ЦЕЛЬ: совершенствование и (или) получение новой компетенции, необходимой для профессиональной деятельности, и (или) повышение профессионального уровня в рамках имеющейся квалификации
Организационно-правовое обеспечение информационной безопасности – это образовательная программа, разработанная специально для тех, кто стремится разобраться в нормах законодательства и научиться действовать в рамках закона. В процессе обучения вы будете получать не только теоретические знания, но и комплексные практические навыки, которые помогут вам сохранить конфиденциальность данных, предотвратить сбои в работе и избежать утечки информации
Эта программа представляет собой важный шаг к обеспечению безопасности информации в любой сфере деятельности и позволит вам эффективно управлять рисками, связанными с нарушением конфиденциальности и безопасности данных
Курс для сотрудников и специалистов служб информационной безопасности, для директоров по информационной безопасности
1.1 Введение в правовое обеспечение информационной безопасности
Нормативные правовые акты Российской Федерации.
Нормативные правовые акты ФСТЭК России.
Методические документы. Технические документы (документация). Плановые документы.
Информационные документы. Документы в области технического регулирования и стандартизации. Система стандартов в области защиты информации. Стандарты Единой системы конструкторской документации (ЕСКД), Единой системы технологической документации (ЕСТД). Основы лицензирования деятельности по ТЗКИ, аттестации объектов информатизации по требованиям безопасности.
1.2 Государственная система защиты информации в Российской Федерации, ее организационная структура и функции
Информация: основные термины и определения.
Сбор и обработка информации. Информационные процессы.
Технические средства обработки информации. Классификация технические средства обработки информации.
Устройства хранения информации. Устройства памяти. Виды памяти.
Основные типы и принцип работы клавиатуры, манипулятора «мышь», джойстика и др. устройств. Основные типы, принципы работы и технические характеристики мониторов. Типы, основные компоненты и характеристики видеоадаптеров.
Принцип (способы) формирования изображения. Классификация сканеров. Обзор основных современных моделей сканеров и их технических характеристик. Назначение и краткая характеристика сетевого оборудования: кабельная система, сетевые адаптеры, концентраторы, коммутаторы, принт-серверы.
Типы модемов, принцип и режимы работы.
Понятие операционной системы. Структура операционной системы. Основные компоненты
операционной системы. Понятие ядра операционной системы. Понятие прерывания и процедуры обработки прерывания. Системные вызовы. Установка операционной системы. Взаимодействие пользователя с операционной системы.
Основные понятия и классификация программного обеспечения.
Использование программных средств системного и прикладного назначения (форматирования, дефрагментации, архивации, антивирусной защиты и т.д.). Резервное копирование и восстановление системы. Основы администрирования операционной системы. Основы программирования. Синтаксис команд. Использование переменных. Команды для работы с файлами и каталогами. Организация файловых систем. Назначение основных системных каталогов. Типы файлов. Права доступа к файлам и каталогам. Физическая реализация файловой системы. Понятие командной оболочки. Обзор командных интерпретаторов.
Вычислительные системы и системы передачи информации.
Локальные и глобальные вычислительные сети, и системы передачи информации. Модель взаимодействия открытых систем (OSI). Программное обеспечение, поддерживающее работу сети. Оборудование, предназначенное для объединения локальных вычислительных сетей. Технология управления взаимодействием в сети. Обобщенная структура и функции глобальных компьютерных сетей.
Технология Ethernet, основные услуги и сервисы сети. Организация и сервис виртуальных частных сетей (VPN).
Сети и средства связи: передатчики, приемники, источники излучения, модуляторы, демодуляторы, усилители. Основные типы и принцип работы сетей и средств связи. Радиорелейные линии и спутниковые системы связи Волоконно-оптические системы передачи информации.
Структура сети GSM. Подсистема базовой станции, регистры HLR и VLR, центр коммутации подвижной связи, центр аутентификации и регистр идентификации оборудования. Системы связи, построенные с использованием технологии 3G и 4G. Основные сетевые компоненты.
1.3 Информация как объект правового регулирования
Нормативные правовые акты, методические документы, международные и национальные стандарты в области ТЗКИ, цели и задачи ТЗКИ.
Термины и определения в области ТЗКИ от утечки по техническим каналам: объект информатизации, защищаемое помещение, основные технические
средства и системы (ОТСС), вспомогательные технические средства и системы (ВТСС), случайные антенны, контролируемая зона, ТКУИ.
Физические основы возникновения ТКУИ и общая характеристика ТКУИ, обрабатываемой техническими средствами.
Технический канал утечки информации за счет побочных электромагнитных излучений (ПЭМИ) средств вычислительной техники (СВТ). Схема ТКУИ, возникающего за счет ПЭМИ СВТ. Характеристики ПЭМИ СВТ в различных режимах работы. Зона 2. Принципы построения средств перехвата ПЭМИ СВТ.
