4.Лекция - Метрики и нормативно правовое .полеИБ

: . . Лектор АС ЛысякE-mail: accemt@gmail.com

: Лекцииhttp://www.slideshare.net/Accemt/presentations

Основы информационной безопасности

Проактивный контроль ИБПроактивный контроль ИБ

Сергей ГордейчикPositive Technologies

Что такое «проактивность»?Что такое «проактивность»?Антивирус новой модели?

«Мощная» политика безопасности?

Серьезный анализ рисков?

Аудит у «солидной конторы»?

Пентест «настоящих хакеров»?

Анализ рисков?Анализ рисков?

: Классическая модель использование статистики

ALE = SLA x ARO. ARO – ( )частота в год

, ? Проактивность с задержкой в год

СитуацияСитуация « » Отсутствие революций в техническихвопросах

, ( ) .Все знают что не возможно Большинство защитных механизмов уже

.реализовано и внедрено ? Что остается Эффективное использование

:существующих средств

Оценка эффективности

Корреляция эффективности с принятыми мерами

Метрики безопасностиМетрики безопасности

, « Однозначно измеряются без экспертного»мнения

Доступны для расчета и анализа( )предпочтительно автоматически

( Имеют количественное выражение не" ", " ", " ")высокий средний низкий

Измеряются в пригодных для анализа, " ", " ", величинах таких как ошибки часы

" "стоимость Понятны и указывают на проблемную область

( « , ?") и возможные решения тест Ну и

Примеры метрикПримеры метрик Практический любойИТ иИБ процесс

можно оценивать с помощьюметрик Межсетевое экранирование

, Изменение конфигураций небезопасные, приложения доступные службы

Повышение осведомленности% , , % обученных заходы на сайты нарушающих

парольную политику (Соответствие требованиям compliance)

% , соответствия стандартам управляемость, сети время изменения уровня соответствия

Повод для гордостиПовод для гордости

«Количество заблокированных »вирусов « »Количество отраженных сетевых атак Количество отфильтрованного СПАМаИЛИ Процент узлов с обновляемыми

антивирусными базами Отношение количества вирусов в

исходящей и входящей почте

Источники метрикИсточники метрик

Антивирусные/ антиспам системы Системы класса SEIM/IDS ( Ручной сбор системы управления

, )проектами контроля трудозатрат Результаты аудитов Системы управления сетью

( )инвентаризация Система контроля изменений Системымониторинга и управленияуязвимостями

Системы контроля соответствия (стандартам Compliance management)

Чем я хуже?Чем я хуже?

Оценка динамики показателей Сравнение с мировой практикой

?Где брать метрикиNIST Special publicationCenter of Internet Security http://www.metricscenter.org/ http://www.securitymetrics.org

РезюмеРезюме Метрики безопасности позволяют оценить

.практический любой процесс ИБ Метрики позволяют общается с бизнесом в

привычных терминах управления.проектами

Метрики позволяют оценивать динамику процессов и проводить сравнение с

.общемировой практикой Большое количество метрик может

автоматизировано оцениваться с системами класса Compliance Management.

Нормативно-правовой уровень ИБНормативно-правовой уровень ИБ

Организационнаяструктура

Структура законодательных мерСтруктура законодательных мер

150 Более законов и подзаконных актов

Правовое поле

Конституция РФ

Право на доступ Право на защиту данных 24 Статья

Гарантия права ознакомления с

, собранными данными если это не тайна

( , государственная)следствия

29Статья Гарантия свободы

мысли и слова 41Статья

Гарантия доступности информации об

, обстоятельствах создающих угрозу для

жизни и здоровья.людей

23Статья Гарантия тайны

коммуникацийгражданина

24 Статья Гарантия

получения согласия на обработку и

хранение

Государственные Государственные контролирующие органы РФконтролирующие органы РФ

Контролирующие органыКонтролирующие органы

ФСБ ФСТЭК Обеспечение

безопасности информации

криптографическимиметодами

Лицензирующий орган в области защиты

информации криптографическими

методами

Обеспечение безопасности

( некриптографическими) методами информации

Противодействие техническим разведкам

Лицензирующий орган в области защиты

информации некриптографическими

методами

Службы, организующие ЗИ на Службы, организующие ЗИ на уровне предприятияуровне предприятия

