Информационная безопасность

Содержание

Слайд 2

Понятие информации, информационной системы

Информационная система – взаимосвязанная совокупность средств, методов и персонала,

Понятие информации, информационной системы Информационная система – взаимосвязанная совокупность средств, методов и
используемая для хранения, обработки и выдачи информации в интересах достижения поставленной цели.

Информация – отражение реального мира, выражающееся в виде сигналов, знаков.

Слайд 3

Общие сведения о защите информации

«Информационная безопасность – это свойство сетей связи общего

Общие сведения о защите информации «Информационная безопасность – это свойство сетей связи
пользования противостоять возможности реализации нарушителем угрозы информационной безопасности».

Слайд 4

Субъекты информационных отношений

владельцы и пользователи информации и поддерживающей инфраструктуры.

Поддерживающая инфраструктура

Субъекты информационных отношений владельцы и пользователи информации и поддерживающей инфраструктуры. Поддерживающая инфраструктура

средства вычислительной техники, помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и обслуживающий персонал

Слайд 5

Защита информации

комплекс правовых, организационных и технических мероприятий и действий по предотвращению

Защита информации комплекс правовых, организационных и технических мероприятий и действий по предотвращению
угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах

Цель защиты информации - уменьшение размеров ущерба до допустимых значений

Слайд 6

Что защищать?
От чего (кого) защищать?
- Как защищать?

Концепция Информационной Безопасности

Что защищать? От чего (кого) защищать? - Как защищать? Концепция Информационной Безопасности

Слайд 7

Основные составляющие информационной безопасности

Confidentiality— «конфиденциальность» — свойство информации быть недоступной или

Основные составляющие информационной безопасности Confidentiality— «конфиденциальность» — свойство информации быть недоступной или
закрытой для неавторизованных лиц, сущностей или процессов;
Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов (статическая, динамическая);
Availability — «доступность» — свойство быть доступным и готовым к использованию по запросу авторизованного субъекта

Нарушение любой из трех составляющих приводит к нарушению информационной безопасности в целом.

Слайд 8

Объекты защиты

Все виды информационных ресурсов
Права граждан, юридических лиц и государства
Система формирования, распространения

Объекты защиты Все виды информационных ресурсов Права граждан, юридических лиц и государства
и использования информации
Система формирования общественного сознания

Слайд 9

Правовые основы информационной безопасности общества.

Конституция РФ
Стратегия национальной безопасности РФ

Федеральные законы
Указы Президента

Правовые основы информационной безопасности общества. Конституция РФ Стратегия национальной безопасности РФ Федеральные
РФ
Постановления Правительства РФ
Межведомственные руководящие документы и стандарты

Слайд 10

Федеральные органы, регулирующие деятельность в сфере обработки ПДн

Роскомнадзор

ФСТЭК России

ФСБ России

Федеральные органы, регулирующие деятельность в сфере обработки ПДн Роскомнадзор ФСТЭК России ФСБ России

Слайд 11

Федеральный закон 149-ФЗ
"Об информации, информационных технологиях и о защите информации"

Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации" 27
27 июля 2006 г.

Закон регулирует отношения, возникающие при:
- осуществлении права на поиск, получение, передачу, производство и распространение информации
- применении информационных технологий
- обеспечении защиты информации.

Слайд 12

ФЗ-149 "Об информации, информационных технологиях и о защите информации" создает правовую основу

ФЗ-149 "Об информации, информационных технологиях и о защите информации" создает правовую основу
информационного обмена в РФ и определяет права и обязанности его субъектов.

Слайд 13

18 статей закона

принципы правового регулирования отношений в сфере информации, информационных технологий и

18 статей закона принципы правового регулирования отношений в сфере информации, информационных технологий
защиты информации
категории информации в зависимости от порядка ее предоставления или распространения
права и обязанности обладателя информации (оператора)

Слайд 14

Порядок отнесения информационных систем (ИС) к муниципальным, государственным и иным ИС

Порядок отнесения информационных систем (ИС) к муниципальным, государственным и иным ИС

Слайд 15

 
Нельзя собирать и распространять информацию о жизни человека без его согласия.
Все информационные

