Программа государственного междисциплинарного

ИНФОРМАЦИОННА БЕЗОПАСНОСТЬ
Программа государственного междисциплинарного квалификационного
экзамена для магистров
по направлению 090900 «Информационная безопасность»
Методические указания по подготовке и проведению государственного
междисциплинарного квалификационного экзамена для магистров по направлению
090900 «Информационная безопасность»
Москва 2014
Содержание
Цели государственного экзамена …………………………………..…… 3
Требования к уровню подготовки магистра ... ……..………………… 4
Методические указания по подготовке к экзамену и форма экзамена … 6
Критерии оценки знаний ………………………………………………..… .7
Содержание программы государственного междисциплинарного
экзамена ……………………………………………………………………. 8
5.1. Раздел 1. Защищенные информационные системы …………..……. 8
5.2. Раздел 2. Технологии обеспечения информационной
безопасности объектов ………………………………………………. 10
5.3. Раздел 3. Управление информационной безопасностью ……… …. .12
6. Вопросы для подготовки к экзамену ………………………………..…… 15
1.
2.
3.
4.
5.
2
1. ЦЕЛИ ГОСУДАРСТВЕННОГО ЭКЗАМЕНА
Государственный междисциплинарный квалификационный экзамен для
магистров по направлению 090900 «Информационная безопасность» проводится с
целью оценки уровня усвоения профессиональных компетенций, полученных за
период обучения, в области зашиты информации.
Программа экзамена состоит из трех разделов:
1. Защищенные информационные системы (ПК-1–4, ПК-7).
2. Технологии обеспечения информационной безопасности объектов (ПК-3–5, ПК8, ПК-9).
3. Управление информационной безопасностью (ПК-2, ПК-4, ПК-5, ПК-14, ПК-16).
Данные темы являются определяющими для магистров в области защиты объектов
информатизации для освоения профессиональных компетенций.
3
2. ТРЕБОВАНИЯ К УРОВНЮ ПОДГОТОВКИ МАГИСТРА
Магистр в области защиты информации должен уметь решать задачи,
соответствующие его квалификации по направлению 090900 «Информационная
безопасность».
Магистр
по
защите
информации
должен
обладать
следующими
профессиональными компетенциями:











ПК-1 - cпособностью понимать и анализировать направления развития
информационно-коммуникационных
технологий
объекта
защиты,
прогнозировать эффективность функционирования систем информационной
безопасности, оценивать затраты и риски, формировать стратегию создания
систем информационной безопасности в соответствии со стратегией развития
организации;
ПК-2 - способностью проектировать сложные системы и комплексы управления
информационной безопасностью с учетом особенностей объектов защиты;
ПК-3 - способностью произвести и детально обосновать выбор структуры,
принципов организации, комплекса средств и технологий обеспечения
информационной безопасности объектов защиты;
ПК-4 - способностью самостоятельно осваивать и адаптировать к защищаемым
объектам современные методы обеспечения информационной безопасности,
вновь вводимые отечественные и международные стандарты;
ПК-5 - способностью разработать программы и методики испытаний,
организовать
тестирование
и
отладку
программно-аппаратных,
криптографических и технических систем и средств обеспечения
информационной безопасности;
ПК-6 - способен анализировать фундаментальные и прикладные проблемы
информационной безопасности в условиях становления современного
информационного общества;
ПК-7 - способен анализировать угрозы информационной безопасности объектов
и разрабатывать методы противодействия им;
ПК-8 - способен осуществлять сбор, обработку, анализ и систематизацию
научно-технической информации по теме исследования, выбор методик и
средств решения задачи, разрабатывать планы и программы проведения научных
исследований и технических разработок;
ПК-9 - способен проводить экспериментальные исследования защищенности
объектов с применением современных математических методов, технических и
программных средств обработки результатов эксперимента;
ПК-10 - способен оформлять научно-технические отчеты, обзоры, готовить
публикации по результатам выполненных исследований, научные доклады;
ПК-13 - способен организовать работу коллектива исполнителей, принимать
управленческие решения в условиях спектра мнений, определять порядок
выполнения работ;
4



ПК-14 - способен организовать работу по совершенствованию, модернизации,
унификации систем, средств и технологий обеспечения информационной
безопасности в соответствии с правовыми нормативными актами и
нормативными методическими документами ФСБ России, ФСТЭК России;
ПК-15 - способен разрабатывать проекты методических и нормативных
документов, технической документации, а также предложения и мероприятия по
реализации разработанных проектов и программ;
ПК-16 - способен организовать и выполнить работы по осуществлению при
изготовлении, монтаже, наладке, испытаниях и сдаче в эксплуатацию систем и
средств обеспечения информационной безопасности.
