Содержание

Слайд 2

Классификация угроз безопасности информации

Классификация угроз безопасности информации

Слайд 3

Формы утечки информации

Формы утечки информации

Слайд 4

Угроза (действие) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо

Угроза (действие) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо
деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации. Фактор (уязвимость) - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации. Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Слайд 5

Модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик

Модель угроз безопасности информации - физическое, математическое, описательное представление свойств или характеристик
угроз безопасности информации (ГОСТ Р 50922-2006. Защита информации. Основные термины и определения).
Нарушитель – Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации. (ГОСТ Р 53114-2008)
Модель нарушителя – совокупность предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз и модель нарушителя безопасности информации

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) 14 февраля 2008 г;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г;
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года №149/54-144.

Слайд 6

Комплексный анализ угроз

Комплексный анализ угроз

Слайд 7

Сведения об информационной системе

Сведения об информационной системе

Слайд 8

Модель потенциального нарушителя по требованиям ФСТЭК России

внешние нарушители - нарушители, не

Модель потенциального нарушителя по требованиям ФСТЭК России внешние нарушители - нарушители, не
имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
внутренние нарушители - нарушители, имеющие доступ к ИС, включая пользователей ИС, реализующие угрозы непосредственно в ИС.

Слайд 9

Перечень возможностей потенциальных внешних нарушителей

Перечень возможностей потенциальных внешних нарушителей

Слайд 10

Перечень возможностей внутреннего нарушителя

Перечень возможностей внутреннего нарушителя

Слайд 11

Алгоритм процесса построения модели угроз

Алгоритм процесса построения модели угроз

Слайд 14

Определение уровня исходной защищенности Y1

Определение уровня исходной защищенности Y1

Слайд 16

Вероятность реализации угроз Y2

Вероятность реализации угроз Y2

Слайд 17

Коэффициент реализуемости угрозы

По итогам оценки уровня исходной защищенности (Y1) и вероятности

Коэффициент реализуемости угрозы По итогам оценки уровня исходной защищенности (Y1) и вероятности
реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы рассчитывается по формуле:
Y=(Y1+Y2)/20.
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация возможности реализации угрозы следующим образом:
если 0если 0,3если 0,6если Y>0,8, то возможность реализации угрозы признается очень высокой.

Слайд 18

Оценка вероятности и возможности реализации угрозы безопасности

Оценка вероятности и возможности реализации угрозы безопасности

Слайд 20

Показатель опасности угрозы

Показатель опасности угрозы

Слайд 21

Матрица определения актуальности угроз безопасности

Матрица определения актуальности угроз безопасности

Слайд 22

Оценка опасности и актуальности угроз предложенной информационной системы

Оценка опасности и актуальности угроз предложенной информационной системы

Слайд 24

Домашнее задание № 1
Тема: «Модель угроз и модель нарушителей информационной безопасности". Схемы

Домашнее задание № 1 Тема: «Модель угроз и модель нарушителей информационной безопасности".
проектирования.
Предложить ИСПДн, обозначить назначение и исходные данные.
Определить исходный уровень защищенности ПДн по исходным данным.
Определить актуальность угроз безопасности информации согласно банку угроз ФСТЭК России.

Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

Слайд 25

АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ «УМНЫЙ ДОМ»

АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ «УМНЫЙ ДОМ»

Слайд 33

Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения,

Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения,
уничтожения и модификации защищаемых сведений.
Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;
Мероприятия по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Слайд 35

Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется

Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения,
следующим:
большое количество факторов, влияющих на построение эффективной защиты;
отсутствие точных исходных входных данных;
отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.

цели и задачи;
входы и выходы системы;
процессы внутри системы, которые преобразуют входы в выходы.

Параметры системы защиты информации:

Слайд 44

Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника

Система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника
защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;

Мероприятия по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Защита информации - комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения, уничтожения и модификации защищаемых сведений.
Под системой защиты информации можно понимать государственную систему защиты информации и систему защиты информации на конкретных объектах.

Слайд 45

Цикл создания КСЗИ

Цикл создания КСЗИ

Слайд 46

Государственная система защиты информации включает в себя:
• систему государственных нормативных актов, стандартов,

Государственная система защиты информации включает в себя: • систему государственных нормативных актов,
руководящих документов и требований;
• разработку концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации;
• порядок организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся в собственности физических и юридических лиц;
• организацию испытаний и сертификации средств защиты информации;
• создание ведомственных и отраслевых координационных структур для защиты информации;
• осуществление контроля за выполнением работ по организации защиты информации;
• определение порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.

Государственная система защиты информации:
Система лицензирования деятельности предприятий в области ЗИ;
Система сертификации средств ЗИ;
Система аттестации.

Слайд 47

Цели защиты информации от технических средств разведки
• предотвращение утечки, хищения, утраты,

Цели защиты информации от технических средств разведки • предотвращение утечки, хищения, утраты,
искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Эффективность защиты информации определяется ее своевременностью, активностью, непрерывностью и комплексностью. Очень важно проводить защитные мероприятия комплексно, то есть обеспечивать нейтрализацию всех опасных каналов утечки информации (та как даже один-единственный не закрытый канал утечки может свести на нет эффективность всей системы защиты).

Слайд 48

Модель комплексной защиты информации

Модель комплексной защиты информации

Слайд 51

Организация и проведение работ по защите информации 

Порядок организации работ по созданию и

Организация и проведение работ по защите информации Порядок организации работ по созданию
эксплуатации объектов информатизации определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведении работ по ЗИ».
Эти документы должны предусматривать:
- порядок определения защищаемой информации;
- порядок привлечения подразделений предприятия, специалистов сторонних организаций к разработке и эксплуатации СЗИ объекта информатизации;
- порядок взаимодействия всех занятых сил;
- порядок разработки, ввода в действие и эксплуатации объекта информатизации;
- ответственность должностных лиц.
Имя файла: Lektsia_2.pptx
Количество просмотров: 43
Количество скачиваний: 0