие негативные последствия.
   • Сохранить конфиденциальную информацию: Это защищает персональные данные клиентов, коммерческую тайну и другие конфиденциальные сведения.
   • Обеспечить бесперебойную работу информационных систем: Это гарантирует бесперебойную работу бизнеса и минимизирует потери от простоев.
   • Повысить доверие клиентов и партнеров: Демонстрация приверженности принципам ИБ повышает доверие к компании со стороны клиентов, партнеров и инвесторов.
   • Соблюдать требования законодательства: Это позволяет избежать штрафов и других санкций со стороны контролирующих органов.

6. Законодательное и нормативно правовое обеспечение защиты информации.

   Законодательное и нормативно-правовое обеспечение защиты информации (ИБ) в Российской Федерации представляет собой комплекс законов, подзаконных актов, стандартов и методических рекомендаций, направленных на защиту информации от несанкционированного доступа, использования, разглашения, изменения, уничтожения, а также от других угроз.

   Основные уровни законодательства и нормативно-правового обеспечения ИБ:

   1. Конституция Российской Федерации: Является высшим нормативно-правовым актом страны и закрепляет основные принципы защиты информации, такие как право на неприкосновенность частной жизни, право на сбор, хранение, использование и распространение информации.
   2. Федеральные законы: Определяют общие рамки защиты информации, устанавливают обязанности органов государственной власти и органов местного самоуправления, а также права и обязанности граждан и организаций в сфере ИБ. Ключевым федеральным законом в этой области является Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
   3. Подзаконные акты: Разрабатываются и принимаются Правительством Российской Федерации, федеральными министерствами и ведомствами в целях реализации федеральных законов в сфере ИБ. К ним относятся постановления, приказы, инструкции и другие документы.
   4. Стандарты и методические рекомендации: Разрабатываются Федеральным службой по техническому и метрологическому регулированию (Росстандарт) и другими уполномоченными органами. Они устанавливают требования к техническим средствам защиты информации, методам и способам защиты информации, а также рекомендации по организации и проведению работ по защите информации.

7. Объект информатизации: ОТСС; ВТСС; защищаемые помещения; контролируемая зона.

   Основные технические средства и системы (ОТСС) защищаемого объекта информатизации - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи секретной информации.

   К ОТСС относятся средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных.

   ВТСС –технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, но устанавливаемые совместно с ОТСС или в защищаемых помещениях.

   • различного рода телефонные средства и системы;
   • средства и системы передачи данных в системе радиосвязи;
   • средства и системы охранной и пожарной сигнализации;
   • средства и системы оповещения и сигнализации;
   • контрольно-измерительная аппаратура;
   • средства и системы кондиционирования;
   • средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
   • средства электронной оргтехники.

   Защищаемые помещения

   Контролируемая зона

8. Классификация и характеристика технических каналов утечки информации, обрабатываемой на объектах информатизации.

9. Классификация и характеристика технических каналов утечки акустической информации.

10. Электромагнитный канал перехвата информации.

11. Электрический канал перехвата информации.

12. Проведение специальных исследований ПЭВМ.

13. Пассивные методы защиты речевой информации.