5
3. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ПОДГОТОВКЕ К ЭКЗАМЕНУ
И ФОРМА ЭКЗАМЕНА
Подготовка к государственному экзамену осуществляется в строгом
соответствии с целевой установкой и в тесной взаимосвязи с потребностями области
применения. Основу теоретической подготовки студентов составляет освоение
лекционного и практического материала по базовым дисциплинам, дополненной
изучением соответствующих разделов рекомендуемой учебной литературы.
Проведенные практические и лабораторные занятия в компьютерных классах и
специализированных лабораториях по защите информации позволяют закрепить
знания, полученные студентами на лекциях и в процессе самостоятельной работы.
Особое внимание обращается на развитие умений и навыков установления связи
положений теории с профессиональной деятельности будущего бакалавра.
Для проверки уровня освоения учебного материала студенты имеют
возможность воспользоваться контрольными вопросами по каждому разделу данной
программы.
Государственный экзамен проводится в письменном виде. В состав
экзаменационного задания могут быть включены задачи, охватывающие содержание
всех тем основополагающих дисциплин.
6
4. КРИТЕРИИ ОЦЕНКИ ЗНАНИЙ
Знания, проявленные выпускником на государственном экзамене, оцениваются
по четырехбалльной системе.
Оценка «отлично» выставляется студентам, успешно сдавшим экзамен и
показавшим глубокое знание теоретической части курса, умение проиллюстрировать
изложение практическими примерами, полно и подробно ответившим на вопросы
билета и вопросы членов экзаменационной комиссии.
Оценка «хорошо» выставляется студентам, сдавшим экзамен с незначительными
замечаниями, показавшим глубокое знание теоретических вопросов, умение
проиллюстрировать изложение практическими примерами, полностью ответившим на
вопросы билета и вопросы членов экзаменационной комиссии, но допустившим при
ответах незначительные ошибки, указывающие на наличие не систематичности в
знаниях.
Оценка «удовлетворительно» выставляется студентам, сдавшим экзамен со
значительными замечаниями, показавшим знание основных положений теории при
наличии существенных пробелов в деталях, испытывающим затруднения при
практическом применении теории, допустившим существенные ошибки при ответе на
вопросы билетов и вопросы членов экзаменационной комиссии.
Оценка «неудовлетворительно» выставляется, если студент показал
существенные пробелы в знаниях основных положений теории, не умеет применять
теоретические знания на практике, не ответил на вопросы билета или членов
экзаменационной комиссии.
7
5. СОДЕРЖАНИЕ ПРОГРАММЫ ГОСУДАРСТВЕННОГО
МЕЖДИСЦИПЛИНАРНОГО ЭКЗАМЕНА
5.1. Раздел 1. Защищенные информационные системы
1.1.
Механизмы защиты операционной системы
Угрозы безопасности операционной системы. Понятие защищенной операционной
системы. Подходы к организации защиты. Структура системы обеспечения
информационной безопасности. Принципы организации технического, программного и
информационного обеспечения. Этапы построения защиты. Субъекты, объекты, методы и
права доступа, привилегии субъекта доступа. Дискреционное управление доступом.
Изолированная программная среда. Мандатное управление доступом. Контроль
информационных потоков. Идентификация, аутентификация и авторизация.
Аутентификация на основе паролей. Парольная аутентификация в операционных
системах семейства Windows и UNIX. Аутентификация на основе внешних носителей
ключа. Биометрическая аутентификация: общая схема, преимущества, проблемы.
