- •21. Методы и средства инженерно- технической защиты информации на предприятии. Назначение. Состав. Классификация.
- •22. Назначение и общие принципы классификации ( категорирования) защищаемых помещений в плане защиты от утечки и физического проникновения.
- •23. Основные виды угроз информационной безопасности.
- •24. Значение антропогенной составляющей комплексной системы защиты информации на предприятии. Примеры возможных угроз.
- •25. Методология проведения анализа защищенности предприятия, как объекта защиты.
- •26. Категорирование информации, подлежащей защите на предприятии , в зависимости от направления его хозяйственной деятельности. Привести примеры.
- •27. Методология разработки частной модели угроз и оценки рисков хозяйственной деятельности предприятия.
- •28. Классификация подсистем комплексной системы защиты информации на предприятии. Краткая характеристика подсистем. Назначение, состав.
- •29. Примеры уязвимостей компонентов комплексной системы защиты информации к антропогенным и техногенным факторам на малом предприятии.
- •30. Демаскирующие признаки объектов защиты и их роль в разработке комплексной системы защиты информации.
24. Значение антропогенной составляющей комплексной системы защиты информации на предприятии. Примеры возможных угроз.
Антропогенные угрозы – связанные с деятельностью/бездействием человека.
Рассматриваются как действия злоумышленников, так и халатность, неосторожность. Эта группа угроз наиболее обширна и представляет наибольший интерес с точки зрения противодействия угрозам. Субъекты, действия которых могут привести к нарушению безопасности информаци могут быть как внешние, так и внутренние.
Внешние:
Криминальные структуры
Недобросовестные партнеры
Конкуренты
Политические противники
Недоброжелатели
Внутренние:
Персонал учреждения
Специально внедренные работники
Их возможные действия:
Кража (носителей информации, средств доступа(токены и т.д.))
Подмена (модификация, фальсификация)
Уничтожение (технических средств, носителей, ключевой информации)
Т.д.
Значение антропогенной составляющей КСЗИ на предприятии очень велико. В настоящее время, большинство хищений информации связано именно с антропогенным фактором.
Никто не застрахован от ошибок, поэтому риск антропогенных угроз возрастает.
25. Методология проведения анализа защищенности предприятия, как объекта защиты.
Задачи:
Повышение уровня защиты информации до приемлемого;
Оптимизация и планирование затрат на обеспечение информационной безопасности;
Обоснование инвестиций в системы защиты;
Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.
4 этапа:
Постановка задачи и уточнение границ работ
Сбор и анализ информации
Проведение анализа рисков
Разработка рекомендаций
26. Категорирование информации, подлежащей защите на предприятии , в зависимости от направления его хозяйственной деятельности. Привести примеры.
Одним из основных факторов, определяющих состав используемой предприятием информации ограниченного доступа и степень ее конфиденциальности является характер его основной деятельности.
По виду деятельности предприятия могут быть классифицированы следующим образом: производственные предприятия; предприятия, оказывающие услуги; торговые предприятия; добывающие предприятия; перерабатывающие предприятия; транспортные предприятия; предприятия, осуществляющие разные виды деятельности, и т.д.
КСЗИ предприятий, осуществляющих различные виды деятельности, отличаются специфическими особенностями, связанными с организацией и проведением организационных, правовых и технических мероприятий ЗИ.
Так, например, если предприятие осуществляет свою деятельность в области производства продукции военного назначения или в атомной энергетике, то в большинстве случаев такая деятельность связана с допуском к проведению работ со сведениями, составляющими государственную тайну. Вместе с тем большинство предприятий, производящих продовольственные товары, перерабатывающих сельхозпродукцию, с такими сведениями могут быть связаны только при наличии у них мобилизационного задания.
В условиях возрастающей конкуренции, в том числе недобросовестной, необходимость отнесения к коммерческой тайне любого из предприятий информации, «позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», является одним из основных условий успешного существования и развития предприятия. По этой причине указанный вид информации ограниченного доступа безусловно существует на каждом предприятии.
Персональные данные как вид информации ограниченного доступа также присутствуют на любом предприятии, и соответственно требуется принятие мер по их защите.
Служебная информация ограниченного распространения (с пометкой «Для служебного пользования») может быть получена предприятием в процессе его взаимодействия с федеральными органами исполнительной власти. Как правило, такие предприятия проводят работы по выполнению заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд.
Рассматривая влияние характера основной деятельности предприятий на построение КСЗИ, нельзя обойти стороной их классификацию по типу производственной кооперации:
замкнутые (производят конечный продукт без участия сторонних предприятий); КСЗИ таких предприятий не требует защищенных каналов связи для взаимодействия с контрагентами, решения вопросов ЗИ в договорных документах с контрагентами;
соисполнители (производят и поставляют предприятиям-исполнителям составную часть конечного продукта); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, наличия в договорных документах обязательств по ее охране, других вопросов, связанных с передачей защищаемой информации;
исполнители (производят конечный продукт в кооперации с предприятиями-соисполнителями); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, исполнения договорных обязательств по ее охране, юридической защиты информации с ограниченным доступом, содержащейся в реализуемой продукции, решения других вопросов, связанных с передачей защищаемой информации.
Одной из особенностей деятельности предприятия, влияющей на организацию и функционирование КСЗИ, является проведение предприятием работ в областях, имеющих отношение к безопасности государства. На таких предприятиях государство устанавливает ряд ограничений, связанных в первую очередь с защитой информации. Примером ограничений может служить постановление Правительства Российской Федерации от 11 октября 2002 г. № 755, которым утвержден Перечень объектов и организаций, в которые иностранные граждане не имеют права быть принятыми на работу. В него включены объекты и организации, осуществля- юшие работы, связанные с использованием информации ограниченного доступа:
объекты и организации Вооруженных Сил Российской Федерации, других войск и воинских формирований;
структурные подразделения по защите государственной тайны и подразделения, осуществляющие работы, связанные с использованием сведений, составляющих государственную тайну, органов государственной власти и организаций;
организации, в состав которых входят радиационно-опасные и ядерно-опасные производства и объекты, на которых осуществляются разработка, производство, эксплуатация, хранение, транспортировка и утилизация ядерного оружия, радиационноопасных материалов и изделий.