- •2. Основні компоненти ризику.
- •3. Інформаційна складова ризику.
- •4. Поняття інформаційного ризику.
- •5. Показники якості інформації.
- •6. Дія інформаційних ризиків на процес функціонування підприємства.
- •7. Інформаційні ризики.
- •8. Мінімізація іт - ризиків.
- •9. Якість інформації.
- •10. Загрози безпеки інформації.
- •11. Шкідливі програми, та їх класи.
- •14. Криптографічний захист інформації.
- •15. Віруси, їх типи та класифікація.
- •16. Виявлення вірусів та блокування роботи програм-вірусів, усунення наслідків.
- •17. Профілактика зараження вірусами кс.
- •18. Особливості захисту інформації в бд.
- •19. Моделювання загроз.
- •20. Зниження ризиків.
- •21. Кількісна оцінка моделей загроз.
- •22. Нешкідливі, небезпечні, дуже небезпечні віруси.
- •23. Профілактика зараження вірусами кс.
- •25. Особливостізахисту інформації в бд.
- •27. Попередження можливих загроз і протиправних дій.
- •28. Способи запобігання розголошення.
- •29. Захист інформації від витоку по течнічним каналам.
- •30. Захист від витоку по візуально-оптичним каналам.
- •31. Реалізація захисту від витоку по акустичним каналам.
- •33. Захис від витоку за рахунок мікрофрнного ефекту.
- •34. 10 Основних ризиків при розробці пз.
- •35. Аналіз ризиків.
- •36. Цикли тотальної інтеграції.
- •37. Інтегральна безпека та її особливості.
- •38. Інтегральні системи управління технічними засобами.
- •39. Біометричні технології стз.
- •40. Цифрові методи і технології в стз.
- •41. Смарт-карти в ст.
- •43. Скриті цифрові маркери та вимоги до них.
- •44. Перспективні стеганографічні технології.
- •45. Енергоінформаційні технології.
- •46. Сучасні методики розробки політик безпеки.
- •47. Модель побудови корпоративної системи захисту системи інформації.
- •48. Мініатюризація та нанотехнології у сфері іот.
- •49. Інтелектуалізація і автоматизація у сфері іот.
- •50. Тенденції універсалізації у сфері іот.
- •51. Динаміка можливостей потенційних зловмисників у найближчій перспективі.
- •52. Перевірка пристроїв на наявність модулів з несанкціонованими діями.
- •53. Використання потенційними зловмисниками факторів збільшення продуктивності обчислювльних систем (ос).
- •54. Можливості інтелектуалізації функцій обчислювальної системи з точки зору вразливості Обчислювальних систем.
- •55. Співвідношення засобів захисту і засобів нападу на обчислювальну систему.
- •56. Актуальність методів шифрування мовного трафіку.
- •57. Зростання мережевих швидкостей і безпека іт.
- •58. Багатофункціональні пристрої та інтеграція захисних механізмів в інфраструктуру.
- •59. Молекулярна обчислювальна техніка.
- •60. Штучний інтелект і перспективна обчислювльна техніка.
- •61. Нейронні мережі і перспективна обчислювальна техніка.
- •62. Квантовий комп’ютер, переваги технології.
- •63. Технологія Інтернет-2.
- •64. Ціль оцінки ризику.
- •65. Табличні методи оцінки ризиків компанії.
- •66. Оцінка ризиків на основі нечіткої логіки.
- •67. Програмні засоби оцінки ризиків на основі нечіткої логіки.
- •68. Цінність інструментальних методів аналізу ризиків.
- •70. Інструментальний засіб cram.
- •71. Система cobra.
- •73. Програмний комплекс гриф.
- •74. Комплексна експертна система "АванГард".
- •75. Апаратно-програмний комплекс шифрування "Континент".
- •76. Засоби захисту інформації від несанкціонованого доступу.
- •77. Захист від витоків по технічним каналам.
- •78. Засоби активного захисту акустичної мовної інформації.
- •79. Вимоги нормативних документів до реалізації прикладного рівня рівня захисту.
- •80. Принципова особливість захисту інформації на прикладному рівні.
- •Что такое ксзи «Панцирь-к» для ос Windows 2000/xp/2003?
- •Ксзи «Панцирь-к» предоставляет следующие возможности:
- •Почему ксзи «Панцирь-к» оптимальное решение?
- •Почему ксзи «Панцирь-к» эффективное средство защиты?
