| Месяц и число
| Краткое содержание выполненных работ
| Подпись руководителя
|
| 26.06
| Ознакомилась со следующими стандартизированными понятиями: защищаемая И, защита информации, ЗИ от утечки, ЗИ от несанкционированного воздействия, ЗИ НСД, ЗИ от разглашения, организация ЗИ, мероприятия по ЗИ и т.д.
|
|
| 28.06
| Были выделены 3 основных этапа развития правового регулирования информационной сферы РФ.
1 этап (1992-1995) –постановка задачи формирования правовой политики государства в общем, без конкретизации по определенным направлениям.
2 этап (1995-2000) – формирование правовой ЗИ, принятие «Доктрины ИБ РФ».
3 этап (с 2000 г.) – федеральные целевые программы по данному направлению.
Изучено состояние правового регулирования информационной сферы за рубежом – «Хартия глобальной информатизации общества».
|
|
| 29.06
| Изучены статьи ФЗ «Об информации, информационных технологиях и защите информации», который регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении инф.технологий и обеспечении ЗИ.
|
|
| 30.06
| Разобраны статьи ФЗ «О персональных данных», регламентирующие обработку ПДн. Усвоены основные понятия: оператор, обработка ПДн, распространение ПДн, обезличивание ПДн и т.д.
|
|
| 1.07
| Изучен ФЗ «О коммерческой тайне».- понятие «коммерческая тайна», перечень сведений, относящийся к КТ, права обладателя И, составляющей КТ.
При этом режим конфиденциальности предусматривает реализацию следующих мер:
1.Определение перечня И, составляющей КТ.
2.Ограничение доступа к этой И путем установления порядка обращения с ней.
3.Учет лиц, получивших права доступа к этой И.
4. Регулирование отношений по использованию И работниками на основании трудовых договоров и внешними партнерами.
5. Нанесение на материальные носители, содержащие И, грифа «коммерческая тайна» с указанием обладателя соответствующей И.
Рассмотрены законы, регулирующие такие понятия, как «нотариальная тайна», «адвокатская тайна», «тайна связи». Краткий обзор правил работы с информацией, предназначенной для служебного использования, в федеральных органах исполнительной власти.
|
|
| 2.07
| Рассмотрены: порядок отнесения И к ГТ, органы защиты ГТ, порядки допуска должностных лиц, граждан, предприятий, организаций и учреждений к ГТ.
Условия выдачи лицензий на работу с ГТ:
1.Выполнение требований нормативных документов в части защиты ГТ (Инструкция по обеспечению режима секретности в РФ).
2. Наличие в структуре предприятия достаточного количества специально подготовленных сотрудников по ЗИ.
3.Наличие сертифицированных СЗИ.
|
|
| 5.07
| Порядок сертификации СЗИ на территории страны и за рубежом. Требования к наличию сертифицированных СЗИ для защиты ГТ. Процедура сертификации. Проведение сертификационных испытаний.
|
|
| 6.07
| Изучение правового регулирования в сфере защиты И конфиденциального характера. Меры защиты, необходимые для аттестации ОИ и методики оценки защищенности конфиденциальной информации(методика оценки защищенности ОТСС, предназначенных для обработки, хранения и передачи по линиям связи конфиденциальной И; методика оценки защищенности конфиденциальной И, обрабатываемой ОТСС, от утечки за счет наводок на ВТСС и их коммуникации; методика оценки защищенности помещений от утечки речевой И по акустическому и виброакустическому каналам, по каналам электроакустических преобразований в ВТСС.)
|
|
| 7.07
| Ознакомилась с основными задачами и направлениями организационной ЗИ.
Выделила следующие основные организационные мероприятия:
1.Ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной И, ознакомление с мерами ответственности за нарушение правил ЗИ.
2.Организация надежной защиты и охраны помещений и территории прохождения линий связи.
3.Организация хранения и использования документов и носителей конфиденциальной И, включая порядок учета, выдачи, исполнения, возврата и уничтожения.
4.Создание штатных организационных структур по ЗИ или назначение ответственного за ЗИ на конкретных этапах ее обработки и передачи.
5.Создание особого порядка взаимоотношений со сторонними организациями и партнерами.
6. Организация конфиденциального делопроизводства.
|
|
| 8.07
| Составила акт классификации АС, должностную инструкцию администратора безопасности.
