- •2. Основні компоненти ризику.
- •3. Інформаційна складова ризику.
- •4. Поняття інформаційного ризику.
- •5. Показники якості інформації.
- •6. Дія інформаційних ризиків на процес функціонування підприємства.
- •7. Інформаційні ризики.
- •8. Мінімізація іт - ризиків.
- •9. Якість інформації.
- •10. Загрози безпеки інформації.
- •11. Шкідливі програми, та їх класи.
- •14. Криптографічний захист інформації.
- •15. Віруси, їх типи та класифікація.
- •16. Виявлення вірусів та блокування роботи програм-вірусів, усунення наслідків.
- •17. Профілактика зараження вірусами кс.
- •18. Особливості захисту інформації в бд.
- •19. Моделювання загроз.
- •20. Зниження ризиків.
- •21. Кількісна оцінка моделей загроз.
- •22. Нешкідливі, небезпечні, дуже небезпечні віруси.
- •23. Профілактика зараження вірусами кс.
- •25. Особливостізахисту інформації в бд.
- •27. Попередження можливих загроз і протиправних дій.
- •28. Способи запобігання розголошення.
- •29. Захист інформації від витоку по течнічним каналам.
- •30. Захист від витоку по візуально-оптичним каналам.
- •31. Реалізація захисту від витоку по акустичним каналам.
- •33. Захис від витоку за рахунок мікрофрнного ефекту.
- •34. 10 Основних ризиків при розробці пз.
- •35. Аналіз ризиків.
- •36. Цикли тотальної інтеграції.
- •37. Інтегральна безпека та її особливості.
- •38. Інтегральні системи управління технічними засобами.
- •39. Біометричні технології стз.
- •40. Цифрові методи і технології в стз.
- •41. Смарт-карти в ст.
- •43. Скриті цифрові маркери та вимоги до них.
- •44. Перспективні стеганографічні технології.
- •45. Енергоінформаційні технології.
- •46. Сучасні методики розробки політик безпеки.
- •47. Модель побудови корпоративної системи захисту системи інформації.
- •48. Мініатюризація та нанотехнології у сфері іот.
- •49. Інтелектуалізація і автоматизація у сфері іот.
- •50. Тенденції універсалізації у сфері іот.
- •51. Динаміка можливостей потенційних зловмисників у найближчій перспективі.
- •52. Перевірка пристроїв на наявність модулів з несанкціонованими діями.
- •53. Використання потенційними зловмисниками факторів збільшення продуктивності обчислювльних систем (ос).
- •54. Можливості інтелектуалізації функцій обчислювальної системи з точки зору вразливості Обчислювальних систем.
- •55. Співвідношення засобів захисту і засобів нападу на обчислювальну систему.
- •56. Актуальність методів шифрування мовного трафіку.
- •57. Зростання мережевих швидкостей і безпека іт.
- •58. Багатофункціональні пристрої та інтеграція захисних механізмів в інфраструктуру.
- •59. Молекулярна обчислювальна техніка.
- •60. Штучний інтелект і перспективна обчислювльна техніка.
- •61. Нейронні мережі і перспективна обчислювальна техніка.
- •62. Квантовий комп’ютер, переваги технології.
- •63. Технологія Інтернет-2.
- •64. Ціль оцінки ризику.
- •65. Табличні методи оцінки ризиків компанії.
- •66. Оцінка ризиків на основі нечіткої логіки.
- •67. Програмні засоби оцінки ризиків на основі нечіткої логіки.
- •68. Цінність інструментальних методів аналізу ризиків.
- •70. Інструментальний засіб cram.
- •71. Система cobra.
- •73. Програмний комплекс гриф.
- •74. Комплексна експертна система "АванГард".
- •75. Апаратно-програмний комплекс шифрування "Континент".
- •76. Засоби захисту інформації від несанкціонованого доступу.
- •77. Захист від витоків по технічним каналам.
- •78. Засоби активного захисту акустичної мовної інформації.
- •79. Вимоги нормативних документів до реалізації прикладного рівня рівня захисту.
- •80. Принципова особливість захисту інформації на прикладному рівні.
- •Что такое ксзи «Панцирь-к» для ос Windows 2000/xp/2003?
- •Ксзи «Панцирь-к» предоставляет следующие возможности:
- •Почему ксзи «Панцирь-к» оптимальное решение?
