- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
19.Двух и трехфакторный анализ рисков
Измерение рисков:
Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.
Риск = Рпроисшествия * Цена потери.
Если переменные являются количественными величинами, то риск – это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена. Т.о. в явном виде эта формула использоваться не должна.
Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери;
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия = Pугрозы * Pуязвимости
Соответственно риск определяется следующим образом:
Риск = Pугрозы * Pуязвимости * Цена потери
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал качественная.
20. Моделирование как инструмент анализа сложных систем.
Моделирование – один из основных методов исследования сложных динамических систем;
Модель – образ реального объекта (процесса), выраженный в материальной или идеальной форме, отражающий наиболее существенные свойства объекта и замещающий его в ходе изучения;
Вербальная модель – описывает объект на национальном и профессиональном языках. Чем точнее модель отображает окружающим мир, тем она эффективнее, тем эффективнее деятельность человека.
Физическая модель – материальный аналог реального мира;
Математическое моделирование – аналитические зависимости выходов системы от входов, уравнения для моделирования динамических процессов в системе, характеристик реакции системы на воздействие различных факторов. Математическая модель позволяет наиболее экономно и глубоко исследовать сложные объекты, чего в принципе нельзя добиться при вербальном моделировании, а при физическом оказывается чрезмерно дорого.
В чистом виде каждый вид моделирования используется редко. Как правило, применяются комбинации трех видов:
Вербальное моделирование всегда является обязательным, с него и начинается сам процесс моделирования;
Если есть возможность исследовать объект на физической модели, то идут по этому пути, т.к. он обеспечивает наиболее точные результаты;
Если это невозможно или нерационально, то проводят лингвистическое моделирование, иногда дополняя его физическим моделированием отдельных компонент системы.
Моделирование систем защиты, как и любых других систем, сводится к построению некоторого абстрактного образа (модели) этой системы, обеспечивающего имитацию её характеристик, поведения, и получения с помощью этой модели необходимых данных о функционировании реальных систем;
Сам процесс моделирования разбивается на 2 этапа:
построение модели;
реализация последней для получения искомых данных.
Для сложных объектов может строиться несколько моделей, каждая из которых описывает одну из сторон объекта исследования.
Архитектура КСЗИ – совокупность моделей, отражающих общую логическую организацию, состав компонентов КСЗИ и топологию их взаимодействия;
Процесс формирования архитектуры КСЗИ включает разработку следующих моделей: кибернетической, функциональной, структурной, информационной.