Нельзя собирать и распространять информацию о жизни человека без его согласия. Все
технологии равнозначны.
Есть информация, к которой нельзя ограничивать доступ
Некоторую информацию распространять запрещено
Обязательность защиты информации
Реестр запрещенных сайтов.
Блокировка/разблокировка сайтов

Слайд 17

Органы защиты государственной тайны

- Межведомственная комиссия по защите государственной тайны;
- Федеральные

Органы защиты государственной тайны - Межведомственная комиссия по защите государственной тайны; -
органы исполнительной власти, уполномоченные в области:
- обеспечения безопасности - Федеральная служба по техническому и экспортному контролю (ФСТЭК);
обороны – Министерство обороны
внешней разведки – ФСБ
противодействия техническим разведкам и технической защиты информации – ФСТЭК;
- другие органы.

Слайд 18

Конфиденциальная информация

Указ Президента РФ №188 от 06.03.1977
«Перечень сведений конфиденциального характера

ПДн
Тайна

Конфиденциальная информация Указ Президента РФ №188 от 06.03.1977 «Перечень сведений конфиденциального характера
следствия и судопроизводства
Служебные сведения
Профессиональная тайна
Коммерческая тайна
«Ноу Хау»
личные делах осужденных

Слайд 19

Требования о защите информации, не составляющей государственную тайну

Приказ ФСТЭК России от 11

Требования о защите информации, не составляющей государственную тайну Приказ ФСТЭК России от
февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Слайд 20

Объекты защиты

Информация, содержащаяся в ИС, технические, общесистемное, прикладное, специальное программное обеспечение, информационные

Объекты защиты Информация, содержащаяся в ИС, технические, общесистемное, прикладное, специальное программное обеспечение,
технологии, а также средства защиты информации.

CIA (Confidentiality- Integrity – Availability)

Слайд 21

Этапы работ по обеспечению ИБ

Формирование требований к защите информации
Разработка системы защиты
Внедрение системы

Этапы работ по обеспечению ИБ Формирование требований к защите информации Разработка системы
защиты
Аттестация ИС и ввод ее в действие
Обеспечение защиты в процессе эксплуатации
Обеспечение защиты при выводе из эксплуатации.

Слайд 22

Формирование требований к защите информации

Класс защищенности определяет уровень защищенности информации. Классов три:

Формирование требований к защите информации Класс защищенности определяет уровень защищенности информации. Классов
К1, К2 и К3. Самый низкий класс – третий (К3), самый высокий – первый(К1).

Уровень значимости определяется степенью возможного ущерба от нарушения конфиденциальности, целостности или доступности информации. Может быть: высоким (УЗ 1), средним (УЗ 2) и низким (УЗ 3).

Слайд 23

Разработка и внедрение системы защиты

установка и настройка СЗ;
разработка документации
внедрение организационных мер защиты

Разработка и внедрение системы защиты установка и настройка СЗ; разработка документации внедрение
информации;
предварительные испытания;
опытная эксплуатация;
анализ уязвимостей и принятие мер защиты информации по их устранению;
приемочные испытания

Слайд 24

Аттестация и ввод в действие

Обеспечение защиты в процессе эксплуатации и выводе из

Аттестация и ввод в действие Обеспечение защиты в процессе эксплуатации и выводе из эксплуатации
эксплуатации

Слайд 25

Требования к мерам защиты информации, содержащейся в ИС

- идентификацию и аутентификацию;
- управление

Требования к мерам защиты информации, содержащейся в ИС - идентификацию и аутентификацию;
доступом;
- ограничение программной среды;
- защиту носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность информационной системы и информации;
- доступность информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.

Слайд 26

 Общий порядок действий по выбору мер защиты информации для их реализации

Общий порядок действий по выбору мер защиты информации для их реализации

Слайд 28

Группировка мер защиты по назначению

Идентификация и аутентификация субъектов доступа и объектов доступа

Группировка мер защиты по назначению Идентификация и аутентификация субъектов доступа и объектов
(ИАФ)
Управление доступом субъектов доступа к объектам доступа (УПД)
Ограничение программной среды (ОПС)
Защита машинных носителей информации (ЗНИ)
Регистрация событий безопасности (РСБ)
Антивирусная защита (АВЗ)
Обнаружение вторжений (СОВ)
Контроль (анализ) защищенности информации (АНЗ)
Обеспечение целостности информационной системы и информации (ОЦЛ)
Обеспечение доступности информации (ОДТ)
Защита среды виртуализации (ЗСВ)
Защита технических средств (ЗТС)
Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

Слайд 30

ПЕРСОНАЛЬНЫЕ ДАННЫЕ.

