Информационная система как объект воздействия злоумышленников

Содержание

Слайд 3

Факторы, обуславливающие решение проблем информационной безопасности

высокие темпы роста парка персональных компьютеров
увеличение объёмов

Факторы, обуславливающие решение проблем информационной безопасности высокие темпы роста парка персональных компьютеров
информации
интенсивное развитие АПС и технологий, не соответствующих современным требованиям безопасности
слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных услуг
несоответствие стремительного развития СОИ и основ теории ИБ международным стандартам и правовым нормам
широкое использование не защищенных от утечки информации и несертифицированных импортных АПС и технологий для хранения, обработки и передачи информации
повсеместное распространение сетевых технологий, создание единого информационно-коммуникационного пространства на базе сети Internet
обострение криминогенной обстановки, рост числа компьютерных преступлений

Слайд 4

Национальная безопасность

Информационная безопасность

Экологическая безопасность

Военная безопасность

Пожарная безопасность

Продуктовая безопасность

Транспортная безопасность

Информационная безопасность

Гуманитарная
сфера

Техническая
сфера

Место информационной безопасности в

Национальная безопасность Информационная безопасность Экологическая безопасность Военная безопасность Пожарная безопасность Продуктовая безопасность
обеспечении
национальной безопасности

Слайд 5

Информационная безопасность

Безопасность [Safety (security)] - свойство системы противостоять внешним или внутренним дестабилизирующим

Информационная безопасность Безопасность [Safety (security)] - свойство системы противостоять внешним или внутренним
факторам, следствием воздействия которых могут быть нежелательные её состояния или поведение.
Безопасность информации [Information security] - состояние защищенности информации от различных угроз, обеспечивающее сохранение таких качественных характеристик (свойств) информации как секретность /конфиденциальность/, целостность и доступность.
Безопасность информации в ИС - защищённость информации и оборудования ИС от факторов, представляющих угрозу для: конфиденциальности (обеспечение санкционированного доступа); целостности; доступности.
Информационная безопасность - способность ИС противостоять случайным или преднамеренным, внутренним или внешним информационным воздействиям, следствием которых могут быть её нежелательное состояние или поведение.
Информационная безопасность - это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Слайд 6

Информационная система
(структура и характеристики)

Оценка правильности выбора стратегии

Оценка защищенности объектов ИУС

Оценка качества мероприятий

Информационная система (структура и характеристики) Оценка правильности выбора стратегии Оценка защищенности объектов
по созданию СИБ

Основы

Направления

Этапы

Матрица знаний системы информационной безопасности

Функционирование
системы ИБ

Слайд 7

Законодательная,
нормативно-методическая
и научная база
Структура органов (подразделений), осуществляющих защиту информации
Политика информационной безопасности (организационно-технические и

Законодательная, нормативно-методическая и научная база Структура органов (подразделений), осуществляющих защиту информации Политика
режимные меры)
Методы, способы и средства защиты информации
Система
информационной безопасности

Основы информационной безопасности

Слайд 8

Элементы защиты

Излучения

КПИ

Процессы

Объекты
Система
информационной
безопасности

Направления информационной безопасности

Элементы защиты Излучения КПИ Процессы Объекты Система информационной безопасности Направления информационной безопасности

Слайд 9

Этапы формирования
информационной безопасности

Этапы формирования информационной безопасности

Слайд 10

Компьютерная система - человеко-машинная система, представляющая совокупность электронно-программируемых технических средств обработки, хранения

Компьютерная система - человеко-машинная система, представляющая совокупность электронно-программируемых технических средств обработки, хранения
и представления данных, программного обеспечения (ПО), реализующего информационные технологии осуществления каких-либо функций, и информации (данных). Состав: - средства вычислительной техники; - программное обеспечение; - каналы связи; - информация на различных носителях; - персонал и пользователи системы.

