- •2. Основні компоненти ризику.
- •3. Інформаційна складова ризику.
- •4. Поняття інформаційного ризику.
- •5. Показники якості інформації.
- •6. Дія інформаційних ризиків на процес функціонування підприємства.
- •7. Інформаційні ризики.
- •8. Мінімізація іт - ризиків.
- •9. Якість інформації.
- •10. Загрози безпеки інформації.
- •11. Шкідливі програми, та їх класи.
- •14. Криптографічний захист інформації.
- •15. Віруси, їх типи та класифікація.
- •16. Виявлення вірусів та блокування роботи програм-вірусів, усунення наслідків.
- •17. Профілактика зараження вірусами кс.
- •18. Особливості захисту інформації в бд.
- •19. Моделювання загроз.
- •20. Зниження ризиків.
- •21. Кількісна оцінка моделей загроз.
- •22. Нешкідливі, небезпечні, дуже небезпечні віруси.
- •23. Профілактика зараження вірусами кс.
- •25. Особливостізахисту інформації в бд.
- •27. Попередження можливих загроз і протиправних дій.
- •28. Способи запобігання розголошення.
- •29. Захист інформації від витоку по течнічним каналам.
- •30. Захист від витоку по візуально-оптичним каналам.
- •31. Реалізація захисту від витоку по акустичним каналам.
- •33. Захис від витоку за рахунок мікрофрнного ефекту.
- •34. 10 Основних ризиків при розробці пз.
- •35. Аналіз ризиків.
- •36. Цикли тотальної інтеграції.
- •37. Інтегральна безпека та її особливості.
- •38. Інтегральні системи управління технічними засобами.
- •39. Біометричні технології стз.
- •40. Цифрові методи і технології в стз.
- •41. Смарт-карти в ст.
- •43. Скриті цифрові маркери та вимоги до них.
- •44. Перспективні стеганографічні технології.
- •45. Енергоінформаційні технології.
- •46. Сучасні методики розробки політик безпеки.
- •47. Модель побудови корпоративної системи захисту системи інформації.
- •48. Мініатюризація та нанотехнології у сфері іот.
- •49. Інтелектуалізація і автоматизація у сфері іот.
- •50. Тенденції універсалізації у сфері іот.
- •51. Динаміка можливостей потенційних зловмисників у найближчій перспективі.
- •52. Перевірка пристроїв на наявність модулів з несанкціонованими діями.
- •53. Використання потенційними зловмисниками факторів збільшення продуктивності обчислювльних систем (ос).
- •54. Можливості інтелектуалізації функцій обчислювальної системи з точки зору вразливості Обчислювальних систем.
- •55. Співвідношення засобів захисту і засобів нападу на обчислювальну систему.
- •56. Актуальність методів шифрування мовного трафіку.
- •57. Зростання мережевих швидкостей і безпека іт.
- •58. Багатофункціональні пристрої та інтеграція захисних механізмів в інфраструктуру.
- •59. Молекулярна обчислювальна техніка.
- •60. Штучний інтелект і перспективна обчислювльна техніка.
- •61. Нейронні мережі і перспективна обчислювальна техніка.
- •62. Квантовий комп’ютер, переваги технології.
- •63. Технологія Інтернет-2.
- •64. Ціль оцінки ризику.
- •65. Табличні методи оцінки ризиків компанії.
- •66. Оцінка ризиків на основі нечіткої логіки.
- •67. Програмні засоби оцінки ризиків на основі нечіткої логіки.
- •68. Цінність інструментальних методів аналізу ризиків.
- •70. Інструментальний засіб cram.
- •71. Система cobra.
- •73. Програмний комплекс гриф.
- •74. Комплексна експертна система "АванГард".
- •75. Апаратно-програмний комплекс шифрування "Континент".
- •76. Засоби захисту інформації від несанкціонованого доступу.
- •77. Захист від витоків по технічним каналам.
- •78. Засоби активного захисту акустичної мовної інформації.
- •79. Вимоги нормативних документів до реалізації прикладного рівня рівня захисту.
- •80. Принципова особливість захисту інформації на прикладному рівні.
- •Что такое ксзи «Панцирь-к» для ос Windows 2000/xp/2003?
- •Ксзи «Панцирь-к» предоставляет следующие возможности:
- •Почему ксзи «Панцирь-к» оптимальное решение?
- •Почему ксзи «Панцирь-к» эффективное средство защиты?
- •1. Механизмы формирования объекта защиты.
- •2. Механизмы защиты от инсайдерских атак.
- •Решение механизмами защиты ксзи:
- •3.Механизмы защиты от атак на уязвимости приложений.
- •Решение механизмами защиты ксзи:
- •4. Механизмы защиты от атак на уязвимости ос.
- •Решение механизмами защиты ксзи:
- •Как сравнить ксзи «Панцирь-к» с иными средствами защиты?
- •82. Альтернативна задача захисту інформації від нсд.
