- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
37.Понятие и задачи планирования. Способы и стадии планирования
Планирование предполагает постановку и выбор путей реализации целей и структурирование времени (и других ресурсов);
В функции планирования можно выделить следующие подфункции: прогнозирование, моделирование, программирование.
Виды планов по временным интервалам:
Долгосрочные 3-5 лет и более)
Среднесрочные (1-3 года)
Текущие (1 неделя – 3 мес.)
В качестве конечных точек планирования выступают цели. Цели должны быть:
реальными и достижимыми;
детализированными с точки зрения комплекса и содержания работа подразделений, обеспечивающих их реализацию;
измеримыми;
однозначными для понимания (четкими).
Цели задаются также с учетом объема работ и сроков их выполнения, с учетом имеющихся ресурсов и возможностей исполнителей.
Виды планирования: Традиционное (календарно-плановое), Деловое, Сетевое
Стадии планирования:
Определение и обоснование целей организации системы ЗИ -> формирование перечня задач, решение которых обеспечит достижение поставленных целей -> анализ условий, обеспечивающих достижение целей планирования организации системы ЗИ -> (поиск значимых причин, факторов и тенденций во внутренней и внешней среде защищаемого объекта) -> определение реальных и потенциальных угроз безопасности -> анализ ресурсов, которые необходимы для обеспечения решения поставленных задач -> формирование и выбор стратегических альтернатив организации системы защиты -> (анализ сравнительных преимуществ и недостатков) -> согласование ресурсов, выделяемых для решения задач -> определение приоритетов и последовательности решения плановых задач и организации их исполнения -> (определение эффективных методов решения задач и использования ресурсов) -> определение видов и способов контроля выполнения плановых задач -> документальное и организационное оформление плана.
38. Понятие, цели и виды контроля, задачи контроля в ксзи
Любая из управленческих функций (планирование, руководство, регулирование и т.п.) имеет тесное переплетение с контрольной. Функцию контроля можно рассматривать как упорядочивающее звено процесса управления;
Функционирование любого объекта невозможно без каких-либо отклонений, вызванных различными причинами и факторами. Все отклонения в общем виде можно разделить на отрицательные и положительные. Воздействия большинства отклонений достаточно малы и не требуют вмешательств со стороны систему управления, но необходимо четко установить масштаб допустимых отклонений;
Суть контроля – своевременный сбор информации об отклонениях, превышающих допустимый предел, оценка степени их влияния на различные аспекты функционирования объекта, выявление их причин.
Внутренний контроль – это система, состоящая из элементов входа (информационное обеспечение контроля), элементов выхода (информация об ОУ, полученная в результате контроля) и совокупности следующих взаимосвязанных звеньев: среда контроля, центры ответственности, техника контроля, процедура контроля, система учета […];
Цель внутреннего контроля – информационная прозрачность ОУ для возможности принятия эффективных решений […];
Этапы контроля:
установление контролируемых норм;
измерение соответствия фактического состояния параметров и сравнения их с нормами;
коррекция отклонений.
Нормы могут выражаться в денежных, временных и других единицах, поддающихся измерению (%, квоты и т.д.);
Сам процесс контроля может иметь 3 стадии: предварительную, текущую и заключительную.
Стадия предварительного контроля осуществляется до фактического начала работ;
Текущий контроль осуществляется непосредственно в ходе проводимых работ. Чаще всего объектами текущего контроля становятся исполнители, а субъектом – непосредственный начальник. Текущий контроль предполагает регулярную проверку работы подчиненных, обсуждение возникающих проблем и предложений по совершенствованию;
Заключительный контроль – самый отработанный на практике этап. Предполагает анализ ошибок и наказание виновных. Этот этап, во-первых, даёт руководству информацию, необходимую для планирования в случае, если аналогичные работы предполагается проводить в будущем, а во-вторых, способствует мотивации и повышению ответственности.
При контроле функционирования КСЗИ должны осуществляться следующие мероприятия:
анализ и оценка фактического состояния;
выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функционирования;
выявление причин установленных отклонений;
выработка предложений, направленных на устранение недостатков и предотвращение нарушений.
Контроль считается эффективным, если он:
своевременный;
объективный;
соответствует характеру контролируемого процесса.
Виды контроля могут определяться, исходя из временных рамок, скорости изменений контролируемых процессов, затрат на проведение измерений и обработку полученных результатов.
Уровень автоматизации контроля:
неавтоматизированный
частично автоматизированный
полностью автоматизированный
Иерархичность объектов контроля:
контроль системы в целом
контроль подсистем СЗИ
контроль отдельных элементов
Последовательность реализации контрольных операций:
последовательный
параллельный
смешанный
Функциональная направленность:
организационно-правовой
технический
ресурсный (кадровый, информационный)
Способ взаимодействия работников, осуществляющих контроль:
односторонний (принудительный)
взаимный (двух или многосторонний)
Вид получаемой информации:
первичный
сводный
Характер контрольный мероприятий:
плановый
внезапный
Периодичность проведения: систематический
периодический
эпизодический (внезапный)
Полнота охвата объектов:
локальный
сквозной
глобальный