Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с данным руководящим документом.

28. Управление информационными рисками. Постановка задачи

 

Риск – функция вероятности реализации определенной угрозы (использующей некоторые уязвимости) и величины возможного ущерба. Понятие риска связано с другими понятиями – ущерб, угроза, уязвимость.

Управление рисками – процесс, включающий анализ рисков, выбор, реализация и оценка эффективных и экономичных контрмер, проверка, что риски установлены на приемлемом уровне.

Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ. Понятие риска связано с другими понятиями – ущерб, угроза, уязвимость.

Когда возможный ущерб велик, необходимо принимать экономически оправданные меры защиты. Необходима переодическая оценка рисков.

С количественной точки зрания уровень риска является функцией вероятности реализации определенной угрозы, а также величины возможного ущерба.

Т.е. суть мероприятий по управлению рисками состоит в

- оценить размер риска ущерба

- выработать эффективные эконом меры снижения рисков

- убедиться, что риски заключены приемлимых рамках

Управление рисками вкл в себя 2 вида деятельности

- (пере)оценка (измерение) рисков

- выбор эффективного экономич. защитных средств (нейтрализация рисков)

Возможны след последствия

- ликвидация риска

- цменьшение риска

- принятия риска

- переадресация риска

Риски нужно контролировать постоянно, переодически проводя их переоценку.

Постановка задачи оценки рисков позволяет задать требования к методике оценки информационных рисков организации.

Оценка риска может быть выражена как качественно (квазикачественно) — 3/4/5 степенями, так и количественно — вероятностью ожидаемой частоты появления события в заданном интервале времени (месяц/год), а ущерб в денежном эквиваленте.

 

29. Особенности управления рисками на различных этапах жизненного цикла ИС

Управление рисками должно учитываться на каждом из этапов жизненного цикла ИС.

30. Этапы управления рисками

 

Этапы процесса управления рисками:

1. Установка границ анализируемых объектов и уровня детализации их рассмотрения;

2. Выбор методики оценки рисков;

3. Идентификация активов;

4. Анализ угроз и их последствий, определение уязвимостей в защите, оценка возможного ущерба;

5. Оценка рисков;

6. Выбор защитных мер;

7. Реализация и проверка выбранных мер;

8. Оценка остаточного риска.

31. Методика создания проекта ТКС в среде имитационного моделирования OMNET++

 

32. Моделирование взаимодействия элементов ТКС среди имитационного моделирования OMNET++