Разработала приблизительную политику безопасности предприятия. При этом в ПБ было указано:
1. Ответственные лица за безопасность функционирования предприятия (должности).
2. Полномочия и ответственность отделов и служб в отношении безопасности.
3.Организация допуска новых сотрудников и их увольнение.
4.Правила разграничения доступа сотрудников к инф.ресурсам.
5.Организация пропускного режима, регистрация сотрудников и посетителей.
6. Использование СЗИ.
|
|
| 9.07
| Изучила требования по обеспечению организационной ЗИ на предприятии, уделяя особое внимание к условиям начала функционирования службы безопасности на предприятие, включая ее функциональные обязанности и решаемые задачи.
При этом в своей деятельности СБ руководствуется следующими нормативными документами:
1.Инструкция по организации режима и охраны.
2.Инструкция по защите КТ.
3.Перечень сведений, составляющих КТ.
4.Инструкция по работе с конфид.И.
5.Инструкция по организации хранения дел, содержащих конфиденциальную И, в архиве и т.д.
Ознакомилась с организацией внутриобъектового режима предприятия. Основные задачи данного режима:
1.Предупреждение проникновения в служебные помещения, на территорию объекта, в охраняемые зоны посторонних лиц.
2.Обеспечение порядка вноса-выноса, ввода-вывода материальных ценностей и входа-выхода сотрудников и клиентов.
Введение и обеспечение пропускного режима.
|
|
| 12.07
| Получила сведения по созданию модели потенциальных злоумышленников угроз безопасности предприятия и модели возможных каналов НСД к информации.
Анализ возникновения угроз нужно вести по следующей схеме:
1.Выяснить,кто является потенциальным злоумышленником.
2.Выяснить,что ему надо.
3.Из имеющихся у него средств и возможностей спрогнозировать, как именно он попытается достигнуть своей цели.
Ознакомилась с проведением аудита безопасности. Проведение аудита включает в себя:
1.Общий анализ состояния безопасности объекта аудита.
2.Регистрация, сбор и проверка статистических данных и результатов измерений опасностей и угроз.
3.Анализ документооборота фирмы, беседы с сотрудниками.
4.Оценка результатов проверки, составление отчета.
5.Разработка плана мероприятий по устранению недостатков системы безопасности.
|
|
| 13.07
| Выявила основные составляющие организации безопасности при проведении совещаний и переговоров, включающие: выделение специального помещения, создания списка допущенных на совещание лиц, ведение протокола завещания.
|
|
| 14.07
| На практике ознакомилась с процессами создания учетных записей пользователя, разграничения доступа к папкам, редактирования локальных политик безопасности, парольной системой защиты и шифрованием файлов в ОС Windows XP.
|
|
| 15.07
| На практике осуществила настройку СЗИ НСД«Accord NT/2000», изучила процедуры идентификации/аутентификации, контроля целостности аппаратных и программных средств, контроля печати. Ознакомилась с основами разграничения Flash-накопителей, задания правил разграничения доступа пользователей. Изучила способы удаления данного СЗИ.
|
|
| 16.07
| На практике изучила основные этапы задания уровня допуска пользователя, процесса разграничения доступа к usb-накопителям и другие возможности СЗИ Secret Net 5.0. Ознакомилась с принципами работы таких программных продуктов, как Fix (проверка целостности файлов путем сравнения контрольных сумм), Revisor 2 (сравнение существующих прав доступа с заданными).
|
|
| 19.07
| На практике осуществила конфигурацию статической маршрутизации (явно прописывается подсеть или опред. протокол маршрутизации, на маршрутизаторе должен быть прописан шлюз по умолчанию). Осуществила настройку статической маршрутизации на Windows/.
|
|
| 20.07
| Настроила маршрутизатор Cisco 2811. Используя командную строку CLI произвела конфигурирования межсетевого экрана на основе вышеуказанного маршрутизатора.
|
|
| 21.07
| Изучила основы функционирования межсетевого экрана Cisco ASA 5520, на практике произвела конфигурацию интерфейсов, ознакомилась с основными этапами настройки NAT, процедур логирования и журналирования.
|
|
| 22.07
| На практике произвела настройку ЦУС и КШ АПКШ Континент, изучила порядок применения правил фильтрации трафика, логирования, восстановления конфигурации ЦУС из файла.
|
|
| 23.07
| На практике, используя Metasploit framework, осуществила некоторые виды сетевых атак с использованием существующих уязвимостей.
|
|
