- •Сущность и понятие информационной безопасности.
- •Общая схема обеспечения информационной безопасности. Понятия защита информации, защита от информации.
- •Модель безопасности cia, другие категории модели безопасности.
- •Направления обеспечения безопасности.
- •Основные законы информационной безопасности рф.
- •Задачи и цели системы безопасности.
- •Понятие субъектов и объектов обеспечения иб.
- •Сущность и понятие защиты информации.
- •Понятие уязвимости информации. Виды уязвимости информации.
- •Понятие утечки информации.
- •Организационное обеспечение зи.
- •Классификация способов и средств зи.
- •Понятие зон безопасности защищаемого объекта.
- •Обобщенная схема охраны и защиты предприятия.
- •Понятие «носитель информации». Классификация источников и носителей информации.
- •Способы фиксирования информации на носителях.
- •Виды отображения информации на носителях.
- •Понятие конфиденциальной информации. Виды тайны конфиденциальной информации.
- •Государственная тайна. Сведения, отнесенные к гостайне. Степени секретности гос. Тайны.
- •Коммерческая тайна. Сведения, отнесенные к коммерческой тайне.
- •Служебная тайна. Сведения, отнесенные к служебной тайне.
- •Понятие личной тайны. Сведения, отнесенные к личной тайне.
- •Профессиональная тайна. Сведения, отнесенные к профессиональной тайне.
- •Понятие дестабилизирующего воздействия. Классификация дестабилизирующего воздействия на информацию.
- •Антропогенные источники дестабилизирующего воздействия на информацию.
- •Техногенные источники дестабилизирующего воздействия на информацию.
- •Стихийные источники дестабилизирующего воздействия на информацию.
- •Причины дестабилизирующего воздействия на информацию.
- •Уязвимости информационной системы. Классификация уязвимостей.
- •Соотношение дестабилизирующих воздействий с формами проявления уязвимости информации.
- •Инженерно-техническая зи.
- •Классификация итзи по используемым средствам.
- •Физические системы защиты информации.
- •Средства программной защиты.
- •Программные средства защиты информации
- •Цели защиты информации.
- •Направления обеспечения безопасности.
- •Защитные действия от неправомерного овладения конфиденциальной информацией.
- •Мероприятия по защите информации.
- •Каналы распространения информации.
- •Понятие собственник и владелец информации.
- •Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
- •Политика безопасности предприятия.
- •Понятие информационного риска. Стратегия управления риском.
- •Управление риском.
- •Методы оценки информационного риска.
- •Оценка риска
- •Табличный способ оценки информационного риска.
- •Оценка риска с помощью построения нечеткой когнитивной карты.
- •Понятие стеганографии.
- •Кадровое обеспечение зи.
- •Понятие персональных данных.
Понятие информационного риска. Стратегия управления риском.
Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
IT-риски можно разделить на две категории:
риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Стратегия управления риском - долгосрочные принципы и правила управления риском в организации, основанные на прогнозировании рисковых ситуаций и использовании различных методов управления рисками.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.
Управление риском.
Управление риском - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.