БЛИЖАЙШИЕ КУРСЫ

• Руководители и сотрудники служб безопасности, подразделений  информационной безопасности, подразделений технической защиты информации.
• Руководители и сотрудники органов государственной власти и местного самоуправления выполняющие функции в области технической защиты информации.
• Руководители и сотрудники  организаций-лицензиатов  (соискателей лицензии) ФСТЭК России.

Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 72 аудиторных часа обучения, и 36 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам разработки и внедрения комплекта организационно-распорядительной документации по защите информации в организации.

На практических занятиях используются современные средства защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средства защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики, Учебный класс Защита информации от несанкционированного доступа, Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

Дополнительно:

Раздел 1. Правовые основы обеспечения защиты информации. Государственная система защиты информации.

• Общие положения законодательной и нормативной отечественной и зарубежной правовой базы в области защиты информации. Виды защищаемой информации. Государственные регуляторы и их полномочия.
• Отечественные и зарубежные требования и стандарты в области защиты информации. СТР-К, Руководящие документы ФСТЭК России и ФСБ России, ГОСТы, PCI DSS, СТО БР ИББС.
• Структура и основные задачи подразделения по технической защите информации. Кадровое обеспечение и взаимосвязь с другими подразделениями организации.
• Общие вопросы лицензирования в области защиты информации и практические действия организации при получении лицензии по технической защите конфиденциальной информации.

Раздел 2. Технические каналы утечки информации.

• Технические каналы утечки информации (ТКУИ). Классификация. Физические принципы возникновения.
• Общие подходы по выявлению ТКУИ. Организация и проведение специальных исследований, специальных проверок и специальных обследований.
• Классификация аппаратуры выявления каналов утечки информации. Автоматизированные комплексы контроля защищенности. Поисковая аппаратура.
• Методы и средства защиты информации от утечек по техническим каналам.

Раздел 3. Аттестация объектов информатизации по требованиям безопасности.

• Общие вопросы аттестации объектов информатизации по требованиям безопасности. В том числе, когда проведение аттестации – обязательное требование, а когда носит рекомендательный характер. Состав, порядок проведения и исполнители работ по аттестации автоматизированных систем и защищаемых помещений по требованиям безопасности информации.
• Нормативно-техническая документация на аттестуемые объекты информатизации. Состав и основное содержание документов, оформляемых на объект информатизации.
• Практические рекомендации и особенности проведения работ по требованиям защиты конфиденциальной информации.

Раздел 4. Основы проведения специальных исследований

• Общий подход к проведению специальных исследований по выявлению каналов утечки информации.
• Практическое использование системы «Сигурд» для оценки защищенности информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Демонстрация канала ПЭМИН.
• Практическое использование системы «Шёпот» для оценки защищенности речевой информации по акустическому и виброакустическому каналам (АВАК). Демонстрация АВАК.
• Общий подход к проведению специальных исследований по каналу акустоэлектрических преобразований (АЭП).
• Демонстрация эффективности активных и пассивных средств защиты от утечки информации по техническим каналам. Оценка эффективности принятых мер защиты.

Раздел 5. Основы проведения мероприятий по выявлению каналов утечки информации, образованных закладочными устройствами.

• Цели и задачи обследований помещений по выявлению закладочных устройств. Организация и инженерно-техническое обеспечение работ по этому направлению.
• Классификация и принцип работы технических средств, используемых для проведения мероприятий по выявлению каналов утечки информации, образованных закладочными устройствами (ЗУ).
• Модель ЗУ и их демаскирующие признаки.
• Рекомендации по перечню технических средств для проведения поисковых мероприятий.
• Формирование и реализация программы выявления ЗУ в помещениях.
• Тактико-технические вопросы проведения поисковых мероприятий с использованием:
  • · индикаторов поля и частотомеров;
  • · универсальных приборов;
  • · автоматизированных комплексов;
  • · нелинейных локаторов.

В конце обучения слушатели сдают экзамен.

Дополнительно:

Лицензия – Деятельность по технической защите конфиденциальной информации.

Раздел 1. Правовые основы обеспечения защиты информации. Государственная система защиты информации.

• Общие положения законодательной и нормативной отечественной и зарубежной правовой базы в области защиты информации. Виды защищаемой информации. Государственные регуляторы и их полномочия.
• Отечественные и зарубежные требования и стандарты в области защиты информации. СТР-К, Руководящие документы ФСТЭК России и ФСБ России, ГОСТы, PCI DSS, СТО БР ИББС.
• Структура и основные задачи подразделения по технической защите информации. Кадровое обеспечение и взаимосвязь с другими подразделениями организации.
• Общие вопросы лицензирования в области защиты информации и практические действия организации при получении лицензии по технической защите конфиденциальной информации.

Раздел 2. Технические каналы утечки информации.

• Технические каналы утечки информации (ТКУИ). Классификация. Физические принципы возникновения.
• Общие подходы по выявлению ТКУИ. Организация и проведение специальных исследований, специальных проверок и специальных обследований.
• Классификация аппаратуры выявления каналов утечки информации. Автоматизированные комплексы контроля защищенности. Поисковая аппаратура.
• Методы и средства защиты информации от утечек по техническим каналам.

Раздел 3. Аттестация объектов информатизации по требованиям безопасности.

• Общие вопросы аттестации объектов информатизации по требованиям безопасности. В том числе, когда проведение аттестации – обязательное требование, а когда носит рекомендательный характер. Состав, порядок проведения и исполнители работ по аттестации автоматизированных систем и защищаемых помещений по требованиям безопасности информации.
• Нормативно-техническая документация на аттестуемые объекты информатизации. Состав и основное содержание документов, оформляемых на объект информатизации.
• Практические рекомендации и особенности проведения работ по требованиям защиты конфиденциальной информации.

Раздел 4. Защита информации от несанкционированного доступа. Организация и проведение контроля защищённости автоматизированных систем.

• Актуальные угрозы безопасности информации при ее обработке в автоматизированных системах. Локальные и сетевые компьютерные атаки.
• Обзор средств защиты компьютерных сетей. Межсетевые экраны, системы обнаружения вторжений, сети-ловушки (honeypot).
• Средства защиты от несанкционированного доступа (НСД). Аппаратные модули доверенной загрузки и системы разграничения доступа.
• Защита от вредоносных программ и программно-математических воздействий (ПМВ);
• Инструментальный контроль системы защиты от НСД. Сканеры безопасности.
• Практика применения средств защиты информации от НСД и систем контроля защищенности.

Раздел 5. Средства оценки защищенности информации от утечки по техническим каналам.

