Основы информационной безопасности
This presentation is the property of its rightful owner.
Sponsored Links
1 / 50

Основы информационной безопасности PowerPoint PPT Presentation


  • 84 Views
  • Uploaded on
  • Presentation posted in: General

Основы информационной безопасности. Лектор: А.С. Лысяк E-mail: [email protected] http://inforsec.ru/ По материалам лекций Пермякова Р. А. Источники информации. www . fstec . ru - Федеральная служба по техническому и экспортному контролю

Download Presentation

Основы информационной безопасности

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


6914994

Основы информационной безопасности

Лектор: А.С. Лысяк

E-mail: [email protected]

http://inforsec.ru/

По материалам лекций Пермякова Р. А.


6914994

Источники информации

www.fstec.ru - Федеральная служба по техническому и экспортному контролю

www.securitylab.ru - Security Lab by positive technologies

www.intit.ru - Интернет-Университет Информационных Технологий

http://wikisec.ru/ - энциклопедию по безопасности информации.

http://lukatsky.blogspot.com/

http://www.tsarev.biz/

http://inforsec.ru/


6914994

Вопросы для зачёта

Вопросы для самостоятельного изучения:http://inforsec.ru/Questions.docx

Лекции:

http://inforsec.ru/technical-security/is-lections


6914994

Защита информации


6914994

Основные задачи ЗИ

  • Обеспечение следующих характеристик:

    • Целостность.

    • Доступность.

    • Конфиденциальность.

    • Подотчетность.

    • Аутентичность.

    • Достоверность.

      По ГОСТ 133335-4. Методы и средства обеспечения безопасности


6914994

Целостность

  • Актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения.

  • Типы целостности:

    • Статическая (неизменность ИО)

    • Динамическая (корректное выполнение сложных транзакций).


6914994

Доступность

Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. 


6914994

Конфиденциальность

Свойство информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.


6914994

Аутентичность, достоверность, подотчётность

Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Достоверность — свойство соответствия предусмотренному поведению или результату;

Подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;


6914994

Принципы защиты информации


6914994

Принцип минимальных привилегий

Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.


6914994

Принцип прозрачности

СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.


6914994

Принцип превентивности

Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.


6914994

Принцип адекватности

Применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.


6914994

Принцип системного подхода

Заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.


6914994

Принцип непрерывности защиты

Функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.


6914994

Принцип адаптивности

Система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.


6914994

Принцип доказательности

  • Результаты работы СЗИ не должны зависеть от субъекта.

  • Используются:

    • Только известные формальные модели

    • Применение систем аутентификации

    • Сертифицированных элементов

    • Требование сертификации СЗИ в целом.


6914994

Принцип унификации решений

  • Разрабатываемые решения должны быть единообразными в схожих ситуациях.

  • Следствием принципа является использование:

    • Типовых проектов

    • Типовой классификации ресурсов

    • Типовых конфигурации.


6914994

Жизненный цикл СОИБ


6914994

Жизненный цикл СЗИ

  • Обследование объекта защиты, выявление приоритетной задачи защиты.

  • Построение политики безопасности.

  • Выбор элементов системы защиты информации.

  • Инсталляция.

  • Сопровождение.

Проектиро-вание


6914994

Обследование объекта защиты

Определение структуры объекта защиты.

Выявление приоритетной задачи защиты.


6914994

Исследование бизнес-структуры объекта защиты

  • Определение и исследование бизнес-модели объекта защиты.

  • Определение факторов влияния на бизнес, задание метрик для измеримых факторов.

  • Определение целей IT-инфраструктуры (!!!).

  • Определение эталонной модели IT-потоков.

  • Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.


6914994

Исследование бизнес-структуры объекта защиты


Mrpii

Исследование бизнес-структуры объекта защитыМетодология MRPII.


6914994

Бизнес-факторы, влияющие на эффективность

  • Величина внутренних издержек (конфликт стоимости СЗИ).

  • Качество управления собственным активом (конфликт интересов).

  • Качество работы коллектива (конфликт с персоналом).

  • Скорость реакции на внешние факторы.

  • Стратегия и качество ведения самого бизнеса.

  • Выбранная стратегия управления рисками.


6914994

Безопасность

Эффективность

  • Затраты на безопасность

  • Внедрение новых элементов СЗИ

  • Управление жизненным циклом ИС

  • Разграничение доступа

  • Увеличение прибыли

  • Сокращение расходов

  • Накопление знаний

  • Повышение осведомленности

Проблема установления рационального баланса


6914994

Исследование физической защиты объекта

  • Наличие свободного доступа на территорию.

  • Наличие видеонаблюдения.

  • Наличие записей видеонаблюдения и сроки их хранения.

  • Наличие свободного доступа к кабельному хозяйству.

  • Наличие доступа к серверам и рабочим станциям.


6914994

Исследование IT-структуры объекта защиты

  • Обследование аппаратного обеспечения.

