- •2. Основні компоненти ризику.
- •3. Інформаційна складова ризику.
- •4. Поняття інформаційного ризику.
- •5. Показники якості інформації.
- •6. Дія інформаційних ризиків на процес функціонування підприємства.
- •7. Інформаційні ризики.
- •8. Мінімізація іт - ризиків.
- •9. Якість інформації.
- •10. Загрози безпеки інформації.
- •11. Шкідливі програми, та їх класи.
- •14. Криптографічний захист інформації.
- •15. Віруси, їх типи та класифікація.
- •16. Виявлення вірусів та блокування роботи програм-вірусів, усунення наслідків.
- •17. Профілактика зараження вірусами кс.
- •18. Особливості захисту інформації в бд.
- •19. Моделювання загроз.
- •20. Зниження ризиків.
- •21. Кількісна оцінка моделей загроз.
- •22. Нешкідливі, небезпечні, дуже небезпечні віруси.
- •23. Профілактика зараження вірусами кс.
- •25. Особливостізахисту інформації в бд.
- •27. Попередження можливих загроз і протиправних дій.
- •28. Способи запобігання розголошення.
- •29. Захист інформації від витоку по течнічним каналам.
- •30. Захист від витоку по візуально-оптичним каналам.
- •31. Реалізація захисту від витоку по акустичним каналам.
- •33. Захис від витоку за рахунок мікрофрнного ефекту.
- •34. 10 Основних ризиків при розробці пз.
- •35. Аналіз ризиків.
- •36. Цикли тотальної інтеграції.
- •37. Інтегральна безпека та її особливості.
- •38. Інтегральні системи управління технічними засобами.
- •39. Біометричні технології стз.
- •40. Цифрові методи і технології в стз.
- •41. Смарт-карти в ст.
- •43. Скриті цифрові маркери та вимоги до них.
- •44. Перспективні стеганографічні технології.
- •45. Енергоінформаційні технології.
- •46. Сучасні методики розробки політик безпеки.
- •47. Модель побудови корпоративної системи захисту системи інформації.
- •48. Мініатюризація та нанотехнології у сфері іот.
- •49. Інтелектуалізація і автоматизація у сфері іот.
- •50. Тенденції універсалізації у сфері іот.
- •51. Динаміка можливостей потенційних зловмисників у найближчій перспективі.
- •52. Перевірка пристроїв на наявність модулів з несанкціонованими діями.
- •53. Використання потенційними зловмисниками факторів збільшення продуктивності обчислювльних систем (ос).
- •54. Можливості інтелектуалізації функцій обчислювальної системи з точки зору вразливості Обчислювальних систем.
- •55. Співвідношення засобів захисту і засобів нападу на обчислювальну систему.
- •56. Актуальність методів шифрування мовного трафіку.
- •57. Зростання мережевих швидкостей і безпека іт.
- •58. Багатофункціональні пристрої та інтеграція захисних механізмів в інфраструктуру.
- •59. Молекулярна обчислювальна техніка.
- •60. Штучний інтелект і перспективна обчислювльна техніка.
- •61. Нейронні мережі і перспективна обчислювальна техніка.
- •62. Квантовий комп’ютер, переваги технології.
- •63. Технологія Інтернет-2.
- •64. Ціль оцінки ризику.
- •65. Табличні методи оцінки ризиків компанії.
- •66. Оцінка ризиків на основі нечіткої логіки.
- •67. Програмні засоби оцінки ризиків на основі нечіткої логіки.
- •68. Цінність інструментальних методів аналізу ризиків.
- •70. Інструментальний засіб cram.
- •71. Система cobra.
- •73. Програмний комплекс гриф.
- •74. Комплексна експертна система "АванГард".
- •75. Апаратно-програмний комплекс шифрування "Континент".
- •76. Засоби захисту інформації від несанкціонованого доступу.
- •77. Захист від витоків по технічним каналам.
- •78. Засоби активного захисту акустичної мовної інформації.
- •79. Вимоги нормативних документів до реалізації прикладного рівня рівня захисту.
- •80. Принципова особливість захисту інформації на прикладному рівні.
- •Что такое ксзи «Панцирь-к» для ос Windows 2000/xp/2003?
- •Ксзи «Панцирь-к» предоставляет следующие возможности:
- •Почему ксзи «Панцирь-к» оптимальное решение?
- •Почему ксзи «Панцирь-к» эффективное средство защиты?
- •1. Механизмы формирования объекта защиты.
- •2. Механизмы защиты от инсайдерских атак.
- •Решение механизмами защиты ксзи:
- •3.Механизмы защиты от атак на уязвимости приложений.
- •Решение механизмами защиты ксзи:
- •4. Механизмы защиты от атак на уязвимости ос.
