Lektsia_2

Февраль 23, 2021

Содержание

2. Классификация угроз безопасности информации
3. Формы утечки информации
4. Угроза (действие) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия),
5. Модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации (ГОСТ
6. Комплексный анализ угроз
7. Сведения об информационной системе
8. Модель потенциального нарушителя по требованиям ФСТЭК России внешние нарушители - нарушители, не имеющие доступа к ИС,
9. Перечень возможностей потенциальных внешних нарушителей
10. Перечень возможностей внутреннего нарушителя
11. Алгоритм процесса построения модели угроз
14. Определение уровня исходной защищенности Y1
16. Вероятность реализации угроз Y2
17. Коэффициент реализуемости угрозы По итогам оценки уровня исходной защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается
18. Оценка вероятности и возможности реализации угрозы безопасности
20. Показатель опасности угрозы
21. Матрица определения актуальности угроз безопасности
22. Оценка опасности и актуальности угроз предложенной информационной системы
24. Домашнее задание № 1 Тема: «Модель угроз и модель нарушителей информационной безопасности". Схемы проектирования. Предложить ИСПДн,
25. АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ «УМНЫЙ ДОМ»
33. Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения, уничтожения и модификации защищаемых
35. Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется следующим: большое
44. Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также
45. Цикл создания КСЗИ
46. Государственная система защиты информации включает в себя: • систему государственных нормативных актов, стандартов, руководящих документов и
47. Цели защиты информации от технических средств разведки • предотвращение утечки, хищения, утраты, искажения, подделки информации; •
48. Модель комплексной защиты информации
51. Организация и проведение работ по защите информации Порядок организации работ по созданию и эксплуатации объектов информатизации
53. Скачать презентацию

Классификация угроз безопасности информации

Формы утечки информации

Угроза (действие) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо

деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации. Фактор (уязвимость) - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации. Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Слайд 5

Модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик

угроз безопасности информации (ГОСТ Р 50922-2006. Защита информации. Основные термины и определения).
Нарушитель – Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации. (ГОСТ Р 53114-2008)
Модель нарушителя – совокупность предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз и модель нарушителя безопасности информации

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) 14 февраля 2008 г;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г;
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года №149/54-144.

Слайд 6

Комплексный анализ угроз

Слайд 7

Сведения об информационной системе

Слайд 8

Модель потенциального нарушителя по требованиям ФСТЭК России
внешние нарушители - нарушители, не

имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
внутренние нарушители - нарушители, имеющие доступ к ИС, включая пользователей ИС, реализующие угрозы непосредственно в ИС.

Слайд 9

Перечень возможностей потенциальных внешних нарушителей

Слайд 10

Перечень возможностей внутреннего нарушителя

Слайд 11

Алгоритм процесса построения модели угроз

Слайд 12

Слайд 13

Слайд 14

Определение уровня исходной защищенности Y1

Слайд 15

Слайд 16

Вероятность реализации угроз Y2

Слайд 17

Коэффициент реализуемости угрозы
По итогам оценки уровня исходной защищенности (Y1) и вероятности

реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы рассчитывается по формуле:
Y=(Y1+Y2)/20.
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация возможности реализации угрозы следующим образом:
если 0если 0,3если 0,6если Y>0,8, то возможность реализации угрозы признается очень высокой.

Слайд 18

Оценка вероятности и возможности реализации угрозы безопасности

Слайд 19

Слайд 20

Показатель опасности угрозы

Слайд 21

Матрица определения актуальности угроз безопасности

Слайд 22

Оценка опасности и актуальности угроз предложенной информационной системы

Слайд 23

Слайд 24

Домашнее задание № 1
Тема: «Модель угроз и модель нарушителей информационной безопасности". Схемы

проектирования.
Предложить ИСПДн, обозначить назначение и исходные данные.
Определить исходный уровень защищенности ПДн по исходным данным.
Определить актуальность угроз безопасности информации согласно банку угроз ФСТЭК России.

Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

Слайд 25

АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ «УМНЫЙ ДОМ»

Слайд 26

Слайд 27

Слайд 28

Слайд 29

Слайд 30

Слайд 31

Слайд 32

Слайд 33

Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения,

уничтожения и модификации защищаемых сведений.
Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;
Мероприятия по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Слайд 34

Слайд 35

Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется

следующим:
большое количество факторов, влияющих на построение эффективной защиты;
отсутствие точных исходных входных данных;
отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.

цели и задачи;
входы и выходы системы;
процессы внутри системы, которые преобразуют входы в выходы.

Параметры системы защиты информации:

Слайд 36

Слайд 37

Слайд 38

Слайд 39

Слайд 40

Слайд 41

Слайд 42

Слайд 43

Слайд 44

Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника

защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;

Мероприятия по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения, уничтожения и модификации защищаемых сведений.
Под системой защиты информации можно понимать государственную систему защиты информации и систему защиты информации на конкретных объектах.

Слайд 45

Цикл создания КСЗИ

Слайд 46

Государственная система защиты информации включает в себя:
• систему государственных нормативных актов, стандартов,

руководящих документов и требований;
• разработку концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации;
• порядок организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся в собственности физических и юридических лиц;
• организацию испытаний и сертификации средств защиты информации;
• создание ведомственных и отраслевых координационных структур для защиты информации;
• осуществление контроля за выполнением работ по организации защиты информации;
• определение порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.

Государственная система защиты информации:
Система лицензирования деятельности предприятий в области ЗИ;
Система сертификации средств ЗИ;
Система аттестации.

Слайд 47

Цели защиты информации от технических средств разведки
• предотвращение утечки, хищения, утраты,

искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Эффективность защиты информации определяется ее своевременностью, активностью, непрерывностью и комплексностью. Очень важно проводить защитные мероприятия комплексно, то есть обеспечивать нейтрализацию всех опасных каналов утечки информации (та как даже один-единственный не закрытый канал утечки может свести на нет эффективность всей системы защиты).

Слайд 48

Модель комплексной защиты информации

Слайд 49

Слайд 50

Слайд 51

Организация и проведение работ по защите информации
Порядок организации работ по созданию и

эксплуатации объектов информатизации определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведении работ по ЗИ».
Эти документы должны предусматривать:
- порядок определения защищаемой информации;
- порядок привлечения подразделений предприятия, специалистов сторонних организаций к разработке и эксплуатации СЗИ объекта информатизации;
- порядок взаимодействия всех занятых сил;
- порядок разработки, ввода в действие и эксплуатации объекта информатизации;
- ответственность должностных лиц.