• Общий подход к проведению специальных исследований по выявлению каналов утечки информации.
• Практическое использование системы «Сигурд» для оценки защищенности информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Демонстрация канала ПЭМИН.
• Практическое использование системы «Шёпот» для оценки защищенности речевой информации по акустическому и виброакустическому каналам (АВАК). Демонстрация АВАК.
• Общий подход к проведению специальных исследований по каналу акустоэлектрических преобразований (АЭП).
• Демонстрация эффективности активных и пассивных средств защиты от утечки информации по техническим каналам. Оценка эффективности принятых мер защиты.

Раздел 6. Защита персональных данных.

• Общие положения законодательной и нормативно-правовой базы Российской Федерации в области защиты персональных данных. Основные понятия, термины и определения. ФЗ «О персональных данных» от 27 июля 2006 г. №152-ФЗ,
• Порядок определения уровня защищенности персональных данных (Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01 ноября 2012 г. №1119).
• Общий порядок построения системы защиты персональных данных. Особенности защиты ПДн при их неавтоматизированной обработке.
• Ответственность за нарушения законодательства в области защиты персональных данных и другие нарушения, связанные с защитой информации.
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Методика определения актуальных угроз безопасности персональных данных.
• Разработка частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Меры по организационно-технической защите персональных данных и порядок их выбора. Выбор средств защиты информации.

В конце обучения слушатели сдают экзамен. 

Дополнительно:

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных обследований.
• Степени секретности сведений и грифы секретности. Категории объектов.
• Лицензирование в области проведения специальных обследований.

Раздел 2. Технические каналы утечки информации и средства по их выявлению

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Выявление технических каналов утечки информации. Методы и средства выявления каналов утечки информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств

• Структурная модель и общая характеристика основных видов специальных электронных ЗУ.
• Соблюдение режима секретности при выполнении работ по выявлению специальных электронных ЗУ.
• Специальное обследование помещений. Организация работ по СО помещений.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации ИК канал.
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации проводные коммуникации.
• Тактико-технические основы и особенности выявления ЗУ выявления элементов ЗУ, обладающих нелинейной вольтамперной характеристикой.
• Тактико-технические основы и особенности выявления ЗУ выявления металлических включений, указывающих на наличие ЗУ.
• Визуально-оптический контроль. Выявление посторонних включений во внутренних структурах ограждающих конструкций и предметов интерьера выделенных помещений, указывающих на наличие ЗУ.
• Тактико-технические основы и особенности выявления полуактивных ЗУ (эндовибраторов).
• Анализ выявленных демаскирующих признаков ЗУ.

Раздел 4. Отработка практических основ проведения поисковых мероприятий.

Итоговый экзамен.

Программа курса согласована с ФСБ России, прошла лицензирование и аккредитацию в департаменте образования. 
Раздел 1. Нормативно-правовая база обеспечения информационной безопасности. Законодательная и нормативно-методическая база обеспечения информационной безопасности и её краткая характеристика.
Раздел 2. Основы теории измерений и обработки результатов. Классификация измерений. Виды электрических измерений. Методы электрических измерений. Погрешности измерений и обработка результатов измерений. Вероятностные оценки ряда наблюдений. Вероятностные оценки погрешности результата наблюдений на основании ряда наблюдений.
Раздел 3. Сущность методик проведения СИ. Общие методические указания. Перечень методик. Назначение и цель методик. Основные требования к аппаратуре.
Раздел 4. Методики СИ по требованиям ФСБ РФ.

Дополнительно:

Выпускники Учебного центра в рамках пройденного курса могут получать бесплатные консультации.

Раздел 1. Нормативная правовая база в области защиты информации

• Основные законодательные и нормативные акты Российской Федерации в области защиты информации и проведения специальных проверок.
• Лицензирование в области проведения специальных проверок.

Раздел 2. Технические каналы утечки информации и средства по их выявлению.

• Классификация технических каналов утечки информации. Источники угроз безопасности информации.
• Классификация аппаратуры выявления каналов утечки. Принципы функционирования и особенности эксплуатации аппаратуры.

Раздел 3. Основы проведения мероприятий по выявлению электронных закладочных устройств.

• Специальная проверка технических средств. Общие положения. Основные положения проведения СП технических средств.
• Структурная модель и общая характеристика основных видов специальных электронных ЗУ
• Тактико-технические основы и особенности выявления ЗУ, использующих для передачи информации радиоканал.

Итоговый экзамен.

Документ, выдаваемый слушателю после успешного окончания обучения —   Удостоверение о повышении квалификации Учебного центра «МАСКОМ»,  который является документом об образовании и может быть использован при получении лицензий на осуществление деятельности по проведению специальных проверок.

Предварительная подготовка слушателя (рекомендации): 

• Общие представления о правовых, организационных и технических аспектах проблемы выявления закладочных устройств, а также базовые знания по физике и радиотехнике.

По окончании обучения Вы сможете:

• обосновывать необходимость проведения мероприятий по технической защите  информации;
• разрабатывать и реализовывать планы проведения специальных проверок;
• работать с техническими средствами поиска средств негласного съема информации;
• осуществлять поиск закладочных устройств в конкретной обстановке, обнаруживать демаскирующие признаки современных закладочных устройств.

Раздаточный материал: 

Слушатели курса получают компакт-диск, содержащий учебно-методические материалы, пакет типовых организационно-распорядительных и нормативно-методических документов, справочную информацию по данному курсу.

Раздел 1. Система правовых и нормативных документов по защите информации в Российской Федерации

• Правовые акты по защите информации, их структура и основные положения. Государственная система защиты информации
• Лицензирование деятельности в области защиты информации. Государственная система сертификации средств защиты информации.
• Нормативные документы ФСТЭК России по аттестации объектов информатизации.

Раздел 2. Организация проведения аттестации объектов информатизации по требованиям безопасности информации.

• Порядок проведения аттестации объектов информатизации по требованиям безопасности информации.
• Технические каналы утечки информации, их классификация, физическая природа возникновения и методы выявления.
• Организация проведения специальных исследований, специальных проверок объектов информатизации.

Раздел 3. Защита информации от несанкционированного доступа.

• Угрозы безопасности информации, возникающие в случае несанкционированного доступа к ней.
• Требования к системе защиты информации от несанкционированного доступа. Структура и состав системы защиты информации от несанкционированного доступа.
• Антивирусная защита. Политика организации антивирусной защиты на предприятии.
• Межсетевые экраны. Политика организации межсетевого экранирования в корпоративной сети.
• Политика организации межсетевого экранирования в корпоративной сети. Организация защищенного Интернет — шлюза. Особенности применения персональных межсетевых экранов.
• Системы анализа защищенности и обнаружения вторжений.
• Штатные средства защиты информации в операционной системе Windows.
• Аттестационные испытания системы защиты от несанкционированного доступа.

Раздел 4. Защита персональных данных при их обработке в ИСПДн.

• Классификация информационных систем персональных данных.
• Требования по защите информации от несанкционированного доступа в информационных системах персональных данных (ИСПДн).
• Построение частной модели угроз безопасности информации в ИСПДн.
• Типовые схемы построения системы защиты персональных данных, обрабатываемых в ИСПДн.

В конце обучения слушатели сдают экзамен. 

Дополнительно:

Лицензия — Деятельность по технической защите конфиденциальной информации; Осуществление мероприятий и (или) оказание услуг по защите государственной тайны.

Раздел 1. Нормативно-правовое обеспечение деятельности в области защиты информации.

• Государственная система защиты информации. Вопросы лицензирования и сертификации ФСТЭК России. Особенности лицензирования и сертификации ФСБ России.
• Законодательство РФ о защите информации, составляющей государственную тайну и конфиденциальную информацию. Государственные стандарты и нормативные документы в области защиты информации.
• Законодательная база сертификации и лицензирования. Правовые акты применения специальных технических средств.

Раздел 2. Аттестация выделенных помещений на соответствие требованиям по безопасности информации.

• Акустические измерения. Основные положения.
• Технические каналы утечки речевой информации, образованные в выделенном помещении (акустический, виброакустический, акустоэлектрический).
• Методики проведения измерений в акустическом, виброакустическом и акустоэлектрическом каналах утечки речевой конфиденциальной информации и информации, содержащей государственную тайну. Критерии оценки защищенности, нормы и документы их определяющие.
• Средства измерений в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Отработка навыков проведения измерений в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования с использованием аппаратуры «Шепот», «Тритон», «Талис-НЧ».
• Отработка навыков проведения расчетов по оценке защищенности речевой информации в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Методы и средства защиты речевой информации от утечки в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Отработка навыков настройки системы активной защиты акустической речевой информации и оценка ее эффективности.
• Отработка навыков подготовки документов по результатам измерений.

Раздел 3. Аттестация автоматизированных систем на соответствие требованиям по безопасности информации.

• Аттестационные испытания и организация защиты информации. Порядок и условия проведения аттестационных испытаний объектов информатизации.
• Технические каналы утечки информации, возникающие при работе средств вычислительной техники за счет побочных электромагнитных излучений и наводок (ПЭМИН).
• Методы и средства защиты информации от утечки по техническим каналам. Меры и средства защиты информации от утечки за счет ПЭМИН средств вычислительной техники.
• Структура и основные положения руководящих документов ФСТЭК России. Состав, порядок проведения и исполнители работ по защите объектов вычислительной техники (включая их аттестацию по требованиям безопасности информации). Документы, оформляемые по итогам каждого из этапов защиты объектов информатизации.
• Инструментальная оценка эффективности защиты средств вычислительной техники от утечки информации за счет ПЭМИН (специальные исследования средств вычислительной техники). Критерии защищенности средств вычислительной техники, принципы и методы их специальных исследований.
• Приборы, оборудование и тестовые программы для специальных исследований.
• Измерения информативных сигналов, излучаемых средствами вычислительной техники. Расчеты радиусов зон возможного перехвата информации. Особенности метода «реальных зон», анализ объекта.
• Инструментальный контроль (аттестационный и периодический) защищенности информации, обрабатываемой средствами вычислительной техники, а также циркулирующей в вычислительных сетях, с учетом используемых средств защиты (генераторов шумовых сигналов и пр.) на основе действующих нормативно методических документов.
• Анализ системы защиты от несанкционированного доступа, реализованной на объекте информатизации. Классификация видов несанкционированного доступа к информации, обрабатываемой техническими средствами объектов информатизации. Основные способы защиты информации от несанкционированного доступа. Особенности их реализации на различных типах аттестуемых объектов информатизации. Типовая структура и состав системы защиты информации от несанкционированного доступа. Способы и механизмы защиты, реализуемые с использованием таких систем.
• Методика аттестационных испытаний системы защиты от несанкционированного доступа, реализованной на объекте информатизации. Методическое обеспечение и инструментальные средства, применяемые для аттестационных испытаний. Аттестационные испытания подсистемы управления доступом. Аттестационные испытания подсистемы регистрации и учета. Аттестационные испытания подсистемы обеспечения целостности. Особенности аттестационных испытаний подсистемы управления доступом на уровне межсетевых взаимодействий. Особенности проверки защищенности телекоммуникационного оборудования. Особенности проверки механизмов защиты при использовании виртуальных частных сетей.
• Анализ уязвимостей. Инструментальные средства для проведения аттестационных испытаний.
• Пакет итоговых документов, оформляемый по результатам аттестационных испытаний объектов информатизации.

В конце обучения слушатели сдают экзамен. 

Дополнительно:

Лицензия – Осуществление мероприятий и (или) оказанием услуг по защите государственной тайны.

Дополнительно:

Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан российской федерации к государственной тайне)

Раздел 1. Организационно-правовые основы ТЗИ, содержащей сведения, составляющие государственную тайну

• Цели и задачи ТЗИ
• Основы нормативно-правового обеспечения ТЗИ

Раздел 2. Аппаратные средства вычислительной техники

• Основы ЭВМ
• Вычислительные системы

Раздел 3. Системы и сети передачи информации

• Сети связи
• Системы передачи информации

Раздел 4. Способы и средства технической защиты информации, содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам

• Технические каналы утечки информации
• Способы и средства защиты информации, обрабатываемой техническими средствами, от утечки по техническим каналам
• Способы и средства защиты акустической речевой информации в выделенных помещениях от утечки по техническим каналам

Раздел 5. Меры и средства технической защиты информации, содержащей сведения, составляющие государственную тайну, от несанкционированного доступа

• Угрозы безопасности информации, связанные с НСД
• Меры и средства защиты информации от НСД

Раздел 6. ТЗИ, содержащей сведения, составляющие государственную тайну, от специальных воздействий

• Информация как объект защиты от специальных воздействий
• Меры и средства защиты информации от специальных воздействий

Раздел 7. Организация защиты информации, содержащей сведения, составляющие государственную тайну, на объектах информатизации

• Планирование работ по ТЗИ. Стадии создания системы защиты секретной информации
• Выполнение работ по ТЗИ

Раздел 8. Аттестация объектов информатизации по требованиям безопасности информации

• Организационно-правовые основы системы аттестации объектов информатизации по требованиям безопасности информации
• Организация аттестации объектов информатизации на соответствие требованиям безопасности информации
• Порядок проведения аттестации объектов информатизации

