- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
Термин вероятность имеент неск-ко разных значений. Наиболее часто встречаются 2 толкования, кот. обознач-ся соотв-но как объективная и субъективная вероятность.
Объективная вер-ть – относит-ная частота появления к-л события в общем объёме наблюдений или отношения числа благоприятных исходов к общему кол-ву наблюдений. Это понятие примен-ся при анализе рез-тов большого числа наблюдений, имевших место в прошлом, или полученных как рез-ты работы моделей, описывающих некоторые процессы.
Субъектиныя вер-ть – мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место как меру уверенности в возможности наступления события субъективная вер-ть м.б. формально представлена различными способами (вероятность распределения множества событий). Наиболее часто представляет вроятностную меру, полученную экспертным путём. Процесс получения субъективной вер-ти разделяют на 3 этапа:
подготовительный – формир-ся объект исследования – множество событий, а также выполняется предварит-ный анализ свойств этого множества. Устанавливется зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий.
На основе анализов выбирается 1 из подходящих методов опр-ия субъективной вер-ти. Производится подготовка эксперта или группы экспертов, ознакомление их с выбранным методом и проверка понимания ими поставленных задач;
Этап получения оценок – применение методов, выбранных на 1ом этапе. Рез-том этого этапа явл-ся набор значений, кот. отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события;
Этап анализа полученных оценок – исследуются рез-ты опроса, если вер-ти, представленные экспертами, не согласуются с аксиомами вер-ти, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксилм.
Для некоторых методов получения субъективной вер-ти 3ий этап исключается, поскольку сам метод состоит в выборе подчиняющегося аксиомам вер-ти распределения, которое в том или ином смысле наиболее близко к оценкам экспертов. Особую важность 3ий этап приобретает при агригировании (обобщении) оценок, предложенных группой экспертов.
23. Оценка рисков по двум факторам.
В простейшем случае приводится приводится оценка 2х факторов: вер-ть происшествия и тяжесть возможных последствий. Риск в таком случае можно рассчитать по формуле:
R=Pпр*С
R-величина риска
Pпр-вер-ть происшествия
С-размер ущерба
Если переменные являются колич-ыми величинами, то риск - это оценка мат. ожидания потерь. Когда переменные - качественные величины, метрическая операция умножения не определена. Т.о. в явном виде формулы применить невозможно. В этом случае действуют след. образом: изначально опр-ся шкалы субъект-ой вероятности событий, серьёзности проишествия и оценки риска.
Рассмотрим пример таких шкал:
1) субъективная шкала вер-ти событий - А-событие почти никогда не происходит, В-происходит редко, С-вер-ть события за рассм-ый промежуток времени около 50%, D-событие скорее всего произойдёт, Е-наиверняка произойдёт
2) субъективная шкала сеерьёзности проишествий -
N-Negligible - воздействием можно принебречь
Mi-Minor - незначит-ое происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно
M0-Moderate - происшествие с умеренным ущербом, ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое, не затрагивает критически важные задачи
S-Serios - происшествие с серьёзными последствиями: ликвидация связана со значит-ыми затратами, воздействие на ИТ ощутимо, влияет на выполнение ряда критических задач
Cr-Critical - происшествие приводит к невозможности решения критически важных задач
3) шкала оценки рисков
H-низкий
Cр-средний
Bc-высокий
Риск, связанный с конкретным событием, зависит от 2 факторов и м.б. определён по таблице:
Вероятность |
Ущерб |
||||
|
N |
Mi |
Mo |
S |
Cr |
A |
Н |
Н |
Н |
Ср |
Ср |
B |
Н |
Н |
Ср |
Ср |
Вс |
C |
Н |
Ср |
Ср |
Ср |
Вс |
D |
Ср |
Ср |
Ср |
Ср |
Вс |
E |
Ср |
Вс |
Вс |
Вс |
Вс |
Шкалы факторов риска и сама таблица м.б. построены иначе, иметь другое число градаций. При разработке (использовании) методик оценивании рисков необходимо учитывать особенности:
1) значения шкал д.б. четко :)) определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки
2) требуется обоснование выбранной таблицы, следует убедиться что разные инциденты, характер0ся одинаковыми сочетаниями факторов риска имеют с точки зрения экспертов одинаковый уровень рисков