Відмінності між версіями «ПОСІБНИК З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
м (Захист на ПОСІБНИК З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ встановлено (‎[edit=sysop] (безстроково) ‎[move=sysop] (безстроково)) [каскадний])
 
(44 проміжні версії 5 користувачів не показані)
Рядок 76: Рядок 76:
  
  
=== Тема 7. Обстеження обўєкта інформаційної безпеки ===
+
=== Тема 7. Обстеження об'єкта інформаційної безпеки ===
  
 
Зміст робіт при проведенні обстеження об'єкта інформаційної безпеки
 
Зміст робіт при проведенні обстеження об'єкта інформаційної безпеки
Рядок 94: Рядок 94:
 
Адміністративна та кримінальна відповідальність за порушення інформаційної безпеки
 
Адміністративна та кримінальна відповідальність за порушення інформаційної безпеки
  
Рівні конфіденційності інформації
+
[[Види конфіденційної комерційної інформації]]
  
Економічні передумови захисту конфіденційної інформації
+
[[Економічні передумови захисту конфіденційної інформації]]
  
Суть комерційної таємниці та необхідність її захисту
+
[[Суть комерційної таємниці та необхідність її захисту]]
  
 
Нормативне забезпечення захисту комерційної таємниці
 
Нормативне забезпечення захисту комерційної таємниці
  
Механізм захисту комерційної таємниці
+
[[Механізм захисту комерційної таємниці]]
 
+
  
 
=== Тема 9. Адміністративне забезпечення інформаційної безпеки ===
 
=== Тема 9. Адміністративне забезпечення інформаційної безпеки ===
Рядок 194: Рядок 193:
 
=== Тема 17. Організаційне забезпечення інформаційної безпеки ===
 
=== Тема 17. Організаційне забезпечення інформаційної безпеки ===
  
Зміст організаційного забезпечення інформаційної безпеки.
+
[[Зміст організаційного забезпечення інформаційної безпеки]]
  
 
Розробка порядку інформаційної діяльності об'єкта інформаційної безпеки.
 
Розробка порядку інформаційної діяльності об'єкта інформаційної безпеки.
  
Організація конфіденційного документообігу
+
[[Організація конфіденційного документообігу]]
  
Організація режиму, зони режимності об'єкта безпеки
+
[[Організація режиму інформаційної безпеки]]
  
Організація служби інформаційної безпеки.
+
[[Зони режимності об'єкта безпеки]]
 +
 
 +
[[Організація служби інформаційної безпеки]]
  
  
Рядок 216: Рядок 217:
 
Методи соціальної інженерії: претекстінг, фішинг, троянський кінь, дорожнє яблуко, кві про кво.
 
Методи соціальної інженерії: претекстінг, фішинг, троянський кінь, дорожнє яблуко, кві про кво.
  
Робота з персоналом, який має доступ до конфіденційної інформації: договір, методи перевірки кандидатів, організація службового  
+
Робота з персоналом, який має доступ до конфіденційної інформації: договір, методи перевірки кандидатів, організація службового розслідування за фактами втрати конфіденційної інформації, порядок звільнення.
розслідування за фактами втрати конфіденційної інформації, порядок звільнення.
+
  
  
Рядок 239: Рядок 239:
 
Захист інформації в комп'ютерних системах
 
Захист інформації в комп'ютерних системах
  
Методи забезпечення інформаційної безпеки в компўютерних системах
+
Методи забезпечення інформаційної безпеки в комп'ютерних системах
  
 
Керування доступом, ідентифікація і перевірка дійсності користувачів.
 
Керування доступом, ідентифікація і перевірка дійсності користувачів.
Рядок 245: Рядок 245:
 
Моніторинг дій користувача.
 
Моніторинг дій користувача.
  
Екранування об’єктів ІБ.
+
Екранування об’єктів інформаційної безпеки
  
  
Рядок 259: Рядок 259:
  
 
Створення довірчих процедур інформаційної безпеки.
 
