Информационная безопасность коммерческого предприятия Бречка Денис Михайлович, канд. тех. наук, доцент кафедры кибернетики ОмГУ им. Ф.М. Достоевского.

Презентация:



Advertisements
Похожие презентации
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Advertisements

ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.
Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.
Организационное обеспечение информационной безопасности Ю. А. Смолий.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Информационная безопасность на предприятии Руководитель программы Д.А. Полторецкий НП ОДПО «Институт направленного профессионального образования»
Основные понятия Законодательство в сфере защиты информации.
«ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ» ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ СЛУЖБОЙ ЗАЩИТЫ ИНФОРМЦИИ Преподаватель: Пономаренко Геннадий Владимирович.
Угрозы безопасности для Информационной Системы Высшего Учебного Заведения Автор: Лунгу Максим, студент V курса, гр. CIB-213 Молдавская Экономическая Академия.
Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах.
СПС КонсультантПлюс Информационная безопасность Правовые меры защиты информации Демкина Н.П., преподаватель информатики филиал ДИНО университета.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Управление делами Президента Российской Федерации ФГУП «Предприятие по поставкам продукции» Управление телекоммуникационных систем 1 Законодательная и.
Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.
Презентация на тему: «Угрозы безопасности в информационной сфере. Правовая защита от угроз воздействия информации на личность, общество, государство».
Принципы создания систем информационной безопасности: 1.Системный подход к построению системы защиты. 2.Принцип непрерывного развития системы. 3.Разделение.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
Презентация на тему : Правовые основы информационной безопасности РФ ПОДГОТОВИЛ СТУДЕНТ ГРУППЫ 23831/2: КАРНАУХОВ АРСЕНИЙ.
Лекция 1 Информационная безопасность: основные понятия и определения.
Транксрипт:

Информационная безопасность коммерческого предприятия Бречка Денис Михайлович, канд. тех. наук, доцент кафедры кибернетики ОмГУ им. Ф.М. Достоевского

Основные вопросы Зачем защищать информацию? От чего защищать информацию? Как защищать информацию? Сколько средств выделять на защиту информации? Зачем проводить аудит информационной безопасности?

Зачем защищать информацию? 1. Некоторые виды информации необходимо защищать согласно законам РФ. 2. Информационные атаки могут приводить к финансовому ущербу и приносить вред репутации компании.

Последствия кибератак По результатам исследования компаний «Лаборатория Касперского» и «B2B International» ( )

Средний ущерб от одной кибератаки По результатам исследования компаний «Лаборатория Касперского» и «B2B International» ( )

От чего защищать информацию? Аспекты информационной безопасности Доступность ЦелостностьКонфиденциальность

Угрозы доступности DoS-атака (Denial of Service, отказ в обслуживании). Атака СМИ «Новая газета» 31 марта 2013 Атака компании «Spamhouse» 18 марта 2013 Серия атак банков России 1-3 октября 2013 (Сбербанк, Альфа-банк, ЦБ РФ, Газпромбанк)

Угрозы целостности Искажение информации Подмена информации Угрозы конфиденциальности Похищение конфиденциальной информации Распространение конфиденциальной информации

Типы угроз Внешние угрозы несанкционированное проникновение на объект защиты; несанкционированный дос туп к носителям информации и каналам связи с целью хищения, искажения, уничтожения, блокирования информации; негативные воздействия недобросовестных конкурентов; сбор информации, шантаж, угрозы физического воздействия и др… Внутренние угрозы нарушения правил и процедур внутренней безопасности; неавторизованный поиск ( просмотр, изменение, уничтожение) конфиденциальных данных; подбор паролей к учетным записям, установка пользователями внутри сети троянцев, руткитов и других вредоносных программ; целенаправленный «слив» информации на внешние накопители…

Как защищать информацию? 1. Законодательный уровень 2. Организационный уровень 3. Административный уровень 4. Программный уровень 5. Аппаратный уровень

Законодательный уровень Доктрина информационной безопасности Российской Федерации; Указ Президента РФ от 6 марта 1997 г. 188 «Об утверждении перечня сведений конфиденциального характера»; Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ; Закон Российской Федерации «О связи» от 7 июля 2003 г. N 126- ФЗ; Постановление Правительства Российской Федерации «О лицензировании отдельных видов деятельности» от 4 мая 2011 г. N 99-ФЗ; Закон Российской Федерации «О государственной тайне» от 21 июля 1993 г. N 5485-I; ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении». …

Организационный уровень Организация работы с персоналом; Организация внутриобъектного и пропускного режимов и охраны; Организация работы с носителями сведений; Комплексное планирование мероприятий по защите информации; Организация аналитической работы и контроля.

Административный уровень Политика безопасности - совокупность руководящих документов, которые регулируют управление, защиту и распределение информации.

Программный уровень средства архивации данных; антивирусные программы; криптографические средства; средства идентификации и аутентификации пользователей; средства управления доступом; средства протоколирования и аудита.

Аппаратный уровень Маршрутизаторы Коммутаторы Брэндмауэры …

Сколько средств выделять на защиту информации? Количество средств, выделенных на защиту информации, не должно превышать величину возможного ущерба при нарушении информационной безопасности. Риск – вероятность понести материальный ущерб при нарушении информационной безопасности.

Методика CRAMM

Оценка риска R=P реал. x U P реал. = P угр. x P уязв.

Критерии оценки ресурсов Ущерб для репутации организации; Безопасность персонала; Разглашение персональных сведений; Разглашение коммерческих сведений; Неприятности со стороны правоохранительных органов; Финансовые потери; Невозможность нормальной работы организации.

Зачем проводить аудит информационной безопасности? Насколько адекватны реализованные в АС механизмы безопасности существующим рискам? Можно ли доверять этой АС обработку (хранение, передачу) конфиденциальной информации? Имеются ли в текущей конфигурации АС ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Как оценить уровень защищенности АС и как определить является ли он достаточным в данной среде функционирования?

Методика проведения аудита Изучение исходных данных; Оценка рисков; Анализ механизмов безопасности организационного и административного уровня; Анализ настроек программного и аппаратного обеспечения; Сканирование сетевых ресурсов «изнутри» и «снаружи».

Информационная безопасность коммерческого предприятия Спасибо за внимание! Бречка Денис Михайлович Тел.: