- •1.Сущность, цели и задачи организации комплексной системы защиты информации.
- •2.Назначение комплексности при построении системы защиты информации.
- •3.Значение основных положений современной теории защиты информации для организации.
- •4.Значение современной теории систем для организации и обеспечения функционирования ксиб.
- •5. Этапы разработки ксиб.
- •6. Факторы, оказывающие влияние на организацию ксиб
- •7. Структура угроз для информационных ресурсов.
- •8. Сущность, цели и задачи организации комплексной системы защиты информации.
- •Основные цели системы защиты информации
- •Основные задачи систем защиты информации
- •2. Защита содержания информации
- •9. Назначение комплексности при построении системы защиты информации.
- •10. Значение основных положений современной теории защиты информации для организации.
- •1. Контроль выполнения требований, предъявляемых к персоналу, допущенного к конфиденциальной информации:
- •2. Контроль организации и обеспечения работы с конфиденциальной информацией:
- •3. Контроль соответствия размещения, охраны, специального оборудования помещений требованиям информационной безопасности:
- •4. Контроль выполнения основных специальных требований по размещению и монтажу оборудования информационных систем:
- •12. Этапы разработки ксиб.
- •13. Факторы, оказывающие влияние на организацию ксиб.
- •14. Основные принципы организации ксиб.
- •16. Основные группы требований к ксиб.
- •17. Требования к комплексной защите применительно к различным защищаемым элементам объекта.
- •18. Факторы, определяющие состав защищаемой информации.
- •19. Методология Клеменса при определении эффективности защиты ис.
- •20. Основные этапы работы по выявлению состава защищаемой информации
- •21. Качественный анализ рисков по методологии Фишера.
- •22. Управление рисками и построение графа компрометации.
- •23. Структуризация объекта защиты и ее значение.
- •24. Методология Хоффмана при определении эффективности защиты ис.
- •25 Методы выявления состава защищаемых элементов.
- •26 Какими факторами определяется состав угроз безопасности предприятия?
- •27Какова процедура выявления каналов несанкционированного доступа к информации на предприятии?
- •28. Чем определяется состав нарушителей и как осуществляется их категорирование?
- •29. Моделирование угроз иб и защита
- •30. Каким образом может проводиться оценка степени уязвимости информации в результате действий нарушителей различных категорий?
- •32. Метод экспертных опросников для определения качества ксиб.
- •33. Определение функций защиты. Полнота функций
- •34. Какие критерии положены в основу классификации каждой группы средств, входящих в состав ксиб? Выбор оптимальной эффективности и критерии оптимальности ксзи
- •35. Какие требования предъявляются к выбору методов и средств защиты при организации и функционировании ксиб?
- •36. Как определяются условия функционирования ксиб?
- •37. Этапы разработки модели ксзи.
- •Принцип простоты Этапы разработки ксзи
- •38. Определите значение моделирования объектов и процессов защиты при построении ксиб.
- •39. Какие компоненты входят в состав информационной модели ксиб?
- •40. Каково общее содержание схемы технологического и организационного построения ксиб?
- •Организационное построение
- •41. Требования, предъявляемые к сотрудникам, обеспечивающим функционирование ксиб.
- •42. Нормативные документы, регламентирующие деятельность и взаимодействие персонала по комплексной защите информации.
- •43. Особенности мотивации деятельности персонала, связанного с защитой информации.
2.Назначение комплексности при построении системы защиты информации.
Основной характеристикой КСЗИ является уровень комплексности, то есть сочетание множества элементов, обязательно присутствующих в КСЗИ.
Выделяют следующие элементы:
Организационный
Правовой
Инженерно-технический
Программно-аппаратный
Криптографический
Главная цель создания системы защиты информации — ее надежность. Система защиты информации — это организованная совокупность объектов и субъектов информационной защиты, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.
Однако компоненты защиты информации являются составной частью системы, с одной стороны, а с другой — сами организуют систему, осуществляя защитные мероприятия. Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение система защиты информации (СЗИ) состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. А в чем же состоит значимость комплексных решений в СЗИ?
Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается. Как же их избежать?
Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». Во-вторых, система должна объединить логически и технологически все составляющие защиты. При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия. В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах.
Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации. Таким образом, значимость комплексного подхода к защите информации состоит:
в интеграции локальных систем защиты;
в обеспечении полноты всех составляющих системы защиты;
в обеспечении всеохватности защиты информации.
3.Значение основных положений современной теории защиты информации для организации.
Системный подход к защите информации
Под системой понимают совокупность взаимосвязанных элементов объединенных единством цели и функциональностью.
Термин структура подразумевает:
1. Пространственное расположение всех ее элементов.
2. Совокупность устойчивых межэлементных связей.
3. Закон взаимодействия и взаимосвязей элементов.
Принципы системного подхода к защите информации:
1. требования законов и других нормативных документов.
Устойчивость системы зависит от внутренних взаимосвязей между элементами.
2. Комплекс ПА средств и организационных мер
3. Всеобщее технологическое обеспечение этапов обработки информации вплоть до ремонтно-регламентных работ.
4. Отсутствие избыточности технической защиты.
5. Оценка эффективности применяемых средств защиты. Под эффективностью защиты информации предполагается степень соответствия реззультатов защиты информации, поставленные цели защиты.
6. Защита автоматизированных систем должна предусматривать контроль эффективности средств защиты.
При создании системы ИБ используют следующие принципы
1. Комплексность - согласованное применение разнородных средств при построении системы ИБ.
Комплексность подразумевает следующие направления:
-правовое
-организационное
-инженерно-техническое
2. Системность - отслеживание и отлаживание взаимодействия.
3. Непрерывность - обеспечивает функционирование всех частей модулей на всех этапах ее существования.
4. Гибкость - модернизация и модернизируемость без нарушения функциональности.
5. Простота - максимальное упрощение реализации ИБ при сохранении требуемого функционала
6. Открытость - известность некоторых параметров системы безопасности.
Предметом рассмотрения являются автоматизированные системы. Под
АС мы будем понимать
совокупность следующих объектов:
1. средств вычислительной техники;
2. программного обеспечения;
3. каналов связи;
4. информации на различных носителях;
5. персонала и пользователей системы.
Информационная безопасность АС рассматривается как состояние системы, при
котором:
1. Система способна противостоять дестабилизирующему воздействию
внутренних и внешних угроз.
2. Функционирование и сам факт наличия системы не создают угроз для внешней
среды и для элементов самой системы.
На практике информационная безопасность обычно рассматривается как
совокупность следующих трёх базовых свойств защищаемой информации:
− конфиденциальность, означающая, что доступ к информации могут получить
только легальные пользователи;
− целостность, обеспечивающая, что во-первых, защищаемая информация
может быть изменена только законными и имеющими соответствующие
полномочия пользователями, а во-вторых, информация внутренне
непротиворечива и (если данное свойство применимо) отражает реальное
положение вещей;
− доступность, гарантирующая беспрепятственный доступ к защищаемой
информации для законных пользователей.
Деятельность, направленную на обеспечение информационной безопасности,
принято называть защитой информации.
Значение информационной безопасности
для субъектов информационных отношений
Значение каждой из составляющих информационной безопасности для разных категорий субъектов информационных отношений различно.В случае государственных организаций во главу ставится конфиденциальность. Далее, для государственных структур особую значимость принимает целостность информации. Доступность, как одна из составляющих ИБ по отношению к двум другим составляющим обладает наименьшим приоритетам.
Для коммерческих организаций ведущую роль играет доступность информации. Особенно ярко это проявляется в разного рода системах управления производством, транспортном и т.п. Внешне менее драматичные, но также весьма неприятные последствия и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Целостность также важнейший аспект ИБ коммерческих структур. Набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. В то же время конфиденциальность в случае коммерческой информации играет заметно меньшую роль.
Для граждан на первое место можно поставить целостность и доступность информации, обладание которой необходимо для осуществления нормальной жизнедеятельности. Например, участившиеся случаи искажения информации («черного шара») во время выборов. Конфиденциальность здесь не играет ключевой роли, хотя следует отметить, что физические лица на сегодняшний день являются самыми незащищенными субъектами информационных отношений.