- •2.Принципы организации ксзи
- •3. Основные требования, предъявляемые к ксзи
- •4.Содержательная характеристика этапов разработки ксзи.
- •6.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •Примерное содержание сведений в различных областях деятельности
- •7. Определение состава носителей защищаемой информации.
- •8. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •9. Оценки потенциального ущерба от дестабилизирующего воздействия на информацию
- •10. Потенциальные каналы утечки информации и уязвимости
- •3 Технические каналы утечки информации (ткуи)
- •11. Понятие и классификация моделей нарушителя.
- •12.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •13. Анализ рисков, сущность и основные понятия.
- •14. Основные факторы риска и шкалы для их измерения.
- •15. Оценка рисков
2.Принципы организации ксзи
Концептуальные принципы.
1. Адаптируемость– способность к целенаправленному приспособлению при изменении структуры, технологических схем, условий функционирования предприятия, а также при изменении главных угроз.
2. Непрерывность– построение КСЗИ есть непрерывный процесс, а не одноразовый акт.
3. Комплексность– это использование всего арсенала средств защиты для блокирования главных угроз защищаемой информации по всем возможным каналам утечки, во всех структурных элементах производства, на всех этапах технологического цикла обработки информации.
4. Научная обоснованность– системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ.
5. Концептуальное единство– построение КСЗИ должно рассматриваться и реализовываться на основе единой концепции защиты информации.
Основные принципы.
1. Адекватность– СЗИ должна строиться в строгом соответствии с требованиями к защите, которые определяются категорией объекта и факторами, влияющими на защиту. Уровень защиты должен быть адекватен угрозам.
2. Функциональная самостоятельность– СЗИ должна быть самостоятельной подсистемой АСОД и при осуществлении функций защиты не зависеть от других подсистем.
3. Минимизация предоставляемых прав– каждому пользователю и лицам из персонала предприятия должны предоставляться лишь те полномочия на доступ к ресурсам предприятия, которые действительно необходимы ему для исполнения обязанностей.
4. Полнота контроля– все процедуры обработки защищаемой информации должны быть под контролем системы защиты в полном объеме, причем результаты контроля должны документироваться.
5. Активность реагирования– СЗИ должна реагировать на любые попытки НСД.
6. Централизованность управления СЗИ– процесс управления должен быть обязательно централизован, структура системы защиты должна соответствовать структуре защищаемого объекта, а также целям и задачам защиты.
7. Плановость– организация взаимодействия всех подразделений объекта в интересах реализации принятой концепции защиты, формирование каждой службой планов защиты информации в пределах ее компетенции с учетом общих целей предприятия (концепции защиты информации).
8. Целенаправленность– защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд.
9. Конкретность– защите подлежат конкретные ресурсы, представляющие интерес для противника, утечка которых может привести к ущербу.
10.Активность защиты– в том смысле, что СЗИ должно иметь инструменты, реализующие не только требование «обнаружить и устранить», но и «предвидеть и предотвратить».
3. Основные требования, предъявляемые к ксзи
Общие требования
Функциональные– обеспечения решения требуемой совокупности задач, удовлетворение всем требованиям защиты.
Эргономические– минимизация помех для пользователей, простота эксплуатации и технического обслуживания.
Экономические– минимизация затрат на систему защиты, использование серийно выпускаемых средств защиты.
Технические– оптимизация архитектуры технических средств защиты, надежность применяемых технических средств.
Организационные– четкость предоставления пользователям прав доступа к КИ, сведение к минимуму набора полномочий для одного пользователя, надлежащая подготовка пользователей и контроль управления установленных правил по защите информации.
Специальные требования.
Учет влияния особенностей объекта и факторов внешней среды.
Учет неопределенности при проектировании системы защиты.
Учет эвристического и экспертного характера самого процесса проектирования.
Учет при проектировании того, что источники угроз имеют наихудшие намерения.
Учет выбранной стратегии и целей защиты при обосновании ресурсного обеспечения.
Независимость системы защиты от субъектов защиты.
Ограничение информации об используемых средствах защиты.