Лекция 2. Угрозы. Пирамидальный подход. Комплексная система

реклама
Информационная безопасность
и защита информации
Ю. А. Смолий
Угрозы. Пирамидальный подход к защите информации
ЛЕКЦИЯ 2
Классический «пирамидальный» подход
Контрмеры
Угроза
(нарушитель)
Объект
(уязвимость)
Контрмера – конкретное
мероприятие, призванное
ликвидировать угрозу или
минимизировать последствия от ее
реализации.
Угроза безопасности –
потенциальное нарушение
безопасности, любое обстоятельство,
которое может явиться причиной
нанесения ущерба предприятию.
Объекты – ресурсы предприятия (в
т.ч. информационные). Уязвимость –
недостаток в системе обработки и
хранения информации, используя
который, можно намеренно нанести
этой системе повреждения.
Информационные ресурсы, определение
Контрмеры
Угроза
(нарушитель)
Объект (уязвимость)
Объектами могут быть любые ресурсы
(материальные объекты, персонал, финансы,
информационные ресурсы)
ФЗ "Об информации, информационных
технологиях и защите информации" от 27 июля
2006 года:
Информационные ресурсы предприятия
включают в себя отдельные документы и
отдельные массивы документов (дела), документы
и комплексы документов в информационных
системах (библиотеках, архивах, фондах, банках
данных компьютеров и других информационных
системах) на любых носителях, в том числе,
обеспечивающих работу вычислительной и
организационной техники.
Классификация информационных ресурсов
По масштабу формирования:
• мировые,
• национальные,
• региональные
• локальные ресурсы.
Классификация информационных ресурсов
По виду информации в различные группы могут быть отнесены
информационные ресурсы, содержащие:
• правовую информацию,
• научно-техническую информацию,
• политическую информацию,
• финансово-экономическую информацию,
• статистическую информацию, информацию о стандартах и регламентах,
метрологическую информацию, социальную информацию,
политическую информацию, информацию о здравоохранении,
информацию о чрезвычайных ситуациях, персональную информацию
(персональные данные), кадастры (земельный, градостроительный,
имущественный, лесной, другие), информацию иного вида.
Классификация информационных ресурсов
По принадлежности к тому или иному виду собственности:
• общероссийское национальное достояние;
• государственная собственность;
• федеральная собственность;
• собственность субъектов РФ;
• совместная (федеральная и субъектов Федерации);
• муниципальная собственность;
• частная собственность;
• коллективная собственность.
Классификация по степени
конфиденциальности
Ограниченного доступа и использования
Открытая
(общедоступная)
Высшая степень
конфиденциальности
Строго
конфиденциальная
информация
Конфиденциальная
информация
Информация
ограниченного
доступа
Классификация по степени конфиденциальности
Ограниченного доступа и использования – подлежит защите,
охране, наблюдению и контролю.
1.
Высшая степень конфиденциальности. Данная информация является
ключевой в деятельности фирмы, основой ее нормального
функционирования. Утрата или разглашение этой информации нанесет
непоправимый ущерб деятельности фирмы. Это – угроза высокой степени
тяжести, последствия реализации которой могут ликвидировать саму
фирму.
Высшая степень конфиденциальности
Также к информации высшей степени
конфиденциальности причисляют:
• Государственную тайну – защищаемые государством
сведения в области его военной, внешнеполитической,
экономической, разведывательной, контрразведывательной
и оперативно-розыскной деятельности, распространение
которых может нанести ущерб безопасности Российской
Федерации (регулируется ФЗ "О государственной тайне" от 21
июля 1993 года).
Высшая степень конфиденциальности
Также к информации высшей степени конфиденциальности
причисляют:
• Служебную тайну – это защищаемая по закону
конфиденциальная информация, ставшая известной в
государственных органах и органах местного
самоуправления только на законных основаниях и в силу
исполнения их представителями служебных обязанностей,
а также служебная информация о деятельности
государственных органов, доступ к которой ограничен
федеральным законом или в силу служебной
необходимости, обращение с такой информацией
регламентируется статьей 139 ГК РФ, Указом Президента
РФ «Об утверждении перечня сведений
конфиденциального характера» N 188 от 06 марта 1997 г..
Высшая степень конфиденциальности
Также к информации высшей степени конфиденциальности причисляют:
• Коммерческую тайну (см. Лекцию 4).