- •Решение механизмами защиты ксзи:
- •Как сравнить ксзи «Панцирь-к» с иными средствами защиты?
- •82. Альтернативна задача захисту інформації від нсд.
- •83. Робота адміністратора безпеки.
- •84. Інтерфейс настройки сценаріїв автоматичної реакції на стрічку подій.
- •85. Рівнева модель захисту інформації.
- •86. Засоби архівування інформації як програмний засіб захисту даних.
- •87. Програмні засоби захисту інформації.
- •Программные средства защиты информации
- •88. Основні засоби захисту інформації.
- •89. Організаційні засоби захисту інформації.
- •90. Змішані засоби захисту інформації.
- •91. Технічні засоби захисту інформації.
- •Защита телефонных аппаратов и линий связи
- •Блокиратор параллельного телефона
- •Защита информации от утечки по оптическому каналу
- •Адаптер для диктофона
- •92. Захист інформації від несанкціонованого доступу.
- •93. Захист інформації від копіювання та руйнування.
- •94. Існуючі підходи до управління ризиками.
- •95. Оцінка ризиків.
- •96. Кількісна оцінка ризиків.
- •98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
- •99. Процесна модель управління ризиками.
- •100. Інструментарій для управління ризиками.
- •101. Сутність поняття "інформаційна безпека".
- •Содержание понятия
- •] Стандартизированные определения (для дцтд4-1)
- •Существенные признаки понятия
- •Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •Объём (реализация) понятия «информационная безопасность»
- •102. Організаційно-технічні і режимні заходи і засоби захисту інформації. Организационно-технические и режимные меры и методы
- •103. Програмно-технічні способи і засоби забезпечення інформаційної безпеки. Засоби та методи захисту інформації
- •104. Організаційний захист об’єктів інформаціїї.
- •105. Цивільно-правова відповідальність за порушення інформаційної безпеки сайтів мережі Інтернет. Гражданско-правовая ответственность за нарушения информационнойбезопасности сайтов сети Интернет
- •106. Історичні аспекти виникнення і розвитку інформаційної безпеки.
- •107. Засоби захисту інформації.
- •108. Апаратні засоби захисту інформації.
- •Технические средства защиты информации
95. Оцінка ризиків.
Оцінка ризиків (risk assessment) - перший етап в управлінні системи інформаційної безпеки, призначений для ідентифікації джерел ризиків і визначення його рівня значущості. Оцінку розбивають на аналіз ризиків та оцінювання ризиків.
У рамках аналізу проводиться інвентаризація і категоризація захищаються ресурсів, з'ясовуються нормативні, технічні, договірні вимоги до ресурсів у сфері ІБ, а потім з урахуванням цих вимог визначається вартість ресурсів. У вартість входять всі потенційні витрати, пов'язані з можливою компрометацією захищаються ресурсів. Наступним етапом аналізу ризиків є складання переліку значущих загроз і вразливостей для кожного ресурсу, а потім обчислюється ймовірність їх реалізації. Стандарт допускає двояке тлумачення поняття загрози ІБ: як умова реалізації вразливості ресурсу (в цьому випадку уразливості і загрози ідентифікуються окремо) і як загальне потенційне подія, здатне привести до компрометації ресурсу (коли наявність можливості реалізації вразливості і є загроза). Не забороняється поділ загроз ІБ на загрози цілісності, доступності та конфіденційності.
Оцінювання ризику проводиться шляхом його обчислення і зіставлення із заданою шкалою. Обчислення ризику полягає в збільшенні ймовірності компрометації ресурсу на значення величини збитку, пов'язаного з його компрометацією. Зіставлення ризику виконується з метою спрощення процесу використання на практиці точкових значень ризику.
BS 7799-3 допускає використання як кількісних, так і якісних методів оцінки ризиків, але, на жаль, у документі немає обгрунтування та рекомендацій з вибору математичного і методичного апарату оцінки ризиків ІБ. Додаток до стандарту містить єдиний приклад, який умовно можна віднести до якісного методу оцінки. Даний приклад використовує три-і п'ятибальні оцінні шкали:
Оцінюються рівні вартості ідентифікованого ресурсу за п'ятибальною шкалою: «незначний», «низький», «середній», «високий», «дуже високий».
Оцінюються рівні ймовірності загрози по трьохбальной шкалою: «низький», «середній», «високий».
Оцінюються рівні ймовірності уразливості: «низький», «середній», «високий».
96. Кількісна оцінка ризиків.
Метою кількісної оцінки ризиків є обчислення об'єктивних числових значень кожного компонента, виявленого в ході оцінки ризиків і аналізу вигод і витрат. Наприклад, організація може оцінити реальну вартість кожного бізнес-активу з точки зору витрат на його заміну, збитку в показниках зниження продуктивності, збитку в показниках зниження ділової репутації і інших прямих і непрямих бізнес-цінностей. Цей же підхід слід застосовувати при визначенні схильності активу дії, вартості елементів контролю і інших величин, виявлених в ході управління ризиками.
