Сущность организации производства
Организация производства на предприятии – это вид деятельности по объединению всех составляющих производственного процесса в единый процесс, а также по обеспечению их рационального взаимодействия и сочетания в целях достижения экономической и социальной эффективности производства.
Организация производства является залогом эффективной работы предприятия, так как она создает возможности для высокой производительности трудовых коллективов, выпуска качественного продукта, оптимального использования ресурсов предприятия, а также развития организационной культуры и личности в процессе работы. Осуществляется на всех уровнях иерархии управления предприятием.
Организация производства на предприятии и охватывает следующие виды деятельности:
определение, обоснование и постоянное совершенствование структуры предприятия;
планирование и обеспечение взаимосвязанной работы всех производственных процессов начиная с разработки продукта и до его непосредственной поставки потребителю;
планирование и реализация на практике организации структурных единиц производственной инфраструктуры;
обеспечение оптимального сочетания всех составляющих производства во времени;
создание для непосредственных участников процесса таких условий труда, которые бы представляли собой максимально эффективное соединение рабочей силы и средств труда;
сочетания оптимальных организационных форм и экономических методов ведения производства.
Об этих взаимосвязях свидетельствует содержание процесса организации производства:
определение цели и задач;
формирование трудовых коллективов для выполнения задач;
определение форм самоуправления;
разработка производственного задания, условий договоров;
выбор форм разделения и кооперации труда;
оснащение работников средствами производства;
разработка технологий производства продукции;
обоснование приемов и методов труда, рациональная организация рабочих мест;
выбор эффективной системы материального стимулирования работников;
установление системы контроля за выполнением производственного задания, условий договоров.
2. Промышленное предприятие как система.(из лекций)
Системой называется объективное единство закономерно связанных друг с другом предметов или целое, состоящее из частей, упорядоченных по определенному закону или принципу.
Предприятие – как система деятельности - выделенный из общественно-экономической среды самоорганизующийся комплекс элементов (коллективов людей, материальных и финансовых средств), связанных между собой цепью причинно-следственных взаимоотношений и управляемых на основе получаемой и передаваемой информации, в целях получения конечного продукта.
Сущность функционирования системы – движение информации, энергии и материалов, связанных с переработкой определенных видов (например, материалы, информация, инструменты, финансовые средства) для получения желаемых выходов (готовые изделия, услуги, информация, прибыль).
Первичным звеном системы (подсистемы) является элемент.
Элемент - объект, не поддающийся дальнейшему делению на части.
Элементы можно рассматривать как простые системы, т.е. системы, которые в данной взаимосвязи и на данном уровне исследований не разделяются на подсистемы.
При системном анализе производственного объединения элементом может быть входящий в его состав завод, а при анализе завода таким первичным элементом может быть цех. Элементами могут выступать не только материальные объекты, но и производственные процессы, функции и т.д.
Классификация элементов по содержанию:
В этом случае выделяются следующие элементы: коллективы людей, машины и оборудование, материалы, энергия и информация.
Все эти элементы взаимодействуют друг с другом, и предприятие можно рассматривать как сложную систему, включающую людей, материальные ресурсы и информацию.
Организационной структурой системы управления предприятием называется состав подсистем или элементов системы, каждому из которых соответствует определенная функция, а также организация связей и отношений между подсистемами или элементами системы.
В производственной системе предприятия выделяются следующие подсистемы:
социальная -комплекс отношений между людьми как организационное проявление системы;
производственно-техническая - материальные средства: комплекс машин и оборудования, материалов, инструментов, энергии;
подсистема информации -информационные элементы и их взаимосвязи;
подсистема защиты информационных ресурсов (система управления информационной безопасностью (СУИБ)).
В системе управления ИБ выделяются подсистемы:
Подсистема организационно-управленческой правовой защиты информации;
Подсистема защиты и обработки конфиденциальных документов;
Подсистема инженерно-технической защиты информации;
Подсистема физической защиты информации;
Подсистема программно-аппаратной защиты информации.
Подсистема защиты обработки конфиденциальных документов, как система выделяет подсистемы:
Бумажного конфиденциального документооборота;
Электронного конфиденциального документооборота.
Каждая из перечисленных подсистем имеет признаки системы, но не обладает обособленностью, присущей самостоятельным системам.
Нельзя назвать системой группу работающих на предприятии людей без материальных средств, и наоборот.
Классификация элементов предприятия по содержанию – выводы:
В теоретических исследованиях и в практической деятельности необходимо обеспечить комплексность деятельности путем привлечения специалистов разного профиля;
При проектировании организации производства каждая подсистема должна представлять собой законченное целое и вместе с тем быть неотъемлемой частью системы предприятия;
Для оценки организационных проблем и качества их решения необходимо применять широкий спектр критериев и показателей, так как комплексность организационных решений не позволяет ограничиваться традиционными показателями себестоимости, прибыли и т.д.
3.Функции, уровни и общие принципы организации управления предприятием.
Управление предприятием – это всестороннее его упорядочение, определяющее четкость, последовательность и доступные границы осуществления его деятельности:
целесообразное построение системы управления предприятием во времени и пространстве в соответствии с деятельностью в социально-экономической системе и задачами повышения эффективности работы предприятия
Для того чтобы наладить процесс управления, необходимо выполнить комплекс взаимосвязанных работ:
Организовать общность людей, наметить цели, сформировать орг. структуру, обеспечить необходимыми условиями и предметами труда, финансовыми и информационными ресурсами.
Функция управления – совершенствование структуры, взаимосвязей элементов социально-экономической системы в соответствии с изменениями окружающей среды.
Функции:
- обеспечение функционирования предприятия в соответствии с поставленными целями;
- совершенствование организационной структуры, взаимосвязей элемента социально- экономической системы в соответствии с меняющимися внешней и внутренней средами предприятия.
Три основных уровня управления:
высший — включающий совет директоров, комитеты, правление;
средний — представленный центральными службами;
низовой — оперативно-хозяйственные подразделения.
Высший уровень управления ориентирован на разработку целей и стратегий развития, координацию деятельности в масштабе пред-. приятия, принятие важнейших производственно-хозяйственных и технических решений.
Средний уровень обеспечивает эффективность функционирования и развития предприятия путем координации деятельности всех подразделений.
Низовой уровень сосредоточен на оперативном решении задач по организации хозяйственной деятельности в рамках отдельных структурных подразделений, главной задачей которых является выполнение установленных заданий по выпуску продукции и получению прибыли.
Высшее руководство предприятия, представленное советом директоров и правлением, имеет следующее распределение функций: совет директоров осуществляет выработку общей политики, правление — ее практическую реализацию. Совет директоров выступает как организующее и направляющее звено, а принимаемые им решения служат основой для оперативной деятельности. Совет директоров играет роль координирующего органа. Он осуществляет согласование и увязку между собой деятельности различных служб управления на разных уровнях, обеспечивает проведение единой линии в руководстве предприятием.
К общим принципам организации управления предприятием относятся:
• обеспечение максимально возможной управляемости предприятия;
• ориентированность на потребности рынка, запросы конкретных потребителей, достижение целей предприятия;
• обеспечение оптимального соотношения централизации и децентрализации управления;
• равномерность распределения объемов работ по уровням управления и исполнителям;
• обеспечение системы управления предприятием своевременной, достоверной и в необходимом объеме информацией;
• обоснованная необходимость управленческих процедур;
• упрощение системы управления предприятием;
• максимальное исключение влияния субъективных факторов на процесс управления;
• согласование процесса управления в пространстве и времени;
• использование современных технических средств в организационных формах управления;
• корректировка целей и программ в ответ на изменения рынка;
• постоянное стремление к повышению эффективности управления предприятием.
Информационное обеспечение системы управления.
Информация один из важнейших ресурсов предприятия
Информация может использоваться многократно
Информация представляет собой совокупность сведений об окружающем мире и протекающих в нем процессах
Информационное обеспечение системы управления предполагает объективную, полную и своевременную информацию, собираемую, обрабатываемую, сохраняемую и распространяемую с помощью современных научных методов и технических средств
Информационное обеспечение системы управления представляет собой объективную необходимость, обусловленную требованиями внешней среды и внутренними изменениями предприятия адекватно реагировать в возникающих ситуациях.
Информационное обеспечение системы управления – это интеграционное целое своевременных, всеобъемлющих, необходимых, воспринимаемых и осознаваемых сведений для анализа конкретной ситуации, выработки альтернативных решений, выбора оптимального, наилучшего в данных ограничениях решения, сопровождения и контроля исполнения.
Информационные ресурсы и конфиденциальность информации.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) (пособие Глухова 10 стр.)
Являются объектами отношений физических и юридических лиц между собой и с государством.
Информационные ресурсы:
Открытые (общедоступные)
Ограниченного доступа (содержат тайну)
Конфиденциальность информации - Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (ГОСТ Р 50922-2006)
Офисная деятельность как особый вид управленческой деятельности
Структура и функции офисной деятельности
Сущность и задачи комплексной системы защиты информации
Организация и особенности основных функций управления в комплексной системе защиты информации.
Этапы работы по созданию КСЗИ на предприятии.
Факторы, влияющие на организацию КСЗИ.
Порядок действий по нормативному закреплению состава защищаемой информации.
Определение и нормативное закрепление состава защищаемой информации.
Определение объектов защиты.
Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию.
6. Офисная деятельность как особый вид управленческой деятельности
Всякая реальная система является открытой, т.е. взаимодействует с внешней средой. В ней происходят изменения, которые могут иметь две крайние, противоположные друг другу формы: деградацию (разрушение системы) и развитие (усложнение системы, накопление ею информации).
Возможно и временное равновесие между системой и средой, благодаря которому система в течение известного времени либо остается относительно неизменной, либо испытывает лишь обратимые изменения, не нарушающие ее целостности.
Количественной характеристикой организованности системы является ее энтропия, большее значение которой отвечает меньшему уровню сложности и организации системы.
Для сохранения целостности системы необходимы процессы, препятствующие увеличению энтропии. Это и есть процессы управления, общим для которых является их антиэнтропийный характер. В связи с этим процесс управления по своей сути является антиподом процессу дезорганизации. Он позволяет в зависимости от особенностей конкретных систем стабилизировать систему, сохранить ее качественную определенность, поддержать ее динамическое равновесие со средой, обеспечить совершенствование системы и достижение того или иного полезного эффекта.
Управление - это поддержание энтропии системы на неизменном уровне.
В основе любой системы управления лежит процесс, требующий управления.
Однако не всякое протекание процесса требует управления, а лишь то, которое ведет к увеличению энтропии. Поэтому необходимо связать характер изменений, лежащих в основе процесса, с критерием качества системы, т.е. нужно определить цель управления. В этом смысле системы управления обладают целенаправленностью.
Управляющая часть, в свою очередь, включает ряд элементов:
измерительные;
исполнительные;
решающие.
Каждый из них выполняет определенную функцию в реализации процесса управления, и между собой они связаны информационными связями. Эти элементы связаны между собой и с внешней средой посредством передачи информации:
о целях управления;
о состоянии управляемого процесса;
об управляющих воздействиях.
управленческая деятельность - определенным образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых в рамках управляющей системы обеспечивает реализацию функций управляемого процесса, а следовательно, и достижение целей системы управления в целом.
Данное определение предполагает наличие следующих характеристик управленческой деятельности:
управленческая деятельность осуществляется в течение определенного временного интервала (времени существования системы управления);
управленческая деятельность осуществляется в определенных пространственных границах, как правило, определяемых местом размещения управляющей системы;
управленческая деятельность реализуется людьми, для которых она является основным видом деятельности;
содержание управленческой деятельности определяется задачами, решение которых приводит к негэнтропийному протеканию управляемого процесса.
управленческая деятельность в том смысле, в котором мы ее определили, пространственно локализована рамками физического размещения управляющей системы. Существует обобщенное название - офис.
Под офисом понимается физическая реализация условий выполнения управленческой деятельности в рамках управляющей системы, а обеспечение его функционирования, т.е. управление самой управленческой деятельностью — офисной деятельностью
7. Структура и функции офисной деятельности
Офисная деятельность – определённым образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых обеспечивает условия эффективного выполнения управленческой деятельности для конкретной системы управления.
Структурные характеристики офисной деятельности
Офисная деятельность осуществляется в пространственных границах, определимых совокупностью параметров размещения офиса, количеством мест локализации (одно или несколько), их иерархической соподчиненностью (центральный или филиал) и прочими показателями функционирования офиса в пространстве
офисная деятельность осуществляется в течение определенного временного интервала, т. е. обладает совокупностью временных параметров: моментами начала и окончания осуществления, чередованием периодов с различными интенсивностями своей реализации, прочими показателями функционирования офиса во времени;
офисная деятельность реализуется людьми, для которых она полностью или частично является основным видом деятельности, что характеризуется составом соответствующего персонала, его квалификацией и стажем, распределением прав и обязанностей и т. п.;
содержание офисной деятельности определяется задачами обеспечения условий для эффективной реализации управленческой деятельности - управляемого по отношению к офисной деятельности процесса.
Раскрытие перечисленных характеристик офисной деятельности необходимо осуществить прежде всего через содержание управленческой деятельности, которая в существенной своей части сводится к выработке и принятию управленческих решений.
Категория «управленческое решение» имеет многоаспектное содержание. В широком смысле термин «управленческое решение» можно понимать, как концентрированное выражение процесса управления на его заключительной стадии, как команду, подлежащую выполнению, поступающую от управляющей части системы к управляемому процессу.
Управленческое решение принимается тогда, когда выявлена та или иная управленческая проблема, проблемная ситуация, т.е. когда при наличии данного, существующего состояния управляемого объекта (процесса) возникает необходимость другого, поскольку сохранение данного состояния мешает нормальному его функционированию, совершенствованию и развитию
8. Сущность и задачи комплексной системы защиты информации
Комплексная система защиты информации (КСЗИ) – это совокупность организационно-правовых и инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Комплексный (системный) подход – это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задача – оптимизация всей системы.