ОБ ИНФОРМАЦИИ, ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИ О ЗАЩИТЕ ИНФОРМАЦИИИ О ЗАЩИТЕ ИНФОРМАЦИИ

149- 27 2006 ФЗ от июля года

Сфера действияСфера действия

регулирует не распространяется осуществлении права

, , на поиск получение, передачу

производство и распространение

;информации применение

информационных;технологий

обеспечении защиты.информации

, на отношения возникающие при

правовой охране результатов

интеллектуальной деятельности и

приравненных к ним средств

индивидуализации

Виды информацииВиды информации , информация свободно

;распространяемая , информация предоставляемая по

, соглашению лиц участвующих в ;соответствующих отношениях

, информация которая в соответствии с федеральными законами подлежит

;предоставлению или распространению , информация распространение которой в

Российской Федерации ограничивается .или запрещается

Права собственника информацииПрава собственника информации разрешать или ограничивать доступ к

, информации определять порядок и условия ;такого доступа

, использовать информацию в том числе , ;распространять ее по своему усмотрению

передавать информацию другим лицам по договору или на ином установленном законом

;основании защищать установленными законом способами

свои права в случае незаконного получения информации или ее незаконного использования

;иными лицами осуществлять иные действия с информацией или

.разрешать осуществление таких действий

Обязанности собственникаОбязанности собственника соблюдать права и

законные интересы ;иных лиц

принимать меры по защите

;информации ограничивать

доступ к, информации если

такая обязанность установлена

федеральными.законами

Запрет ограничения доступаЗапрет ограничения доступа , , нормативным правовым актам затрагивающим права

, свободы и обязанности человека и гражданина а также устанавливающим правовое положение организаций и

, полномочия государственных органов органов местного;самоуправления

;информации о состоянии окружающей среды информации о деятельности государственных органов и

, органов местного самоуправления а также об использовании ( , бюджетных средств за исключением сведений

);составляющих государственную или служебную тайну , , информации накапливаемой в открытых фондах библиотек

, , музеев и архивов а также в государственных муниципальных , и иных информационных системах созданных или

( ) предназначенных для обеспечения граждан физических лиц ;и организаций такой информацией

, иной информации недопустимость ограничения доступа к .которой установлена федеральными законами

Ограничение доступаОграничение доступа В целях защиты

основ конституционного

, строя, нравственности

, здоровья прав и законных интересов других

, лиц обеспечения обороны страны и

безопасности.государства

Защита информацииЗащита информации , представляет собой принятие правовых

, организационных и технических мер :направленных на

обеспечение защиты информации от , , неправомерного доступа уничтожения

, , модифицирования блокирования, , копирования предоставления

, распространения а также от иных неправомерных действий в отношении

;такой информации соблюдение конфиденциальности

;информации ограниченного доступа .реализацию права на доступ к информации

Обязанности по ЗИОбязанности по ЗИ предотвращение несанкционированного доступа

( ) , к информации и или передачи ее лицам не ;имеющим права на доступ к информации

своевременное обнаружение фактов ;несанкционированного доступа к информации

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к;информации

недопущение воздействия на технические , средства обработки информации в результате ;которого нарушается их функционирование

возможность незамедлительного восстановления, информации модифицированной или

уничтоженной вследствие ;несанкционированного доступа к ней

постоянный контроль за обеспечением уровня .защищенности информации

Федеральный закон о Федеральный закон о государственной тайнегосударственной тайне

№ 5485-1 21 1993 ФЗ от июля года

Сфера действия Сфера действия : Исполнение

, органами законодательной исполнительной и судебной

,власти , организациями наделенными

в соответствии с ФЗ, полномочиями

органамиместного,самоуправления

, предприятиями учреждениями и организациями независимо от

- их организационно правовой формы иформы

собственности должностными лицами и

, гражданами РФ взявшими на себя обязательства либо

обязанными по своему статусу исполнять требования

законодательства РФ о .государственной тайне

РегламентируетРегламентирует Структурные подразделения в области

защиты информации и их полномочия Перечень сведений относящихся

государственной тайне Порядок засекречивания и определениястатуса

.Порядок рассекречивания Порядок распространения информации Порядок допуска лиц к сведениям

.содержащим государственную тайну .Процедуры контроля

Государственная тайнаГосударственная тайна защищаемые

государством сведения , в области его военной

, внешнеполитической, экономической

, разведывательнойконтрразведывательно

-й и оперативно розыскной

, деятельности распространение

которых может нанести ущерб безопасности

;РоссийскойФедерации

Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну

:сведения в военной области , о содержании стратегических и оперативных планов документов боевого управления по

, , подготовке и проведению операций стратегическому оперативному и мобилизационному , , развертываниюВооруженных Сил РоссийскойФедерации других войск воинских

, " ", формирований и органов предусмотренных Федеральным законом Об обороне об их , боевой и мобилизационной готовности о создании и об использовании мобилизационных

;ресурсов , о планах строительства Вооруженных Сил РоссийскойФедерации других войск Российской

, , Федерации о направлениях развития вооружения и военной техники о содержании и , - -результатах выполнения целевых программ научно исследовательских и опытно

конструкторских работ по созданию имодернизации образцов вооружения и военной;техники

, , , , , о разработке технологии производстве об объемах производства о хранении об , , , утилизации ядерных боеприпасов их составных частей делящихся ядерных материалов

, ( ) используемых в ядерных боеприпасах о технических средствах и или методах защиты , ядерных боеприпасов от несанкционированного применения а также о ядерных

;энергетических и специальных физических установках оборонного значения - о тактико технических характеристиках и возможностях боевого применения образцов

, , вооружения и военной техники о свойствах рецептурах или технологиях производства ;новых видов ракетного топлива или взрывчатых веществ военного назначения

, , , о дислокации назначении степени готовности защищенности режимных и особо важных, , , , объектов об их проектировании строительстве и эксплуатации а также об отводе земель

;недр и акваторий для этих объектов , , , о дислокации действительных наименованиях об организационной структуре о

, , -вооружении численности войск и состоянии их боевого обеспечения а также о военно ( ) ;политической и или оперативной обстановке

Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну

, :сведения в области экономики науки и техники о содержании планов подготовки РоссийскойФедерации и ее отдельных регионов к возможным военным

, действиям омобилизационныхмощностях промышленности по изготовлениюи ремонту вооружения и , , , , военной техники об объемах производства поставок о запасах стратегических видов сырья иматериалов а

, ;также о размещении фактических размерах и об использовании государственныхматериальных резервов об использовании инфраструктуры РоссийскойФедерации в целях обеспечения обороноспособности и

;безопасности государства , , о силах и средствах гражданской обороны о дислокации предназначении и степени защищенности

, , объектов административного управления о степени обеспечения безопасности населения о функционировании транспорта и связи в РоссийскойФедерации в целях обеспечения безопасности

;государства , ( ) , ( об объемах о планах заданиях государственного оборонного заказа о выпуске и поставках в денежном

) , , или натуральном выражении вооружения военной техники и другой оборонной продукции о наличии и , , наращиваниимощностей по их выпуску о связях предприятий по кооперации о разработчиках или об

, ;изготовителях указанных вооружения военной техники и другой оборонной продукции , - , - , о достижениях науки и техники о научно исследовательских об опытно конструкторских о проектных

, , работах и технологиях имеющих важное оборонное или экономическое значение влияющих на ;безопасность государства

, , о запасах платины металлов платиновой группы природных алмазов в Государственномфонде , драгоценныхметаллов и драгоценных камней РоссийскойФедерации Центральном банке Российской

, , , Федерации а также об объемах запасов в недрах добычи производства и потребления стратегических ( , видов полезных ископаемых РоссийскойФедерации по списку определяемомуПравительством

);РоссийскойФедерации

:сведения в области внешней политики и экономики , , о внешнеполитической внешнеэкономической деятельности РоссийскойФедерации преждевременное

;распространение которыхможет нанести ущерб безопасности государства ( о финансовой политике в отношении иностранных государств за исключением обобщенных показателей

