Лекция 2. Пирамидальный подход к информационной

реклама
Информационная безопасность
Ю. А. Смолий
Пирамидальный подход к ИБ
ЛЕКЦИЯ 2
Классический «пирамидальный» подход
Контрмеры
Угроза
(нарушитель)
Объект
(уязвимость)
Контрмера – конкретное
мероприятие, призванное
ликвидировать угрозу или
минимизировать последствия от ее
реализации.
Угроза безопасности –
потенциальное нарушение
безопасности, любое обстоятельство,
которое может явиться причиной
нанесения ущерба предприятию.
Объекты – ресурсы предприятия (в
т.ч. информационные). Уязвимость –
недостаток в системе обработки и
хранения информации, используя
который, можно намеренно нанести
этой системе повреждения.
Объекты
Типовые объекты – это ресурсы.
Виды ресурсов:
материальные
• Материальные ресурсы;
• Персонал;
неинформационные
• Финансы;
• Информационные ресурсы.
нематериальные
информационные
Типология угроз по объекту угрозы
Угрозы персоналу
• Убийства; похищения и
угрозы;
• Похищения
сотрудников, членов их
семей и близких
родственников;
• Психологический
террор, угрозы,
запугивания, шантаж и
вымогательство.
Угрозы материальным
ресурсам
Угрозы финансам
• Повреждение зданий,
помещений и
недвижимого
имущества.
• Кража/угон и
уничтожение
транспортных средств.
• Вывод из строя систем
связи.
• Кража оборудования и
прочего имущества
организации.
• Кража финансовых
средств и ценностей.
• Мошенничество с
финансовыми
средствами.
Фальсификация
валюты и финансовых
документов.
• неплатежеспособность
клиентов;
• невозврат ссуд;
• подрыв доверия.
Угрозы информации
• Нарушение трех
основных свойств
информации:
конфиденциальности,
целостности,
доступности.
Типология угроз по источникам
Природные
• Стихийные бедствия:
землетрясения, извержения
вулканов, сели, оползни,
лавины, обвалы,
наводнения, цунами,
пожары (лесные, степные,
торфяные).
• Магнитные бури
• Радиоактивное излучение и
осадки
Технические
Созданные людьми
• Отключения или колебания
электропитания и других
средств обеспечения
• Отказы и сбои аппаратнопрограммных средств
• Электромагнитные
излучения и наводки
• Утечки через каналы связи
(оптические, электрические,
звуковые)
• Непреднамеренные
действия: обслуживающего
персонала; управленческого
персонала; программистов;
пользователей АС; архивной
службы; службы
безопасности
• Преднамеренные действия:
всех тех же самых лиц (см.
выше), а также
несанкционированных
пользователей (военная
разведка, коммерческий
шпионаж, диверсии).
Нарушитель, определение
Нарушитель (в шир. см. сл) - физическое или юридическое лицо,
техническое устройство или программа, процесс или событие,
субъект или пользователь системы, производящий
несанкционированные или непреднамеренные действия
(операции) над информационной сферой объекта, способные
привести к потере одной или более характеристик
информационной безопасности системы - конфиденциальности,
целостности и доступности информационной сферы объекта.
В узком смысле слова под нарушителем обычно понимают
сотрудника организации или стороннее лицо, осуществляющее те
же действия, о которых говорилось ранее. «Внутренних»
нарушителей называют «инсайдерами».
Типология инсайдеров
Тип
Умысел
Корысть
Постановка
задачи
Действия при
невозможности реализации
Халатный
Нет
Нет
Нет
Сообщение
Манипулируемый
Нет
Нет
Извне
Сообщение
Обиженный
Да
Нет
Сам
Отказ
Нелояльный
Да
Нет
Сам
Имитация
Подрабатывающий
Да
Да
Сам/Извне
Отказ/Имитация/Взлом
Внедренный
Да
Да
Извне
Взлом
О видах инсайдеров
Халатные
• создают незлонамеренные ненаправленные угрозы, т.е нарушают правила хранения конфиденциальной информации, действуя
из лучших побуждений. Самые частые инциденты — вынос информации из офиса для работы с ней дома, в командировке и т.
д., с дальнейшей утерей носителя или доступом посторонних лиц к этой информации. Несмотря на добрые намерения, ущерб
от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить
копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или
системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен
Манипулируемые
• манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей,
персональных идентификационных номеров, реквизитов кредитных карт и адресов. Сотрудники, наткнувшись на
невозможность совершить требуемое манипулятором, обратятся в службу поддержки.
Обиженные (или саботажники)
• стремятся нанести вред компании из-за личных мотивов. Чаще всего мотивом такого поведения может быть обида из-за
недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в
корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных
атрибутов (ноутбука, автомобиля, секретаря). Обычно сотрудник не собирается покидать компанию, а цель сотрудника —
нанести вред, не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за
него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою
разрушительную энергию на что-нибудь другое, например на уничтожение или фальсификацию доступной информации, или
похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и
нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать.
О видах инсайдеров, продолжение
Нелояльные
• нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о
ее ценности и не имея представления, как они ее будут использовать. К этому же типу мы относим и тех сотрудников,
которые, решив сменить место работы, еще не сообщили об этом начальству и коллегам, и начавшие действовать в
своих интересах в ущерб интересам компании. Самый частый способ получения доступа к информации или
возможности ее скопировать, если они этой возможности не имеют, — это имитация производственной
необходимости. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив
информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как залог
для обеспечения комфортного увольнения — с компенсацией и рекомендациями, либо — как способ повысить свою
оценку новым работодателем, например, имея на руках клиентскую базу бывшего рекламодателя.
Подрабатывающие
• если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального «покупателя»
конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым
опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда
жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.
