- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
1. Содержание и особенности комплексного подхода к построению сзи
Целевая комплексность – решение в рамках одной концепции двух и более разноплановых задач.
Инструментальная комплексность – использование для решения одной задачи различных инструментальных средств.
Общая комплексность – использование обоих подходов. Именно это и необходимо при построении системы защиты информации (СЗИ).
Основная роль комплексности характеризуется как объединительная из-за того, что КСЗИ соединяет в себе локальные системы ЗИ в единое целое. Каждая из таких локальных подсистем может представлять то или иное направление защиты: организационное, правовое, инженерно-техническое, программное, криптографическое.
Комплексность подразумевает:
Использование всего арсенала способов, средств и методов защиты;
Учет всех составляющих защиты (цели и задачи, объекты, формы проявления уязвимости критичной информации, факторы и обстоятельства, влияющие на организацию и функционирование системы ЗИ)
Регулярный характер процессов ЗИ;
Охват всех этапов жизненного цикла объекта, начиная от стадии создания и заканчивая стадией ликвидации объекта;
Обеспечение ЗИ во всех структурных элементах производства;
Обеспечение ЗИ на всех этапах технологического цикла её сбора, хранения обработки и передачи;
Мероприятия по легендированию, маскировке объектов защиты и дезинформации потенциального противника.
Комплексная система защиты – единая совокупность законодательных организационных и технических мер, направленных на выявление, отражение и ликвидацию различных угроз безопасности.[…]
Система комплексной защиты информации – совокупность взаимосвязанных физических, технических и программных средств, а также организационных мер и мероприятий, которые в пределах административно-правовых норм обеспечивают реализацию на объекте функций и задач ЗИ от случайного или преднамеренного несанкционированного её разрушения, искажения или извлечения.[…]
КСЗИ – совокупность средств, методов и мероприятий технического, организационного, правового, программного и криптографического характера, используемых во взаимодействии и на регулярной основе органами, обеспечивающими в соответствии с нормативными документами ЗИ на объекте, и направленных на достижение основных целей защиты информации.
2. Системный подход и его роль в создании ксзи
Проблема ЗИ относится к числу слабоформализуемых задач (СФЗ). Особенности таких задач:
Наличие большого числа факторов, влияющих на эффективность решения задачи, в т.ч. человеческого фактора;
Отсутствие количественных достоверных исходных данных об этих факторах;
Отсутствие математических методов получения оптимальных решений СФЗ по совокупности исходных данных.
СФЗ решаются в основном эвристическими методами. Они не обеспечивают оптимального результата, определяя лишь область рациональных решений. Имеют ограничения, определяемые числом учитываемых при решении задач влияющих факторов. С учетом оперативной памяти человека их не более 5-9. При большем числе факторов, что имеет место в задачах ЗИ, точность эвристических методов низка.
Решение СФЗ производится на основе моделей исследуемых объектов и процессов. Наиболее универсальной моделью является представление объекта в виде системы.
Системный подход (системный анализ) – это исследование объекта или процесса с помощью модели, называемой системой. Сущность системного подхода:
Совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
Любая система рассматривается как подсистема более сложной системы, элементами и связями которой нельзя пренебрегать без достаточных оснований;
Любая система имеет иерархическую структуру;
При анализе системы необходим учет внешних и внутренних влияющих факторов;
Свойства системы превышают сумму свойств её элементов за счет качественно новых свойств, отсутствующих у её элементов. Это свойства называют системными свойствами;
Система обладает новыми интегральными свойствами не характерными для элементов;
Совокупность элементов образует систему и у них появляется общая цель.
Эффективность системного подхода зависит от умения специалиста выявлять и анализировать все многообразие факторов, элементов, связей сложной системы. Это умение формируется в ходе обучения и практики решения СФЗ. И называется это умение системное мышление.