Проведение оценки изделия ИТ. Классификация основных стандартов

Содержание

Слайд 4

Классификация основных стандартов:

1 группа – оценочные стандарты.
Они предназначены для оценки и

Классификация основных стандартов: 1 группа – оценочные стандарты. Они предназначены для оценки
классификации ИС и средств защиты информации по требованиям безопасности.
К ним относятся:
1) стандарт «Критерии оценки доверенных компьютерных систем» или «Оранжевая книга»;
2) международный стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» или «Общие критерии».

Слайд 5

Классификация основных стандартов:

2 группа стандартов – это так называемые спецификации. Они регламентируют

Классификация основных стандартов: 2 группа стандартов – это так называемые спецификации. Они
различные вопросы реализации и использования методов и средств защиты информации.
К ним относятся:
1) рекомендации Х.800, «Архитектура безопасности для взаимодействия открытых систем» – регламентирует методы и средства обеспечения ИБ в компьютерных сетях;
2) международный стандарт ISO/IEC 17799 «Практические правила управления информационной безопасностью», разработанный на основе одноименного британского стандарта BS 7799;
3) международный стандарт ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования».

Слайд 8

ГОСТ Р 53113.2-2009 «Информационная технология (ИТ). Защита информационных технологий и автоматизированных

ГОСТ Р 53113.2-2009 «Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем
систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов».

Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.

Слайд 10

Свойствами уязвимости:

вероятность (простота) реализации угрозы через данную уязвимость(Вероятность реализации угрозы через данную

Свойствами уязвимости: вероятность (простота) реализации угрозы через данную уязвимость(Вероятность реализации угрозы через
уязвимость в течение года – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах)
критичность реализации угрозы через данную уязвимость (Критичность реализации угрозы – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa)).

Слайд 11

Попытка реализации угрозы называется атакой , а тот, кто предпринимает такую попытку,

Попытка реализации угрозы называется атакой , а тот, кто предпринимает такую попытку,
- злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом.

Слайд 13

Выводы:

почти всегда существуют окна опасности;
отслеживание таких окон должно производиться постоянно, а выпуск

Выводы: почти всегда существуют окна опасности; отслеживание таких окон должно производиться постоянно,
и наложение заплат — как можно более оперативно;
сведения о возможных угрозах, а также об уязвимых местах, через которые эти угрозы могут быть реализованы, необходимы для того, чтобы с одной стороны – выработать требования к создаваемой КСЗИ в ИС, с другой стороны – для того, чтобы выбрать наиболее экономичные средства обеспечения безопасности.

Слайд 15

Типы уязвимостей

Типы уязвимостей

Слайд 16

Классификация угроз (по расположению источника угроз)

Внутренние угрозы безопасности объекта защиты:
неквалифицированная политика по

Классификация угроз (по расположению источника угроз) Внутренние угрозы безопасности объекта защиты: неквалифицированная
управлению безопасностью корпорации;
отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты;

Слайд 17

Классификация угроз

Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении

Классификация угроз Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об
единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации".

Слайд 18

Классификация угроз

Классификация угроз

Слайд 19

Классификация угроз
- преднамеренные и непреднамеренные действия персонала по нарушению безопасности и т.д.

Классификация угроз - преднамеренные и непреднамеренные действия персонала по нарушению безопасности и т.д.

Слайд 20

Классификация угроз

Внешние угрозы безопасности объекта защиты:
- негативные воздействия недобросовестных конкурентов и

Классификация угроз Внешние угрозы безопасности объекта защиты: - негативные воздействия недобросовестных конкурентов и государственных структур;
государственных структур;

Слайд 21

Классификация угроз

- преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор

Классификация угроз - преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц
информации, шантаж, искажение имиджа, угрозы физического воздействия и др.);

Слайд 22

Классификация угроз

- утечка конфиденциальной информации из носителей информации и обусловленных каналов связи;

Классификация угроз - утечка конфиденциальной информации из носителей информации и обусловленных каналов связи;

Слайд 23

Классификация угроз

несанкционированное проникновение на объект защиты;

Классификация угроз несанкционированное проникновение на объект защиты;

Слайд 24

Классификация угроз

несанкционированный доступ к носителям информации и каналам связи с целью хищения,

Классификация угроз несанкционированный доступ к носителям информации и каналам связи с целью
искажения, уничтожения, блокирования информации.

