Information security lection № 2 in NSU. Вторая лекция, в которой описываются все принципы ИБ, жизненный цикл СЗИ, бизнес-структура объекта защиты, показывается суть документа "политика безопасности", её реализации в реальном бизнесе.

1. Лектор: А.С. Лысяк
E-mail: accemt@gmail.com
Сайт: www.inforsec.ru
Основы информационной
безопасности

2. Галатенко В.А. Основы информационной
безопасности. – М.:Интуит, 2005
П.Н.Девянин, О.О.Михальский, Д.И.Правиков,
А.Ю.Щербаков. Теоретические основы
компьютерной безопасности (учебное пособие
для вузов). – М.:Радио и связь, 2000 – 192 с.
А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин,
А.В.Черемушкин. Основы криптографии
(учебное пособие) – М.: Гелиос АРВ, 2004 – 480 с.
Галатенко В.А. Стандарты безопасности
информационных технологий – М.:Интуит,
2006.
ЛитератураЛитература

3. ЛитератураЛитература
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
Дж. Маллери, Дж. Занн и др. Безопасная сеть
вашей компании, НТ Пресс , 2007 г.

4. Источники информацииИсточники информации
www.inforsec.ru – авторский сайт, посвящённый
интересным вопросам ИБ
www.fstec.ru - Федеральная служба по
техническому и экспортному контролю
www.securitylab.ru - Security Lab by positive technologies
www.intit.ru - Интернет-Университет
Информационных Технологий
http://wikisec.ru/ - энциклопедию по безопасности
информации.
http://lukatsky.blogspot.com/
http://www.tsarev.biz/

5. Роль информации и ее защитыРоль информации и ее защиты

6. БезопасностьБезопасность
ИБ – защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного
характера, которые могут нанести неприемлемый
ущерб субъектам информационных отношений, в том
числе владельцам и пользователям информации и
поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий,
направленных на обеспечение информационной
безопасности.

7. это состояние защищённост
и информационной среды,
защита
информации представляет
собой деятельность по
предотвращению утечки
защищаемой информации,
несанкционированных и
непреднамеренных
воздействий на
защищаемую информацию,
то есть процесс,
направленный на
достижение этого
состояния.

8. Эскиз системы
Цель построения
системы.
Задачи, решаемые
системой.
Состав системы.
Анализ окружения.

9. Цели функционирования
Зачем работает система?
В случае инцидента, что
отключить последним?
В случае инцидента, чем
можно пожертвовать?
Критерии качества
работы системы.

10. СВТ
Компьютеры
Программное
обеспечение
Активное сетевое
оборудование
Принтера и т.п.
Персонал
Информационные
технологии

11. В общем случае
объект защиты
представляет собой
«сложную систему
сложных систем»

12. Защита информации

13. Основные задачи ЗИОсновные задачи ЗИ
Обеспечение следующих
характеристик:
Целостность
Доступность
Конфиденциальность
Подотчетности;
Аутентичности;
Достоверности.
По ГОСТ 133335-4. Методы и средства
обеспечения безопасности

14. ЦелостностьЦелостность
Актуальность и
непротиворечивость
информации, её защищённость от
разрушения и
несанкционированного
изменения.
Типы целостности:
Статическая (неизменность
ИО)
Динамическая (корректное
выполнение сложных
транзакций).

15. ДоступностьДоступность
Состояние информации
(ресурсов
автоматизированной
информационной
системы), при котором
субъекты, имеющие
право доступа, могут
реализовывать их
беспрепятственно.

16. КонфиденциальностьКонфиденциальность
Свойство информации,
свидетельствующее о
том, что информация не
сделана доступной или не
разглашена
неуполномоченным
лицам, организациям или
процессам.

17. Аутентичность и достоверностьАутентичность и достоверность
Аутентичность или
подлинность – свойство,
гарантирующее, что субъект или
ресурс идентичны заявленным.
Достоверность — свойство
соответствия предусмотренному
поведению или результату;

18. Виды угрозВиды угроз
Угрозы конфиденциальности.
Угрозы доступности:
техногенные, непреднамеренные
ошибки, пользовательская
сложность ИС, инсайдеры.
Угрозы целостности:
фальсификация данных (в т.ч.
инсайдеры), нарушение
атомарности транзакций.
Угрозы раскрытия параметров
защищенной компьютерной
системы: новые угрозы,
уязвимости, увеличение рисков.