- •83. Робота адміністратора безпеки.
- •84. Інтерфейс настройки сценаріїв автоматичної реакції на стрічку подій.
- •85. Рівнева модель захисту інформації.
- •86. Засоби архівування інформації як програмний засіб захисту даних.
- •87. Програмні засоби захисту інформації.
- •Программные средства защиты информации
- •88. Основні засоби захисту інформації.
- •89. Організаційні засоби захисту інформації.
- •90. Змішані засоби захисту інформації.
- •91. Технічні засоби захисту інформації.
- •Защита телефонных аппаратов и линий связи
- •Блокиратор параллельного телефона
- •Защита информации от утечки по оптическому каналу
- •Адаптер для диктофона
- •92. Захист інформації від несанкціонованого доступу.
- •93. Захист інформації від копіювання та руйнування.
- •94. Існуючі підходи до управління ризиками.
- •95. Оцінка ризиків.
- •96. Кількісна оцінка ризиків.
- •98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
- •99. Процесна модель управління ризиками.
- •100. Інструментарій для управління ризиками.
- •101. Сутність поняття "інформаційна безпека".
- •Содержание понятия
- •] Стандартизированные определения (для дцтд4-1)
- •Существенные признаки понятия
- •Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •Объём (реализация) понятия «информационная безопасность»
- •102. Організаційно-технічні і режимні заходи і засоби захисту інформації. Организационно-технические и режимные меры и методы
- •103. Програмно-технічні способи і засоби забезпечення інформаційної безпеки. Засоби та методи захисту інформації
- •104. Організаційний захист об’єктів інформаціїї.
- •105. Цивільно-правова відповідальність за порушення інформаційної безпеки сайтів мережі Інтернет. Гражданско-правовая ответственность за нарушения информационнойбезопасности сайтов сети Интернет
- •106. Історичні аспекти виникнення і розвитку інформаційної безпеки.
- •107. Засоби захисту інформації.
- •108. Апаратні засоби захисту інформації.
- •Технические средства защиты информации
68. Цінність інструментальних методів аналізу ризиків.
Жодна організація не може бути повністю захищена від загроз, вона повинна мати можливість своєчасно зреагувати на загрозу системи безпеки і у мінімальний проміжок часу повернути її до нормального функціонування. У цьому їй може допомогти правильно сформульована політика безпеки.
Під політикою безпеки (ПБ) інформації варто розуміти набір законів, правил, обмежень, рекомендацій та інш., які регламентують порядок обробки інформації і спрямовані на захист інформації (ЗІ) від визначених загроз. Створення ПБ для інформаційних систем (ІС) зможе допомогти одночасно зменшити ризики і разом з тим адекватно визначити витрати, необхідні для підтримки режиму інформаційної безпеки (ІБ), і вірно ці засоби розподілити.
Інша перевага політики ІБ полягає в тому, що вона надає каркас, що визначає розподіл ролей і відповідальності, дозволяє формулювати і підтверджувати необхідні правила і директиви й однозначно визначає позицію організації щодо будь-яких дій, що загрожують безпеці інформаційної системи.
Реалізація ПБ на практиці вимагає деталізованого плану безпеки, основними елементами якого є:
визначення цінності інформаційних ресурсів організації;
визначення загроз цим ресурсам;
визначення з попередніх кроків необхідних заходів безпеки, що відповідають цінності інформації, що відгороджується;
підготовка ресурсів, необхідних для прийняття цих заходів безпеки;
навчання персоналу, необхідне для підтримки політики безпеки;
підготовка розкладу переглядів плану безпеки для кореляції його з вимогами, що змінюються, змінами в персоналі і навколишнім оточенні.
Реалізації політики безпеки сприяють правильно обрані методи аналізу й оцінки вихідних даних з метою чіткого визначення необхідних засобів інформаційної безпеки. Такі методи називаються методами аналізу ризику.
Ціль процесу оцінювання ризиків складається у визначенні характеристик ризиків ІС і її ресурсам. На основі таких даних можуть бути обрані необхідні засоби захисту.
При проведенні аналізу ризиків необхідно визначити:
- вразливі місця в даній інформаційній системі;
- існуючі загрози, їх рівень;
- припустимий рівень загроз;
- комплекс мір, що дозволяє знизити ризики до припустимого рівня.
По кожному з цих пунктів потрібно проведення спеціальних досліджень.
При забезпеченні ІБ важливо не упустити яких-небудь істотних аспектів. Це буде гарантувати деякий мінімальний (базовий) рівень ІБ, обов'язковий для будь-якої інформаційної технології. У випадку підвищених вимог в області ІБ використовується повний варіант аналізу ризиків. На відміну від базового варіанта, виробляється оцінка цінності ресурсів, характеристик ризиків і вразливостей.
Існують різні підходи до оцінки ризиків, вибір яких залежить від рівня вимог, пропонованих в організації до режиму ІБ.
