- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
Угрозы. Классификация по источнику.
Можно выделить 2 определения угрозы безопасности информации:
события или действия, которые могут вызвать изменение функционирования ИС, связанное с нарушением защищенности обрабатываемой информации, то есть с негативным действием на нее
совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или с несанкционированным и/или с непреднамеренным действием на нее. Данное определение приведено в ГОСТ Р 51.624-2000 ”Защита информации автоматизированной системы в защищенном исполнении”
Для 1-ого определения в качестве классификационных признаков выделяют:
вид наносимого ущерба
направленность угроз
Для 2-ого определения выделяют следующие классификационные признаки:
источник угроз
средства применяемые для реализации угроз
способы применяемые для реализации угроз
этапы жизненного цикла
случайность возникновения угроз
По источнику:
Выделяют 2 типа источника:
Внутренний
К нему относятся:
- нарушение персоналом режимов безопасности
- отказы и сбои в аппаратном обеспечении
- ошибки ПО
- деятельность преступных группировок и лиц
2. Внешний
К нему относятся:
- стихийные бедствия, катастрофы, аварии и т.д
- деятельность конкурирующих структур
- деятельность преступных группировок и лиц
Также по источнику угрозы можно разделить на:
1. Антропогенные (криминальные структуры, преступники хакеры, надобросовестные партнеры, тех. персонал, вспомогательный персонал и т.д)
2. Техногенные угрозы (сбои средств связи, сетей коммуникаций, основных и вспомогательных, технических и программных средств и т.д.)
3. Стихийные угрозы (пожары, наводнения, землятресения и т.д.)
Угрозы. Классификация угроз по направленности.
см. вопрос 11.
По направленности угроз является наиболее общепринятой и подразделяет все угрозы след. образом:
1. нарушение конфиденциальности информации
1.1 хищение;
утрата
2. нарушение целостности
модификация;
отрицание;
2.3навязывание ложной информации
3. нарушение доступности информации
3.1 блокирование;
уничтожение.
Угрозы. Классификация угроз по виду ущерба.
см. вопрос 11.
По виду наносимого ущерба:
Наносящие явный ущерб – т.е. ущерб заключающийся непосредственно в потере ценности обрабатываемой информации;
Наносящие косвенный ущерб – т.е. выводящие из строя аппаратуру и программное обеспечение. При этом ценность информации не теряется;
Наносящие непрямой ущерб – промышленный шпионаж, хищение программно-аппаратного обеспечения и документации, моральный ущерб.
Способы защиты информации.
1. Препятствия. Создание барьера на пути дестабилизирующего фактора.
2. Управление. Определение на каждом шаге функционирования ИС таких управляющих воздействий на элементы системы, следствием которых будет решение задач защиты информации.
3. Маскировка. Защищаемая информация предполагает такие преобразования в следствии которых она становится недоступной или доступ к ней затрудняется.
4. Регламентация. Разработка и реализация комплексов мероприятий, затрудняющих появление и воздействие дестабилизирующих факторов.
5. Принуждение. Пользователи и персонал системы вынуждены соблюдать правила и условия обаработки информации под угрозой материальной, административной или уголовной ответсвенности.
6. Побуждение. Пользователи и персонал побуждаются к соблюдению правил обработки информации за счет материальных, моральных, этических, психологических и др. мотивов.
Эти способы реализуются через средства защиты, которые делятся на формальные и неформальные.