Доклад 5-7

ТЗИ/Лекции/ПМ3.1/5.2.100_Этапы_эксплуатации_технических_средств_защиты_информации/Readme.md

@@ -0,0 +1,74 @@
+# Этапы эксплуатации технических средств защиты информации.
+
+Система защиты информации (применительно к органу управления, организации, учреждению – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3. Национального стандарта Российской Федерации ГОСТ Р50922-2006 «Защита информации. Основные термины и определения»).
+
+![1](Screen/1.jpg)
+
+
+### В организационную структуру системы входят:
+
+- руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
+- заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
+- постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
+- подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).
+**Система защиты информации (применительно к объекту обработки информации)** – это совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (пункт 3.3 Национального стандарта Российской Федерации ГОСТ Р51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»).
+
+Задачи, решаемые системой защиты информации:
+
+- исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
+- исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
+- исключение неправомерного блокирования информации (обеспечение доступности информации).
+Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.
+
+Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.
+
+**Жизненный цикл системы защиты информации объекта информатизации** - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.
+
+**Стадия (этап) жизненного цикла** – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.
+
+**Обладатель информации** – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.
+
+**Заказчик** – лицо, заключившее контракт на создание объекта обработки информации.
+
+**Оператор** – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.
+
+**Уполномоченное лицо** – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.
+
+**Поставщик информации** – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.
+
+
+Этапы стадии создания системы защиты информации
+
+1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
+
+2. Этап 2. Разработка системы защиты информации (этап проектирования).
+
+3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
+
+4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).
+
+## Вопросы
+1. Кто такой Оператор?
+- **лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.**
+- лицо, создающее объект, с информацией.
+- компания, эксплуатирующая объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.
+- лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.
+2. Стадию создания осуществляет (организует) обладатель информации, ...
+- Оператор
+- **Заказчик**
+- Уполномоченное лицо
+- Поставщик информации
+3. Руководитель – несет ... ответственность за обеспечение информационной безопасности
+- Общую
+- Единую
+- Общественную
+- **Персональную**
+4. Какой ГОСТ описывает "Защиту информации"?
+- **ГОСТ Р51583-2014**
+- ГОСТ Р52593-2014
+- ГОСТ Р61481-2013
+- ГОСТ Р61583-2014
+
+## Список использованной литературы
+1. <https://trinosoft.com/pages/is/omop.php>
+2. <https://bezopasnik.info/инженерно-техническая-защита-информ/>

ТЗИ/Лекции/ПМ3.1/5.2.200_Виды_содержание_и_порядок_проведения_технического_обслуживания_средств_защиты_информации/Readme.md

