Merge branch 'master' of u22-26podverbny/EASvZI into master

Лекции/1.7.100_Общие_требования_по_защите_персональных_данных/Подвербный Игорь 2.md

@@ -0,0 +1,51 @@
+# Механизмы и методы защиты информации в распределенных автоматизированных системах
+**Введение**
+
+Защита информации является ключевым аспектом нашей работы. В современном информационном мире, где технологии непрерывно эволюционируют и Интернет расширяется своими возможностями, уделяется все большее внимание защите данных от различных угроз.
+
+Защита информации неразрывно связана с обеспечением безопасности данных. Поэтому важно учитывать каждый аспект этой темы. Следовательно, защита информации в РАС должна быть основной задачей для всех нас.
+
+**Почему они нужны?**
+
+Они нужны для повышения защиты устройств от несанкционированного входа или других угроз, связанных с вмешательством в информацию, находящуюся на устройстве без получения соответствующего доступа к ней.
+
+**Какие механизмы мы используем для защиты информации в распределительных информационных системах?**
+
+**Механические.**
+
+Эти преграды предостерегающие перед нашими устройствами, которые мы защищаем, например:
+
+- Железные двери: не дают злоумышленнику попасть туда, где у него нет ключа, который ее открывает, таким образом, злоумышленник уже на начальном этапе попытки взлома.
+- Камеры видеонаблюдения: помогают обнаружить проникновение несанкционированного лица.
+- Сигнализация: если предыдущие методы не смогли как-то остановить преступника, то на этом этапе при попытке взлома может сработать сигнализация, которая привлечет очень много ненужного для злоумышленника внимания.
+
+**Электронные.**
+
+Используют методы, которые уже находятся на самом устройстве:
+
+- Брандмауэр - это программное или hardware-оборудование, предназначенное для защиты компьютера от неавторизованных доступов и атак с Интернета. Он блокирует вредоносные соединения, предотвращает несанкционированный доступ и защищает конфиденциальную информацию.
+- Антивирусное ПО: оно помогает защитить компьютер от различных типов атак, блокируя вход неавторизованного кода в систему. А также оно защищает компьютер от действий пользователя, которые могут нанести вред системе.
+- Программы мониторинга активности сети: эти программы отслеживают входящие и исходящие соединения, пакеты данных, а также другие параметры сетевой активности. Они могут выявлять потенциальные угрозы безопасности, такие подозрительные подключения к сети.
+
+**Метод передачи информации использовавшийся в великую отечественную войну**
+
+Это был полевой телефон. Впервые полевой телефон был использован Германией во время первой мировой войны, собой он заменил флажковую систему связи и телеграф. Он использовал кабель как средство передачи информации. Он был относительно надежным средством передачи информации, но, как и любое устройство, у него были свои недостатки:
+
+1. Враг мог найти кабель и повредить его, что могло привести к полной невозможности передачи информации по нему.
+2. Также к нему могли подключиться и прослушивать информацию.
+3. После подключения противник мог подменить информацию.
+
+**Можно было использовать следующие методы защиты**
+
+1. Укрепление кабеля, чтобы его целостность не могла быть нарушена простыми способами.
+2. Маскировка кабеля, она предотвращала возможное обнаружение линии связи.
+3. Посылать людей, которые будут следить за целостностью кабеля.
+
+**Вывод**
+Вопросы: 
+1.Какая страна в первые использовала телефонную связь?
+2.Какие электронные методы защиты информации были перечислены?
+3.Для чего нужны методы защиты информации?
+4.Зачем нужен Брандмауэр?
+5.Какие способы защиты были у кабеля?
+

Лекции/2.1.100_Содержание_и_порядок_выполнения_работ_по_защите_информаци/Подвербный2.md