- •1. Механизмы формирования объекта защиты.
- •2. Механизмы защиты от инсайдерских атак.
- •Решение механизмами защиты ксзи:
- •3.Механизмы защиты от атак на уязвимости приложений.
- •Решение механизмами защиты ксзи:
- •4. Механизмы защиты от атак на уязвимости ос.
- •Решение механизмами защиты ксзи:
- •Как сравнить ксзи «Панцирь-к» с иными средствами защиты?
- •82. Альтернативна задача захисту інформації від нсд.
- •83. Робота адміністратора безпеки.
- •84. Інтерфейс настройки сценаріїв автоматичної реакції на стрічку подій.
- •85. Рівнева модель захисту інформації.
- •86. Засоби архівування інформації як програмний засіб захисту даних.
- •87. Програмні засоби захисту інформації.
- •Программные средства защиты информации
- •88. Основні засоби захисту інформації.
- •89. Організаційні засоби захисту інформації.
- •90. Змішані засоби захисту інформації.
- •91. Технічні засоби захисту інформації.
- •Защита телефонных аппаратов и линий связи
- •Блокиратор параллельного телефона
- •Защита информации от утечки по оптическому каналу
- •Адаптер для диктофона
- •92. Захист інформації від несанкціонованого доступу.
- •93. Захист інформації від копіювання та руйнування.
- •94. Існуючі підходи до управління ризиками.
- •95. Оцінка ризиків.
- •96. Кількісна оцінка ризиків.
- •98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
- •99. Процесна модель управління ризиками.
- •100. Інструментарій для управління ризиками.
- •101. Сутність поняття "інформаційна безпека".
- •Содержание понятия
- •] Стандартизированные определения (для дцтд4-1)
- •Существенные признаки понятия
- •Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •Объём (реализация) понятия «информационная безопасность»
- •102. Організаційно-технічні і режимні заходи і засоби захисту інформації. Организационно-технические и режимные меры и методы
- •103. Програмно-технічні способи і засоби забезпечення інформаційної безпеки. Засоби та методи захисту інформації
- •104. Організаційний захист об’єктів інформаціїї.
- •105. Цивільно-правова відповідальність за порушення інформаційної безпеки сайтів мережі Інтернет. Гражданско-правовая ответственность за нарушения информационнойбезопасности сайтов сети Интернет
- •106. Історичні аспекти виникнення і розвитку інформаційної безпеки.
- •107. Засоби захисту інформації.
- •108. Апаратні засоби захисту інформації.
- •Технические средства защиты информации
98. Самостійна оцінка рівня зрілості системи управління ризиками в організації.
Самостійна оцінка рівня зрілості системи управління ризиками в організації
Використання приведеного нижче переліку оцінок забезпечує точніший спосіб визначення рівня зрілості організації. Хоча отримані оцінки будуть суб'єктивними, проте, ретельно аналізуючи кожну оцінку, можна визначити рівень підготовки організації до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту. Оціните полягання справ в організації за шкалою від 0 до 5, використовуючи приведені раніше визначення рівня зрілості.
Політики і процедури забезпечення захисту інформації є повними, лаконічними, зрозумілими і ретельно задокументованими.
· Для всіх посад, що вимагають виконання завдань по забезпеченню інформаційної безпеки, розроблені чітко певні і зрозумілі ролі і обов'язки.
· Політики і процедури забезпечення захисту при доступі сторонніх осіб до ділових даних ретельно задокументовані. Наприклад, компанії, що виконують видалену розробку додатків для внутрішніх бізнес-засобів, мають права доступу до мережевих ресурсів, що дозволяють ефективно організувати спільну роботу і завершити виконання поставлених завдань, проте при цьому їм надаються лише мінімально необхідні права.
· Інвентаризація ІТ-активів(таких як устаткування, програмне забезпечення і сховища даних) виконується акуратно і своєчасно.
· Організація використовує елементи контролю, що забезпечують захист бізнес-даних від несанкціонованого доступу як зсередини організації, так і зовні.
· У організації працює ефективна система сповіщення користувачів про політиків і рекомендації в області інформаційної безпеки (наприклад, шляхом проведення тренінгів або розсилки новин).
· У організації використовуються ефективні елементи контролю фізичного доступу до комп'ютерної мережі і інших ІТ-активам.
