- •1.Сущность, цели и задачи организации комплексной системы защиты информации.
- •2.Назначение комплексности при построении системы защиты информации.
- •3.Значение основных положений современной теории защиты информации для организации.
- •4.Значение современной теории систем для организации и обеспечения функционирования ксиб.
- •5. Этапы разработки ксиб.
- •6. Факторы, оказывающие влияние на организацию ксиб
- •7. Структура угроз для информационных ресурсов.
- •8. Сущность, цели и задачи организации комплексной системы защиты информации.
- •Основные цели системы защиты информации
- •Основные задачи систем защиты информации
- •2. Защита содержания информации
- •9. Назначение комплексности при построении системы защиты информации.
- •10. Значение основных положений современной теории защиты информации для организации.
- •1. Контроль выполнения требований, предъявляемых к персоналу, допущенного к конфиденциальной информации:
- •2. Контроль организации и обеспечения работы с конфиденциальной информацией:
- •3. Контроль соответствия размещения, охраны, специального оборудования помещений требованиям информационной безопасности:
- •4. Контроль выполнения основных специальных требований по размещению и монтажу оборудования информационных систем:
- •12. Этапы разработки ксиб.
- •13. Факторы, оказывающие влияние на организацию ксиб.
- •14. Основные принципы организации ксиб.
- •16. Основные группы требований к ксиб.
- •17. Требования к комплексной защите применительно к различным защищаемым элементам объекта.
- •18. Факторы, определяющие состав защищаемой информации.
- •19. Методология Клеменса при определении эффективности защиты ис.
- •20. Основные этапы работы по выявлению состава защищаемой информации
- •21. Качественный анализ рисков по методологии Фишера.
- •22. Управление рисками и построение графа компрометации.
- •23. Структуризация объекта защиты и ее значение.
- •24. Методология Хоффмана при определении эффективности защиты ис.
- •25 Методы выявления состава защищаемых элементов.
- •26 Какими факторами определяется состав угроз безопасности предприятия?
- •27Какова процедура выявления каналов несанкционированного доступа к информации на предприятии?
- •28. Чем определяется состав нарушителей и как осуществляется их категорирование?
- •29. Моделирование угроз иб и защита
- •30. Каким образом может проводиться оценка степени уязвимости информации в результате действий нарушителей различных категорий?
- •32. Метод экспертных опросников для определения качества ксиб.
- •33. Определение функций защиты. Полнота функций
- •34. Какие критерии положены в основу классификации каждой группы средств, входящих в состав ксиб? Выбор оптимальной эффективности и критерии оптимальности ксзи
- •35. Какие требования предъявляются к выбору методов и средств защиты при организации и функционировании ксиб?
- •36. Как определяются условия функционирования ксиб?
- •37. Этапы разработки модели ксзи.
- •Принцип простоты Этапы разработки ксзи
- •38. Определите значение моделирования объектов и процессов защиты при построении ксиб.
- •39. Какие компоненты входят в состав информационной модели ксиб?
- •40. Каково общее содержание схемы технологического и организационного построения ксиб?
- •Организационное построение
- •41. Требования, предъявляемые к сотрудникам, обеспечивающим функционирование ксиб.
- •42. Нормативные документы, регламентирующие деятельность и взаимодействие персонала по комплексной защите информации.
- •43. Особенности мотивации деятельности персонала, связанного с защитой информации.
16. Основные группы требований к ксиб.
Разработка КСИБ должна проходить в трех параллельных направлениях: методическом, организационном и техническом.
Методическое направление предусматривает разработку концепции безопасности.
Под концепцией понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи ЗИ.
Концепция безопасности – это документ, в котором:
- применяется методика определения и описания информационных потоков (ИП), представляющая собой формальное и точное описание работы с информацией, с учетом их изменений со временем;
- определены критерии, по которым принимается решение о появлении или прекращении конкретного ИП;
- анализируются, описываются и фиксируются ИП, существующие на текущий момент;
- определяются для каждого ИП фазы существования информации;
- определяются категории конфиденциальной информации, и разрабатывается классификация информации по этим категориям;
- создается матрица конфиденциальности;
- определяются возможные пути разглашения конфиденциальной информации, т.е. модель угроз;
- для каждой угрозы и атаки определяется модель нарушителя, включающая профессиональный круг лиц, к которому принадлежит нарушитель, мотивация и цели нарушителя, его предполагаемая квалификация и характер возможных действий;
- определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
- определяется порядок изменения Концепции безопасности.
Разработка Концепции безопасности сводится к следующим практическим шагам:
1. Определение используемых руководящих документов и стандартов, а также основных положений политики ИБ;
2. Определение подходов к управлению рисками;
3. Структуризация контрмер по уровням.
При организационном направлении работ создается организационная компонента КСИБ – совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
Организационное направление включает в себя:
- разработку регламента обеспечения безопасности;
- применение методологии при работе с персоналом;
- работы по уточнению требований к характеристикам защищенности системы;
- анализ информационной структуры предприятия;
- разнесение субъектов и объектов информационных отношений по категориям конфиденциальности;
- определение допустимых форм их взаимодействий и т.д.
Регламент обеспечения безопасности – комплект документов, регламентирующий правила обращения с конфиденциальной информацией (КИ) в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте определен комплекс методических, административных и технических мер:
- создание подразделения, ответственного за обеспечение КИ;
- определение порядка допуска сотрудников к КИ и обязанностей, ограничений и условий, накладываемых на них;
- определение сотрудников, допущенных к КИ;
- план мероприятий по противодействию атаке на КИ и т д.
Для регламента обеспечения безопасности должны быть разработаны следующие документы:
1. общие документы:
- инструкция по обеспечению режима конфиденциальности на предприятии;
- требования к пропускному и внутриобъектовому режиму;
- общие требования к системе разграничения доступа в помещении;
- регламент взаимодействия Служб обеспечения конфиденциальности и безопасности;
2. документы по работе с кадрами:
- инструкция по работе с кадрами, подлежащими допуску к КИ;
- требования к лицам, оформляемым на должность, требующую допуска к КИ;
3. документы по защите ИС. Они регламентируют:
- режим конфиденциальности при обработке КИ с применением средств вычислительной техники;
- требования к защищенности ИС;
- концепцию безопасности ИС;
- порядок анализа существующей ИС.
Техническая компонента КСИБ – комплекс технических средств и технологий ЗИ при ее обработке, хранении и передаче, включая криптографические средства. Техническая компонента создается в рамках технического направления работ.
При реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.