- •1.Сущность, цели и задачи организации комплексной системы защиты информации.
- •2.Назначение комплексности при построении системы защиты информации.
- •3.Значение основных положений современной теории защиты информации для организации.
- •4.Значение современной теории систем для организации и обеспечения функционирования ксиб.
- •5. Этапы разработки ксиб.
- •6. Факторы, оказывающие влияние на организацию ксиб
- •7. Структура угроз для информационных ресурсов.
- •8. Сущность, цели и задачи организации комплексной системы защиты информации.
- •Основные цели системы защиты информации
- •Основные задачи систем защиты информации
- •2. Защита содержания информации
- •9. Назначение комплексности при построении системы защиты информации.
- •10. Значение основных положений современной теории защиты информации для организации.
- •1. Контроль выполнения требований, предъявляемых к персоналу, допущенного к конфиденциальной информации:
- •2. Контроль организации и обеспечения работы с конфиденциальной информацией:
- •3. Контроль соответствия размещения, охраны, специального оборудования помещений требованиям информационной безопасности:
- •4. Контроль выполнения основных специальных требований по размещению и монтажу оборудования информационных систем:
- •12. Этапы разработки ксиб.
- •13. Факторы, оказывающие влияние на организацию ксиб.
- •14. Основные принципы организации ксиб.
- •16. Основные группы требований к ксиб.
- •17. Требования к комплексной защите применительно к различным защищаемым элементам объекта.
- •18. Факторы, определяющие состав защищаемой информации.
- •19. Методология Клеменса при определении эффективности защиты ис.
- •20. Основные этапы работы по выявлению состава защищаемой информации
- •21. Качественный анализ рисков по методологии Фишера.
- •22. Управление рисками и построение графа компрометации.
- •23. Структуризация объекта защиты и ее значение.
- •24. Методология Хоффмана при определении эффективности защиты ис.
- •25 Методы выявления состава защищаемых элементов.
- •26 Какими факторами определяется состав угроз безопасности предприятия?
- •27Какова процедура выявления каналов несанкционированного доступа к информации на предприятии?
- •28. Чем определяется состав нарушителей и как осуществляется их категорирование?
- •29. Моделирование угроз иб и защита
- •30. Каким образом может проводиться оценка степени уязвимости информации в результате действий нарушителей различных категорий?
- •32. Метод экспертных опросников для определения качества ксиб.
- •33. Определение функций защиты. Полнота функций
- •34. Какие критерии положены в основу классификации каждой группы средств, входящих в состав ксиб? Выбор оптимальной эффективности и критерии оптимальности ксзи
- •35. Какие требования предъявляются к выбору методов и средств защиты при организации и функционировании ксиб?
- •36. Как определяются условия функционирования ксиб?
- •37. Этапы разработки модели ксзи.
- •Принцип простоты Этапы разработки ксзи
- •38. Определите значение моделирования объектов и процессов защиты при построении ксиб.
- •39. Какие компоненты входят в состав информационной модели ксиб?
- •40. Каково общее содержание схемы технологического и организационного построения ксиб?
- •Организационное построение
- •41. Требования, предъявляемые к сотрудникам, обеспечивающим функционирование ксиб.
- •42. Нормативные документы, регламентирующие деятельность и взаимодействие персонала по комплексной защите информации.
- •43. Особенности мотивации деятельности персонала, связанного с защитой информации.
12. Этапы разработки ксиб.
Проектирование систем защиты информации – это достаточно сложный комплекс работ, который включает в себя следующие этапы:
- предпроектное обследование, формирующее базовые требования к проектируемой системе защиты информации;
- анализ требований, предъявляемых заказчиком к системе;
- проектирование программной и аппаратной компонент – преобразование требований в детальные спецификации системы;
- конструирование – выполнение организационно-технических мероприятий, связанных с разработкой и тестированием компонент системы;
- верификация спроектированной системы требованиям безопасности;
- реализация и ввод СЗИ в эксплуатацию.