), - , по внешней задолженности а также офинансовой или денежно кредитной деятельности ;преждевременное распространение которыхможет нанести ущерб безопасности государства

Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну

, сведения в области разведывательной контрразведывательной и- :оперативно розыскной деятельности

, , , , о силах средствах об источниках о методах планах и результатах, - разведывательной контрразведывательной и оперативно розыскной

, , деятельности а также данные о финансировании этой деятельности если ;эти данные раскрывают перечисленные сведения

, о лицах сотрудничающих или сотрудничавших на конфиденциальной , , основе с органами осуществляющими разведывательную

- ;контрразведывательную и оперативно розыскную деятельность , , об организации о силах средствах и методах обеспечения безопасности

, объектов государственной охраны а также данные о финансировании этой, ;деятельности если эти данные раскрывают перечисленные сведения

, , , о системе президентской правительственной шифрованной в том числе , , , кодированной и засекреченной связи ошифрах о разработке об

, изготовлениишифров и обеспечении ими о методах и средствах анализа , -шифровальных средств и средств специальной защиты об информационно ;аналитических системах специального назначения

;о методах и средствах защиты секретной информации ;об организации и о фактическом состоянии защиты государственной тайны , о защите Государственной границы Российской Федерации

исключительной экономической зоны и континентальногошельфа ;РоссийскойФедерации

, , о расходах федерального бюджета связанных с обеспечением обороны безопасности государства и правоохранительной деятельности в

;РоссийскойФедерации , , о подготовке кадров раскрывающие мероприятия проводимые в целях

.обеспечения безопасности государства

Не подлежат засекречиваниюНе подлежат засекречиванию , чрезвычайных происшествиях и катастрофах

, угрожающих безопасности и здоровью граждан и их, , последствиях а также о стихийных бедствиях их ;официальных прогнозах и последствиях

, , , о состоянии экологии здравоохранения санитарии, , , демографии образования культуры сельского

, ;хозяйства а также о состоянии преступности , , о привилегиях компенсациях и социальных гарантиях

, предоставляемых государством гражданам , , должностным лицам предприятиям учреждениям и;организациям

о фактах нарушения прав и свобод человека и;гражданина

о размерах золотого запаса и государственных ;валютных резервах РоссийскойФедерации

о состоянии здоровья высших должностных лиц ;РоссийскойФедерации

о фактах нарушения законности органами .государственной власти и их должностными лицами

Степени секретностиСтепени секретности , Степень секретности сведений составляющих

, государственную тайну должна , соответствовать степени тяжести ущерба

который может быть нанесен безопасности РоссийскойФедерации вследствие

.распространения указанных сведений :Устанавливаются три степени

" "особой важности" " совершенно секретно" ".секретно

Использование перечисленных грифов , секретности для засекречивания сведений не

, отнесенных к государственной тайне не.допускается

Доктрина ИБ РФДоктрина ИБ РФ

Доктрина ИБ РФДоктрина ИБ РФ :Состав

, совокупность официальных взглядов на цели, задачи принципы и основные направления

обеспечения информационной безопасности РоссийскойФедерации

:Цели формирование государственной политики в

области обеспечения информационной ;безопасности РФ

подготовки предложений по совершенствованию, , - правового методического научно технического и

организационного обеспечения информационной ;безопасности РФ

разработки целевых программ обеспечения ;информационной безопасности

развивает Концепцию национальной безопасности .РФ применительно к информационной сфере

Информационная безопасностьИнформационная безопасность Под информационной безопасностью РФ понимается состояние

защищенности ее национальных интересов в информационной, сфере определяющихся совокупностью сбалансированных

, .интересов личности общества и государства Интересы личности в информационной сфере заключаются в

реализации конституционных прав человека и гражданина на , доступ к информации на использование информации в интересах

, осуществления не запрещенной законом деятельности, , физического духовного и интеллектуального развития а также в

, .защите информации обеспечивающей личную безопасность Интересы общества в информационной сфере заключаются в

, обеспечении интересов личности в этой сфере упрочении, , демократии создании правового социального государства , достижении и поддержании общественного согласия в духовном