Створення довірчих процедур інформаційної безпеки.
 +
 +
 +
 +
== Термінологічний словник ==
 +
 +
Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяль¬ності вимогам нормативних документів з питань ТЗІ.
 +
 +
Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяль¬ності.
 +
 +
Інформація з обмеженим доступом –  інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.
 +
 +
Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.
 +
 +
Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші  інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.
 +
 +
 +
 +
== Скорочення ==
 +
 +
ІТС – інформаційно-телекомунікаційна система;
 +
 +
ІзОД – інформація з обмеженим доступом;
 +
 +
ОІД – об'єкт інформаційної діяльності;
 +
 +
ТЗІ – технічний захист інформації

Поточна версія на 14:50, 23 вересня 2012

Зміст

[ред.] РОЗДІЛ 1. Теоретичні основи інформаційної безпеки

[ред.] Тема 1. Вступ до вивчення дисципліни

Предмет і зміст дисципліни;

мета і завдання дисципліни; коротка суть і взаємозв’язок тем та розділів.

Основні поняття та терміни.


[ред.] Тема 2. Суть і призначення інформаційної безпеки

Поняття і зміст інформаційної безпеки.

Функції інформаційної безпеки.

Завдання інформаційної безпеки

Рівні систем безпеки


[ред.] Тема 3. Базові елементи інформаційної безпеки

Об’єкти інформаційної безпеки.

Загрози і джерела загроз.

Способи реалізації загроз та канали дії.

Заходи безпеки як елемент системи інформаційної безпеки.


[ред.] Тема 4. Заходи для забезпечення інформаційної безпеки

Види заходів безпеки: загальні і спеціальні.

Рівні заходів інформаційної безпеки.

Складові елементи заходів забезпечення інформаційної безпеки: технології безпеки, сили безпеки, засоби безпеки, методи безпеки.

Види і порядок застосування засобів інформаційної безпеки.

Методи інформаційної безпеки.


[ред.] Тема 5. Комплексний підхід до забезпечення інформаційної безпеки

Категорії інформаційної безпеки (доступність, цілісність, конфіденційність).

Грані інформаційної безпеки (законодавчий, адміністративний, процедурний і програмно-технічний).

Типи об’єктів інформаційної безпеки (державні організації; комерційні структури; окремі громадяни. ).


[ред.] РОЗДІЛ 2. Комплексна система інформаційної безпеки

[ред.] Тема 6. Побудова комплексної системи інформаційної безпеки

Об’єктний простір інформаційної безпеки

Архітектура комплексної системи інформаційної безпеки

Принципи комплексної системи інформаційної безпеки

Функції комплексної системи інформаційної безпеки

Етапи створення комплексної системи.


[ред.] Тема 7. Обстеження об'єкта інформаційної безпеки

Зміст робіт при проведенні обстеження об'єкта інформаційної безпеки

Обстеження інформаційного середовища

Обстеження фізичного середовища

Обстеження середовища персоналу

Формування завдання на створення комплексної системи інформаційної безпеки


[ред.] Тема 8. Законодавче забезпечення інформаційної безпеки

Адміністративна та кримінальна відповідальність за порушення інформаційної безпеки

Види конфіденційної комерційної інформації

Економічні передумови захисту конфіденційної інформації

Суть комерційної таємниці та необхідність її захисту

Нормативне забезпечення захисту комерційної таємниці

Механізм захисту комерційної таємниці

[ред.] Тема 9. Адміністративне забезпечення інформаційної безпеки

Зміст адміністративного забезпечення інформаційної безпеки

Концепція політики інформаційної безпеки: суть, призначення і структура.

Види моделей інформаційної безпеки: моделі об’єктів і суб’єктів інформаційної безпеки та моделі доступу, матриці конфіденційності, моделі загроз, моделі порушника.


[ред.] Тема 10. Розробка концепції інформаційної безпеки

Аспекти концепції інформаційної безпеки

Структура концепції інформаційної безпеки

Визначення цілей концепції інформаційної безпеки.


