- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
При обеспечении режима ИБ важное место отводится задаче анализа инф. рисков и упр-ия ими. В не зависимости от размеров организации и специфики её ИС работы по обеспечению режимов ИБ обычно состоят из ряда этапов, каждое из которых приводит к опр-ым рез-там, этапы работ и рез-ты по каждому из них можно представить в виде рис.:
1)Определение политики ИБ Документы определяющие политику безопасности
2)Установление границ в которых предполагается поддерживать режим ИБ Документы определяющие границы инф. Системы
3)Проведение оценки риска Документы в которых описываются угрозы, уязвимости, возможные результаты негатив. Воздействий
4) Выбор контр. Мер и упр. Рисками Контр. Меры, структурирование
5) Выбор средств обеспечения режима ИБ Комплексная система ИБ на всех этапах ИС
6)Сертификация систем управления ИБ на соответствие Заключение аудитора
19. Последовательность определения политики безопасности.
Как правило, опр-ие ПБ сводится к ряду практич-их шагов:
выбор нац-ых и междун-ых док-тов и стандартов в области ИБ и формулирования на их базе основных требований и положений политики ИБ
выработка подходов к упр-ию информ-ыми рисками и принятия решений о выборе уровня защищ-ти ИС (может быть базовым или повышенным), соотв-но для этих уровней использ-ся минимальный или полный вариант анализа информ-ых рисков
структуризация контрмер по ЗИ инф по след-щим основным уровням: администр-тивный, процедурный, программно-технич-ому
установление порядка сертификации и окредитации ИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в т.ч. периодич-ого пересмотрения категорий ИБ, а также порядка обучения польз-лей ИС
Назначение периодичности проведения совещаний по тематике инф. безопасности на уровне руководства, в том числе периодичности пересмотра положений ПБ и всех катгорий пользователей ИС.
20. Способы управления рисками.
Разрабатывается стратегия управления рисками. Возможны след-щие подходы к упр-ию информ-ыми рисками:
1) уменьшение риска. Многие риски удаётся снизить с помощью дешёвых и простых контмер;
2) уклонение от риска. Используя ряд методов проектирования ИС и посторения систем защиты, от нек-ых рисков можно уклониться;
3) изменение хар-ра риска (например можно добиться за счёт страховки оборудования, договор с поставщиками СВТ и разработчиками ТО о сопровождении и компенсации ущерба, вызванными нештатными ситуациями);
4) принятие риска. Многие риски невозможно уменьшить до малой величины. На практике после принятия стандартного набора контмер нек-ые риски уменьш-ся, но стаютя всё ещё значимыми - необходимо оценить остаточную величину риска и принять её.
21. Шкалы и критерии измерения информационных рисков.
Шкалы м.б.: 1) прямыми(естественными) и 2) косвенными(произвольными)
В ряде случаев прямых шкал не сущ-ет, приходится исп-ть либо прямые шкалы других свойств, связанными с интересующими нас, либо определять новые шкалы. Например: шкала для измерения субъективного св-ва «ценности информационного ресурса». Эта ценность может измеряться в единицах измерения производных шкал, таких как стоимость восстановления ресурсов, время восстановления ресурса и т.д. Другой вариант опр-ть шкалу для получения экспертной оценки, имеющую, например, 3 значения:
1) малоцееный информ-ный ресурс;
2) ресурс средней ценноси;
3) ценный ресурс.
Для измерения рисков не сущ-ет естественной шкалы, т.о. риски можно оценивать по:
Объективным критериям – вероятность выхода из строя к-л оборудования за опр-ный промежуток времени;
Ао субъективным критериям – оценка владельцем информац-ого ресурса или экспертом риска выхода из строя оборудования.
В случае субъективных критериев обычно разрабатывается качественная шкала с несколькими градациями (низкий, средний, высокий уровни).
В методиках анализа рисков, как правило, исп-ся субъективные критерии, измеряемыми в качественных единицах, поскольку: 1) оценка должна отражать субъективную точку зрения владельца информац-ых ресурсов; 2) должны учитываться не только технич-ие аспекты, но и организац-ые, психологич-ие и т.д.
Для получения субъективной оценки можно воспользоваться прямой экспертной оценкой, либо опред-ть ф-ию, преобразующую объективные данные (вероятность) в субъективную шкалу рисков. Субъективные шкалы бывают количественными и качественными, но на практике, как правило, применяются качественные шкалы на 3-7 градаций.