Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 96 часов очных занятий с преподавателем, а так же предполагается 46 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам использования современных средств защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средств защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс носит практическую направленность. В ходе интенсивного практикума проводится углубленное изучение современных средств защиты и контроля защищенности информации.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики,

Учебный класс Защита информации от несанкционированного доступа,

Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

• Руководители и сотрудники служб безопасности, подразделений  информационной безопасности, подразделений технической защиты информации.
• Руководители и сотрудники органов государственной власти и местного самоуправления выполняющие функции в области технической защиты информации.
• Руководители и сотрудники  организаций-лицензиатов  (соискателей лицензии) ФСТЭК России.

Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 72 аудиторных часа обучения, и 36 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам разработки и внедрения комплекта организационно-распорядительной документации по защите информации в организации.

На практических занятиях используются современные средства защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средства защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики, Учебный класс Защита информации от несанкционированного доступа, Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

Дополнительно:

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных проверок.
• Лицензирование в области проведения специальных проверок.

Раздел 2. Технические каналы утечки информации и средства по их выявлению.

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств.

• Специальная проверка технических средств. Общие положения. Основные положения проведения СП технических средств.
• Структурная модель и общая характеристика основных видов специальных электронных ЗУ
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.

Итоговый экзамен.

Документ, выдаваемый слушателю после успешного окончания обучения —   Удостоверение о повышении квалификации Учебного центра «МАСКОМ»,  который является документом об образовании и может быть использован при получении лицензий на осуществление деятельности по проведению специальных проверок.

Предварительная подготовка слушателя (рекомендации): 

• Общие представления о правовых, организационных и технических аспектах проблемы выявления закладочных устройств, а также базовые знания по физике и радиотехнике.

По окончании обучения Вы сможете:

• обосновывать необходимость проведения мероприятий по технической защите  информации;
• разрабатывать и реализовывать планы проведения специальных проверок;
• работать с техническими средствами поиска средств негласного съема информации;
• осуществлять поиск закладочных устройств в конкретной обстановке, обнаруживать демаскирующие признаки современных закладочных устройств.

Раздаточный материал: 

Слушатели курса получают компакт-диск, содержащий учебно-методические материалы, пакет типовых организационно-распорядительных и нормативно-методических документов, справочную информацию по данному курсу.

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных обследований.
• Степени секретности сведений и грифы секретности. Категории объектов.
• Лицензирование в области проведения специальных обследований.

Раздел 2. Технические каналы утечки информации и средства по их выявлению

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Выявление технических каналов утечки информации. Методы и средства выявления каналов утечки информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств

• Структурная модель и общая характеристика основных видов специальных электронных ЗУ.
• Соблюдение режима секретности при выполнении работ по выявлению специальных электронных ЗУ.
• Специальное обследование помещений. Организация работ по СО помещений.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации ИК канал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации проводные коммуникации.
• Тактико-технические основы и особенности выявления ЗУ выявления элементов ЗУ, обладающих нелинейной вольтамперной характеристикой.
• Тактико-технические основы и особенности выявления ЗУ выявления металлических включений, указывающих на наличие ЗУ.
• Визуально-оптический контроль. Выявление посторонних включений во внутренних структурах ограждающих конструкций и предметов интерьера выделенных помещений, указывающих на наличие ЗУ.
• Тактико-технические основы и особенности выявления полуактивных ЗУ (эндовибраторов).
• Анализ выявленных демаскирующих признаков ЗУ.

Раздел 4. Отработка практических основ проведения поисковых мероприятий.

Итоговый экзамен.

Дополнительно:

Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан российской федерации к государственной тайне)

Раздел 1. Основные сведения об ОС Astra Linux SE. Организация системы.

Предназначение Astra Linux Common Edition . Основные компоненты операционной системы. Ключевые особенности Astra Linux Special Edition по реализации требований безопасности информации.

Раздел 2. Установка операционной системы Astra Linux Special Edition.

Порядок проведения установки операционной системы «Astra Linux Special Edition». Действия при установке с разных источников. Требования к необходимой аппаратной поддержке.