Комплексный подход к построению любой системы включает в себя:
– постановку задачи (проблемы): определение объекта исследования, постановку целей, задание критериев для изучения объекта и управления им;
– очерчивание границ изучаемой системы и ее первичную структуризацию. На этом этапе вся совокупность объектов и процессов, имеющих отношение к поставленной цели, разбивается на два класса – собственно изучаемая система и внешняя среда как источник угроз безопасности;
– составление математической модели изучаемой системы: параметризация системы, задание области определения параметров, установление зависимостей между введенными параметрами; – исследование построенной модели: прогноз развития изучаемой системы на основе ее модели, анализ результатов моделирования, оценку экономической целесообразности;
– выбор оптимального управления для приведения системы в желаемое (целевое) состояние.
Задачи КСЗИ:
Основными задачами, которые должны решаться комплексной системой защиты информации, являются:
– управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей;
– защита данных, передаваемых по каналам связи;
– регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;
– контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
– контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
– обеспечение замкнутой среды проверенного ПО с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;
– управление средствами системы защиты.
Организация и особенности основных функций управления в комплексной системы защиты информации.
Организация управления представляет собой процесс упорядочения управляющих систем, их деятельности, и складывается из этапа формирования и переформирования самой управляющей системы и этапа организации труда работников этой системы.
Организация управления включает следующие операции:
1. выявление функций управления;
2. установление рационального количества степеней и звеньев управления;
3. распределение функций, прав и ответственности между ними по вертикали (степени управления) и горизонтали (звенья управления);
4. определение профессионального и количественного состава кадров;
5. выбор технических средств управления;
6. разработка нормативно-методической базы (положений, руководств, должностных инструкций и др. документов);
7. регламентация, т.е. установление порядка реализации управленческих процессов (направления деятельности, схемы документооборота, методы решения задач по защите информации).
В общем плане управление можно охарактеризовать как такой тип взаимодействия двух объектов, когда один находится в позиции субъекта управления, а другой - в позиции объекта управления.
Этому взаимодействию присуще следующие черты:
1. субъект управления (СУ) направляет объекту управления (ОУ) команды которые содержат информацию о функционировании объекта управления;
2. объект управления (исполнитель) получает команды управления и действует в соответствии с ними.
В роли субъекта управления могут выступать руководитель предприятия, его заместители, служба безопасности, совокупность подразделений. В качестве объекта может выступать коллектив специалистов, подразделение, отдельный работник, ресурсообеспече- ние, документопоток и т.п.
Иногда управление рассматривают как односторонний процесс воздействия субъекта на объект управления, что приводит к некоторой узости при определении сущности управления. Поэтому управление необходимо рассматривать как процесс, имеющий как прямые, так и обратные связи.
Функция управления представляет собой устойчивую совокупность задач реализации процесса управления (его части) для достижения частных целей управления, основанную на разделении управленческого труда в органах управления.
Выделяются следующие основные управленческие функции:
планирование - процесс уточнения целей системы и детальной программы их достижения.;
оперативное управление– процесс коррекции поведения системы при реализации программы достижения поставленной цели.;
контроль процесс проверки информации об элементах системы и внешней среды и оценки соответствия состояния системы ее задачам.;
учет - процесс измерения и регистрации характеристик системы и внешней среды.
10. Этапы работы по созданию КСЗИ на предприятии
Этапы работ:
Проектирование
Предпроектный этап – обследование, выявление объектов защиты, обоснование необходимости создания КСЗИ, выявление состава гроз безопасности и построения модели вероятного нарушителя
Рабочее проектирование
Внедрение
Эксплуатация
Проектирование включает в себя обследование предприятия и выявление угроз безопасности и объектов защиты, обоснование необходимости создания системы защиты (СЗИ), определение целей, задач и состава основных компонентов.
На этапе предпроектных работ осуществляется разработка технико-экономического обоснования (ТЭО) к созданию СЗИ и требований к ней, а затем переходят к разработке технического задания.
В ТЭО – обосновывается необходимость создания, задачи, состав функций, оцениваются затраты, определяются требования к КСЗИ в целом и отдельным ее подсистемам.
В ТЗ – указывается порядок проведения проектных и других работ, их очередность, стадии, этапы, организации-исполнители или подразделения-исполнители, составляется план-график мероприятий по вводу в действие системы.
ТЗ на проектирование объекта и СЗИ в его составе оформляется как самостоятельный документ, который согласовывается с проектировщиком, службой безопасности заказчика и им утверждается. Структура указанных выше документов включает в себя разделы:
Введение,
Характеристика объекта управления
Назначение КСЗИ
Основные требования к КСЗИ
Технико-экономические показатели
Состав, содержание и организация работ по созданию КСЗИ
Порядок приемки
Требования к заказчику по подготовке объекта
(может в качестве приложений иметь схемы, чертежи, таблицы, расчеты)
Обследование объекта начинается на предпроектном этапе
При изучении объекта важно собрать информацию о следующих характеристиках:
Организации процесса функционирования (сведения о режимах работы объекта в целом и отдельных подразделений, правилах и процедурах доступа на объект и в отдельные помещения сотрудников и посетителей, общей численности и составе сотрудников и другие)
Организации информационных и транспортных потоков (сведения, характеризующие организацию доступа транспортных средств, способы хранения материальных и других ценностей, пути и способы транспортировки носителей информации и т.д.)
Особенности внешней среды, влияющей на функционирование объекта (ограждение периметра территории, расположение инженерных коммуникаций, подземных сооружений, размещение подразделений по отдельным помещениям, размещение инженерных систем в помещениях, конструкция и состояние входов, дверей, окон, состояние подвальных, чердачных и специальных технических помещений)
На этапе реализации и внедрения будут проводиться:
Формирование и поэтапный ввод в действие комплекса технических и программных средств защиты
Составление, оформление и подписание разработчиком и заказчиком приемо-сдаточного акта
Аттестация работы системы в соответствии с определенными и установленными требованиями безопасности, а также оформления протоколов аттестационных испытаний и заключений по их результатам
Выработка и последующая отладка (с учетом выявленных особенностей) технологии передачи, обработки, накопления и уничтожения защищаемой информации с использованием технических средств и в рамках традиционный немашинной обработки информации
Анализ и оценка качества организационной и программной поддержки технических средств защиты, обучение персонала правилам работы с защищаемой информацией
На стадии эксплуатации будет осуществляться контроль состояния и оценка качества функционирования СЗИ, координация деятельности подразделений, обеспечивающих ее функционирование, проверка по действующим методикам соблюдения требований нормативных документов по защите, оценка обоснованности или необходимости корректировки принимаемых решений
Факторы, влияющие на организацию КСЗИ.
Факторы общего характера.
1.Быстро развивающаяся и приобретающая новые качества информационно-коммуникационная инфраструктура современных предприятий;
2.Трансформация знаменитой экономической формулы "деньги-товар-деньги" в новую формулу "деньги-информация-товар-информация-деньги";
3.Зависимость от уровня защищенности информационно-телекоммуникационной инфраструктуры состояния основных элементов систем обеспечения функционирования предприятий;
4.Представительный арсенал видов и способов дестабилизирующего воздействия на информацию, а также способов ее злоумышленного использования.
Внутренние факторы.
1.Организационно-правовая форма предприятия и виды тайн, подлежащих защите.
2.Характер основной деятельности (НИР, ОКР, производство, торговля, услуги).
3.Перечень защищаемых сведений и количество носителей.
4.Степень конфиденциальности и ценность информации.
5.Структура и территориальное расположение предприятия.
6.Режим функционирования.
7.Уровень автоматизации средств обработки информации.
8.Уровень защищенности предприятия на момент начала работ.
Внешние факторы
1.Экономическая обстановка в регионе.
2.Степень развития рыночных отношение и уровень конкурентной борьбы.
3.Криминальная обстановка в регионе.
Психологические факторы.
1.Психологическая готовность руководства к расходам на защиту информации.
2.Отсутствие понимания необходимости защиты информации у руководителей среднего звена и персонала.
3.Противостояние служб АСОД и СБ.
4.Личные амбиции и взаимоотношения руководителей среднего звена.
5.Низкая квалификация специалистов по защите информации и сотрудников, работающих с КИ.
Факторы, способствующие созданию эффективных систем защиты.
1.Наличие опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки.
+2.Наличие эффективных научных и практических разработок способов и средств защиты информации по всем основным направлениям (правовому, инженерно-техническому, программному, криптографическому, организационному).
3.Наличие развитой системы подготовки, переподготовки и повышения квалификации кадров в сфере защиты информации.
12. Порядок действий по нормативному закреплению состава защищаемой информации.
Из лекции:
Процесс выявления и регламентации реального состава ценной информации, составляющей тайну фирмы, является основополагающей частью системы защиты информации.
Состав этих сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации и определяющем период (срок) конфиденциальности этих сведений, уровень (гриф) их конфиденциальности, список сотрудников фирмы, которым дано право использовать эти сведения в работе.
В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.
Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах.
В перечень включается действительно ценные сведения («изюминки») о каждой работе фирмы. Следует отметить, что нельзя ограничивать доступ к информации, относящейся к новой продукции, но не имеющей ценности.
Дополнительно может составляться перечень документов, в которых защищаемая информация отражается (документируется). В перечень включаются также документы, не содержащие указанную информацию, но представляющие ценность для фирмы и подлежащие охране.
Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, исполнении условий договора.
Производственная или коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки ток же идеи или ее хищения и воспроизводства, а также временем до патентования, опубликования и перехода в число общеизвестных.
Отнесение информации к информации, составляющей коммерческую тайну: Методология отнесения информации к КТ (стр. 25 методички по КТ Глухова)
Для разработки Перечня приказом руководителя предприятия создается комиссия в составе не более 4-5 человек из наиболее квалифицированных и компонентных специалистов основных подразделений и представителей службы безопасности (или режимно-секретного органа), знакомых как с деятельностью предприятия в целом, так и с работой отдельных подразделений, в нее желательно включить:
Специалиста, владеющего финансовыми вопросами, конъектурой рынка и данными в отношении конкурирующих фирм;
Специалиста, полностью представляющего систему организации работы предприятия, ее особенности;
Специалиста, по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров;
Специалиста, обладающего всеми сведениями о выпускаемой продукции, технологическом цикле ее производства, о происхождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции)
Если предприятие крупное либо производимая продукция имеет разнородный характер, можно создавать несколько таких групп, одну – главную, в целях координации и обобщения результатов работы, остальные – в зависимости от необходимости по каждому отдельному участку. Если предприятие состоит из нескольких человек, то указанную задачу может решить один руководитель, если он будет владеть перечисленной выше информацией.
В группе должны быть руководящие специалисты, обладающие полным объемом данных, которые могут быть отнесены к коммерческой тайне. Но в большинстве случаев достаточно, если хотя бы один из них осведомлен в деталях по отдельно рассматриваемому вопросу, а остальные представляли себе общий характер.
На первом этапе определяют возможные отрицательные последствия в случае разглашения сведений, составляющих КТ. Например, разрыв деловых отношений с партнерами, срыв переговоров, утрата возможности заключения выгодного контракта, использование конкурентами полуденных сведений для повышения эффективности экономического соперничества.
Чтобы избежать ошибок необоснованной классификации сведений, эксперты должны руководствовать дополнительными критериями отнесения информации к коммерческой тайне. Такими, как: выигрыш во времени для предприятия в сравнении с конкурирующими фирмами, уникальность разработки, новизна, преимущества в ценовой конкуренции и тд
Группа экспертов анализирует, какая информация нуждается в защите; кого она может заинтересовать, какова ее ценность для конкурентов; какие элементы информации являются наиболее ценными; каков срок жизни сведений, составляющих КТ; какую методику защиты КТ принять; в какую сумму обойдется защита.
Результатом работы группы экспертов должен стать Перчень сведений, составляющих КТ, в котором желательно указать сроки, на который те или иные сведения отнесены к КТ.
Перечень доводится до структурных подразделений и соисполнителей в части их касающейся, для руководства в работе и приведения в соответствие с ним грифа работ, документов и изделий.
Из инета:
Для формирования перечня сведений, составляющих защищаемую информацию, необходимо:
1. Разработать приказ (план) по организации работы по формированию перечня.
2. Сформировать и утвердить список лиц (рабочую группу), наделяемых полномочиями по отнесению сведений к защищаемой информации.
3. Создать и утвердить состав экспертной комиссии для анализа предварительного и формирования окончательного перечня, периодического его обновления и экспертизы документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих защищаемую информацию.
4. Разработать положение о порядке формирования перечня – методическое руководство для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии.
5. Разослать положение руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний.
6. Согласовать и утвердить положение.
7. Разослать положение исполнителям и провести инструктаж членов рабочей группы и экспертной комиссии.
8. Внести в предварительный перечень предложения членов рабочей группы.
9. Членам экспертной комиссии рассмотреть предварительный перечень в соответствии с положением и сформировать проект окончательного варианта.
10. Согласовать перечень с руководителями структурных подразделений и утвердить руководителем предприятия.
11. Издать приказ о введении перечня в действие
13.Определение и нормативное закрепление состава защищаемой информации.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации.
В соответствии со ст. 5 Федерального закона от 27 июля 2006 г. N 149- ФЗ. "Об информации, информационных технологиях и о защите информации" информация подразделяется на:
– свободно распространяемую;
– предоставляемую по соглашению сторон;
– подлежащую предоставлению или распространению по закону;
– имеющую статус ограниченного или запрещенного доступа.
Отнесение информации к защищаемой определяется следующими нормативно-правовыми актами:
1. ФЗ РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне" (ред. от 01.12.2007).
2. ФЗ РФ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
3. ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4. ФЗ РФ от 2 декабря 1990 г. N 395-I "О банках и банковской деятельности" (ред. от 7 февраля 2011 г.).
5. Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" (в ред. от 23.09.2005). В соответствии с этим Перечнем к профессиональной тайне относят: врачебную, нотариальную, адвокатскую тайну, тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д. Необходимость соблюдения перечисленных тайн вытекает из доверительного характера отдельных профессий.