Управление доступом в операционных системах семейства Windows и UNIX. Аудит.
Требования к подсистеме аудита. Необходимость аудита в защищенной системе.
Реализация аудита в операционных системах семейства Windows и UNIX.
1.2.
Интеграция защищенных операционных систем
Домены Windows. Преимущества доменной архитектуры локальной сети. Понятие
домена, контроллер домена. Сквозная аутентификация. Централизованное управление
политикой безопасности в домене. Идентификация компьютеров в сети. Двусторонние
транзитивные отношения доверия. Групповая политика. Делегирование полномочий.
1.3.
Типовые угрозы сетевой безопасности
Сетевые атаки. Стадии проведения сетевой атаки. Классификации сетевых угроз,
уязвимостей и атак. Примеры типичных сетевых атак. Механизмы реализации атак в
сетях TCP/IP. Удаленное определение версии ОС. Методы сканирования портов. Методы
обнаружения пакетных сниферов. Методы перехвата сетевых соединений в сетях TCP/IP.
Десинхронизация TCP-соединений. Атаки, направленные на маршрутизаторы.
Несанкционированный обмен данными. Технические меры защиты от сетевых атак.
1.4.
Методы и средства обеспечения информационной безопасности в вычислительных
сетях
Виртуальные частные сети (VPN). Организация туннелирования на различных
уровнях модели ISO/OSI. Достоинства и недостатки применения VPN. Протокол IPSEC.
Использование протокола PPTP для организации виртуальных частных сетей.
Криптографические протоколы аутентификации. Разработка защищенных сетевых
8
приложений. Средства защиты локальных сетей при подключении к Интернет.
Межсетевые экраны (МЭ). Основные возможности и схемы развертывания МЭ.
Построение правил фильтрации. Методы сетевой трансляции адресов (NAT). Методы
обхода межсетевых экранов. Системы обнаружения вторжений (СОВ). Средства
обнаружения уязвимостей сетевых служб. Способы противодействия вторжениям.
Системы виртуальных ловушек (Honey Pot и Padded Cell).
1.5.
Теоретические основы безопасности в СУБД
Понятие безопасности БД. Угрозы безопасности БД. Целостность БД. Аудит.
Средства обеспечения защиты информации в СУБД и многоуровневая защита. Политика
безопасности в СУБД. Модели безопасности в СУБД.
1.6.
Механизмы обеспечения конфиденциальности, целостности и высокой готовности
СУБД
Угрозы
конфиденциальности
СУБД.
Основные
методы
нарушения
конфиденциальности. Способы противодействия. Методы аутентификации пользователей
СУБД. Их преимущества и недостатки. Средства управления доступом. Использование
ролей и привилегий пользователей. Аудит и подотчетность. Криптографические методы
защиты баз данных. Угрозы целостности СУБД. Основные виды и причины
возникновения угроз целостности. Способы противодействия. Понятие транзакции.
Блокировки. Ссылочная целостность. Правила (триггеры). Средства, поддерживающие
высокую готовность. Аппаратная и программная поддержки. Сохранение и
восстановление БД. Мониторинг серверов СУБД. Аппаратная избыточность и
избыточность данных.
Основная литература
1. Информационные системы и технологии управления :учеб. для вузов. / Титоренко
Г.А., Коноплева И.А., Одинцов Б.Е. и др.; под ред. Г.А. Титоренко - M.: ЮНИТИДАНА, 2010 Гриф МО
2. Голицына О.Л. Информационные системы :учеб. пособие для вузов. / Максимов
Н.В., Попов И.И. - M.: ФОРУМ: ИНФРА-М, 2009 Гриф УМО
9
5.2. Раздел 2. Технологии обеспечения информационной безопасности объектов
2.1.
Основные понятия и содержание политики безопасности
Основные понятия и содержание политики безопасности. Уровни системной
организации политики безопасности. Требования к формированию политики
безопасности объекта информатизации.
2.2.