@@ -0,0 +1,56 @@
+## Виды, содержание и порядок проведения технического обслуживания средств защиты информации.
+
+**Средства защиты информации** — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
+
+*В соответствии с приказом ФСТЭК России  от 11 февраля 2013 г. № 17 для обеспечения защиты информации, содержащейся в государственных информационных системах, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"*
+
+В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
+### Виды:
+- **Технические (аппаратные)** средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
+
+- **Программные** средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
+
+- **Смешанные** аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
+
+- **Организационные** средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
+### Порядок проведения тех. обслуживания СЗИ:
+
+- В подведомственном учреждении разрабатывается документ,определяющий регламент проведения внутреннего контроля, предусматривающий особенности функционирования конкретного подведомственного учреждения. В документе определяются ответственные исполнители (сотрудники, организующие и осуществляющие внутренний контроль), сроки проведения внутреннего контроля, виды и типы внутреннего контроля, перечень проверяемых вопросов, формы отчетности, порядок доведения результатов проведенных работ по руководителя подведомственного учреждения, а также порядок устранения выявленных недостатков.
+
+- Общие рекомендации по проведению внутреннего контроля.
+
+- Мероприятия по внутреннему контролю состояния системы защиты информации включаются в ежегодный план организационно–технических мероприятий, утверждаемый руководителем подведомственного учреждения.
+
+- Тип и виды внутреннего контроля, а также необходимость привлечения на договорной основе сторонних организаций, целесообразно выбирать исходя из квалификации ответственных за обеспечение безопасности информации, финансового обеспечения и текущих нужд подведомственного учреждения.
+
+- Материалы проверки (справки, отчеты) содержат сведения о системе защиты информации, которым следует присваивать ограничительную пометку "для служебного пользования".
+- В случае выявления недостатков составляется план по их устранению.
+- Информацию о выявленных грубых нарушений требований по защите информации, ставшая известной в ходе контрольных мероприятий, рекомендуется доводить до руководителя подведомственных учреждений для принятия управленческих решений.
+
+Вот так должен выглядеть журнал проведения тех. обслуживания:
+![1](Screen/1.PNG)
+
+## Вопросы
+1. Мероприятия по внутреннему контролю состояния системы защиты информации включаются в ... план организационно–технических мероприятий, утверждаемый руководителем подведомственного учреждения.
+- **Ежегодный**
+- Ежедневный
+- Ежемесячный
+- Еженедельный
+2. В случае выявления недостатков составляется ... по их устранению.
+- Отчет
+- Рапорт
+- **План**
+- Доклда
+3. ... аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
+- Технические
+- Программные
+- **Смешанные**
+- Организационные
+4. В целом средства обеспечения защиты информации в части предотвращения ... в зависимости от способа реализации можно разделить на группы
+- Террористических атак
+- Хакерских атак
+- Непреднамеренных действий
+- Преднамеренных действий
+## Список использованной литературы
+1. <https://trinosoft.com/pages/is/omop.php>
+2. <https://clck.ru/32QWNK>

ТЗИ/Лекции/ПМ3.1/5.2.300_Установка_и_настройка_технических_средств_защиты_информации/Readme.md

@@ -0,0 +1,88 @@
+## Установка и настройка технических средств защиты информации.
+
+Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. 
+
+1. Установка и настройка средств защиты информации.
+2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
+3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
+4. Испытания и опытная эксплуатации системы защиты информации.
+
+*Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:*
+
+![1](Screen/1.PNG)
+
+Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:
+
+- Порядок администрирования системой защиты информации.
+- Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
+- Порядок управления конфигурацией объекта и его системы защиты информации.
+- Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
+- Порядок защиты информации при выводе из эксплуатации объекта.
+
+### Этапы стадии эксплуатации системы защиты информации
+
+Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
+
+Этап 6. Промышленная эксплуатация системы защиты информации.
+
+Этап 7. Вывод из эксплуатации системы защиты информации.
+
+Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.
+
+Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.
+
+Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.
+
+Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.
+
+### Заявители:
+
+- осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
+- извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
+- предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.
+
+### Органы по аттестации:
+
+- отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
+- проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.
+
+*Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.*
+
+При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
+
+
+*Продление срока действия сертификата организацией, эксплуатирующей СЗИ:*
+
+Организация, эксплуатирующая средство защиты информации, заблаговременно, но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.
+
+В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).
+
+
+Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.
+На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.
+
+## Вопросы
+1. Что осуществляет оператор?
+- **Администрирование системы защиты информации**
+- Отвечает за call-центр
+- Контролирует техническую поддержку
+- Администрирование порядка выявления инцидентов
+2. Внедрение системы защиты информации – организуется ... информации (заказчиком) с привлечением оператора. 
+- Оператором
+- **Обладателем**
+- Администратором
+- Владельцем
+3. При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся ... в рамках действующего аттестата соответствия.
+- **Дополнительные аттестационные испытания**
+- Проверки службы безопасности
+- Увольнение всех сотрудников
+- Переаттестация
+4. Повторная аттестация ГИС осуществляется вслучае ... аттестата соответствия или повышения класса защищенности информационной системы.
+- Начала срока действия
+- Уменьшения срока действия
+- Увеличения срока действия
+- **Окончания срока действия**
+
+## Список использованной литературы
+1. <https://github.com/sandino/Markdown-Cheatsheet/blob/master/README.md#tables>
+2. <https://trinosoft.com/pages/is/omop.php>