Процесс установки ОС изучается на практике при установке её с DVD-диска. Подробно рассмотрены все шаги процесса установки.

Раздел 3. Загрузка и выключение ОС. Основы работы в системе. Рабочий стол Fly. Описание процесса поиска информации в документации, поставляемой с системой и приложениями.

Процесс загрузки ОС и необходимые действия пользователя во время загрузки.

Рабочий стол Fly и все его графических элементы (файловый менеджер, кнопка вызова стартовой меню-панели Fly, кнопка сворачивающая/разворачивающая все окна, кнопка включения режима выбора рабочего стола, кнопка. Основные элементы Панели управления и их назначение.

Методы поиска и получения интерактивной справки по программам и командам в документации и on-line (через кнопку F1, интерактивное руководства man, команды whatis и apropos, команду info, команду help.

Часто используемые горячие клавиши Astra Linux, облегчающие работу в графической среде рабочего стола Fly.

Выключение и перезагрузка системы.

Раздел 4. Создание, редактирование и сохранение текстовых файлов. Редактор vi и nano.

Редактор vi — однииз самых мощных редакторов, стандартно поставляется практически с каждой операционной системой типа UNIX. Vim – улучшенная версия текстового редактора vi и совместимая с ним. Выполнение различных команд как в режиме ввода текста, так и в командном режиме. Выполнение перехода между режимами и сохранения результатов редактирования. Редактора nano — альтернативный консольный текстовый редактор.

Раздел 5. Терминал и командный интерпретатор Bash.

Терминал Fly — графическая оболочка для командного интерпретатора bash. Запуск сессий терминала и их завершение. Использование bash для нахождения вызываемых программ, запуск их на выполнение и организацию ввода/вывода. Горячие клавиши управления командной строкой и использование истории команд. Основные этапы организации исполнение команд пользователя, вводимых им в командной строке. Стандартные потоки ввода/вывода, перенаправление ввода/вывода. Применение параметров и переменных в bash. Методы использования переменных среды (создание, назначение значения, удаление, обращение из команды). Использование важной переменной PATH. Использование bash как языка программирования.. Создание скриптов оболочки.

Раздел 6. Основные понятия о файлах, типы файлов в Linux. Иерархия файловой системы Linux. Базовые операции с файлами.

Файловая система. Существующие в Linux типы файлов: обычные файлы, каталоги, символьные ссылки, сокеты и каналы. Именование файлов в Linux, назначение и использование в каталогов.

Иерархическая структура каталогов, Полное имя файла (или путь к файлу. Понятие «текущего», «домашнего каталога» и «родительского каталога» и их использование. Использование “относительного пути” — перечисление тех каталогов, которые нужно пройти в «дереве каталогов».

Назначение основных системных каталогов.

Раздел 7. Пользователи и группы. Специальные разрешения. UID и GID. Переключение контекста пользователя. Права доступа к файлам. Umask и права доступа

Создание пользователей и групп. Просмотр их прав на файлы и каталоги.

Разграничение доступа к файлам и каталогам в Linux, символьное представление в терминале прав доступа к файлам и каталогам (командой ls). Рассмотрены специальные права доступа к файлам (биты SUID, SGID и Sticky). Команда изменения прав доступа к файлу или каталогу chmod. Команда изменения владельца файла или каталога chown. Команда изменения группы файла или каталога chgrp. пользователя. Прав доступа по умолчанию для вновь создаваемых файлов. Команда umask устанавливает маску прав по умолчанию.

Раздел 8. Процессы. Дерево процессов. Управление процессами. Автоматизация заданий. Планировщик cron и at

Понятие “Процесс” (process). Иерархия процессов в среде UNIX.. Набор атрибутов процесса, которые помогают системе контролировать выполнение процессов и распределять между ними ресурсы системы

Команды для работы с процессами ps и top. Команды для планирования регулярного запуска: cron и at

Раздел 9. Архивирование и сжатие данных

Назначение архивирования файлов. Программа архивирования tar.

Сжатие файлов программмами bzip2, gzip или zip. Методы использования этих программ, а также вопросы декомпрессии файлов.

