- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
Для оценки степени уязвимости информации возможно использование рехфакторного анализа – оценки рисков по величинам вероятности угрозы, вероятности уязвимости (использования нарушителем определенного канала утечки) и цене потери. Рассмотрим пример такой оценки:
|
Носитель |
Цена |
Угроза |
Модель нарушителя |
Вероятность |
Риск |
Ранги рисков |
Политика управления |
|
|
Угроза |
Уязвимость |
|||||||
|
Бумажный документ |
Высокая |
кража |
Малооопытный нарушитель(«внешний») |
0,1 |
0,1 |
0,01 |
4 |
Политика принятия риска |
|
Злоумышленник-профессионал(«внешний») |
0,1 |
0,5 |
0,05 |
2,5 |
Политика принятия риска |
|||
|
Рядовой сотрудник |
0,6 |
0,5 |
0,4 |
1 |
Политика снижения риска |
|||
|
Топ-менеджер |
0,3 |
0,8 |
0,05 |
2,5 |
Политика принятия риска |
|||
Нарушители делятся на две категории: внешние и внутренние. Из данного примера следует, что вероятности кражи бумажного документа высокой ценности для каждой категории нарушителей разная. Это обусловлено тем, что внешние нарушители не знают о ценности документа и могут украсть его случайно(вероятность угрозы), но у злоумышленника профессионала больше шансов обойти систему защиты(вероятность уязвимости). Для внутренних злоумышленников шансы обойти систему защиты высоки, а вот вероятность осуществления угрозы зависит от мотивации сотрудников.
17. Анализ рисков, сущность и основные понятия.
Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации;
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы;
Риск нарушения ИБ – возможность реализации угрозы;
Анализ рисков – процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер;
Оценка рисков – идентификация рисков, выбор параметров для их описания и получения оценок по этим параметрам;
Управление рисками – процесс определения контрмер в соответствии с оценкой рисков;
Класс рисков – множество угроз ИБ, выделенных по определенному признаку.
В настоящее время используются два подхода к анализу рисков. Их выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима ИБ.
В простейшей случае собственники информационных ресурсов могут не оценивать эти параметры. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.
Полный вариант анализа рисков применяется в случае повышенных требований в области ИБ. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов.
Процесс оценивания рисков содержит несколько этапов:
Идентификация ресурса и оценивание его количественных показателей или определение потенциального негативного воздействия на бизнес;
Оценивание угроз;
Оценивание уязвимостей;
Оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
Оценивание рисков;
Выбор средств, обеспечивающих режим ИБ.