• Профессиональную тайну – защищаемая по закону информация, доверенная
или ставшая известной лицу (держателю) исключительно в силу исполнения им
своих профессиональных обязанностей, не связанных с государственной или
муниципальной службой, распространение которой может нанести ущерб
правам и законным интересам другого лица (доверителя), доверившего эти
сведения, и не являющаяся государственной или коммерческой тайной;
Примеры профессиональной тайны
К профессиональной тайне относят:
• тайну исповеди – сведения, доверенные гражданином
священнослужителю на исповеди;
• банковскую тайну, в рамках сохранения которой банк
гарантирует тайну банковского счета и банковского вклада,
операций по счету и сведений о клиенте (регламентируется
положениями федерального закона N 395-1 от 02.12.1990 "О
банках и банковской деятельности");
• журналистскую тайну (регламентируется Законом РФ N 2124-1
от 27.12.1991 "Закон о средствах массовой информации"), в
соответствии с которым редакция не вправе разглашать в
распространяемых сообщениях и материалах сведения,
предоставленные гражданином с условием сохранения их в
тайне. Также редакция обязана сохранять в тайне источники
информации и не вправе называть лицо, предоставившее
сведения с условием неразглашения его имени, за
исключением случая, когда соответствующее требование
поступило от суда в связи с находящимся в его производстве
делом;
Примеры профессиональной тайны
К профессиональной тайне относят:
• адвокатскую тайну (регламентирующуюся федеральным
законом № 63-ФЗ от 31.05.2002 "Об адвокатской деятельности и
адвокатуре в Российской Федерации"), в соответствии с
которой защите подлежат любые сведения, сообщенные
клиентом адвоката своему доверителю, при этом адвокат не
может быть вызван в суд в качестве свидетеля, и даже в случае
приостановления или прекращения адвокатского статуса
бывший адвокат может давать показания только по вопросам,
не касающимся дел, находящихся у него в производстве;
• нотариальную тайну (регламентирующуюся Законом РФ №
4462-1 от 11.02.1993 "Основы законодательства Российской
Федерации о нотариате) – сведения, доверенные нотариусу в
связи с совершением нотариальных действий;
Примеры профессиональной тайны
К профессиональной тайне относят:
• врачебную тайну (регламентирующуюся Законом № 5487-1 от 22.07.1993
"Основы законодательства Российской Федерации об охране здоровья
граждан") к которой относится информация о факте обращения за
медицинской помощью, состоянии здоровья гражданина, диагнозе его
заболевания и иные сведения, полученные при его обследовании и
лечении.
Предоставление сведений, составляющих врачебную тайну, без согласия
гражданина/его законного представителя допускается в следующих пяти
случаях: в целях обследования и лечения гражданина, неспособного из-за
своего состояния выразить свою волю (бессознательное состояние, острый
психоз); при угрозе распространения инфекционных заболеваний,
массовых отравлений и поражений, по запросу органов дознания и
следствия, прокурора и суда в связи с проведением расследования или
судебным разбирательством (даются ответы только на конкретные
вопросы: возможность участвовать в судебном заседании, воспитывать
ребенка, право на дополнительную жилплощадь.); в случае оказания
помощи несовершеннолетнему в возрасте до 15 лет для информирования
его родителей или законных представителей; при наличии оснований,
позволяющих полагать, что вред здоровью гражданина причинен в
результате противоправных действий;
Примеры профессиональной тайны
К профессиональной тайне относят:
• тайну совещательной комнаты (комнаты, куда удаляются судьи для принятия вердикта) и
тайну заседания присяжных заседателей;
• аудиторскую тайну (см. федеральный закон № 307-ФЗ от 30.12.2008 "Об аудиторской
деятельности");
• личную тайну: в нее входят тайна индивидуальности – без специального предоставления
сведений правообладателем для третьих лиц нет способа индивидуализации личности
кроме внешнего облика; тайну прошлого – к ней относятся сведения о происхождении
лица, о его времяпрепровождении в прошлом – например, сведения о том, что лицо имеет
снятую судимость; тайну социального обособления – социальные координаты лица (место
работы, жительства, традиционно посещаемые места проведения досуга, уровень
образования);
Высшая степень конфиденциальности
Также к информации высшей степени конфиденциальности
причисляют:
• Семейную тайну, которая включает в себя тайну семейных взаимодействий
(состояние в открытом, реальном или гражданском браке) и тайну усыновления
(тайна факта усыновления; тайна подлинных имени, места рождения ребенка, если
таковые были изменены в соответствии с нормами СК, а также сведения о его
кровных родителях).
