- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
7. Факторы, влияющие на организацию ксзи.
Факторы общего характера.
1.Быстро развивающаяся и приобретающая новые качества информационно-коммуникационная инфраструктура современных предприятий;
2.Трансформация знаменитой экономической формулы "деньги-товар-деньги" в новую формулу "деньги-информация-товар-информация-деньги";
3.Зависимость от уровня защищенности информационно-телекоммуникационной инфраструктуры состояния основных элементов систем обеспечения функционирования предприятий;
4.Представительный арсенал видов и способов дестабилизирующего воздействия на информацию, а также способов ее злоумышленного использования.
Внутренние факторы.
1.Организационно-правовая форма предприятия и виды тайн, подлежащих защите.
2.Характер основной деятельности (НИР, ОКР, производство, торговля, услуги).
3.Перечень защищаемых сведений и количество носителей.
4.Степень конфиденциальности и ценность информации.
5.Структура и территориальное расположение предприятия.
6.Режим функционирования.
7.Уровень автоматизации средств обработки информации.
8.Уровень защищенности предприятия на момент начала работ.
Внешние факторы
1.Экономическая обстановка в регионе.
2.Степень развития рыночных отношение и уровень конкурентной борьбы.
3.Криминальная обстановка в регионе.
Психологические факторы.
1.Психологическая готовность руководства к расходам на защиту информации.
2.Отсутствие понимания необходимости защиты информации у руководителей среднего звена и персонала.
3.Противостояние служб АСОД и СБ.
4.Личные амбиции и взаимоотношения руководителей среднего звена.
5.Низкая квалификация специалистов по защите информации и сотрудников, работающих с КИ.
Факторы, способствующие созданию эффективных систем защиты.
1.Наличие опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки.
2.Наличие эффективных научных и практических разработок способов и средств защиты информации по всем основным направлениям (правовому, инженерно-техническому, программному, криптографическому, организационному).
3.Наличие развитой системы подготовки, переподготовки и повышения квалификации кадров в сфере защиты информации.
Вопрос 8. Этапы работы по формированию перечня.
На каждом предприятии постепенно накапливается КЦИ, которая позволяет предприятию успешно работать и противостоять конкурентам.
Условно КЦИ разделяют на производственные секреты (научно-технические, технологические, секреты организации производства)и деловые секреты (всё, что связано с оборотом товара, его продвижением на рынке).
Вначале главенствуют технические и технологические секреты, по мере тиражирования всё большее значение приобретают деловые секреты.
Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;
Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;
Коммерчески ценная информация приобретает статус информации, составляющей коммерческую тайну и защищается законом после внедрения на предприятии режима коммерческой тайны.
Первым мероприятием по внедрению режима коммерческой тайны является формирование перечня, предназначенного: - для выделения защищаемой информации из общего потока документов и закрепления факта отнесения информации КТ; - для установления грифа конфиденциальности сведений; - для установления срока действия конфиденциальности по каждому пункту; - для регламентации состава сотрудников, получивших доступ к работе с конкретной защищаемой информацией и носителям; - для использования в качестве доказательства в суде при рассмотрении дел о разглашении коммерческой тайны.
Требования к сведениям, относящихся к КТ: 1) являться собственностью предприятия; 2) иметь действительную или потенциальную коммерческую ценность; 3) не являться общеизвестными и общедоступными; 4) не являться открытыми, защищаемыми на законных основаниях; 5) не относиться к составляющим государственную тайну; 6) не иметь ограничений на отнесение сведений к коммерческой тайне, введенные на законном основании; 7) не использовать открыто сведения, разглашение которых может нанести предприятию ущерб.
Кроме того, при принятии решения о включении сведений в перечень рекомендуется учитывать следующие факторы: - величину ущерба о разглашения информации;- преимущества открытого использования информации; - величину затрат на защиту информации.
Этапы формирования перечня:
1.Разработка приказа (плана) по организации работы по формированию перечня: кто, что и в какие сроки должен делать, кто контролирует исполнение работ. На этом этапе должен быть решен вопрос об ответственном исполнителе работ, отвечающем за организацию и методическое обеспечение работ.
2.Формирование и утверждение списка лиц (рабочей группы), наделяемых полномочиями по отнесению сведений к составляющим КТ. Задача рабочей группы – формирование предложений в проект перечня.
3.Формирование и утверждение экспертной комиссии. Функции экспертной комиссии: анализ предварительного и формирование окончательного перечня, периодическое его обновление, а впоследствии –экспертиза документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих КТ.
4.Разработка положения о порядке формирования перечня. Положение является методическим руководством для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии. Цель положения – обеспечение единого методического подхода при создании перечня.
5. Рассылка положения руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний и предложений.
6. Согласование и утверждение положения.
7. Рассылка положения исполнителям и проведение обучения (инструктажа) членов рабочей группы и экспертной комиссии.
8. Подготовка рабочей группой предложений в пределах своей компетенции в предварительный перечень.
9. Формирование ответственным исполнителем по предложениям членов рабочей группы предварительного перечня.
10. Анализ экспертной комиссией предварительного перечня в соответствии с положением и формирование проекта окончательного варианта.
11. Согласование перечня с руководителями структурных подразделений и утверждение руководителем предприятия.
12. Приказ о введении перечня в действие и доведение его до сотрудников.
Наиболее ответственным этапом является разработка положения о формировании перечня. Структура: 1. Вводная часть. В ней указывается цель и задачи положения и приводится перечень основных законодательных и распорядительных документов, используемых при разработке положения. 2. Термины и определения. 3. Общие требования к составлению перечня. В разделе описываются требования и критерии отнесения сведений к составляющим КТ, в приложениях к нему необходимо привести примерный перечень сведений, которые могут составить коммерческую тайну и перечень сведений, которые не могут составлять коммерческую тайну на основании Закона о коммерческой тайне. 4. Порядок формирования предварительного перечня. Здесь описывается процедура формирования предварительного перечня членами рабочей группы. Отметим следующее: можно ограничиться указанием, что члены рабочей группы отбирают сведения в предварительный перечень в пределах своей компетенции, руководствуясь примерным перечнем и здравым смыслом. Однако правильным является подход, когда экспертам предлагают и оценить сведения(вводим шкалу). Для этого необходимо разработать опросные листы, рассылаются всем членам рабочей группы и заполняются ими индивидуально. Анализ опросных листов покажет и возможные колебания в мнениях членов рабочей группы, что поможет далее в работе экспертной комиссии. Так, предварительный перечень и опросные листы членов рабочей группы передаются председателю экспертной комиссии. 5. Порядок формирования окончательного перечня. Раздел должен содержать описание процедуры работы экспертной комиссии. Эксперты проводят повторный анализ каждого пункта предварительного перечня на соответствие заданным критериям. Для этого, как и в предыдущем случае, рекомендуется разработать опросный лист для членов экспертной комиссии. Кроме того, экспертная комиссия должна коллегиально решить вопрос об уровнях конфиденциальности, реквизитах грифов конфиденциальности и форме представления окончательного перечня Уровень грифа конфиденциальности следует определять на основании оценки ущерба.
Решения экспертной комиссии оформляются протоколами и вместе с проектом перечня направляются на утверждение руководителю предприятия. Руководитель предприятия утверждает перечень ибо возвращает его экспертной комиссии на доработку. 6. Порядок и сроки пересмотра перечня. В разделе регламентируются сроки и основания для пересмотра перечня.