- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
22.Моделирование объекта защиты
Заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.
Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д. При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями. Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими. Моделирование объекта защиты с точки зрения КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:
-
сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
-
многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
-
большое число взаимосвязанных между собой элементов и подсистем;
-
сложность функций, выполняемых системой;
-
функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
-
наличие множества критериев оценки эффективности функционирования сложной системы;
-
существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах;
-
наличие управления, часто имеющего сложную иерархическую структуру;
-
разветвленность и высокая интенсивность информационных потоков. Для преодоления этих сложностей применяются: 1) специальные методы неформального моделирования; 2) декомпозиция общей задачи на ряд частных задач; 3) макромоделирование.
Вопрос 23. Моделирование угроз безопасности и.
1.определение реестра угроз в соответствии с целями и задачами защиты и здравым смыслом: сначала необходимо определить актуальность угроз. Определение реестра угроз – аналог составления Перечня: - опрос специалистов. – результаты передаем главным специалистам для анализа.
2.Создав реестр угроз, необходимо определить вероятные источники основных угроз, т.е. каждой угрозе ставим в соответствие определенный источник.
3.Затем определение моделей нарушителей (квалификация злоумышленника, оснащение, цели и способы действий).
По Торокину различаются группы моделей:
- моделирование физического проникновения(внешний, внутренний враг)
- моделирование ТКУИ.
4. Моделирование организационно-технических мероприятий по ЗИ.
5. Управление рисками: 4.1. Оценка рисков. Риск – вероятн6ость потерь, нанесения ущерба. Двухфакторный анализ: Ругрозы*Цинф., или Трехфакторный: Ругрозы*Цинф.*Руязвимости. 4.2. Выбор политики управления рисками. Наиболее часто применяемым инструментом риск-менеджмента является страхование. Страхование предполагает передачу ответственности за возмещение предполагаемого ущерба сторонней организации (страховой компании). Примерами других инструментов могут быть: отказ от чрезмерно рисковой деятельности (метод отказа), профилактика или диверсификация (метод снижения), аутсорсинг затратных рисковых функций (метод передачи),формирование резервов или запасов (метод принятия).