Принципы проектирования систем защиты информации
1. Принцип конечной цели означает, что любая попытки изменения состава или совершенствования процедур применения программных и аппаратных компонент защиты должна оцениваться с точки зрения влияния на конечную цель, то есть помогает это или мешает достижению конечной цели. При этом цель функционирования системы защиты информации задается, как правило, обеспечиваемой информационно-управляющей системой, в которой проектируемая система является составной частью (подсистемой).
2. Принцип измерения предполагает необходимость количественной оценки характеристик СЗИ, раскрывающих, прежде всего, ее целевые свойства. Этот принцип будет нами более подробно рассматриваться позже.
3. Принцип эквифинальности (завершенности) предполагает обеспечение защиты информации, средств информатизации, интересов участников информационных отношений и невозможность несанкционированного доступа к защищаемой информации при любых состояниях внешней среды.
4. Принцип единства означает, что при разработке элементов и подсистем необходимо ориентироваться на достижение интегративного (системного) эффекта, то есть, что бы их качественные и функциональные характеристики повышали эффективность системы в целом.
5. Принцип связности означает, что для проектирования и эффективного управления СЗИ в рамках организации (независимо от вида деятельности и формы собственности) необходимо рассматривать СЗИ как подсистему ее информационно-управляющей системы. Множество функций СЗИ при этом будет находиться в зависимости от связей организации с внешней средой, то есть с вышестоящими и нижестоящими системами, а также внутренними связями между структурными подсистемами.
6. Принцип модульного построения позволяет в значительной мере абстрагироваться от избыточных деталей, рассматривая подсистемы СЗИ в виде «черных ящиков», то есть, акцентируя внимание на их входах и выходах. При этом использование типовых алгоритмических и программных решений, средств автоматизации и связи, прочих технических элементов позволяет снизить стоимость и повысить эффективность СЗИ.
7. Принцип иерархии предполагает поэтапные разработку и ввод различных уровней СЗИ (организационно-управленческие, технические и т.д.). Это представляется особенно полезным при разработке сложных СЗИ.
8. Принцип функциональности означает, что если существующая техническая, технологическая, управленческая, кадровая и т.д. структура системы не позволяет обеспечить требуемые функциональные возможности, то такая структура должна быть изменена (перепроектирована).
9. Принцип развития обеспечивает возможности наращивания, модернизации и расширения функциональных возможностей СЗИ. При этом следование международным, российским и отраслевым стандартам облегчает сопряжение и встраивание в другие системы, заложенные перспективные конструкторские решения обеспечат долговременную адекватность СЗИ поставленным задачам.
10. Принцип разумного сочетания централизации и децентрализации требует рационального сочетания элементов централизованного и децентрализованного управления СЗИ. Так, сточки зрения управления персоналом обычно вводится принцип единоначалия, однако в случае с крупной организацией целесообразно делегировать часть полномочий для повышения оперативности реагирования на события, требующие принятия управленческих решений. Для управления техническими системами централизация повышает управляемость, но снижает надежность.
11. Принцип неопределенности, зачастую связан с «человеческим фактором». Предугадать поведение человека в различных ситуациях невозможно, однако необходимо свести к минимуму возможный ущерб от неправильных действий персонала, и делать это следует еще на стадии проектирования.
Системное проектирование СЗИ предполагает подготовку комплекса взаимосвязанных мер, направленных на достижение требуемого уровня безопасности конкретной информационно-управляющей системы. Для обеспечения высокой эффективности функционирования автоматизированных информационно-управляющих систем, комплекс средств защиты информации целесообразно базировать на следующих общих принципах:
- стоимость создания и эксплуатации систем защиты информации должна быть меньше чем размеры наиболее вероятного или возможного допустимого ущерба от любых потенциальных угроз;
- программные средства защиты функциональных программ и данных должна быть комплексной и многоуровневой, ориентированной на все виды угроз с учетом их опасности;
- СЗИ должна иметь индивидуальные целевые компоненты, предназначенные для обеспечения безопасности функционирования каждого отдельного объекта и отдельной функциональной задачи с учетом их уязвимости и степени влияния на безопасность информационно-управляющей системы в целом;
- СЗИ не должна приводить к ощутимым трудностям, помехам и снижению эффективности решения основных функциональных задач информационно-управляющей системы в целом.