- •1.Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.
- •2.Система обеспечения информационной безопасности хозяйствующего субъекта: цели, задачи, виды обеспечения.
- •4.Объекты защиты: понятие, классификация, особенности организации защиты (защищаемая информация, носители, технология).
- •5.Управление ксзи хозяйствующего субъекта: понятие, задачи управления.
- •6.Классификация и анализ угроз информационной безопасности хозяйствующего субъекта.
- •7.Анализ и управление рисками информационной безопасности хозяйствующего субъекта: понятие, подходы к управлению рисками.
- •8.Организационное обеспечение ксзи: понятие, структура.
- •9.Правовое обеспечение ксзи: понятие, структура.
- •10.Концепция и политика безопасности как основные элементы ксзи.
- •11.Кадровое обеспечение ксзи: понятие, структура, подготовка.
- •12.Подбор кадров в подразделения ксзи: показатели оценки качества кадров ксзи, особенности организации кадровой работы, требования, предъявляемые к сотрудниками ксзи.
- •13.Финансово- экономические обеспечение ксзи: понятие, структура.
- •14.Структурирование затрат на информационную безопасность хозяйствующего субъекта.
- •15.Модели оценки эффективности функционирования ксзи: виды, краткая характеристика.
- •16.Инженерно-техническое обеспечение ксзи: понятие, структура.
- •17.Инженерно-техническая защита территории и помещений: понятие, структура.
- •18.Инженерно-техническая защита от утечки по техническим каналам: понятие, структура.
- •19.Программно-аппаратное обеспечение ксзи: понятие, структура.
- •20.Перечень сведений, подлежащих защите в организации: понятие, порядок формирования и утверждения.
5.Управление ксзи хозяйствующего субъекта: понятие, задачи управления.
Управление заключается в целенаправленном воздействии на объект управления с целью достижения им цели своего функционирования. В данном случае под объектом управления будем понимать совокупность подсистем и элементов СОИБ, целенаправленное воздействие на которые обеспечит выполнение задач информационной безопасности.
Решение задач управления СОИБ дает возможность решения двух основных задач.
Во-первых, задачи количественной оценки текущего уровня информационной безопасности компании. Выполнение этой задачи основано на оценке рисков ИБ на организационно-правовом, экономическом, инженерно-техническом и других уровнях обеспечения защиты информации. Во-вторых, задачи разработки и реализации комплексного плана совершенствования СОИБ хозяйствующего субъекта для достижения приемлемого уровня защищенности его информационных активов.
Для решения этой задачи необходимо:
- обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
- выявить и провести превентивное блокирование наиболее опасных уязвимостей;
- определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании;
- создать необходимый пакет организационно-распорядительной документации;
- разработать и согласовать со службами ХС, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
- обеспечить эффективное функционирование внедренного комплекса защиты, в том числе и при изменяющихся условиях работы организации. Проводить периодические доработки организационно-распорядительной документации, модификацию технологических процессов и модернизацию технических средств защиты.
Решение названных задач будет способствовать наиболее эффективному осуществлению управленческой деятельности должностными лицами разного уровня.
6.Классификация и анализ угроз информационной безопасности хозяйствующего субъекта.
Под угрозой информационной безопасности понимается потенциально возможное случайное или преднамеренное событие, процесс или явление, приводящее к нарушению конфиденциальности, целостности и доступности информации или поддерживающей ее инфраструктуры, которое наносит ущерб владельцу или пользователю информации.
Проведем анализ источников угроз информационной безопасности ХС.
По сфере воздействия на информационную систему ХС источники угроз ИБ можно разделить на внутренние и внешние.
К внутренним источникам угроз информационной безопасности относятся:
аппаратные средства, используемые в информационной системе (рабочие станции, серверы, принтеры, внешнее оборудование, источники бесперебойного питания и другие);
программные средства (системное и прикладное программное обеспечение);
сетевое оборудование (маршрутизаторы, коммутаторы, модемы, каналы связи и т.д.);
системы жизнеобеспечения (системы энергоснабжения, системы кондиционирования и водоснабжения).
К внешним источникам угроз информационной безопасности относятся:
внутренние нарушители информационной безопасности;
внешние нарушители информационной безопасности ИС;
форс-мажорные обстоятельства.
По мотивации воздействия на информационные ресурсы и системы, источники угроз ИБ можно разделить на преднамеренные и случайные.
Преднамеренные (умышленные) угрозы связаны с корыстными стремлениями людей (злоумышленников).
Случайные (неумышленные) угрозы вызваны ошибками в проектировании элементов информационных систем, в программном обеспечении, в действиях сотрудников и т. п.
Классификация источников угроз информационной безопасности для информационной системы ХС представлена на рис.3.2.
Анализ угроз информационной безопасности.
При анализе угроз информационной безопасности рассматриваются все виды угроз, обусловленных различными факторами, среди которых выделим четыре основных класса:
- угрозы, возникновение которых обусловлено человеческим фактором;
- угрозы, связанные с техническими средствами, используемыми при разработке и эксплуатации информационной системы;
- угрозы, связанные с программными средствами, используемыми при разработке и эксплуатации информационной системы;
- техногенные угрозы, возникающие вследствие форс-мажорных обстоятельств.
