Месяц и число | Краткое содержание выполненных работ | Подпись руководителя |
27.06 | Ознакомился со следующими стандартизированными понятиями: защищаемая И, защита информации, ЗИ от утечки, ЗИ от несанкционированного воздействия, ЗИ НСД, ЗИ от разглашения, организация ЗИ, мероприятия по ЗИ и т.д. Были выделены 3 основных этапа развития правового регулирования информационной сферы РФ. 1 этап (1992-1995) –постановка задачи формирования правовой политики государства в общем, без конкретизации по определенным направлениям. 2 этап (1995-2000) – формирование правовой ЗИ, принятие «Доктрины ИБ РФ». 3 этап (с 2000 г.) – федеральные целевые программы по данному направлению. Изучено состояние правового регулирования информационной сферы за рубежом – «Хартия глобальной информатизации общества». | |
28.06 | Изучены статьи ФЗ «Об информации, информационных технологиях и защите информации», который регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении инф.технологий и обеспечении ЗИ. | |
29.06 | Разобраны статьи ФЗ «О персональных данных», регламентирующие обработку ПДн. Усвоены основные понятия: оператор, обработка ПДн, распространение ПДн, обезличивание ПДн и т.д. | |
30.07 | Изучен ФЗ «О коммерческой тайне».- понятие «коммерческая тайна», перечень сведений, относящийся к КТ, права обладателя И, составляющей КТ. При этом режим конфиденциальности предусматривает реализацию следующих мер: 1.Определение перечня И, составляющей КТ. 2.Ограничение доступа к этой И путем установления порядка обращения с ней. 3.Учет лиц, получивших права доступа к этой И. 4. Регулирование отношений по использованию И работниками на основании трудовых договоров и внешними партнерами. 5. Нанесение на материальные носители, содержащие И, грифа «коммерческая тайна» с указанием обладателя соответствующей И. Рассмотрены законы, регулирующие такие понятия, как «нотариальная тайна», «адвокатская тайна», «тайна связи». Краткий обзор правил работы с информацией, предназначенной для служебного использования, в федеральных органах исполнительной власти. | |
1.07 | Рассмотрены: порядок отнесения И к ГТ, органы защиты ГТ, порядки допуска должностных лиц, граждан, предприятий, организаций и учреждений к ГТ. Условия выдачи лицензий на работу с ГТ: 1.Выполнение требований нормативных документов в части защиты ГТ (Инструкция по обеспечению режима секретности в РФ). 2. Наличие в структуре предприятия достаточного количества специально подготовленных сотрудников по ЗИ. 3.Наличие сертифицированных СЗИ. | |
4.07 | Порядок сертификации СЗИ на территории страны и за рубежом. Требования к наличию сертифицированных СЗИ для защиты ГТ. Процедура сертификации. Проведение сертификационных испытаний. | |
5.07 | Изучение правового регулирования в сфере защиты И конфиденциального характера. Меры защиты, необходимые для аттестации ОИ и методики оценки защищенности конфиденциальной информации(методика оценки защищенности ОТСС, предназначенных для обработки, хранения и передачи по линиям связи конфиденциальной И; методика оценки защищенности конфиденциальной И, обрабатываемой ОТСС, от утечки за счет наводок на ВТСС и их коммуникации; методика оценки защищенности помещений от утечки речевой и по акустическому и виброакустическому каналам, по каналам электроакустических преобразований в ВТСС.) | |
6.07 | Ознакомился с основными задачами и направлениями организационной ЗИ. Выделил следующие основные организационные мероприятия: 1.Ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной И, ознакомление с мерами ответственности за нарушение правил ЗИ. 2.Организация надежной защиты и охраны помещений и территории прохождения линий связи. 3.Организация хранения и использования документов и носителей конфиденциальной И, включая порядок учета, выдачи, исполнения, возврата и уничтожения. 4.Создание штатных организационных структур по ЗИ или назначение ответственного за ЗИ на конкретных этапах ее обработки и передачи. 5.Создание особого порядка взаимоотношений со сторонними организациями и партнерами. 6. Организация конфиденциального делопроизводства. | |