19. Треугольник безопасности 2009 год
Данные – цель и
основной драйвер
Эксплоит –
уязвимость и
механизмы ее
использования
Доступ – наличие
принципиальной
возможности доступа
к системе
Эксплоит
Доступ
Данные

20. Треугольник безопасности 2011 год
Ресурсы – основная
цель и инструмент.
Инструменты –
методы и средства
преодоления защиты.
Доступность –
наличие
принципиальной
возможности доступа
к системе.
Инструменты
Доступность
Ресурсы

21. Понятие оптимальной защиты
План защиты – то что
было определено
специалистами
Реальная СЗИ – то что
было реализовано
после стадии
управления рисками
Реальные угрозы – то
что интересно
нарушителю.

22. Жизненный цикл СЗИЖизненный цикл СЗИ
Обследование объекта защиты,
выявление приоритетной задачи
защиты.
Построение политики
безопасности.
Выбор элементов системы
защиты информации.
Инсталляция.
Сопровождение.
Проектиро-
вание

23. Обследование объекта защитыОбследование объекта защиты
Определение структуры объекта защиты.
Выявление приоритетной задачи защиты.

24. Исследование бизнес-структурыИсследование бизнес-структуры
объекта защитыобъекта защиты
Определение и исследование бизнес-модели
объекта защиты.
Определение факторов влияния на бизнес,
задание метрик для измеримых факторов.
Определение целей IT-инфраструктуры.
Определение эталонной модели IT-потоков.
Определение необходимого списка ресурсов
общего доступа в зависимости от
подразделения.

25. Бизнес-факторы, влияющие наБизнес-факторы, влияющие на
эффективностьэффективность
Величина внутренних издержек (конфликт
стоимости СЗИ).
Качество управления собственным активом
(конфликт интересов).
Качество работы коллектива (конфликт с
персоналом).
Скорость реакции на внешние факторы.
Стратегия и качество ведения самого бизнеса.
Выбранная стратеги управления рисками.

26. Уровни разработки политикиУровни разработки политики
безопасностибезопасности

27. Структура политики безопасностиСтруктура политики безопасности
Утверждённые модели (модель актуальных угроз,
модель нарушителя; анализ и управление рисками!).
Перечень защищаемых объектов.
Перечень лиц, имеющих доступ к защищаемым
объектам, и границы сетевых зон.
Перечень используемого ПО и его конфигураций.
Концепция информационной безопасности.
Набор инструкций, корпоративные приказы и
распоряжения.
Структура и схема активного сетевого
оборудования.

28. ПОНЯТИЕ ЗРЕЛОСТИ СОИБПОНЯТИЕ ЗРЕЛОСТИ СОИБ

29. Уровни зрелости
0-й уровень – уровень
отсутствия ИБ.
1-й уровень – уровень
частных решений.
2-й уровень – уровень
комплексных
решений.
3-й уровень – уровень
полной интеграции.

30. 0-й уровень
информационной
безопасностью в компании
никто не занимается,
руководство компании не
осознает важности
проблем информационной
безопасности;
финансирование
отсутствует;
информационной
безопасностью
реализуется штатными
средствами операционных
систем, СУБД и
приложений (парольная
защита, разграничение
доступа к ресурсам и
сервисам).

31. 1-й уровень
Информационная безопасность
рассматривается руководством
как чисто «техническая»
проблема, отсутствует единая
программа (концепция
информационной безопасности,
политика) развития СОИБ
компании;
Финансирование ведется в
рамках общего ИТ-бюджета;
Информационная безопасность
реализуется средствами
нулевого уровня плюс средства
резервного копирования,
антивирусные средства,
межсетевые экраны, средства
организации VPN, т.е.
традиционные средства защиты.

32. 2-й уровень  ИБ рассматривается руководством, как
комплекс организационных и
технических мероприятий, существует
понимание важности ИБ для бизнес-
процессов, есть утвержденная
руководством программа развития
СОИБ;
 финансирование ведется в рамках
отдельного бюджета;
 ИБ реализуется средствами первого
уровня плюс средства усиленной
аутентификации, средства анализа
почтовых сообщений и web-контента,
IDS, средства анализа защищенности,
SSO (средства однократной
аутентификации), PKI
(инфраструктура открытых ключей) и
организационные меры (внутренний и
внешний аудит, анализ риска,
политика информационной
безопасности, положения, процедуры,
регламенты и руководства).

33. 3-й уровень
ИБ является частью
корпоративной культуры,
назначен CISA (старший
администратор по вопросам
обеспечения ИБ);
Финансирование ведется в
рамках отдельного бюджета;
ИБ реализуется средствами
второго уровня плюс системы
управления информационной
безопасностью, CSIRT (группа
реагирования на инциденты
нарушения информационной
безопасности), SLA (соглашение
об уровне сервиса).

34. Обнаруженные уязвимости в 2009
году

35. Типы уязвимостей

36. Спасибо за внимание!Спасибо за внимание!