Модели безопасности защиты от несанкционированного доступа. Лекция №3

Содержание

Слайд 2

ГОСТ Р ИСО/МЭК 17799:2005

ГОСТ Р ИСО/МЭК 17799:2005 «Информационная
технология. Практические правила управления информационной
безопасностью»
Кратко

ГОСТ Р ИСО/МЭК 17799:2005 ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технология. Практические правила
перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.
Следующий раздел затрагивает организационные вопросы, свя-
занные с обеспечением информационной безопасности.
Данный стандарт рассматривает вопросы информационной безопасности, в том числе,
и с точки зрения экономического эффекта, включая оценку рисков

Слайд 3

ГОСТ Р ИСО/МЭК 17799:2005

При предоставлении доступа к информационным системам специалистам сторонних организаций

ГОСТ Р ИСО/МЭК 17799:2005 При предоставлении доступа к информационным системам специалистам сторонних
необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, т. е. удаленным) таких специалистов к различным ресурсам организации.
Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владель цами. Начать предлагается с проведения инвентаризации, например:
- информационные (базы данных и файлы данных, системная до кументация и т. д.);
- программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
- физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Слайд 4

ГОСТ Р ИСО/МЭК 17799:2005

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость

ГОСТ Р ИСО/МЭК 17799:2005 Далее предлагается классифицировать информацию, чтобы определить ее приоритетность,
и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации.
Подводя итог можно отметить, что в стандарте рассмотрен ши-
рокий круг вопросов, связанных с обеспечением безопасности ин-
формационных систем, и по ряду направлений даются практические
рекомендации.

Слайд 5

ГОСТ Р ИСО/МЭК 27001-2006

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная
технология. Методы и средства обеспечения

ГОСТ Р ИСО/МЭК 27001-2006 ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и
безопасности.
Системы менеджмента информационной безопасности.
Требования»

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. — information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
Стандарт предполагает использование процессного подхода для
разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ.

Слайд 6

ГОСТ Р ИСО/МЭК 27001-2006

Этапы построения и использования СМИБ [1]

ГОСТ Р ИСО/МЭК 27001-2006 Этапы построения и использования СМИБ [1]

Слайд 7

ГОСТ Р ИСО/МЭК 27001-2006

организация должна в соответствии с утвержденным графиком проводить внутренние

ГОСТ Р ИСО/МЭК 27001-2006 организация должна в соответствии с утвержденным графиком проводить
аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.
Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.
В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC 17799:2005.

Слайд 8

Политика безопасности

Вопросы защиты информации в АС регламентируется политикой безопасности. Политика безопасности определяется

Политика безопасности Вопросы защиты информации в АС регламентируется политикой безопасности. Политика безопасности
как совокупность документированных управленческих решений направленных на защиту информации и ассоциированных с ней ресурсов.
Основная цель политики безопасности это информирование пользователей сотрудников и руководства о наложенных на них обязательных требованиях по защите технологии информационных ресурсов

1. Невозможность миновать защитное средство
2. Усиление слабого звена
3. Недопустимость перехода в открытое состояние
4. Минимизация привилегии
5. Разделение обязанностей
6. Многоуровневая защита
7. Разнообразие защитных средств
8. Простота и управляемость информационной системы

Слайд 9

Политика безопасности

- определение целей политики безопасности
- определение принципов обеспечения границ применимости

Политика безопасности - определение целей политики безопасности - определение принципов обеспечения границ
политики безопасности
- Краткое разъяснение политики безопасности
соответствие законодательным актам и стандартам
определение правил приобретения информационных технологий, которые отвечает требования безопасности
- определение политики обеспечения непрерывной работы
- определение политики конфиденциальности стандартных сервисов
- определение политики аутентификации
- определение политики разграничения доступа
- обнаружение блокирование вирусов
- определение о порядке разработки и сопровождения автоматизированных систем
- обучение персонала вопросам защиты информации
- защита от недекларированных возможностей ПО
- аудит и обновление политики безопасности
Одновременно создается специальное штатное подразделение одно или несколько должностных лиц органа обеспечения безопасности информации

Слайд 10

Политика безопасности

Классифицирование
Двух или трех уровней классификации обычно достаточно для любой организации.

