Технологии и продукты Microsoft в обеспечении ИБ Лекция 2. Моделирование угроз ИБ: различные подходы.

Презентация:



Advertisements
Похожие презентации
Создание безопасных Веб-приложений Алексей Кирсанов ведущий разработчик компании «Битрикс»
Advertisements

Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности.
Технологии и продукты Microsoft в обеспечении ИБ Лекция 1. Введение.
Популярные пароли 1. password qwerty 5. abc monkey letmein 9. trustno1 10. dragon 11. baseball
Кейс-стади: управление рисками в мире цифровых зависимостей Александра Савельева, ГУ-ВШЭ.
Система управления информационной безопасности Виктор Сердюк, к.т.н. Генеральный директор ЗАО «ДиалогНаука» 01 февраля 2008 года.
ИКАО Семинар-практикум по безопасности полетов на аэродроме Алма-Ата, Казахстан – 18 – 22 ноября 2002 года ОПРЕДЕЛЕНИЯ.
Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.
Модели оценки стоимости защищаемых ресурсов предприятия Владимирский государственный университет Кафедра информатики и защиты информации Файман О.И., Кузьмина.
«ГАЛАКТИКА ЕАМ». Эффективное управление промышленными активами ГАЛАКТИКА ЕАМ Выбор стратегии эксплуатации Возможные цели проекта toro.galaktika.ru Достижение.
Построение СЗИ Построение политики безопасности. Структура политики безопасности Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым.
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Категорирование уровней информационной безопасности Минитаева А.М. кандидат технических наук, доцент Российского государственного социального университета.
ЕДИНАЯ ГОСУДАРСТВЕННАЯ СИСТЕМА ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ АВАРИЙНО-СПАСАТЕЛЬНАЯ СЛУЖБА , г. Москва, ул. Ключевая, д. 24, корп.
Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.
ПРЕЗЕНТАЦИЯ по дисциплине Управление рисками На тему: « Схемы переноса финансовых рисков: диверсификация, страхование, хеджирование » Подготовила: ст.гр.
«Антивирусные решения» Информационная Безопасность Офиса.
Транксрипт:

Технологии и продукты Microsoft в обеспечении ИБ Лекция 2. Моделирование угроз ИБ: различные подходы

Высшая школа экономики Цели Рассмотреть методы и инструменты анализа и контроля информационных рисков Изучить преимущества и недостатки Количественная оценка соотношения потерь от угроз безопасности и затрат на создание системы защиты Провести сравнительный анализ подходов к распознаванию угроз с использованием различных моделей: CIA, Гексада Паркера, 5A, STRIDE Обосновать выбор модели STRIDE как основы для изложения материалов курса

Высшая школа экономики Оценка рисков безопасности Оценка может осуществляться на основе количественных и качественных шкал Примерами методик оценки рисков являются NIST-800, OCTAVE, CRAMM, Методика оценки РС БР ИББС – 2.3 (проект) и т.д. Методика предполагает разработку модели угроз для информационных активов, определенных в рамках проекта

Высшая школа экономики Качественная шкала оценки ущерба 1. Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании 2. Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании 3. Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании 4. Большой ущерб Вызывает большие потери материальных активов или наносит большой урон репутации компании 5. Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке

Высшая школа экономики Качественная оценка вероятности проведения атаки 1. Очень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности [0, 0.25) 2. Низкая Вероятность проведения атаки достаточно низкая. Уровень соответствует числовому интервалу вероятности [0.25, 0.5) 3. Средняя Вероятность проведения атаки приблизительно равна 0,5 4. Высокая Атака, скорее всего, будет проведена. Уровень соответствует числовому интервалу вероятности (0.5, 0.75] 5. Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

Высшая школа экономики Пример таблицы определения уровня риска информационной безопасности Вероятность атаки Ущерб Очень низкая НизкаяСредняяВысокаяОчень высокая Малый ущерб Низкий риск Низкий риск Низкий риск Средний риск Средний риск Умеренный ущерб Низкий риск Низкий риск Средний риск Средний риск Высокий риск Средний ущерб Низкий риск Средний риск Средний риск Высокий риск Высокий риск Большой ущерб Средний риск Средний риск Высокий риск Высокий риск Высокий риск Критический ущерб Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

Высшая школа экономики Определение допустимого уровня риска Вероятность атаки Ущерб Очень низкая НизкаяСредняяВысокаяОчень высокая Малый ущерб Допусти- мый риск Умеренный ущерб Допусти- мый риск Недопусти- мый риск Средний ущерб Допусти- мый риск Недопусти- мый риск Большой ущерб Допусти- мый риск Недопусти- мый риск Критический ущерб Средний риск Недопусти- мый риск

Высшая школа экономики Количественная оценка рисков Количественная шкала оценки вероятности проведения атаки Вероятность проведения атаки измеряется от 0 до 1 Количественная шкала оценки уровня ущерба Ущерб измеряется в финансовом эквиваленте (в денежном выражении) РИСК = Вероятность угрозы X Ущерб

Высшая школа экономики Анализ рисков Определение приемлемого уровня риска Выбор защитных мер, позволяющих минимизировать риски до приемлемого уровня Варианты управления рисками безопасности уменьшение риска за счёт использования дополнительных организационных и технических средств защиты уклонение от риска путём изменения архитектуры или схемы информационных потоков АС изменение характера риска, например, в результате принятия мер по страхованию принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС

Высшая школа экономики кита информационной безопасности Конфиденциальность 1 Целостность 2 Доступность 3 2

Высшая школа экономики Гексада Паркера Конфиденциальность 1 Целостность 2 Доступность 3 Управляемость 4 Подлинность 3 Полезность 6 5 2

Высшая школа экономики A5A Authentication (аутентификация: кто ты?) Authorization (авторизация: что тебе можно делать?) Availability (доступность: можно ли получить работать с данными?) Authenticity (подлинность: не повреждены ли данные злоумышленником?) Admissibility (допустимость: являются ли данные достоверными, актуальными и полезными?)

Высшая школа экономики Модель угроз информационной безопасности STRIDE Spoofing Притворство Tampering Изменение Repudiation Отказ от ответственности Information Disclosure Утечка данных Denial of Service Отказ в обслуживании Elevation of Privilege Захват привилегий

Высшая школа экономики Использованные источники Сердюк В.А. Аудит информационной безопасности – основа эффективной защиты предприятия // "BYTE/Россия", (92), стр Медведев И. Моделирование угроз безопасности // Software Engineering Conference (Russia) Path to Competitive Advantage, SEC(R) 200 Schneier B. Updating the Traditional Security Model //Schneier on security. Available at: pdating_the_tr.html pdating_the_tr.html Parker D. Fighting Computer Crime. New York, NY: John Wiley & Sons, 1998

Спасибо за внимание!