Слайд 25

Основные угрозы конфиденциальности

Конфиденциальность — это защита от несанкционированного доступа к информации.
Конфиденциальную информацию

Основные угрозы конфиденциальности Конфиденциальность — это защита от несанкционированного доступа к информации.
можно разделить на предметную и служебную.
Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности — частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Слайд 26

Основные угрозы конфиденциальности

Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в

Основные угрозы конфиденциальности Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных
среде, где им не обеспечена (зачастую — и не может быть обеспечена) необходимая защита.

Выставки

хранение данных на резервных носителях

Слайд 27

Основные угрозы конфиденциальности

Перехват данных — очень серьезная угроза, и если конфиденциальность действительно

Основные угрозы конфиденциальности Перехват данных — очень серьезная угроза, и если конфиденциальность
является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей.

Слайд 28

Основные угрозы конфиденциальности

Кражи оборудования являются угрозой не только для резервных носителей, но

Основные угрозы конфиденциальности Кражи оборудования являются угрозой не только для резервных носителей,
и для компьютеров, особенно портативных.

Слайд 29

Основные угрозы конфиденциальности

Опасной угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад

Основные угрозы конфиденциальности Опасной угрозой конфиденциальности являются методы морально-психологического воздействия, такие как
— выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

Слайд 30

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями.

Слайд 31

Модель угроз

Модель угроз - это документ, определяющий перечень и характеристики основных (актуальных)

Модель угроз Модель угроз - это документ, определяющий перечень и характеристики основных
угроз безопасности и уязвимостей при их обработке в ИС, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ИС.

Слайд 32

Модель угроз

Цель разработки модели угроз – определение актуальных для конкретной ИС угроз

Модель угроз Цель разработки модели угроз – определение актуальных для конкретной ИС
безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться в качестве исходных данных для выработки требований ИБ к разрабатываемой системе защиты (СУИБ).

Слайд 33

Персональные данные

Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О

Персональные данные Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017)
персональных данных», статья 4:
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Слайд 35

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Слайд 36

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых
с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Слайд 38

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные
лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Слайд 41

В том случае, если фотограф или оператор сам осуществляет съемку, закон о ПД на него

В том случае, если фотограф или оператор сам осуществляет съемку, закон о
не распространяется вообще, до тех пор, пока он не начинает накапливать и систематизировать изображения людей. В первой статье закона о ПД говорится также, что не применяется он и в случаях обработки данных для личных и семейных нужд.

Слайд 42

Объяснение Роскомнадзора

Изображение человека (фотография и видеозапись), которые позволяют установить его личность и

Объяснение Роскомнадзора Изображение человека (фотография и видеозапись), которые позволяют установить его личность
используются оператором для установления личности субъекта.
До передачи персональных данных для установления личности снятого человека они не являются биометрическими персональными данными, поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности.
Однако материалы, используемые органами, которые осуществляют оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае если целью их обработки является установление личности конкретного физического лица.
Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина, за исключением случаев, указанных в законе.

Слайд 44

Принципы защиты информации

Принципы защиты информации

Слайд 45

Принцип минимальных привилегий

Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для

Принцип минимальных привилегий Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.
данной операции.

Слайд 46

Принцип прозрачности

СЗИ должна работать в фоновом режиме, быть незаметной и не

Принцип прозрачности СЗИ должна работать в фоновом режиме, быть незаметной и не
мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

Слайд 48

Принцип превентивности

Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые,

Принцип превентивности Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые,
временные и материальные затраты по сравнению с затратами на создание комплексной системы защиты.

Слайд 49

Принцип адекватности

Применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз

Принцип адекватности Применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения
безопасности, прогнозируемого ущерба от ее реализации, степени ценности информации и ее стоимости.

Слайд 50

Принцип системного подхода

Заключается во внесении комплексных мер по защите информации на

Принцип системного подхода Заключается во внесении комплексных мер по защите информации на
стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.

Слайд 51

Принцип непрерывности защиты

Функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны

Принцип непрерывности защиты Функционирование системы защиты не должно быть периодическим. Защитные мероприятия
проводиться непрерывно и в объеме предусмотренном политикой безопасности.

Слайд 52

Принцип адаптивности

Система защиты должна строиться с учетом возможного изменения конфигурации АС, числа

Принцип адаптивности Система защиты должна строиться с учетом возможного изменения конфигурации АС,
пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.