ФЗ-152 «Закон о Персональных Данных».

Цель закона:
Обеспечение защиты прав и свобод

ПЕРСОНАЛЬНЫЕ ДАННЫЕ. ФЗ-152 «Закон о Персональных Данных». Цель закона: Обеспечение защиты прав
человека и гражданина при обработке его персональных данных
В т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Слайд 31

Обработка ПДн

- сбор
- запись
- систематизацию
- накопление
- хранение
- уточнение (обновление, изменение)
-

Обработка ПДн - сбор - запись - систематизацию - накопление - хранение
извлечение
- использование
- передачу (распространение, предоставление, доступ)
- обезличивание
- блокирование
- удаление
- уничтожение ПД

Слайд 32

Категории ПДн

Постановление Правительства №119 от 01.11.2012

общедоступные сведения
специальные категории
биометрические параметры
иные

Категории ПДн Постановление Правительства №119 от 01.11.2012 общедоступные сведения специальные категории биометрические параметры иные

Слайд 33

Права субъекта ПДн и Оператора

Права субъекта ПДн и Оператора

Слайд 34

Обязанности оператора

Обязанности оператора

Слайд 35

Перед сбором и обработкой ПДн необходимо согласие их владельца.
Для защиты информации закон

Перед сбором и обработкой ПДн необходимо согласие их владельца. Для защиты информации
обязывает собирать ПДн только с конкретной целью.
ПДн подлежат удалению по требованию владельца.
Хранение и обработка баз ПДн должно осуществляться на территории Российской Федерации.
ПДн не подлежат разглашению и требуют защиты.

Слайд 36

Требования к защите ПДн

Постановление Правительства РФ от 1.11.20212г. № 1119 «Об утверждении

Требования к защите ПДн Постановление Правительства РФ от 1.11.20212г. № 1119 «Об
требований к защите ПД при их обработке в информационных системах ПД»

Слайд 37

Основные положения постановления

Требования к защите ПДн и уровни защищенности

Организационные и (или)

Основные положения постановления Требования к защите ПДн и уровни защищенности Организационные и
технические меры, определенные с учетом актуальных угроз безопасности

Выбор средств защиты

Слайд 38

Классификация ИС по виду обрабатываемых ПД

Специальные категории ПДн
Биометрические ПДн
Общедоступные ПДн
Иные ПДН

ПДн

Классификация ИС по виду обрабатываемых ПД Специальные категории ПДн Биометрические ПДн Общедоступные
сотрудников
ПДн НЕ сотрудников

Слайд 39

Класс защищенности ИС

Класс защищенности (К) = [уровень значимости информации; масштаб системы].

Устанавливаются

Класс защищенности ИС Класс защищенности (К) = [уровень значимости информации; масштаб системы].
три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – третий (К3), самый высокий – первый(К1)

Слайд 40

Уровень значимости информации определяется степенью возможного ущерба от нарушения, целостности или доступности

Уровень значимости информации определяется степенью возможного ущерба от нарушения, целостности или доступности
информации.

Уровень значимости информации

УЗ (УЗ 1 УЗ 2 УЗ 3) = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],

Слайд 41

Степень возможного ущерба

Высокая
Средняя
Низкая

УЗ 1 УЗ 2 УЗ 3

Степень возможного ущерба Высокая Средняя Низкая УЗ 1 УЗ 2 УЗ 3

Слайд 42

Масштаб ИС

Федеральный
Региональный
Объектовый

Масштаб ИС Федеральный Региональный Объектовый

Слайд 43

Класс защищенности информационной системы

Класс защищенности информационной системы

Слайд 44

УРОВЕНЬ ЗАЩИЩЕННОСТИ ПДн

При определении уровня защищенности ПДн учитываются

А) категория обрабатываемых ПД
Б)

УРОВЕНЬ ЗАЩИЩЕННОСТИ ПДн При определении уровня защищенности ПДн учитываются А) категория обрабатываемых
вид обработки по форме отношений
В) количество субъектов
Г) типы угроз.