Классификация способов и средств защиты информации, обрабатываемой техническими средствами, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).
Способы и средства пассивной защиты информации, обрабатываемой техническими средствами, от утечки за счет ПЭМИН.
Экранирование технических средств и их соединительных линий. Экранирующие материалы. Экранированные помещения (экранированные камеры). Поглощение электромагнитных волн. Безэховые камеры, поглощающие чехлы и накидки.
Способы и средства активной защиты информации, обрабатываемой техническими средствами, от утечки за счет ПЭМИН.
Классификация способов и средств защиты акустической речевой информации от утечки по техническим каналам.
Способы и средства пассивной защиты акустической речевой информации от утечки по техническим каналам. Звукоизоляция и экранирование защищаемых помещений, звукопоглощающие материалы.
Способы и средства пассивной защиты акустической речевой информации от утечки по акустоэлектрическим каналам, каналам ВЧ-навязывания и ВЧ-прокачки (ограничение сигналов по амплитуде, установка НЧ-фильтров в соединительных линиях ВТСС, отключение акустоэлектрических преобразователей сигналов).
1.4 Правовой режим защиты государственной тайны
Понятие и общая классификация угроз безопасности информации, связанных с НСД. Источники угроз безопасности информации.
Модели угроз безопасности информации, связанных с НСД.
Методы выявления и анализа угроз безопасности информации, уязвимостей программного обеспечения, используемого в автоматизированных (информационных) системах.
Банк данных угроз безопасности информации, включающий базу данных уязвимостей программного обеспечения, используемого в автоматизированных (информационных) системах.
Описание уязвимостей программного обеспечения, включенных в базу данных уязвимостей программного обеспечения, используемого в автоматизированных (информационных) системах.
Международный подход к выявлению и анализу уязвимостей, базы данных, содержащие уязвимости, в том числе CVE. Общая система оценки уязвимостей (стандарт CVSS).
Общая характеристика и классификация мер и средств защиты информации от НСД.
Требования к мерам защиты информации от НСД, реализуемым в автоматизированной (информационной) системе. Меры защиты информации от НСД.
Средства защиты информации от НСД.
Межсетевые экраны, требования к ним и способы применения.
Системы обнаружения вторжений, требования к ним и способы применения.
Средства антивирусной защиты, требования к ним и способы применения.
Специальные программно-аппаратные и программные комплексы доверенной загрузки и разграничения контроля доступа.
Средства регистрации и учета. Средства (механизмы) обеспечения целостности информации.
Криптографические средства защиты информации.
Перспективные технологии биометрической
аутентификации. DLP-системы, их возможности и перспективы применения.
1.5 Правовые режимы защиты конфиденциальной информации
Информация как объект защиты от специальных электромагнитных воздействий. Технические средства обработки информации как объекты защиты от специальных электромагнитных воздействий.
Физические процессы, возникающие при воздействии мощными электрическими и магнитными полями и токами на технические средства обработки информации.
Угрозы безопасности информации от специальных электромагнитных воздействий. Модели угроз. Механизм влияния электромагнитных и электрических воздействий на технические средства обработки информации.
Меры и средства защиты информации от специальных воздействий.
Принципы использования экранирующих и поглощающих свойств различных материалов для защиты информации от электромагнитных воздействий.
Принципы использования фильтрующих и поглощающих устройств и материалов для защиты информации от электрических воздействий.
Организация и содержание работ по защите информации от специальных воздействий, состав и содержание необходимых документов
1.6 Промежуточный контроль в форме тестирования
Организация работ по созданию и эксплуатации объектов информатизации и их систем защиты информации.
Положение о порядке организации и проведения работ по защите конфиденциальной информации.
Перечень сведений конфиденциального характера, подлежащих защите.
Планирование работ по ТЗКИ. Сущность, цели и задачи планирования. Порядок разработки, согласования и утверждения планов проведения мероприятий по ТЗКИ.
Реализация требований по защите акустической речевой конфиденциальной информации и информации, обрабатываемой в средствах вычислительной техники от утечки по техническим каналам.
Реализация требований по защите информации от НСД и специальных воздействий на эксплуатируемом (функционирующем) объекте информатизации. Реализация требований по защите информации от НСД и специальных воздействий при создании нового объекта информатизации в защищенном исполнении. Особенности реализации требований по защите персональных данных.
Создание и функционирование систем защиты конфиденциальной информации, как составные части работ по созданию и эксплуатации объектов информатизации учреждений и предприятий.
Стадии и этапы создания систем защиты конфиденциальной информации.
Порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении.
Комплекс работ по созданию системы защиты информации (формирование требований к системе защиты информации; разработка (проектирование) системы защиты информации; внедрение системы защиты информации; аттестация объекта информатизации по требованиям безопасности информации и ввод его в действие; сопровождение системы защиты информации в ходе эксплуатации объекта информатизации).
Разработка эксплуатационной документации на систему защиты информации.