• Тайну корреспонденции, которую образуют: содержание почтовых (в т.ч. с
использованием электронной почты), телеграфных, телетайпных, телефонных (в
т.ч. при помощи сотовой связи, факса) и иных сообщений; информация о лицах,
осуществляющих контакт; сведения о наличии или отсутствии корреспонденции
на имя лица (регламентируется федеральным законом № 126-ФЗ от 07.07.2003 "О
связи").
Классификация информации по степени
конфиденциальности
• Строго конфиденциальная информация. Утечка этой информации может
вызвать значительные по тяжести последствия. Это информация о
стратегических планах фирмы, о перспективных соглашениях и т.п.
• Конфиденциальная информация – ее разглашение наносит фирме ущерб,
сопоставимый с текущими затратами фирмы, ущерб может быть преодолен в
сравнительно короткие сроки.
• Информация ограниченного доступа – ее утечка оказывает незначительное
негативное воздействие на экономическое положение фирмы (примером
такой информации могут служить должностные инструкции, структура
управления). К этой информации относится служебная информация
ограниченного распространения, доступ к которой регулируется
Постановлением Правительства РФ № 1233 от 03.11.1994 " Об утверждении
Положения о порядке обращения со служебной информацией ограниченного
распространения в федеральных органах исполнительной власти".
Не могут быть отнесены к конфиденциальной
информации
•
•
•
•
учредительные документы;
документы, дающие право заниматься предпринимательской деятельностью;
документы о платежеспособности;
о составе имущества государственного или муниципального унитарного
предприятия, государственного учреждения и об использовании ими средств
соответствующих бюджетов;
• о загрязнении окружающей среды, состоянии противопожарной
безопасности, санитарно-эпидемиологической и радиационной обстановке,
безопасности пищевых продуктов и других факторах, оказывающих
негативное воздействие на обеспечение безопасного функционирования
производственных объектов, безопасности каждого гражданина и
безопасности населения в целом;
Не могут быть отнесены к конфиденциальной
информации
• о численности, о составе работников, о системе оплаты труда, об условиях
труда, в том числе об охране труда, о показателях производственного
травматизма и профессиональной заболеваемости, и о наличии свободных
рабочих мест;
• о задолженности работодателей по выплате заработной платы, по иным
социальным выплатам; документы об уплате налогов и обязательных
платежах;
• о нарушениях законодательства Российской Федерации и фактах
привлечения к ответственности за совершение этих нарушений;
• и некоторые другие.
Угрозы, типология
Контрмеры
Угроза
(нарушитель)
Объект (уязвимость)
Угроза – потенциально возможное событие,
действие или воздействие, явление или
процесс, которые могут привести к
нарушению одного из трех свойств
информации.
Свойства угрозы:
- наличие объекта, на который направлена
угроза;
- наличие источника, внешнего по
отношению к объекту;
- вероятностный характер.
Типология угроз по объекту угрозы
Угрозы персоналу
• Убийства; похищения и
угрозы;
• Похищения
сотрудников, членов их
семей и близких
родственников;
• Психологический
террор, угрозы,
запугивания, шантаж и
вымогательство.
Угрозы материальным
ресурсам
Угрозы финансам
• Повреждение зданий,
помещений и
недвижимого
имущества.
• Кража/угон и
уничтожение
транспортных средств.
• Вывод из строя систем
связи.
• Кража оборудования и
прочего имущества
организации.
• Кража финансовых
средств и ценностей.
• Мошенничество с
финансовыми
средствами.
Фальсификация
валюты и финансовых
документов.
• неплатежеспособность
клиентов;
• невозврат ссуд;
• подрыв доверия.
Угрозы информации
• Нарушение трех
основных свойств
информации:
конфиденциальности,
целостности,
доступности.
Типология угроз по источникам
Природные
• Стихийные бедствия:
землетрясения, извержения
вулканов, сели, оползни,
лавины, обвалы,
наводнения, цунами,
пожары (лесные, степные,
торфяные).
