- •1.Понятия и назначение ксзи
- •2.Определение компонентов ксзи
- •3. Концепция создания комплексной системы защиты информации
- •5. Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •7.Факторы, влияющие на создание ксзи
- •9. Требования, предъявляемые к комплексной системы защиты информации
- •10. Цели, задачи и принципы построения ксзи
- •11. Цели и задачи зи в автоматизированных системах.
- •12. Методологические основы организации ксзи
- •13. Понятие и назначение комплексной системы защиты информации
- •21. Классификация информации по видам тайны и степеням конфиденциальности
- •22. Определение состава защищаемой информации, отнесённой к коммерческой тайне предприятия
- •23. Методика определения состава защищаемой информации
- •24. Методика выявления состава носителей защищаемой информации
- •27. Модели нарушителей безопасности автоматизированных систем
- •28. Обеспечение безопасности информации в непредвиденных ситуациях
- •30.Задачи ксзи по выявлению каналов утечки информации
- •31. Особенности защиты речевой информации
- •32. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •34 Объекты защиты информации
- •36.Классификация формальных моделей безопасности
- •38. Кадровое обеспечение функционирования ксзи
- •40. Назначение управления ксзи
- •41. Структура управления ксзи
- •43. Принципы функционирования ксзи:
- •44. Методы функционирования ксзи.
- •46. Понятие и основные виды чс
- •47. Факторы, влияющие на принятие решений в условиях чс
- •51.Экономический подход к оценке эффективности ксзи
24. Методика выявления состава носителей защищаемой информации
Источники информации – материальные объекты, содержащие сведения, представляющие интерес для злоумышленника.
Носитель информации – материальный объекты, позволяющий записывать (регистрировать), хранить и передавать информацию во времени и пространстве.
Факторы, определяющие состав носителей защищаемой информации:
1. Организационно-правовая форма предприятия и виды тайн, подлежащих защите;
2. Характер основной деятельности (НИР, ОКР, производство, торговля, услуги);
3. Объем Перечня защищаемых сведений;
4. Степень конфиденциальности и ценность информации;
5. Структура и территориальное расположение предприятия
6. Уровень автоматизации средств обработки информации.
Метод определения состава носителей. Основной способ – структурирование сведений, включенных в перечень до ключевых элементов информации.
Шаги: 1. Структурирование Перечня путем последовательной детализации защищаемой информации (построение графических структур). Требования: а). Общий признак и полнота классификации. б). Одна и та же информация не должна указываться в разных элементах классификации;
2. Составление таблиц носителей информации
3. Построение пространственных моделей контролируемых зон с указанием мест расположения носителей информации – планы территорий, этажей зданий, помещений. На планах в масштабе указываются места расположения основные и вспомогательные ТСОИ.
27. Модели нарушителей безопасности автоматизированных систем
РД- Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации -1992г.
В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.
Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.
1) Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
2) Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
3) Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
4) Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
Под нарушителем в общем виде можно рассматривать лицо или группу лиц, которые в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности.
Так же, модель нарушителя можно представить так: 1) Разработчик; 2) Обслуживающий персонал (системный администратор, сотрудники обеспечения ИБ); 3) Пользователи; 4) Сторонние лица.
Некоторые определения: Под нарушителем в общем виде можно рассматривать лицо или группу лиц, которые в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности.
АС – автоматизированная система -- система, состоящая из персонала, комплекса средств автоматизации его деятельности и регламентов работы, реализующая информационную технологию выполнения установленных функций. (ГОСТ 34.003-90)
КСЗ – комплекс средств защиты -- совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации. (РД «Защита от НСД.Термины и опред.» -1992г.)
НСД – несанкционированный доступ -- доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. (РД «Защита от НСД.Термины и опред.» -1992г.)
Дополнительно:
Модель нарушителя — абстрактное (формализованное или неформализованное) описание нарушителя ИБ, т.е. (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил