- •Стс. Деструктивные компоненты регулятора г (простейшие операции).
- •Опасности в информационном киберпространстве. Технологии, управление, ресурсы.
- •3. Специфика реализации иоа.
- •4. Тактики реализации информационных операций и атак.
- •5. Стратегии реализации иоа.
- •Модели и методы криптозащиты.
- •Классификация и характеристика алгоритмов шифрования.
- •8. Шифр «Люцифера».
- •Режимы работы и характеристика четырех основных блочных алгоритмов.
- •Стандарт des. Стандарт гост28147-89.
- •Техническая реализация современных методов несанкционированного доступа к информации.
- •12. Характеристика асимметричных криптосистем
- •Эцп. Назначение, свойства, механизм реализации
- •Однонаправленные хеш. Свойства и применение
- •15. Информация как объект права собственности.
- •16. Анализ рисков. Методы и способы реализации.
- •17. Классификация предприятий по отношению к защите информации
- •18. Стеганография. Назначение, приемы и методы.
16. Анализ рисков. Методы и способы реализации.
Управление рисками – процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
5 уровней зрелости организации в соответствии с моделью Software Engineering Institute, Carnegie Mellon University.
Уровень 1. "Анархия"
Симптомы:
- сотрудники сами определяют, что хорошо, а что плохо
- затраты и качество не прогнозируются
- отсутствуют формализованные планы
- отсутствует контроль изменений
- высшее руководство плохо представляет реальное положение дел
Уровень 2. "Фольклор"
Симптомы:
- выявлена определенная повторяемость организационных процессов
- опыт организации представлен в виде преданий корпоративной мифологии
- знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
Уровень 3. "Стандарты"
Симптомы:
- корпоративная мифология записана на бумаге
- процессы повторяемы и не зависят от личных качеств исполнителей
- информация о процессах для измерения эффективности не собирается
- наличие формализованного описания процессов не означает, что они работают
- организация начинает адаптировать свой опыт к специфике бизнеса
- производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности
- вырабатывается стратегия развития компетентности
Уровень 4. "Измеряемый"
Симптомы:
- процессы измеряемы и стандартизованы
Уровень 5. "Оптимизируемый"
Симптомы:
- фокус на повторяемости и измеряемости
- вся информация о функционировании процессов фиксируется
Зрелая организация имеет зрелых руководителей. В развитие модели SEI мной разработана начальная версия зрелости руководителя.
ISO 17799 – определяет уровень информационной безопасности и правила поведения при реализации защиты информации.
Риск – вероятность возникновения инцидента в результате того, что имеющаяся уязвимость будет способствовать реализации угрозы.
Технология управления режимом информационной безопасности включает следующие этапы:
-документирование
-категорирование
-определение возможного воздействия различного рода происходящих в области безопасности на информационную технологию
-анализ рисков
-управление рисками на всех этапах жизни цикла
-аудит в области ИБ
Актуальные вопросы изменения параметров. Начинают применяться количественные методы оценки, измеряющие остаточные риски и эффективность различных видов контрмер.
Постановка задачи:
Выбрать вариант подсистемы ИБ, оптимизиированный по критерию стоимость-эффективность при заданном уровне остаточных рисков.
Выбрать вариант подсистемы ИБ, при которой минимизируются остаточные риски, при фиксированной стоимости подсистемы безопасности.
Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.
Оценивание рисков.
- шкалы и критерии
- оценка вероятностей событий
- технологии измерения рисков
Объективная вероятность – вероятность выхода из строя оборудования за определенный промежуток времени
Субъективная вероятность – оценка владельцем информационного ресурса риска выхода из строя ПК.
Оценка должна отражать субъективную точку зрения владельца информационного ресурса, должны быть учтены различные аспекты, а не только технические (организационные, технические).
Измерение риска.
Существует ряд подходов: по 2 факторам, по 3 факторам.
По 2 факторам: риск=Рпроисшествия*Цена_потери (р-вероятность).
Вариант использования качественных величин. Опеределяется качественная шкала вероятности событий:
А-событие практически никогда не происходит
В-случатся редко
С-вероятность события за период времени примерно0,5
Д-скорее всего произойдет
Е- почти обязательно произойдет.
Оценка риска по 3-м факторам:
Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, допустимости, конфедициальности информации.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.
Цена потери: Рпроисшествия=Ругрозы*Руязвимости.
РИСК=Ругрозы*Руязвимости*Цена потерь.