• Магнитные бури
• Радиоактивное излучение и
осадки
Технические
Созданные людьми
• Отключения или колебания
электропитания и других
средств обеспечения
• Отказы и сбои аппаратнопрограммных средств
• Электромагнитные
излучения и наводки
• Утечки через каналы связи
(оптические, электрические,
звуковые)
• Непреднамеренные
действия: обслуживающего
персонала; управленческого
персонала; программистов;
пользователей АС; архивной
службы; службы
безопасности
• Преднамеренные действия:
всех тех же самых лиц (см.
выше), а также
несанкционированных
пользователей (военная
разведка, коммерческий
шпионаж, диверсии).
Нарушитель, определение
Нарушитель (в шир. см. сл) - физическое или юридическое лицо,
техническое устройство или программа, процесс или событие,
субъект или пользователь системы, производящий
несанкционированные или непреднамеренные действия
(операции) над информационной сферой объекта, способные
привести к потере одной или более характеристик
информационной безопасности системы - конфиденциальности,
целостности и доступности информационной сферы объекта.
В узком смысле слова под нарушителем обычно понимают
сотрудника организации или стороннее лицо, осуществляющее те
же действия, о которых говорилось ранее. «Внутренних»
нарушителей называют «инсайдерами».
Типология инсайдеров
Тип
Умысел
Корысть
Постановка
задачи
Действия при
невозможности реализации
Халатный
Нет
Нет
Нет
Сообщение
Манипулируемый
Нет
Нет
Извне
Сообщение
Обиженный
Да
Нет
Сам
Отказ
Нелояльный
Да
Нет
Сам
Имитация
Подрабатывающий
Да
Да
Сам/Извне
Отказ/Имитация/Взлом
Внедренный
Да
Да
Извне
Взлом
О видах инсайдеров
Халатные
• создают незлонамеренные ненаправленные угрозы, т.е нарушают правила хранения конфиденциальной информации, действуя
из лучших побуждений. Самые частые инциденты — вынос информации из офиса для работы с ней дома, в командировке и т.
д., с дальнейшей утерей носителя или доступом посторонних лиц к этой информации. Несмотря на добрые намерения, ущерб
от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить
копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или
системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен
Манипулируемые
• манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей,
персональных идентификационных номеров, реквизитов кредитных карт и адресов. Сотрудники, наткнувшись на
невозможность совершить требуемое манипулятором, обратятся в службу поддержки.
Обиженные (или саботажники)
• стремятся нанести вред компании из-за личных мотивов. Чаще всего мотивом такого поведения может быть обида из-за
недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в
корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных
атрибутов (ноутбука, автомобиля, секретаря). Обычно сотрудник не собирается покидать компанию, а цель сотрудника —
нанести вред, не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за
него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою
разрушительную энергию на что-нибудь другое, например на уничтожение или фальсификацию доступной информации, или
похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и
нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать.
О видах инсайдеров, продолжение
Нелояльные
• нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о
ее ценности и не имея представления, как они ее будут использовать. К этому же типу мы относим и тех сотрудников,
которые, решив сменить место работы, еще не сообщили об этом начальству и коллегам, и начавшие действовать в
своих интересах в ущерб интересам компании. Самый частый способ получения доступа к информации или
возможности ее скопировать, если они этой возможности не имеют, — это имитация производственной
необходимости. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив
информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как залог
для обеспечения комфортного увольнения — с компенсацией и рекомендациями, либо — как способ повысить свою
оценку новым работодателем, например, имея на руках клиентскую базу бывшего рекламодателя.
Подрабатывающие
• если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального «покупателя»
конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым
опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда
жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.
Внедренные
• специально устроены на работу для похищения информации .
Контрмеры
Контрмеры
Угроза
(нарушитель)
Объект (уязвимость)
Контрмеры или способы защиты информации
делятся на два больших класса:
1. меры ликвидации угрозы (их цель –
воздействовать на источник угрозы или
способ ее распространения так, чтобы
минимизировать вероятность успешной
реализации этой угрозы);
2. меры минимизации ущерба (направлены на
сам объект с целью минимизировать
негативные последствия от возможной
реализации угрозы).
Управление
доступом
Аппаратные
Маскировка
Программные
Регламентация
Организационные
Побуждение
Законодательные
Принуждение
Моральноэтические
Средства
Физические
Технические
Препятствия
Социально-правовые
Способы
Способы обеспечения безопасности информации и
средства, которыми они могут быть реализованы
Способы защиты информации
Препятствие заключается в создании на пути
распространения дестабилизирующего фактора
некоторого барьера, препятствующего воздействию
данного фактора или снижающего это воздействие до
допустимого уровня.