Слайд 11

под конфиденциальностью информации понимается специфическое свойство отдельных категорий (видов) информации, которое субъективно

под конфиденциальностью информации понимается специфическое свойство отдельных категорий (видов) информации, которое субъективно
устанавливается ее обладателем, когда ему может быть причинен ущерб от ознакомления с информацией неуполномоченных на то лиц, при условии того, что обладатель принимает меры по организации доступа к информации только уполномоченных лиц под целостностью информации (данных) понимается неискаженность, достоверность, полнота, адекватность и т.д. информации, т.е. такое ее свойство, при котором содержание и структура данных определены и изменяются только уполномоченными лицами и процессами под [правомерной] доступностью информации (данных) понимается такое свойство информации, при котором отсутствуют препятствия доступа к информации и закономерному ее использованию обладателем или уполномоченными лицами

Слайд 12

Общая характеристика принципов обеспечения
компьютерной безопасности


разумной достаточности
целенаправленности
системности
комплексности
непрерывности

Общая характеристика принципов обеспечения компьютерной безопасности разумной достаточности целенаправленности системности комплексности непрерывности
управляемости
сочетания унификации и оригинальности

Слайд 13

Методы обеспечения
информационной безопасности
Организационные
Теоретические
Сервисы сетевой безопасности
Инженерно-технические

Основные методы обеспечения
информационной безопасности
Правовые

Методы обеспечения информационной безопасности Организационные Теоретические Сервисы сетевой безопасности Инженерно-технические Основные методы обеспечения информационной безопасности Правовые

Слайд 15

Структура информационных ресурсов

Структура информационных ресурсов

Слайд 16

Международные правовые акты

Конституция

Кодексы

Концептуальные документы

Указы Президента Российской Федерации

Федеральные законы

Постановления правительств

Государственные стандарты

Нормативная правовая база

Нормативные

Международные правовые акты Конституция Кодексы Концептуальные документы Указы Президента Российской Федерации Федеральные
правовые акты федерального уровня

Акты федеральных органов исполнительной власти

Межведомственные акты

Ведомственные
акты

Отраслевые стандарты

Нормативные акты субъектов РФ

Нормативные акты органов местного самоуправления

Нормативные документы уровня предприятий

Слайд 17

Понятие стандарта информационной безопасности

Стандарт - документ, в котором в целях добровольного многократного

Понятие стандарта информационной безопасности Стандарт - документ, в котором в целях добровольного
использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнение работ или оказание услуг.

Главная задача стандартов информационной безопасности:
создать основы взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий

Требования по безопасности должны быть предельно конкретными, и должны регламентировать необходимость использования тех или иных средств, механизмов или алгоритмов. Эти требования также не должны вступать в противоречие с существующими алгоритмами

Слайд 18

Общепринятая классификация стандартов в области информационной безопасности

Оценочные стандарты

Оранжевая книга

РД ФСТЭК РФ

Общие критерии
ISO/IEC

Общепринятая классификация стандартов в области информационной безопасности Оценочные стандарты Оранжевая книга РД
15408-1999

Инфраструктура
открытых ключей X.509

Спецификации

ГОСТ 28147-89

Криптографический алгоритм СКА ГОСТ 28147-89

Управленческий стандарт ISO 17799

Управленческий стандарт ISO 27001

ГОСТ 3410-2001

ГОСТ 4311-94

Слайд 19

В соответствии со стандартами обеспечение ИБ в организации предполагает

Определение целей и обеспечение

В соответствии со стандартами обеспечение ИБ в организации предполагает Определение целей и
ИБ КИС

Создание эффективной системы управления ИБ

Расчет количественных и качественных показателей для оценки соответствия ИБ поставленным целям

Применение инструментария обеспечения ИБ и оценка его текущего состояния

Использование методик управления безопасности, позволяющих оценить защищенность

Слайд 20

Информационная безопасность

ЦЕЛИ

Субъекты

Угрозы

Конфиденциальность

Уровни уязвимости

Владельцы

Организационный

Целостность

Доступность

Физический

Технологический

Авторы

Неавторизованные пользователи

Человеческий

Законодательный

Авторизованные пользователи

Логический

Разработчики ИС

Обслуживающий персонал

Пассивные

Активные

Естественные

Искусственные

Непреднамеренные

Преднамеренные

Внешние

Внутренние

Локальные

Удаленные

Модель информационной безопасности

Информационная безопасность ЦЕЛИ Субъекты Угрозы Конфиденциальность Уровни уязвимости Владельцы Организационный Целостность Доступность

