- •Место пази в системе кзи.
- •2. Модели угроз в пази
- •3. Модели системы пази.
- •1. Средства защиты информации
- •2. Аппаратные средства защиты информации
- •2.1 Задачи аппаратного обеспечения защиты информации
- •2.2 Виды аппаратных средств защиты информации
- •3. Программные средства защиты информации
- •3.1 Средства архивации информации
- •3.2 Антивирусные программы
- •3.3 Криптографические средства
- •3.4 Идентификация и аутентификация пользователя
- •3.5 Защита информации в кс от несанкционированного доступа
- •3.6 Другие программные средства защиты информации
- •Программно-аппаратные средства защиты информации в компьютерах
- •Методы и средства организационно-правовой защиты информации
- •Методы и средства инженерно-технической защиты
- •Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •Криптографические методы защиты и шифрование
- •4. Нормативно правовая база построения пази.
- •D — Минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
- •5. Классификация ас и способов защиты.
- •6. Понятие ндв в пази.
- •Контроль исходного состояния программного обеспечения.
- •7.Модель нарушителя при построении системы пази.
- •8. Лицензирование средств пази.
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
- •Перечень федеральных органов исполнительной власти, осуществляющих лицензирование
- •9. Процедура идентификации и аутентификации пользователей кс.
- •10. Идентификация и аутентификация с нулевой передачей данных.
- •11.Биометрические средства идентификации. Их характеристики.
- •12.Биометрические средства идентификации 1. (дактилоскопия, сетчатка)
- •13.Биометрические средства идентификации 2. (лицо, голос, сосуды)
- •14.Вредоносное по. Вирусы.
- •15.Сетевое вредоносное по.
- •16.Вредоносное по, использующее ресурсы кс.
- •17.Методы защиты от вредоносного по, антивирусные пакеты.
- •18.Основные понятия сетевой безопасности.
- •19.Межсетевые экраны. Классификация.
- •1)Управляемые коммутаторы (канальный уровень):
- •2)«Мэ с фильтрацией пакетов»
- •3)«Мэ сеансового уровня»
- •4)«Мэ прикладного уровня»
- •5)«Мэ экспертного уровня»
- •20.Межсетевые экраны. Применение.
- •Конфигурация с двумя межсетевыми экранами
- •21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
- •22.Средства безопасности ос ms Windows. Подсистема защиты данных.
- •23.Средства безопасности ос ms Windows. Подсистема сетевой безопасности.
- •24.Эцп.
- •25.Аппаратные средства зи. Комплексы Соболь и Аккорд.
- •26.Комплекс пази SecretNet.
- •27.Управление рисками кс.
- •28.Анализ рисков кс.
- •29.Способы уменьшения рисков кс.
- •30.Алгоритм устранения угрозы кс.
28.Анализ рисков кс.
Риск можно определить как «сочетание вероятности и последствий наступления неблагоприятных событий». Также риском называют непосредственно предполагаемое событие, способное принести кому-либо ущерб или убыток.
Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.
Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку).
Оценка рисков может производиться по двум или по трем факторам.
В первом случае риск определяется вероятностью реализации угрозы и величиной ущерба . Во втором случае оценка риска связана с тремя факторами: угроза, уязвимость, величина потери. . То есть в данном случае вероятность реализации конкретной угрозы связана с вероятностью использования существующей в системе уязвимости для осуществления данной угрозы.
В последнем случае риск информационной безопасности определяется как функция трёх переменных:
- Вероятность существования угрозы.
- Вероятность существования незащищённости (уязвимости).
- Потенциальное воздействие.
Если любая из этих переменных приближается к нулю, риск также приближается к нулю.
Риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя оборудования. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку:
1) Отсутствуют количественные шкалы.
2) Оценка должна отражать субъективную точку зрения владельца информационных ресурсов;
3) Следует учитывать различные аспекты, не только технические, но и организационные, психологические и т.д.
После идентификации и оценки рисков разрабатывается некоторая стратегия управления рисками. Например, здесь возможны следующие подходы к управлению информационными рисками компании:
Уменьшение рисков. Многие риски удается значительно уменьшить за счет весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.
Уклонение от риска. От некоторых классов рисков можно уклониться. Так, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
Изменение характера риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Например:
застраховать оборудование от пожара;
заключить договор с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями.
Принятие риска. Многие риски нельзя довести до пренебрежимо малой величины. На практике после принятия стандартного набора контрмер некоторые риски уменьшаются, но остаются все еще значимыми. Необходимо знать остаточную величину риска