Лекция 4. Метрики и нормативно-правовое поле ИБ.

Лектор: А.С. ЛысякE-mail: accemt@gmail.comЛекции: http://inforsec.ru/

По материалам лекций Пермякова Р. А.

Основы информационной безопасности

Проактивный контроль ИБ

Сергей ГордейчикPositive Technologies

Что такое «проактивность»?

Антивирус новой модели?

«Мощная» политика безопасности?

Серьезный анализ рисков?

Аудит у «солидной конторы»?

Пентест «настоящих хакеров»?

Анализ рисков?

Классическая модель: использование статистики

ALE = SLA x ARO. ARO – частота (в год)

Проактивность, с задержкой в год?

Ситуация

Отсутствие «революций» в технических вопросах

Все знают, что (не)возможно.Большинство защитных механизмов уже

реализовано и внедрено.Что остается? Эффективное использование

существующих средств:

Оценка эффективности

Корреляция эффективности с принятыми мерами

Метрики безопасности

Однозначно измеряются, без «экспертного мнения»

Доступны для расчета и анализа (предпочтительно автоматически)

Имеют количественное выражение (не "высокий", "средний", "низкий")

Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"

Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")

Примеры метрикПрактический любой ИТ и ИБ процесс

можно оценивать с помощью метрикМежсетевое экранирование

Изменение конфигураций, небезопасные приложения, доступные службы

Повышение осведомленности% обученных, заходы на сайты, %

нарушающих парольную политикуСоответствие требованиям (compliance)

% соответствия стандартам, управляемость сети, время изменения уровня соответствия

Повод для гордости

Количество «заблокированных вирусов»Количество «отраженных сетевых атак»Количество отфильтрованного СПАМаИЛИПроцент узлов с обновляемыми

антивирусными базамиОтношение количества вирусов в

исходящей и входящей почте

Источники метрик

Антивирусные/антиспам системыСистемы класса SEIM/IDSРучной сбор (системы управления

проектами, контроля трудозатрат)Результаты аудитовСистемы управления сетью

(инвентаризация)Система контроля измененийСистемы мониторинга и управления

уязвимостямиСистемы контроля соответствия

стандартам (Compliance management)

Чем я хуже?

Оценка динамики показателейСравнение с мировой практикой

Где брать метрики?NIST Special publicationCenter of Internet Security http://www.metricscenter.org/ http://www.securitymetrics.org

Резюме

Метрики безопасности позволяют оценить практический любой процесс ИБ.

Метрики позволяют общается с бизнесом в привычных терминах управления проектами.

Метрики позволяют оценивать динамику процессов и проводить сравнение с общемировой практикой.

Большое количество метрик может автоматизировано оцениваться с системами класса Compliance Management.

Нормативно-правовой уровень ИБ

Организационная структура

Структура законодательных мер

Законодательный уровень

мерами ограничительной направленности

УК КОАП

направляющие и координирующие меры

Руководящие документы ФСТЭК

Регламентирующие документы ФСБ

Более 150 законов и подзаконных актов

Правовое полеКонституция РФ •Право на доступ к информации (ст. 24,29,41,42)

•Право на защиту данных (ст.23,24)

ГК РФ •Банковская, служебная, коммерческая тайна

Доктрина ИБ •совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации

УК РФ •Статьи 138,272,273,274

ФЗ № 5485-1 •О государственной тайне от 21 июля 1993 года в редакции от 18.07.2009

ФЗ № 149 •Об информации, информационных технологиях и о защите информации от 27 июля 2006 года

Конституция РФ

Право на доступПраво на защиту данных

Статья 24 Гарантия права

ознакомления с собранными данными, если это не тайна (государственная, следствия)

Статья 29Гарантия свободы мысли и

словаСтатья 41

Гарантия доступности информации об обстоятельствах, создающих угрозу для жизни и здоровья людей.

Статья 23Гарантия тайны

коммуникаций гражданина

Статья 24 Гарантия

получения согласия на обработку и хранение

Государственные контролирующие органы РФ

Комитет Государственной думы по безопасности;

Совет безопасности России

Федеральная служба по техническому и экспортному контролю (ФСТЭК)

Федеральная служба безопасности Российской Федерации (ФСБ России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Контролирующие органы

ФСБ ФСТЭК Обеспечение

безопасности информации криптографическими методами

Лицензирующий орган в области защиты информации криптографическими методами

Обеспечение безопасности (некриптографическими методами) информации

Противодействие техническим разведкам

Лицензирующий орган в области защиты информации некриптографическими методами

Службы, организующие ЗИ на уровне предприятия

Служба экономической безопасности

•Обеспечение политики экономической безопасности•Определение объекта защиты

Служба безопасности

персонала

•Определение режима безопасности•Противодействие инсайдерам

Отдел кадров •Защита персональных данных сотрудников в ИСПДН•Обеспечение режима безопасности

Служба информационной

безопасности

•Организация и координация работ, связанных с защитой информации на предприятии;•Выявление и обезвреживание угроз.

ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИ О ЗАЩИТЕ ИНФОРМАЦИИ

149-ФЗ от 27 июля 2006 года

Сфера действия

регулируетне распространяется

осуществлении права на поиск, получение, передачу, производство и распространение информации;

применение информационных технологий;

обеспечении защиты информации.