Нормативные документы по обеспечению информационной безопасности
объекта
Типовые требования и нормативные документы по обеспечению информационной
безопасности объекта. Классификация конфиденциальной информации. Порядок
определения степени конфиденциальности информации
2.3.
Модели угроз безопасности информации
Общие принципы формирования модели угроз безопасности информации.
Классификация угроз информационной безопасности объекта информатизации.
2.4.
Анализ угроз безопасности информации
Выявление и анализ угроз безопасности информации на объекте. Формирование и
анализ модели нарушителя. Обоснование требуемого класса защищённости локальной
вычислительной сети объекта.
2.5.
Концепция обеспечения безопасности объекта информатизации
Классификация методов и средств защиты информации. Технологическая
концепция обеспечения безопасности объекта информатизации. Предотвращение,
парирование и нейтрализация угроз информационной безопасности.
2.6.
Методы защиты объекта от угроз безопасности информации
Методы и средства технологий защиты объекта от угроз безопасности информации:
организационные и правовые; физической защиты и разграничения доступа;
предотвращения угроз несанкционированного изменения структуры компьютерной
сети; предотвращения шпионажа и диверсий; защиты информации в компьютерной
сети от несанкционированного доступа; предотвращения случайных угроз;
криптографической защиты информации; защиты технических каналов утечки
10
информации; обеспечения безопасности хранения и обработки информации в
автоматизированных системах; борьбы с компьютерными вирусами.
2.7.
Работы и мероприятия для организации комплексной защиты информации
Перечень и содержание работ и мероприятий для организации комплексной защиты
информации
Основная литература
1. Ярочкин В.И.
Академический
Информационная
проект,
безопасность
2005
:учеб.
для вузов.
Гриф
-
М.:
МО
Дополнительная литература
1. В.П. Мельников Обеспечение информационной безопасности деятельности
учебного заведения. / В.А. Шевцов, В.П. Мельников, А.И. Куприянов, А.М.
Петраков М.: Вузовская книга, 2012
2. П.П.
Мельников
Обеспечение
информационной
безопасности
машиностроительных предприятий. Учебник для вузов. М.: Сатурн-С, 2006
11
5.3.
Раздел 3. Управление информационной безопасностью
3.1.
Базовые вопросы управления ИБ
Сущность и функции управления. Наука управления. Принципы, подходы и виды
управления. Цели и задачи управления ИБ. Понятие системы управления.
3.2.
Стандартизация в области управления ИБ
Стандартизация в области построения систем управления. История развития.
Существующие стандарты и методологии по управлению ИБ: их отличия, сильные и
слабые стороны (на примере семейства стандартов ISO/IEC 2700x, СТО БР ИББС-1.0,
ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 27001, ISO/IEC 18044, BS 25999 и др.).
3.3.
Системы управления ИБ. Процессный подход
Понятие процесса. Методы формализации процессов. Цели и задачи формализации
процессов. Понятие процессного подхода. Процессный подход к разработке,
реализации, эксплуатации, анализу, сопровождению и совершенствованию систем
управления (на примере СУИБ). Понятие СУИБ. Место СУИБ в рамках общей
системы управления предприятием. Основные процессы СУИБ и требования,
предъявляемые к ним каждым из стандартов.
3.4.
Область деятельности СУИБ
Понятие области деятельности СУИБ. Механизм выбора области деятельности.
Состав области деятельности (процессы, структурные подразделения организации,
кадры). Описание области деятельности (структура и содержание документа).
3.5.
Ролевая структура СУИБ
Понятие роли. Использование ролевого принципа в рамках СУИБ. Преимущества
использования ролевого принципа. Ролевая структура СУИБ (основные и
дополнительные роли). Роль высшего руководства организации в СУИБ. Этапы
разработки и функционирования СУИБ, на которых важно участие руководства
организации. Суть участия руководства организации на этих этапах (утверждение
документов, результатов анализа рисков и т.д.).
3.6.
Политика СУИБ
Понятие Политики СУИБ. Цели Политики СУИБ. Структура и содержание
Политики СУИБ. Источники информации для разработки Политики СУИБ.
12
3.7.