@@ -0,0 +1,45 @@
+# Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении
+**Введение:**
+Процесс модернизации автоматизированной системы в защищенном исполнении – это увлекательное путешествие в мир информационной безопасности. В каждом этапе мы защищаем наши цифровые данные от всех возможных угроз, следуя Федеральному закону "О защите персональных данных" и другим нормативным актам.
+
+История закона
+ГОСТ Р 51583-2014 был введён в действие для повышения уровня информационной безопасности в автоматизированных системах. Его разработка была инициирована в ответ на растущие угрозы кибербезопасности и необходимость стандартизации мер защиты информации. Этот стандарт описывает комплекс работ по созданию системы защиты информации, включая формирование требований, разработку, внедрение и аттестацию. Он был принят с целью установления общих правил и подходов для обеспечения безопасности данных и снижения рисков.
+
+1._**Анализ существующей системы**_
+
+Сначала мы внимательно исследуем текущие системы, словно детективы, выявляя все уязвимые места. Мы анализируем угрозы и оцениваем уровень защищенности данных в соответствии с Федеральным законом "О техническом регулировании". На этом этапе мы используем методы анализа уязвимостей, моделирования угроз и оценки рисков, чтобы составить полную картину состояния информационной безопасности. Этот этап требует тщательного изучения всех аспектов системы, от аппаратного обеспечения до программного кода.
+
+2. _**Установление требований к безопасности**_
+Следующий шаг – установить, какие меры безопасности необходимы. Мы создаем непробиваемую крепость вокруг наших данных, используя стандарты безопасности, такие как Федеральный закон "Об информации, информационных технологиях и о защите информации" и ГОСТ Р 51583-2014. Важным аспектом является разработка политики безопасности, которая определяет основные направления и цели защиты информации. Эти требования включают использование надежных алгоритмов шифрования, управление доступом на основе ролей и регулярное обновление программного обеспечения для устранения уязвимостей.
+
+3. _**Планирование модернизации**_
+
+Дальше мы разрабатываем подробный план действий. Включаем временные рамки, ресурсы и ответственных лиц, чтобы всё прошло гладко, следуя ГОСТ Р 50922-2006 "Защита информации. Основные положения". В планировании важно учитывать все аспекты проектирования и реализации системы, а также возможные риски и способы их минимизации. Мы также определяем ключевые этапы и контрольные точки, которые позволят оценить прогресс и своевременно корректировать курс.
+
+4. _**Разработка новой системы**_
+
+Создание новой системы – это как строительство нового замка. Мы следуем всем требованиям, включая ГОСТ Р 50739-95 "Автоматизированные системы. Требования к защите от несанкционированного доступа к информации". Все аспекты защиты данных тщательно проработаны, включая архитектуру системы, выбор технологий и средств защиты, а также разработку программного обеспечения. Важно учесть и интеграцию с уже существующими системами, чтобы обеспечить бесшовное взаимодействие и минимизировать риски.
+
+5. _**Развертывание системы в защищенном окружении**_
+
+Настало время установить наш "замок" и обеспечить его защиту. Мы настраиваем все меры безопасности, такие как защищенные каналы связи, шифрование данных и ограничение доступа согласно ГОСТ Р 50922-2006. Этот этап включает установку и настройку защитного оборудования и программного обеспечения, тестирование и ввод системы в эксплуатацию. Мы также проводим стресс-тесты и моделируем возможные атаки, чтобы убедиться в надежности всех защитных мер.
+
+6. _**Обучение персонала по правилам безопасности**_
+
+Наши сотрудники – это стражи, которые должны быть обучены всем правилам безопасности. Мы проводим обучение согласно ГОСТ Р 51583-2014 и другим нормативным актам, чтобы они знали, как правильно использовать новую систему. Важным элементом обучения является проведение тренингов и практических занятий, направленных на повышение осведомленности и навыков сотрудников в области информационной безопасности. Регулярные обновления и проверки знаний сотрудников помогают поддерживать высокий уровень безопасности.
+
+7. _**Разработка плана реагирования на инциденты безопасности**_
+
+На случай нападения, у нас должен быть план обороны. Мы разрабатываем меры по выявлению, анализу и устранению угроз, а также восстановлению системы после инцидентов, согласно ГОСТ Р 27.002-2009 "Надежность в технике". Этот план должен включать процедуры мониторинга, уведомления и управления инцидентами, а также меры по восстановлению и поддержанию функционирования системы. Важно также определить ответственных лиц и установить четкие временные рамки для реагирования на инциденты, чтобы минимизировать ущерб и быстро восстановить работу системы.
+
+# Правила и требования
+
+-Формирование требований к системе защиты информации (АСЗИ): Определение и документирование всех требований к безопасности информации. 
+-Разработка (проектирование) АСЗИ: Создание проектной документации, которая включает схемы и решения по защите информации. 
+-Внедрение АСЗИ: Реализация всех мер защиты на практике, установка и настройка защитных средств. 
+-Аттестация и ввод в действие АСЗИ: Проверка соответствия системы установленным требованиям безопасности и официальное принятие её в эксплуатацию.
+-Сопровождение АСЗИ: Поддержание системы в актуальном состоянии, регулярное обновление мер защиты и мониторинг угроз.
+
+Заключение
+
+Модернизация автоматизированной системы в защищенном исполнении – это комплексный и увлекательный процесс, который требует внимания к каждой детали для обеспечения максимальной защиты информации. Следуя всем этапам и стандартам, можно создать надежную и защищенную систему, способную противостоять современным киберугрозам и обеспечивать безопасность данных на высоком уровне. Важно помнить, что безопасность – это непрерывный процесс, требующий постоянного совершенствования и адаптации к новым вызовам и угрозам.# Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении