- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
Средства защиты информации.
Способы защиты информации реализованные в информационных системах с применение различных средств делятся на:
-формальные:
выполняют свои функции преимущественно без участия человека
-неформальные:
основу содержания составляет целенаправленная деятельность человека
Формальные делятся на техническе(физические и аппаратные) и программные.
Неформальные делятся на организационные, законадательные и морально-этические.
Средства защиты:
1. Физические. Это механические, электрические, электро-механические, электронные и прочие устройства и системы, которые функционируют автономно, создавая препятствия на пути дистабилизирующих факторов.
2. Аппаратные. Электронные и электронно-механические устройства, встраиваемые в аппаратуру для защиты информации.
3. Программные. Пакеты программ или отдельные программы, включаемые в состав ПО системы для защиты информации.
4.Организационные. Организационно-технические мероприятия, предусмотренные в технологии функционирования ИС для защиты информации.
5.Законодательные. Нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц имеющих отношение к функционированию системы за нарушение правил обработки информации в следствии чего может быть нарушена её защищенность.
6.Морально-этические. Сложившиеся в обществе/коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения.
Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
На объектах информатизации м.б. установлены основные тех.средства и системы (ОТСС) и вспомогательные тех.средства и системы (ВТСС).
ОТСС – средства выч.техники АС различного назначения, тех.средства приёма, передачи и обработки инфы (телефонии, устройства звуковоспроизведения, изготовление и тиражирования док-тов, и другие технические средства обработки инфы) используемые для обработки конфиденциальной информации.
ВТСС – тех.средства и системы, кот. не участвуют в обработке, но посредством наводок на которую возможна утечка защищаемой инфы.
Объекты информатизации:
1.выч.техники (проводится обработка инфы с помощью ОТСС)
2.помещение:
2.1 Выделеное. Предназначенные для конфиденц. переговоров или в кот. размещены средства различной тех.связи, т.е это объекты, где циркулируют речевая инфа, подлежащая защите.
2.2 Режимное помещение, в нем расположены средства выч.техники, обрабатывающие и защищающие инф-ю, т.е. в этих помещениях не циркулирует речевая инф-я.
Аттестация – комплекс ораг.-техн. мероприятий, в рузльтате которых посредством аттестата соответсвия подтверждается, что объект соответствует требованиям стандартов
Наличие на объекте информации действующего аттестата дает право обрабатывать информацию с уровнем секретности, конфиденциальности на период времени, установленный в аттестате соответствия.
Обязательной аттестации подлежат объекты, предназначенные для обработки информации, состовляющие государственную тайну, управляющие экологически опасными объектами, ведение секретных переговоров и т.д.
Аттестация по требованиям безопасности предшествует началу обработки защищаемой информации и вызвана необходимостью официального подтверждения эффективности комплекса использующего на конкретном объекте мер и средств защиты информации.
При аттестации объекта информации подтверждается его соответствие по защите информации от утечки по возможным физическим каналам. Также проверяется наличие документации о проведении специальных проверок ОТСС и ВТСС и выделенных помещений на отсутствие закладных устройств.