- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
Написать на экзамене вот это:
1. Моральный и материальный ущерб деловой репутации организации. 2. Моральный, физический или материальный ущерб, связанный с разглашением КИ. 3. Материальный ущерб от необходимости восстановления нарушенных ИР. 4. Материальный ущерб от невозможности выполнения взятых на себя обязательств перед з-й стороной. 5. Моральный и материальный ущерб от дезорганизации деятельности предприятия.
Для общего развития(можно не писать):
Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:
-
организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
-
активам организации наносится незначительный ущерб;
-
организация несет незначительные финансовые потери;
-
персоналу наносится незначительный вред.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:
-
компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
-
активам организации причиняется значительный ущерб;
-
компания несет значительные финансовые потери;
-
персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
-
компания теряет способность выполнять все или некоторые из своих основных функций;
-
активам организации причиняется крупный ущерб;
-
организация несет крупные финансовые потери;
-
персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
13. Потенциальные каналы утечки информации и уязвимости
Утечка информации – бесконтрольный или неправомерный выход КИ за пределы организации или круга лиц, которым она доверена по службе или стала известна в процессе производства.
Канал утечки информации – любой способ, позволяющий злоумышленнику получить доступ к КИ.
Технический канал утечки информации – физический путь от источника КИ к злоумышленнику
Основные каналы утечки информации:
1. Разглашение – умышленные или неосторожные действия должностных лиц, результатом которых явилось неправомерное оглашение КИ и, как следствие, ознакомление с ними сторонних лиц, не допущенных к этим сведениям.
Основные пути разглашения:
- cообщение, оглашение, представление (деловые встречи, совещания, переговоры) публикации в печати, отчеты, реклама;
- неформальное общение (личные встречи, семинары, симпозиумы, выставки);
- при взаимодействии с государственными и муниципальными структурами;
- утрата, утеря документов;
- бесконтрольный документооборот
К факторам, способствующим разглашению информации, относятся:
- недостаточное знание сотрудниками правил и требований по защите информации и непонимание или недопонимание необходимости их тщательного выполнения;
- слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;
- отсутствие или недостаточность мероприятий по блокированию каналов разглашения.
Следует отметить, что разглашение КИ персоналом предприятия – самый канал утечки информации.
По различным оценкам персонал предприятия ответственен за 70-80% ущерба в результате утечки информации.
Несанкционированный доступ (НСД ) - противоправное преднамеренное овладение КИ лицом, не имеющим права доступа к охраняемым секретам.
Другое определение – совокупность приемов, позволяющих злоумышленнику получить охраняемую КИ.
Способы несанкционированного доступа:
1) Инициативное сотрудничество - противоправные действия сотрудников по разглашению КИ по различным побуждениям, мотивам и причинам.
2) Склонение к сотрудничеству (вербовка методом убеждения или насильственным путем: запугивание, шантаж, подкуп).
Выведывание (игра на легкомыслии, болтливости, тщеславии и тп.)
4) Подслушивание (прямое восприятие речевой информации или с помощью технических средств).
5) Наблюдение (разведка деятельности противника методом визуального наблюдения, с помощью оптических приборов, видеокамер).
6) Хищение (имущества, денег, материалов, продукции, носителей информации).
7) Копирование, фотографирование.
8) Подделка (модификация, фальсификация).
9) Уничтожение.
10) Негласное ознакомление.
В основе технического канала утечки лежит неконтролируемый перенос информации посредством физических полей и материальных объектов.
Технические каналы утечки информации классифицируют следующим образом:
- визуально-оптический;
- акустический (включая акустико-преобразовательный);
- электромагнитный (включая магнитный и электрический;
- материально-вещественный.
Угрозы, направленные против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости безопасности информации могут быть: объективные, субъективные, случайные.
Объективные уязвимости (зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте): Сопутствующие техническим средствам излучения: электромагнитные, электрические, звуковые; Активизируемые: аппаратные закладки, программные закладки; Определяемые особенностями элементов: элементы, обладающие электроакустическими преобразованиями, элементы, подверженные воздействию ЭМ поля; Определяемые особенностями защищаемого объекта: местоположением объекта, организацией каналов обмена информацией.
Субъективные уязвимости (зависят от действия сотрудников и, в основном, устраняются организационными и программно-аппаратными методами):
Ошибки (халатность): при подготовке и использовании ПО, при эксплуатации технических средств, некомпетентные действия, неумышленные действия;
Нарушения: режима охраны и защиты, режима эксплуатации технических средств и ПО, использования информации;
Психогенные: психологические, психические, физиологические.
Случайные уязвимости (зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств):
Сбои и отказы: отказы и неисправности технических средств, старение и размагничивание носителей информации, сбои программного обеспечения, сбои электроснабжения.