Раздел 10. Разделы и файловые системы. Понятие индексного дескриптора. Ссылки. Использование сменных накопителей. Настройка swap

Основные файловые системы, используемые в Astra Linux: ext2, ext3, ext4. Понятие разделов диска и меток раздела. создание файловой систем в Linux, форматирование раздела и другие операции с помощью команда mkfs, с различными опциями. назначение раздела swap. Работа с журналами (логами) и использование для этого команды tune2f.

Раздел 11. Файловая система Astra Linux LVM

Файловая система Volume Manager (LVM) . Основные преимущества LVM. Создание и удаление томов LVM.. Команды работы с LVM: pvcreate, vgcreate, vgdisplay и др.

Раздел 12. Установка и обновление ПО. Управление программными пакетами. Программы dpkg, apt-get, aptitude и synaptic

Установка и обновление ПО. Управление программными пакетами. Утилиты для работы с пакетами в Astra Linux: Dpkg, apt-get, Aptitude, Synaptic. Практика использования этих программ.

Раздел 13. Процесс запуска и инициализации системы. Загрузчик GRUB.

Назначение GRUB (англ. GRand Unified Bootloader)— загрузчик операционной системы. Использование GRUB для выбора операционных систем, которые установлены на компьютер, и которые можно загрузить. Рассмотрены способы настройки GRUB.

Раздел 14. Ядро ОС. Управление модулями ядра

Ядро операционной системы. Загрузки и выгрузки некоторых частей ядра, которые называются модулями. Например, для подключения модуля драйвера устройства, Чтобы уметь это правильно делать, нужно разбираться в строении ядра и уметь правильно работать с его модулями. Утилиты управления модулями ядра: lsmod, modinfo, insmod, rmmod, modprobe.

Раздел 15. Конфигурирование сетевых подключений

Настройка интерфейса Ethernet. Настройка интерфейса сети путем редактирования конфигурационный файл interfaces. Основные сведения по данному вопросу изучаются на практических занятиях.

Раздел 16. Система журналирования. Базовая диагностика системы, файлы журналов. Решение проблем

Назначение системы журналирования и использования сервиса Syslog для управления логами. Современная версия сервиса Rsyslog, которая отвечает за методы сбора и анализа файлов журналов. Настройка rsyslog путем редактированияв конфигурационного файла /etc/syslog.conf.

Раздел 17. Использование ACL для управления доступом

Назначение Access Control List (ACL). Astra Linux и другие Unix подобные системы поддерживают работу со списками ACL, которые позволяют назначать права доступа вне зависимости от прав указанных для владельца и группы. Списки ACL поддерживаются различными файловыми системами Linux, в том числе ext2, ext3, ext4 и др. Два типа ACL: ACL для доступа и ACL по умолчанию. Управления списками ACL с помощью команд: setfacl и getfacl. Просмотр установленных ACL на объект командой ls –l.

Раздел 18. Шифрование дисков LUKS

Использование LUKS (Linux Unified Key Setup) – стандарта для работы с зашифрованными разделами. Выполнение шифрования диска linux с помощью модуля ядра dm-crypt. На практическом занятии изучается установка и настройка LUKS/dm-crypt для создания криптографически защищённых дисков и разделов файловой системы, которые можно использовать для хранения важной информации.

Раздел 19. Идентификации и аутентификации пользователей в ОС с использованием механизма PAM

Использование PAM (Pluggable Authentication Modules) для идентификации и аутентификации пользователей в Astra Linux.. Сценарии аутентификации, описываемые в конфигурационном файле /etc/pam.conf. и других конфигурационных файлах, расположенных в каталоге /etc/pam.d/. PAM обеспечивает различные функциональные возможности, такие как: аутентификация с однократной регистрацией, управление доступом и другие.

На практическом занятии изучается настройка конфигурационных файлов для обеспечения заданного сценария идентификации и аутентификации пользователей.

Раздел 20. Комплекс средств защиты (КСЗ). Мандатное разграничение доступа.