1. Угрозы, обусловленные человеческим фактором
Данный класс угроз весьма обширен, к нему относятся угрозы, возникающие вследствие умышленных или неумышленных действий человека:
А) неправомерные действия авторизованных пользователей в системах и приложениях.
Б) отказ в обслуживании.
В) внедрение вредоносного или разрушающего программного обеспечения.
Г) подмена имени пользователя авторизованными пользователями.
Д) подмена имени пользователя посторонними лицами.
Е) неправомерное использование системных ресурсов.
Ж) ошибки в операциях, совершаемые сотрудниками ХС при выполнении операций, связанных с эксплуатацией программно-аппаратных средств информационной системы. Данные угрозы могут исходить в основном от администраторов и партнёров ХС;
З) ошибки в обслуживании аппаратного обеспечения, т.е. компьютерной, множительной техники, сетевого оборудования и прочего в процессе технического обслуживания аппаратных средств техническим персоналом;
И) ошибки пользователя при работе с приложениями. К данным угрозам могут быть причастны авторизованные, удалённые и временные пользователи, а также партнёры;
К) несанкционированное проникновение в корпоративную сеть.
Л) манипулирование информацией. К данной угрозе относятся:
- подмена информации на веб-сайте ХС, партнеров;
- рассылка заведомо не нужной адресату информации (бомбардирование спамом);
- внедрение ложных сообщений;
- намеренное нарушение очередности доставки информации;
- намеренная задержка доставки информации;
- намеренный сбой маршрутизации;
- перехват, изменение и перенаправление сообщения атакующей стороной посредством посылки сообщения через скомпрометированную рабочую станцию или компьютер злоумышленника.
Эти виды угроз исходят от внешних злоумышленников, администраторов, технического персонала, авторизованных, удалённых и временных пользователей, партнёров (конкурентов), программистов.
М) перехват информации. К данной угрозе относятся:
- пассивный перехват информации;
- активный перехват информации;
- несанкционированный мониторинг трафика.
Эти виды угроз исходят от авторизованных, удалённых и временных пользователей, технического персонала, внешних злоумышленников, программистов, партнёров (конкурентов) и администраторов.
Н) отрицание приема/передачи сообщений. К данной угрозе относятся следующие случаи:
- пользователи сети отрицают, что они посылали сообщение (отрицание передачи);
- пользователи сети отрицают, что они приняли сообщение (отрицание приема).
К данным угрозам могут быть причастны авторизованные, удалённые и временные пользователи, технический персонал, программисты, администраторы и партнёры.
О) кражи персоналом документов и имущества
П) кражи посторонними лицами документов и имущества
Р) умышленная порча имущества сотрудниками путем совершения актов вандализма и причинения физического ущерба техническим средствам, носителям информации, системам жизнеобеспечения. Такие угрозы могут исходить от обслуживающего и технического персонала, пользователей, программистов и администраторов;
С) умышленная порча имущества посторонними лицами
2. Угрозы, связанные с техническими средствами, используемыми при разработке и эксплуатации информационной системы.
К данному классу угроз информационной безопасности относятся угрозы, возникающие вследствие физических повреждений, отказов и неисправностей технических средств системы, ее отдельных компонентов и вспомогательных коммуникаций:
А) отказы и сбои в работе серверного оборудования, вследствие влияния различных факторов;
Б) отказы и сбои в работе дисковых массивов;
В) отказы и сбои в работе сетевого оборудования;
Г) отказы каналов связи, выражающиеся в пропадании (прерывании) связи между узлами информационной системы ХС;
Д) отказы и сбои в работе средств управления и мониторинга;
Е) отказы и сбои в работе рабочих станций;
Ж) непреднамеренные ошибки маршрутизации, выражающиеся в доставке информации по ошибочному адресу при пересылке ее по сети.
3. Угрозы, связанные с программными средствами, используемыми при разработке и эксплуатации информационной системы.
К данному классу угроз информационной безопасности относятся угрозы, возникающие вследствие возникновения ошибок в системном и прикладном программном обеспечении (ПО) компонентов системы:
А) отказы системного программного обеспечения вследствие наличия ошибок в ПО, влекущих возникновение уязвимостей и сбоев в его работе;
Б) отказы прикладного программного обеспечения вследствие наличия ошибок в ПО, влекущих возникновение уязвимостей и сбоев в его работе.
4. Техногенные угрозы, возникающие вследствие так называемых «форсмажорных» обстоятельств.
К ним относят следующие виды угроз:
А) отказы системы энергоснабжения, связанные с временным прекращением подачи электропитания на элементы информационной системы;
Б) отказы системы кондиционирования, приводящие к приостановке работы или отказу элементов информационной системы вследствие выхода рабочих температур за границы предельно допустимых показателей;
В) пожар, приводящий к повреждению огнем технических средств информационной системы, документации, носителей данных и др.;
Г) затопление, приводящее к повреждению водой технических средств информационной системы, документации, носителей данных, а также электрическим замыканиям и др.;
Д) стихийные бедствия в виде землетрясений, селей, ураганов, наводнений и прочих катастрофических природных явлений.