- •1.Сущность, цели и задачи организации комплексной системы защиты информации.
- •2.Назначение комплексности при построении системы защиты информации.
- •3.Значение основных положений современной теории защиты информации для организации.
- •4.Значение современной теории систем для организации и обеспечения функционирования ксиб.
- •5. Этапы разработки ксиб.
- •6. Факторы, оказывающие влияние на организацию ксиб
- •7. Структура угроз для информационных ресурсов.
- •8. Сущность, цели и задачи организации комплексной системы защиты информации.
- •Основные цели системы защиты информации
- •Основные задачи систем защиты информации
- •2. Защита содержания информации
- •9. Назначение комплексности при построении системы защиты информации.
- •10. Значение основных положений современной теории защиты информации для организации.
- •1. Контроль выполнения требований, предъявляемых к персоналу, допущенного к конфиденциальной информации:
- •2. Контроль организации и обеспечения работы с конфиденциальной информацией:
- •3. Контроль соответствия размещения, охраны, специального оборудования помещений требованиям информационной безопасности:
- •4. Контроль выполнения основных специальных требований по размещению и монтажу оборудования информационных систем:
- •12. Этапы разработки ксиб.
- •13. Факторы, оказывающие влияние на организацию ксиб.
- •14. Основные принципы организации ксиб.
- •16. Основные группы требований к ксиб.
- •17. Требования к комплексной защите применительно к различным защищаемым элементам объекта.
- •18. Факторы, определяющие состав защищаемой информации.
- •19. Методология Клеменса при определении эффективности защиты ис.
- •20. Основные этапы работы по выявлению состава защищаемой информации
- •21. Качественный анализ рисков по методологии Фишера.
- •22. Управление рисками и построение графа компрометации.
- •23. Структуризация объекта защиты и ее значение.
- •24. Методология Хоффмана при определении эффективности защиты ис.
- •25 Методы выявления состава защищаемых элементов.
- •26 Какими факторами определяется состав угроз безопасности предприятия?
- •27Какова процедура выявления каналов несанкционированного доступа к информации на предприятии?
- •28. Чем определяется состав нарушителей и как осуществляется их категорирование?
- •29. Моделирование угроз иб и защита
- •30. Каким образом может проводиться оценка степени уязвимости информации в результате действий нарушителей различных категорий?
- •32. Метод экспертных опросников для определения качества ксиб.
- •33. Определение функций защиты. Полнота функций
- •34. Какие критерии положены в основу классификации каждой группы средств, входящих в состав ксиб? Выбор оптимальной эффективности и критерии оптимальности ксзи
- •35. Какие требования предъявляются к выбору методов и средств защиты при организации и функционировании ксиб?
- •36. Как определяются условия функционирования ксиб?
- •37. Этапы разработки модели ксзи.
- •Принцип простоты Этапы разработки ксзи
- •38. Определите значение моделирования объектов и процессов защиты при построении ксиб.
- •39. Какие компоненты входят в состав информационной модели ксиб?
- •40. Каково общее содержание схемы технологического и организационного построения ксиб?
- •Организационное построение
- •41. Требования, предъявляемые к сотрудникам, обеспечивающим функционирование ксиб.
- •42. Нормативные документы, регламентирующие деятельность и взаимодействие персонала по комплексной защите информации.
- •43. Особенности мотивации деятельности персонала, связанного с защитой информации.
2. Контроль организации и обеспечения работы с конфиденциальной информацией:
- наличие в каждом структурном подразделении функциональных обязанностей (задачи, функции, права с учетом обязанностей);
- распределение прав доступа к конфиденциальной информации по степени важности и по отраслям;
- соблюдение необходимых размеров контролируемой зоны;
- готовность программно-технических средств к обработке конфиденциальной информации (наличие сертификатов и лицензий);
-учет криптографических средств защиты информации, соответствие установленного порядка обращения с ключами;
3. Контроль соответствия размещения, охраны, специального оборудования помещений требованиям информационной безопасности:
- размещение в изолированных помещениях с прочными стенами и надёжными межэтажными перекрытиями; наличие прочных входных дверей, оборудованных охранной и вызывной сигнализацией (для вызова работников), надёжными замками;
- оборудование окон внутренними решётками (для первых этажей), закрашивание окон, наличие сеток, предотвращающих вылет документов;
- порядок охраны, оборудование охранной сигнализацией, наличие инструкции по охране;
- наличие специальных приспособлений для уничтожения документации.
4. Контроль выполнения основных специальных требований по размещению и монтажу оборудования информационных систем:
- выполнение требований по экранированию и звукоизоляции;
- наличие утвержденных: схем размещения оборудования ИС, кабельно-монтажной схемы, схем заземления и электропитания;
- типы соединительных кабелей и их взаиморасположение;
- выполнение требований по защите кабелей с открытой (незашифрованной) информацией;
- возможность доступа к монтажу для визуального контроля.
- зашумление каналов и кабелей информационной сети;
Сложнее определить показатели качества функционирования программно-технической компоненты КСИБ. Для этого существуют следующие методы:
1. Натурные испытания (натурный эксперимент).
2. Моделирования (математическое или имитационное).
3. Экспертные оценки.
4. Подконтрольная эксплуатация.
11. Значение современной теории систем для организации и обеспечения функционирования КСИБ. (+№10)
На каждом конкретном предприятии построение системы ИБ определяется следующими факторами:
- финансовые возможности предприятия;
- технические возможности предприятия;
- Размеры предприятия;
- Размещение предприятия;
- Номенклатура выпускаемой продукции;
- Система внутреннего документооборота;
- Объем защищаемой информации;
- Вид защищаемой информации и др.
Формирование новых хозяйственных связей предприятий приводит к возникновению проблемы взаимной защиты коммерческой тайны торговых партнеров. В практике работы зарубежных фирм предусмотрен порядок специальных договоров по взаимной ЗИ, переданной друг другу в ходе делового сотрудничества.
Задачи КСИБ
По результатам проведенного анализа возможных угроз ИБ можно сформулировать перечень основных задач, которые должны решаться КСИБ:
управление доступом пользователей к ресурсам РТКС;
-защита данных, передаваемых по каналам связи;
-регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;
контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках НСД к ресурсам системы;
контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
обеспечение замкнутой среды проверенного ПО с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;
-управление средствами системы защиты.
Основные принципы построения КСИБ:
Принцип системности. Системный подход предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности. При создании КСИБ необходимо учитывать все слабые места системы обработки информации на предприятии, а также характер, возможные объекты и направления атак на систему со стороны нарушителей. КСИБ должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности. Предполагает согласованное применение разнородных средств при построении целостной системы ИБ, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Принцип непрерывности защиты. ЗИ – это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).
Принцип разумной достаточности. Создать абсолютно непреодолимую систему безопасности принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми, что поднимает проблему анализа рисков. Принцип гибкости управления и применения. Принятые меры и устновленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень безопасности. Для обеспечения возможности изменения уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются.
Принцип открытости алгоритмов и механизмов защиты. Суть принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Чрезвычайно важно, чтобы знание алгоритмов работы системы защиты не давало возможности ее преодоления даже автору. Принцип простоты применения защитных мер и средств. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.