Раздел 9. Контроль состояния ТЗИ, содержащей сведения, составляющие государственную тайну

• Основы организации контроля состояния ТЗИ
• Методы и средства контроля защищенности информации
• Сертификация средств защиты информации

Раздел 1. Организационно-правовые основы ТЗИ

• Цели и задачи ТЗИ. Объекты защиты
• Основы нормативного правового обеспечения ТЗИ

Раздел 2. Технические каналы утечки информации

• Технические каналы утечки информации, обрабатываемой техническими средствами, за счет ПЭМИН
• Технические каналы утечки акустической речевой информации
• Способы и средства защиты информационных (автоматизированных) систем от утечки по техническим каналам
• Способы и средства защиты выделенных помещений от утечки акустической речевой информации по техническим каналам

Раздел 3. Защита информации от утечки по техническим каналам

• Требования по ТЗИ от утечки по техническим каналам
• Организация работ по защите информации на объектах информатизации, обрабатывающих сведения, составляющие государственную тайну

Раздел 4. Контроль состояния ТЗИ

• Основы организации контроля состояния ТЗИ
• Методы и средства контроля защищенности информации, обрабатываемой техническими средствами, от утечки за счет ПЭМИН
• Методы и средства контроля защищенности акустической речевой информации от утечки по техническим каналам
• Аттестация объектов информатизации на соответствие требованиям по безопасности информации
• Сертификация средств защиты информации

Программа курса охватывает весь круг вопросов, касающихся разработки и внедрения систем защиты информации в ГИС, в том числе:

• • классификация ГИС;
    • разработка моделей угроз безопасности информации в ГИС;
  • • выбор и внедрение организационно-технических мер защиты информации;
  • • проведение аттестации ГИС;
  • • организация эксплуатации защищенных ГИС и регламентация мероприятий по защите информации (включая состав и содержание локальных правовых актов по защите информации).

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в Российской Федерации. Понятие государственной информационной системы.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации. Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.

Раздел 2. Формирование требований к защите информации в ГИС.

• Организация работ по защите информации в ГИС. Классификация ГИС, порядок определения класса системы.
• Определение угроз безопасности информации и уязвимостей в информационных системах.
• Определение требований к защите информации в ГИС. Содержание технического задания.

Раздел 3. Меры по защите информации в ГИС.

• Идентификация и аутентификация субъектов и объектов доступа. Управление доступом.
• Ограничение программной среды.
• Защита носителей информации в информационной системе.
• Регистрация событий безопасности.
• Система антивирусной защиты.
• Обнаружение (предотвращение) вторжений.
• Обеспечение целостности информационной системы и информации. Обеспечение целостности и доступности информации.
• Защита среды виртуализации.
• Защита технических средств информационной системы.
• Защита информационной системы, ее средств связи и передачи данных.

Раздел 4. Разработка и внедрение системы защиты информации в ГИС.

• Проектирование системы защиты информации в ГИС.
• Состав проектно-эксплуатационной документации на систему защиты информации в информационной системе.
• Установка и настройка СЗИ.
• Разработка документов по защите информации в информационной системе.
• Анализ уязвимостей информационной системе и меры по их устранению.
• Испытания системы защиты информации. Основные методы испытаний.

Раздел 5. Аттестация ГИС по требованиям безопасности информации.

• Организация аттестации ГИС по требованиям безопасности информации. Порядок аттестационных испытаний.
• Содержание работ по аттестации информационной системы по требованиям безопасности информации. Инструментарий, применяемый в ходе испытаний.
• Документы, разрабатываемые по результатам аттестационных испытаний.

Раздел 6. Обеспечение защиты информации в процессе жизненного цикла аттестованной ГИС.

• Процедуры, реализуемые в ходе администрирования системы защиты информации.
• Выявление инцидентов в процессе эксплуатации аттестованной информационной системы.
• Управление конфигурацией аттестованной информационной системы.
• Обеспечение защиты информации при выводе аттестованной информационной системы из эксплуатации.

Раздел 7. Контроль (анализ) защищенности информации.

• Содержание контроля защищенности информации в процессе эксплуатации информационной системы.
• Контроль работоспособности информационной системы.
• Мониторинг уровня защищенности информации в информационной системе.

Заочная часть:

1.     Законодательство Российской Федерации в области защиты государственной тайны. Система документов, регламентирующих защиту государственной тайны в Российской Федерации.

2.     Отнесение сведений к государственной тайне, и их засекречивание. Определение степени секретности сведений и грифов секретности их носителей. Порядок рассекречивания сведений и их носителей. Распоряжение сведениями, составляющими государственную тайну.

3.     Организация защиты государственной тайны в Российской Федерации. Органы защиты государственной тайны. Функции органов защиты государственной тайны.

4.     Контроль и надзор за обеспечением защиты государственной тайны.

5.     Ответственность за нарушение законодательства в области защиты государственной тайны.

Очная часть:

1.     Порядок оформления допуска к государственной тайне. Организационная структура системы допуска к государственной тайне на предприятии. Функции участников системы допуска к государственной тайне.

2.     Структура и состав рекомендаций кадровым подразделениям организаций по оформлению на работу, службу, учебу (назначения на должность) граждан, подлежащих допуску к государственной тайне.

3.     Порядок ознакомления с нормами законодательства о государственной тайне, предусматривающего ответственность за его нарушение. Доведение до гражданина обязательств о соблюдении требований законодательства РФ о государственной тайне.

4.     Требования к заполнению и проверке достоверности данных в анкете гражданина, которому оформляется допуск к государственной тайне.

5.     Примерная структура проведения беседы с допускаемым к государственной тайне, с целью выявления оснований для отказа в допуске.

6.     Требования к формированию списков наоформляемого и его родственников.

7.     Механизм заключения трудового договора на должности, предусматривающие допуск к государственной тайне.

8.     Особенности оформления должностных инструкций, на должности, предусматривающие работу с государственной тайной.

9.     Порядок предоставления социальных гарантий для лиц, допущенных к государственной тайне.

10.    Особенности командирования сотрудников организации, для выполнения работ, связанных с доступом к государственной тайне.

11.     Особенности выезда за границу лиц, допущенных к сведениям, составляющим государственную тайну.

12.     Особенности оформления допуска к государственной тайне при работе по совместительству.

13.     Организация информирования кадрового органа об изменении анкетных данных сотрудников. Основания для переоформления допуска к государственной тайне.

14.      Особенности увольнения с работы по факту прекращения допуска к государственной тайне.

