Разработка модели нарушителя

При разработке модели нарушителя необходимо знать:- Предположение о категории лиц, к которым может принадлежать нарушитель;- Предположение о мотивах действий нарушителя и целях, которые он преследует;- Предположение о квалификации нарушителя;- Предположение о технической оснащенности нарушителя;- Предположение о характере возможных действий;

По отношению к защищаемому объекту нарушители могут быть внутренними или внешними.

Внутренними нарушителями могут быть лица:- Конечные пользователи (научные сотрудники);- Персонал обслуживающий технические средства (инженеры, техники);- Сотрудники разработки и сопровождения ПО (прикладные и системные программисты);- Сотрудники службы безопасности;- Руководители различных уровней должности научного отдела;

Внешними нарушителями могут быть лица:- Технический персонал, обслуживающий здания (уборщики, электрики, сантехники);- Клиенты;- Приглашенные посетители;- Представители организаций, взаимодействующих по вопросам обеспечения життедеятельности организации;- Представители конкурирующих организаций, иностранных спецслужб;- Лица, случайно или умышленно нарушившие пропускной режим;- Любые лица за пределами контролируемой территории;

Основные мотивы нарушения:- Безответственность (действия персонала повлекшие за собой реализацию угрозы);- Самоутверждение;- Вандализм;- Принуждение;- Месть;- Корыстные интересы;Для совершения противоправных действий и получения необходимой информации нарушитель должен обладать определенными знаниями и средствами.

По уровню знаний нарушителей можно квалифицировать следующим образом:- Знает функциональные особенности сети предприятия, основные закономерности формирования в ней массивов данных, потоков запросов к ним, умеет пользоваться штатными средствами;- Обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживание;- Обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации;- Знает структуру, функции, и механизм действия средств защиты, их сильные и слабые стороны;

По уровню возможности использования методов и средств можно выделить такие:- Применяет только агентурные методы получения информации;- Применяет пассивные средства;- Использует только штатные средства и недостатки системы защиты для её преодоления, а также магнитные носители информации, которые могут быть скрытно перенесены через пост охраны;- Применяются методы и средства активного воздействия;

По времени действия нарушителя можно выделить:- Во время функционирования;n - Период не активности компонентов системы;- Как в период функционирования системы, так и в период не активности компонентов системы;Исходя с изложенного, следует сказать, что какой-то одной модели нарушителя выделить нельзя. По этому система защиты должна быть готова к любому типу нарушителя имеющего те или иные выше поданные характеристики нарушителя в любой их комбинации.

Розділ 3. Питання12. Составление генерального плана объекта информационной деятельности. Какая информация должна быть отражена на генеральном плане?Генеральний план ОІД і його опис, на якому мають бути відображені в т.ч.:- які приміщення об’єкта призначаються для установки обладнання ГГС (кількість і номери кімнат, призначення приміщень, яка категорія виділених приміщень, схема розташування (поверхове планування) - суміжні приміщення (у т.ч. зверху і знизу)- система електроживлення- система заземлення- системи життєзабезпечення (радіотрансляції, оповіщення, часофікації, теплопостачання, вентиляції, водопостачання і т. ін.) системи охорони, сигналізації і контролю за обстановкою на ОІД.

Оценка и анализ рисков. НД ТЗІ 1.4-001-2000Аналіз ризиківАналіз ризиків передбачає вивчення моделі загроз для інформації та моделіпорушників, можливих наслідків від реалізації потенційних загроз (рівня можливоїзаподіяної ними шкоди) і формування на його підставі моделі захисту інформації в АС. Оцінка ризиків Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кожної загрози впродовж певного проміжку часу, тобто ймовірності їїздійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрозирекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити заприпущення, що кожна подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз неможливо одержати достатньо об’єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визначається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подібних систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо. Оцінка може мати числове або смислове значення (наприклад, ймовірність реалізації загрози – незначна, низька, висока, неприпустимо висока). У будь-якому випадку існуючий ризик не повинен перевищувати гранично допустимий для кожної загрози. Перевищення свідчить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків. 15. Управление информационными рисками

Управління інформаційними ризиками - процес виявлення, аналізу та зменшення ризиків інформаційної безпеки, які можуть принести або приносять шкоду інформаційній системі компанії. Завдання управління ризиками включає в себе створення набору заходів (засобів контролю), які дозволяють знизити рівень ризиків до припустимої величини.Організація процесу управління ризиками дозволить виявити і мінімізувати інформаційні ризики і представить ряд переваг компанії:• Підвищення конкурентоспроможності та безпеки бізнесу в агресивному динамічному середовищі ризиків; • Оптимізація витрат на інформаційну безпеку; • Визначеність у тому, наскільки потрібно захищати інформаційні активи; • Визначеність у тому, як краще досягти прийнятного рівня інформаційної безпеки, і який рівень можна вважати прийнятним;• Керівництво зможе приймати правильні стратегічні рішення, беручи до уваги інформацію про актуальні ризиках;• Інтеграція функцій безпеки в усі аспекти обробки інформації в організації.Постановка процесу управління ризиками в кілька етапів:1. Ініціалізація управління ризиками інформаційної безпеки;2. Ідентифікація інформаційних активів та їх цінності;3. Ідентифікація загроз і вразливостей інформаційної безпеки; 4. Оцінка і аналіз ризиків;5. Планування коштів і методів мінімізації інформаційних ризиків;6. Впровадження засобів контролю;7. Моніторинг і контроль інформаційних ризиків.

16. Разработка политики безопасности информации в информационно-телекоммуникационных системах. НД ТЗІ 3.7-003-056.2 Розробка політики безпеки інформації в ІТС