· Нові комп'ютерні системи вводяться в експлуатацію з дотриманням стандартів безпеки організації і з використанням стандартних методик, заснованих на вживанні образів дисків, сценаріїв і інших автоматизованих засобів.
· Оновлення програмного забезпечення основних виробників на більшій частині комп'ютерів організації здійснюється автоматично, за допомогою ефективної системи управління виправленнями.
У організації створена група реагування на інциденти, яка розробила і задокументувала ефективні процеси відстежування порушень системи безпеки і реагування на ці порушення. Всі інциденти ретельно аналізуються, поки не буде виявлена основна причина інциденту, а всі проблеми не будуть усунені.
· У організації використовується всеосяжна антивірусна система, що включає багаторівневий захист, навчання користувачів і ефективні методики реагування на вірусні атаки.
· Процеси підтримки роботи користувачів ретельно задокументовані і хоч би частково автоматизовані, внаслідок чого нові співробітники, постачальники і партнери своєчасно отримують необхідний рівень доступу до ІТ-системам організації. Крім того, ці процеси повинні підтримувати тимчасове відключення і видалення облікових записів користувачів, в яких більше немає необхідності.
· Доступ до комп'ютерів і мережі контролюється за допомогою системи авторизації і перевірки достовірності користувачів, списків управління доступом до даних і про активного моніторингу порушень політики.
· Розробники додатків прослухують учбові курси і забезпечуються детальною інформацією про стандарти безпеки, вживані при створенні і перевірці якості програмного забезпечення.
· У організації розроблені і ретельно задокументовані методи і системи забезпечення безперервної роботи, які регулярно перевіряються шляхом моделювання і проведення тренувань.
· У організації упроваджені і ефективно працюють програми, що дозволяють переконатися, що всі співробітники виконують свої посадові обов'язки відповідно до вимог законодавства.
Для перевірки відповідності стандартним рекомендаціям по захисту бізнес-активів регулярно здійснюються аудит і контроль силами сторонніх організацій.
Обчислите число балів для організації, підсумувавши бали, отримані при оцінці кожного приведеного вище твердження. Теоретично організація може набрати від 0 до 85 балів, проте на практиці лише небагато організацій отримають найвищу або найнижчу оцінку.
Якщо організація набрала 51 бал або більш, це означає, що, видно, організація добре підготовлена до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, і використанню всіх його можливостей. Якщо організація набрала від 34 до 50 балів, це показує, що організація зробила значні зусилля по управлінню ризиками безпеки і готова до поступового впровадження даного процесу. Подібним організаціям рекомендується розглянути можливість використання цього процесу в декількох підрозділах протягом декількох місяців, а лише потім переходити до впровадження в рамках всієї організації. Організаціям, що набрали менше 34 балів, рекомендується упроваджувати цей процес поступово, почавши впровадження із створення групи управління ризиками безпеки і використання процесу в одному з підрозділів протягом декількох місяців. Коли організація переконається в корисності даного процесу, використовуючи його для зниження ризиків у вибраному підрозділі, цей процес слід упровадити ще в двох або трьох підрозділах. Подальше впровадження процесу може супроводитися внесенням значних змін і повинно відбуватися поступово, аби уникнути негативного впливу на здатність організації до виконання основних бізнес-цілей. Тому при впровадженні даного процесу слід керуватися здоровим глуздом - кожна залишена без захисту система підвищує ризик безпеки і ризик настання правової відповідальності, і кращим методом запобігання цим наслідкам є використання власних знань про систему. Якщо організація не згодна з пропозицією упроваджувати даний процес поступово і вважає, що впровадження повинне виконуватися невідкладно, вона повинна діяти на власний розсуд.
Організація повинна ретельно вибрати підрозділ для реалізації пілотних програм. При виборі слід враховувати, наскільки важливі питання безпеки для даного підрозділу і яким чином визначається безпека з точки зору доступності, цілісності і конфіденційності послуг і даних. Нижче наводяться приклади питань, використовуваних при виборі підрозділів для пілотної програми.
Чи перевищує рівень зрілості системи управління ризиками у вибраному підрозділі середній рівень для організації?
· Чи будуть керівники вибраного підрозділу активно підтримувати програму?
· Чи забезпечує вибраний підрозділ високий рівень наочності в рамках організації?
· В разі успішного завершення пілотної програми процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, чи буде корисний досвід даної програми переданий останнім підрозділам організації?
Цими ж критеріями необхідно керуватися при виборі підрозділу для подальшого розширення програми.