Дополнительно:

* комплексная система подготовки специалистов организаций, выполняющих работы с использованием сведений, составляющих государственную тайну включает в себя обучение:

— руководителей организаций (Курс МГТ «Защита государственной тайны»);

— руководителей и сотрудников структурных подразделений по защите государственной тайны (Курсы МГТ «Защита государственной тайны», М 10.0 «Секретное делопроизводство»);

— руководителей и специалистов подразделений по технической защите информации и противодействию технической разведке (Курсы ТМ 4.1 «Администрирование системы защиты информации, составляющие государственную тайну, от несанкционированного доступа», М 2.0 «Защита информации от утечки по техническим каналам», М 4.0 «Аттестация объектов информатизации.Защита от несанкционированного доступа».).

• Общие положения и нормативно-правовые основы воинского учёта граждан Российской Федерации.
• Общие положения и нормативно-правовые основы бронирования граждан, пребывающих в запасе Вооружённых сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Организация воинского учёта граждан Российской Федерации.
• Организация бронирования граждан, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время. Виды бронирования.
• Осуществление воинского учёта граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях.
• Практическое занятие по осуществлению воинского учёта граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях.
• Осуществление бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Практическое занятие по осуществлению бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Бронирование граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации , федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, в период мобилизации и в военное время.
• Прикладное программное обеспечение при осуществлении мероприятий по ведению воинского учёта и бронирования граждан, пребывающих в запасе.
• Взаимодействие с органами государственной власти, органами местного самоуправления и органами военного управления при осуществлении воинского учёта и бронирования граждан Российской Федерации, пребывающих в запасе Вооружённых Сил Российской Федерации, федеральных органов исполнительной власти, имеющих запас, и работающих в органах государственной власти, органах местного самоуправления и организациях, на период мобилизации и в военное время.
• Учёт и отчётность по вопросам воинского учёта и бронирования граждан, пребывающих в запасе.
• Контроль состояния работы по воинскому учёту и бронированию граждан, пребывающих в запасе, в организациях.
• Организация оповещения граждан, пребывающих в запасе, имеющих мобилизационные предписания. Взаимодействие с органами военного управления по вопросам оповещения и призыва по мобилизации граждан, пребывающих в запасе, имеющих мобилизационные предписания.
• Обеспечение защиты информации при осуществлении мероприятий по ведению воинского учёта и бронирования граждан, пребывающих в запасе.

Курс завершается итоговой аттестацией и ответами на возникшие в ходе обучения вопросы слушателей. Удостоверение о ПК установленного образца. В проведении занятий принимают участие сотрудники правительства Москвы и военных комиссариатов.

Раздел 1. Общие сведения о системе сертификации по РОСС  RU.0001.01БИ00 Основные документы 

• Положение о сертификации;
• Порядок оформления Заявки и получения Решения;
• Взаимодействие Заявитель – испытательная лаборатория – экспертирующая организация;
• Отбор образцов (ГОСТ, оформление);
• Сертификация производства и сертификация ограниченной партии;
• Порядок испытаний, оформление результатов;
• Экспертиза в органе по сертификации;
• Инспекционный контроль.

Раздел 2. Тенденции развития средств защиты и их сертификации 

• Общие сведения о рассматриваемых проектах сертификационных требований к другим средствам защиты.

Раздел 3. Сертификационные требования (утверждённые) 
1. Сертификационные требования к генераторам САЗ ПЭМИН:

• Общая информация;
• Основные требования к изделиям;
• Особенности сертификационных испытаний;
• Требования к оборудованию испытательной лаборатории;
• Рассмотрение отдельных измерений (испытаний), оборудования, методик и т. д.

2. Сертификационные требования к генераторам САЗ АВАК:

• Общая информация;
• Основные требования к изделиям;
• Особенности сертификационных испытаний;
• Требования к оборудованию испытательной лаборатории;
• Рассмотрение отдельных измерений (испытаний), оборудования, методик и т. д.

Раздел 4. Документальное оформление Запрос на сертификацию (в отдел сертификации и лицензирования ФСТЭК)

• Исходная документация на изделие (ТУ, ТО и ИЭ, РЭ, ПС и т. д.);
• Программа и методики испытаний;
• Протоколы испытаний;
• Техническое заключение;
• Порядок оплаты исполнителей.

Итоговая аттестация 

Полная программа для специалистов подразделений ТЗИ и лицензиатов ФСТЭК (4 пары, 8 часов)

1.Наименование НМД, область его действия, цели и задачи документа (раздел «Общие положения» и, частично, «Требования по ТЗИ»),

2.Понятие объекта информатизации (ОИ), типы ОИ (все разделы)

3.Общие требования по защите ОИ (требования к ОТСС и ВТСС, размещение, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций (все разделы).

4.Средства защиты ОИ, основные требования и принципы применения, контроль эффективности средств защиты (все разделы).

5.Этапы создания ОИ; проектирование, монтаж, наладка, эксплуатация, вывод из эксплуатации, документация (все разделы, Приложения).

6.Категорирование и классификация ОИ (объектов ЭВТ).

7.Перечень ТКУИ в отношении ОВТ.

8.Требование к составу ТС ОВТ, размещению в КЗ, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций,

9.Категорирование и классификация ОИ (ВП).

10.Требования по НСД к ОИ типа АС.

11.Перечень ТКУИ в отношении ВП. Особенности защиты

12.Требование к ВП, размещение их в КЗ, системы электропитания, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций для ОТСС и ВТСС в ВП.

13.Специальные ОИ (цифровые сети, множительная техника, телефония, средства звукоусиления и конференцсвязь, средства измерения, средства магнитозаписи, ТВ и видеосистемы).

14.Отдельные специфические требования к перечисленным типам ОИ

15.Истолкование и рекомендации по отдельным требованиям НМД (по всем разделам)

16.Оформление документов (по Приложениям).

Дополнительно:

1.     Порядок оформления допуска к государственной тайне. Организационная структура системы допуска к государственной тайне на предприятии. Функции участников системы допуска к государственной тайне.

2.     Структура и состав рекомендаций кадровым подразделениям организаций по оформлению на работу, службу, учебу (назначения на должность) граждан, подлежащих допуску к государственной тайне.

3.     Порядок ознакомления с нормами законодательства о государственной тайне, предусматривающего ответственность за его нарушение. Доведение до гражданина обязательств о соблюдении требований законодательства РФ о государственной тайне.

4.     Требования к заполнению и проверке достоверности данных в анкете гражданина, которому оформляется допуск к государственной тайне.

5.     Примерная структура проведения беседы с допускаемым к государственной тайне, с целью выявления оснований для отказа в допуске.

6.     Требования к формированию списков на оформляемого гражданина и его родственников.