.обновлении России Интересы государства в информационной сфере заключаются в

создании условий для гармоничного развития российской , информационной инфраструктуры для реализации конституционных прав и свобод человека и гражданина в области

получения информации и пользования ею в целях обеспечения , незыблемости конституционного строя суверенитета и

, , территориальной целостности России политической , экономической и социальной стабильности в безусловном

, обеспечении законности и правопорядка развитии равноправного и .взаимовыгодного международного сотрудничества

Основные составляющие Основные составляющие национальных интересов национальных интересов

Виды угроз информационной Виды угроз информационной безопасности РФбезопасности РФ

угрозы конституционным правам и свободам человека и гражданина в области духовнойжизни и

, , информационной деятельности индивидуальному , групповому и общественному сознанию духовному

;возрождениюРоссии угрозы информационному обеспечению

;государственной политики РоссийскойФедерации угрозы развитию отечественной индустрии

, информации включая индустрию средств, , информатизации телекоммуникации и связи

обеспечениюпотребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой

, , рынок а также обеспечениюнакопления сохранности и эффективного использования

;отечественных информационных ресурсов угрозы безопасности информационных и

, телекоммуникационных средств и систем как уже, развернутых так и создаваемых на территории

.России

Угрозы конституционным правам и Угрозы конституционным правам и свободам человека (свободам человека (I)I) принятие федеральными органами государственной

, власти органами государственной власти субъектов , Российской Федерации нормативных правовых актов

ущемляющих конституционные права и свободы граждан в области духовнойжизни и

;информационной деятельности , создание монополий на формирование получение и

распространение информации в Российской, Федерации в том числе с использованием

;телекоммуникационных систем , противодействие в том числе со стороны

, криминальных структур реализации гражданами своих конституционных прав на личную и семейную, , тайну тайну переписки телефонных переговоров и

;иных сообщений , нерациональное чрезмерное ограничение доступа к

;общественно необходимой информации

Угрозы конституционным правам и Угрозы конституционным правам и свободам человека свободам человека (II)(II) противоправное применение специальных средств

, воздействия на индивидуальное групповое и ;общественное сознание

неисполнение федеральными органами , государственной власти органами государственной

, власти субъектов РоссийскойФедерации органами , местного самоуправления организациями и

гражданами требований федерального, законодательства регулирующего отношения в ;информационной сфере

неправомерное ограничение доступа граждан к открытым информационным ресурсамфедеральных

, органов государственной власти органов государственной власти субъектов Российской

, , Федерации органов местного самоуправления к , открытым архивнымматериалам к другой открытой ;социально значимой информации

Угрозы конституционным правам и Угрозы конституционным правам и свободам человекасвободам человека (III) (III)

дезорганизация и разрушение системы накопления и , ;сохранения культурных ценностей включая архивы

нарушение конституционных прав и свобод человека и ;гражданина в области массовой информации

, вытеснение российских информационных агентств средств массовой информации с внутреннего

информационного рынка и усиление зависимости, духовной экономической и политической сфер

общественнойжизни России от зарубежных ;информационных структур

, девальвация духовных ценностей пропаганда образцов , , массовой культуры основанных на культе насилия на , духовных и нравственных ценностях противоречащих

, ;ценностям принятым в российском обществе , снижение духовного нравственного и творческого

, потенциала населения России что существенно осложнит подготовку трудовых ресурсов для внедрения и

, использования новейших технологий в том числе;информационных

( , манипулирование информацией дезинформация ).сокрытие или искажение информации

Угрозы информационному обеспечению Угрозы информационному обеспечению государственной политики государственной политики

монополизация информационного рынка, России его отдельных секторов

отечественными и зарубежными ;информационными структурами

блокирование деятельности государственных средств массовой информации по

информированию российской и зарубежной;аудитории

низкая эффективность информационного обеспечения государственной политики

РоссийскойФедерации вследствие дефицита , квалифицированных кадров отсутствия

системыформирования и реализации .государственной информационной политики

Методы обеспечения безопасностиМетоды обеспечения безопасности

Спасибо за Спасибо за внимание!внимание!