Внедренные
• специально устроены на работу для похищения информации .
Деятельность по обеспечению ИБ (контрмеры)
Обеспечение ИБ - деятельность, направленная на предотвращение
утечки защищаемой информации информационной сферы объекта,
несанкционированных или непреднамеренных воздействий
нарушителя информационной безопасности, на обнаружение
последствий от не предотвращенных воздействий нарушителя
информационной безопасности и на ликвидацию последствий
воздействия нарушителя информационной безопасности на
информационную сферу объекта.
Основные элементы ИБ
Защита информации от утечки
• деятельность, направленная на предотвращение неконтролируемого распространения защищаемой
информации в результате ее разглашения, несанкционированного доступа к информации.
Защита информации от несанкционированного воздействия
• деятельность, направленная на предотвращение воздействия на защищаемую информацию с
нарушением установленных прав и (или) правил на изменение информации, приводящего к ее
искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению
или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия
• деятельность, направленная на предотвращение воздействия на защищаемую информацию,
ошибок ее пользователя, сбоя технических и программных средств информационных систем,
природных явлений или иных нецеленаправленных на изменение информации мероприятий,
приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя
информации.
Цели деятельности по обеспечению ИБ
1. Ликвидация угроз как цель противодействия представляет
собой такой характер взаимодействия объекта безопасности
(или его компонентов) и источника угроз, при котором источник
перестает обладать свойством порождения угрозы.
2. Минимизация ущерба от реализации угрозы как цель
противодействия возникает тогда, когда ликвидация угроз не
представляется возможной. Эта цель представляет собой такой
характер взаимодействия субъекта обеспечения безопасности и
источника угроз, при котором проявляющиеся угрозы
своевременно выявляются, осуществляется выяснение и
устранение последствий их осуществления.
Стратегия и тактика в обеспечении КБПД
Стратегия
Тактика
Реактивная
применяется в случае возникновения
или реального осуществления какихлибо долгосрочных угроз
экономической безопасности
предпринимательства
Применение конкретных процедур и
осуществление конкретных действий в
ответ на свершившееся (установка систем
видеонаблюдения «пост-фактум»,
обращение в правоохранительные органы и
т.п.)
Превентивная
реализуется через регулярную,
непрерывную, работу всех
подразделений по проверке
контрагентов, анализу предполагаемых
сделок, экспертизе документов,
выполнению правил работы с
конфиденциальной информацией и т.п.
Конкретные мероприятия, направленые на
предотвращение конкретного
высоковероятного события (приобретение
антивирусного ПО до момента
возникновения инцидента, превентивное
создание юридической службы и т.п.)
«Лестничная» модель уровней ИБ на предприятии
5. Полная защита + нападение
4. Расследование инцидентов
3. Активная защита
2. Пассивная защита
1. Построение архитектуры
5. Применение полного спектра мер
с уровней 1..4 + правовые меры
защиты + активные действия,
направленные вовне предприятия.
4. Агрегирование данных с уровня 3
в отчеты, становящиеся базисом
для разработки превентивных мер,
для стратегического планирования
и т.п.
3. Системы отслеживания
аномальной активности,
управление логами, управление
инцидентами, анализ вредоносного
кода.
2. Почти не требует участия
человека – антивирусы, межсетевые
экраны, автоматические средства
защиты.
1. Выделение сегментов, областей
защиты, категорирование
информации.
Уровни ИБ на практике
Деятельность сторонних государств и их
служб
"Спонсируемые" инциденты
Киберпреступность
"Типовые" инциденты
ОсновнойОсновнойОсновнойОсновнойОсновнойОсновной
Отсутствие
ИБ
Архитектура
Пассивная
ИБ
Активная Расследование
ИБ
инцидентов
Полная
защита
КБПД, определение
Комплексная система обеспечения безопасности
предпринимательской деятельности – это совокупность
взаимосвязанных мероприятий организационно-правового характера,
осуществляемых в целях защиты предпринимательской деятельности
от реальных или потенциальных действий физических или
юридических лиц, которые могут привести к существенным
экономическим потерям
Цель деятельности по достижению и поддержанию КБПД
минимизация внешних и внутренних угроз экономическому
состоянию субъекта предпринимательства, в том числе его
финансовым, материальным, информационным, кадровым
ресурсам, на основе разработанного и реализуемого комплекса
мероприятий экономико-правового и организационного характера.
Комплексная система обеспечения безопасности
Комплексная
безопасность
Физическая
безопасность
Правовая
безопасность
Маркетинговая
безопасность
Информационная
безопасность
Задачи подсистем КБПД
Маркетинговая безопасность
• предполагает наличие аналитических исследований добросовестных конкурентов и партнеров, конъюнктуры
рынка продукции, анализ направленности недобросовестных конкурентов, злоумышленников, организацию
разведки в бизнесе, аналитическую работу по выявлению ситуаций, несущих потенциальную опасность для
деятельности организации
Физическая безопасность
• предполагает наличие обученного персонала охраны, эффективной инженерной системы охраны территории,
здания, помещений, имущества и персонала фирмы, наличие установленного взаимодействия с
правоохранительными органами, регламентацию действий персонала в экстремальных ситуациях,
организацию службы телохранителей, охраны инкассации, наличие эффективных средств пожаротушения
Правовая безопасность
• предполагает наличие правовой грамотности учредителей и персонала, процессуальной защиты интересов
предпринимателя, лицензирование деятельности, правовое обеспечение защиты коммерческой тайны,
технических и технологических новшеств (т.н. know-how).
Информационная безопасность
• представляет собой совокупность направлений, методов, средств и мероприятий, проводимых на предприятии
с целью обеспечения необходимого уровня безопасности информационных ресурсов.
Скачать