slide1
Download
Skip this Video
Download Presentation
Основы информационной безопасности

Loading in 2 Seconds...

play fullscreen
1 / 50

Основы информационной безопасности - PowerPoint PPT Presentation


  • 155 Views
  • Uploaded on

Основы информационной безопасности. Лектор: А.С. Лысяк E-mail: accemt@gmail.com http://inforsec.ru/ По материалам лекций Пермякова Р. А. Источники информации. www . fstec . ru - Федеральная служба по техническому и экспортному контролю

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Основы информационной безопасности' - shaine-sanders


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Основы информационной безопасности

Лектор: А.С. Лысяк

E-mail: accemt@gmail.com

http://inforsec.ru/

По материалам лекций Пермякова Р. А.

slide2
Источники информации

www.fstec.ru - Федеральная служба по техническому и экспортному контролю

www.securitylab.ru - Security Lab by positive technologies

www.intit.ru - Интернет-Университет Информационных Технологий

http://wikisec.ru/ - энциклопедию по безопасности информации.

http://lukatsky.blogspot.com/

http://www.tsarev.biz/

http://inforsec.ru/

slide3

Вопросы для зачёта

Вопросы для самостоятельного изучения:http://inforsec.ru/Questions.docx

Лекции:

http://inforsec.ru/technical-security/is-lections

slide5
Основные задачи ЗИ
  • Обеспечение следующих характеристик:
    • Целостность.
    • Доступность.
    • Конфиденциальность.
    • Подотчетность.
    • Аутентичность.
    • Достоверность.

По ГОСТ 133335-4. Методы и средства обеспечения безопасности

slide6
Целостность
  • Актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения.
  • Типы целостности:
    • Статическая (неизменность ИО)
    • Динамическая (корректное выполнение сложных транзакций).
slide7
Доступность

Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. 

slide8
Конфиденциальность

Свойство информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.

slide9
Аутентичность, достоверность, подотчётность

Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Достоверность — свойство соответствия предусмотренному поведению или результату;

Подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;

slide11
Принцип минимальных привилегий

Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.

slide12
Принцип прозрачности

СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

slide13
Принцип превентивности

Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.

slide14
Принцип адекватности

Применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.

slide15
Принцип системного подхода

Заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.

slide16
Принцип непрерывности защиты

Функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.

slide17
Принцип адаптивности

Система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.

slide18
Принцип доказательности
  • Результаты работы СЗИ не должны зависеть от субъекта.
  • Используются:
    • Только известные формальные модели
    • Применение систем аутентификации
    • Сертифицированных элементов
    • Требование сертификации СЗИ в целом.
slide19
Принцип унификации решений
  • Разрабатываемые решения должны быть единообразными в схожих ситуациях.
  • Следствием принципа является использование:
    • Типовых проектов
    • Типовой классификации ресурсов
    • Типовых конфигурации.
slide21
Жизненный цикл СЗИ
  • Обследование объекта защиты, выявление приоритетной задачи защиты.
  • Построение политики безопасности.
  • Выбор элементов системы защиты информации.
  • Инсталляция.
  • Сопровождение.

Проектиро-вание

slide22
Обследование объекта защиты

Определение структуры объекта защиты.

Выявление приоритетной задачи защиты.

slide23
Исследование бизнес-структуры объекта защиты
  • Определение и исследование бизнес-модели объекта защиты.
  • Определение факторов влияния на бизнес, задание метрик для измеримых факторов.
  • Определение целей IT-инфраструктуры (!!!).
  • Определение эталонной модели IT-потоков.
  • Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.
mrpii
Исследование бизнес-структуры объекта защитыМетодология MRPII.
slide26
Бизнес-факторы, влияющие на эффективность
  • Величина внутренних издержек (конфликт стоимости СЗИ).
  • Качество управления собственным активом (конфликт интересов).
  • Качество работы коллектива (конфликт с персоналом).
  • Скорость реакции на внешние факторы.
  • Стратегия и качество ведения самого бизнеса.
  • Выбранная стратегия управления рисками.
slide27

Безопасность

Эффективность

  • Затраты на безопасность
  • Внедрение новых элементов СЗИ
  • Управление жизненным циклом ИС
  • Разграничение доступа
  • Увеличение прибыли
  • Сокращение расходов
  • Накопление знаний
  • Повышение осведомленности
Проблема установления рационального баланса
slide28
Исследование физической защиты объекта
  • Наличие свободного доступа на территорию.
  • Наличие видеонаблюдения.
  • Наличие записей видеонаблюдения и сроки их хранения.
  • Наличие свободного доступа к кабельному хозяйству.
  • Наличие доступа к серверам и рабочим станциям.
slide29
Исследование IT-структуры объекта защиты
  • Обследование аппаратного обеспечения.
  • Обследование программного обеспечения:
    • Выявление приложений, работающих с LAN.
    • Выявление приложений, работающих с WAN.
  • Обследование кабельного хозяйства.
  • Исследование сложившихся IT-потоков.
  • Обследование точек межсетевого взаимодействия:
    • С дружественными (известными) сетями.
    • С недружественными сетями.
slide30
Пример сетевой инфраструктуры
  • Наглядная схема, показывающая все принципы взаимодействия.
slide31
Пример сетевой инфраструктуры
  • Наглядная схема, показывающая все принципы взаимодействия.
slide33
Политика безопасности

формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).

совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)

набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ.

slide35
Структура политики безопасности
  • Утверждённые модели (модель актуальных угроз, модель нарушителя; анализ и управление рисками!).
  • Перечень защищаемых объектов.
  • Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.
  • Перечень используемого ПО и его конфигураций.
  • Концепция информационной безопасности.
  • Набор инструкций, корпоративные приказы и распоряжения.
  • Структура и схема активного сетевого оборудования.
slide36
Организационные аспекты ИБ
  • Административный уровень защиты информации.
  • Базовый уровень безопасности.
  • Процедурный уровень защиты информации.
  • Стандарты и спецификации в области безопасности информационных технологий.
  • Критерии оценки безопасности информационных технологий.
slide37
Уровни абстракции

Законодательный

Административный (приказы и другие действия руководства организаций, связанных с защищаемыми ИС);

Процедурный (меры безопасности, ориентированные на людей);

Программно-технический.

slide38
Концепция информационной безопасности

Цели и задачи СЗИ.

Определение объекта защиты.

Подчиненность отдела защиты информации.

Принципы финансирования.

Метрики ИБ исхема контроля состояния ИС.

Создание CSIRT-группы.

slide39
Метрики ИБ

Принципы:

Цели бизнес-процесса (SLA).

S.M.A.R.T.:

Конкретная

Измеримая

Практически применимая

Значимая

Своевременная

KISS: Keep It Simple Stupid

slide40
Корпоративные приказы
  • О защите информации.
  • О назначении ответственного и/или создании группы защиты информации.
  • Перечень защищаемых объектов (информационных ресурсов).
  • О классификации информации и/или информационных ресурсов.
  • О допуске исполнителей к обработке информации.
slide41
Смежные документы
  • Договор с работниками должен содержать раздел конфиденциальность
  • Договора с контрагентами должны содержать обязательства о защите информации
slide42
Перечень защищаемых объектов(программно-аппаратное обеспечение)
  • Перечень используемого программного и аппаратного обеспечения.
  • Конфигурация активного сетевого оборудования.
  • Конфигурация программного обеспечения, версии и установленные исправления.
slide43
Перечень защищаемых объектов(информационные ресурсы)
  • Перечень типов информационных ресурсов и их пользователей.
  • Перечень кандидатов на присвоение грифа секретности.
  • Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.
slide44
Инструкции

администратора безопасности;

системного администратора;

системного оператора;

пользователя системы;

инструкция по оперативному восстановлению системы.

slide45
Жизненный циклСОИБ (альтернатива)
  • Вывод из
  • эксплуатации
  • Мониторинг и оценка
  • Планирование и организация
  • Приобретение и внедрение
  • Эксплуатация и сопровождение
slide46
Планирование и организация
  • Получение одобрения у руководства
  • Создание рабочей группы
  • Оценка бизнес-драйверов
  • Создание профиля угроз
  • Проведение оценки рисков
  • Разработка архитектурного решения на различных уровнях
    • Организационный
    • Прикладной
    • Сетевой
    • Компонентный
  • Фиксация результатов
slide47
Приобретение и внедрение
  • Распределение ролей и обязанностей в группе
  • Разработка
    • Политик безопасности
    • Процедур
    • Стандартов
    • Базисов
    • Руководств и инструкций
  • Выявление критичных данных на всех этапах жизненного цикла информации
  • Реализация проектов безопасности: Управление рисками, активами, планирование непрерывности бизнеса и д.р.
  • Внедрение решений по каждому проекту
  • Разработка процедур аудита и мониторинга
  • Установка по каждому проекту: метрик, целей, SLA.
slide48
Эксплуатация и сопровождение
  • Соблюдение установленных процедур и базисных уровней в каждом из проектов.
  • Проведение внутреннего и внешнего аудита.
  • Выполнение задач в каждом из проектов.
  • Управление SLA по каждому из проектов.
slide49
Мониторинг и оценка
  • Анализ журналов, результатов аудита, метрик, SLA, по каждому проекту.
  • Оценка достижений целей по каждому из проектов.
  • Проведение ежеквартальных встреч рабочей группы.
  • Совершенствование каждого этапа и возврат на фазу планирования.
ad