Основная особенность служебной тайны заключается в том, что обязанность ее соблюдения вытекает из интересов службы: служебные сведения, военная и судебная тайны, тайна следствия и т.п.
Определение объектов защиты.
Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах или памяти людей, которые выступают в роли ее носителей и составляют основной, базовый объект защиты.
Согласно ГОСТ Р 50922-2006 , пункт 2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которую(ый) необходимо защищать в соответствии с целью защиты информации.
При организации КСЗИ на предприятии в качестве объектов защиты рассматриваются:
прилегающая к предприятию территория;
здания предприятия;
рабочие помещения и помещения, предназначенные для обработки информации с ограниченным доступом; помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения ограниченного доступа; хранилища носителей информации;
физические поля (электромагнитные, оптические, ультрафиолетовые, инфракрасные, рентгеновские и др.); системы, линии и средства связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом;
аппаратные средства (серверы, рабочие станции, периферийное оборудование), средства и системы информатизации и другие технические средства защиты информации;
программные средства (операционные системы, специальное ПО, СУБД, интерфейсное и сетевое ПО);
информационные ресурсы, содержащие конфиденциальную информацию (в частности персональные данные); сведения, отнесенные любому виду тайн; носители информации и средства их транспортировки;
Кроме того, объектами защиты должны быть:
средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе: ЭВМ, средства видео-, звукозаписывающей и воспроизводящей техники;
системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.);
выпускаемая продукция (конкретные изделия, предметы, технические решения) и технологические процессы ее изготовления и используемые при этом средства производства;
сотрудники организации.
Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию.
По отношению к информационной системе все множество угроз можно разбить на две группы: внешние и внутренние, каждая из которых, в свою очередь, делится на умышленные и случайные угрозы, которые могут быть явными и скрытыми. Выявление и анализ угроз защищаемой информации является ответственным этапом при построении системы защиты информации на предприятии. Угрозы защищаемой информации связаны с ее уязвимостью, т. е. неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, наршающим ее статус.
Рассмотрим источники дестабилизирующего воздействия на информацию.
К ним относятся:
1. Люди:
2. Технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации,
средства связи:
3. Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации;
4. Технологические процессы отдельных категорий промышленных объектов;
5. Природные явления.
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди, которые делятся на следующие категории:
— сотрудники данного предприятия;
— лица, не работающие на предприятии, но имеющие доступ к защищаемой информации предприятия в силу служебного положения (из вышестоящих, смежных (в том числе посреднических) предприятий, контролирующих органов государственной и муниципальной власти и др.);
— сотрудники государственных органов разведки других стран и разведывательных служб конкурирующих отечественных и зарубежных предприятий;
— лица из криминальных структур, хакеры.
В части соотношения с видами и способами дестабилизирующего воздействия на информацию эти категории людей подразделяются на две группы: имеющие доступ к носителям данной защищаемой информации и не имеющие такового.
Методика выявления способов воздействия на информацию
В зависимости от источника и вида воздействия оно может быть непосредственным на защищаемую информацию либо опосредованным, через другой источник воздействия.
• Со стороны людей возможны следующие виды воздействия: (непосредственное воздействие на носители защищаемой информации; несанкционированное распространение конфиденциальной информации; вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи тд.)
• Способами непосредственного воздействия на носители защищаемой информации могут быть: (физическое разрушение носителя (поломка, разрушение и др.); создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т. д.); удаление информации с носителей; внесение фальсифицированной информации в носители.)
• Несанкционированное распространение конфиденциальной информации (словесной передачи (сообщения) информации; передачи копий (снимков) носителей информации; показа носителей информации; ввода информации в вычислительные сети; опубликования информации в открытой печати; использование информации в открытых публичных)
• вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи : (поломку (разрушение) средств, в том числе разрыв (повреждение) кабельных линий связи; создание аварийных ситуаций для средств (поджог, искусственное затопление, взрыв и др.); отключение средств от сетей питания; вывод из строя или нарушение режима работы систем обеспечения функционирования средств;)
• нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передачи информации, средств связи и технологии обработки информации : (повреждение отдельных элементов средств; нарушение правил эксплуатации средств; выдача неправильных программных команд; превышение расчетного числа запросов и тд)
К видам дестабилизирующего воздействия на защищаемую информацию со стороны второго источника воздействия — технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи относятся:
1. Вывод средств из строя;
2. Сбои в работе средств;
3. Создание электромагнитных излучений.
+Источником дестабилизирующего воздействия на информацию — природные явления , включает стихийные бедствия и атмосферные явления (колебания). К стихийным бедствиям и одновременно видам воздействия следует отнести: землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов; к атмосферным явлениям (видам воздействия): грозу, дождь снег, перепады температуры и влажности воздуха, магнитные бури. Способами воздействия со стороны и стихийных бедствий, и атмосферных явлений могут быть разрушение (поломка), землетрясение, сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи, систем обеспечения функционирования этих средств, нарушение режима работы средств и систем, а также технологии обработки информации, создание паразитных наводок (грозовые разряды)
Результаты дестабилизирующего воздействия: Уничтожение, искажение, блокирование, разглашение, хищение.
16. Определение потенциальных каналов и методов несанкционированного доступа к информации.
Под каналом утечки информации понимается физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений.
Потенциальные каналы НСД:
– визуально-оптические (непосредственное или удаленное, в том числе и телевизионное, наблюдение);
– акустические (включая и акустико-преобразовательные) – механические колебания стен, перекрытий, трубопроводов, окон и т.д.;
– электромагнитные (включая магнитные и электрические) – побочные электромагнитные излучения и наводки;
– материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида – твердые, жидкие, газообразные, отходы делопроизводства).
Методы:
1. Контакт с бывшими сотрудниками
2. Внедрение казачков
3. Физическое проникновение на объект
4. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации средствам связи.
5. Подслушивание речевой информации
6. Визуальный съем КИ
7. Перехват по ПЭМИН (Побочные электромагнитные излучения и наводки)
8. Получение КС из доступных источников (публикации, СМИ…)
17. Определение возможностей несанкционированного доступа к защищаемой информации.
Несанкционированный доступ к источникам конфиденциальной информации – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к ней.
Противодействие НСД к конфиденциальной информации – это комплекс мероприятий, обеспечивающих исключение или ограничение неправомерного овладения охраняемыми сведениями.
Способ несанкционированного доступа – это совокупность приемов, позволяющих злоумышленнику получить охраняемые сведения конфиденциального характера.
Способы несанкционированного доступа:
Инициативное сотрудничество (выражается в определенных действиях лиц из числа работающих на организации, чем-то неудовлетворенных, особо нуждающихся в средствах к существованию или просто алчных и скупых, склонных ради денег на любые противозаконные действия);
Склонение к сотрудничеству (это насильственное действие со стороны правонарушителя. Вербовка может исполняться через подкуп, запугивание и шантаж);
Выведение, выпытывание (это возможность через наивные с виду вопросы получить нужную информацию. Получать интересующую информацию можно и ложным трудоустройством. Такой правонарушитель может оформляться на работу, а во время бесед определять, чем занимаются подразделения, какие профессии требуются, что должен знать и уметь новый сотрудник. При этом трудоустраиваться он и не собирается, отказавшись под благовидным предлогом);
Подслушивание (способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания);
Наблюдение (это метод реализации криминальных интересов, проводится визуально с применением оптических приборов);
Хищение (это умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией);
Копирование (Копируют документы с необходимыми сведениями; технические носители, производимые товары и услуги);
Подделка (модификация) (Заключается в выдаче себя за другого пользователя, снимая с себя ответственность или используя чужие полномочия дезинформировать, приобретая санкционированный доступ к охраняемым сведениям);
Уничтожение (Особую угрозу представляет уничтожение информации в АСОД, где на технических носителях накапливаются немалые объемы сведений различного характера, многие из которых крайне сложно представить);
Незаконное подключение (подсоединение к различным линиям и проводам с целью несанкционированного доступа к нужной информации);
Перехват (это получение информации путем приема сигналов электромагнитной энергии пассивными средствами приема, расположенными на вполне безопасном расстоянии от источника конфиденциальной информации);
Негласное ознакомление (это получение сведений, к которым субъект не допущен, но при некоторых условиях он может что-то узнать);
Фотографирование (это метод получения видимого изображения объектов конфиденциального значения на фотоматериале);
Сбор и аналитическая обработка информации (является завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов).
18. Определение компонентов КСЗИ
16.1. Требования к подсистемам ЗИ Требования к подсистемам определяются в соответствии с документами Гостехкомиссии России в зависимости от класса защищенности, определяемого минимальной совокупностью требований к защите информации. Устанавливается девять классов защищенности АС от НСД к информации. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N – номер группы (от 1 до 3). Затем идет класс NБ и т. д. Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А. В приведенной ниже таблице собраны требования ко всем 9-ти классам защищенности АС, где приняты следующие обозначения:
"- " – нет требований к данному классу;
"+" – есть требования к данному классу;
СЗИ НСД – система ЗИ от несанкционированного доступа. Для правильного определения класса АС необходимо знать:
тип АС (одно- или многопользовательская);
права пользователей по допуску к информации (допуск ко всей/части информации);
размещение информации на носителях (одного/разного уровней конфиденциальности);
гриф секретности информации: Д – несекретно; Г – конфиденциально; В – секретно; Б – совершенно секретно; А – особой важности.
Структура КСЗИ состоит из комплекса подсистем, защищающих ИС организации на разных уровнях. Вне зависимости от вида деятельности и размера организации, базовыми подсистемами ИБ являются 4 подсистемы: управления доступом, регистрации и учета, обеспечения целостности и криптографическая. Создание КСЗИ для конкретной организации в зависимости от класса защищенности, может потребовать разработки ряда дополнительных подсистем. Ниже приведено описание требований к некоторым подсистемам КСЗИ достаточно представительного класса защищенности - 1В. Этому классу соответствует минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации. Реальные АС часто не соответствуют данному классу.
Определение условий функционирования КСЗИ.
При определении условий функционирования КСЗИ необходимо располагать следующей информацией:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
— график работы объекта и его отдельных подразделений;
— правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
— численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
— процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
— пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
— пространство, непосредственно прилегающее к территории объекта;
— ограждение периметра территории и проходы;
— инженерные коммуникации, подземные хранилища и сооружения на территории;
— размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
— инженерные коммуникации в помещениях;
— состояние подвальных и чердачных помещений;
— размещение, конструкции и состояние входов, дверей, окон;
— существующую систему защиты;
— состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
— ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение;
— документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения;
20. Разработка модели КСЗИ
Моделирование является одним из самых наглядных и эффективных инструментов исследования сложных систем, объектов или процессов. Значение моделирования особенно велико в системах, где натурные эксперименты невозможны по целому ряду причин: сложность, большие материальные затраты, уникальность или длительность эксперимента. Модель – это некий новый материальный или абстрактный объект, который отражает существенные особенности изучаемого объекта, процесса или явления. Степень соответствия модели исходному объекту характеризует уровень ее адекватности. Процедура установления адекватности (истинности) модели исходному объекту называется верификацией модели. Процесс разделения модели на подмодели называется декомпозицией. Для одного и того же объекта можно создать разные модели. В то же время разные объекты могут описываться одной моделью. В процессе моделирования КСЗИ решаются следующие задачи:
– определение основных параметров ЗИ;
– выбор показателей защищенности информации и критериев эффективности КСЗИ;
– уточнение требований к организационным, инженерно-техническим и программным мерам ЗИ; – анализ функционирования КСЗИ;
– синтез структуры КСЗИ и оптимальное распределение средств защиты;
– поиск оптимальных решений по управлению безопасностью;
– оценка эффективности использования различных подсистем и мероприятий по ЗИ и др. Для КСЗИ могут быть созданы различные модели, предназначенные для: – анализа исследуемых процессов систем и подсистем; – синтеза (построения различных систем, подсистем и мероприятий);
– управления исследуемыми процессами (подсистемами) с целью поиска оптимальных управленческих решений.
При этом рассматриваются как общие модели (в масштабе всей КСЗИ или подсистемы), так и частные модели с целью определения отдельных параметров функционирования КСЗИ (подсистемы). Среди методов моделирования выделяют следующие классы:
– аналитические (методы классической математики – интегральное, дифференциальное и вариационное исчисление, методы поиска экстремумов функций, методы математического программирования, теории игр и т. п.);
– статистические (включают теоретические разделы математики - теорию вероятностей, математическую статистику, и направления прикладной математики, использующие стохастические представления - теорию массового обслуживания, методы статистических испытаний, основанные на методе Монте-Карло, методы выдвижения и проверки статистических гипотез А. Вальда и другие методы статистического имитационного моделирования);
– теоретико-множественные, логические, лингвистические, семиотические представления (разделы дискретной математики, составляющие теоретическую основу разработки разного рода языков моделирования, автоматизации проектирования, информационно-поисковых языков);
– графические (включают теорию графов и разного рода графические представления информации типа диаграмм, графиков, гистограмм и т.п.);
– экспертные или эвристические (используют человека в качестве «измерительного прибора» – эксперта для получения количественных оценок процессов и суждений, которые из-за неполноты и недостоверности имеющейся информации не поддаются непосредственному измерению).
Для оценки адекватности моделей (правильности решений) в рассматриваемых условиях необходимо привлекать квалифицированных (опытных) экспертов по защите информации. Основными разновидностями процесса моделирования можно считать два его вида – имитационное (математическое) и натурное (физическое). Имитационное моделирование — это метод исследования, при котором изучаемая система заменяется моделью с достаточной точностью, описывающей реальную систему и, с ней проводятся эксперименты с целью получения информации об этой системе. Модели чаще всего реализуются в виде компьютерных программ, которые шаг за шагом воспроизводит события, происходящие в реальной системе.
Натурным моделированием называют проведение исследования на реальном объекте с последующей обработкой результатов эксперимента на основе теории подобия.
21. Методика добывание информации для предприятия
Для добывания информации разведка противника может использовать легальные, полулегальные и нелегальные методы.