[ред.] РОЗДІЛ 3. Моделювання систем інформаційної безпеки

[ред.] Тема 11. Моделювання загроз для інформаційної безпеки

Класифікація ймовірних загроз для інформаційної безпеки.

Внутрішні і зовнішні джерела загроз

Канали дії

Види нанесеної шкоди внаслідок реалізації загроз

Побудова моделі загроз


[ред.] Тема 12. Способи реалізації загроз для інформаційної безпеки

Характеристика середовища перенесення зловмисної дії

Види способів реалізації загроз для інформаційної безпеки

Види інформації. Канали витоку інформації: види (технічні, режимні, логічні) і причини витоку.

Канали поширення дезінформації.


[ред.] Тема 13. Моделі доступу як формальний підхід до захисту інформації

Призначення моделей доступу

Види моделей доступу

Векторні і матричні моделі доступу

Структура пятивимірної моделі доступу


[ред.] Тема 14. Матричні моделі доступу

Дискреційна модель доступу

Мандатна модель доступу

Рольова модель доступу


[ред.] Тема 15. Моделювання системи запобігання порушення інформаційної безпеки

Системи інтересів, вектори інтересів, зони конфліктів

Визначення множини зацікавлених суб'єктів

Побудова моделі порушника


[ред.] РОЗДІЛ 4. Аналітичне і організаційно-процедурне забезпечення інформаційної безпеки

[ред.] Тема 16. Аналітичне забезпечення інформаційної безпеки

Аналіз ризиків: принципи, методи, прийоми.

Аналіз наслідків від втрат інформації.

Визначення вартості системи інформаційної безпеки.


[ред.] Тема 17. Організаційне забезпечення інформаційної безпеки

Зміст організаційного забезпечення інформаційної безпеки

Розробка порядку інформаційної діяльності об'єкта інформаційної безпеки.

Організація конфіденційного документообігу

Організація режиму інформаційної безпеки

Зони режимності об'єкта безпеки

Організація служби інформаційної безпеки


[ред.] Тема 18. Менеджмент персоналу з питань інформаційної безпеки

Класифікація внутрішніх порушників – інсайдерів

Види порушень інформаційної безпеки персоналом

Промислове шпигунство: суть і способи дії через персонал

Методи соціальної інженерії: претекстінг, фішинг, троянський кінь, дорожнє яблуко, кві про кво.

Робота з персоналом, який має доступ до конфіденційної інформації: договір, методи перевірки кандидатів, організація службового розслідування за фактами втрати конфіденційної інформації, порядок звільнення.


[ред.] Тема 19. Процедурне забезпечення інформаційної безпеки

Фізичний захист об’єктів інформаційної безпеки

Підтримка безперебійності роботи організації.

Реагування на порушення режиму безпеки.

Планування відновлювальних робіт.


[ред.] РОЗДІЛ 5. Технічне забезпечення інформаційної безпеки

[ред.] Тема 20. Програмно-технічне забезпечення інформаційної безпеки

Захист інформації в комп'ютерних системах

Методи забезпечення інформаційної безпеки в комп'ютерних системах

Керування доступом, ідентифікація і перевірка дійсності користувачів.

Моніторинг дій користувача.

Екранування об’єктів інформаційної безпеки


[ред.] Тема 21. Комплексна система захисту інформації (КСЗІ) комп'ютерних технологій

Компоненти КСЗІ.

Інформаційні об'єкти захисту: активні та пасивні.

Захист інформації в базах даних.

Керування доступом користувачів до інформації, атрибути доступу, протоколювання дій користувачів.

Створення довірчих процедур інформаційної безпеки.


[ред.] Термінологічний словник

Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяль¬ності вимогам нормативних документів з питань ТЗІ.

Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяль¬ності.

Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.

Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.

Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.


[ред.] Скорочення

ІТС – інформаційно-телекомунікаційна система;

ІзОД – інформація з обмеженим доступом;

ОІД – об'єкт інформаційної діяльності;

ТЗІ – технічний захист інформації

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти