Information security lection № 2 in NSU.
Вторая лекция, в которой описываются все принципы ИБ, жизненный цикл СЗИ, бизнес-структура объекта защиты, показывается суть документа "политика безопасности", её реализации в реальном бизнесе.
2. Галатенко В.А. Основы информационной
безопасности. – М.:Интуит, 2005
П.Н.Девянин, О.О.Михальский, Д.И.Правиков,
А.Ю.Щербаков. Теоретические основы
компьютерной безопасности (учебное пособие
для вузов). – М.:Радио и связь, 2000 – 192 с.
А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин,
А.В.Черемушкин. Основы криптографии
(учебное пособие) – М.: Гелиос АРВ, 2004 – 480 с.
Галатенко В.А. Стандарты безопасности
информационных технологий – М.:Интуит,
2006.
ЛитератураЛитература
3. ЛитератураЛитература
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
Дж. Маллери, Дж. Занн и др. Безопасная сеть
вашей компании, НТ Пресс , 2007 г.
4. Источники информацииИсточники информации
www.inforsec.ru – авторский сайт, посвящённый
интересным вопросам ИБ
www.fstec.ru - Федеральная служба по
техническому и экспортному контролю
www.securitylab.ru - Security Lab by positive technologies
www.intit.ru - Интернет-Университет
Информационных Технологий
http://wikisec.ru/ - энциклопедию по безопасности
информации.
http://lukatsky.blogspot.com/
http://www.tsarev.biz/
6. БезопасностьБезопасность
ИБ – защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного
характера, которые могут нанести неприемлемый
ущерб субъектам информационных отношений, в том
числе владельцам и пользователям информации и
поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий,
направленных на обеспечение информационной
безопасности.
7. это состояние защищённост
и информационной среды,
защита
информации представляет
собой деятельность по
предотвращению утечки
защищаемой информации,
несанкционированных и
непреднамеренных
воздействий на
защищаемую информацию,
то есть процесс,
направленный на
достижение этого
состояния.
9. Цели функционирования
Зачем работает система?
В случае инцидента, что
отключить последним?
В случае инцидента, чем
можно пожертвовать?
Критерии качества
работы системы.
13. Основные задачи ЗИОсновные задачи ЗИ
Обеспечение следующих
характеристик:
Целостность
Доступность
Конфиденциальность
Подотчетности;
Аутентичности;
Достоверности.
По ГОСТ 133335-4. Методы и средства
обеспечения безопасности
17. Аутентичность и достоверностьАутентичность и достоверность
Аутентичность или
подлинность – свойство,
гарантирующее, что субъект или
ресурс идентичны заявленным.
Достоверность — свойство
соответствия предусмотренному
поведению или результату;
18. Виды угрозВиды угроз
Угрозы конфиденциальности.
Угрозы доступности:
техногенные, непреднамеренные
ошибки, пользовательская
сложность ИС, инсайдеры.
Угрозы целостности:
фальсификация данных (в т.ч.
инсайдеры), нарушение
атомарности транзакций.
Угрозы раскрытия параметров
защищенной компьютерной
системы: новые угрозы,
уязвимости, увеличение рисков.
19. Треугольник безопасности 2009 год
Данные – цель и
основной драйвер
Эксплоит –
уязвимость и
механизмы ее
использования
Доступ – наличие
принципиальной
возможности доступа
к системе
Эксплоит
Доступ
Данные
20. Треугольник безопасности 2011 год
Ресурсы – основная
цель и инструмент.
Инструменты –
методы и средства
преодоления защиты.
Доступность –
наличие
принципиальной
возможности доступа
к системе.
Инструменты
Доступность
Ресурсы
21. Понятие оптимальной защиты
План защиты – то что
было определено
специалистами
Реальная СЗИ – то что
было реализовано
после стадии
управления рисками
Реальные угрозы – то
что интересно
нарушителю.
22. Жизненный цикл СЗИЖизненный цикл СЗИ
Обследование объекта защиты,
выявление приоритетной задачи
защиты.
Построение политики
безопасности.
Выбор элементов системы
защиты информации.
Инсталляция.
Сопровождение.
Проектиро-
вание
24. Исследование бизнес-структурыИсследование бизнес-структуры
объекта защитыобъекта защиты
Определение и исследование бизнес-модели
объекта защиты.
Определение факторов влияния на бизнес,
задание метрик для измеримых факторов.
Определение целей IT-инфраструктуры.
Определение эталонной модели IT-потоков.
Определение необходимого списка ресурсов
общего доступа в зависимости от
подразделения.