- •Почему ксзи «Панцирь-к» эффективное средство защиты?
- •1. Механизмы формирования объекта защиты.
- •2. Механизмы защиты от инсайдерских атак.
- •Решение механизмами защиты ксзи:
- •3.Механизмы защиты от атак на уязвимости приложений.
- •Решение механизмами защиты ксзи:
- •4. Механизмы защиты от атак на уязвимости ос.
- •Решение механизмами защиты ксзи:
- •Как сравнить ксзи «Панцирь-к» с иными средствами защиты?
- •82. Альтернативна задача захисту інформації від нсд.
- •83. Робота адміністратора безпеки.
- •84. Інтерфейс настройки сценаріїв автоматичної реакції на стрічку подій.
- •85. Рівнева модель захисту інформації.
- •86. Засоби архівування інформації як програмний засіб захисту даних.
- •87. Програмні засоби захисту інформації.
- •Программные средства защиты информации
- •88. Основні засоби захисту інформації.
- •89. Організаційні засоби захисту інформації.
- •90. Змішані засоби захисту інформації.
- •91. Технічні засоби захисту інформації.
- •Защита телефонных аппаратов и линий связи
- •Блокиратор параллельного телефона
- •Защита информации от утечки по оптическому каналу
- •Адаптер для диктофона
- •92. Захист інформації від несанкціонованого доступу.
- •93. Захист інформації від копіювання та руйнування.
- •94. Існуючі підходи до управління ризиками.
- •95. Оцінка ризиків.
- •96. Кількісна оцінка ризиків.
- •98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
- •99. Процесна модель управління ризиками.
- •100. Інструментарій для управління ризиками.
- •101. Сутність поняття "інформаційна безпека".
- •Содержание понятия
- •] Стандартизированные определения (для дцтд4-1)
- •Существенные признаки понятия
- •Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •Объём (реализация) понятия «информационная безопасность»
- •102. Організаційно-технічні і режимні заходи і засоби захисту інформації. Организационно-технические и режимные меры и методы
- •103. Програмно-технічні способи і засоби забезпечення інформаційної безпеки. Засоби та методи захисту інформації
- •104. Організаційний захист об’єктів інформаціїї.
- •105. Цивільно-правова відповідальність за порушення інформаційної безпеки сайтів мережі Інтернет. Гражданско-правовая ответственность за нарушения информационнойбезопасности сайтов сети Интернет
- •106. Історичні аспекти виникнення і розвитку інформаційної безпеки.
- •107. Засоби захисту інформації.
- •108. Апаратні засоби захисту інформації.
- •Технические средства защиты информации
Сутність поняття "ризик"
Ризик – невід’ємна складова частина людського життя. Він породжується невизначеністю, відсутністю достатньо повної інформації про подію чи явище та неможливістю прогнозувати розвиток подій. Ризик виникає тоді, коли рішення вибирається з декількох можливих варіантів і немає впевненості, що воно найефективніше. Ризик - це невизначеність по відношенню можливих втрат на шляху до мети. Поняття “ризик” можна конкретизувати стосовно до мети дослідження, визначаючи його то як “відхилення фактичного результату від очікуваного”, то як “ймовірність певної небажаної події”. На наш погляд, під ризиком необхідно розуміти ймовірність (небезпеку) втрати особою чи організацією частини своїх ресурсів, недоодержання прибутків або появу додаткових витрат внаслідок здійснення певної виробничої або фінансової політики. Можна приймати рішення та запроваджувати дії направлені на зменшення ризику але позбутися його неможливо. Ситуації коли відсутній ризик в економіці майже не зустрічаються. Більшість ситуацій яким притаманний ризик є дуже важко прогнозованими та контрольованими, тому усунути ризик повністю майже неможливо. Це є причиною того, що навіть ідеальні з першого погляду рішення приводять до збитків. Разом з тим ризик слід розглядати як невід’ємний елемент процесу існування організації на ринку. Фактично, якщо основною метою функціонування організації є максимізація прибутку, то він (прибуток) є винагородою за вдало взятий на себе ризик. Марно було б сподіватися, що отримання більш менш значних прибутків не пов’язано з серйозним ризиком. В економічній літературі склалися стійкі поняття “безризикові інвестиції” або “нульовий ризик”. Інвестиція вважається не ризиковою, якщо доход по ній гарантований. Прикладом не ризикової інвестиції є цінні папери казначейства. Дійсно, шанси того, що держава не взмозі викупити свої цінні папери, дорівнюють нулю. Для конкретного малого та середнього підприємства ризик завжди конкретний, а аналіз ризиків розділяється на два взаємно доповнюючи один одного види: якісний, задачею якого є визначення факторів ризику і обставин, що привели до ризикових ситуацій, і кількісний, якій дозволяє обчислити розміри як окремих ризиків, так і їх сукупності. Як вітчизняна, так і зарубіжна література приділяє багато уваги визначенню терміна “ризик”. Найчастіше зустрічаються такі визначення ризику:Вірогідність збитків чи втрат.