К легальным методам относятся: изучение публикаций в средствах массовой информации (СМИ); участие в научно-технических конференциях; анализ общественно-политических, научных и технических изданий; посещение выставок; исследование сообщений электронных СМИ (телевидение, радио, World Wide Web) и др.
К полулегальным методам можно, в частности, отнести: беседы с сотрудниками в неофициальной обстановке; мнимые переговоры о покупке продукции; ложные конкурсы; приглашение на работу ведущих специалистов; получение информации от общих поставщиков, потребителей, через фонды и благотворительные организации, через контролирующие органы и др.
К нелегальным методам относятся: похищение образцов продукции и (или) технологического оборудования; похищение документов, содержащих интересующую информацию; копирование документов, содержащих интересующую информацию; заброс агентов проникновения на объект противника; внедрение агентов в структуры противника; съем информации по техническим каналам; проникновение в автоматизированные системы (АС) противника, используемые для обработки интересующей информации и др.
22. Методы отбора информации.
Процессы сбора, обработки и изучения информации, в том числе используемой при планировании, характеризуются наличием нескольких видов ее преобразования: 1) формальным; 2) содержательным; 3) пространственным; 4) временным.
1. Любое действие с информацией первоначально требует ее отображения (представления) для восприятия и понимания. Данная функция реализуется при формальном преобразовании. Это преобразование связано с перекодированием информации, т.е. с изменением формы представления информации (из графической в текстовую, или наоборот), а также изменением ее структуры, например из произвольной в табличную. Необходимость перекодирования информации обусловлена тем, что ее форма, получаемая от множества источников, может быть различной (текстовой машинописной или рукописной, графической, звуковой и др.), а для отображения в используемых документах форма представления должна быть однообразной и принятой для данного документа.
2. Под содержательным преобразованием информации понимается такой процесс ее обработки, в результате которого появляется «новая» информация. В этом смысле новой будет только та информация, которая ранее в системе не содержалась и не поступала извне, а получена путем осуществления операций преобразования имеющейся «старой» информации. В качестве примеров такого преобразования могут рассматриваться процессы обобщения данных, проведения расчетов, логических рассуждений, моделирования и т. п.
Основное содержательное преобразование информации выполняется при подготовке и принятии решений. Непосредственно при разработке документов содержательное преобразование информации осуществляется во время операций заполнения итоговых и сравнительных полей документа, полей оценки, реализуемых на основании данных, содержащихся как в одном, так и в нескольких документах.
3. Процесс сбора данных является выполнением пространственного {коммуникационного) преобразования информации.
4. Временной аспект преобразования информации при разработке документов связан с необходимостью их хранения. От информации, внесенной в документ, зависят сроки его хранения, периодичность обращения к нему и ситуации, в которых он используется. А это в свою очередь определяет способ и место хранения документа и возможности по поиску информации.
23. Методы анализа информации
Применяемые в ходе аналитических исследований методы анализа информации делятся на три группы:
1. общенаучные (качественные) методы;
2. количественные методы;
3. частнонаучные методы.
Основные методы анализа, относящиеся к первой группе, включают метод выдвижения гипотез, метод интуиции, метод наблюдения, метод сравнения, метод эксперимента.
Из количественных методов наиболее распространен метод статистических исследований.
К третьей группе относятся методы письменного и устного опроса, метод индивидуальной беседы и метод экспертной оценки. Метод выдвижения гипотез состоит в процедуре отделения известного от неизвестного и вычленения в неизвестном отдельных, наиболее важных элементов и фактов (событий).
Метод интуиции заключается в использовании аналитиком своей способности к непосредственному постижению истины (достижению требуемого результата) без предварительного логического рассуждения. Во многом этот метод основывается наличном опыте аналитика.
Метод наблюдения заключается в непосредственном исследовании (обследовании) конкретного объекта (источника информации, события, действия, факта), в самостоятельном описании аналитиком каких-либо фактов (событий, процессов), а также их логических связей в течение определенного времени.
Цель метода сравнения состоит в более глубоком изучении процессов (событий), происходящих на предприятии и имеющих отношение к вопросам защиты охраняемой информации. Сравниваются различные факторы, обусловливающие причины и обстоятельства, приводящие к утечке конфиденциальной информации или к возникновению предпосылок к ее утечке. При использовании метода сравнения в обязательном порядке соблюдаются следующие основные условия: сравниваемые объекты (действия, явления, события) должны быть сопоставимы по своим качественным особенностям; сравнение должно определить не только элементы сходства, но и элементы различия между исследуемыми объектами.
Метод эксперимента используется для проверки результатов деятельности по конкретному направлению защиты информации или для поиска новых решений, совершенствования системы ее защиты.
Роль количественных методов анализа заключается в информационном, статистическом обеспечении качественных методов. Наиболее характерен метод статистических исследований, который заключается в проведении количественного анализа отдельных сторон исследуемого явления (факта, события).
В ходе этого анализа накапливаются цифровые данные о состоянии и динамике нарушений режима конфиденциальности (секретности) в ходе проводимых работ, об эффективности решения службой безопасности (режимно-секретным подразделением) задач по их недопущению, о тенденциях развития ситуации в области информационной безопасности и т.д.
Методы письменного и устного опроса заключаются в получении путем анкетирования (или иным способом) необходимой информации от сотрудников предприятия, руководителей подразделений, а также лиц, допускающих нарушения установленного режима секретности (конфиденциальности информации). При этом в анкете указываются несколько возможных вариантов ответов на каждый поставленный вопрос.
Метод индивидуальной беседы отличает от метода письменного и устного опроса необходимость личного общения с сотрудником предприятия. Использование этого метода позволяет в динамично развивающейся беседе получить конкретную информацию в зависимости от целей аналитического исследования.
Метод экспертной оценки включает учет и анализ различных мнений по определенному кругу вопросов, излагаемых специалистами в той или иной области деятельности предприятия, связанной с конфиденциальной информацией.
Выбор конкретных методов анализа при проведении аналитических исследований в области защиты конфиденциальной информации зависит от целей и задач исследований, а также от специфики деятельности предприятия, состава и структуры службы безопасности и ее аналитического подразделения.
24. Образцы документов при добывании информации
25. Технологическое и организационное построение КСЗИ
В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
Включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании подразделения, ответственного за обеспечение безопасности информации, обучение и консультации сотрудников подразделения, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.
Регламент обеспечения безопасности - комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.
В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:
· создание подразделения, ответственного за обеспечение информации;
· определение порядка допуска сотрудников к конфиденциальной информации;
· определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
· установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
· требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
· требования к конфиденциальному делопроизводству;
· требования к учету, хранению и обращению с конфиденциальными документами;
· меры по контролю за обеспечением конфиденциальности работ и информации;
· план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
· план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
· определение ответственности за разглашение конфиденциальной информации.
Документы должны определять работу комплексной системы защиты информации:
· в штатном режиме;
· изменения в штатном режиме работы;
· нештатный режим (аварийные ситуации).
Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:
• создать специальное подразделение, обеспечивающее разработку правил эксплуатации автоматизированной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку ТСЗИ (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.);
• разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;
• внедрить данную технологию путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).
При создании подразделения информационной безопасности надо учитывать, что для эксплуатации средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования ТСЗИ. В то же время, разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой автоматизированной системы организации.
Кадровое обеспечение функционирования КСЗИ
Количественный состав и структура службы ЗИ определяется после завершения разработки КСЗИ с учетом ее технической структуры и режимов функционирования.
Организационно-штатная структура определяет количество подразделений, их подчиненность, перечень должностей. Каждому должностному лицу устанавливаются его права и обязанности в соответствии с занимаемой должностью. Обязанности персонала предприятия по ЗИ определяются в коллективном договоре, трудовых договорах и должностных инструкциях.
При отборе персонала используются следующие методы: тестирование; ознакомление с личными делами, рекомендациями, отзывами с предыдущих мест работы; проведение конкурсов на замещение вакансий; аттестация сотрудников; проверка наличия судимостей и других правонарушений; изучение кредитных историй; собеседование и психофизиологическое исследование на полиграфе (детекторе лжи).
Ответственность за нарушения в области ИБ (юридический аспект):
в Уставе организации и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, необходимо отразить требования по обеспечению ИБ при работе в АС;
при приеме на работу каждый сотрудник должен подписать Соглашение-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;
все пользователи, руководящий и обслуживающий персонал АС должны быть ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);
доведение требований организационно-распорядительных документов по вопросам ИБ до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под роспись.
Для сотрудников группы безопасности (руководителя, администратора) также должны быть подробно разработаны их права и обязанности; документы, определяющие порядок работы с носителями ключевой информации и устанавливающие ответственность за нарушения.
Для обучения персонала вопросам ЗИ в современных условиях наиболее важной и эффективной формой является организация занятий непосредственно на предприятии под руководством опытных сотрудников службы защиты информации.
Материально-техническое и нормативно-методическое обеспечение КСЗИ
Материально-техническое обеспечение (МТО) позволяет удовлетворить потребность в расходных материалах, запасных изделиях и приборах, инструментах и других материальных средствах, необходимых для эксплуатации КСЗИ. Состав МТО КСЗИ зависит от ее структуры и определяется [8]:
1) при планировании и осуществлении работы объектов материально-технической базы службы ЗИ;
2) при определении потребности, приобретении, учете и хранении всех видов материальных средств, их распределении, выдаче (отправке, передаче) по назначению, обеспечении правильного и экономного расходования и ведении отчетности;
3) при накоплении и содержании установленных запасов материальных средств, обеспечении их сохранности;
4) при эксплуатации, сбережении, своевременном техническом обслуживании и ремонте;
5) при создании условий для организации и проведения мероприятий ЗИ;
6) при строительстве, ремонте и эксплуатации зданий и помещений;
7) при изучении положения дел, выявлении внутренних и внешних факторов, оказывающих влияние на МТО КСЗИ;
8) при выявлении нарушений, ошибок в МТО и оперативном принятии мер по их устранению
При работе с МТО КСЗИ на предприятии необходимо:
разработать нормативные акты по вопросам МТО КСЗИ;
уметь определять потребность материально-технических средств для обеспечения нормального функционирования КСЗИ;
знать наличие, состояние и порядок хранения материальных средств ЗИ;
своевременно пополнять МТО КСЗИ;
вести учет, правильное хранение, сбережение запасов материальных средств КСЗИ, а также их эксплуатацию, ремонт и техническое обслуживание;
рационально и экономно расходовать материальные средства;
осуществлять контроль за использованием МТО КСЗИ. Состав нормативно-методического обеспечения КСЗИ определяют:
законодательные акты
законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), ГОСТы;
руководящие методические документы
документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам ЗИ;
информационно-справочная база
словари, каталоги, специализированные журналы, справочники, электронные БД.
28) Назначение, структура и содержание управления КСЗИ (https://vk.com/doc125405127_632483406?hash=6df6ff6db025e1785d&dl=bf243cb11bc5a2b179 ст 84)
Назначение, структура и содержание управления КСЗИ
Управление – это процесс осуществления информационных воздействий на объекты управления для формирования их целенаправленного поведения. Сущность управления КСЗИ заключается в целенаправленной деятельности руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.
Основными функциями управления в КСЗИ являются:
– планирование (оценка обстановки, выработка замысла разрешения сложившейся ситуации, выработка возможных вариантов решения, принятие решения руководителем, разработка плана в соответствии с принятым решением);
– руководство выполнением принятого плана (решения);
– управление КСЗИ в условиях ЧС;
– контроль и коррекция реализуемого плана (решения).
Управление КСЗИ является частью функционирования предприятия в целом. В связи с этим практическая реализация КСЗИ предусматривает наличие следующих функций управления:
1. Организаторская: органы управления КСЗИ выдают приказы исполнителям на выполнение каких-либо действий.
2. Аналитическая: анализ состояний окружающей среды по вопросам обеспечения ИБ.
3. Целеуказательная: определение целей, частных функций и задач КСЗИ в целом и отдельных её подсистем.
4. Контрольная: контроль результатов выполнения принятых решений.
Процесс управление в комплексной системе защиты информации является непрерывным и многоуровневым:
-
Уровни управления
Решаемые задачи
Органы управления
Стратегический
Стратегия КСЗИ
Руководство предприятия
Оперативный
Концепция
Служба ИБ
Тактический
Политика безопасности
Руководители отделов
Операционный
Регламент по ЗИ
Отдельные сотрудники
Объектом управления может быть как коллектив людей (пользователей системы), так и технические средства.
Критерием эффективности принимаемых решений могут служить:
– на стадии принятия решения – вероятность того, что система перейдет к заданному уровню защищенности информации;
– на стадии контроля – соответствие заданному уровню безопасности.
Построение КСЗИ и ее функционирование должны осуществляться в соответствии со следующими принципами управления:
1) принцип научности, предполагающий построение КСЗИ на строго
научных основах;
2) принцип системности и комплексности, делающий необходимым изучение системы защиты и управляющий системы совместно и нераздельно с учетом всех взаимосвязанных элементов, условий и факторов;
3) принцип единоначалия в управлении и коллегиальности в выработке решений, предполагающий, что в рамках системы любое коллегиальное решение должно разрабатываться коллегиально. Необходимо добиваться всесторонности разработок, учитывать мнения многих специалистов по различным вопросам. При этом принятое коллегиальное решение проводится в жизнь под персональную ответственность руководителя;
4) принцип централизованности и децентрализованности. Централизация и децентрализация должны находиться в единстве и дополнять друг друга;
5) принцип пропорциональности в управлении, означающий, что рост и усложнение объекта ведут к росту субъекта управления;
6) принцип экономии времени, делающий необходимым постоянное уменьшение трудоемкости операций в производственном процессе;
7) принцип целевой совместимости и сосредоточения, состоящий в создании связанной, целенаправленной системы, при которой все ее звенья образуют единый механизм, направленный на решение общей задачи. Работа отдельных служб предприятия строится таким образом, чтобы в конечном итоге в заданное время появилась именно та продукция, в которой нуждается конечный потребитель;
8) принцип непрерывности и надежности, предполагающий создание таких условий, при которых достигаются устойчивость и непрерывность заданного режима производственного процесса;
9) принцип планомерности, пропорциональности и динамизма, состоящий в том, что производственная система должна быть нацелена на достижение не только текущих, но и долговременных целей своего развития;
10) принцип эффективности управления, (актуален, поскольку на практике в производственном процессе существует многовариантность путей достижения одной и той же поставленной цели).