25. Бизнес-факторы, влияющие наБизнес-факторы, влияющие на
эффективностьэффективность
Величина внутренних издержек (конфликт
стоимости СЗИ).
Качество управления собственным активом
(конфликт интересов).
Качество работы коллектива (конфликт с
персоналом).
Скорость реакции на внешние факторы.
Стратегия и качество ведения самого бизнеса.
Выбранная стратеги управления рисками.
27. Структура политики безопасностиСтруктура политики безопасности
Утверждённые модели (модель актуальных угроз,
модель нарушителя; анализ и управление рисками!).
Перечень защищаемых объектов.
Перечень лиц, имеющих доступ к защищаемым
объектам, и границы сетевых зон.
Перечень используемого ПО и его конфигураций.
Концепция информационной безопасности.
Набор инструкций, корпоративные приказы и
распоряжения.
Структура и схема активного сетевого
оборудования.
29. Уровни зрелости
0-й уровень – уровень
отсутствия ИБ.
1-й уровень – уровень
частных решений.
2-й уровень – уровень
комплексных
решений.
3-й уровень – уровень
полной интеграции.
30. 0-й уровень
информационной
безопасностью в компании
никто не занимается,
руководство компании не
осознает важности
проблем информационной
безопасности;
финансирование
отсутствует;
информационной
безопасностью
реализуется штатными
средствами операционных
систем, СУБД и
приложений (парольная
защита, разграничение
доступа к ресурсам и
сервисам).
31. 1-й уровень
Информационная безопасность
рассматривается руководством
как чисто «техническая»
проблема, отсутствует единая
программа (концепция
информационной безопасности,
политика) развития СОИБ
компании;
Финансирование ведется в
рамках общего ИТ-бюджета;
Информационная безопасность
реализуется средствами
нулевого уровня плюс средства
резервного копирования,
антивирусные средства,
межсетевые экраны, средства
организации VPN, т.е.
традиционные средства защиты.
32. 2-й уровень ИБ рассматривается руководством, как
комплекс организационных и
технических мероприятий, существует
понимание важности ИБ для бизнес-
процессов, есть утвержденная
руководством программа развития
СОИБ;
финансирование ведется в рамках
отдельного бюджета;
ИБ реализуется средствами первого
уровня плюс средства усиленной
аутентификации, средства анализа
почтовых сообщений и web-контента,
IDS, средства анализа защищенности,
SSO (средства однократной
аутентификации), PKI
(инфраструктура открытых ключей) и
организационные меры (внутренний и
внешний аудит, анализ риска,
политика информационной
безопасности, положения, процедуры,
регламенты и руководства).
33. 3-й уровень
ИБ является частью
корпоративной культуры,
назначен CISA (старший
администратор по вопросам
обеспечения ИБ);
Финансирование ведется в
рамках отдельного бюджета;
ИБ реализуется средствами
второго уровня плюс системы
управления информационной
безопасностью, CSIRT (группа
реагирования на инциденты
нарушения информационной
безопасности), SLA (соглашение
об уровне сервиса).
Угрозы конфиденциальности хищение (копирование) информации, средств ее обработки, носителей; утрата (неумышленная потеря, утечка) информации , средств ее обработки и носителей; несанкционированное ознакомление, распространение. парольные проблемы, перехват информации. Угрозы доступности блокирование информации; уничтожение информации и средств ее обработки (носителей); блокирование канала передачи информации и средств обработки информации. Угрозы целостности модификация (искажение) информации; отрицание подлинности информации/отказ от совершённых действий; навязывание ложной информации, обман; уничтожение информации. Угрозы раскрытия параметров защищенной компьютерной системы появление новых угроз; выявление уязвимостей: увеличение рисков; увеличение успешности атаки.
Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности; стратегическому планированию и контролю; внешним взаимодействиям и другим вопросам, имеющим общеорганизационный характер. На указанном уровне формулируются главные цели в области информационной безопасности (определяются сферой деятельности предприятия): обеспечение конфиденциальности, целостности и/или доступности. Синхронизация с ЖЦ ПС. Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры АС организации, например, обрабатывающие секретную или критически важную информацию. За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности АС, администратор корпоративной сети. Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Данный уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне. Понятно, что на данном уровне определяются конкретные цели, частные критерии и показатели информационной безопасности, определяются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т. п. Здесь из конкретных целей выводятся (обычно формальные) правила безопасности, описывающие, кто, что и при каких условиях может делать или не может. Более детальные и формальные правила упростят внедрение системы и настройку средств ОБИ. На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации (в рамках, конечно, управленческого уровня, но не технического). За политику безопасности нижнего уровня отвечают системные администраторы.