Управление рисками ИБ
Основные определения и положения управление рисками ИБ. Цель процесса
анализа рисков ИБ. Этапы и участники процесса анализа рисков ИБ.
3.8.
Анализ рисков ИБ
Методики анализа рисков ИБ. Инвентаризация активов. Понятие актива. Типы
активов. Источники информации об активах организации. Типы угроз ИБ и уязвимостей
для выделенных на этапе инвентаризации активов. Оценка рисков ИБ. Планирование мер
по обработке выявленных рисков ИБ. Утверждение результатов анализа рисков ИБ у
высшего руководства. Использование результатов анализа рисков ИБ.
3.9.
Основные процессы СУИБ. Обязательная документация СУИБ
Процессы "Управление документами" и "Управление записями" (цели и задачи
процессов, входные/выходные данные, роли участников, обязательные этапы процессов,
связи с другими процессами СУИБ). Процессы улучшения СУИБ ("Внутренний аудит",
"Корректирующие действия", "Предупреждающие действия"). Процесс "Мониторинг
эффективности" (включая разработку метрик эффективности). Понятие "Зрелость
процесса". Процесс "Анализ со стороны высшего руководства". Процесс "Обучение и
обеспечение осведомленности".
3.10. Внедрение разработанных процессов. Документ "Положение о применимости"
Этапы внедрения процессов и их последовательность. Обучение сотрудников, как
один из этапов внедрения. Сложности, возникающие при внедрении процессов
управления ИБ, и способы их решения. Контроль над внедрением процессов.
Документирование процесса внедрения разработанных процессов. Типовой документ
"Положение о применимости". Цель документа. Структура и содержание документа.
Процесс разработки документа, решение спорных ситуаций при разработке документа.
3.11. Внедрение мер (контрольных процедур) по обеспечению ИБ
Категории контрольных процедур. Перечень контрольных процедур по обеспечению
ИБ в соответствии с лучшими международными практиками. Содержание контрольных
процедур по обеспечению ИБ в интерпретации лучших практик.
3.12. Процесс "Управление инцидентами ИБ"
Цели и задачи процесса "Управления инцидентами ИБ, важность процесса с точки
зрения управления ИБ Входные/выходные данные процесса. Участники процесса.
Обязательные этапы процесса. Связи с другими процессами СУИБ.
3.13. Эксплуатация и независимый аудит СУИБ
Ввод системы в эксплуатацию. Возможные проблемы и способы их решения.
Внешние аудиты ИБ на соответствие требованиям нормативных документов. Этапы
13
проведения аудита ИБ. Результаты аудита ИБ и их интерпретация. Сертификация по
ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001. Законодательство, затрагивающее аспекты
и механизмы обеспечения безопасности в рамках СУИБ (авторское право, защита
персональных данных и т.д.). Разработка процессов или дополнение существующих
процессов управления ИБ с целью удовлетворения этим требованиям (необходимые
документы, процессы, в которых данные требования могут быть выполнены).
Основная литература
1. Ярочкин В.И. Информационная безопасность :учеб. для вузов. - М.:
Академический проект, 2005 Гриф МО
14
6. ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЭКЗАМЕНУ
Раздел 1. Защищенные информационные системы
1. Классификация и основы построения ЗИС
2. Методология задания требований и проектирования ЗИС
3. Методика выявления угроз безопасности информации в информационных
системах, каналов и методов их реализации
4. Методика создания, внедрения и эксплуатации ЗИС
5. Методика оценки эффективности функционирования и аттестации ЗИС
6. Основы организации разработки защищенных АИС
7. Общие принципы проектирования защищенных АИС
8. Основы эксплуатации защищенных АИС
9. Диагностика программных средств АИС
10. Диагностика аппаратных средств АИС
11. Угрозы безопасности операционной системы.
12. Аудит. Требования к подсистеме аудита. Необходимость аудита в защищенной
системе. Реализация аудита в операционных системах семейства Windows и UNIX.
13. Структура системы обеспечения информационной безопасности.
14. Принципы организации технического, программного и информационного
обеспечения.
15. Этапы построения защиты.