Ймовірність невдачі чи втрат, що пов’язані з конкретним напрямком дій фірми.
Ймовірність небажаної події.
Ризик в ділових операціях – це об’єктивно-суб’єктивна економічна категорія, що відображає ступінь успіху (невдачі ) в досягненні цілей з урахуванням впливу контрольованих і неконтрольованих чинників за наявності прямих і зворотних зв’язків. Проблеми ризику мають розглядатися й ураховуватися як при розробленні стратегії, так і в процесі виконання оперативних завдань. У кожній ситуації, що пов’язана з ризиком, постає питання: що означає доцільний ризик, де межа, що відокремлює доцільний ризик від нерозумного. Таким чином, проблема ризику і прибутку - одна із ключових в економічній діяльності, зокрема в управлінні виробництвом і фінансами. Визначення такої межі не може бути правильним без розуміння причин виникнення ризику взагалі та його зростання на протязі останнього періоду розвитку людства. Основні з них: Останнім часом розвиток суспільства набув дуже великих швидкостей насамперед через науково-технічний прогрес. Була створена потреба у неординарному, швидкому вирішенні питань, що постають перед людством. Принципово нові шляхи розв’язання задач на творчому рівні, вимусили застосовувати методи та прийоми до яких ще ніколи і ніхто не удавався, природно, що на підставі цього виник і великий ризик зазнати невдачу. Якщо співставити такі фактори як необхідність вирішення проблеми швидко, якісно, не традиційно, наявне населення і стрімко спадаючу кількість придатних до використання ресурсів, то можна побачити й наступну причину ризику.
Для того щоб вижити, необхідно надати своїм діям підприємницького забарвлення, тобто: незалежність, нестандартність дій, сміливість, винахідливість, орієнтація на максимально можливий успіх. На сучасному етапі важливість цього питання розуміє все більша частина людей, тому не дивно, що в їх діях починають з’являтися вищеназвані ознаки, які й породжують зростання рівня ризику взагалі.
Середовище діяльності людства все більше набуває ринкового характеру, це породжує дуже жорстку конкуренцію при якій природним стають факти чисельних банкруцтв та крахів.
Також дуже важливим є проблема зростання глобального ризику, тобто знищення людства внаслідок власних дій.
Отже ризикованій ситуації притаманні такі основні ознаки:
Наявність невизначеності.
Існування альтернатив і необхідність вибору.
Можливість оцінити наявні альтернативи.
Зацікавлення у результатах вибору
Слово " ризик" пішло від французького слова risqué або італійського risico. Воно означає можливість або вірогідність настання подій з негативними наслідками в результаті певних рішень або дій. Відповідно до суті процесів, явищ і об'єктів, що породжують випадковості, розрізняють об'єктивну і суб'єктивну випадковості. Об'єктивна випадковість пов'язана з природою матерії, її суттю. У найбільш явній формі об'єктивна випадковість проявляєтьсяв мікросвіті на рівні молекул, атомів, елементарних часток. Суб'єктивна випадковість визначається неповнотою інформації про причини і суть випадкових подій.На практиці більшість ризикових подій відносяться до класу суб'єктивних випадкових подій. Отримання усієї необхідної інформації обмежується відсутністю відповідних інструментальних засобів і методик, часу на збір і обробку інформації, а також відсутністю повних наукових знань про суть процесу або явища, протидією конкурентів і зловмисників. Таким чином, усі риски є випадковими подіями, і випадковість визначається їх випадковою природою і недоліком якісної інформації про ці події. Інформаційна невизначеність є або єдиною основою випадковості події для людини, або вона супроводжує і доповнює об'єктивну випадковість. З такого висновку виходить інформаційна парадигма ризиків будь-якої природи : інформаційна невизначеність є суть усіх ризиків.