Политика безопасности Классифицирование Двух или трех уровней классификации обычно достаточно для любой
Самый нижний уровень классификации - это общая информация. Над этим уровнем находится информация, недоступная для общего пользования. Она называется проприетарной, секретной или конфиденциальной.
Существует третий уровень секретности, который называется "для служебного пользования" или "защищенная информация". Доступ к подобным сведениям открыт для ограниченного количества служащих.
Маркировка и хранение секретной информации
Передача секретной информации
Уничтожение секретной информации
Идентификация и аутентификация
Управление доступом

Слайд 11

Основные этапы обеспечения режима защиты информации

Основные этапы обеспечения режима защиты информации

Слайд 12

Примеры документов («бумажная безопасность»)

«Концепция обеспечения безопасности в автоматизированной системе организации»
«Защита от несанкционированного

Примеры документов («бумажная безопасность») «Концепция обеспечения безопасности в автоматизированной системе организации» «Защита
доступа к информации незаконного вмешательства в процесс функционирования АС»
«Положение об определении требований по защите категорирования ресурсов в АС»
«Перечень информационных ресурсов подлежащих защите»
«Положение об отделе технической защиты информации»
«Памятка обязанности пользователя»
« Обязанности администратора по защите информации объекта информатизации»
«Инструкция по установке модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС»
«План обеспечения непрерывной работы и восстановления объекта информатизации»
«Инструкция по организации парольной защиты»
«Инструкция по организации антивирусной защиты»
«Инструкция по работе с носителями ключевой информации»

Слайд 13

Примеры документов («бумажная безопасность»)

Примеры документов («бумажная безопасность»)

Слайд 14

Примеры документов («бумажная безопасность»)

Примеры документов («бумажная безопасность»)

Слайд 15

Внутренние организационно-распорядительные документы (далее – ОРД) по защите информации.

https://habr.com/ru/company/ic-dv/blog/456508/

Внутренние организационно-распорядительные документы (далее – ОРД) по защите информации. https://habr.com/ru/company/ic-dv/blog/456508/

Слайд 16

Угрозы безопасности ИС

Угрозы безопасности ИС

Слайд 17

Угрозы безопасности ИС

Угрозы безопасности ИС

Слайд 18

Угрозы безопасности ИС

Угрозы безопасности ИС

Слайд 19

Структура системы защиты информации

Структура системы защиты информации

Слайд 20

Структура системы защиты информации

УБИ = [возможности нарушителя; уязвимости информационной системы;
способ реализации

Структура системы защиты информации УБИ = [возможности нарушителя; уязвимости информационной системы; способ
угрозы; последствия реализации от угрозы]

Для каждой эксплуатируемой ИС на основе угроз безопасности в том числе, связанных с действиями нарушителя, разрабатывается модель угроз безопасности информации.

https://bdu.fstec.ru/threat - одна из базы данных. В настоящее время известно
около 60 таких баз
От угрозы риск отличает наличие количественной оценки возможных потерь
и (возможно) оценки вероятности наступления
нежелательного события.

Слайд 21

Два подхода к обоснованию проекта подсистемы обеспечения безопасности

На практике наибольшее распространение получили

Два подхода к обоснованию проекта подсистемы обеспечения безопасности На практике наибольшее распространение
два подхода к обоснованию
проекта подсистемы обеспечения безопасности.
Первый из них основан на проверке соответствия уровня защищенности ИС
требованиям одного из стандартов в области информационной безопасности.

Тогда критерий достижения цели в области безопасности — это выполнение
заданного набора требований. Критерий эффективности —
минимальные суммарные затраты
на выполнение поставленных функциональных требований
Второй
Второй подход к построению системы обеспечения ИБ связан с
оценкой и управлением рисками. Изначально он произошел из прин-
ципа «разумной достаточности», примененного к сфере обеспечения
ИБ.