7.     Механизм заключения трудового договора на должности, предусматривающие допуск к государственной тайне.

8.     Особенности оформления должностных инструкций, на должности, предусматривающие работу с государственной тайной.

9.     Порядок предоставления социальных гарантий для лиц, допущенных к государственной тайне.

10.   Особенности командирования сотрудников организации, для выполнения работ, связанных с доступом к государственной тайне.

11.    Особенности выезда за границу лиц, допущенных к сведениям, составляющим государственную тайну.

12.    Особенности оформления допуска к государственной тайне при работе по совместительству.

13.    Организация информирования кадрового органа об изменении анкетных данных сотрудников. Основания для переоформления допуска к государственной тайне.

14.    Особенности увольнения с работы по факту прекращения допуска к государственной тайне.

Дополнительно:

* комплексная система подготовки специалистов организаций, выполняющих работы с использованием сведений, составляющих государственную тайну включает в себя обучение:

— руководителей организаций (Курс МГТ «Защита государственной тайны»);

— руководителей и сотрудников структурных подразделений по защите государственной тайны (Курсы МГТ «Защита государственной тайны», М 10.0 «Секретное делопроизводство»);

— руководителей и специалистов подразделений по технической защите информации и противодействию технической разведке (Курсы ТМ 4.1 «Администрирование системы защиты информации, составляющие государственную тайну, от несанкционированного доступа», М 2.0 «Защита информации от утечки по техническим каналам», М 4.0 «Аттестация объектов информатизации.Защита от несанкционированного доступа».);

— руководителей и сотрудников кадровых органов (Курс М 10.1 «Кадровое обеспечение защиты государственной тайны в организации»)

Дополнительно:

Для обучения на данном курсе слушатель обязан представить справку о допуске к секретным сведениям (форма 8 Постановления Правительства РФ от 6 февраля 2010 г. N 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан российской федерации к государственной тайне)».

Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 96 часов очных занятий с преподавателем, а так же предполагается 46 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам использования современных средств защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средств защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс носит практическую направленность. В ходе интенсивного практикума проводится углубленное изучение современных средств защиты и контроля защищенности информации.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики,

Учебный класс Защита информации от несанкционированного доступа,

Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

• Руководители и сотрудники служб безопасности, подразделений  информационной безопасности, подразделений технической защиты информации.
• Руководители и сотрудники органов государственной власти и местного самоуправления выполняющие функции в области технической защиты информации.
• Руководители и сотрудники  организаций-лицензиатов  (соискателей лицензии) ФСТЭК России.

Программа курса согласована со ФСТЭК России и удовлетворяет последним требованиям, предъявляемым к программам повышения квалификации в области технической защиты конфиденциальной информации.

Данный курс является комплексным для руководителей и специалистов, работающих в области технической защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Программой курса предусмотрено 72 аудиторных часа обучения, и 36 часов самостоятельной работы слушателей.

В курсе изучаются основы нормативно-правового регулирования технической защиты информации ограниченного доступа, разбирается порядок аттестации объектов информатизации, разработки и организации работ по обеспечению технической защиты конфиденциальной информации. Особое внимание уделено вопросам разработки и внедрения комплекта организационно-распорядительной документации по защите информации в организации.

На практических занятиях используются современные средства защиты и контроля защищённости информации от утечки по техническим каналам в защищаемых помещениях и информационных (автоматизированных) системах, средства защиты и оценки защищенности информации от утечки за счет несанкционированного доступа.

Курс проходит в аудиториях: 

Учебный класс акустики и виброакустики, Учебный класс Защита информации от несанкционированного доступа, Учебный класс ПЭМИН.

Раздел 1. Законодательные и организационно-правовые основы защиты информации.

• Законодательно-правовые основы защиты информации в РФ.
• Цели и задачи защиты информации. Объекты защиты и защищаемые информационные ресурсы.
• Система лицензирования в области защиты информации.
• Система сертификации средств защиты информации. Классы СЗИ. Требования к СЗИ.
• Подразделения технической защиты информации, их структура и основные функции.

Раздел 2. Организация и проведение работ по защите и аттестации объектов информатизации (информационных систем).

• Угрозы безопасности информации и порядок их определения. Требования по организации комплекса мер по ЗИ на ОИ.
• Порядок защиты информации ограниченного доступа. Требования по организации СЗИ на ОИ. Особенности защиты персональных данных и защиты информации, обрабатываемой в ГИС и АСУ ТП.
• Планирование деятельности по обеспечению ТЗКИ на ОИ.
• Организация аттестации объектов информатизации и функции участников аттестации. Порядок аттестации объектов информатизации.
• Требования к эксплуатации аттестованных объектов и информационных систем.

Раздел 3. Защита конфиденциальной информации от несанкционированного доступа (НСД).

• Меры и средства по защите информации от НСД.
• Периодический контроль СЗИ от НСД.

Раздел 4. Защита конфиденциальной информации от утечки по техническим каналам.

• Общие требования по защите информации на объекте информатизации.
• Способы и средства ТЗКИ.
• Основы метрологии.

Раздел 5. Контроль состояния защищенности конфиденциальной информации.

• Основы организации контроля состояния ТЗКИ.
• Методы и средства контроля защищенности информации.
• Контроль защищенности информации от утечки по техническим каналам.
• Сертификация средств защиты информации и средств контроля защищенности информации.

В конце обучения слушатели сдают экзамен.

Дополнительно:

Раздел 1. Правовые основы обеспечения защиты информации. Государственная система защиты информации.

• Общие положения законодательной и нормативной отечественной и зарубежной правовой базы в области защиты информации. Виды защищаемой информации. Государственные регуляторы и их полномочия.
• Отечественные и зарубежные требования и стандарты в области защиты информации. СТР-К, Руководящие документы ФСТЭК России и ФСБ России, ГОСТы, PCI DSS, СТО БР ИББС.
• Структура и основные задачи подразделения по технической защите информации. Кадровое обеспечение и взаимосвязь с другими подразделениями организации.
• Общие вопросы лицензирования в области защиты информации и практические действия организации при получении лицензии по технической защите конфиденциальной информации.

Раздел 2. Технические каналы утечки информации.

• Технические каналы утечки информации (ТКУИ). Классификация. Физические принципы возникновения.
• Общие подходы по выявлению ТКУИ. Организация и проведение специальных исследований, специальных проверок и специальных обследований.
• Классификация аппаратуры выявления каналов утечки информации. Автоматизированные комплексы контроля защищенности. Поисковая аппаратура.
• Методы и средства защиты информации от утечек по техническим каналам.

Раздел 3. Аттестация объектов информатизации по требованиям безопасности.