7.07 | Составил акт классификации АС, должностную инструкцию администратора безопасности. Разработал приблизительную политику безопасности предприятия. При этом в ПБ было указано: 1. Ответственные лица за безопасность функционирования предприятия (должности). 2. Полномочия и ответственность отделов и служб в отношении безопасности. 3.Организация допуска новых сотрудников и их увольнение. 4.Правила разграничения доступа сотрудников к инф.ресурсам. 5.Организация пропускного режима, регистрация сотрудников и посетителей. 6. Использование СЗИ. | |
8.07 | Изучил требования по обеспечению организационной ЗИ на предприятии, уделяя особое внимание к условиям начала функционирования службы безопасности на предприятие, включая ее функциональные обязанности и решаемые задачи. При этом в своей деятельности СБ руководствуется следующими нормативными документами: 1.Инструкция по организации режима и охраны. 2.Инструкция по защите КТ. 3.Перечень сведений, составляющих КТ. 4.Инструкция по работе с конфид.И. 5.Инструкция по организации хранения дел, содержащих конфиденциальную И, в архиве и т.д. Ознакомился с организацией внутриобъектового режима предприятия. Основные задачи данного режима: 1.Предупреждение проникновения в служебные помещения, на территорию объекта, в охраняемые зоны посторонних лиц. 2.Обеспечение порядка вноса-выноса, ввода-вывода материальных ценностей и входа-выхода сотрудников и клиентов. Введение и обеспечение пропускного режима. | |
11.07 | Получил сведения по созданию модели потенциальных злоумышленников угроз безопасности предприятия и модели возможных каналов НСД к информации. Анализ возникновения угроз нужно вести по следующей схеме: 1.Выяснить,кто является потенциальным злоумышленником. 2.Выяснить,что ему надо. 3.Из имеющихся у него средств и возможностей спрогнозировать, как именно он попытается достигнуть своей цели. Ознакомился с проведением аудита безопасности. Проведение аудита включает в себя: 1.Общий анализ состояния безопасности объекта аудита. 2.Регистрация, сбор и проверка статистических данных и результатов измерений опасностей и угроз. 3.Анализ документооборота фирмы, беседы с сотрудниками. 4.Оценка результатов проверки, составление отчета. 5.Разработка плана мероприятий по устранению недостатков системы безопасности. | |
12.07 | Выявил основные составляющие организации безопасности при проведении совещаний и переговоров, включающие: выделение специального помещения, создания списка допущенных на совещание лиц, ведение протокола завещания. | |
13.07 | На практике ознакомился с процессами создания учетных записей пользователя, разграничения доступа к папкам, редактирования локальных политик безопасности, парольной системой защиты и шифрованием файлов в ОС Windows XP. | |
14.07 | На практике осуществил настройку СЗИ НСД«Accord NT/2000», изучил процедуры идентификации/аутентификации, контроля целостности аппаратных и программных средств, контроля печати. Ознакомился с основами разграничения Flash-накопителей, задания правил разграничения доступа пользователей. Изучил способы удаления данного СЗИ. | |
15.07 | На практике изучил основные этапы задания уровня допуска пользователя, процесса разграничения доступа к usb-накопителям и другие возможности СЗИ Secret Net 5.0. Ознакомился с принципами работы таких программных продуктов, как Fix (проверка целостности файлов путем сравнения контрольных сумм), Revisor 2 (сравнение существующих прав доступа с заданными). | |
18.07 | На практике осуществил конфигурацию статической маршрутизации (явно прописывается подсеть или опред. протокол маршрутизации, на маршрутизаторе должен быть прописан шлюз по умолчанию). Осуществил настройку статической маршрутизации на Windows/. | |
19.07 | Настроил маршрутизатор Cisco 2811. Используя командную строку CLI произвел конфигурирования межсетевого экрана на основе вышеуказанного маршрутизатора. | |
20.07 | Изучил основы функционирования межсетевого экрана Cisco ASA 5520, на практике произвел конфигурацию интерфейсов, ознакомился с основными этапами настройки NAT, процедур логирования и журналирования. | |
21.07 | На практике произвел настройку ЦУС и КШ АПКШ Континент, изучил порядок применения правил фильтрации трафика, логирования, восстановления конфигурации ЦУС из файла. | |
22.07 | На практике, используя Metasploit framework, осуществил некоторые виды сетевых атак с использованием существующих уязвимостей. |
Список материалов,