Слайд 22

Два подхода к обоснованию проекта подсистемы обеспечения безопасности

- абсолютно непреодолимую систему защиты

Два подхода к обоснованию проекта подсистемы обеспечения безопасности - абсолютно непреодолимую систему
создать невозможо;
- необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т. ч. и экономическим, заключающимся в снижении потерь от нарушений безопасности;
- стоимость средств защиты не должна превышать стоимости защищаемой информации (или других ресурсов — аппаратных, программных);
- затраты нарушителя на несанкционированный доступ к информации должны превышать тот эффект, который он получит, осуществив подобный доступ.

Слайд 23

Риски

Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) ценность и

Риски Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) ценность
подлежащий защите.
Риск может быть идентифицирован следующим набором параметров:
- угроза, с возможной реализацией которой связан данный риск;
- ресурс, в отношении которого может быть реализована угроза
(ресурс может быть информационный, аппаратный, программ-
ный и т. д.);
уязвимость, через которую может быть реализована данная угроза в отношении данного ресурса.
Важно также определить то, как мы узнаем, что нежелательное
событие произошло. Поэтому в процессе описания рисков, обычно
также указывают события-«триггеры», являющиеся идентификато-
рами рисков, произошедших или ожидающихся в скором времени
(например, увеличение время отклика web-сервера может свидетель-
ствовать о производимой на него одной из разновидностей атак на
«отказ в обслуживании»).

Слайд 24

Риски

Исходя из сказанного выше, в процессе оценки риска надо оценить стоимость ущерба

Риски Исходя из сказанного выше, в процессе оценки риска надо оценить стоимость
и частоту возникновения нежелательных событий и вероятность того, что подобное событие нанесет урон ресурсу. Размер ущерба от реализации угрозы в отношении ресурса зависит
от стоимости ресурса, который подвергается риску, и степени разрушительности воздействия на ресурс, выражаемой в виде коэффициента разрушительности. Как правило, указанный коэффициент лежит в диапазоне от 0 до 1. Таким образом, получаем оценку потери от разовой реализации угрозы, представимую в виде произведения:

Слайд 25

Риски

Ожидаемый ущерб сравнивается с затратами на меры и средства
защиты, после чего принимается

Риски Ожидаемый ущерб сравнивается с затратами на меры и средства защиты, после
решение в отношении данного риска. Он может быть:
- принят;
- снижен (например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности);
- устранен (за счет отказа от использования подверженного угрозе ресурса);
перенесен (например, застрахован, в результате чего в случае реализации угрозы безопасности потери будет нести страховая компания, а не владелец ИС).
Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя на ИС. В модели точно
определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе.

Слайд 26

Двудольный граф «угроза–объект»

Двудольный граф «угроза–объект»

Слайд 27

Двудольный граф «угроза–объект»

Цель защиты состоит в том, чтобы «перекрыть» каждое ребро данного

Двудольный граф «угроза–объект» Цель защиты состоит в том, чтобы «перекрыть» каждое ребро
графа и воздвигнуть барьер для доступа по этому пути.

Слайд 28

Трёхдольный граф «угроза–средство безопасности-объект»

Трёхдольный граф «угроза–средство безопасности-объект»

Слайд 29

Система Клементса

Система Клементса

Слайд 30

Система Клементса

Система Клементса

Слайд 31

Lifecycle Security

Lifecycle Security — это обобщенная схема построения комплексной защиты компьютерной сети

Lifecycle Security Lifecycle Security — это обобщенная схема построения комплексной защиты компьютерной
предприятия. Выполнение описываемого в ней набора процедур позволяет системно решать задачи, связанные с защитой информации, и дает возможность оценить эффект от затраченных средств и ресурсов. С этой точки зрения, идеология Lifecycle Security может быть противопоставлена тактике «точечных решений», заключающейся в том, что все усилия сосредотачиваются на внедрении отдельных частных решений

Слайд 32

Lifecycle Security

Lifecycle Security

Слайд 33

Модель многоуровневой защиты (эшелонированная оборона)

Уровень физической защиты
Уровень защиты периметра
Уровень защиты внутренней сети
Уровень