• Общие вопросы аттестации объектов информатизации по требованиям безопасности. В том числе, когда проведение аттестации – обязательное требование, а когда носит рекомендательный характер. Состав, порядок проведения и исполнители работ по аттестации автоматизированных систем и защищаемых помещений по требованиям безопасности информации.
• Нормативно-техническая документация на аттестуемые объекты информатизации. Состав и основное содержание документов, оформляемых на объект информатизации.
• Практические рекомендации и особенности проведения работ по требованиям защиты конфиденциальной информации.

Раздел 4. Основы проведения специальных исследований

• Общий подход к проведению специальных исследований по выявлению каналов утечки информации.
• Практическое использование системы «Сигурд» для оценки защищенности информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Демонстрация канала ПЭМИН.
• Практическое использование системы «Шёпот» для оценки защищенности речевой информации по акустическому и виброакустическому каналам (АВАК). Демонстрация АВАК.
• Общий подход к проведению специальных исследований по каналу акустоэлектрических преобразований (АЭП).
• Демонстрация эффективности активных и пассивных средств защиты от утечки информации по техническим каналам. Оценка эффективности принятых мер защиты.

Раздел 5. Основы проведения мероприятий по выявлению каналов утечки информации, образованных закладочными устройствами.

• Цели и задачи обследований помещений по выявлению закладочных устройств. Организация и инженерно-техническое обеспечение работ по этому направлению.
• Классификация и принцип работы технических средств, используемых для проведения мероприятий по выявлению каналов утечки информации, образованных закладочными устройствами (ЗУ).
• Модель ЗУ и их демаскирующие признаки.
• Рекомендации по перечню технических средств для проведения поисковых мероприятий.
• Формирование и реализация программы выявления ЗУ в помещениях.
• Тактико-технические вопросы проведения поисковых мероприятий с использованием:
  • · индикаторов поля и частотомеров;
  • · универсальных приборов;
  • · автоматизированных комплексов;
  • · нелинейных локаторов.

В конце обучения слушатели сдают экзамен.

Дополнительно:

Лицензия – Деятельность по технической защите конфиденциальной информации.

Раздел 1. Организационно-правовые основы ТЗИ

• Цели и задачи ТЗИ. Объекты защиты
• Основы нормативного правового обеспечения ТЗИ

Раздел 2. Технические каналы утечки информации

• Технические каналы утечки информации, обрабатываемой техническими средствами, за счет ПЭМИН
• Технические каналы утечки акустической речевой информации
• Способы и средства защиты информационных (автоматизированных) систем от утечки по техническим каналам
• Способы и средства защиты выделенных помещений от утечки акустической речевой информации по техническим каналам

Раздел 3. Защита информации от утечки по техническим каналам

• Требования по ТЗИ от утечки по техническим каналам
• Организация работ по защите информации на объектах информатизации, обрабатывающих сведения, составляющие государственную тайну

Раздел 4. Контроль состояния ТЗИ

• Основы организации контроля состояния ТЗИ
• Методы и средства контроля защищенности информации, обрабатываемой техническими средствами, от утечки за счет ПЭМИН
• Методы и средства контроля защищенности акустической речевой информации от утечки по техническим каналам
• Аттестация объектов информатизации на соответствие требованиям по безопасности информации
• Сертификация средств защиты информации

Раздел 1. Правовые основы обеспечения защиты информации. Государственная система защиты информации.

• Общие положения законодательной и нормативной отечественной и зарубежной правовой базы в области защиты информации. Виды защищаемой информации. Государственные регуляторы и их полномочия.
• Отечественные и зарубежные требования и стандарты в области защиты информации. СТР-К, Руководящие документы ФСТЭК России и ФСБ России, ГОСТы, PCI DSS, СТО БР ИББС.
• Структура и основные задачи подразделения по технической защите информации. Кадровое обеспечение и взаимосвязь с другими подразделениями организации.
• Общие вопросы лицензирования в области защиты информации и практические действия организации при получении лицензии по технической защите конфиденциальной информации.

Раздел 2. Технические каналы утечки информации.

• Технические каналы утечки информации (ТКУИ). Классификация. Физические принципы возникновения.
• Общие подходы по выявлению ТКУИ. Организация и проведение специальных исследований, специальных проверок и специальных обследований.
• Классификация аппаратуры выявления каналов утечки информации. Автоматизированные комплексы контроля защищенности. Поисковая аппаратура.
• Методы и средства защиты информации от утечек по техническим каналам.

Раздел 3. Аттестация объектов информатизации по требованиям безопасности.

• Общие вопросы аттестации объектов информатизации по требованиям безопасности. В том числе, когда проведение аттестации – обязательное требование, а когда носит рекомендательный характер. Состав, порядок проведения и исполнители работ по аттестации автоматизированных систем и защищаемых помещений по требованиям безопасности информации.
• Нормативно-техническая документация на аттестуемые объекты информатизации. Состав и основное содержание документов, оформляемых на объект информатизации.
• Практические рекомендации и особенности проведения работ по требованиям защиты конфиденциальной информации.

Раздел 4. Защита информации от несанкционированного доступа. Организация и проведение контроля защищённости автоматизированных систем.

• Актуальные угрозы безопасности информации при ее обработке в автоматизированных системах. Локальные и сетевые компьютерные атаки.
• Обзор средств защиты компьютерных сетей. Межсетевые экраны, системы обнаружения вторжений, сети-ловушки (honeypot).
• Средства защиты от несанкционированного доступа (НСД). Аппаратные модули доверенной загрузки и системы разграничения доступа.
• Защита от вредоносных программ и программно-математических воздействий (ПМВ);
• Инструментальный контроль системы защиты от НСД. Сканеры безопасности.
• Практика применения средств защиты информации от НСД и систем контроля защищенности.

Раздел 5. Средства оценки защищенности информации от утечки по техническим каналам.

• Общий подход к проведению специальных исследований по выявлению каналов утечки информации.
• Практическое использование системы «Сигурд» для оценки защищенности информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Демонстрация канала ПЭМИН.
• Практическое использование системы «Шёпот» для оценки защищенности речевой информации по акустическому и виброакустическому каналам (АВАК). Демонстрация АВАК.
• Общий подход к проведению специальных исследований по каналу акустоэлектрических преобразований (АЭП).
• Демонстрация эффективности активных и пассивных средств защиты от утечки информации по техническим каналам. Оценка эффективности принятых мер защиты.

Раздел 6. Защита персональных данных.

