«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и.

Презентация:



Advertisements
Похожие презентации
Жизненный цикл ИС период создания и использования информационных систем, начиная с момента возникновения необходимости в данной информационной системы.
Advertisements

Учебный курс Стандартизация и сертификация программного обеспечения Лекция 7 доктор технических наук, профессор, проректор по информатизации, заведующий.
Жизненный цикл ИС – весь период времени существования ИС, начиная от выработки первоначальной концепции и заканчивая потерей необходимости решения соответствующих.
Методы и средства защиты информации в компьютерных системах Пермяков Руслан
Жизненный цикл информационной системы - Понятие 2 - Стадии 3 - Процессы 4 - Модели 6.
Разработка и стандартизация программных средств и информационных технологий Тема:СТАНДАРТЫ, РЕГЛАМЕНТИРУЮЩИЕ ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА ПРОГРАММНЫХ СРЕДСТВ.
Компоненты СМИБ. Модель PDCA, применяемая к процессам СМЗИ.
Информационная безопасность Лекция 3 Административный уровень.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
2 Основным понятием программной инженерии является понятие жизненного цикла ПО. Жизненный цикл ПО (software lifecycle) – это период времени, который начинается.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Направление подготовки: «Информационная безопасность» Степень: бакалавр.
1 Основные этапы: анализ требований; проектирование; кодирование (программирование); тестирование и отладка; эксплуатация и сопровождение. 3.
Жизненный цикл ИС ЖЦ ПО - это непрерывный процесс, который начинается с момента принятия решения о необходимости создания ПО и заканчивается в момент его.
Разработка и внедрение научно-методических подходов и модели создания реестра примерных образовательных программ общего образования с использованием информационно-коммуникационных.
Жизненный цикл программного обеспечения Лекция 4.
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.
Транксрипт:

«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и госструктур" 24 мая 2011 года

Деятельность организации в общем виде

Отражение деятельности организации в информационном мире

Взаимодействие бизнес – среды и информационного мира

Особенности деятельности в бизнес-среде

Универсальная циклическая модель корпоративного управления (по Демингу- Шурхарту )

планиро вание действие выполнение проверка время планиро вание То же, во времени

Иерархия циклических моделей управления

Вопросы, требующие ответа Что такое проект по безопасности? Что такое система безопасности? Что такое улучшение системы безопасности? Как локальный проект по безопасности может улучшить безопасность системы в целом? Каковы критерии оценки уровня безопасности системы в целом, с учетом новых проектов От чего в итоге зависит успешность реализации проекта Как соотнести понятия «реализация» и «жизненный цикл» проекта

Фундаментальные понятия в сфере безопасности Угроза Субъект (агент) угрозы Атака Уязвимость Инцидент Нарушение доступности нарушение целостности нарушение конфиденциальности ущерб события последствия анализ Правонару- шение

Соотношения фундаментальных понятий Угроза х субъект угрозы = атака Атака х инцидент уязвимости = последствия П о с т у л а т ы 1.Атаки на объект защиты и уязвимости систем защиты объекта не связаны и не коррелируются 2.Вероятность атаки практически полностью определяется вероятностью возникновения субъекта угрозы 3. Вероятность возникновения инцидента гораздо, на порядки выше, чем вероятность возникновения атаки 4.Вероятность последствий практически полностью определяется вероятностью возникновения уязвимости и совпадения ее сигнатуры с сигнатурой атаки

о деятельности службы безопасности Цель деятельности любой службы безопасности заключается не сколько в реализации новых проектов по безопасности, сколько в выявлении и устранении уязвимостей в системе защиты, в том числе и в любом реализуемом проекте. Как добиться того, чтобы максимально уменьшить число возникающих уязвимостей?

Чем порождаются уязвимости Неправильным проектированием Неправильной реализацией проекта Отказами техники Текущей деятельностью эксплуатирующего персонала Текущей деятельностью пользователей и функционального персонала Неудовлетворительным сопровождением

Какие уязвимости наиболее опасны? 1). Существующие длительное время 2). Возникающие бесконтрольно, в нарушение регламентов деятельности

Направления борьбы с уязвимостями Качественное сопровождение систем Грамотная эксплуатация Периодический, с частотой 3-5 лет, анализ рисков несоответствия выбранной политики безопасности угрозам системе

Что их сделало такими? Правильно (неправильно) заданные начальные условия приводят к впечатляющим результатам!

Понятие «жизненный цикл» системы В общем случае под термином жизненный цикл системы ( System Life Cycle ) понимается определенная эволюция, период времени и совокупность работ, меняющих состояние системы от появления замысла и начала ее разработки до окончания эксплуатации. Обычно разбивается на отдельные стадии анализ требований, проектирование, реализация (конструирование), верификация и эксплуатация. Стадии ЖЦ системы могут повторяться итерационным образом в связи с постепенным уточнением требований к системе и/или с необходимостью ее адаптации к тем изменениям, которые возникают в предметной области системы.

Процессы обеспечения ЖЦ По стандарту ISO/IEC ЖЦ ИС базируется на трех группах процессов: основные процессы ЖЦ ИС: приобретение, поставка, разработка, эксплуатация, сопровождение. Разработка ИС состоит из трех этапов: анализ, проектирование и реализацию (программирование) вспомогательные процессы, обеспечивающие выполнение основных процессов: документирование, управление конфигурацией, обеспечение качества, верификация, аттестация, оценка, аудит, решение проблем организационные процессы: управление проектами, создание инфраструктуры проекта, определение, оценка и улучшение самого ЖЦ, обучение.

основные этапы жизненного цикла системы Планирование; Анализ исходных требований и разработка спецификаций требований к ИС; Проектирование (спецификация подсистем, функциональных компонентов и способов их взаимодействия в системе); Разработка Испытания на соответствие требованиям и отладка; Внедрение - установка и ввод системы в действие: конфигурирование базы данных; конфигурирование рабочих мест пользователей; обеспечение эксплуатационной документацией; проведение обучения персонала; эксплуатация (использование): локализация проблем и устранение причин их возникновения; модификация ИС в рамках установленного регламента; подготовка предложений по совершенствованию, развитию и модернизации системы. сопровождение ИС - обеспечение штатного процесса эксплуатации системы Вывод из эксплуатации утилизация

Этап эксплуатации превышает по времени все остальные в 5-10 раз На этапе эксплуатации все зависит от качества эксплуатации и сопровождения систем и подсистем Качеством эксплуатации и сопровождения определяется надежность работы системы безопасности, то есть количество возникающих в ней инцидентов уязвимости

Проблемы реализации комплексного подхода Одновременно существующих на объекте систем и подсистем десятки, сотни и тысячи Каждая их этих подсистем имеет свой жизненный цикл Этапы эксплуатации и сопровождения не совпадают или совпадают частично За всем этим нужно следить!

Спасибо за внимание Андрей Петрович Курило, ЦБ РФ