Самым высоким уровнем защищенности является первый – УЗ1,
а самым низким – четвертый – УЗ4

Слайд 45

Угрозы информационной безопасности

Информационная безопасность - это защищенность информации и поддерживающей ее инфраструктуры

Угрозы информационной безопасности Информационная безопасность - это защищенность информации и поддерживающей ее
от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры

Триада CIA (Confidentiality- Integrity – Availability)

Нарушение любой из трех составляющих приводит к нарушению информационной безопасности в целом.

Слайд 46

Классификация угроз ИБ

По природе возникновения
По степени преднамеренности проявления
По источнику угроз

Классификация угроз ИБ По природе возникновения По степени преднамеренности проявления По источнику

По положению источника угроз
По степени зависимости от активности ИС.
По степени воздействия на ИС
По этапам доступа пользователей или программ к ресурсам
По месту расположения информации

Слайд 47

Угрозы безопасности ПД, актуальные угрозы безопасности ПД

Угрозы безопасности

Актуальные угрозы

Угрозы безопасности ПД, актуальные угрозы безопасности ПД Угрозы безопасности Актуальные угрозы

Слайд 48

Типы угроз

1-го типа
2-го типа
3-го типа

Типы угроз 1-го типа 2-го типа 3-го типа

Слайд 49

Уровни защищенности ПДн

Уровни защищенности ПДн

Слайд 50

Меры по обеспечению безопасности

идентификация и аутентификация
управление доступом
ограничение программной среды
защита машинных носителей

Меры по обеспечению безопасности идентификация и аутентификация управление доступом ограничение программной среды
информации
регистрация событий безопасности
антивирусная защита
обнаружение (предотвращение) вторжений
контроль (анализ) защищенности персональных данных
обеспечение целостности
обеспечение доступности
защита среды виртуализации
защита технических средств
защита информационной системы, ее средств, систем связи и передачи данных
выявление инцидентов и реагирование на них
управление конфигурацией информационной системы и системы защиты персональных данных.

Слайд 51

Приказ №21 ФСТЭК России от 18.02.2013

Приказ №21 ФСТЭК России от 18.02.2013

Слайд 52

Средства защиты информации

Средство защиты информации – техническое, программное, программно-техническое средство, вещество и

Средства защиты информации Средство защиты информации – техническое, программное, программно-техническое средство, вещество
(или) материал, используемые для защиты информации (ГОСТ Р 50922-2006)

Слайд 53

Классификация средств защиты информации

Классификация средств защиты информации

Слайд 54

Уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности

Уровни, характеризующие

Уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности Уровни,
безопасность применения средств для обработки и защиты информации

Устанавливается 6 уровней доверия.
Самый низкий уровень – шестой, самый высокий – первый

Слайд 56

Использование средств защиты информации в ИС для обеспечения уровня защищенности (ФСТЭК Приказ

Использование средств защиты информации в ИС для обеспечения уровня защищенности (ФСТЭК Приказ
№21

Пример:
а) для обеспечения 1 и 2 уровней защищенности ПД применяются:
СВТ не ниже 5 класса;
СОВ и САВ не ниже 4 класса;
МЭ не ниже 3 класса (угрозы 1-го или 2-го типов) не ниже 4 класса (угрозы 3-го)

Слайд 57

Классы СВТ

СВТ – совокупность программных и технических элементов систем обработки данных, способных

Классы СВТ СВТ – совокупность программных и технических элементов систем обработки данных,
функционировать самостоятельно или в составе других систем.

Классификация СВТ по уровню защищенности от НСД (класс защищенности СВТ)

Устанавливается семь классов защищенности СВТ от НСД к информации.
Самый низкий класс – седьмой, самый высокий – первый.