Комплекс средств защиты (КСЗ — подсистема безопасности PARSEC) предназначен для реализации функций по защите информации от несанкционированных действий (НСД) и предоставления администратору средств управления функциями КСЗ. В состав КСЗ входят несколько подсистем, которые позволяют реализовать следующие функции ОС по защите информации от НСД:

• идентификацию и аутентификацию;
• дискреционное разграничение доступа;
• мандатное разграничение доступа;
• очистку памяти;
• изоляцию модулей ;
• маркировку документов;
• защиту ввода-вывода информации на отчуждаемый физический носитель;
• сопоставление пользователя с устройством;
• регистрацию событий;
• надежное восстановление;
• контроль целостности КСЗ.

На практическом занятии изучается установка режима «Расширенные настройки безопасности», использование утилиты «Управление политикой безопасности» , использование настройки параметров в «Глобальная политика» , изменение настроек в утилитах «Группы» и «Пользователи», настройка узлового межсетевого экрана (брандмауэра) iptables и др.

Изучается механизм контроля мандатного разграничения доступа, который, как и механизм дискреционного разграничения доступа, встроен в ядро ОС. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности субъекта и мандатной метки объекта.

При принятии решения могут учитываться полномочия субъекта. Правила принятия решения о запрете или разрешении доступа субъекта к объекту основаны на учёте контекста безопасности субъекта, который содержит уровень L0 и категории C0, а мандатная метка объекта содержит уровень L1 и категории C1. Рассмотрены правила принятии решения на основе операции сравнения для уровней и категорий. С каждым субъектом и объектом связаны: мандатный контекст безопасности и мандатная метка, соответственно. При создании субъектом любого из вышеприведенных объектов объект наследует метку на основе мандатного контекста безопасности процесса.

Рассмотрен механизм privsock, предназначенный для обеспечения функционирования системных сетевых сервисов, не осуществляющих обработку информации с использованием мандатного контекста, но взаимодействующих с процессами, работающими в мандатном контексте субъекта доступа.

Изучаются средства управления мандатными ПРД.

Заочная часть:

1.     Законодательство Российской Федерации в области защиты государственной тайны. Система документов, регламентирующих защиту государственной тайны в Российской Федерации.

2.     Отнесение сведений к государственной тайне, и их засекречивание. Определение степени секретности сведений и грифов секретности их носителей. Порядок рассекречивания сведений и их носителей. Распоряжение сведениями, составляющими государственную тайну.

3.     Организация защиты государственной тайны в Российской Федерации. Органы защиты государственной тайны. Функции органов защиты государственной тайны.

4.     Контроль и надзор за обеспечением защиты государственной тайны.

5.     Ответственность за нарушение законодательства в области защиты государственной тайны.

Очная часть:

1.     Порядок оформления допуска к государственной тайне. Организационная структура системы допуска к государственной тайне на предприятии. Функции участников системы допуска к государственной тайне.

2.     Структура и состав рекомендаций кадровым подразделениям организаций по оформлению на работу, службу, учебу (назначения на должность) граждан, подлежащих допуску к государственной тайне.

3.     Порядок ознакомления с нормами законодательства о государственной тайне, предусматривающего ответственность за его нарушение. Доведение до гражданина обязательств о соблюдении требований законодательства РФ о государственной тайне.

4.     Требования к заполнению и проверке достоверности данных в анкете гражданина, которому оформляется допуск к государственной тайне.

5.     Примерная структура проведения беседы с допускаемым к государственной тайне, с целью выявления оснований для отказа в допуске.

6.     Требования к формированию списков наоформляемого и его родственников.

7.     Механизм заключения трудового договора на должности, предусматривающие допуск к государственной тайне.

8.     Особенности оформления должностных инструкций, на должности, предусматривающие работу с государственной тайной.

9.     Порядок предоставления социальных гарантий для лиц, допущенных к государственной тайне.

10.    Особенности командирования сотрудников организации, для выполнения работ, связанных с доступом к государственной тайне.

11.     Особенности выезда за границу лиц, допущенных к сведениям, составляющим государственную тайну.

12.     Особенности оформления допуска к государственной тайне при работе по совместительству.

13.     Организация информирования кадрового органа об изменении анкетных данных сотрудников. Основания для переоформления допуска к государственной тайне.

14.      Особенности увольнения с работы по факту прекращения допуска к государственной тайне.