  • Обследование программного обеспечения:

    • Выявление приложений, работающих с LAN.

    • Выявление приложений, работающих с WAN.

  • Обследование кабельного хозяйства.

  • Исследование сложившихся IT-потоков.

  • Обследование точек межсетевого взаимодействия:

    • С дружественными (известными) сетями.

    • С недружественными сетями.


6914994

Пример сетевой инфраструктуры

  • Наглядная схема, показывающая все принципы взаимодействия.


6914994

Пример сетевой инфраструктуры

  • Наглядная схема, показывающая все принципы взаимодействия.


6914994

Пример сетевой инфраструктуры


6914994

Политика безопасности

формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).

совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)

набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ.


6914994

Уровни разработки политики безопасности


6914994

Структура политики безопасности

  • Утверждённые модели (модель актуальных угроз, модель нарушителя; анализ и управление рисками!).

  • Перечень защищаемых объектов.

  • Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.

  • Перечень используемого ПО и его конфигураций.

  • Концепция информационной безопасности.

  • Набор инструкций, корпоративные приказы и распоряжения.

  • Структура и схема активного сетевого оборудования.


6914994

Организационные аспекты ИБ

  • Административный уровень защиты информации.

  • Базовый уровень безопасности.

  • Процедурный уровень защиты информации.

  • Стандарты и спецификации в области безопасности информационных технологий.

  • Критерии оценки безопасности информационных технологий.


6914994

Уровни абстракции

Законодательный

Административный (приказы и другие действия руководства организаций, связанных с защищаемыми ИС);

Процедурный (меры безопасности, ориентированные на людей);

Программно-технический.


6914994

Концепция информационной безопасности

Цели и задачи СЗИ.

Определение объекта защиты.

Подчиненность отдела защиты информации.

Принципы финансирования.

Метрики ИБ исхема контроля состояния ИС.

Создание CSIRT-группы.


6914994

Метрики ИБ

Принципы:

Цели бизнес-процесса (SLA).

S.M.A.R.T.:

Конкретная

Измеримая

Практически применимая

Значимая

Своевременная

KISS: Keep It Simple Stupid


6914994

Корпоративные приказы

  • О защите информации.

  • О назначении ответственного и/или создании группы защиты информации.

  • Перечень защищаемых объектов (информационных ресурсов).

  • О классификации информации и/или информационных ресурсов.

  • О допуске исполнителей к обработке информации.


6914994

Смежные документы

  • Договор с работниками должен содержать раздел конфиденциальность

  • Договора с контрагентами должны содержать обязательства о защите информации


6914994

Перечень защищаемых объектов(программно-аппаратное обеспечение)

  • Перечень используемого программного и аппаратного обеспечения.

  • Конфигурация активного сетевого оборудования.

  • Конфигурация программного обеспечения, версии и установленные исправления.


6914994

Перечень защищаемых объектов(информационные ресурсы)

  • Перечень типов информационных ресурсов и их пользователей.

  • Перечень кандидатов на присвоение грифа секретности.

  • Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.


6914994

Инструкции

администратора безопасности;

системного администратора;

системного оператора;

пользователя системы;

инструкция по оперативному восстановлению системы.


6914994

Жизненный циклСОИБ (альтернатива)

  • Вывод из

  • эксплуатации

  • Мониторинг и оценка

  • Планирование и организация

  • Приобретение и внедрение

  • Эксплуатация и сопровождение


6914994

Планирование и организация

  • Получение одобрения у руководства

  • Создание рабочей группы

  • Оценка бизнес-драйверов

  • Создание профиля угроз

  • Проведение оценки рисков

  • Разработка архитектурного решения на различных уровнях

    • Организационный

    • Прикладной

    • Сетевой

    • Компонентный

  • Фиксация результатов


6914994

Приобретение и внедрение

  • Распределение ролей и обязанностей в группе

  • Разработка

    • Политик безопасности

    • Процедур

    • Стандартов

    • Базисов

    • Руководств и инструкций

  • Выявление критичных данных на всех этапах жизненного цикла информации

  • Реализация проектов безопасности: Управление рисками, активами, планирование непрерывности бизнеса и д.р.

  • Внедрение решений по каждому проекту

  • Разработка процедур аудита и мониторинга

  • Установка по каждому проекту: метрик, целей, SLA.


6914994

Эксплуатация и сопровождение

  • Соблюдение установленных процедур и базисных уровней в каждом из проектов.

  • Проведение внутреннего и внешнего аудита.

  • Выполнение задач в каждом из проектов.

  • Управление SLA по каждому из проектов.


6914994

Мониторинг и оценка

  • Анализ журналов, результатов аудита, метрик, SLA, по каждому проекту.

  • Оценка достижений целей по каждому из проектов.

  • Проведение ежеквартальных встреч рабочей группы.

  • Совершенствование каждого этапа и возврат на фазу планирования.


6914994

Спасибо за внимание!


  • Login