Слайд 59

Перечень минимально необходимых показателей по классам защищенности СВТ

Седьмой класс присваивают СВТ, к

Перечень минимально необходимых показателей по классам защищенности СВТ Седьмой класс присваивают СВТ,
которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса

Слайд 60

Классы систем обнаружения вторжений (СОВ)

Системы для обнаружения вторжений – программно-аппаратные решения, детектирующие

Классы систем обнаружения вторжений (СОВ) Системы для обнаружения вторжений – программно-аппаратные решения,
попытки нелегального доступа в ИС. (IDS – Intruson Detection System)
Системы для предотвращения вторжений – программно-аппаратные решения, предотвращающие попытки нелегального доступа в ИС. (IPS – Intruson Prevention System)

Слайд 62

Идентификатор профиля защиты СОВ

ИТ.СОВ.YX.ПЗ

Y – СОВ уровня сети (С) или уровня

Идентификатор профиля защиты СОВ ИТ.СОВ.YX.ПЗ Y – СОВ уровня сети (С) или
узла(У)
X - класс защиты СОВ (1-6)

Слайд 63

Классы средств антивирусной защиты (САВ)

Средство антивирусной защиты – программное средство, реализующее функции

Классы средств антивирусной защиты (САВ) Средство антивирусной защиты – программное средство, реализующее
обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации

Слайд 65

Идентификатор профиля защиты САВ
ИТ.САВ.YX.ПЗ
где
Y – тип САВ (А-Г)
X - класс

Идентификатор профиля защиты САВ ИТ.САВ.YX.ПЗ где Y – тип САВ (А-Г) X
защиты САВ (1-6)
Типы САВ:
Тип А - предназначены для централизованного администрирования САВ, установленных на компонентах ИС (серверы, АРМ)
Тип Б – предназначены для применения на серверах ИС
Тип В - предназначены для применения в АРМ ИС
Тип Г - предназначены для применения в автономных АРМ

Слайд 66

Классы межсетевых экранов

Межсетевые экраны - программные и программно-технические средства, реализующие функции

Классы межсетевых экранов Межсетевые экраны - программные и программно-технические средства, реализующие функции
контроля и фильтрации в соответствии с заданными правилами проходящих через них информационных потоков и используемые в целях обеспечения защиты (некриптографическими методами) информации

Установлено 6 классов защиты межсетевых экранов.
Самый низкий класс – шестой, самый высокий – первый.  

Слайд 67

Типы межсетевых экранов

тип «А» – межсетевой экран уровня сети
тип «Б» – межсетевой экран

Типы межсетевых экранов тип «А» – межсетевой экран уровня сети тип «Б»
уровня логических границ сети
тип «В» – межсетевой экран уровня узла
тип «Г» – межсетевой экран уровня веб-сервера
тип «Д» – межсетевой экран уровня промышленной сети

Слайд 69

Идентификатор профиля защиты МЭ
ИТ.МЭ.YX.ПЗ
где
Y – тип МЭ (А-Д)
X - класс

Идентификатор профиля защиты МЭ ИТ.МЭ.YX.ПЗ где Y – тип МЭ (А-Д) X
защиты МЭ (1-6)

Слайд 70

Уровни контроля отсутствия недекларированных возможностей ПО

Недекларированные возможности – функциональные возможности ПО, не

Уровни контроля отсутствия недекларированных возможностей ПО Недекларированные возможности – функциональные возможности ПО,
описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации

Установлено 4 уровня контроля отсутствия недекларированных возможностей.
Самый высокий уровень контроля - первый, самый низкий – четвертый

Слайд 71

Детализация требований к различным уровням контроля указаны в 3 разделе документа

Детализация требований к различным уровням контроля указаны в 3 разделе документа

Слайд 72

Требования к средствам доверенной загрузки (СДЗ)

Средства доверенной загрузки – программные и программно-технические

Требования к средствам доверенной загрузки (СДЗ) Средства доверенной загрузки – программные и
средства, используемые в целях защиты информации и реализующие функции по предотвращению НСД к программным и (или) техническим ресурсам СВТ на этапе загрузки.

