- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
3. Концептуальная модель ксзи
Концептуальная модель КСЗИ включает три группы компонентов:
-
Компоненты, описывающие объект защиты:
Критичная информация: сведения о составе, состоянии и деятельности.
Источники и носители критичной информации: люди, документы, публикации, оргтехника, сырье, технология производства и оборудование, продукция, отходы.
Потенциальные каналы утечки информации и их уязвимости.
-
Компоненты, описывающие нападающую сторону:
Угрозы (конфиденциальности, целостности, доступности).
Источники угроз (партнеры, конкуренты, властные структуры, криминал)
Цели угроз (ознакомление, модификация, уничтожение с корыстными целями, для нанесения ущерба).
Способы доступа (разглашение, НСД, использование ТКУИ.
-
Компоненты системы защиты информации
Направления защиты: правовое, организационное, инженерно-техническое.
Способы защиты: предупреждение, обнаружение, пресечение, ликвидация последствий.
Средства защиты
Органы защиты
Следует отметить, что каждый из компонентов представляет собой некоторое множество. Ядром концептуальной модели является детерминированное для данного отрезка времени множество элементов критичной информации (сведений). Эта информация содержится на множестве носителей, которые могут быть определены (ключевые элементы информации). Эти носителям присуще множество потенциальных каналов утечки информации. Наличие потенциальных каналов утечки создает множество уязвимостей (слабостей в системе защиты).
Компоненты системы защиты состоят из множеств направлений, способов, средств и органов защиты.
Компоненты модели, описывающие нападающую сторону, состоят из множеств угроз, источников угроз, целей угроз и способов доступа. Принципиальным является то, что эти множества являются неопределенными, реализация той или иной угрозы носит вероятностный характер и зависит в том числе как от возможностей источника угрозы и его целей, так и от уязвимости критичной информации. Отсюда вытекает понятие «модель нарушителя».
Отсюда очевидно, что без аналитической работы и построения концепции защиты информации проблема защиты эффективно решена быть не может. Без этого, либо круговая оборона с неограниченными затратами, либо «латание дыр» задним числом.
4.Принципы организации ксзи
Концептуальные принципы.
1. Адаптируемость – способность к целенаправленному приспособлению при изменении структуры, технологических схем, условий функционирования АСОД, а также при изменении главных угроз.
2. Непрерывность – построение КСЗИ есть непрерывный процесс, а не одноразовый акт.
3. Комплексность – это использование всего арсенала средств защиты для блокирования главных угроз защищаемой информации по всем возможным каналам утечки, во всех структурных элементах производства, на всех этапах технологического цикла обработки информации.
4. Научная обоснованность – системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ.
5. Концептуальное единство – построение КСЗИ должно рассматриваться и реализовываться на основе единой концепции защиты информации.
Основные принципы.
1. Адекватность – СЗИ должна строиться в строгом соответствии с требованиями к защите, которые определяются категорией объекта и факторами, влияющими на защиту [1]. Уровень защиты должен быть адекватен угрозам.
2. Функциональная самостоятельность – СЗИ должна быть самостоятельной подсистемой АСОД и при осуществлении функций защиты не зависеть от других подсистем.
3. Минимизация предоставляемых прав – каждому пользователю и лицам из персонала АСОД должны предоставляться лишь те полномочия на доступ к ресурсам АСОД, которые действительно необходимы ему для исполнения обязанностей.
4. Полнота контроля – все процедуры обработки защищаемой информации должны быть под контролем системы защиты в полном объеме, причем результаты контроля должны документироваться.
5. Активность реагирования – СЗИ должна реагировать на любые попытки НСД.
6. Централизованность управления СЗИ – процесс управления должен быть обязательно централизован, структура системы защиты должна соответствовать структуре защищаемого объекта, а также целям и задачам защиты.
7. Плановость – организация взаимодействия всех подразделений объекта в интересах реализации принятой концепции защиты, формирование каждой службой планов защиты информации в пределах ее компетенции с учетом общих целей предприятия (концепции защиты информации).
8. Целенаправленность – защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд.
9. Конкретность – защите подлежат конкретные ИР, представляющие интерес для противника, утечка которых может привести к ущербу.
10.Активность защиты – в том смысле, что СЗИ должно иметь инструменты, реализующие не только требование «обнаружить и устранить», но и «предвидеть и предотвратить».