Дополнительно:

* комплексная система подготовки специалистов организаций, выполняющих работы с использованием сведений, составляющих государственную тайну включает в себя обучение:

— руководителей организаций (Курс МГТ «Защита государственной тайны»);

— руководителей и сотрудников структурных подразделений по защите государственной тайны (Курсы МГТ «Защита государственной тайны», М 10.0 «Секретное делопроизводство»);

— руководителей и специалистов подразделений по технической защите информации и противодействию технической разведке (Курсы ТМ 4.1 «Администрирование системы защиты информации, составляющие государственную тайну, от несанкционированного доступа», М 2.0 «Защита информации от утечки по техническим каналам», М 4.0 «Аттестация объектов информатизации.Защита от несанкционированного доступа».).

1.     Порядок оформления допуска к государственной тайне. Организационная структура системы допуска к государственной тайне на предприятии. Функции участников системы допуска к государственной тайне.

2.     Структура и состав рекомендаций кадровым подразделениям организаций по оформлению на работу, службу, учебу (назначения на должность) граждан, подлежащих допуску к государственной тайне.

3.     Порядок ознакомления с нормами законодательства о государственной тайне, предусматривающего ответственность за его нарушение. Доведение до гражданина обязательств о соблюдении требований законодательства РФ о государственной тайне.

4.     Требования к заполнению и проверке достоверности данных в анкете гражданина, которому оформляется допуск к государственной тайне.

5.     Примерная структура проведения беседы с допускаемым к государственной тайне, с целью выявления оснований для отказа в допуске.

6.     Требования к формированию списков на оформляемого гражданина и его родственников.

7.     Механизм заключения трудового договора на должности, предусматривающие допуск к государственной тайне.

8.     Особенности оформления должностных инструкций, на должности, предусматривающие работу с государственной тайной.

9.     Порядок предоставления социальных гарантий для лиц, допущенных к государственной тайне.

10.   Особенности командирования сотрудников организации, для выполнения работ, связанных с доступом к государственной тайне.

11.    Особенности выезда за границу лиц, допущенных к сведениям, составляющим государственную тайну.

12.    Особенности оформления допуска к государственной тайне при работе по совместительству.

13.    Организация информирования кадрового органа об изменении анкетных данных сотрудников. Основания для переоформления допуска к государственной тайне.

14.    Особенности увольнения с работы по факту прекращения допуска к государственной тайне.

Дополнительно:

* комплексная система подготовки специалистов организаций, выполняющих работы с использованием сведений, составляющих государственную тайну включает в себя обучение:

— руководителей организаций (Курс МГТ «Защита государственной тайны»);

— руководителей и сотрудников структурных подразделений по защите государственной тайны (Курсы МГТ «Защита государственной тайны», М 10.0 «Секретное делопроизводство»);

— руководителей и специалистов подразделений по технической защите информации и противодействию технической разведке (Курсы ТМ 4.1 «Администрирование системы защиты информации, составляющие государственную тайну, от несанкционированного доступа», М 2.0 «Защита информации от утечки по техническим каналам», М 4.0 «Аттестация объектов информатизации.Защита от несанкционированного доступа».);

— руководителей и сотрудников кадровых органов (Курс М 10.1 «Кадровое обеспечение защиты государственной тайны в организации»)

Полная программа для специалистов подразделений ТЗИ и лицензиатов ФСТЭК (4 пары, 8 часов)

1.Наименование НМД, область его действия, цели и задачи документа (раздел «Общие положения» и, частично, «Требования по ТЗИ»),

2.Понятие объекта информатизации (ОИ), типы ОИ (все разделы)

3.Общие требования по защите ОИ (требования к ОТСС и ВТСС, размещение, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций (все разделы).

4.Средства защиты ОИ, основные требования и принципы применения, контроль эффективности средств защиты (все разделы).

5.Этапы создания ОИ; проектирование, монтаж, наладка, эксплуатация, вывод из эксплуатации, документация (все разделы, Приложения).

6.Категорирование и классификация ОИ (объектов ЭВТ).

7.Перечень ТКУИ в отношении ОВТ.

8.Требование к составу ТС ОВТ, размещению в КЗ, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций,

9.Категорирование и классификация ОИ (ВП).

10.Требования по НСД к ОИ типа АС.

11.Перечень ТКУИ в отношении ВП. Особенности защиты

12.Требование к ВП, размещение их в КЗ, системы электропитания, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций для ОТСС и ВТСС в ВП.

13.Специальные ОИ (цифровые сети, множительная техника, телефония, средства звукоусиления и конференцсвязь, средства измерения, средства магнитозаписи, ТВ и видеосистемы).

14.Отдельные специфические требования к перечисленным типам ОИ

15.Истолкование и рекомендации по отдельным требованиям НМД (по всем разделам)

16.Оформление документов (по Приложениям).

Дополнительно:

Дополнительно:

Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан российской федерации к государственной тайне)».

Раздел 1. Структура правовых и нормативных документов по защите информации в Российской Федерации. 

• Нормативно-правовые акты в сфере защиты информации, их структура и основные положения. Категории информации ограниченного доступа. Государственные информационные системы (ГИС). Порядок отнесения информационных систем к категории ГИС.
• Структура нормативно-методических документов ФСТЭК и ФСБ. Классы средств защиты информации. Понятие сертификации СЗИ. Аттестация объектов информатизации: общий порядок и документы.

Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 96 часов очных занятий с преподавателем, а так же предполагается 46 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам использования современных средств защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средств защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс носит практическую направленность. В ходе интенсивного практикума проводится углубленное изучение современных средств защиты и контроля защищенности информации.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики,

Учебный класс Защита информации от несанкционированного доступа,

Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

• структурная модель и общая характеристика основных видов электронных ЗУ;
• организация работ по обследованию помещений;
• основные этапы проведения поисковых мероприятий и их особенности;
• проведение поисковых мероприятий в учебных классах «Радиомониторинга», «Проводной локации» и «Нелинейной локации»:
• с использованием технических средств радиомониторинга по выявлению радиоизлучающих ЗУ и ЗУ, использующих для передачи информации ИК-канал;
• с использованием средств контроля проводных коммуникаций по выявлению ЗУ, использующих для передачи информации проводные коммуникации;
• с использованием нелинейного локатора по выявлению ЗУ, в составе которых есть элементы, обладающие нелинейной вольтамперной характеристикой;
• выявление посторонних внедрений во внутренние структуры ограждающих конструкций и предметов интерьера помещений, указывающих на наличие ЗУ;
• особенности выявления металлических включений, указывающих на наличие ЗУ;
• визуально-оптический контроль с использованием средств визуального контроля.
• Анализ выявленных по результатам поиска демаскирующих признаков ЗУ.
• Рекомендации по подготовке отчетных документов, оформляемых по результатам проведения поисковых мероприятий.
• Рекомендации по техническому оснащению поисковой аппаратурой.

• Общие положения и нормативно-правовые основы воинского учёта граждан Российской Федерации.
• Общие положения и нормативно-правовые основы бронирования граждан, пребывающих в запасе Вооружённых сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Организация воинского учёта граждан Российской Федерации.
• Организация бронирования граждан, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время. Виды бронирования.
• Осуществление воинского учёта граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях.
• Практическое занятие по осуществлению воинского учёта граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях.
• Осуществление бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Практическое занятие по осуществлению бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Бронирование граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, в период мобилизации и в военное время.
• Прикладное программное обеспечение при осуществлении мероприятий по ведению воинского учёта и бронирования граждан, пребывающих в запасе.
• Взаимодействие с органами государственной власти, органами местного самоуправления и органами военного управления при осуществлении воинского учёта и бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Учёт и отчётность по вопросам воинского учёта и бронирования граждан, пребывающих в запасе.
• Контроль состояния работы по воинскому учёту и бронированию граждан, пребывающих в запасе, в организациях.
• Организация оповещения граждан, пребывающих в запасе, имеющих мобилизационные предписания. Взаимодействие с органами военного управления по вопросам оповещения и призыва по мобилизации граждан, пребывающих в запасе, имеющих мобилизационные предписания.
• Обеспечение защиты информации при осуществлении мероприятий по ведению воинского учёта и бронирования граждан, пребывающих в запасе.

