- •1.Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.
- •2.Система обеспечения информационной безопасности хозяйствующего субъекта: цели, задачи, виды обеспечения.
- •4.Объекты защиты: понятие, классификация, особенности организации защиты (защищаемая информация, носители, технология).
- •5.Управление ксзи хозяйствующего субъекта: понятие, задачи управления.
- •6.Классификация и анализ угроз информационной безопасности хозяйствующего субъекта.
- •7.Анализ и управление рисками информационной безопасности хозяйствующего субъекта: понятие, подходы к управлению рисками.
- •8.Организационное обеспечение ксзи: понятие, структура.
- •9.Правовое обеспечение ксзи: понятие, структура.
- •10.Концепция и политика безопасности как основные элементы ксзи.
- •11.Кадровое обеспечение ксзи: понятие, структура, подготовка.
- •12.Подбор кадров в подразделения ксзи: показатели оценки качества кадров ксзи, особенности организации кадровой работы, требования, предъявляемые к сотрудниками ксзи.
- •13.Финансово- экономические обеспечение ксзи: понятие, структура.
- •14.Структурирование затрат на информационную безопасность хозяйствующего субъекта.
- •15.Модели оценки эффективности функционирования ксзи: виды, краткая характеристика.
- •16.Инженерно-техническое обеспечение ксзи: понятие, структура.
- •17.Инженерно-техническая защита территории и помещений: понятие, структура.
- •18.Инженерно-техническая защита от утечки по техническим каналам: понятие, структура.
- •19.Программно-аппаратное обеспечение ксзи: понятие, структура.
- •20.Перечень сведений, подлежащих защите в организации: понятие, порядок формирования и утверждения.
Вопросы
Вопросы по КСЗИ
1.Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.
Под системой обеспечения информационной безопасности (СОИБ) будем понимать функциональную подсистему системы комплексной безопасности хозяйствующего субъекта, объединяющую силы, средства и объекты защиты информации, организованные и функционирующие по правилам, базирующимся на положениях правовых, организационно-распорядительных и нормативных документов по защите информации. Под силами СОИБ будем понимать совокупность органов и (или) исполнителей работ, связанных с защитой информации в интересах данного хозяйствующего субъекта. Следовательно, под силами СОИБ подразумевается существование некоторого структурного подразделения, выполняющего задачи управления функционированием данной системы. Характер и количественные характеристики сил СОИБ будут зависеть от размера хозяйствующего субъекта, характера и степени конфиденциальности имеющейся информации, а также от объема затрат на выполнение указанных задач.
Средства защиты информации – это совокупность правовых, организационных, технических и других решений, предназначенных для защиты информационных ресурсов хозяйствующего субъекта от несанкционированных внутренних и внешних воздействий.
Под объектами защиты информации будем понимать информационные ресурсы, т.е. любые виды активов информационной системы хозяйствующего субъекта: структурированная и неструктурированная информация, документы, вычислительная техника, коммуникационное и сетевое оборудование, оргтехника и др.
В качестве примера системности в реализации работ по обеспечению информационной безопасности приведем положения американской концепции системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security), которая строится на 7 этапах реализации
Первый этап (анализ объекта защиты) состоит в определении того, что нужно защищать и проводится по следующим направлениям:
- какая информация нуждается в защите;
- наиболее важные (критические) элементы защищаемой информации;
- срок жизни критической информации (время, необходимое конкуренту для реализации деструктивных воздействий с использованием добытых сведений);
- определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
- классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).
Второй этап заключается в выявлении угроз. Он реализуется по следующим направлениям:
- определяется, кого может заинтересовать защищаемая информация;
- оцениваются методы, используемые конкурентами для получения этой информации;
- оцениваются вероятные каналы утечки информации;
- разрабатывается система мероприятий по пресечению действий конкурента.
Третий этап заключается в анализе эффективности принятых и постоянно действующих подсистем безопасности (физической безопасности документации, надежности персонала, безопасности используемых для передачи конфиденциальной информации линий связи и т.д.).
На четвертом этапе проводится определение необходимых мер защиты. На основе проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.
Пятый этап включает рассмотрение руководителями фирмы (организации) представленных предложений по всем необходимым мерам безопасности и расчет стоимости и эффективности их реализации.
На шестом этапе осуществляется реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.
На седьмом этапе осуществляется контроль и доведение до сведения персонала фирмы реализуемых мер безопасности.
Рассматриваемый метод требует серьезной работы аналитической группы по сбору и анализу информации:
- о рынке и конкурентном окружении;
- о производстве и продукции;
- об организационных особенностях предприятия и его финансах.