Даний підхід містить декілька вад, які нелегко здолати. По-перше, не існує ефективного формалізованого методу, що дозволяє точно визначити вартості активів і елементів контролю. Іншими словами, не дивлячись на точність отриманих характеристик, що здається, фінансові показники фактично ґрунтуються на оцінках. Як, наприклад, точно визначити вплив проблеми з безпекою, що отримала широкий розголос, на імідж фірми? В деяких випадках цього можна добитися, проаналізувавши статистичні дані, проте частенько це неможливо.
По-друге, організації, що намагалися скрупульозно реалізувати всі аспекти кількісного підходу до управління ризиками, виявили, що це вимагає дуже великих витрат. Як правило, завершення першого повного циклу подібних проектів вимагає довгого часу, а в самі проекти залучено велике число співробітників, які не можуть погоджувати принципи обчислення конкретних фінансових показників. По-третє, організації, в яких схильність дії дорогих бізнес-активів може наводити до дуже великих збитків, можуть порахувати доцільним виділити значні додаткові кошти на зниження всіх ризиків, які можуть виникнути (хоча дана ситуація маловірогідна - організація не витрачатиме весь бюджет на захист одного активу або навіть п'яти основних активів).
Детальний розгляд кількісного підходу
На даному етапі слід скласти загальне уявлення про переваги і недоліки кількісного підходу до оцінки ризиків. У частині даного розділу, що залишилася, розглядаються деякі чинники і значення, які зазвичай визначаються при використанні кількісного підходу: вартості активів, витрати на елементи контролю і рівень повернення інвестицій в безпеку (УВІБ), а також розраховані значення очікуваного разового збитку (КРИЧУ), щорічної частоти виникнення (ЕЧВ) і очікуваного річного збитку (ОГУ). Приведений матеріал не містить повного опису всіх аспектів кількісної оцінки ризиків, а включає лише загальні відомості про цей підхід і демонструє, що числові показники, лежачі в основі всіх розрахунків, є суб'єктивними характеристиками.
97. Якісна оцінка ризиків.
Якісна оцінка ризиків. Якісний підхід до оцінки ризиків відрізняється від кількісного тим, що при використанні якісного підходу не потрібно визначати точні фінансові показники вартості активів, очікуваного збитку і вартості елементів контролю. Замість цього розраховуються відносні вартості. Як правило, аналіз ризиків виконується шляхом заповнення опитних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти по інформаційній безпеці, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів і старші менеджери. Якщо використовуються опитні листи, то вони поширюються в строк від декількох днів до декількох тижнів до початку першого обговорення. Опитні листи покликані допомогти скласти перелік вже розгорнутих активів і елементів контролю. Зібрані відомості можуть виявитися дуже корисними при проведенні подальших обговорень. В ході обговорень учасники формують перелік активів і визначають їх відносні вартості. Після цього їм необхідно з'ясувати, з якими погрозами може зіткнутися кожен актив і які типи вразливих місць можуть бути використані цими погрозами в майбутньому. Як правило, ІТ-спеціалісти системні адміністратори пропонують групі управління ризиками безпеки перелік елементів контролю для зниження ризиків і вказують орієнтовну вартість кожного елементу контролю. Після закінчення результати надаються Стандарту компанії в ході аналізу вигод і витрат.
Як видно, основний процес оцінки якісних характеристик дуже схожий на процес, використовуваний в кількісному підході. Відмінності полягають в деталях. При порівнянні вартостей різних активів використовуються відносні значення, і учасникам не доводиться витрачати багато часу на спроби точно обчислити фінансові вартості активів. Аналогічна ситуація спостерігається при визначенні можливого впливу ризиків і витрат на реалізацію елементів контролю.
Переваги якісного підходу полягають в тому, що даний підхід висуває менше вимог до співробітників і дозволяє відмовитися від складних процедур визначення точної вартості активу, витрат на елемент контролю і тому подібне Проекти, засновані на якісному підході до управління ризиками, дозволяють добитися помітних результатів вже через декілька тижнів, тоді як організації, що використовують кількісний підхід, можуть не отримати скільки-небудь значних результатів, витрачаючи зусилля протягом місяців або навіть років. Недолік якісного підходу полягає в тому, що отримані результати не мають однозначної інтерпретації, а відносні величини, визначені в ході якісної оцінки ризиків, можуть не задовольняти деяких співробітників, відповідальних за ухвалення ділових рішень (особливо співробітників, що працюють у сфері обліку або фінансів).