- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
39. Особенности управления в случае возникновения чрезвычайных ситуаций
Все ситуации, возникающие в процессе функционирования можно разделить на 2 группы: штатные и нештатные;
Среди нештатных ситуаций наиболее опасными являются аварийные и потенциально аварийные. Любая из этих ситуаций требует принятия ответных мер, направленных на:
сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации;
защиту людских, информационных, материальных и других ресурсов от негативного воздействия, нанесения ущерба и уничтожения;
обеспечение работы объекта во время и после реализации нештатной ситуации.
ЧС В контексте проблем ЗИ - комплекс событий, проявление и протекание которых могут провести к нарушению нормального функционирования КСЗИ, либо создать условия для проявления очень опасных дестабилизирующих воздействий, влияющих на защищенность информации.
Подсистема управления КСЗИ, обеспечивающая её функционирование в условиях ЧС имеет 4 режима:
режим повседневной деятельности;
режим повышенной готовности;
чрезвычайный режим;
постчрезвычайный режим.
Для решения задач предупреждения, нейтрализаций и ликвидации последствий ЧС на предприятии создаются специальные структуры (кризисные группы, штабы, службы обеспечения защиты в условиях ЧС и т.п.). Их задачи:
выявление тенденций развития ЧС;
оценка масштабов её негативного воздействия и последствий;
расчет времени и ресурсов, необходимых для локализации и ликвидации последствий;
разработка планов, действий.
Виды ЧС:
Масштаб сферы действия:
межгосударственные
общегосударственные
местные
объектовые
Вид наносимого ущерба:
ЧС с прямым ущербом
ЧС с косвенным ущербом
ЧС, представляющие угрозу жизни людей
ЧС, приводящие к нарушению экологического равновесия, уничтожения материальных ресурсов и т.д.
Временные рамки и динамика развития:
стратегические ЧС, приводящие к катастрофическим последствиям
медленнотекущие ЧС
ЧС оперативного плана, с выраженной динамикой развития
Вероятность возникновения: прогнозируемые
трудно прогнозируемые
непрогнозируемые
Степень сложности при ликвидации последствий:
легкоустранимые ЧС
ЧС, требующие определенных временных и ресурсных затрат для ликвидации
трудноустранимые ЧС
ЧС, требующие особых средств и мероприятий для ликвидации последствий
40. Основные подходы к оценке эффективности ксзи
Оценка эффективности комплексной защиты информации может осуществляться на основе как количественных, так и качественных методов;
Использование качественных методов предполагает, что будет осуществляться многофакторный анализ эффективности, а схема процедуры оценки будет иметь эвристический анализ;
Оценки эффективности может быть также системной и декомпозиционной;
Системная оценка – полнота защиты по всем составляющим защиты, по всем элементам технологического цикла, по выполнению основных принципов защиты;
Декомпозиционная оценка – выполняется отдельно по направлениям защиты, их составляющим и элементам.
Вероятностный подход – основан на анализе рисков. Система эффективна, если все актуальные риски идентифицированы, выполнена их оценка и реализована политика управления рисками;
Оценочный подход – основан на формировании требований к защищенности объекта:
классы защищенности и их характеристики;
контрольно-испытательные процедуры;
пороговые значения, как вероятности того, что в течение заданного времени защитные механизмы системы не будут преодолены;
Экспертная оценка эффективности защиты – выбор системы измерений (вербальные и вербально-числовые шкалы), организация процедуры экспертной оценки (подбор экспертов, составление вопросников, процедура проведения, обработки результатов).
Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели;
Контроль эффективности ЗИ – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации;
Организационный контроль эффективности ЗИ – проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации;
Технический контроль эффективности ЗИ – контроль эффективности защиты информации, проводимый с использованием средств контроля.
Эффективность защиты – уровень защищенности, соответствие некоторым показателям защищенности;
В самом общем плане эффективность = качество защиты;
Данные защищаются человеком и только от человека. Значит данный параметр на 100% определяется опытом, знаниями и дисциплиной человека, который их защищает.
Защищенность – способность системы самостоятельно контролировать себя и осуществлять контроль окружающей среды в процессе своего функционирования на предмет выявления и предотвращения ситуаций из некоторого наперед заданного множества ситуаций;
Показатели защищенности ИС – характеристика средств (свойств) системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых (по уровню и глубине) в зависимости от класса защищенности;
Модели оценки эффективности: Аналитические –
- определение наиболее уязвимых мест в системе защиты;
- вероятностное оценивание и экономический расчет ущерба от реализации угроз безопасности;
- научное обоснование количественных показателей достижения целей защиты и т.п.
Имитационные –
- исследование объекта защиты;
- оценка влияния разного рода параметров систем обработки информации и внешней среды на безопасность;
- изучение влияния на безопасность различных событий, которые наблюдаются в реальных условиях;
- обучение персонала работе с системой защиты и т.п.
Экспертные –
- доведение уровня безопасности ИВС до требуемого;
- сравнение различных вариантов построения систем защиты для рассматриваемой
архитектуры ИВС;
- определение целесообразности затрат на создание средств защиты;
- анализ последствий воздействия угроз на функционирование ИВС и т.п.