Лектор : А. С. Лысяк Сайт : Основы информационной безопасности

Галатенко В. А. Основы информационной безопасности. – М.: Интуит, 2005 П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков. Теоретические основы компьютерной безопасности ( учебное пособие для вузов ). – М.: Радио и связь, 2000 – 192 с. А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. Основы криптографии ( учебное пособие ) – М.: Гелиос АРВ, 2004 – 480 с. Галатенко В. А. Стандарты безопасности информационных технологий – М.: Интуит, Литература

Литература С. Норткатт, М. Купер. и д. р. Анализ типовых нарушений безопасности в сетях. М. Вильямс Дж. Маллери, Дж. Занн и др. Безопасная сеть вашей компании, НТ Пресс, 2007 г.

Источники информации – авторский сайт, посвящённый интересным вопросам ИБ Федеральная служба по техническому и экспортному контролю Security Lab by positive technologies Интернет - Университет Информационных Технологий энциклопедию по безопасности информации

Роль информации и ее защиты

Безопасность ИБ – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

это состояние защищённост и информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Эскиз системы Цель построения системы. Задачи, решаемые системой. Состав системы. Анализ окружения.

Цели функционирования Зачем работает система ? В случае инцидента, что отключить последним ? В случае инцидента, чем можно пожертвовать ? Критерии качества работы системы.

СВТ Компьютеры Программное обеспечение Активное сетевое оборудование Принтера и т. п. Персонал Информационные технологии

В общем случае объект защиты представляет собой « сложную систему сложных систем »

Защита информации

Основные задачи ЗИ Обеспечение следующих характеристик : Целостность Доступность Конфиденциальность Подотчетности ; Аутентичности ; Достоверности. По ГОСТ Методы и средства обеспечения безопасности

Целостность Актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения. Типы целостности : Статическая ( неизменность ИО ) Динамическая ( корректное выполнение сложных транзакций ).

Доступность Состояние информации ( ресурсов автоматизированной информационной системы ), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

Конфиденциальность Свойство информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.

Аутентичность и достоверность Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Достоверность свойство соответствия предусмотренному поведению или результату ;

Виды угроз Угрозы конфиденциальности. Угрозы доступности : техногенные, непреднамеренные ошибки, пользовательская сложность ИС, инсайдеры. Угрозы целостности : фальсификация данных ( в т. ч. инсайдеры ), нарушение атомарности транзакций. Угрозы раскрытия параметров защищенной компьютерной системы : новые угрозы, уязвимости, увеличение рисков.

Треугольник безопасности 2009 год Данные – цель и основной драйвер Эксплоит – уязвимость и механизмы ее использования Доступ – наличие принципиальной возможности доступа к системе Эксплоит Доступ Данные

Треугольник безопасности 2011 год Ресурсы – основная цель и инструмент. Инструменты – методы и средства преодоления защиты. Доступность – наличие принципиальной возможности доступа к системе. Инструменты Доступность Ресурсы

Понятие оптимальной защиты План защиты Реальная СЗИ Реальные угрозы План защиты – то что было определено специалистами Реальная СЗИ – то что было реализовано после стадии управления рисками Реальные угрозы – то что интересно нарушителю.

Жизненный цикл СЗИ Обследование объекта защиты, выявление приоритетной задачи защиты. Построение политики безопасности. Выбор элементов системы защиты информации. Инсталляция. Сопровождение. Проектиро- вание

Обследование объекта защиты Определение структуры объекта защиты. Выявление приоритетной задачи защиты.

Исследование бизнес - структуры объекта защиты Определение и исследование бизнес - модели объекта защиты. Определение факторов влияния на бизнес, задание метрик для измеримых факторов. Определение целей IT- инфраструктуры. Определение эталонной модели IT- потоков. Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.

Бизнес - факторы, влияющие на эффективность Величина внутренних издержек ( конфликт стоимости СЗИ ). Качество управления собственным активом ( конфликт интересов ). Качество работы коллектива ( конфликт с персоналом ). Скорость реакции на внешние факторы. Стратегия и качество ведения самого бизнеса. Выбранная стратеги управления рисками.

Уровни разработки политики безопасности Программно - технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения

Структура политики безопасности Утверждённые модели ( модель актуальных угроз, модель нарушителя ; анализ и управление рисками !). Перечень защищаемых объектов. Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон. Перечень используемого ПО и его конфигураций. Концепция информационной безопасности. Набор инструкций, корпоративные приказы и распоряжения. Структура и схема активного сетевого оборудования.

ПОНЯТИЕ ЗРЕЛОСТИ СОИБ

Уровни зрелости 0- й уровень – уровень отсутствия ИБ. 1- й уровень – уровень частных решений. 2- й уровень – уровень комплексных решений. 3- й уровень – уровень полной интеграции.

0- й уровень информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности ; финансирование отсутствует ; информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений ( парольная защита, разграничение доступа к ресурсам и сервисам ).

1- й уровень Информационная безопасность рассматривается руководством как чисто « техническая » проблема, отсутствует единая программа ( концепция информационной безопасности, политика ) развития СОИБ компании ; Финансирование ведется в рамках общего ИТ - бюджета ; Информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т. е. традиционные средства защиты.

2- й уровень ИБ рассматривается руководством, как комплекс организационных и технических мероприятий, существует понимание важности ИБ для бизнес - процессов, есть утвержденная руководством программа развития СОИБ ; финансирование ведется в рамках отдельного бюджета ; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web- контента, IDS, средства анализа защищенности, SSO ( средства однократной аутентификации ), PKI ( инфраструктура открытых ключей ) и организационные меры ( внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства ).

3- й уровень ИБ является частью корпоративной культуры, назначен CISA ( старший администратор по вопросам обеспечения ИБ ); Финансирование ведется в рамках отдельного бюджета ; ИБ реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT ( группа реагирования на инциденты нарушения информационной безопасности ), SLA ( соглашение об уровне сервиса ).

Обнаруженные уязвимости в 2009 году

Типы уязвимостей

Спасибо за внимание !