Слайд 21

Автор
Владелец

Информационный
ресурс
Пользователь

Отношения субъектов информационного обмена
в сети Internet

Автор Владелец Информационный ресурс Пользователь Отношения субъектов информационного обмена в сети Internet

Слайд 22

Автор
Информационный ресурс
Государство и его органы

Пользователь

Отношения субъектов информационных процессов
в сети Internet

Владелец

Провайдер 2

Оператор

Автор Информационный ресурс Государство и его органы Пользователь Отношения субъектов информационных процессов
связи 2

Оператор связи 1

Провайдер 1

Слайд 23

Нормативно-правовые акты, регламентирующие использование сети Интернет

Указ президента 2004г. № 611 «О мерах

Нормативно-правовые акты, регламентирующие использование сети Интернет Указ президента 2004г. № 611 «О
по обеспечению ИБ РФ в сфере международного информационного обмена.

Постановление правительства № 564 от 1998г. «Об утверждении положения о лицензировании деятельности по международному информационному обмену»

Постановление правительства № 538 от 2005г.«Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»

Постановление правительства №32 от 2006г. «Об утверждении правил оказания услуг связи по передаче данных»

Постановление правительства № 147 от 2007г. «Об утверждении положения о о пользовании официальными сайтами в сети Интернет для размещения информации о заказах на поставку товаров, выполнении работ, оказании услуг для государственных и муниципальных нужд и о требованиях к технологическим программам, лингвистическим, правовым и организационным средствам обеспечения пользования указанными сайтами».

Принятая в 2007г. Советом безопасности «Стратегия развития информационного общества в России».

Слайд 24

Стандартная модель взаимодействия открытых систем OSI (Open System Interconnection)

Стандартная модель взаимодействия открытых систем OSI (Open System Interconnection)

Слайд 25

Уровни стека протоколов TCP/IP

Прикладной
Application

Прикладной

Транспортный
Transport

Транспортный

Межсетевое взаимодействие
Internet

Сетевой
(Network)

Сетевой интерфейс
Network Interface

Канальный

Представительный

Сеансовый

Физический

HTTP, Telnet, FTP,
SMTP, SNMP

TCP,

Уровни стека протоколов TCP/IP Прикладной Application Прикладной Транспортный Transport Транспортный Межсетевое взаимодействие
UDP

IP, ICMP, RIP, ARP, OSPF

Ethernet, FDDI, ATM, X.25, SLIP, PPP

Уровни стека TCP/IP

Уровни модели OSI

SSL (SSL3), SSH

IPSec, TLS (TLS2)

Слайд 26

Логические и физические соединения между уровнями стека TCP/IP

Прикладной
(Application)

Транспортный
уровень (Transport)

Internet
уровень

Сетевой интерфейс
Network

Логические и физические соединения между уровнями стека TCP/IP Прикладной (Application) Транспортный уровень
Interface

Хост 1

Прикладной
(Application)

Транспортный
уровень (Transport)

Internet
уровень

Сетевой интерфейс
Network Interface

Хост 2

Биты

Сообщения

Пакеты

IP пакеты

Кадры

Слайд 27

Схема инкапсуляции данных в стеке протоколов TCP/IP

Прикладной уровень
HTTP, Telnet, FTP,
SMTP

Транспортный уровень TCP,

Схема инкапсуляции данных в стеке протоколов TCP/IP Прикладной уровень HTTP, Telnet, FTP,
UDP

Internet уровень (IP)

Уровень сетевого доступа
Ethernet, FDDI, ATM…)

Данные

TCP -заголовок

Данные

IP-заголовок

Данные

TCP -заголовок

Ethernet - заголовок

IP-заголовок

TCP -заголовок

Данные

Отправление
пакета

Получение
пакета