Соблюдение принципов управления позволит существенно повысить эффективность управления КСЗИ.
Принципы и методы планирования функционирования КСЗИ
Планирование – это процесс разработки и последующего контроля за ходом реализации разработанного и принятого к исполнению плана, и его корректировки в соответствии с изменяющимися условиями. Кроме того, это процесс обработки информации, направленный на обоснование предстоящих действий, выявление наилучших способов достижения целей.
С точки зрения охвата периода времени планирование может быть: краткосрочным, среднесрочным, долгосрочным.
Принципы планирования (требования) представляют собой основные исходные положения, правила обоснования и организации разработки плановых документов. Они должны постоянно изменяться, совершенствоваться, наполняться новым содержанием по мере развития экономики.
В качестве основных требований к разработке программы действий или планов предприятия были сформулированы пять принципов:
принцип необходимости планирования (повсеместное и обязательное применение планов при выполнении любого вида деятельности);
принцип единства планов (разработка общего или сводного плана социально-экономического развития предприятия);
принцип непрерывности планирования (на каждом предприятии процессы планирования, организации и управления производством, как и трудовая деятельность, являются взаимосвязанными между собой и должны осуществляться постоянно и без остановки);
принцип гибкости планов (предполагает возможность корректировки установленных показателей и координации планово-экономической деятельности);
принцип участия (состоит в том, что никто не может планировать эффективно для кого-то другого).
Методы планирования: экспериментальные, нормативные, балансовые, расчетно-аналитические, программно-целевые, отчетно-статистические, экономико-математические и другие.
Расчетно-аналитический метод основан на расчленении выполняемых работ и группировке используемых ресурсов по элементам и взаимосвязи, анализе условий наиболее эффективного их взаимодействия и разработке на этой основе проектов планов.
Экспериментальный метод – это проектировка норм, нормативов и моделей планов на основе проведения и изучения замеров и опытов, а также учета опыта специалистов.
Отчетно-статистический метод состоит в разработке проектов планов на основе отчетов, статистики и иной информации, характеризующей реальное состояние и изменение характеристики деятельности предприятия.
30)Сущность и содержание контроля функционирования КСЗИ
Контрольная функция- упорядочивающее звено управляемого процесса.
Функционирование объекта невозможно без отклонений, вызванных различными причинами и факторами. Все отклонения делят на отрицательные и положительные. Воздействие большинства отклонений достаточно малы и не требуют каких-либо вмешательств со стороны системы управления, но необходимо четко установить масштаб допустимых отклонений.
Современный сбор информации об отклонениях, превышающих допустимый предел, оценка степени влияния различных отклонений на те или иные аспекты функционирования объекта, выявление их причин – это тот обобщенный состав действий, который составляет содержание функции внутреннего контроля.
Цель внутреннего контроля – информационная прозрачность объекта управления для возможности принятия эффективных решений.
Внутренний контроль – система, состоящая из элементов входа, элементов выхода и совокупности следующих взаимосвязанных звеньев: среда контроля, центры ответственности, техника контроля, процедуры контроля, система учета.
Процесс контроля сводится к 3 этапам:
установление контролируемых норм;
измерение соответствия фактического состояния параметров и сравнение их с нормами;
коррекция отклонений.
Нормы можно выражать в денежных, временных и других единицах, поддающихся измерению (%, квоты и т.д.).
Сам процесс контроля может иметь три стадии: предварительную, текущую и заключительную.
Стадия предварительного контроля осуществляется до фактического начала работ – оценку должностных обязанностей, прав, ответственности различных категорий сотрудников.
Текущий контроль осуществляется непосредственно в ходе проводимых работ – предполагает регулярную проверку работы подчиненных, обсуждение возникающих проблем и предположений по совершенствованию.
Заключительный контроль – самый отработанный на практике этап. Предполагает анализ ошибок и наказание виновных. Этот этап, во-первых дает руководству информацию, необходимую для планирования в случае, если аналогичные работы предполагается проводить в будущем, а во-вторых, способствует мотивации и повышению ответственности.
При контроле функционирования КСЗИ должны осуществляться следующие мероприятия:
Анализ и оценка фактического состояния;
Выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функционирования;
Выявление причин установленных отклонений (несоответствий);
Выработка предложений, направленных на устранение недостатков и предотвращение нарушений.
Одна из основных задач контроля - квалифицированное определение предела допустимых отклонений.
В качестве объектов контроля могут выступать:
Состояние внутриобъектового режима предприятия;
Мероприятия по предотвращению несанкционированного выноса носителей информации за территорию предприятия;
Уровень знаний требований режима различными категориями сотрудников;
Качество разработки нормативно-методических и организационно-распорядительных документов по обеспечению функционирования КCЗИ;
Работоспособность специальных средств и систем защиты;
Факты подмены и несанкционированного подключения к оборудованию и линиям связи и др.
Контроль должен обладать рядом свойств: быть объективным, своевременным, соответствовать характеру контролируемого процесса.
При выборе объектов контроля в системах защиты следует учитывать то обстоятельство, что контрольные мероприятия должны обладать способностью оказывать влияние на функционирование системы защиты и ее элементов, а также на деятельность подразделений, входящих в организационную составляющую архитектуры КСЗИ.
С учетом специфики деятельности по организации ЗИ преимущественное внимание должно быть уделено предварительному и текущему контролю, а в рамках осуществления самих контрольных процедур следует уделять особое внимание четкому выделению как самих подконтрольных объектов, так и их элементов.
31. Управление КСЗИ в условиях чрезвычайных ситуаций
Чрезвычайная ситуация (ЧС) – это катастрофические изменения состояния некоторого объекта (здания, предприятия, территории), сложившиеся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия и повлекшие за собой большие людские, материальные или финансовые потери.
На принятие решений в условиях ЧС существенное влияние оказывают следующие факторы:
– неопределенность, связанная со сложностью сбора и обработки оперативной информации, а также возможным разрушением АС управления; – недостаток резервов и ресурсов;
– ограниченность времени на принятие решения;
– психофизиологическое состояние лиц, принимающих решения, и тех, кто испытал на себе последствия ЧС (шок, кровопотеря, страх, голод, и т.п.).
Главное в ЧС – это сохранение жизни людей и нормальное функционирование систем жизнеобеспечения, в том числе КСЗИ.
Все ЧС имеют 3 классических периода:
1) угрожаемый;
2) нейтрализации или предотвращения;
3) восстановления функционирования КСЗИ
В этой связи чрезвычайно важной является подготовка мероприятий на
случай возникновения ЧС. Это может быть:
1. Заблаговременная подготовка, включающая:
– прогнозирование потерь при ЧС;
– расчет и формирование резерва, необходимого для сокращения потерь;
– поддержание ресурсов в необходимой степени готовности.
2. Непосредственная подготовка – привлечение (частичное или полное)
подготовленного резерва к работам по ликвидации последствий ЧС.
Для КСЗИ в условиях ЧС необходимо разработать:
– меры по защите наиболее важных и ценных носителей информации;
– подробные инструкции, регламентирующие деятельность каждого сотрудника;
– распределение обязанностей и ответственности за сохранность носителей информации;
– материально-техническое обеспечение ЧС (маршруты перевозок, карты,
адреса, и. т.п.).
Особое внимание необходимо уделить созданию резервных копий жизненно важной для функционирования комплексной системы информации.
Различают следующие виды резервирования:
1) организационное; 2) техническое; 3) информационное.
Среди методов резервирования выделяют:
– полное дублирование;
– инкрементальное (наращиваемое) резервирование;
– дифференциальное резервирование.
Полное резервирование обычно затрагивает всю КСЗИ и все защищаемые
документы. Еженедельное, ежемесячное и ежеквартальное резервирование
подразумевает полное резервирование.
При инкрементальном резервировании происходит копирование только
тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее резервирование добавляет только те файлы, которые были изменены с момента предыдущего инкрементального резервирования. В среднем, этот вид резервирования требует меньше времени. Однако процесс восстановления данных занимает
больше времени, так как объем восстанавливаемых данных увеличивается.
При дифференциальном резервировании каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз
заново. Дифференциальное резервирование ускоряет процесс восстановления.
Управление КСЗИ в ЧС сводится к разработке плана действий в возможных ЧС и к проведению учений, тренировок персонала, и т.п.
Главный показатель системы в ЧС – катастрофоустойчивость – способность вычислительных систем сохранять работоспособность хотя бы в некотором минимальном объеме после возникновения ЧС.
32. Общая характеристика подходов к оценке эффективности систем защиты информации
В основе лежит ущерб (финансовый, материальный, моральный).
Традиционный метод: оценка затрат.
На практике ЭОЭ реализуется в соответствии с международным подходом по двум направлениям:
Затратная часть проекта
Доходная часть проекта
При этом указанные направления ЭОЭ реализуются с учётом российского опыта (устаревший подход) и международного опыта (перспективный подход).
ЭОЭ предусматривает использование методов качественной и количественной оценки. Качественной как правило недостаточно.
Оценка затрат на ЗИ
На международном уровне существуют различные методы оценки затрат и доходной части проектов в области ИБ:
Прикладной информационный анализ (AIE) позволяет оценивать инвестиции в проекты ЗИ на основе затрат/выгод, с финансово-экономической точки зрения.
Потребительский индекс (CI) – оценивает влияние инвестиций в ЗИ на численность и состав потребителей (пользователей).
Добавленная стоимость (EVA) – рассматривается коэффициент прибыли для службы ЗИ.
Исходная экономическая стоимость (EVS) – оценивает в количественной форме возврат от инвестиций в ЗИ
Управление портфелем активов (PM) – позволяет оценить сроки и размеры прибыльности, риски за счёт внедрения КСЗИ
Оценка действительных возможностей проекта по безопасности (ROV) – хорошо рассчитывает прогностические
Метод жизненного цикла искусственных систем (SLCA) – строится два вида моделей – «как есть» и «как должно быть» с учётом реальных бизнес-процессов
Система сбалансированных показателей (BSC) – позволяет традиционными показателями финансовых отчётов оценить проект по ЗИ, особенно инновационную составляющую
Наиболее распространённым методом оценки затратной части в настоящее время является метод совокупной стоимости владения (TCO).
Практическая методика оценки эффективности проектов по ИБ на основе совокупной стоимости владения
Метод предусматривает:
Оценку затрат:
Прямых
Косвенных
Итоговых
Анализ и минимизация затрат по определённым компонентам
Сравнение предлагаемого проекта с существующей системой ЗИ, а также сравнение с эталонным вариантом системы ЗИ
Имеются автоматизированные модели реализации данной методики.
Методология эффективности
На выходе:
Когда окупится система
Какие доходы будет приносить в рассматриваемый период времени (малая до 3 лет, средняя от 3-5, крупная 5-7 лет)
Наиболее распространённые методы:
Метод ожидаемых потерь – оцениваются величины возможного ущерба и сравниваются с инвестициями в безопасность. В основе – эмпирический опыт защиты информации. На основании этого метода определяются ежегодные сбережения, которые получит организация в случае внедрения КСЗИ:
AS = ALE * E – AC, где
АS – ежегодные сбережения
ALE – показатель ожидаемых потерь
E – расчётная функциональная эффективность
AС – ежегодные затраты на КСЗИ
Метод оценки свойств КСЗИ – позволяет оценивать влияние среды на эффективность информационной безопасности.
Метод дерева ошибок – позволяет раскрыть уязвимости и предпринять шаги к их устранению.
Метод оценки возврата инвестиций в безопасность (ROSI): строится таблица угроз и рисков (TRA);
33) Методы и модели оценки эффективности КСЗИ (https://vk.com/doc125405127_632483406?hash=6df6ff6db025e1785d&dl=bf243cb11bc5a2b179)
Ст 89)
Контроль является одним из важнейших и необходимых направлений работ по ЗИ. Цель контроля: выявить слабые места системы, допущенные ошибки, своевременно исправить их и не допустить повторения.
Основные требования к контролю: комплексность, своевременность, стандартизация, простота, доступность, гибкость, объективность, экономичность.
Основные методы контроля: проверка, изучение, испытания, наблюдения,
зачеты, экзамены, тестирование, провокации аварийных ситуаций, атаки и др.
Основными задачами контроля являются [2, 11, 31]:
– определение обоснованности и практической целесообразности проводимых мероприятий по ЗИ;
– выявление фактического состояния СЗИ в данный период времени;
– анализ сравнения фактического состояния с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;
– установление причин и обстоятельств отклонений показателей качества,
характеризующих СЗИ, от заданных;
– разработка мероприятий по улучшению и корректировке процесса
управления и принятия мер по их реализации. – изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.
Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают проверку:
– выполнения сотрудниками требований по обеспечению сохранности коммерческой тайны;
– выполнения пропускного режима (проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранников);
– выполнения сотрудниками правил работы с конфиденциальными документами (правила хранения, размножения и копирования);
– наличия защищаемых носителей конфиденциальной информации.
При проведении технического контроля осуществляется проверка мер технической защиты информации установленным требованиям или предельно допустимым значениям (нормам). В зависимости от объема проверяемых каналов возможной утечки информации технический контроль может быть:
– комплексный, проверка всех каналов;
– целевой, проверка одного из каналов;
– выборочный, проверка наиболее вероятных каналов утечки.
Кроме того, контроль функционирования КСЗИ может быть:
– внешний, проводимый различными государственными органами;
– внутренний, проводимый службой безопасности предприятия.
При классификации видов контроля используются временные рамки, скорость изменения контролируемых процессов, затраты на проведение измерений и обработку результатов и др. (см. приведенную ниже таблицу).