Слайд 53

Принцип доказательности

Результаты работы СЗИ не должны зависеть от субъектов.
Достигается путём:
Использования известных

Принцип доказательности Результаты работы СЗИ не должны зависеть от субъектов. Достигается путём:
формальных моделей
Применения систем аутентификации
Использования сертифицированных элементов СЗИ.

Слайд 54

Принцип унификации решений

Разрабатываемые решения должны быть единообразными в схожих ситуациях.
Следствием принципа

Принцип унификации решений Разрабатываемые решения должны быть единообразными в схожих ситуациях. Следствием
является использование:
Типовых проектов
Типовой классификации ресурсов
Типовых конфигураций.

Слайд 55

Понятие оптимальной защиты

План защиты – то что было определено специалистами
Реальная СЗИ

Понятие оптимальной защиты План защиты – то что было определено специалистами Реальная
– то что было реализовано после стадии управления рисками
Реальные угрозы – то что интересно нарушителю.

Слайд 56

Уровни зрелости

0-й уровень – уровень отсутствия ИБ.
1-й уровень – уровень частных решений.
2-й

Уровни зрелости 0-й уровень – уровень отсутствия ИБ. 1-й уровень – уровень
уровень – уровень комплексных решений.
3-й уровень – уровень полной интеграции.

Слайд 57

0-й уровень

Информационной безопасностью в компании никто не занимается, руководство компании не осознает

0-й уровень Информационной безопасностью в компании никто не занимается, руководство компании не
важности проблем информационной безопасности.
Финансирование отсутствует.
Информационная безопасность реализуется штатными средствами ОС, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

Слайд 58

1-й уровень

Информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа

1-й уровень Информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая
(концепция информационной безопасности, политика) развития СОИБ компании.
Финансирование ведется в рамках общего ИТ-бюджета.
Информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты.

Слайд 59

2-й уровень

ИБ рассматривается руководством, как комплекс организационных и технических мероприятий, существует понимание

2-й уровень ИБ рассматривается руководством, как комплекс организационных и технических мероприятий, существует
важности ИБ для бизнес-процессов, есть утвержденная руководством программа развития СОИБ.
Финансирование ведется в рамках отдельного бюджета.
ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IPS/IDS, средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ рисков, политика информационной безопасности, положения, процедуры, регламенты и руководства).

Слайд 60

3-й уровень

ИБ является частью корпоративной культуры, назначен CISA (старший администратор по вопросам

3-й уровень ИБ является частью корпоративной культуры, назначен CISA (старший администратор по
обеспечения ИБ).
Финансирование ведется в рамках отдельного бюджета.
ИБ реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Слайд 61

МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Слайд 62

Зачем измерять ИБ?

Безопасность с позиции бизнеса – инвестиции в процесс, направленный на

Зачем измерять ИБ? Безопасность с позиции бизнеса – инвестиции в процесс, направленный
достижение бизнес-целей (прибыль, завоёвывание доверия, репутации, расширение рынка).
Показать вклад ИБ в достижение целей можно только измерив эффективность ИБ.
Обоснование требований / инвестиций.
Выполнение требований SLA (Service Level Agreement).

Слайд 63

Метрики безопасности

Что такое метрика ИБ:
Метрика ИБ – метод количественного измерения некоторых «безопасных»

Метрики безопасности Что такое метрика ИБ: Метрика ИБ – метод количественного измерения
свойств информационной системы, показывающих её эффективность.
Зачем метрики ИБ нужны:
Показ эффективности процессов ИБ в достижении бизнес-целей.
Показ влияния изменения конкретных «безопасных» свойств ИС на бизнес-цели.
Выявление аномалий и скрытых нарушений ИБ: снижение скрытых рисков.

