- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
У цьому розділі будуть описані перші три етапи процесу управління ризиками.
Вибір аналізованих об'єктів і рівня деталізації їх розгляду - перший крок в оцінці ризиків. Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру; проте якщо організація крупна, всеосяжна оцінка може зажадати неприйнятних витрат часу і сил. У такому випадку слід зосередитися на найбільш важливих сервісах, заздалегідь погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі.
Ми вже вказували на доцільність створення карти інформаційної системи організації. Для управління ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси обрані для аналізу, а якими довелося знехтувати. Якщо ІС міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або істотно змінилися сервіси потребують розгляду.
Взагалі кажучи, уразливим є кожен компонент інформаційної системи - від мережевого кабелю, який можуть прогризти миші, до бази даних, яка може бути зруйнована через невмілих дій адміністратора. Як правило, у сферу аналізу неможливо включити кожен гвинтик і кожен байт. Доводиться зупинятися на деякому рівні деталізації, знову-таки віддаючи собі звіт в наближеності оцінки. Для нових систем кращий детальний аналіз; стара система, що піддалася невеликим модифікаціям, може бути проаналізована більш поверхнево.
Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є одержання відповіді на два питання: прийнятні чи існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, допускає зіставлення із заздалегідь вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типова оптимізаційна задача, і існує досить багато програмних продуктів, здатних допомогти в її вирішенні (іноді подібні продукти просто додаються до книг з інформаційної безпеки). Принципова трудність, однак, полягає в неточності початкових даних. Можна, звичайно, спробувати отримати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але великого сенсу в цьому немає. Практичний користуватися умовними одиницями. У найпростішому і цілком допустимому випадку можна користуватися трибальною шкалою. Далі ми продемонструємо, як це робиться.
При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, слід, звичайно, враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною точкою тут є уявлення про місію організації, тобто про основні напрямки діяльності, які бажано (або необхідно) зберегти в будь-якому випадку. Висловлюючись об'єктно-орієнтованою мовою, слід в першу чергу описати зовнішній інтерфейс організації, що розглядається як абстрактний об'єкт.
Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використання. Ці відомості доцільно нанести на карту ІС як грані відповідних об'єктів.
Інформаційною основою скільки-небудь великої організації є мережа, тому в число апаратних активів слід включити комп'ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве обладнання (мости, маршрутизатори і т.п.).До програмних активів, ймовірно, будуть віднесені операційні системи (мережева, серверні та клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (у яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані за типами і ступеня конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.
Управління ризиками - процес далеко не лінійний. Практично всі його етапи пов'язані між собою, і після закінчення майже будь-якого з них може виникнути необхідність повернутись до попереднього. Так, при ідентифікації активів може виявитися, що обрані межі аналізу слід розширити, а ступінь деталізації - збільшити. Особливо важкий первинний аналіз, коли багаторазові повернення до початку неминучі.