- средства доверенной загрузки уровня базовой системы ввода-вывода (УБ)
- средства доверенной загрузки уровня платы расширения (ПР)
- средства доверенной загрузки уровня загрузочной записи (ЗЗ)

Слайд 73

Установлено шесть классов защиты средств доверенной загрузки.Самый низкий класс – шестой, самый

Установлено шесть классов защиты средств доверенной загрузки.Самый низкий класс – шестой, самый высокий – первый
высокий – первый

Слайд 74

Идентификатор профиля защиты СДЗ
ИТ.СДЗ.YX.ПЗ
где
Y – тип СДЗ (УБ, ПР, ЗЗ)
X

Идентификатор профиля защиты СДЗ ИТ.СДЗ.YX.ПЗ где Y – тип СДЗ (УБ, ПР,
- класс защиты СДЗ(1-6)

Слайд 75

Требования безопасности информации к операционным системам

Типы операционных систем:
тип «А» - операционная система

Требования безопасности информации к операционным системам Типы операционных систем: тип «А» -
общего назначения
тип «Б» - встраиваемая операционная система
тип «В» - операционная система реального времени

Выделяют шесть классов защиты операционных систем. 
Самый низкий класс – шестой, самый высокий – первый

Слайд 77

Идентификатор профиля защиты операционных систем
ИТ.ОС.YX.ПЗ
где
Y – тип ОС (А, Б,

Идентификатор профиля защиты операционных систем ИТ.ОС.YX.ПЗ где Y – тип ОС (А,
В)
X - класс защиты ОС (1-6)

Слайд 78

Требования к средствам контроля съемных машинных носителей информации (СКН)

Машинный носитель информации –

Требования к средствам контроля съемных машинных носителей информации (СКН) Машинный носитель информации
любое техническое устройство, предназначенное для фиксации, хранения, накопления и передачи компьютерной информации.
Съемный машинный носитель – носитель не находящийся в составе СВТ.

Слайд 79

Типы средств контроля съемных машинных носителей информации

- средства контроля подключения (П);
- средства

Типы средств контроля съемных машинных носителей информации - средства контроля подключения (П);
контроля отчуждения (Н).

Выделяют шесть классов защиты средств контроля съемных машинных носителей информации.
Самый низкий класс – шестой, самый высокий – первый.

Слайд 81

Идентификатор профиля защиты операционных систем
ИТ.СКН.YX.ПЗ
где
Y – тип СКН (П,Н)
X - класс

Идентификатор профиля защиты операционных систем ИТ.СКН.YX.ПЗ где Y – тип СКН (П,Н)
защиты СКН (1-6)

Слайд 82

Криптографические средства защиты

Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении

Криптографические средства защиты Приказ ФСБ России от 10 июля 2014 г. N
Состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД с использованием средств криптографической защиты информации ….»

Документ определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ, для каждого уровня защищенности ПДн (УЗ1 – УЗ4).

Слайд 83

Уровни защищенности Персональных данных
(УЗ1 – УЗ4).

Уровни защищенности Персональных данных (УЗ1 – УЗ4).

Слайд 84

Классы СКЗИ

Классы СКЗИ

Слайд 85

Для построения адекватной системы защиты, обеспечивающую безопасность (ПДн) необходимо определить требования к

Для построения адекватной системы защиты, обеспечивающую безопасность (ПДн) необходимо определить требования к
системе и методы реализации этих методов. Для любых информационных систем, так или иначе подлежащих защите в соответствие с законодательством необходима разработка модели угроз.

ФЗ-152 «О защите ПД

Приказ № 21 ФСТЭК России

Слайд 86

Модель угроз по ФСТЭК

Модель угроз безопасности информации должна содержать описание:
- ИС

Модель угроз по ФСТЭК Модель угроз безопасности информации должна содержать описание: -

- структурно-функциональных характеристики ИС
- угроз безопасности информации
- модели нарушителя
- возможных уязвимостей ИС
- способов реализации угроз
- последствий от нарушения свойств безопасности информации.

Слайд 87

Базовая модель угроз безопасности

Содержит перечень угроз безопасности персональных данных

Приводится классификация угроз

Рассматриваются

Базовая модель угроз безопасности Содержит перечень угроз безопасности персональных данных Приводится классификация
угрозы утечки информации по техническим каналам

Слайд 88

Задачи, решаемые с применением модели угроз

- разработка частных моделей угроз безопасности ПДн

Задачи, решаемые с применением модели угроз - разработка частных моделей угроз безопасности
в конкретных ИС
- анализ защищенности ИСПДн
- разработка системы защиты ПДн
- проведение мероприятий, обеспечивающих защиту ПДн
- контроль обеспечения уровня защищенности.