Негативні наслідки широкого кола загроз інформаційної безпеки (починаючи від атак хакерів і закінчуючи діями інсайдерів, які використовують свої знання і права доступу до даних компанії для своєї вигоди) можна зменшити, використовуючи підхід до управління інцидентами інформаційної безпеки, описаний в новому міжнародному стандарті ISO/IEC 27035 : 2011. Порушення в області інформаційної безпеки можуть ставити під загрозу функціонування бізнес-систем і порушувати роботу бізнесу. Від підготовленості та своєчасності і ефективності реагування може залежати, чи виллється інцидент в незначну пригоду або стане катастрофою для бізнесу. Застосування системи управління інцидентами інформаційної безпеки дасть організаціям інструменти управління і процедури, що дозволяють контролювати широкий діапазон інцидентів і вразливостей. Стандарт ISO/IEC 27035:2011 «Інформаційні технології. Методи забезпечення безпеки. Управління інцидентами інформаційної безпеки» надає практичні рекомендації з виявлення, реєстрації і оцінки випадків порушення інформаційної безпеки і вразливостей. Він допоможе організаціям реагувати на інциденти інформаційної безпеки, зокрема, вводити відповідні інструменти контролю для їхнього запобігання та скорочення, а також відновлення, і, таким чином, витягувати уроки та покращувати загальний підхід. Інтеграція системи управління інцидентами інформаційної безпеки дає ряд переваг:
підвищення загального рівня інформаційної безпеки;
зменшення негативних наслідків для бізнесу;
посилення акценту на попередження інцидентів інформаційної безпеки,
призначення пріоритетів і збору даних;
внесок в обгрунтування рішень щодо виділення бюджету та ресурсів;
поліпшення якості результатів оцінки та управління ризиками інформаційної безпеки;
поліпшення інформованості в галузі інформаційної безпеки і допомога у підготовці матеріалів для навчання;
надання додаткової інформації для розроблення політики інформаційної безпеки та супутньої документації.
Едвард Хамфріс, під керівництвом якого була розроблена початкова версія стандарту ISO/IEC TR 18044:2004, коментує: «Ефективне і своєчасне вирішення серйозних інцидентів може вирішити долю організації, що стоїть перед альтернативою порятунку чи загибелі». Новий стандарт ISO/IEC 27035 пропонує перевірені рішення в галузі процесів і методів забезпечення ефективного управління інцидентами інформаційної безпеки. «Ступінь критичності інцидентів може варіювати від незначних, які можуть вплинути на працездатність ізольованої системи, до великих, які охоплюють усі бізнес-системи. Одні інциденти можуть призвести до збою в роботі організації та використання її бізнес-ресурсів на 24-72 і більше годин, інші можуть призвести до серйозних втрат та/або знищення даних, а деякі можуть зробити організацію, яка винна у серйозному злочині. Стандарт ISO/IEC 27035:2011 пропонує рішення». Стандарт ISO/IEC 27035:2011 замінює технічний звіт ISO/IEC TR 18044:2004 та узгоджується з загальними принципами, встановленими в стандарті ISO/IEC 27001:2005 «Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги». Новий стандарт може застосовуватися в будь-якій організації, незалежно від її розміру. Стандарт поширюється на широкий діапазон інцидентів інформаційної безпеки, навмисних чи випадкових, викликаних технічними або фізичними причинами. Стандарт ISO/IEC 27035:2011 «Інформаційні технології. Методи забезпечення безпеки. Управління інцидентами інформаційної безпеки» розроблений підкомітетом SC 27 «Методи забезпечення безпеки» спільного технічного комітету ISO/IEC JTC 1 «Інформаційні технології».
2. Основні компоненти ризику.
Будь-який ризик пов'язаний хоч би з одним з чотирьох компонентів, які є джерелами і причинами ризиків. До них слід віднести наступні компоненти:
-інформація;
-людина;
-технічні системи;
-природа.
