- •Сущность и понятие информационной безопасности.
- •О бщая схема обеспечения информационной безопасности. Понятия защита информации, защита от информации.
- •Модель безопасности cia, другие категории модели безопасности
- •Направления обеспечения безопасности
- •Основные законы информационной безопасности рф.
- •Задачи и цели системы безопасности
- •Понятие субъектов и объектов обеспечения иб.
- •8. Сущность и понятие защиты информации
- •Понятие уязвимости информации. Виды уязвимости информации
- •Понятие утечки информации
- •Понятие угрозы. Классификация угроз
- •Внутренние и внешние антропогенные угрозы
- •Понятие «нарушитель» и «злоумышление».
- •Организационное обеспечение зи.
- •15.Классификация способов и средств зи.
- •16.Понятие зон безопасности защищаемого объекта.
- •17.Обобщенная схема охраны и защиты предприятия.
- •18.Понятие «носитель информации». Классификация источников и носителей информации.
- •19.Способы фиксирования информации на носителях.
- •21.Понятие конфиденциальной информации. Виды тайны конфиденциальной информации.
- •22.Государственная тайна. Сведения, отнесенные к гостайне. Степени секретности гостайны.
- •23.Коммерческая тайна. Сведения, отнесенные к коммерческой тайне.
- •24.Служебная тайна. Сведения, отнесенные к служебной тайне.
- •25.Понятие личной тайны. Сведения, отнесенные к личной тайне.
- •26.Профессиональная тайна. Сведения, отнесенные к профессиональной тайне.
- •27.Понятие дестабилизирующего воздействия. Классификация дестабилизирующего воздействия на информацию.
- •28.Источники дестабилизирующего воздействия
- •20.Виды отображения информации на носителях.
- •15.Классификация способов и средств зи.
- •16.Понятие зон безопасности защищаемого объекта.
- •17.Обобщенная схема охраны и защиты предприятия.
- •18.Понятие «носитель информации». Классификация источников и носителей информации.
- •19.Способы фиксирования информации на носителях.
- •21.Понятие конфиденциальной информации. Виды тайны конфиденциальной информации.
- •22.Государственная тайна. Сведения, отнесенные к гостайне. Степени секретности гостайны.
- •23.Коммерческая тайна. Сведения, отнесенные к коммерческой тайне.
- •24.Служебная тайна. Сведения, отнесенные к служебной тайне.
- •25.Понятие личной тайны. Сведения, отнесенные к личной тайне.
- •26.Профессиональная тайна. Сведения, отнесенные к профессиональной тайне.
- •27.Понятие дестабилизирующего воздействия. Классификация дестабилизирующего воздействия на информацию.
- •28.Источники дестабилизирующего воздействия
- •20.Виды отображения информации на носителях.
- •42.Мероприятия по защите информации.
- •43.Каналы распространения информации
- •44.Понятие собственник и владелец информации
- •45.Основные технологии построения защищенных информационных систем
- •46.Политика безопасности предприятия
- •47.Понятие информационного риска. Стратегия управления риском.
- •48.Управление риском.
- •49.Методы оценки информационного риска.
- •50.Табличный способ оценки информационного риска.
- •51.Оценка риска с помощью построения нечеткой когнитивной карты
- •52.Понятие стеганографии
- •53.Кадровое обеспечение зи.
- •54.Криптология. Основные криптологические алгоритмы
- •55.Квантовая криптология.
48.Управление риском.
Управление рисками - это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий. Процесс управления рисками проекта обычно включает выполнение следующих процедур: 1. Планирование управления рисками - выбор подходов и планирование деятельности по управлению рисками проекта. 2. Идентификация рисков - определение рисков, способных повлиять на проект, и документирование их характеристик.3. Качественная оценка рисков - качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта.4. Количественная оценка - количественный анализ вероятности возникновения и влияния последствий рисков на проект.5. Планирование реагирования на риски - определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ. 6. Мониторинг и контроль рисков - мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.
Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте.
Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов:
Уменьшение риска Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.
Уклонение от риска От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Изменение характера риска Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры: оборудование может быть застраховано от пожара; могут быть заключены договора с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями. Принятие риска Многие риски не могут быть уменьшены до пренебрежимо малой величины. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска.
49.Методы оценки информационного риска.
В методиках анализа рисков ИБ обычно применяют субъективные критерии, для измерения которых используют качественные шкалы. Это связано с тем, что оценка риска должна отражать субъективную точку зрения владельца информационных ресурсов, а также учитывать не только техническую, но и организационную и правовую стороны обеспечения ИБ.
Для правильного оценивания рисков очень важно рассчитать вероятность того или иного события. Применительно к оценке рисков ИБ используют два толкования вероятности: вероятность бывает объективная и субъективная. Под объективной вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений. Этот подход применяется при анализе результатов большого числа наблюдений. Под субъективной вероятностью понимается мера уверенности эксперта (или нескольких экспертов) в том, что данное событие произойдет.
Для оценки рисков существует ряд подходов. Наиболее распространенные из них – оценка рисков по двум и трем факторам.
Суть оценки рисков по двум факторам заключается в том, что риск тем больше, чем больше вероятность инцидента и ущерб причиненный им. Данную оценку можно выразить формулой:R = PI o C, где R (Risk) – значение риска, PI (Incident Probability) – вероятность инцидента, C (Cost) – возможный ущерб. Если P и C – количественные величины, то символ o – обозначает обычную операцию умножения и R – это математическое ожидание потерь. Если переменные – качественные величины, то умножение не определено и для расчета уровня риска обычно строят таблицы рисков.
Второй подход к оценке рисков заключается в использовании методик, учитывающих три фактора: угроза, уязвимость, ущерб.
Под понятием «угроза» понимают совокупность условий и факторов, которые прямо или косвенно могут стать причиной нарушения целостности, доступности и конфиденциальности информации в информационной системе, или выхода из строя элемента или всей системы.
Под понятием «уязвимость» понимают некоторое «неудачное» свойство СЗИ или ИС, которая дает возможность реализовать ту или иную угрозу. В основе методов оценки угроз и уязвимостей могут лежать:1) Экспертные системы. 2) Статистические данные. 3) Учет факторов, влияющие на уровни угроз и уязвимостей.
При трехфакторном подходе оценку риска можно выразить формулой:R = PI o C, PI = PT · PV, где PT (Threat Probability) – вероятность угрозы, PV (Vulnerability Probability) – вероятность уязвимости. Аналогично, как в предыдущем подходе, символ o – обозначает обычную операцию умножения, в случае если измерительные шкалы количественные. В ином случае, вновь прибегают к табличному способу оценки рисков, но в зависимости от трех факторов.