- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
7. Планирование как элемент управления ксзи
Планирование – процесс выработки программы деятельности на предстоящий период.
Основные правила разработки планов:
1) правило формирования обобщенных целей
Достижение заданного результата при минимальных затратах
Достижение максимального результата при заданных затратах
2) виды планов:
Долгосрочное (перспективное, стратегическое)
Среднесрочное (рабочее, тактическое)
Текущее (исполнительное, оперативное)
3) принципиальные подходы:
Удовлетворение (результатами хорошего плана)
Оптимальность (разработка строго оптимального плана)
Адаптируемость (разработка гибкого плана, к-ый м.б. легко приспособлен к конкретным условиям)
4) требования:
Ориентация на конечный результат
Научно-техническая и экономическая обоснованность
Сочетание различных видов планирования
Планирование с перекрытием временных интервалов
Концентрация сил и средств на решение главных задач
Четкая адресация плановых заданий
5) способы планирования:
Анализ
Синтез
Итерация (поэтапно, по спирали)
6) стадии:
Обоснование целей и критериев
Анализ условий
Анализ ресурсов
Обоснование подлежащих решению задач
Согласование целей, задач, условий и ресурсов
Определение последовательности выполнения плановых заданий
Обоснование перечня обеспечивающих мероприятий
Обоснование мероприятий на случай непредвиденных обстоятельств
В зависимости от круга решаемых задач и необходимо скорости их выполнения планирование подразделяется на:
- оперативно-диспетчерское (для быстро текущих процессов)
- календарно-плановое.
Оперативно-диспетчерское планирование чрезвычайно индивидуально для каждого предприятия и для каждого подразделения. Результаты реализации планов обязательно необходимо документировать.
Функции календарно-планового руководства:
1) создание и поддержание условий, необходимых для эффективного выполнения планов
2) организация выполнения плановых заданий
3) контроль и анализ хода выполнения планов
4) корректировка планов (при необходимости)
5) отработка регламентных док.
8. Классификация задач зи
Класс задач – однородное в функциональном отношении множество задач, обеспечивающих полную или частичную реализацию одной или нескольких функций защиты.
Сформулированы 10 классов задач:
Введение избыточности элементов системы. Под избыточностью понимается включение в состав элементов системы дополнительных компонентов. Избыточные элементы функционируют одновременно с основными, что позволяет создавать системы, устойчивые относительно внешних и внутренних угроз. Различают избыточность:
Организационную (введение доп. численности людей)
Аппаратную (введение доп. техн. устройств)
Программно-алгоритмическую (введение доп. алгоритмов и программ)
Информационную (создание доп. инф. массивов)
Временную (введение доп. времени для проведения обработки инф.).
Резервирование элементов системы. Резервирование в некотором смысле противопоставимо введению избыточности: вместо введения в активную работу доп. элементов, наоборот, часть элементов выводится из работы и держится в резерве на случай непредвиденных ситуаций. Различают два вида резервирования:
горячее - когда выводятся в резерв элементы, находящиеся в рабочем состоянии и способные включаться в работу сразу, т.е. без проведения доп. операций включения и подготовки.
Холодное.
Регулирование доступа к элементам системы. Заключается в том, что доступ на территорию (в помещение, к тех. средствам, к программам и БД) будет предоставлен лишь при условии предъявления некоторой заранее обусловленной идентифицирующей инф.
Регулирование использования элементов системы. Заключается в том, что осуществление запрашиваемых процедур (операций) производится лишь при условии предъявления некоторых заранее обусловленных полномочий (авторизация).
Маскировка инф.
Контроль элементов системы – данный класс предполагает целый ряд проверок:
Соответствие элементов системы заданному им составу
Контроль текущего состояния элементов системы
Контроль работоспособности элементов системы
Контроль правильности функционирования элементов системы
Контроль состояния существенно значимых параметров внешней среды.
Регистрация сведений.
Уничтожение инф. Под уничтожение инф. понимается осуществление процедур своевременного уничтожения. + В реестрах или оперативных запоминающих устройств Одной из разновидностей явл. т.н. аварийное уничтожение, осуществляемое при явной угрозе доступа.
Сигнализация. Должна быть обратная связь.
Реагирование.
Количество задач по ЗИ: З=Ф*Р*В*Д З – количество задач, Ф – кол-во функций защиты (10), Р – количество рубежей защиты (в среднем 5), В – виды защиты (конфиденциальность, целостность, доступность), Д – количество дестабилизирующих факторов (в среднем 200).