Upload
-
View
927
Download
0
Embed Size (px)
DESCRIPTION
Information security lection № 1 in Novosibirsk state university. Вступительная лекция, в которой описываются основные определения ИБ, задачи информационной безопасности, свойства систем защиты информации, жизненный цикл процессов ИБ (СЗИ), а также способы исследования бизнес-структуры объекта защиты.
Citation preview
: . . Лектор АС ЛысякE-mail: [email protected]
: Сайт www.inforsec.ru
Основы информационной безопасности
. . Галатенко ВА Основы информационной. – .: , 2005 безопасности М Интуит
. . , . . , . . , ПНДевянин ООМихальский ДИПравиков. . . АЮЩербаков Теоретические основы
( компьютерной безопасности учебное пособие ). – .: , 2000 – 192 . для вузов М Радио и связь с
. . , . . , . . , АПАлферов АЮЗубов АСКузьмин. . . АВЧеремушкин Основы криптографии
( ) – .: , 2004 – 480 . учебное пособие М Гелиос АРВ с . . Галатенко ВА Стандарты безопасности
– .: , 2006. информационных технологий М Интуит
ЛитератураЛитература
ЛитератураЛитература . , . . . . С Норткатт МКупер и д р Анализ
типовых нарушений безопасности в. . . 2002 сетях М Вильямс
. , . . . . С Норткатт МКупер и д р Анализ типовых нарушений безопасности в
. . . 2002 сетях М Вильямс . , .Дж Маллери Дж . Занн и др Безопасная
, , 2007 .сеть вашей компании НТПресс г
Источники информацииИсточники информацииwww.inforsec.ru – , авторский сайт посвящённый
интересным вопросамИБwww.fstec.ru - Федеральная служба по техническому
и экспортному контролюwww.securitylab.ru - Security Lab by positive
technologieswww.intit.ru - - Интернет Университет
Информационных Технологийhttp://wikisec.ru/ - энциклопедию по безопасностиинформации.
http://lukatsky.blogspot.com/http://www.tsarev.biz/
Роль информации и ее защитыРоль информации и ее защиты
БезопасностьБезопасность
ИБ – защищенность информации и поддерживающей инфраструктуры от
случайных или преднамеренных воздействий , естественного или искусственного характера
которые могут нанести неприемлемый ущерб , субъектам информационных отношений в том
числе владельцам и пользователям информации .и поддерживающей инфраструктуры
Защита информации – это комплекс, мероприятий направленных на обеспечение
.информационной безопасности
это состояние защищённос , ти информационной среды
защитаинформации представляет
собой деятельность по предотвращению утечки
, защищаемой информации несанкционированных и
непреднамеренных воздействий на
, защищаемую информацию то есть процесс,
направленный на достижение этого
.состояния
Эскиз системы
Цель построения.системы
, Задачи решаемые.системой
.Состав системы .Анализ окружения
Цели функционирования
Зачем работает?система
, В случае инцидента что отключить
?последним , В случае инцидента
чем можно?пожертвовать
Критерии качества .работы системы
СВТКомпьютеры Программноеобеспечение
Активное сетевоеоборудование
. .Принтера и т п Персонал Информационныетехнологии
В общем случае объект защиты
представляет « собой сложную
систему сложных»систем
Защита информации
Основные задачи ЗИОсновные задачи ЗИ Обеспечение следующих
:характеристикЦелостностьДоступностьКонфиденциальность ;Подотчетности ;Аутентичности .Достоверности 133335-4. ПоГОСТ Методыи
средства обеспечениябезопасности
ЦелостностьЦелостность Актуальность и
непротиворечивость, информации её защищённость
от разрушения и несанкционированного
.изменения :Типы целостности
( Статическая неизменность)ИО
( Динамическая корректное выполнение сложных
).транзакций
ДоступностьДоступность Состояние
информации( ресурсов
автоматизированной информационной
), системы при , котором субъекты
имеющие право, доступа могут
реализовывать их. беспрепятственно
КонфиденциальностьКонфиденциальность Свойство
, информации свидетельствующее о
, том что информация не сделана доступной
или не разглашена неуполномоченным
, лицам организациям .или процессам
Аутентичность и достоверностьАутентичность и достоверность Аутентичность или
– подлинность , свойство, гарантирующее что субъект
или ресурс идентичны.заявленным
— Достоверность свойство соответствия
предусмотренному ;поведению или результату
Виды угрозВиды угроз .Угрозы конфиденциальности :Угрозы доступности
, техногенные , непреднамеренные ошибки
пользовательская сложность, .ИС инсайдеры
: Угрозы целостности ( . . фальсификация данных в т ч
), инсайдеры нарушение .атомарности транзакций
Угрозы раскрытия параметров защищенной компьютерной
:системы , новые угрозы, уязвимости увеличение
.рисков
Треугольник безопасности 2009 год
– Данные цель и основной драйвер
– Эксплоит уязвимость и механизмы ее
использования – Доступ наличие
принципиальной возможности
доступа к системе
Эксп
лоит Доступ
Данные
Треугольник безопасности 2011 год
– Ресурсы основная цель и инструмент.
– Инструменты методы и средства
преодолениязащиты.
– Доступность наличие
принципиальной возможности
доступа к системе.
Инст
рум
енты
ДоступностьРесурсы
Понятие оптимальной защиты
– План защиты то что было определено
специалистами – Реальная СЗИ то
что было реализовано после
стадии управлениярисками
– Реальные угрозы то что интересно
.нарушителю
Жизненный цикл СЗИЖизненный цикл СЗИ Обследование объекта
, защиты выявление .приоритетной задачи защиты
Построение политики.безопасности
Выбор элементов системы .защиты информации
.Инсталляция .Сопровождение
Проектиро-вание
Обследование объекта защитыОбследование объекта защиты .Определение структуры объекта защиты
.Выявление приоритетной задачи защиты
Исследование бизнес-структуры Исследование бизнес-структуры объекта защитыобъекта защиты
-Определение и исследование бизнес .модели объекта защиты
Определение факторов влияния на, бизнес задание метрик для измеримых
.факторов Определение целей IT- .инфраструктуры Определение эталонной модели IT-
.потоков Определение необходимого списка
ресурсов общего доступа в зависимости .от подразделения
Бизнес-факторы, влияющие на Бизнес-факторы, влияющие на эффективностьэффективность
( Величина внутренних издержек конфликт ).стоимости СЗИ
Качество управления собственным активом( ).конфликт интересов
( Качество работы коллектива конфликт с).персоналом
.Скорость реакции на внешние факторы Стратегия и качество ведения самого
.бизнеса .Выбранная стратеги управления рисками
Уровни разработки политики Уровни разработки политики безопасностибезопасности
Структура политики безопасностиСтруктура политики безопасности ( Утверждённые модели модель актуальных
, ; угроз модель нарушителя анализ и управление!).рисками
.Перечень защищаемых объектов , Перечень лиц имеющих доступ к защищаемым
, .объектам и границы сетевых зон Перечень используемогоПО и его
.конфигураций .Концепция информационной безопасности , Набор инструкций корпоративные приказы и
.распоряжения Структура и схема активного сетевого
.оборудования
ПОНЯТИЕ ЗРЕЛОСТИ СОИБПОНЯТИЕ ЗРЕЛОСТИ СОИБ
Уровни зрелости0- – й уровень уровень
.отсутствияИБ1- – й уровень уровень
.частных решений2- – й уровень уровень
комплексных.решений
3- – й уровень уровень .полной интеграции
0-й уровень информационной
безопасностью в компании никто не
, занимается руководство компании
не осознает важности проблем
информационной; безопасности
финансирование; отсутствует
информационной безопасностью
реализуетсяштатными средствами
, операционных систем СУБД и приложений
( , парольная защита разграничение доступа
).к ресурсам и сервисам
1-й уровень Информационная
безопасность рассматривается
руководством как чисто« » , техническая проблема
отсутствует единая программа( концепция информационной
, ) безопасности политика ; развития СОИБ компании
Финансирование ведется в - ; рамках общегоИТ бюджета
Информационная безопасность реализуется
средствами нулевого уровня плюс средства резервного
, копирования антивирусные, , средства межсетевые экраны VPN, . . средства организации т е
традиционные средства. защиты
2-й уровень , ИБрассматривается руководством
как комплекс организационных и , технических мероприятий
существует понимание важности - , ИБ для бизнес процессов есть
утвержденная руководством ; программа развития СОИБ
финансирование ведется в рамках ; отдельного бюджета
ИБреализуется средствами первого уровня плюс средства
, усиленной аутентификации средства анализа почтовых
web- , IDS, сообщений и контента , средства анализа защищенности
SSO ( средства однократной), PKI аутентификации
( инфраструктура открытых) ключей и организационныемеры
( , внутренний и внешний аудит , анализ риска политика
, информационной безопасности, , положения процедуры ).регламенты и руководства
3-й уровень ИБ является частью
, корпоративной культуры CISA ( назначен старший
администратор по вопросам ); обеспеченияИБ
Финансирование ведется в ; рамках отдельного бюджета
ИБреализуется средствами второго уровня плюс системы управления
информационной, CSIRT ( безопасностью группа
реагирования на инциденты нарушения
информационной), SLA безопасности
( соглашение об уровне).сервиса
Обнаруженные уязвимости в 2009 году
Типы уязвимостей
Спасибо за внимание!Спасибо за внимание!