Типичными примерами препятствий могут служить
различные физические и логические препятствия.
Способы защиты информации
Управление защитой – это процесс целенаправленного
воздействия на средства и механизмы АС с целью
поддержания установленного технологического цикла
обработки и обмена информацией, обеспечивающего
требуемые параметры ее защищенности. Иначе говоря,
управление есть регулирование использования ресурсов АС с
целью решения одной или нескольких задач защиты
информации. В качестве ресурсов рассматриваются персонал,
базы данных (информация), технические и программные
средства и т.п.
С точки зрения пользователя управление защитой – прежде
всего управление доступом к информационным ресурсам АС,
осуществляемое по установленным правилам, определяемым
выбранной моделью управления доступом и политикой
безопасности.
Способы защиты информации
Маскировка предполагает такие
преобразования информации, которые делают ее либо
недоступной для нарушителя, либо существенно
затрудняют доступ к ней. Примером маскировки может
служить защита информации путем криптографического
преобразования (шифрования) или с использованием
методов стеганографии, позволяющих скрыть наличие
информации.
Способы защиты информации
Регламентация заключается в разработке и реализации
в процессе функционирования АИС комплексов
мероприятий, создающих такие условия обработки
информации, при которых минимизируется риск
воздействия дестабилизирующих факторов.
Регламентация охватывает как структурное построение
АИС, так и технологию обработки информации,
организацию работы персонала и пользователей.
Способы защиты информации
Принуждение заключается в создании такой обстановки, при
которой персонал и пользователи АИС вынуждены соблюдать
установленные правила обработки информации под угрозой
материальной, административной и уголовной ответственности за
нарушение установленных правил.
Способы защиты информации
Побуждение связано с созданием условий, при которых соблюдение
правил обращения с защищаемой информацией регулируются
благодаря материальным, моральным и нравственными нормами.
Средства защиты информации
Формальные
Технические
Аппаратные
Физические
Программные
• Формальные - СЗ, выполняющие свои
функции по заранее установленным
процедурам (алгоритмам) без
вмешательства человека.
• Физические - СЗ, которые создают
физические препятствия на пути к
защищаемым данным (механические
преграды, замки, датчики, системы
видеонаблюдения, охранной и пожарной
сигнализации).
• Аппаратные СЗ - технические устройства,
являющиеся неотъемлемым компонентом
аппаратуры системы обработки
информации (ИБП, экранирование
аппаратуры и каналов связи).
• Программными называются средства
защиты данных, функционирующие в
составе программного обеспечения.
Задачи программных СЗ
• идентификация и аутентификация (подтверждение подлинности)
пользователей, процессов и технических устройств;
• определение полномочий пользователей, процессов и технических устройств
(разграничение доступа и распределение ресурсов);
• надежное уничтожение информации в оперативной памяти и на внешних
носителях данных по окончании использования выделенной области памяти
или в случае нарушения установленных правил обработки информации;
• регистрация критичных событий (ведение системного журнала);
• обнаружение нарушений правил обработки информации и реагирование на них
(формирование сигналов о нарушениях, блокировка пользователей);
• выполнение криптографических преобразований.
Средства защиты информации
Неформальные
• Организационные средства - это
организационно-технические и
организационно-правовые мероприятия,
осуществляемые с целью обеспечения
безопасности информации в процессе
создания и эксплуатации ИС.
• Законодательные средства – нормативноправовые акты, регулирующие права и
обязанности, а также устанавливающие
ответственность всех лиц (в т.ч.
нарушителей) и подразделений, имеющих
отношение к функционированию ИС, за
нарушение правил обработки информации.
Организационные
Законодательные
Моральноэтические
• Морально-этические средства – это
сформировавшиеся в обществе,
организации или отдельном коллективе
моральные нормы и этические правила,
соблюдение которых способствует решению
задач защиты информации.
Многоуровневая защита ИС
Составляющие безопасности. Комплексная защита
информации. Понятие и задачи.
ЛЕКЦИЯ 2, ЧАСТЬ 2
Безопасность. Информационная безопасность.
Информационная безопасность является составной частью целого
комплекса мер по обеспечению безопасности объекта.
В роли объекта могут выступать системы различного масштаба – это
может быть компьютер, производственная линия, организация,
государство.
