1 / 28

Институт системного анализа Российской академии наук (ИСА РАН)

"Проблемы и методы управления безопасностью критических инфраструктур национального масштаба". Институт системного анализа Российской академии наук (ИСА РАН). Кононов Александр Анатольевич, к.т.н. Критические инфраструктуры (КИ).

donatella-freyne
Download Presentation

Институт системного анализа Российской академии наук (ИСА РАН)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба". Институт системного анализа Российской академии наук (ИСА РАН) Кононов Александр Анатольевич, к.т.н.

  2. Критические инфраструктуры (КИ) Инфраструктуры национального масштаба обеспечивающие жизнеспособность общества и государства Энергетические Транспортные Информационно-телекоммуникационные Банковские и финансовые

  3. Общество тотального риска или общество управляемой безопасности?

  4. Существующие способы и недостатки управления безопасностью КИ Способы управления: Нормативное регулирование Ведомственный контроль и контроль надзорных органов Аттестация Сертификация Лицензирование Паспорта безопасности Планы повышения защищенности Чего не хватает: Доверия к безопасности Гарантий безопасности Уверенности в полноте контроля проблем безопасности и в ответственности и способностях руководителей и исполнителей.

  5. Магистральные пути решения проблем безопасности КИ Развитие систем контроля рисков и безопасности Развитие механизмов ответственности Развитие систем гарантий безопасности

  6. Структура системы «РискМенеджер»

  7. Основные задачи, которые предполагается решать с помощью предлагаемых средств: • 1) Оценка рисков КИ, идентификация критически важных объектов (КВО) КИ • 2) Категорирование КВО • 3) Формирование систем требований безопасности (профилей защиты) для каждой категории объектов критической инфраструктуры • 4) Оценка уязвимостей объектов инфраструктуры на основе контроля выполнения требований их безопасности и оценки рисков доверия • 5) Мониторинг, аудит и инспекционный контроль безопасности объектов КВО КИ • 6) Самооценка и самоаудит КВО

  8. Идентификация критически важных и опасных, с точки зрения возможной реализации террористических угроз, объектов транспортной инфраструктуры, производится следующим образом: • 1.1) Информация об объекте вносится в структурированную по административно-территориальному и функциональному признакам БД объектов транспортной инфраструктуры; • 1.2) Строится модель угроз и модели возможных событий рисков. Рассчитывается возможный ущерб по событиям риска, рискообразующие потенциалы и потенциалы опасности по угрозам и объектам; • 1.3) По величине оценки потенциалов опасности делается вывод об отнесении объекта к числу критически важных и опасных.

  9. Информация об объекте вносится в структурированную по административно-территориальному и функциональному признакам БД объектов критической инфраструктуры

  10. Построение моделей угроз и защиты

  11. Потенциалы опасности и рискообразующие потенциалы Потенциал опасности объекта или структуры – это тот максимальный ущерб, который может быть нанесен, если будет нарушена безопасность объекта или структуры. При оценке потенциала опасности вероятность нанесения ущерба не учитывается – считается 100-процентной. Рискообразующий потенциал объекта или структуры – это величина максимального ущерба от возможного нарушения его безопасности, рассчитываемая на основе моделей событий рисков нарушения безопасности, с учетом вероятностей реализации этих событий. Потенциалы опасности и рискообразующие потенциалы определяются также для угроз и уязвимостей.

  12. Построение моделей событий рисков и обоснование значимости угроз. Расчет потенциалов опасности и рискообразующих потенциалов

  13. Идентификация опасных объектов, как структур с наибольшими потенциалами опасности

  14. Проблемы больших систем (инфраструктур): Высокая стоимость построения моделей угроз, моделей защиты; Невозможность контроля. Путь решения проблемы – категорирование

  15. Алгоритм построения категориальной системы

  16. Категорирование объектов транспортной инфраструктуры по степени опасности при реализации террористических угроз проводится на основе заданной шкалы с использованием типовых образцов объектов каждой категории

  17. На объекты рассылаются формы для заполнения их исходными данными (по категориальным признакам) и расчета на их основе возможного ущерба по типовой утвержденной методике

  18. На основе расчетов определяется категория каждого объекта

  19. По каждой категории (подкатегории) объектов формируется система требований безопасности

  20. Оценка уязвимостей объектов транспортной инфраструктуры на основе контроля выполнения требований их безопасности

  21. Оценка рисков доверия. Полная картина состояния безопасности

  22. Обоснование планов обеспечения повышения защищенности объектов критической инфраструктуры

  23. Ведение и хранение Паспортов безопасности объектов в БД

  24. Мониторинг, аудит и инспекционный контроль безопасности объектов КИ (на примере транспортной инфраструктуры)

  25. Самоаудит (самооценка) безопасности – путь решения проблем контроля безопасности КВО в условиях наличия объектов (предприятий) разных форм собственности • Проводится по системе требований для соответствующей категории объектов с помощью ПК «РискМенеджер-Контроль» • Самоаудит безопасности – способ повышения безопасности и культуры безопасности на объектах • Самоаудит безопасности – механизм повышения ответственности • Самоаудит безопасности – конкурентное преимущество в рыночной экономике • Самоаудит безопасности – инновационный механизм внедрения новейших технологий безопасности

  26. Обеспечение безопасности национальной банковской инфраструктуры – решения Банка России (нормативные документы) • Стандарт Банка России СТО БР ИББС-1.0-2006. “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения ”. Принят и введен в действие Распоряжением Банка России 26 января 2006 года № Р-27. - М. Банк России. - 2006 г. • Стандарт Банка России СТО БР ИББС-1.1-2007. “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности”. Принят и введен в действие Распоряжением Банка России от 28 апреля 2007 года № Р-345. - М. Банк России. - 2007 г. • Стандарт Банка России СТО БР ИББС-1.2-2007. “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0”. Принят и введен в действие Распоряжением Банка России от 28 апреля 2007 года № Р-346. - М. Банк России. - 2007 г. • Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0” Приняты и введены в действие Распоряжением Банка России от 28.04.2007 № Р-347. - М. Банк России. - 2007 г. • Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0”. Приняты и введены в действие Распоряжением Банка России от 28.04.2007 № Р-348. - М. Банк России. - 2007 г.

  27. Спасибо за внимание! Контактные данные: • Институт системного анализа РАН • www.isa.ru • www.srisks.ru • avangard@isa.ru • +7 499 135-5043 (тел. + факс)

More Related