Модель многоуровневой защиты (эшелонированная оборона) Уровень физической защиты Уровень защиты периметра Уровень
защиты узлов
Уровень защиты приложений
Уровень защиты данных

Слайд 34

Методика управления рисками, предлагаемая Майкрософт

Методика управления рисками, предлагаемая Майкрософт

Слайд 35

МЕТОДИКИ И ПРОГРАММНЫЕ ПРОДУКТЫ ДЛЯ ОЦЕНКИ РИСКОВ

- методики, использующие оценку риска на

МЕТОДИКИ И ПРОГРАММНЫЕ ПРОДУКТЫ ДЛЯ ОЦЕНКИ РИСКОВ - методики, использующие оценку риска
качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Майкрософт и т. д.).

Слайд 36

Методика CRAMM

- методики, использующие оценку риска на качественном уровне (например, по шкале

Методика CRAMM - методики, использующие оценку риска на качественном уровне (например, по
«высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Майкрософт и т. д.).
Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профилями).
Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile).

Слайд 37

Методика CRAMM

Исследование ИБ системы с помощью СRAMM проводится в три стадии:
На первой

Методика CRAMM Исследование ИБ системы с помощью СRAMM проводится в три стадии:
стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в
следующих ситуациях:
- недоступность ресурса в течение определенного периода време-
ни;
- разрушение ресурса — потеря информации, полученной со вре-
мени последнего резервного копирования, или ее полное разру-
шение;
- нарушение конфиденциальности в случаях несанкционированно-
го доступа штатных сотрудников или посторонних лиц;
- модификация — рассматривается для случаев мелких ошибок
персонала (ошибки ввода), программных ошибок, преднамерен-
ных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки,
недоставка информации, доставка по неверному адресу.

Слайд 38

Методика CRAMM

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:
- ущерб репутации

Методика CRAMM Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры: -
организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.

Слайд 39

Методика CRAMM

Для данных и программного обеспечения выбираются применимые к данной ИС критерии,

Методика CRAMM Для данных и программного обеспечения выбираются применимые к данной ИС
дается оценка ущерба по шкале со значениями от 1 до 10.
В описаниях CRAMM в качестве примера приводится в [21] такая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:
- 2 балла — менее $ 1000;
- 6 баллов — от $ 1000 до $ 10 000;
- 8 баллов — от $ 10 000 до $ 100 000;
- 10 баллов — свыше $ 100 000.
При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

Слайд 40

Методика CRAMM

На второй стадии анализа рассматривается все, что относится к идентификации и

Методика CRAMM На второй стадии анализа рассматривается все, что относится к идентификации
оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы.
Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов,
как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Слайд 41

Методика CRAMM

Основной подход для решения этой проблемы состоит в рассмотрении [2]:
уровня угрозы

Методика CRAMM Основной подход для решения этой проблемы состоит в рассмотрении [2]:

уровня уязвимости
- размера ожидаемых финансовых потерь

Слайд 42

Методика CRAMM

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок
угроз и уязвимостей, определяются

Методика CRAMM Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и
«ожидаемые годовые потери». В
таблице приведен пример матрицы оценки ожидаемый потерь. В
ней второй столбец слева содержит значения стоимости ресурса,
верхняя строка заголовка таблицы — оценку частоты возникновения
угрозы в течение года (уровня угрозы), нижняя строка заголовка —
оценку вероятности успеха реализации угрозы (уровня уязвимости).
Результат получается путем перемножения указанных оценок.

Слайд 43

Литература

М.А. Борисов, И.В.Заводцев, И.В. Чижов Основы программно-аппаратной защиты информации
С.А. Нестеров Основы информационной

Литература М.А. Борисов, И.В.Заводцев, И.В. Чижов Основы программно-аппаратной защиты информации С.А. Нестеров Основы информационной безопасности
безопасности
Имя файла: Модели-безопасности-защиты-от-несанкционированного-доступа.-Лекция-№3.pptx
Количество просмотров: 47
Количество скачиваний: 0