-
Категория контроля
Возможные разновидности контроля
Уровень автоматизации
неавтоматизированный; частично; полностью
Объекты системы
система в целом; подсистемы КСЗИ; отдельные элементы
Полнота охвата
локальный; сквозной; глобальный
Последовательность реализации контрольных операций
последовательный; параллельный; смешанный
Функциональная направлен- ность
организационно-правовой; технический; ресурсный (кадровый, информационный)
Периодичность
систематический; периодический; эпизодический (внезапный)
Вид получаемой информации
первичный; сводный
В последнее время широко применяются следующие виды контроля:
– мониторинг – непрерывное поступление информации;
– контроллинг – оценка экономичности;
– бенчмаркинг – внедрение технологий, стандартов и методов деятельности более успешных организаций-аналогов.
В самом процессе контроля выделяют следующие стадии: предварительная, текущая и заключительная.
Заключительный контроль даёт руководству информацию для: анализа причин нарушений и недостатков в организации и обеспечении ЗИ; выработки рекомендаций по их устранению и планирования проведения аналогичных работ в будущем.
34) Основные цели и задачи проведения аудита (лекции серёдкина)
Цель:
Объективно оценить текущее состояние ИБ Предприятия, а также её адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности эконмической деятельности компании
Задачи
Анализ возможности осуществления угроз ИБ по отношению к ИС
Определение уровня защиты ИС и выявления слабых мест в защите системы
Формирование рекомендации по повышению эфф. ЗИ
Оценка полноты выполнения законных требований, стандартов, нормативных актов
35.Анализ рисков компании. (Вся методичка Глухова )
Целью анализа рисков является оценка угроз и уязвимостей, возможного ущерба, учитывая уровень защищенности информационной системы. С анализа рисков должно начинаться построение любой системы ИБ. Он включает в себя мероприятия по обследованию безопасности информации ИС, целью которых является определение того, какие ресурсы и от каких угроз нуждаются в защите.
Риск – вероятность наступления угрозы.
Из инета: Анализ информационных рисков — это процесс совокупного оценивания степени защиты информационной системы с определением количественных (в форме денежных ресурсов) и качественных (уровни риска: высокий, средний, низкий) показателей риска.
Существует несколько моделей оценки информационных рисков.
Двухфакторная модель:
Р = Ци*Ву
Трехфакторная модель: (рассчитана на более высокие требования)
Р = Ци*Ву*Уи
Наиболее распространенная методика – методика «матрица рисков». Определяется вероятность возникновения каждого риска и размер связанных с ним потерь (стоимость риска). Оценка чаще проводится по шкале: высокая, средняя, низкая. Выставляется оценка системе в целом, а сами виды рисков ранжируются. Методика применяется при базовом анализе рисков ИБ.
Многофакторная модель оценки информационных рисков хозяйствующего субъекта
Р =Ци*Ву*Уп+((Утс+Упас+Уорг)/3)
Р – уровень риска информационным активам
Ци – ценность информационного актива
Ву – вероятность реализации угрозы
Уп – коэффициент уязвимости персонала
Утс – коэффициент уязвимости технических средств
Упас – коэффициент уязвимости программно-аппаратных средств
Уорг – коэффициент уязвимости организационных мер
Оценка рисков ИБ включает в себя:
Идентификация и классификация информационных активов
Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям:
Человеческие ресурсы (надежность персонала)
Информационные активы (открытая, конфиденциальная информация)
Программные ресурсы я(ОС, СУБД и тд)
Физические ресурсы (серверы, рабочие станции, сетевое и телекоммуникационное оборудование)
Сервисные ресурсы (электронная почта)
Помещения, в которых обрабатывается, хранится информация)
Оценка информационных угроз безопасности предприятию, построение модели нарушителя и других источников нарушения ИБ
Схема оценки защищенности информационных активов предприятия с учётом информационных рисунков
1.Подготовительный этап – 2. Оценка рисков ИБ (2.1 Идентификация и классификация информационных активов – 2.2 Оценка угроз ИБ – 2.3.Определение ценности информационных активов – 2.4 Оценка уязвимости информационных активов) – 3.Управление информационными рисками – 4.Создание КСЗИ хозяйствующего субъекта – 5.Реализация программ обеспечения рискозащищености информационных активов – 6.Анализ эффективности вложений в защищенности информационных активов
Предложенный подход к оценке защищённости информационных активов предприятия предполагает в дальнейшем возвращение к этапу оценки рисков ИБ для корректирования программы обеспечения ИБ с учетом изменений внутренней и внешней среды функционирования предприятия (мониторинг и контроль)
Из лекций:
Методика анализа предпринимательского риска
Выделяют различные виды предпринимательских рисков: страновой, валютный, налоговый, ресурсный и тд, все они имеют свою структуру и особенности.
Все виды рисков связаны с такой категорией как формы проявления уязвимости информации (ФПУИ)
Качественный анализ взаимосвязей предпринимательских и информационных рисков (информационные риски можно трактовать более широко, чем ФПУИ) позволит оценить качество функционирования системы защиты в экономическом плане.
Если минимизация предпринимательских рисков влияет на получение прибыли, то устранение условий, при которых информационные риски могли бы усилить или способствовать появлению предпринимательских рисков, будет оказывать серьезное положительное влияние на конечный результат деятельности самого предприятия.
Схема взаимного влияния информационных и предпринимательских рисков
Предпринимательские риски:
Страновой
Валютный
Налоговый
Риск форс-мажорных обстоятельств
Организационный
Ресурсный
Портфельный
Кредитный
Инновационный
Информационные риски:
Хищение
Потеря
Уничтожение
Модификация
Блокирование
разглашение
Методика анализа предпринимательского риска:
Определение приемлемого уровня риска
Выбор защитных мер, позволяющих минимизировать риски до приемлемого уровня
Варианты управления рисками безопасности:
Уменьшения риска за счет использования дополнительных организационных и технических средств защиты
Уклонения от риска путем изменения архитектуры или схемы информационных потоков АС
Изменения характера риска, например, в результате применнеия мер по страхованию
Принятия риска в том случае если он уменьшен до того уровня, на котором он не представляет опасности для ИС
36. Методы оценки уровня безопасности КИС
Любая КИС создается с учетом уже имеющейся или планируемой информационной инфраструктуры, включающей как телекоммуникационную составляющую, так и информационную часть, что вместе составляет инфокоммуникационную среду для будущей системы. Зачастую никто, даже сам заказчик - владелец ресурса, не имеет полного представления о том, чем же он владеет. Поэтому первым этапом на пути разработки Концепции является обследование объекта защиты или аудит, который проводится специалистами по информационной безопасности на всех или на выделенных типовых объектах заказчика. Смысл этой непростой и довольно длительной работы заключается в выявлении состава информационной инфраструктуры, на которую и будет опираться (или уже опирается) система.
Основные принципы и положения по созданию и функционированию защищенных систем изложены в требованиях ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739-95, ГОСТ Р 50972, ГОСТ Р 51275, ГОСТ РВ 50797 и других нормативных документах. Здесь имеется также ряд ограничений, сужающий круг предприятий, имеющих возможность работать в них. Кооперация исполнителей или единственный проектный интегратор должен иметь лицензии на осуществление работ в области защиты информации и использование средств защиты информации (СЗИ) в своей деятельности.
Исходя из общих соображений можно определить ряд подсистем, которые должны входить в систему комплексной защиты информации КИС и практически обязательны к проектированию.
Подсистема авторизации
Подсистема контроля целостности
Подсистема межсетевого экранирования
Подсистема антивирусной защиты
Подсистема контентного анализа и защиты от нежелательной почты (спама)
Подсистема обнаружения вторжений
Подсистема мониторинга уязвимостей и аудита информационной безопасности
Подсистема управления информационной безопасностью
37. Возможные виды аудита безопасности
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.
Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
Виды аудита ИБ:
экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.
Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.
38. Служба защиты информации как координатор деятельности по обеспечению безопасности информации.
Служба защиты информации по характеру деятельности находится в тесном взаимодействии: 1) с руководителями предприятия, структурных подразделений предприятия и персоналом его ИС — по вопросам функционирования, контроля и проверки системы защиты информации и ее элементов, подготовки и предоставления необходимых руководству материалов по профилю деятельности службы; 2) с юридической службой — по правовым вопросам, связанным с обеспечением защиты информации; 3) с кадровой службой — по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения квалификации сотрудников, предоставления льгот и оплаты труда; 4) с постоянно действующей технической комиссией (ПДТК) предприятия — по вопросам эффективности и совершенствования системы защиты информации; 5) со службами материально-технического снабжения и хозяйственного обслуживания. СлЗИ организует при необходимости взаимодействие с аналогичными подразделениями сторонних организаций, участвующими в выполнении совместных программ. СлЗИ проводит свою работу во взаимодействии с территориальными органами ФСБ, ФСТЭК, ФСО, военными представительствами, правоохранительными органами, другими министерствами и ведомствами.
Таким образом СлЗИ предприятия является: 1) органом управления ЗИ на предприятии; 2) координатором деятельности руководства и структурных подразделений предприятия, государственных органов и органов других предприятий по обеспечению БИ с ограниченным доступом, используемой предприятием в процессе своего функционирования.
39) Основные задачи и функции службы защиты информации от её утечки по техническим каналам. (тут ответ не на конкретно техническую защиту а вообще функции отдела без предприятия) (4_sdA.doc стр 178)
Задачи
•обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;
•организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
•организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; •предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;
•выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;
•обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровне;
•обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
•обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
•оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.
Цели
•предотвращение утечки, хищения, утраты, искажения, подделки информации;
•предотвращение угроз безопасности личности, предприятия, общества, государства;
•предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
•защита конституционных прав граждан на сохранение лично тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение, конфиденциальности документированной информации в соответствии с законодательством.
40. Общая структурная схема службы защиты предприятия
Структура и содержание Положения службы защиты информации.
1 Общие положения
(создаётся в целях выполнения требований действующего законодательства Российской Федерации, иных нормативно-правовых актов, регламентирующих обеспечение защиты информации)
2 Структура
(Структура и штатная численность Службы определяются приказом руководителя Оператора)
3 Задачи
(Основные задачи Службы
прим: разработка и реализация комплекса организационных и технических мер, Обеспечение постоянного контроля в подразделениях…)
4 Функции
(Для выполнения поставленных задач Служба осуществляет функции
прим: организует и проводит во взаимодействии с заинтересованными подразделениями, разрабатывает и реализует комплекс организационных и мер, организует и(или) проводит экспертизу технических средств…)
5. Взаимодействие
С кем взаимодействуют (подразделения, руководители…) и какую информацию от них получают.
6. Ответственность
согласно действующему законодательству, нормативно-правовым и локальным нормативным правовым актам за обеспечение…прим: выполнение задач и функций
материальную ответственность за сохранность имущества
за оперативную работу с поступающими документами и контроль за их исполнением…
42. Организационные основы и принципы действия Службы защиты информации.
Служба защиты информации – ядро организационной ЗИ на предприятии.
Основы:
1. назначается руководителем
2. выбирается начальник службы
3. отбор персонала
Принципы:
Законность: Меры безопасности предприятия разрабатываются на основе норм права в пределах определенной данным типовым положением компетенции с применением всех дозволенных Законом методов обнаружения и пресечения правонарушений в сфере безопасности.
Самостоятельность и ответственность: СБ располагают всеми необходимыми для своей деятельности видами ресурсов, при использовании которых обеспечивается строгое соответствие производимых затрат и достигаемых результатов, материальная ответственность инициаторов и исполнителей соответствующих мероприятий за результаты своей деятельности,
Экономическая целесообразность и прибыльность: Мероприятия по обеспечению безопасности предприятия не должны приводить к ухудшению экономических показателей деятельности предприятия, а стабильность его прибылей является главным критерием оценки качества работы СБ, определения размеров материального вознаграждения их сотрудников.
Специализация и профессионализм: Кадровый состав подразделений безопасности специализируются по направлениям комплексного обеспечения безопасности предприятия. Профессиональная подготовка сотрудников СБ предприятия должна позволять широко использовать научные достижения и передовой опыт организации работ по обеспечению безопасности объектов. В противном случае противодействия ЗЛ становятся проблематичными.
Программно-целевое планирование: Деятельность СБ предприятия по обеспечению безопасности осуществляется на основании комплексной программы и разрабатываемых на ее основе планов работ и отдельных мероприятий.
Взаимодействие и координация: Меры безопасности осуществляются на основе взаимодействия и скоординированности усилий всех заинтересованных подразделений предприятия, а также установления необходимых связей с внешними организациями (органами государственного управления, правоохранительными органами, другими предприятиями и фирмами). Деятельность в сфере безопасности не должна нарушать нормальных условий работы предприятия на других направлениях.
Гласность в сочетании с необходимой конспирацией: Руководящие органы предприятия регулярно информируют своих сотрудников о мероприятиях по обеспечению безопасности. В оправданных ситуациях меры безопасности могут носить конспиративный характер. Конспиративность мер безопасности предполагает специальную организацию контроля руководящих органов СБ предприятия за их применением, соблюдением необходимых правил-процедур.
43. Основные подразделение службы защиты информации.
Специальный отдел
Специальный отдел независимо от численности работающих (от одного и более сотрудников) является самостоятельным структурным подразделением и подчиняется непосредственно начальнику СБП. В наиболее крупных предприятиях этот отдел состоит из следующих структурных единиц:
• сектора обработки секретных документов;
• сектора обработки документов с грифом «Коммерческая тайна»;
• машинописного бюро.
Основной функцией отдела является выполнение и организация работ, связанных с использованием конфиденциальной информации
Служба безопасности должна четко знать, у кого (у какого источника) и где (в каком подразделении и в каком виде) присутствует конфиденциальная информация, а также кто способствует неправомерному овладению охраняемыми сведениями.
