Средства и методы защиты информации. Лекция 3

Содержание

Слайд 2

Организационные меры защиты информации

Лекция 3

Организационные меры защиты информации Лекция 3

Слайд 3

Содержание лекции

Законодательные меры ЗИ
Административные меры ЗИ
Управление рисками
Политика безопасности организации
Управление персоналом
Планирование действий в

Содержание лекции Законодательные меры ЗИ Административные меры ЗИ Управление рисками Политика безопасности
ЧС
Организационно-технические меры ЗИ
Физическая защита ОИ
Защита поддерживающей инфраструктуры

Слайд 4

Законодательные меры ЗИ

Снижение вероятности техногенных угроз
Снижение ущерба от стихийных явлений
Снижение вероятности угроз,

Законодательные меры ЗИ Снижение вероятности техногенных угроз Снижение ущерба от стихийных явлений
реализуемых по причине халатности или недостаточной квалификации
Защита от нарушителей, действующих из любопытства или самоутверждения
Защита от нарушителей, действующих преднамеренно и целенаправленно

Слайд 5

Законодательные меры ЗИ
Об информации, информационных технологиях и о защите информации : федер.

Законодательные меры ЗИ Об информации, информационных технологиях и о защите информации :
закон от 27.07.2006 N 149-ФЗ (ред. от 30.12.2020)

Слайд 6

Законодательные меры ЗИ
Статья 16*: Защита информации
Защита информации представляет собой принятие правовых, организационных,

Законодательные меры ЗИ Статья 16*: Защита информации Защита информации представляет собой принятие
технических мер
* Об информации, информационных технологиях и о защите информации : федер. закон от 27.07.2006 N 149-ФЗ (ред. от 30.12.2020)

Слайд 7

Законодательные меры ЗИ

Статья 16*: Защита информации
Перечисленные меры направлены на:
обеспечение защиты информации от

Законодательные меры ЗИ Статья 16*: Защита информации Перечисленные меры направлены на: обеспечение
неправомерных действий в отношении такой информации
соблюдение конфиденциальности информации ограниченного доступа
реализацию права на доступ к информации

Слайд 8

Законодательные меры ЗИ

Статья 16*: Защита информации
2. Государственное регулирование отношений в сфере защиты

Законодательные меры ЗИ Статья 16*: Защита информации 2. Государственное регулирование отношений в
информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации

Слайд 9

Законодательные меры ЗИ

Статья 16*: Защита информации
4. Обладатель информации, оператор информационной системы в

Законодательные меры ЗИ Статья 16*: Защита информации 4. Обладатель информации, оператор информационной
случаях, установленных законодательством РФ, обязаны обеспечить: [выдержки из перечня]
предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
своевременное обнаружение фактов несанкционированного доступа к информации;

Слайд 10

Законодательные меры ЗИ

недопущение воздействия на технические средства обработки информации, в результате которого

Законодательные меры ЗИ недопущение воздействия на технические средства обработки информации, в результате
нарушается их функционирование;
возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
постоянный контроль за обеспечением уровня защищенности информации;

Слайд 11

Законодательные меры ЗИ

Статья 16*: Защита информации
5. Требования о защите информации, содержащейся в

Законодательные меры ЗИ Статья 16*: Защита информации 5. Требования о защите информации,
государственных информационных системах, устанавливаются (уполномоченными федеральными органами исполнительной власти). При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Такие требования содержатся в соответству­ющем приказе ФСТЭК России

Слайд 12

Законодательные меры ЗИ

Статья 17*
1. Нарушение требований настоящего Федерального закона влечет за собой

Законодательные меры ЗИ Статья 17* 1. Нарушение требований настоящего Федерального закона влечет
дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Слайд 13

Законодательные меры ЗИ

Уголовно наказуемые деяния, связанные с нарушением информационной безопасности:
Нарушение тайны переписки,

Законодательные меры ЗИ Уголовно наказуемые деяния, связанные с нарушением информационной безопасности: Нарушение
телефонных переговоров, почтовых, телеграфных или иных сообщений
Незаконный оборот специальных технических средств, предназначенных для негласного получения информации
Нарушение авторских и смежных прав
Нарушение изобретательских и латентных прав
Мошенничество в сфере компьютерной информации
Неправомерный оборот средств платежей

Слайд 14

Законодательные меры ЗИ

Уголовно наказуемые деяния, связанные с нарушением информационной безопасности:
Разглашение государственной тайны
Неправомерный

Законодательные меры ЗИ Уголовно наказуемые деяния, связанные с нарушением информационной безопасности: Разглашение
доступ к компьютерной информации
Создание, использование и распространение вредоносных компьютерных программ
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Различные деяния, включающие нарушение безопасности информации как составную часть

Слайд 15

Административные меры ЗИ

Включают правила доступа и работы с информацией, установленные руководством организации
Направлены

Административные меры ЗИ Включают правила доступа и работы с информацией, установленные руководством
на персонал организации, а также на его взаимодействие с лицами, находящимися на контролируемой территории в силу их обязанностей или исполняемых организацией функций

Слайд 16

Административные меры ЗИ

Должны соответствовать действующим законам и иным нормативно-правовым актам, не только

Административные меры ЗИ Должны соответствовать действующим законам и иным нормативно-правовым актам, не
в сфере защиты информации
Могут опираться на законодательные меры как
На обоснование конкретных административных мер
На обоснование запрета конкретных действий
Источник санкций за нарушение конкретных мер

Слайд 17

Административные меры ЗИ

Должны поддерживаться организационно-техническими и программно-техническими мерами защиты информации
Должны соответствовать официальной

Административные меры ЗИ Должны поддерживаться организационно-техническими и программно-техническими мерами защиты информации Должны
и фактической позиции руководства организации
Должны быть доведены до сведения всех сотрудников организации, их исполнение должно контролироваться

Слайд 18

Административные меры ЗИ

Составляют совокупность взглядов руководства на все ситуации, возникающие при хранении,

Административные меры ЗИ Составляют совокупность взглядов руководства на все ситуации, возникающие при
обработке и передаче информации, а также конкретные указания на необходимые действия в таких ситуациях - как штатных, так и экстренных
Во многом являются определяющими для фактического уровня эффективности системы информационной безопасности организации

Слайд 19

Административные меры ