Задания к теме 3. Материалы с официальных сайтов служб в сети Интернет и справочноправовые системы Гарант и Консультант плюс, заполните таблицу 1 и 2

Название	Материалы с официальных сайтов служб в сети Интернет и справочноправовые системы Гарант и Консультант плюс, заполните таблицу 1 и 2
Дата	03.05.2023
Размер	29.88 Kb.
Формат файла
Имя файла	Задания к теме 3.docx
Тип	Документы #1105501

Задания к теме 3

Задание 1

Используя лекционный материал по теме, материалы с официальных сайтов служб в сети Интернет и справочно-правовые системы Гарант и Консультант плюс, заполните таблицу 1 и 2.

Таблица 1. Краткая характеристика органов по защите информации

Название	Сфера ответственности	Функции
Федеральная служба по техническому и экспортному контролю	федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.	разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации;
Федеральная служба безопасности	федеральный орган исполнительной власти, в пределах своих полномочий осуществляющий государственное управление в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности,	контрразведывательная деятельность; борьба с терроризмом; борьба с особо опасными формами преступности; разведывательная деятельность; пограничная деятельность; обеспечение информационной безопасности. осуществление экономической безопасности.
Служба внешней разведки	федеральная служба, основной орган внешней разведки Российской Федерации, спецслужба. Относится к государственным военизированным организациям, которые имеют право приобретать боевое ручное стрелковое и иное оружие	политическая разведка — поиск и получение данных упреждающего характера о внешнеполитических намерениях зарубежных держав. экономическая разведка — получение информации по всем вопросам экономической деятельности внешнеполитических игроков и их экономических и финансовых структур
Министерство обороны	федеральный орган исполнительной власти (федеральное министерство), проводящий военную политику и осуществляющий государственное управление в сфере обороны России.	Относится к государственным военизированным организациям, которые имеют право приобретать боевое ручное стрелковое и иное оружие

Таблица 2. Содержание основных нормативных документов по защите информации

Документ	Цель принятия	Контролируемые вопросы по защите информации
Конституция РФ	Конституция обладает высшей юридической силой, закрепляющей основы конституционного строя России, государственное устройство, образование представительных, исполнительных, судебных органов власти и систему местного самоуправления, права и свободы человека и гражданина, а также конституционные поправки и пересмотр Конституции	Несмотря на то, что права человека и гражданина в соответствии с Конституцией России являются высшей ценностью, Конституция России допускает их ограничение.
Уголовный кодекс	основной источник уголовного права и единственный нормативный акт, устанавливающий преступность и наказуемость деяний на территории Российской Федерации.
Гражданский кодекс	федеральный закон Российской Федерации, регулирующий гражданско-правовые отношения, имеющий приоритет перед другими федеральными законами и иными нормативными правовыми актами в сфере гражданского права.	Указанный приоритет установлен в самом Гражданском кодексе. Нормы гражданского права, содержащиеся в других законах, должны соответствовать Гражданскому кодексу, как указано в ст. 3.
Кодекс об административных правонарушениях	кодифицированный нормативный акт, регулирующий общественные отношения по привлечению к ответственности за совершение административного правонарушения, а также устанавливающий общие начала, перечень всех административных правонарушений (
ФЗ «О государственной тайне»	Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.	Органы государственной власти, предприятия, учреждения и организации, располагающие сведениями, составляющими государственную тайну, в случаях изменения их функций, форм собственности, ликвидации или прекращения работ с использованием сведений, составляющих государственную тайну, обязаны принять меры по обеспечению защиты этих сведений и их носителей. При этом носители сведений, составляющих государственную тайну, в установленном порядке уничтожаются, сдаются на архивное хранение либо передаются
ФЗ «О коммерческой тайне»	Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.	ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
ФЗ «Об информации, информатизации и защите информации»	Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации.	1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.
ФЗ «Об электронной подписи»	Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
ФЗ «О техническом регулировании»	разработке, принятии, применении и исполнении обязательных требований к продукции, в том числе зданиям и сооружениям (далее - продукция), или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
ФЗ «О связи»	Настоящий Федеральный закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.

Задание 2

Используя лекционный материал по теме 3, справочно-правовые системы, источники сети Интернет и слайды к лекциям, ответьте на следующие вопросы (ответы оформить в электронном текстовом документе):

Дайте определения следующим понятиям: «журнал аудита», «био-метрия», «классификация», «политика ИБ», «цифровая подпись», «межсетевой экран», «принцип необходимого знания», «средства идентификации», «уязвимость»;

ОТВЕТ: Журнал аудита — это коллекция текстовых файлов журнала, которые содержат информацию о взаимодействии модуля Runbook с внешними средствами и системами.