Подразделение информационно-аналитической деятельности
Основными задачами такого подразделения являются
− сбор и оперативное использование информации по гражданскому, уголовному и хозяйственному законодательству;
− подготовка и анализ заключаемых договоров, а также подготовка рекомендаций по вопросам правовой защиты от противоправных действий; − сбор, накопление, обработка, анализ и выдача информации о возможных клиентах и партнерах, перспективах сотрудничества;
− работа с вкладчиками, акционерами, финансовыми брокерами и дилерами с использованием методов экономической разведки;
− подготовка и проведение рекламных кампаний; − разработка мероприятий по участию фирмы в процессах политического лоббирования, схем поведения по отношению к политическим партиям и общественным движениям;
− сбор и анализ коммерческой информации, в явном или неявном виде присутствующей в средствах массовой информации;
− анализ процессов и тенденций в инвестиционно-финансовой сфере в России и за рубежом;
− сбор информации по конкурирующим фирмам, а также составление психологических портретов их лидеров;
− разработка концепции стратегического развития организации, подготовка, экспертиза и реализация отдельных организационно финансовых проектов и технологий;
− сбор информации о процессах, происходящих в криминальных структурах, о криминогенной обстановке в районе деятельности фирмы;
− выработка рекомендаций и мер противодействия преступным посягательствам, направленным против банка (фирмы) и их сотрудников.
В аналитическом центре фирмы обычно задействовано несколько сотрудников. Их функции подразделяются на две категории:
• сборщиков информации, занятых добыванием информации из различных источников;
• информационно-аналитических сотрудников.
Ключевая роль в деятельности службы безопасности фирмы должна отводиться аналитическому звену, осуществляющему сбор и обработку информации о конкурентных фирмах и компаниях на товарном рынке, о маркетинговых условиях, криминально-конкурентных действиях. Таким аналитическим звеном может быть группа информационноаналитической деятельности.
Цели и задачи такой группы можно сформулировать следующим образом [13]:
• выявление фактических возможностей разглашения, утечки и реализации способов несанкционированного доступа к конфиденциальной информации; • прогноз вероятных устремлений конкурентов к конкретным материалам и разработкам фирмы;
• выявление причин и обстоятельств, способствующих неправомерному овладению коммерческой информацией;
• оценка надежности и степени защищенности фирмы от внутренних и внешних угроз;
• участие в анализе, разработке и внедрении комплексных экономически и научно обоснованных мер по защите интересов фирмы.
Подразделение инженерно-технической защиты К основным средствам инженерно-технической защиты информации относятся следующие:
• физические; • аппаратные; • программные; • математические (криптографические).
Указанные средства применяются для решения следующих задач:
− охраны:
• территории и наблюдения за ней;
• зданий, внутренних помещений и наблюдения за ними;
• оборудования, хранилищ и перемещаемых носителей информации;
− осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;
− создания препятствия визуальному наблюдению, подслушиванию и фотографированию;
− нейтрализации побочных электромагнитных излучений и наводок;
− исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронновычислительной техники.
Для выполнения этих задач отдел инженерно-технической безопасности осуществляет организационные, организационнотехнические и технические мероприятия, наиболее важными из которых являются следующие [7]:
1. Обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования.
2. Выявление и оценка степени опасности технических каналов утечки информации.
3. Разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами при использовании для этого физических, аппаратных и программных средств и математических методов защиты.
4. Организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий. Проведение 84 Подразделения службы безопасности предприятия обобщения и анализа результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты.
5. Обеспечение приобретения, установки, эксплуатации состояния технических средств защиты информации.
Подразделение разведки В условиях обострения конкурентной борьбы и роста преступности роль и значение разведки службы безопасности предприятия будет постоянно повышаться. Перед подразделением обычно ставится одна общая цель: своевременное выявление и предоставление руководству предприятия закрытой информации о реальных и потенциальных внешних угрозах его функционированию.
Подразделение контрразведки
цель контрразведывательного подразделения можно определить как противодействие разведывательным мероприятиям конкурентов и пресечение правонарушений со стороны противоправных групп или отдельных лиц, посягавших на интересы обслуживаемого предприятия или его отдельных сотрудников.
В отличие от разведки, объектом контрразведывательной деятельности является не внешняя, а внутренняя среда функционирования предприятия. Эта среда включает в себя следующие элементы.
• Руководящий состав предприятия (директор, его заместители, главбух и т.д.) как потенциальные объекты разведывательных мероприятий и/или преступлений со стороны конкурентов.
• Лица из вспомогательного персонала, имеющие доступ к коммерческой тайне (машинистки, работники канцелярии и т.д.).
• Сотрудники, со стороны которых потенциально существует опасность предоставления преступным элементам таких сведений, которые помогут им совершить преступления (сторожа, охранники, водители персональных машин руководителей и т.д.).
• Сотрудники самой службы безопасности.
• Ранее судимые лица из числа работников предприятия.
• Сотрудники предприятия, родственники которых работают у
конкурентов.
• Ранее уволившиеся из предприятия его работники.
• Лица, которые в силу своих должностных обязанностей регулярно принимают посетителей предприятия.
Определение цели и объекта контрразведывательной деятельности позволяет определить круг возможных задач подразделения контрразведки:
− борьба с экономическим шпионажем;
− пресечение преступлений против отдельных групп сотрудников (или
всех сотрудников на их рабочих местах);
− оказание содействия правоохранительным, судебным и контрольнонадзорным органам в документировании противоправных действий лиц, совершающих уголовные преступления и административные проступки.
44.Состав и содержание нормативных документов, регламентирующих деятельность службы защиты информации
Начальник службы распределяет обязанности между сотрудниками службы и утверждает их должностные инструкции.
В своей деятельности служба руководствуется:
Законодательством РФ
Уставом компании
Настоящим положением
Приказами и распоряжениями директора предприятия
Для работы службы защиты информации необходимо подготовить ряд нормативных документов:
Положение о службе защиты информации
Должностная инструкция специалиста СЗИ;
Положение о конфиденциальной информации предприятия;
Перечень документов предприятия, содержащих конфиденциальную информацию;
Инструкция по защите конфиденциальной информации в информационной системе предприятия;
Предложения по внесению изменений в Устав предприятия;
Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
Предложения о внесении изменений в должностное (штатное) расписание предприятия (штат службы защиты информации);
Предложения о внесении дополнений в должностные инструкции всему персоналу;
Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в информационной системе предприятия;
План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
Предложения о внесении дополнений в стандартные договора с контрагентами.
45. Моделирование систем и процессов защиты информации
Метод моделирования-один из основных методов исследования динамических систем, к которым относятся хозяйствующие субъекты.(из другой лекции)
Моделирование систем защиты сводится к построению некоторого абстрактного образа (модели) этой системы, обеспечивающего имитацию ее характеристик, поведения, и получения с помощью этой модели необходимых данных о функционировании реальных систем.
Процесс моделирования – два этапа: построение модели и реализация последней для получения искомых данных.
Моделирование систем и процессов ЗИ.
Для систематизации моделей вводятся критерии следующего содержания:
способ моделирования;
характер моделируемой системы;
масштаб моделирования.
По способу моделирования критерии модели могут выступать в двух видах:
аналитическими, в которых поведение объектов (различных систем) отображается в виде функциональных зависимостей и логических условий;
имитационными, где возникающие в реальных системах ситуации описываются набором алгоритмов, которые затем реализуют на ЭВМ для получения и обработки результатов.
По характеру моделируемые системы делят на:
стохастические, модели могут включать случайные компоненты (т.е. когда зависимости между элементами могут иметь неоднозначный характер);
на детерминированные, моделях таких компонентов не содержится. Поскольку позволяющее влияние на функционирование систем защиты оказывают случайные факторы, то все основные модели систем защиты информации выступают именно как стохастические.
В соответствии с масштаб моделирования модели систем и процессов защиты строятся с целью определения обобщенных характеристик исследуемых систем и в этом случае выступают как общие модели, либо могут быть частными. В последнем случае с их помощью определяют локальные характеристики систем. В зависимости от особенностей предметной области моделирования и его целей модели могут также различаться по проблемной ориентации.
Выделяют 4 группы моделей:
концептуальные;
модели управления безопасностью;
модели отношений доступа и действий;
потоковые модели.
Каждая, проблемно-ориентированная группа моделей позволяет решать определенные прикладные и теоретические задачи на различных этапах проектирования систем и средств защиты информации.
46. Специализированные оценочные модели систем и процессов защиты (4_sdA.doc стр 160)
Моделирование оценки эффективности КСЗИ сводится к построению абстрактного образа всей системы с имитацией её основных характеристик в интересах получения требуемых данных – показателей эффективности как отдельных компонентов, так и всей системы в целом.
Процесс моделирования оценки эффективности разбивается на ряд этапов:
Выбор критериев
Построение модели
Реализация процессов оценки эффективности (в интересах поставленной цели)
На практике выделяют следующие группы моделей оценки эффективности:
Аналитические – поведение объекта и КСЗИ моделируется на основании различных функциональных зависимостей и логических условий (матан)
Имитационные – моделируют различные реальные ситуации на основе реализуемых алгоритмов в области ЗИ
Детерминированные
Стохастические (вероятностные)
Экспертные – реализуются на основе эвристического моделирования высококвалифицированными специалистами (экспертами).
Сложные модели оценки эффективности КСЗИ могут строиться и на совокупности вышеуказанных моделей.
Сравнительный анализ типовых групп моделей оценки эффективности КСЗИ:
Характеристики |
Виды моделей |
||
Аналитическая |
Имитационная |
Экспертная |
|
Область применения |
Определение наиболее уязвимых мест в КСЗИ |
Исследование объекта ЗИ |
Сравнение различных вариантов построения КСЗИ |
Вероятностное оценивание и экономический расчёт ущерба от реализации угроз |
Оценка влияния различных условий обработки информации и внешней среды на ЗИ |
Определение целесообразных затрат на создание КСЗИ |
|
Стоимостной анализ применения мер по ЗИ |
Обучение персонала работе с КСЗИ |
Анализ последствий воздействия угроз на объект защиты |
|
Научное обоснование количественных показателей эффективности защиты |
Оценка влияния реальных событий на КСЗИ |
Доведения существующего уровня безопасности КСЗИ до требуемого |
|
Привлекаемые показатели эффективности |
Вероятность обнаружения НСД |
|
Весовой коэффициент опасности реализации угрозы |
Вероятность реализации угрозы |
|
Величина информационного риска рассматриваемой угрозы |
|
Вероятность противодействия НСД |
|
Степень обеспечение безопасности функционирования объекта защиты КСЗИ |
|
Надёжность функционирования объекта защиты в условиях рассматриваемых угроз |
|
Эффективность КСЗИ |
|
Достоинства |
Хорошо формализованное представление предметной области |
Использование естественного языка при формулировании рассматриваемых ситуаций |
|
Получение точного математически корректного решения задачи |
Простота расчётов |
||
Представление результатов решения в количественной форме |
Применимость к слабо формализуемой предметной области |
||
Аналитические модели более просты и менее точны нежели имитационные |
Высокая оперативность моделирования |
||
Недостатки |
Невозможность построения для всех реальных случаев расчётной модели |
Нечёткость основных соотношений и показателей |
|
Сложность учёта влияния большого числа разнородных факторов |
Высокая степень субъективности суждений |
||
Отсутствие необходимых исходных данных (статистики) |
Трудность получения точных результатов |
||
Нестационарность – постоянно меняющийся характер исходных данных |
Получение качественных, а не количественных значений |
||
47.
48. Имитационные методы и модели.
Имитационное моделирование — это метод исследования, при котором изучаемая система заменяется моделью с достаточной точностью, описывающей реальную систему и, с ней проводятся эксперименты с целью получения информации об этой системе. Модели чаще всего реализуются в виде компьютерных программ, которые шаг за шагом воспроизводит события, происходящие в реальной системе.
Имитационные – моделируют различные реальные ситуации на основе реализуемых алгоритмов в области ЗИ. Имитация – это постижение сути явления, не прибегая к экспериментам на реальном объекте.
В таблице перечислены возможные области использования моделей при оценке эффективности КСЗИ.
Область применения экспертных методов оценки эффективности защиты информационного ресурса
Возможные области использования модели:
Сравнение различных вариантов построения КСЗИ
Определение целесообразных затрат на создание КСЗИ
Анализ последствий воздействия угроз на объект защиты
Доведения существующего уровня безопасности КСЗИ до требуемого
В качестве привлекаемых показателей эффективности используются
• весовой коэффициент опасности реализации угрозы;
• величина информационного риска рассматриваемой угрозы;
• степень обеспечения безопасности работы объекта защиты КСЗИ;
• эффективность КСЗИ.
Особенности практического применения различных методов и моделей оценки защиты информационного ресурса
Особенности практического применения различных методов и моделей оценки эффективности системы защиты информации
При выборе и использовании методов и моделей той или иной группы следует руководствоваться следующими положениями. Прежде всего, целесообразно опираться на соответствие методов и моделей решаемой задаче и применять только те, которые в данной ситуации наиболее оправданы. Помимо этого можно выделить другие важные принципы, составляющие методологическую базу решения задачи.
Методологическая база будет выступать здесь как совокупность принципов общего и частного характера, приемов, положений и других категорий, выражающих наиболее общие законы развития предметной области, специфические стороны исследуемых явлений и объектов. В качестве общих методологических принципов представляется возможным указать следующие'.
причастность к действительности как к объективной реальности;
ориентация на выделение при исследовании объектов и процессов существенных и частных вопросов, и аспектов;
признание динамического характера элементов, входящих в состав рассматриваемых объектов изучения;
учет предыстории исследуемых явлений и процессов и общесистемных закономерностей развития;
учет сложности и многогранности характера объекта исследования (переход к проблемному подходу, учитывающему наличие взаимосвязей между элементами изучаемого объекта и их особенности).
Первые два принципа способствуют более четкой исследовательской ориентации.
Что касается третьего принципа, то здесь необходимо отметить, что их изучение и учет позволит ответить на многие вопросы, связанные с определением самого понятия системы, направлений развития, свойств, позволит проанализировать и понять процессы, происходящие при функционировании систем в нормальных и кризисных ситуациях, и многое другое.