Курс завершается итоговой аттестацией и ответами на возникшие в ходе обучения вопросы слушателей. Удостоверение о ПК установленного образца. В проведении занятий принимают участие сотрудники правительства Москвы и военных комиссариатов.

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных проверок.
• Лицензирование в области проведения специальных проверок.

Раздел 2. Технические каналы утечки информации и средства по их выявлению.

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств.

• Специальная проверка технических средств. Общие положения. Основные положения проведения СП технических средств.
• Структурная модель и общая характеристика основных видов специальных электронных ЗУ
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.

Итоговый экзамен.

Документ, выдаваемый слушателю после успешного окончания обучения —   Удостоверение о повышении квалификации Учебного центра «МАСКОМ»,  который является документом об образовании и может быть использован при получении лицензий на осуществление деятельности по проведению специальных проверок.

Предварительная подготовка слушателя (рекомендации): 

• Общие представления о правовых, организационных и технических аспектах проблемы выявления закладочных устройств, а также базовые знания по физике и радиотехнике.

По окончании обучения Вы сможете:

• обосновывать необходимость проведения мероприятий по технической защите  информации;
• разрабатывать и реализовывать планы проведения специальных проверок;
• работать с техническими средствами поиска средств негласного съема информации;
• осуществлять поиск закладочных устройств в конкретной обстановке, обнаруживать демаскирующие признаки современных закладочных устройств.

Раздаточный материал: 

Слушатели курса получают компакт-диск, содержащий учебно-методические материалы, пакет типовых организационно-распорядительных и нормативно-методических документов, справочную информацию по данному курсу.

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных обследований.
• Степени секретности сведений и грифы секретности. Категории объектов.
• Лицензирование в области проведения специальных обследований.

Раздел 2. Технические каналы утечки информации и средства по их выявлению

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Выявление технических каналов утечки информации. Методы и средства выявления каналов утечки информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств

• Структурная модель и общая характеристика основных видов специальных электронных ЗУ.
• Соблюдение режима секретности при выполнении работ по выявлению специальных электронных ЗУ.
• Специальное обследование помещений. Организация работ по СО помещений.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации ИК канал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации проводные коммуникации.
• Тактико-технические основы и особенности выявления ЗУ выявления элементов ЗУ, обладающих нелинейной вольтамперной характеристикой.
• Тактико-технические основы и особенности выявления ЗУ выявления металлических включений, указывающих на наличие ЗУ.
• Визуально-оптический контроль. Выявление посторонних включений во внутренних структурах ограждающих конструкций и предметов интерьера выделенных помещений, указывающих на наличие ЗУ.
• Тактико-технические основы и особенности выявления полуактивных ЗУ (эндовибраторов).
• Анализ выявленных демаскирующих признаков ЗУ.

Раздел 4. Отработка практических основ проведения поисковых мероприятий.

Итоговый экзамен.

Раздел 1. Общие сведения о системе сертификации по РОСС  RU.0001.01БИ00 Основные документы 

• Положение о сертификации;
• Порядок оформления Заявки и получения Решения;
• Взаимодействие Заявитель – испытательная лаборатория – экспертирующая организация;
• Отбор образцов (ГОСТ, оформление);
• Сертификация производства и сертификация ограниченной партии;
• Порядок испытаний, оформление результатов;
• Экспертиза в органе по сертификации;
• Инспекционный контроль.

Раздел 2. Тенденции развития средств защиты и их сертификации 

• Общие сведения о рассматриваемых проектах сертификационных требований к другим средствам защиты.

Раздел 3. Сертификационные требования (утверждённые) 
1. Сертификационные требования к генераторам САЗ ПЭМИН:

• Общая информация;
• Основные требования к изделиям;
• Особенности сертификационных испытаний;
• Требования к оборудованию испытательной лаборатории;
• Рассмотрение отдельных измерений (испытаний), оборудования, методик и т. д.

2. Сертификационные требования к генераторам САЗ АВАК:

• Общая информация;
• Основные требования к изделиям;
• Особенности сертификационных испытаний;
• Требования к оборудованию испытательной лаборатории;
• Рассмотрение отдельных измерений (испытаний), оборудования, методик и т. д.

