- •Основные угрозы безопасности информации. Антропогенные источники угроз.
- •Общее представление об организационной защите информации.
- •Основные организационные меры защиты информации (регламентация, побуждение и т.Д.).
- •Основные управленческие (организационные) мероприятия по защите информации.
- •Ограничительные меры по защите информации (регламенты и т.Д.)
- •Информационная безопасность: основные представления о риске и ущербе
- •Методология анализа рисков
- •Качественная оценка рисков
- •Количественная оценка рисков.
- •Методы экспертных оценок. Стадии экспертного опроса при анализе информационных рисков.
- •Основные проблемы при анализе рисков
- •Категорирование защищаемых информационных ресурсов
- •Система видеонаблюдения при защите информации
- •Система пожарной сигнализации объекта: общие представления
- •Организационно-технические мероприятия по защите информации
- •Основные представления о зонах безопасности при организации защиты информации
- •Подбор кадров и методы работы с персоналом для обеспечения иб объекта
- •Особенности приема сотрудников, связанных с владением конфиденциальной информацией
- •Способы обеспечения эффективной работы персонала по информационной безопасности
- •Контроль и мотивация сотрудников при организации защиты информации
- •Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •Защита информации при авариях, иных экстремальных ситуациях и в условиях чрезвычайного положения
- •Обобщенная схема анализа риска
- •Организационно-режимные процессы по планированию восстановления информационной безопасности в условиях чс
- •Мероприятия по подготовке к чс
- •Организация пропускного режима на предприятии
- •Организация внутриобъектового режима на предприятии
- •Порядок пропуска транспортных средств
- •Организация режима и охраны мобильных устройств и объектов в процессе транспортировки
- •Технологии обеспечения информационной безопасности: основные представления.
- •Организация и обеспечение конфиденциального делопроизводства
- •Последовательность работы с конфиденциальной информацией
- •Организация процесса обеспечения защиты конфиденциальной информации
- •Защита информации при проведении совещаний и переговоров
- •Защита информации на выставках
- •Защита информации при работе с посетителями
- •Основные представления о политике информационной безопасности
- •Регламенты процессов защиты информации
- •Защита персональных данных в автоматизированных системах
- •Защита персональных данных в неавтоматизированных системах
- •II. Особенности организации
- •III. Меры по обеспечению безопасности
Количественная оценка рисков.
1)при расчете рисков часто применяется формула представляющая собой произведение трех параметров: 1)стоимость ресурса, 2)мера уязвимости ресурса к угрозе, 3)оценка вероятности реализации угрозы.
2)количественная оценка рисов может быть основана на следующих параметрах: 1)частота появления события приносящего ущерб(если событие происходит раз в пять лет то показатель 1/5), 2)ожидаемый единичный ущерб, 3)ожидаемый годовой ущерб
Пример:
Общая стоимость информационных ресурсов 10мил.$. В результате атаки ущерб 30%. Такая атака может случится раз в 10 лет. Какой оптимальный расход в год на предотвращение риска?
30%=300000$
Р=300000*0.1(раз в 10 лет)=30000$
Методы экспертных оценок. Стадии экспертного опроса при анализе информационных рисков.
Методы экспертных оценок: метод Дельфи, метод снежного кома, комиссии круглого стола, дерева целей и т.д.
Методы экспертных оценок применяются в следующих случаях:
1)связь между исследуемыми явлениями носит качественный характер.
2)входная информация не полная и не возможно предсказать влияние всех факторов
3)возникли экстремальные ситуации требующие объективного принятия решений
Стадии экспертного опроса:
1)формулировка целей экспертного опроса
2)подбор основного состава рабочей группы
3)разработка и утверждение технического задания на проведение экспертного опроса.
4)разработка подробного сценария сбора и анализа экспертных мнений
5)подбор экспертов в соответствии с их компетентностью.
6)формирование экспертной группы
7)проведение сбора экспертной информации
8)анализ экспертной информации
9)интерпретация полученных результатов и подготовка заключения
10)принятие решение, выбор альтернативы
Основные проблемы при анализе рисков
1. Любой риск субъективен.
2. Зависимость какой-либо величины имеет экспоненциальный характер.
3. Кумулятивный (накопительный) эффект – один риск накладывается на другой.
Категорирование защищаемых информационных ресурсов
Согласно законодательству РФ применяют следующую классификацию на группу конфиденциальности:
Открытая информация (ОИ);
Для внутреннего использования (ДВИ);
Конфиденциальная информация (КИ);
ДВИ –внутренняя информация, циркулирующая в сети компании потери которой не влечёт губительных последствий для её деятельности.
Для ДВИ необходимо соблюдать следующие принципы: обеспечение целости, доступности, конфиденциальности.
Для открытой информации Важно соблюдение принципов целостности и доступности.
Конфиденциальность отражает ограничение которое накладывает собственник информации на доступ к ней других лиц.
1)персональные данные
2)служебная информация
3)коммерческая тайна
4)интеллектуальная собственность
5)профессиональная тайна
Категории конфиденциальности защищаемой информации:
Строго конфиденциальная;
Конфиденциальная;
Открытая;
Категории целостности защищаемой информации
Высокое условие требование;
Низкое условие требования.
Категории функциональных задач при защите информации
Степени доступности функциональных задач:
Беспрепятственная доступность;
Высокая;
Средняя;
Низкая;
Средства и методы физической защиты информации
Система физической защиты объектов - совокупность правовых норм, организационных мер, инженерно- технических решений направленных на защиту от угроз источниками которых являются физические воздействия злоумышленника.
Основные подсистемы современной СФЗ (системы физической защиты)
Основные подсистемы современной системы физической защиты:
1)система охраны периметра
2)система контроля и управления доступом
3)система охранной сигнализации
4)система видеонаблюдения
5)охранно-пожарная система
6)система оперативной связи, охранного оповещения
7)система электропитания
8)система хранения - сейфы, шкафы
Технические средства охранной сигнализации периметра
Охрана периметра включает:
Оборудование контролированное инженерными заграждениями
Оборудования контролируемые территории датчиками
Организация реагирования на не санкционированные действия нарушителя
Существенные признаки, используемые для скрытых объектов меняющие признаки среды:
Механические (плотность твёрдость);
Электрические и магнитные (электропроводность);
Электромагнитные (способность отражать, пропускать и преломлять электромагнитные излучения)
Термические (теплопроводность, термические)