Слайд 89

Источники угроз НСД в ИСПДн

Нарушитель (внешний/внутренний)
Носитель вредоносной программы
Аппаратная закладка

Источники угроз НСД в ИСПДн Нарушитель (внешний/внутренний) Носитель вредоносной программы Аппаратная закладка

Слайд 90

Категории внутренних нарушителей

в зависимости от способов доступа и категорий полномочий

Категории внутренних нарушителей в зависимости от способов доступа и категорий полномочий

Слайд 91

Уязвимость ИСПДн

Уязвимость ИСПДн

Слайд 92

Характеристика угроз непосредственного доступа в операционную среду

Первая группа включает в себя угрозы,

Характеристика угроз непосредственного доступа в операционную среду Первая группа включает в себя
реализуемые в ходе загрузки ОС.
Вторая группа - угрозы, реализуемые после загрузки операционной среды.
Третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем

Слайд 93

Угрозы безопасности ПД, реализуемых с использованием протоколов межсетевого взаимодействия

Анализ сетевого трафика
Сканирование

Угрозы безопасности ПД, реализуемых с использованием протоколов межсетевого взаимодействия Анализ сетевого трафика
сети
Угроза выявления пароля
Подмена доверенного объекта
Навязывание ложного маршрута сети
Внедрение ложного объекта сети
Отказ в обслуживании
Удаленный запуск приложений

Слайд 95

Воздействие с помощью вредоносных программ

- программные закладки;
- классические программные (компьютерные) вирусы;
- вредоносные

Воздействие с помощью вредоносных программ - программные закладки; - классические программные (компьютерные)
программы, распространяющиеся по сети (сетевые черви);
- другие вредоносные программы, предназначенные для осуществления НСД.

Слайд 96

Классификация типов ИСПДн в зависимости от структуры, режима обработка, разграничению прав доступа,

Классификация типов ИСПДн в зависимости от структуры, режима обработка, разграничению прав доступа,
местонахождению и подключению к сетям общего пользования

Слайд 97

Методика оценки угроз безопасности информации

Методика применяется для определения угроз безопасности информации
Методика ориентирована

Методика оценки угроз безопасности информации Методика применяется для определения угроз безопасности информации
на оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей

Слайд 98

Порядок оценки угроз безопасности информации

Исходные данные для оценки

Порядок оценки угроз безопасности информации Исходные данные для оценки

Слайд 99

Рекомендуемая структура модели угроз

Общие положения
Описание систем и сетей и их характеристика

Рекомендуемая структура модели угроз Общие положения Описание систем и сетей и их
как объектов защиты
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
Возможные объекты воздействия угроз безопасности информации
Источники угроз безопасности информации
Способы реализации (возникновения) угроз безопасности информации
Актуальные угрозы безопасности информации

Слайд 100

Разработка системы защиты
Внедрение системы защиты

Разработка системы защиты Внедрение системы защиты

Слайд 101

Стадии создания системы защиты

- предпроектное обследование, разработка аналитического обоснования необходимости создания средств

Стадии создания системы защиты - предпроектное обследование, разработка аналитического обоснования необходимости создания
защиты информации
- стадия проектирования - разработка средств защиты
- ввод в действие СЗИ (опытная эксплуатация, приемо-сдаточные испытания и аттестация объекта)

Слайд 102

Аттестация объектов информатизации

(ГОСТ РО 0043-003-2012 переиздание в марте 2013 г.)
(ГОСТ РО

Аттестация объектов информатизации (ГОСТ РО 0043-003-2012 переиздание в марте 2013 г.) (ГОСТ РО 0043-004-2013)
0043-004-2013)

Слайд 103

Порядок проведения аттестации

Подача и рассмотрение заявки на аттестацию.
Предварительное ознакомление с аттестуемым объектом.
Разработка

Порядок проведения аттестации Подача и рассмотрение заявки на аттестацию. Предварительное ознакомление с
программы и методик аттестационных испытаний
Проведение испытаний
Оформление, регистрация и выдача сертификата соответствия
Имя файла: Информационная-безопасность.pptx
Количество просмотров: 42
Количество скачиваний: 0