• Общие положения законодательной и нормативно-правовой базы Российской Федерации в области защиты персональных данных. Основные понятия, термины и определения. ФЗ «О персональных данных» от 27 июля 2006 г. №152-ФЗ,
• Порядок определения уровня защищенности персональных данных (Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01 ноября 2012 г. №1119).
• Общий порядок построения системы защиты персональных данных. Особенности защиты ПДн при их неавтоматизированной обработке.
• Ответственность за нарушения законодательства в области защиты персональных данных и другие нарушения, связанные с защитой информации.
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Методика определения актуальных угроз безопасности персональных данных.
• Разработка частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Меры по организационно-технической защите персональных данных и порядок их выбора. Выбор средств защиты информации.

В конце обучения слушатели сдают экзамен. 

Дополнительно:

Раздел 1. Нормативно-правовое обеспечение деятельности в области защиты информации.

• Государственная система защиты информации. Вопросы лицензирования и сертификации ФСТЭК России. Особенности лицензирования и сертификации ФСБ России.
• Законодательство РФ о защите информации, составляющей государственную тайну и конфиденциальную информацию. Государственные стандарты и нормативные документы в области защиты информации.
• Законодательная база сертификации и лицензирования. Правовые акты применения специальных технических средств.

Раздел 2. Аттестация выделенных помещений на соответствие требованиям по безопасности информации.

• Акустические измерения. Основные положения.
• Технические каналы утечки речевой информации, образованные в выделенном помещении (акустический, виброакустический, акустоэлектрический).
• Методики проведения измерений в акустическом, виброакустическом и акустоэлектрическом каналах утечки речевой конфиденциальной информации и информации, содержащей государственную тайну. Критерии оценки защищенности, нормы и документы их определяющие.
• Средства измерений в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Отработка навыков проведения измерений в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования с использованием аппаратуры «Шепот», «Тритон», «Талис-НЧ».
• Отработка навыков проведения расчетов по оценке защищенности речевой информации в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Методы и средства защиты речевой информации от утечки в акустических и виброакустических каналах и в каналах акустоэлектрического преобразования.
• Отработка навыков настройки системы активной защиты акустической речевой информации и оценка ее эффективности.
• Отработка навыков подготовки документов по результатам измерений.

Раздел 3. Аттестация автоматизированных систем на соответствие требованиям по безопасности информации.

• Аттестационные испытания и организация защиты информации. Порядок и условия проведения аттестационных испытаний объектов информатизации.
• Технические каналы утечки информации, возникающие при работе средств вычислительной техники за счет побочных электромагнитных излучений и наводок (ПЭМИН).
• Методы и средства защиты информации от утечки по техническим каналам. Меры и средства защиты информации от утечки за счет ПЭМИН средств вычислительной техники.
• Структура и основные положения руководящих документов ФСТЭК России. Состав, порядок проведения и исполнители работ по защите объектов вычислительной техники (включая их аттестацию по требованиям безопасности информации). Документы, оформляемые по итогам каждого из этапов защиты объектов информатизации.
• Инструментальная оценка эффективности защиты средств вычислительной техники от утечки информации за счет ПЭМИН (специальные исследования средств вычислительной техники). Критерии защищенности средств вычислительной техники, принципы и методы их специальных исследований.
• Приборы, оборудование и тестовые программы для специальных исследований.
• Измерения информативных сигналов, излучаемых средствами вычислительной техники. Расчеты радиусов зон возможного перехвата информации. Особенности метода «реальных зон», анализ объекта.
• Инструментальный контроль (аттестационный и периодический) защищенности информации, обрабатываемой средствами вычислительной техники, а также циркулирующей в вычислительных сетях, с учетом используемых средств защиты (генераторов шумовых сигналов и пр.) на основе действующих нормативно методических документов.
• Анализ системы защиты от несанкционированного доступа, реализованной на объекте информатизации. Классификация видов несанкционированного доступа к информации, обрабатываемой техническими средствами объектов информатизации. Основные способы защиты информации от несанкционированного доступа. Особенности их реализации на различных типах аттестуемых объектов информатизации. Типовая структура и состав системы защиты информации от несанкционированного доступа. Способы и механизмы защиты, реализуемые с использованием таких систем.
• Методика аттестационных испытаний системы защиты от несанкционированного доступа, реализованной на объекте информатизации. Методическое обеспечение и инструментальные средства, применяемые для аттестационных испытаний. Аттестационные испытания подсистемы управления доступом. Аттестационные испытания подсистемы регистрации и учета. Аттестационные испытания подсистемы обеспечения целостности. Особенности аттестационных испытаний подсистемы управления доступом на уровне межсетевых взаимодействий. Особенности проверки защищенности телекоммуникационного оборудования. Особенности проверки механизмов защиты при использовании виртуальных частных сетей.
• Анализ уязвимостей. Инструментальные средства для проведения аттестационных испытаний.
• Пакет итоговых документов, оформляемый по результатам аттестационных испытаний объектов информатизации.

В конце обучения слушатели сдают экзамен. 

Дополнительно:

Лицензия – Осуществление мероприятий и (или) оказанием услуг по защите государственной тайны.

Раздел 1. Структура правовых и нормативных документов по защите информации в Российской Федерации. 

• Нормативно-правовые акты в сфере защиты информации, их структура и основные положения. Категории информации ограниченного доступа. Государственные информационные системы (ГИС). Порядок отнесения информационных систем к категории ГИС.
• Структура нормативно-методических документов ФСТЭК и ФСБ. Классы средств защиты информации. Понятие сертификации СЗИ. Аттестация объектов информатизации: общий порядок и документы.

• структурная модель и общая характеристика основных видов электронных ЗУ;
• организация работ по обследованию помещений;
• основные этапы проведения поисковых мероприятий и их особенности;
• проведение поисковых мероприятий в учебных классах «Радиомониторинга», «Проводной локации» и «Нелинейной локации»:
• с использованием технических средств радиомониторинга по выявлению радиоизлучающих ЗУ и ЗУ, использующих для передачи информации ИК-канал;
• с использованием средств контроля проводных коммуникаций по выявлению ЗУ, использующих для передачи информации проводные коммуникации;
• с использованием нелинейного локатора по выявлению ЗУ, в составе которых есть элементы, обладающие нелинейной вольтамперной характеристикой;
• выявление посторонних внедрений во внутренние структуры ограждающих конструкций и предметов интерьера помещений, указывающих на наличие ЗУ;
• особенности выявления металлических включений, указывающих на наличие ЗУ;
• визуально-оптический контроль с использованием средств визуального контроля.
• Анализ выявленных по результатам поиска демаскирующих признаков ЗУ.
• Рекомендации по подготовке отчетных документов, оформляемых по результатам проведения поисковых мероприятий.
• Рекомендации по техническому оснащению поисковой аппаратурой.