При оцінюванні ризиків враховуються багато факторів:
цінність ресурсів;
значимість загроз;
ефективність існуючих і планованих засобів захисту;
інші фактори.
Аналіз ризиків – необхідний етап при розробці політики інформаційної безпеки.
Застосування яких-небудь інструментальних засобів не є обов'язковим, однак, їх використання дозволяє зменшити трудомісткість проведення аналізу ризиків і вибору контрзаходів. В даний час на ринку є біля двох десятків програмних продуктів для аналізу ризиків: від найпростіших, орієнтованих на базовий рівень безпеки, до складних і дорогих продуктів, що дозволяють провести повний аналіз ризиків і вибрати комплекс контрзаходів необхідної ефективності.
Використання методу аналізу ризику - основа для правильного визначення вимог по безпеці і зменшення ризику в ІС. Крім того, необхідно мати повну організаційну стратегію для аналізу ризику в системі. Стратегія повинна гарантувати, що обраний підхід задовольняє необхідним вимогам і зосереджує зусилля по забезпеченню безпеки там, де вони дійсно необхідні.
В даний час використовуються кілька підходів до аналізу ризиків.
Їх вибір залежить від оцінки власниками цінності своїх інформаційних ресурсів і можливих наслідків порушення режиму ІБ.
У найпростішому випадку власники інформаційних ресурсів можуть не оцінювати ці параметри.
Найчастіше передбачається, що цінність ресурсів, що захищаються, не є надмірно високою. У цьому випадку аналіз ризиків виробляється за спрощеною схемою: розглядається стандартний набір найбільш розповсюджених загроз безпеки без оцінки їх ймовірності і забезпечується мінімальний (базовий) рівень ІБ. Існує ряд стандартів і специфікацій, у яких розглядається мінімальний (типовий) набір найбільш ймовірних загроз, таких як віруси, збої обладнання, несанкціонованого доступу(НСД) та інш. Для нейтралізації цих загроз обов'язково повинні бути прийняті контрзаходи поза залежністю від ймовірності їх здійснення й вразливості ресурсів. Таким чином, характеристики загроз на базовому рівні розглядати не обов'язково.
Повний варіант аналізу ризиків застосовується у випадку підвищених вимог в області ІБ. На відміну від базового варіанта в тому чи іншому виді виробляється оцінка цінності ресурсів, характеристик ризиків і вразливостей ресурсів. Як правило, проводиться аналіз вартість/ефективність декількох варіантів захисту.
Таким чином, при проведенні повного аналізу ризиків необхідно:
- визначити цінність ресурсів;
- до стандартного набору додати список загроз, актуальних для досліджуваної ІС;
- оцінити ймовірність загроз;
- визначити вразливість ресурсів;
- запропонувати рішення, що забезпечує необхідний рівень ІБ.
При проведенні аналізу ризику можлива комбінація підходів, що полягає в тому, що спочатку проводиться початковий аналіз ризику, а потім детальний. Детальний аналіз ризику повинний проводитися в порядку пріоритету. Комбінація підходів повинна забезпечувати баланс між зменшенням часу і зусиллями, витраченими на визначення засобів захисту(ЗЗ), і гарантуванням того, що системи з високим рівнем ризику будуть відповідно захищені.
69. ПЗ RiskWatch.
Програмне забезпечення RiskWatch є потужним засобом аналізу і управління рисками, більше орієнтованим на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту. Потрібно також відмітити, що в цьому продукті риски у сфері інформаційної і фізичної безпеки комп'ютерної мережі підприємства розглядаються спільно. У сімейство RiskWatch входять наступні програмні продукти: для фізичних методів захисту, для інформаційних ризиків, для оцінки вимог до стандарту ISO 17799.
У основу продукту RiskWatch покладена методика аналізу ризиків, яка складається з чотирьох етапів:
- перший - визначення предмета дослідження. Тут описуються такі параметри, як тип організації, склад досліджуваної системи, базові вимоги в області безпеки;
- другий - введення даних, що характеризують основні параметри системи. На цьому етапі детально описуються ресурси, втрати і класи інцидентів. Останні виводяться шляхом зіставлення категорії втрат і категорії ресурсів. Крім того, задаються частота виникнення кожної з виділених загроз, міра уразливості і цінність ресурсів. Усе це використовується надалі для розрахунку ефекту від впровадження засобів захисту;
- третій - кількісна оцінка. На цьому етапі розраховується профіль ризиків, і вибираються заходи забезпечення безпеки. Фактично ризик оцінюється за допомогою математичного очікування втрат за рік. Ефект від впровадження засобів захисту кількісно описується за допомогою показника ROI(Return on Investment віддача від інвестицій), який показує віддачу від зроблених інвестицій за певний період часу;
- четвертий - генерація звітів.
Програмне забезпечення RiskWatch має масу достоїнств, а до недоліків продукту можна віднести його відносно високу вартість.