Раздел 4. Документальное оформление Запрос на сертификацию (в отдел сертификации и лицензирования ФСТЭК)

• Исходная документация на изделие (ТУ, ТО и ИЭ, РЭ, ПС и т. д.);
• Программа и методики испытаний;
• Протоколы испытаний;
• Техническое заключение;
• Порядок оплаты исполнителей.

Итоговая аттестация 

Программа курса согласована с ФСБ России, прошла лицензирование и аккредитацию в департаменте образования. 
Раздел 1. Нормативно-правовая база обеспечения информационной безопасности. Законодательная и нормативно-методическая база обеспечения информационной безопасности и её краткая характеристика.
Раздел 2. Основы теории измерений и обработки результатов. Классификация измерений. Виды электрических измерений. Методы электрических измерений. Погрешности измерений и обработка результатов измерений. Вероятностные оценки ряда наблюдений. Вероятностные оценки погрешности результата наблюдений на основании ряда наблюдений.
Раздел 3. Сущность методик проведения СИ. Общие методические указания. Перечень методик. Назначение и цель методик. Основные требования к аппаратуре.
Раздел 4. Методики СИ по требованиям ФСБ РФ.

Дополнительно:

Выпускники Учебного центра в рамках пройденного курса могут получать бесплатные консультации.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в Российской Федерации. Понятие государственной информационной системы.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы ГИС.
• Система лицензирования в области защиты информации. Система сертификации средств защиты информации. Требования к СЗИ.Классы СЗИ.

Раздел 2. Формирование требований к защите информации в ГИС.

• Организация работ по защите информации в ГИС. Классификация ГИС, порядок определения класса системы.
• Определение угроз безопасности информации и уязвимостей в информационных системах. Структура модели угроз, определение актуальных угроз.
• Определение требований к защите информации в ГИС. Содержание технического задания.

Раздел 3. Меры по защите информации в ГИС.

• Идентификация и аутентификация субъектов и объектов доступа. Управление доступом.
• Ограничение программной среды.
• Защита носителей информации в информационной системе.
• Регистрация событий безопасности.
• Система антивирусной защиты.
• Обнаружение (предотвращение) вторжений.
• Обеспечение целостности информационной системы и информации. Обеспечение целостности и доступности информации.
• Защита среды виртуализации.
• Защита технических средств информационной системы.
• Защита информационной системы, ее средств связи и передачи данных.

Раздел 4. Разработка и внедрение системы защиты информации в ГИС.

• Проектирование системы защиты информации в ГИС.
• Состав проектно-эксплуатационной документации на систему защиты информации в информационной системе.
• Выбор средств защиты информации и реализация организационных мер ЗИ.
• Разработка организационно-распорядительных документов оператора по защите информации в информационной системе.
• Анализ уязвимостей информационной системы и меры по их устранению.
• Испытания системы защиты информации. Основные виды испытаний и документальное оформление результатов испытаний.

Раздел 5. Аттестация ГИС по требованиям безопасности информации.

• Организация аттестации ГИС по требованиям безопасности информации. Порядок аттестационных испытаний.
• Содержание работ по аттестации информационной системы по требованиям безопасности информации. Инструментарий, применяемый в ходе испытаний.
• Особенности аттестации ГИС, функционирующих на базе ЦОД. Распространение аттестата соответствия на типовые сегменты ИС.
• Документы, разрабатываемые по результатам аттестационных испытаний.

Раздел 6. Обеспечение защиты информации в процессе жизненного цикла аттестованной ГИС.

• планирование мероприятий по защите информации в ИС;
• анализ угроз безопасности информации в ИС;
• управление (администрирование) системой защиты информации;
• управление конфигурацией ИС и ее системой защиты информации;
• реагирование на инциденты;
• информирование и обучение персонала;
• контроль за обеспечением уровня защищенности информации, содержащейся в ИС.

Раздел 7. Контроль (анализ) защищенности информации.

• Содержание контроля защищенности информации в процессе эксплуатации информационной системы.
• Контроль работоспособности информационной системы.
• Мониторинг уровня защищенности информации в информационной системе.