Биоме́трия — система распознавания людей по одной или более физическим или поведенческим чертам. В области информационных технологий биометрические данные используются в качестве формы управления идентификаторами доступа и контроля доступа.

Классифика́ция, также классифици́рование — понятие в науке, обозначающее разновидность деления объёма понятия по определённому основанию, при котором объём родового понятия делится на виды, а виды, в свою очередь делятся на подвиды и т.д

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Электро́нная по́дпись, Электро́нная цифровая по́дпись, Цифровая по́дпись позволяет подтвердить авторство электронного документа. Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.

Межсетево́й экра́н, сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

принцип необходимого знания (need to know): Концепция безопасности, ограничивающая доступ к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей данного лица.

К средствам идентификации относятся пломбы, печати, цифровая, буквенная и иная маркировка, идентификационные знаки, штампы, сейф-пакеты и иные средства, обеспечивающие идентификацию товаров.

Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами.

Приведите структуру нормативной базы по защите информации и кратко охарактеризуйте основные положения по защите информации, присутствующие в каждом из названных актов;

ОТВЕТ: В основе информационной безопасности лежит деятельность по защите информации — обеспечению её конфиденциальности, доступности и целостности, а также недопущению какой-либо компрометации в критической ситуации[5]. К таким ситуациям относятся природные, техногенные и социальные катастрофы, компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах[6], требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях[7][8], что влечёт за собой привлечение специалистов по безопасности информационных технологий (ИТ) для защиты информации. Эти специалисты обеспечивают информационную безопасность технологии (в большинстве случаев — какой-либо разновидности компьютерных систем). Под компьютером в данном контексте подразумевается не только бытовой персональный компьютер, а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров, объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат. В их задачи входит обезопасить все технологии от вредоносных кибератак, зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.

Опишите назначение стандарта ISO 15408. Какие виды требований безопасности выделяет этот стандарт? Что такое профиль защиты и задание по безопасности?
Назовите назначение политики ИБ и приведите обязанности сотрудников по ее выполнению различных категорий;

ОТВЕТ:_Выделяют_4_основные_задачи_организационно-управленческой_деятельности_в_сфере_информационной_безопасности:_обеспечение_комплексности_всех_решений,_реализуемых_в'>ОТВЕТ: Выделяют 4 основные задачи организационно-управленческой деятельности в сфере

информационной безопасности: обеспечение комплексности всех решений, реализуемых в

процессе обеспечения информационной безопасности; обеспечение непрерывности и

целостности процессов информационной безопасности; решение методических задач,

лежащих в основе эффективного управления информационной безопасностью (вопросов

управления рисками, экономического моделирования и т.п..).; управление человеческими

ресурсами и поведением персонала с учетом необходимости решения задач

информационной безопасности. При этом данные задачи должны решаться в комплексе и

непрерывно

Перечислите основные организационные мероприятия по защите информации на предприятии;

ОТВЕТ: Основными мероприятиями являются:

мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров (ВЦ),

мероприятия, осуществляемые при подборе и подготовки персонала ВЦ (проверка принимаемых на работу, создание условий при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты),

организация надежного пропускного режима,

организация хранения и использования документов и носителей: определение правил выдачи, ведение журналов выдачи и использования,

контроль внесения изменений в математическое и программное обеспечение,

организация подготовки и контроля работы пользователей,

Одно из важнейших организационных мероприятий – содержание в ВЦ специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование.

Назовите основные каналы утечки информации;

ОТВЕТ: Акустический канал

Акустоэлектрический канал

Виброакустический канал (телефонный)

Оптический канал

Правовые

Организационные

Инженерно-технические

Охарактеризуйте кратко содержание Доктрины информационной безопасности;

ОТВЕТ: Обеспечение и защита прав и свобод граждан в части получения и использования информации, неприкосновенность частной жизни, а также сохранение духовно-нравственных ценностей.

Бесперебойное функционирование критической информационной инфраструктуры (КИИ).

Развитие в России отрасли ИТ и электронной промышленности.

Доведение до российской и международной общественности достоверной информации о государственной политике РФ.

Содействие международной информационной безопасности.

Доктрина необходима для формирования государственной политики и выработки мер по совершенствованию системы обеспечения информационной безопасности.

Объясните суть подхода к составлению перечня актуальных угроз. Выделите основные этапы методики и представьте их в виде схемы

ОТВЕТ :. Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. "О персональных данных" ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.