Что касается последнего принципа, то его можно охарактеризовать следующим образом. Для современных АС понятие структуры, раскрывающей схему связей и взаимодействия между элементами, является специфическим. Выделяют два типа структур: физическую и логическую. Первая является схемой связей таких физических элементов, как технические средства, собственно узлы связи и их аппаратура, а также вычислительная техника, устанавливаемая в них. С помощью логической структуры представляются алгоритмы организации процессов установления связей в соответствии с определенными принципами, а также алгоритмы управления этими процессами и, кроме того, определяется логика функционирования программных средств. Согласованность этих структур и будет представлять собой архитектуру АС. Типовыми компонентами такой АС являются:
Эти типовые компоненты выступают в качестве объектов защиты, имеют свои особенности с точки зрения решения задачи обеспечения защиты, а значит, качество ее организации и собственно защищаемую информацию:
• контрольную, связанную с выработкой требований к разработке, внедрению и эксплуатации системы защиты АС;
• консультативно-диагностическую, ориентированную на анализ состояния системы защиты и формирование рекомендаций по ее совершенствованию;
• организационную, предполагающую принятие руководством решения по дальнейшей эксплуатации АС после получения результатов анализа.
В качестве частных принципов при построении СЗИ следует выделить следующие:
1) использование базовых принципов системного подхода: целостность, структуризация и множественность;
2) учет многофункционального характера оценочной процедуры;
3) учет различной природы показателей, взаимного влияния и зависимости при формировании их состава в рамках выбранной оценочной модели;
4) учет многоуровневого и разнопланового характера требований по безопасности, предъявляемых к системам защиты АС.
Принцип целостности позволяет рассматривать одновременно СЗИ как единое целое и в то же время как подсистему для вышестоящего уровня.
Структуризация приобретает важное значение при анализе элементного состава СЗИ и взаимосвязей между отдельными элементами в рамках конкретной организационной и информационной структуры объекта, на котором функционирует исследуемая АС.
Множественность позволяет оперировать множеством аналитических, имитационных, математических, концептуальных, экспертных и других типов моделей для описания систем защиты информации и их отдельных элементов.
Что касается второго из перечисленных выше принципов, то оценка безопасности АС действительно функционально многозначна. Она выполняет несколько функций:
• аналитическую, которая включает тщательное и всестороннее изучение АС и СЗИ, их элементов, структуры, внешней среды, в которой они функционируют;
• контрольную, связанную с выработкой требований к разработке, внедрению и эксплуатации системы защиты АС;
• консультативно-диагностическую, ориентированную на анализ состояния системы защиты и формирование рекомендаций по ее совершенствованию;
• организационную, предполагающую принятие руководством решения по дальнейшей эксплуатации АС после получения результатов анализа.
При решении проблемы выбора показателей для оценки безопасности АС должно учитываться то обстоятельство, что все они в совокупности должны отражать реальные свойства и характеристики рассматриваемого объекта.
Основными принципами при формировании системы показателей СЗИ должны быть следующие: объективность, системность, необходимость и достаточность, утилитарность (прикладной характер).
Формирование состава показателей должно выполняться в соответствии с рядом требований:
• ориентация на конкретную постановку задачи;
• учет особенностей формирования банка анализируемых данных;
• возможность формализации описания предметной области изучения;
• учет уровня и масштаба анализируемого объекта (процесса);
• полнота и адекватность отражения выбранным множеством показателей реальных свойств и характеристик.
В большинстве случаев, хотя и не во всех, оценки объектов экспертизы специалистами оказываются более точными при использовании методов многокритериального оценивания. Подобное утверждение можно нередко встретить в специальной литературе, особенно по проблемам экспертных технологий.
Понятно, что при многокритериальной оценке объект характеризуется не одним, а иногда целой системой показателей.
Поскольку при многокритериальной оценке СЗИ используется целая система показателей, то их чаще всего целесообразно представлять в виде дерева, отражающего иерархическую структуру подчиненности последних.
Оценка СЗИ начинается с показателей более низкого уровня, а затем рассчитываются остальные.
Напомним, что для того, чтобы выбор показателей был оправдан, они должны удовлетворять таким свойствам, как:
- полнота;
- ясность и измеряемость значений;
- разложимость;
- агрегируемость;
- соответствие установившимся понятиям и терминологии защиты информации.
Комментируя первое свойство, следует сказать, что в наборе должны присутствовать все те показатели, которые охватывают основные аспекты оценки объекта экспертизы.
Помимо необходимости охвата основных аспектов оценки, показатели должны однозначно пониматься специалистами-разработчиками оценочной модели, пользователями (экспертами, лицами, принимающими решения, в случае экспертных оценок) и быть дос тупными для получения оценок по ним. При этом оценки могут быть как объективными, так и субъективными.
Следующее свойство означает, что при необходимости, когда номенклатура показателей достаточно широкая, то они могут разбиваться на мелкие группы для облегчения работы с ними.
Для снижения избыточности показателей, если они по своему содержанию перекрывают друг друга, целесообразно предусмотреть возможность уменьшения их общего количества путем введения интегральных (агрегированных, общих) показателей, либо формирования иерархически упорядоченной структуры показателей.
Последнее свойство тесно связано со вторым и учет его позволяет исключить неодинаковое толкование членами специальной группы, которая проводит процедуру оценки, содержательной сути показателей, что в свою очередь влияет на получение адекватных результатов экспертизы.
В случае проведения экспертизы с использованием экспертных методов необходимо обратить внимание еще на одно свойство показателей, используемых при проведении оценочных процедур.
Показатели, выбираемые для экспертизы, могут быть зависимыми и независимыми. Зависимость показателей выражается в том, что оценка объекта-альтернативы по одному из них определяет (с большой степенью вероятности) оценку по другому показателю.
Нормативный принцип означает, что группы показателей могут определяться исходя из известных требований стандартов по защищенности информационных технологий.
Комбинированный принцип означает, что может иметь место комбинация вышеперечисленных принципов.
В качестве примера приведем следующую систему показателей, которые объединены в группы, с тем чтобы оттенить их назначение и характеризуемый элемент.
51. Общие методологические принципы защиты информационного ресурса
Обеспечение единства, взаимосвязи и сбалансированности в решении задач производственной деятельности и ЗИ;
Сочетание общих норм защиты с нормами, обусловленными спецификой деятельности предприятий различного профиля;
Обеспечение сбалансированного соотношения объективной необходимости с экономической целесообразностью ЗИ;
Сочетание максимального ограничения доступа к ЗИ с качественным выполнением служебных обязанностей;
Обеспечение персональной ответственности за ЗИ и др.
52. Формирование показателей для оценки безопасности ИВС (4_sdA.doc стр 279)
Система экономических показателей – это общая совокупность упорядоченных и взаимосвязанных значений, которые характеризуют экономику отрасли, регионов, а также экономики в целом и определенные сферы экономической деятельности.
1) абсолютные или количественные, представляющие собой различные показатели, характеризующие объем продукции, денежных средств, соответственно выраженные в натуральных или денежных единицах измерения. К ним относятся безразмерные показатели, выражающиеся в сравнении соотношения однородных экономических значений или темпов изменений экономических значений в долевом либо процентном выражении;
2) относительные, или качественные, показатели. Это соотношения одинаковой или разной соразмерности показателей. Они представлены в виде размерных показателей, которые дают описания скорости изменения значений в определенном периоде времени, рациональности и эффективности применения ресурсов.
Актуальность— свойство информационной системы в указанный (текущий) момент времени адекватно отображать состояние объектов предметной области (данных, заложенных в ИС).
Рентабельность- экономический параметр информационной системы, являющийся отношением полученной прибыли от использования ИС к затраченным активам или потокам, их формулирующим. Рентабельность также может оцениваться как отношение оцененных нереализованных коммерческих угроз к затраченным активам.
Уникальность - способность информационной системы быть единственно созданной для решения какой-либо задачей, обусловленной отсутствием аналогов, способных данную проблему разрешить Удобство - свойство информационной системы быть максимально комфортной для работы пользователей, имеющих навыки работы в ней, и одновременно быть максимально простой в эксплуатации пользователями, впервые с ней столкнувшимися.
Безошибочность— способность информационной системы использовать механизм корректировки ошибок (ЕСС) для обеспечения стопроцентной достоверности выходных данных (результатов, обработанной информации)
Проверяемость - способность информационной системы генерировать некоторый тип данных, предназначенных для сравнения с эталонными в целях проверки работы алгоритмы на наличие ошибок, либо внутренний механизм информационной системы, позволяющий осуществлять автоматическую проверку выходных данных на правильность.
Корректируемость— способность информационной системы предоставлять внутренние механизмы для внесения оперативных исправлений в ее алгоритм работы, либо внутренние алгоритмы, позволяющие реализовать автоматическое исправление ошибок (ЕСС, error checking and correction)
Отказоустойчивость- свойство системы бесперебойно сохранять работоспособное состояниепри определенных условиях эксплуатации, при том не выдавая ошибок.
Совместимость — способность системы воспринимать команды других систем без изменения алгоритмов работы, а также отдавать другим системам команды,которые будут понятны их интерфейсным секциям.
Функциональность-некоторый набор базовых возможностей информационной системы, применимый к каким-либо конкретным функциям, либо же программным модулям.
Мобильность- способность информационной системы устанавливаться, настраиваться и перемещаться с минимальным необходимым временем.
Управляемость - способность системы иметь некоторые механизмы контроля, используемые для изменения и оперативной корректировки работы
User Friendly (дружественный к пользователю) — характеристика ИС, предоставляющая интуитивно понятный, эргономичный и удобный интерфейс пользователя для максимально комфортной работы
Модифицируемость- возможность вносить в существующую ИС необходимые изменения и/или дополнения, минимально затрагивая внутренний механизм работы и, тем самым, затрачивая минимальное количество усилий
Интеллектуальность- способность Информационной системы адекватно реагировать на изменения внешней среды по условиям, не заданным явно в алгоритме работы (самообучение)
Обучаемость-характеристика ИС, показывающая возможность, простоту и доступность обучения пользователей навыкам работы с системой
Наглядность-характеристика ИС, показывающая логичность и доступность для пользователя интерфейса ИС.
Понятность - характеристика ИС, показывающая простоту и доступность методов работы с системой.
Открытость - характеристика ИС, позволяющая использовать открытые Программные Коды и документацию для обеспечения возможности сторонней разработки модулей или дополнений к системе
Модульность-использование модульной архитектуры при разработке ИС для обеспечения встраиваемости дополнительных функций в состав ИС
Стандартность - характеристика ИС, показывающая взаимозаменяемость
исходных данных и результатов с другими информационными системами.
Совместимость - способность Аппаратных или программных компонентов работать с или способность двух приборов работать при соединении друг с другом.
Адаптируемость - характеристика ИС, показывающая принципиальную возможность, простоту использования функционала ИС в составе других ИС, а также возможность применять новые типы данных в качестве исходных
Надёжность— свойство объекта сохранять во времени в установленных ределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования (ГОСТ 27.002-89). Это также характеристика человека, на которого можно положиться, он надёжен, не подведёт.
Сохраняемость - свойство объекта непрерывно сохранять требуемые эксплуатационные показатели в течение (и после) срока хранения и транспортирования.
Работоспособность— это состояние изделия, при котором оно способно выполнять заданную функцию с параметрами, установленными требованиями технической документации, в течение расчётного срока службы.
Долговечность—свойство элемента или системы длительно сохранять работоспособность до наступления предельного состояния при определенных условиях эксплуатации.
Совместимость - способность аппаратных или программных компонентов работать с заданной компьютерной системой, или способность двух приборов работать при соединении друг с другом.
Ремонтопригодность—свойство объекта, заключающееся в приспособленности к поддержанию и восстановлению работоспособного состояния путем технического обслуживания и ремонта
Стабильность— способность информационной системы сохранять свои характеристики в случайным образом изменяющейся внешней среде.
Живучесть - свойства живучести, как способности системы адаптироваться к новым, изменившимся и, как правило, непредвиденным (аварийным) ситуациям, противостоять вредным воздействиям, выполняя при этом свою целевую функцию за счет соответствующего изменения структуры и поведения системы. В зависимости от степени сложности организации и класса систем, а также уровня анализа свойство живучести может проявляться теми же показателями, которые характеризуют устойчивость, прочность, надежность, адаптивность, отказоустойчивость, помехоустойчивость и т. д.
Прочность — свойство материала сопротивляться разрушению под действием внутренних напряжений, возникающих от внешних заданных (назначенных) Прочность подразделяют на статическую, под действием постоянных нагрузок, динамическую и усталостную (выносливость), имеющую место при действии циклических переменных нагрузок.
Помехоустойчивость технического устройства (системы), способность устройства (системы) выполнять свои функции при наличии помех. Помехоустойчивость оценивают интенсивностью помех, при которых нарушение функций устройства ещё не превышает допустимых пределов. Чем сильнее помеха, при которой устройство остаётся работоспособным, тем выше его помехоустойчивость
Безопасность— это такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению системы или к невозможности её функционирования и развития. В то время как информационная безопасность— это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Защищенность—характеристика ИС, показывающая способность противостоять внешним и внутренним угрозам и атакам, обеспечивая при этом неизменяемость хранимых данных и неразглашение и отсутствие утечки информации.
Аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Скрытность — свойство информационной системы быть недоступной, «невидимой», для внешних и внутренних попыток обнаружения
Целостность — избежание несанкционированной модификации информации; гарантия отсутствия несанкционированного изменения информации
Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
Доступность —избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Подотчетность —обеспечение идентификации субъекта доступа и регистрации его действий;
Достоверность — свойство соответствия предусмотренному поведению или результату; Достоверность становится истиной, если она проверена на опыте и соответствует действительности.
Неотказуемость — невозможность отказа от авторства;
53. Стандарты информационной безопасности (всё из Интернета)
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
- выработка понятийного аппарата и терминологии в области информационной безопасности
- формирование шкалы измерений уровня информационной безопасности
- согласованная оценка продуктов, обеспечивающих информационную безопасность
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Основными областями стандартизации информационной безопасности являются:
аудит информационной безопасности
модели информационной безопасности
методы и механизмы обеспечения информационной безопасности
криптография
безопасность межсетевых взаимодействий
управление информационной безопасностью.