- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
24. Оценка рисков по трем факторам.
В зарубежных методиках, расчитанных на более высокие требования, чем базовый уровень, исп-ся модель оценки рисков с 3мя факорами: угроза, уязвимость, цена потери.
Вер-ть происшествия, кот. в данном подходе м.б. объективной или субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Rпр=Pугр*Pуязв
R=Pугр*Pуязв*C
Данное выр-ие можно рассм-ть как матем-ую формулу, если исп-ся количественные шкалы, либо исп-ть табличные методы, в случае когда хотя бы 1 из шкал качественная.
Например, показатели рисков измер-ся по 8-бальной шкале след. образом:
1-риск практически отсутствует, т.к. происшествие на практике встречается редко, а ущерб невелик
...
8-риск очень велик, событие скорее всего наступит, последствия будут тяжёлыми, т таком случае м.б. использованиа таблица:
|
Ругр |
||||||||
Н |
Ср |
Вс |
|||||||
Руяз |
|||||||||
Н |
Ср |
Вс |
Н |
Ср |
Вс |
Н |
Ср |
Вс |
|
N |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Mi |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
Mo |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
S |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
Cr |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
25. Технологии оценки угроз и уязвимостей.
Как правило, для оценки угроз и уязвимостей применяютя различные методы, в основе кот. могут лежать:
1) экспертные оценки
2) статистич-ие данные
3) учёт факторов, влиющие на уровни угроз и уязвимостей
Один из возможных подходов разработки возможных подходов накопление статичтич-их данных, имевших место происшествия, анализ и классификация их причин, выявление факторов, от кот. они зависят и т.д. Эта инфа позволяет оценить угрозы и уязв-ти ИС, однако практич-ой реализации этого подхода препятствует след-щее:
1) д.б. собран обширный материал о происшествиях в этой области
2) данный подход оправдан далеко не всегда, если ИС крупная, имеет давнюю историю, то подход, скорее всего, неприменим, если же система невелика и эксплуатирует новейшие эл-ты ИТ, то оценки м.б. недостоверными.
Наиболее распространён в наст. время подход, основанный на учёте разл. факторов, влияющих на уровень угроз и уязвимостей. Он позволяет абстрагироваться от малосущественных технич-их деталей и принять во внимание не только программно-технич-ие, но иные аспекты.
26. Подходы к выбору допустимого уровня риска.
Связан с затратами на реализацию систем ИБ. Сущ-ют 2 подхода к выбору допустимого уровня рисков:
1) типичен для базового уровня без-ти - уровень остаточных рисков не примен-ся во внимание, затраты на программно-техн-ие средства защиты и организационные мероприятия, необходимые для соответствия ИС спецификациям базовым уровням являютя обязат-ными, их целесообразность не обсуждается. Дополн-ные затраты должны не превышать 5-15% средств, тратищихся на поддержание работы ИС
2) применяется для обеспечения повышенного уровня без-ти. В зависимости от уровня организации и хар-ра основной деят-ти обоснование выбора допустимого риска может проводиться разными способами.