на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации

Виды информацииинформация, свободно

распространяемая;информация, предоставляемая по

соглашению лиц, участвующих в соответствующих отношениях;

информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информация, распространение которой в Российской Федерации ограничивается или запрещается.

Права собственника информацииразрешать или ограничивать доступ к

информации, определять порядок и условия такого доступа;

использовать информацию, в том числе распространять ее, по своему усмотрению;

передавать информацию другим лицам по договору или на ином установленном законом основании;

защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обязанности собственникасоблюдать права и

законные интересы иных лиц;

принимать меры по защите информации;

ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Запрет ограничения доступа

нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

информации о состоянии окружающей среды; информации о деятельности государственных органов и

органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Ограничение доступаВ целях защиты

основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Защита информациипредставляет собой принятие правовых,

организационных и технических мер, направленных на:обеспечение защиты информации от

неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Обязанности по ЗИпредотвращение несанкционированного доступа к

информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

своевременное обнаружение фактов несанкционированного доступа к информации;

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

постоянный контроль за обеспечением уровня защищенности информации.

Федеральный закон о государственной тайне

ФЗ № 5485-1 от 21 июля 1993 года

Сфера действия Исполнение:

органами законодательной, исполнительной и судебной власти,

организациями, наделенными в соответствии с ФЗ полномочиями,

органами местного самоуправления,

предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности

должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФ о государственной тайне.

РегламентируетСтруктурные подразделения в области

защиты информации и их полномочияПеречень сведений относящихся

государственной тайнеПорядок засекречивания и определения

статусаПорядок рассекречивания.Порядок распространения информацииПорядок допуска лиц к сведениям

содержащим государственную тайну.Процедуры контроля.

Государственная тайназащищаемые

государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

Перечень сведений, составляющих государственную тайну

сведения в военной области: о содержании стратегических и оперативных планов, документов боевого

управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, предусмотренных Федеральным законом "Об обороне", об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов;

о планах строительства Вооруженных Сил Российской Федерации, других войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники;

о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов, используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения;

о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения;

о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов;

о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке;

Перечень сведений, составляющих государственную тайну

сведения в области экономики, науки и техники: о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным

военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов;

об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства;

о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства;

об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции;

о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства;

о запасах платины, металлов платиновой группы, природных алмазов в Государственном фонде драгоценных металлов и драгоценных камней Российской Федерации, Центральном банке Российской Федерации, а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых Российской Федерации (по списку, определяемому Правительством Российской Федерации);

сведения в области внешней политики и экономики: о внешнеполитической, внешнеэкономической деятельности Российской Федерации,

преждевременное распространение которых может нанести ущерб безопасности государства; о финансовой политике в отношении иностранных государств (за исключением обобщенных

показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;

Перечень сведений, составляющих государственную тайну

сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности: о силах, средствах, об источниках, о методах, планах и результатах

разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;

о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность;

об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения;

о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения;

о методах и средствах защиты секретной информации; об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы Российской Федерации, исключительной

экономической зоны и континентального шельфа Российской Федерации; о расходах федерального бюджета, связанных с обеспечением обороны,

безопасности государства и правоохранительной деятельности в Российской Федерации;

о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

Не подлежат засекречиваниючрезвычайных происшествиях и катастрофах, угрожающих

безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

о фактах нарушения прав и свобод человека и гражданина;о размерах золотого запаса и государственных валютных

резервах Российской Федерации;о состоянии здоровья высших должностных лиц Российской

Федерации;о фактах нарушения законности органами

государственной власти и их должностными лицами.

Степени секретностиСтепень секретности сведений, составляющих

государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени:"особой важности""совершенно секретно" "секретно".

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Доктрина ИБ РФ

Доктрина ИБ РФСостав:

совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации

Цели:формирование государственной политики в области

обеспечения информационной безопасности РФ;подготовки предложений по совершенствованию

правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;

разработки целевых программ обеспечения информационной безопасности;

развивает Концепцию национальной безопасности РФ применительно к информационной сфере.

Информационная безопасность

Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Интересы личности в информационной сфере заключаются в реализации

конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные составляющие национальных интересов

соблюдение конституцион

ных прав и свобод

человека

информационное

обеспечение государственной политики

развитие современных

ИТ, отечественной

индустрии

защита информационных ресурсов и

ТС

Виды угроз информационной безопасности РФ

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики Российской Федерации;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозы конституционным правам и свободам человека (I) принятие федеральными органами государственной

власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем;

противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;

Угрозы конституционным правам и свободам человека (II)противоправное применение специальных средств

воздействия на индивидуальное, групповое и общественное сознание;

неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;

неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

Угрозы конституционным правам и свободам человека (III)

дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

нарушение конституционных прав и свобод человека и гражданина в области массовой информации;

вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;

девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;

манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозы информационному обеспечению государственной политики

монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Методы обеспечения безопасности

правовые

организационно-

технические

экономические

Спасибо за внимание!