1 / 38

Основы информационной безопасности

Основы информационной безопасности. Лекция 1. Основы ИБ и принципы построения СОИБ. Лектор: А.С. Лысяк E-mail: accemt@gmail.com http://inforsec.ru/ По материалам лекций Пермякова Р. А. Литература. Галатенко В.А. Основы информационной безопасности. – М.:Интуит , 2005

barid
Download Presentation

Основы информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Основы информационной безопасности Лекция 1. Основы ИБ и принципы построения СОИБ. Лектор: А.С. Лысяк E-mail: accemt@gmail.com http://inforsec.ru/ По материалам лекций Пермякова Р. А.

  2. Литература • Галатенко В.А. Основы информационной безопасности. – М.:Интуит, 2005 • Галатенко В.А. Стандарты безопасности информационных технологий – М.:Интуит, 2006. • http://inforsec.ru/ • П.Н.Девянин, О.О.Михальский, Д.И.Правиков, А.Ю.Щербаков. Теоретические основы компьютерной безопасности (учебное пособие для вузов). – М.:Радио и связь, 2000 – 192 с. • А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин, А.В.Черемушкин. Основы криптографии (учебное пособие) – М.: Гелиос АРВ, 2004 – 480 с.

  3. Литература С. Норткатт, М.Купер. и д.р. Анализ типовых нарушений безопасности в сетях. М. Вильямс. 2002 С. Норткатт, М.Купер. и д.р. Анализ типовых нарушений безопасности в сетях. М. Вильямс. 2002 Дж. Маллери, Дж.Занн и др. Безопасная сеть вашей компании, НТ Пресс , 2007 г.

  4. Источники информации www.fstec.ru - Федеральная служба по техническому и экспортному контролю www.securitylab.ru - Security Lab by positive technologies www.intuit.ru - Интернет-Университет Информационных Технологий http://wikisec.ru/ - энциклопедию по безопасности информации. http://lukatsky.blogspot.com/ http://www.tsarev.biz/

  5. Роль информации и ее защиты

  6. Безопасность ИБ – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

  7. Безопасность информации это состояние защищённости информационной среды,  защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

  8. Эскиз системы • Цель построения системы. • Задачи, решаемые системой. • Состав системы. • Анализ окружения.

  9. Цели функционирования • Зачем работает система? • В случае инцидента, что отключить последним? • В случае инцидента, чем можно пожертвовать? • Критерии качества работы системы.

  10. Автоматизированная система • СВТ • Компьютеры • Программное обеспечение • Активное сетевое оборудование • Принтера и т.п. • Персонал • Информационные технологии

  11. Автоматизированная система В общем случае объект защиты представляет собой «сложную систему сложных систем»

  12. Особенности сложных систем Наиболее вероятный отклик на единичное воздействие – хаотический Обладает новыми свойствами, по сравнению с совокупностью элементов Отклик на воздействие не является линейным

  13. Основные свойства безопасности • Невозможно добиться абсолютной безопасности • Невозможно измерить уровень безопасности • Наступление рискового события в общем случае предотвратить невозможно • При любом вмешательстве в систему в первую очередь страдает безопасность

  14. Защита информации

  15. Основные задачи ЗИ • Обеспечение следующих характеристик: • Целостность • Доступность • Конфиденциальность • Подотчетности; • Аутентичности; • Достоверности. По ГОСТ 133335-4. Методы и средства обеспечения безопасности

  16. Целостность • Актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения. • Типы целостности: • Статическая (неизменность ИО) • Динамическая (корректное выполнение сложных транзакций).

  17. Доступность Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. 

  18. Конфиденциальность Свойство информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.

  19. Аутентичность и достоверность Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Достоверность — свойство соответствия предусмотренному поведению или результату;

  20. Виды угроз • Угрозы конфиденциальности. • Угрозы доступности: техногенные, непреднамеренные ошибки, пользовательская сложность ИС, инсайдеры. • Угрозы целостности: фальсификация данных (в т.ч. инсайдеры), нарушение атомарности транзакций. • Угрозы раскрытия параметров защищенной компьютерной системы: новые угрозы, уязвимости, увеличение рисков.

  21. Треугольник безопасности 2009 год Эксплоит Доступ Данные Данные – цель и основной драйвер Эксплоит – уязвимость и механизмы ее использования Доступ – наличие принципиальной возможности доступа к системе

  22. Треугольник безопасности 2013 год Инструменты Доступность Ресурсы Ресурсы – основная цель и инструмент. Инструменты – методы и средства преодоления защиты. Доступность – наличие принципиальной возможности доступа к системе.

  23. Понятие оптимальной защиты План защиты – то что было определено специалистами Реальная СЗИ – то что было реализовано после стадии управления рисками Реальные угрозы – то что интересно нарушителю.

  24. Жизненный цикл СЗИ • Обследование объекта защиты, выявление приоритетной задачи защиты. • Построение политики безопасности. • Выбор элементов системы защиты информации. • Инсталляция. • Сопровождение. Проектиро-вание

  25. Обследование объекта защиты Определение структуры объекта защиты. Выявление приоритетной задачи защиты.

  26. Исследование бизнес-структуры объекта защиты • Определение и исследование бизнес-модели объекта защиты. • Определение факторов влияния на бизнес, задание метрик для измеримых факторов. • Определение целей IT-инфраструктуры. • Определение эталонной модели IT-потоков. • Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.

  27. Бизнес-факторы, влияющие на эффективность • Величина внутренних издержек (конфликт стоимости СЗИ). • Качество управления собственным активом (конфликт интересов). • Качество работы коллектива (конфликт с персоналом). • Скорость реакции на внешние факторы. • Стратегия и качество ведения самого бизнеса. • Выбранная стратегия управления рисками.

  28. Уровни разработки политики безопасности

  29. Структура политики безопасности • Утверждённые модели (модель актуальных угроз, модель нарушителя; анализ и управление рисками!). • Перечень защищаемых объектов. • Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон. • Перечень используемого ПО и его конфигураций. • Концепция информационной безопасности. • Набор инструкций, корпоративные приказы и распоряжения. • Структура и схема активного сетевого оборудования.

  30. ПОНЯТИЕ ЗРЕЛОСТИ СОИБ

  31. Уровни зрелости • 0-й уровень – уровень отсутствия ИБ. • 1-й уровень – уровень частных решений. • 2-й уровень – уровень комплексных решений. • 3-й уровень – уровень полной интеграции.

  32. 0-й уровень • информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности; • финансирование отсутствует; • информационная безопасность реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

  33. 1-й уровень Информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция информационной безопасности, политика) развития СОИБ компании; Финансирование ведется в рамках общего ИТ-бюджета; Информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты.

  34. 2-й уровень ИБ рассматривается руководством, как комплекс организационных и технических мероприятий, существует понимание важности ИБ для бизнес-процессов, есть утвержденная руководством программа развития СОИБ; финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

  35. 3-й уровень • ИБ является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения ИБ); • Финансирование ведется в рамках отдельного бюджета; • ИБ реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

  36. Обнаруженные уязвимости в 2009 году

  37. Типы уязвимостей

  38. Спасибо за внимание!

More Related