Як правило, об'єктами аналізу і рішення завдань по забезпеченню інформаційної безпеки є компоненти (засоби і інформаційні технології) автоматизованих інформаційних систем (АІС), автоматизованих систем управління(АСУ), телекомунікаційних систем (ТКС), а також інформаційні ресурси (ІР), що накопичуються і оброблювані цими комп'ютерними системами. Проте, з точки зору цілісного розгляду будь-якої організаційної структури незалежно від її функціонального призначення(підприємництво, виробництво, банківська справа, управління і так далі) на предмет вирішення проблеми інформаційної безпеки, потрібно набагато складнішу компонентну картину об'єкту. У літературі зустрічаються спроби знайти узагальнювальний термін для іменування такого роду об'єктів : соціотехнічна система, об'єкт інформатизації або автоматизації і так далі. На нашу думку, цілком досить користуватися терміном " організація" як самостійного об'єкту конкретного виду діяльності При цьому, по-перше, робиться акцент на основне призначення об'єкту, по-друге, коли йдеться про забезпечення інформаційної безпеки очевидно потрібний розгляд усієї інформаційної сфери і впливу інформаційних процесів на основну діяльність об'єкту. Для організації можна виділити, принаймні, два аспекти її інформаційного прояву : внутрішньооб'єктова інформаційна діяльність і зовнішній інформаційний прояв об'єкту. Внутрішньооб'єктова інформаційна діяльність забезпечується і реалізується такими компонентами як автоматизовані процеси і АСУ, АІС, ТКС, ИР, інформаційна підтримка(у тому числі у вигляді технологій роботи з традиційними документами на паперових носіях), інформаційно - аналітична підтримка. Поняття внутрішньооб'єктової інформаційної діяльності, в принципі, цілком тотожно поняттю інформаційної системи організації(ІС) в широкому сенсі, коли вона об'єднує усі види інформаційної діяльності(комп'ютерні і телекомунікаційні системи, традиційне діловодство, зовнішня інформаційно-аналітична підтримка і так далі). Зовнішній інформаційний прояв об'єкту може бути штатним(зовнішня штатна інформаційна взаємодія - повідомлення через ТКС і потоки традиційних документів) і побічним(електромагнітні випромінювання і наведення, спецтехніка, несанкціонована передача відомостей за рахунок людського чинника). Розглядаючи організацію як об'єкт цілісного рішення проблеми інформаційної безпеки, необхідно виявити усі види загроз інформаційного характеру, які можуть деструктивно вплинути на її діяльність. І в цьому випадку, на наш погляд, продуктивно повернутися до тієї класифікації, яку свого часу запропонував професор Герасименко В.А., а саме виділити два основні класи: загрози інформації і інформаційні загрози. Сенс в цьому очевидний. При цьому ми керуватимемося також ширшим розумінням інформаційної безпеки організації, як це пропонує Стрільців А.А. ("Забезпечення інформаційної безпеки Росії", МЦНО, 2002):Інформаційна безпека - неможливість завдання шкоди властивостям об'єкту безпеки, що обумовлюються інформацією(незалежно від виду її формального відображення і часу життя) і інформаційною інфраструктурою. У нашому випадку "об'єктом безпеки" виступає організація, фірма. Усі загрози, що деструктивно впливають на зібрану організацією, інформацію, що зберігається і оброблювану, яка і складає її інформаційні ресурси, а також на засоби і служби реалізації інформаційних технологій, тобто на інформаційну систему (ІС) організації вимагають рішення задачі захисту інформації. Вони складають безліч загроз інформації. Проте інформаційна діяльність на об'єкті не є самоціллю, а частиною основної діяльності організації, що тільки забезпечує. Сама інформація, що входить в ИР організації, її зміст, регламент подання і якість, може бути небезпечним для споживача(керівники, служби, користувачі, об'єкти управління в АСУ і так далі), оскільки на її основі приймаються рішення організаційно-виробничого характеру, здійснюється управління процесами. Отже, інформаційна сфера може бути джерелом загроз для організації, і ці загрози відносяться до інформаційних загроз. Наявність інформаційних загроз вимагає рішення задачі безпеки інформації. Система інформаційної безпеки - сукупність засобів і заходів по забезпеченню захищеності інформації в ІС і мінімізації інформаційних загроз для об'єкту безпеки з боку інформаційної сфери. Захищеність інформації оцінюється показниками(відповідно до "Критеріїв оцінки безпеки інформаційної технології", прийнятими європейськими країнами в 1991 році і введеними у вітчизняну методологію проектування систем захисту інформації - документи Державної технічної комісії) :