16. Субъекты, объекты, методы и права доступа, привилегии субъекта доступа.
17. Дискреционное управление доступом.
18. Изолированная программная среда.
19. Мандатное управление доступом.
20. Контроль информационных потоков.
21. Идентификация, аутентификация и авторизация.
22. Аутентификация на основе паролей.
23. Парольная аутентификация в операционных системах семейства Windows и UNIX.
24. Аутентификация на основе внешних носителей ключа.
25. Биометрическая аутентификация: общая схема, преимущества, проблемы.
26. Управление доступом в операционных системах семейства Windows и UNIX.
27. Централизованное управление политикой безопасности в домене.
28. Идентификация компьютеров в сети.
29. Двусторонние транзитивные отношения доверия.
30. Групповая политика. Делегирование полномочий.
31. Сетевые атаки. Стадии проведения сетевой атаки. Технические меры защиты от
сетевых атак.
32. Классификации сетевых угроз, уязвимостей и атак.
33. Механизмы реализации атак в сетях TCP/IP.
34. Удаленное определение версии ОС.
35. Методы сканирования портов.
36. Методы обнаружения пакетных сниферов.
37. Методы перехвата сетевых соединений в сетях TCP/IP.
15
38. Десинхронизация TCP-соединений.
39. Атаки, направленные на маршрутизаторы.
40. Несанкционированный обмен данными.
41. Примеры типичных сетевых атак.
42. Виртуальные частные сети (VPN).
43. Протокол IPSEC.
44. Использование протокола PPTP для организации виртуальных частных сетей.
45. Криптографические протоколы аутентификации.
46. Организация туннелирования на различных уровнях модели ISO/OSI.
47. Средства защиты локальных сетей при подключении к Интернет.
48. Межсетевые экраны (МЭ).
49. Основные возможности и схемы развертывания МЭ.
50. Построение правил фильтрации.
51. Методы сетевой трансляции адресов (NAT).
52. Методы обхода межсетевых экранов.
53. Системы обнаружения вторжений (СОВ).
54. Средства обнаружения уязвимостей сетевых служб.
55. Способы противодействия вторжениям.
56. Системы виртуальных ловушек (Honey Pot и Padded Cell).
Раздел 2. Технологии обеспечения информационной безопасности объектов
Основные понятия и содержание политики безопасности.
Уровни системной организации политики безопасности.
Требования к формированию политики безопасности объекта информатизации.
Типовые требования и нормативные документы по обеспечению информационной
безопасности объекта.
5. Общине принципы формирования модели угроз безопасности информации.
6. Классификация угроз информационной безопасности объекта информатизации.
7. Выявление и анализ угроз безопасности информации на объекте.
8. Формирование и анализ модели нарушителя.
9. Обоснование требуемого класса защищённости локальной вычислительной сети
объекта.
10. Классификация методов и средств защиты информации.
11. Технологическая концепция обеспечения безопасности объекта информатизации.
12. Предотвращение, парирование и нейтрализация угроз информационной
безопасности.
13. Методы и средства технологий защиты объекта от угроз безопасности информации.
14. Организационные и правовые методы.
15. Методы физической защиты и разграничения доступа.
16. Методы предотвращения угроз несанкционированного изменения структуры
компьютерной сети.
17. Методы защиты информации в компьютерной сети от несанкционированного
доступа.
18. Методы предотвращения случайных угроз.
1.
2.
3.
4.
16
19. Криптографическая защита информации.
20. Защита технических каналов утечки информации.
21. Методы обеспечения безопасности хранения и обработки информации в
автоматизированных системах.
22. Методы борьбы с компьютерными вирусами.
23. Требования к формированию политики безопасности объекта информатизации.
24. Формирование и анализ модели нарушителя.
25. Основные понятия и содержание политики безопасности.
26. Классификация конфиденциальной информации.
27. Общине принципы формирования модели угроз безопасности информации.
28. Выявление и анализ угроз безопасности информации на объекте.
29. Уровни системной организации политики безопасности.
30. Типовые требования и нормативные документы по обеспечению информационной
безопасности объекта.