Конкретные схемы обеспечения КБ могут изменяться в зависимости
от масштаба объекта и его специфики, но принцип
многогранности остается неизменным.
Комплексная система обеспечения безопасности
(на примере организации)
Комплексная
безопасность
Физическая
безопасность
Правовая
безопасность
Маркетинговая
безопасность
Информационная
безопасность
Задачи подсистем КБ (объект – организация)
Маркетинговая безопасность
• предполагает наличие аналитических исследований добросовестных конкурентов и партнеров, конъюнктуры
рынка продукции, анализ направленности недобросовестных конкурентов, злоумышленников, организацию
разведки в бизнесе, аналитическую работу по выявлению ситуаций, несущих потенциальную опасность для
деятельности организации
Физическая безопасность
• предполагает наличие обученного персонала охраны, эффективной инженерной системы охраны территории,
здания, помещений, имущества и персонала фирмы, наличие установленного взаимодействия с
правоохранительными органами, регламентацию действий персонала в экстремальных ситуациях,
организацию службы телохранителей, охраны инкассации, наличие эффективных средств пожаротушения
Правовая безопасность
• предполагает наличие правовой грамотности учредителей и персонала, процессуальной защиты интересов
предпринимателя, лицензирование деятельности, правовое обеспечение защиты коммерческой тайны,
технических и технологических новшеств (т.н. know-how).
Информационная безопасность
• представляет собой совокупность направлений, методов, средств и мероприятий, проводимых на предприятии
с целью обеспечения необходимого уровня безопасности информационных ресурсов.
ИБ и ЗИ - что это?
• ИБ – защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных воздействий
естественного или искусственного характера, которые могут
нанести неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям информации
и поддерживающей инфраструктуры.
• Защита информации – это комплекс мероприятий, направленных
на обеспечение информационной безопасности.
ИБ и ЗИ – для чего это?
Цели деятельности по обеспечению ИБ
1. Ликвидация угроз как цель противодействия представляет
собой такой характер взаимодействия объекта безопасности
(или его компонентов) и источника угроз, при котором источник
перестает обладать свойством порождения угрозы.
2. Минимизация ущерба от реализации угрозы как цель
противодействия возникает тогда, когда ликвидация угроз не
представляется возможной. Эта цель представляет собой такой
характер взаимодействия субъекта обеспечения безопасности и
источника угроз, при котором проявляющиеся угрозы
своевременно выявляются, осуществляется выяснение и
устранение последствий их осуществления.
ИБ и ЗИ – как именно осуществлять?
Защита информации от утечки
• деятельность, направленная на предотвращение неконтролируемого распространения защищаемой
информации в результате ее разглашения, несанкционированного доступа к информации.
Защита информации от несанкционированного воздействия
• деятельность, направленная на предотвращение воздействия на защищаемую информацию с
нарушением установленных прав и (или) правил на изменение информации, приводящего к ее
искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению
или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия
• деятельность, направленная на предотвращение воздействия на защищаемую информацию,
ошибок ее пользователя, сбоя технических и программных средств информационных систем,
природных явлений или иных нецеленаправленных на изменение информации мероприятий,
приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя
информации.
ИБ и ЗИ – с чего начать?
Отправная точка деятельности по обеспечению ИБ – изучение
защищаемого объекта, создание эскиза системы:
• Цель построения системы.
• Задачи, решаемые системой.
• Состав системы.
• Анализ окружения.
Цель системы
• Зачем работает система?
• Что является основным, что дополнительным?
• Чем можно пожертвовать в случае инцидента?
Задачи системы
• Что в спектре задач первостепенно, что второстепенно?
• Каковы критерии качества работы системы?
Состав системы
• Из каких элементов состоит система? Как они взаимосвязаны?
• Что можно отключить последним?
Анализ окружения
• Внешние по отношению к защищаемому объекту элементы.
Зачем нужен эскиз?
Эскиз – попытка собрать все значимые сведения о защищаемом
объекте и его окружении для того, чтобы оценить имеющиеся
уязвимости, предсказать возможные угрозы и предложить
эффективные контрмеры (пирамидальный подход).
«Подводные камни»
• Величина внутренних издержек (конфликт стоимости СЗИ).
• Качество управления (конфликт интересов).
• Качество работы коллектива (конфликт с персоналом).
• Скорость реакции на внешние факторы.
• Стратегия и качество ведения бизнеса.
• Стратегия управления рисками.
Скачать