Методы и средства защиты информации в компьютерных системах Пермяков Руслан Анатольевич pra@yandex.ru @pra_nsk.

Презентация:



Advertisements
Похожие презентации
Методы и средства защиты информации в компьютерных системах Пермяков Руслан
Advertisements

Лектор : А. С. Лысяк Сайт : Основы информационной безопасности.
Лектор : А. С. Лысяк По материалам лекций Пермякова Р. А. Основы информационной безопасности.
Лектор : А. С. Лысяк Сайт : Основы информационной безопасности.
ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Проект Информационная безопасность Выполнили студенты ИНБ-41 Малахов А. Тишков С.
О принципах гарантированной защиты информации в сервис- ориентированных системах ЗАО «ИВК», 2008 г. Лекшин Олег Сергеевич, ведущий инженер – специалист.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
Архитектура защиты ГРИД-систем для обработки конфиденциальной информации И.А.Трифаленков Директор по технологиям и решениям.
Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.
«Антивирусные решения» Информационная Безопасность Офиса.
ЗАЩИТА ИНФОРМАЦИИ ПОДГОТОВИЛА
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
ИНФОРМАТИЗАЦИЯ ОБЩЕСТВА И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.
ОБЛАСТИ И ОБЪЕКТЫ ПО ОБЕСПЕЧЕНИЮ ИБ И ЗАЩИТЕ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Транксрипт:

Методы и средства защиты информации в компьютерных системах Пермяков Руслан

Литература Галатенко В.А. Основы информационной безопасности. – М.:Интуит, 2005 А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин, А.В.Черемушкин. Основы криптографии (учебное пособие) – М.: Гелиос АРВ, 2004 – 480 с. Галатенко В.А. Стандарты безопасности информационных технологий – М.:Интуит, Обеспечение информационной безопасности бизнеса. Под редакцией Курило А.П. Альпина паблишерз 2011г Шон Харрис "CISSP All-In-One Exam Guide exam-guide-pdf.html Шон Харрис "CISSP All-In-One Exam Guide exam-guide-pdf.html

Источники информации Архив ежегодных конференций РусКрипто Федеральная служба по техническому и экспортному контролю Security Lab by positive technologies Интернет-Университет Информационных Технологий энциклопедия по безопасности информации.

ЧТО ТАКОЕ ЗАЩИТА ИНФОРМАЦИИ

Защита информации

Основные задачи ЗИ Обеспечение следующих характеристик: Целостность Доступность Конфиденциальность подотчетности; аутентичности; достоверности. По ГОСТ Методы и средства обеспечения безопасности

Подотчётность Подотчётность (англ. accountability) обеспечение идентификации субъекта доступа и регистрации его действий;

Аутентичность аутентичность или подлинность (англ. authenticity) свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Достоверность достоверность (англ. reliability) свойство соответствия предусмотренному поведению или результату;

Треугольник безопасности 2009 год Данные – цель и основной драйвер Эксплоит – уязвимость и механизмы ее использования Доступ – наличие принципиальной возможности доступа к системе Эксплоит Доступ Данные

Треугольник безопасности 2011 год Ресурсы – цель и основной драйвер Инструменты – методы и средства преодоления защиты Доступность – наличие принципиальной возможности доступа к системе Инструменты Доступность Ресурсы

Основные элементы канала источник– субъект, материальный объект или физическое явление, создающие угрозу; среда распространения, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства; Носитель – физическое лицо или материальный объект, в том числе физическое поле, в котором данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Понятие оптимальной защиты План защиты Реальная СЗИ Реальные угрозы План защиты – то что было определено специалистами Реальная СЗИ – то что было реализовано после стадии управления рисками То что интересно нарушителю.

ПОНЯТИЕ ЗРЕЛОСТИ СОИБ © Gartner Group

Уровни зрелости 0-й уровень – уровень отсутствия ИБ 1-й уровень – частных решений. 2-й уровень – уровень комплексных решений 3-й уровень – уровень полной интеграции

0-й уровень информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности; финансирование отсутствует; информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция информационной безопасности, политика) развития СОИБ компании; финансирование ведется в рамках общего ИТ-бюджета; информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для бизнес- процессов, есть утвержденная руководством программа развития СОИБ; финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень ИБ является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения ИБ); финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).