31. Порядок определения степени конфиденциальности информации
32. Классификация угроз информационной безопасности объекта информатизации.
33. Обоснование требуемого класса защищённости локальной вычислительной сети
объекта.
34. Технологическая концепция обеспечения безопасности объекта информатизации.
35. Методы и средства технологий защиты объекта от угроз безопасности информации.
36. Методы физической защиты и разграничения доступа.
37. Методы предотвращения шпионажа и диверсии.
38. Классификация методов и средств защиты информации.
39. Предотвращение, парирование и нейтрализация угроз информационной
безопасности.
40. Организационные и правовые методы.
41. Методы предотвращения угроз несанкционированного изменения структуры
компьютерной сети.
42. Методы защиты информации в компьютерной сети от несанкционированного
доступа.
43. Методы борьбы с компьютерными вирусами.
44. Методы обеспечения безопасности хранения и обработки информации в
автоматизированных системах.
45. Защита технических каналов утечки информации.
46. Криптографическая защита информации.
47. Методы предотвращения случайных угроз.
Раздел 3. Управление информационной безопасностью
1. Цели и задачи формализации процессов. Понятие процессного подхода.
2. Процессный подход к разработке, реализации, эксплуатации, анализу,
сопровождению и совершенствованию систем управления (на примере СУИБ).
3. Методы формализации процессов.
17
4. Понятие СУИБ. Место СУИБ в рамках общей системы управления предприятием.
5. Основные процессы СУИБ и требования, предъявляемые к ним каждым из
стандартов.
6. Понятие области деятельности СУИБ. Механизм выбора области деятельности.
7. Состав области деятельности (процессы, структурные подразделения организации,
кадры).
8. Описание области деятельности (структура и содержание документа).
9. Понятие роли.
10. Преимущества использования ролевого принципа.
11. Использование ролевого принципа в рамках СУИБ.
12. Ролевая структура СУИБ (основные и дополнительные роли).
13. Роль высшего руководства организации в СУИБ.
14. Этапы разработки и функционирования СУИБ, на которых важно участие
руководства организации.
15. Суть участия руководства организации на этих этапах (утверждение документов,
результатов анализа рисков и т.д.).
16. Понятие Политики СУИБ.
17. Цели Политики СУИБ.
18. Структура и содержание Политики СУИБ.
19. Источники информации для разработки Политики СУИБ.
20. Основные определения и положения управление рисками ИБ.
21. Цель процесса анализа рисков ИБ.
22. Этапы и участники процесса анализа рисков ИБ.
23. Методики анализа рисков ИБ.
24. Инвентаризация активов.
25. Понятие актива. Типы активов.
26. Источники информации об активах организации.
27. Типы угроз ИБ и уязвимостей для выделенных на этапе инвентаризации активов.
28. Оценка рисков ИБ.
29. Планирование мер по обработке выявленных рисков ИБ.
30. Процесс "Управление документами" Процесс "Анализ со стороны высшего
руководства". Процесс "Обучение и обеспечение осведомленности".
31. Процесс "Управление записями"
32. Процесс "Внутренний аудит"
33. Процесс "Корректирующие действия"
34. Процесс "Предупреждающие действия"
35. Процесс "Мониторинг эффективности"
36. Понятие "Зрелость процесса".
37. Этапы внедрения процессов и их последовательность.
38. Типовой документ "Положение о применимости". Цель документа. Структура и
содержание документа.
39. Процесс разработки документа, решение спорных ситуаций при разработке
документа.
40. Ввод системы в эксплуатацию. Возможные проблемы и способы их решения.
41. Внешние аудиты ИБ на соответствие требованиям нормативных документов.
42. Этапы проведения аудита ИБ. Результаты аудита ИБ и их интерпретация.
43. Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001.
18
44. Законодательство, затрагивающее аспекты и механизмы обеспечения безопасности
в рамках СУИБ (авторское право, защита персональных данных и т.д.).
45. Разработка процессов или дополнение существующих процессов управления ИБ с
целью удовлетворения этим требованиям (необходимые документы, процессы, в
которых данные требования могут быть выполнены).
19