Слайд 64

Метрики безопасности

Однозначно измеряются, без «экспертного мнения»
Доступны для расчета и анализа (предпочтительно автоматически)
Имеют

Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа
количественное выражение (не "высокий", "средний", "низкий")
Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"
Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")

Слайд 65

Примеры метрик

Технические средства защиты:
Количество изменений конфигурации МЭ
Количество заблокированных соединений / атак
%узлов с

Примеры метрик Технические средства защиты: Количество изменений конфигурации МЭ Количество заблокированных соединений
установленным МЭ
%узлов с регулярно обновляемыми антивирусными базами
Повышение осведомленности сотрудников:
% обученных, заходы на сайт, % нарушающих парольную политику
Соответствие требованиям:
% соответствия стандартам
Ап-тайм внешнего сервиса / сайта
Среднее время предоставления доступа после запроса
Активность:
Среднеквартальное число новых пользователей / клиентов
% отказов пользователей (не закончивших регистрацию)
Число поступивших жалоб на работу сервиса / сайта / …

Слайд 66

Повод для гордости

Количество «заблокированных вирусов»
Количество «отраженных сетевых атак»
Количество отфильтрованного СПАМа
ИЛИ
Процент узлов с

Повод для гордости Количество «заблокированных вирусов» Количество «отраженных сетевых атак» Количество отфильтрованного
обновляемыми антивирусными базами
Отношение количества вирусов в исходящей и входящей почте

Слайд 67

Примеры метрик

Какие метрики вводить не стоит:
Число случаев несанкционированного использования системы.
% снижения рисков

Примеры метрик Какие метрики вводить не стоит: Число случаев несанкционированного использования системы.
ИБ.
% предотвращённых инцидентов.
Кол-во запущенных проектов.
Доход от внедрения СЗИ.
Среднесуточное число сетевых соединений.
Количество выявленного СПАМа.

Слайд 68

Метрики ИБ

Принципы:
Цели бизнес-процесса (SLA).
SMART:
Конкретна
Измерима
Применима / достижима
Значима
Своевременна

Метрики ИБ Принципы: Цели бизнес-процесса (SLA). SMART: Конкретна Измерима Применима / достижима Значима Своевременна

Слайд 69

Параметры метрик

Параметры метрики:
Название
Описание (сущность)
Единицы измерения
Цель / диапазон нормальных значений
Методы измерения
Периодичность измерения

Параметры метрик Параметры метрики: Название Описание (сущность) Единицы измерения Цель / диапазон

Слайд 70

Источники метрик

Антивирусные/антиспам системы
Системы класса SEIM
Ручной сбор (системы управления проектами, контроля трудозатрат)
Результаты аудитов
Системы

Источники метрик Антивирусные/антиспам системы Системы класса SEIM Ручной сбор (системы управления проектами,
управления сетью (инвентаризация)
Система контроля изменений
Системы мониторинга и управления уязвимостями
Системы контроля соответствия стандартам (Compliance management)

Слайд 71

Где брать метрики?
NIST Special publication
Center of Internet Security
http://www.metricscenter.org/
http://www.securitymetrics.org

Где брать метрики? NIST Special publication Center of Internet Security http://www.metricscenter.org/ http://www.securitymetrics.org
Имя файла: Проведение-оценки-изделия-ИТ.-Классификация-основных-стандартов.pptx
Количество просмотров: 33
Количество скачиваний: 0
- Предыдущая
Роль информационно – образовательной среды в обучении предметам естественно – научного цикла
Следующая -
Поздравление папам на 23 февраля

Похожие презентации

Исторический костюм. Рекомендации к выполнению самостоятельной работы по моделированию, 4 класс
Группа в VKontakte Сообщество инфобизнесменов, проект ИнфоХит
Кинопроизводство
КАРТА 2005
День рождения детской коляски
Кот в пальто
ДомашнееЗадание4
21 причина успеха VipCoin.gold
Горный хрусталь
РОДИТЕЛЬСКОЕ СОБРАНИЕ
Шліфування фанери
Презентация на тему Архитектура классицизма в России
Современные средства оценивания образовательных результатов по иностранному языку
Города-герои
Лучезарная улыбка by My amazing smile (USA)
Совершенствование техники ловли и передач мяча в движении в баскетболе, в парах и группе
Технологическая цепочка выплавки металла
Компания Bain
Использование Полимеров (БИОПОЛИМЕРов) – реальная возможность увеличения коэффициента нефтеизвлечения из залежей, разрабатыва
РЕНОМІНАТИВНА ЛОГІК А Семантичні моделі РНЛ
Презентация на тему Социальные ценности и нормы
Где же ещё можно найти идею для воплощения?
Опыт внедрения системы управления активами предприятия на базе системы Global-EAM
Обеспечение высокого качества обучения предметам физико-математического цикла
Виды и назначение токарных резцов
Этапы развития культуры России: XX – XXI вв
Технические требования. Лист 1
May I come in?
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть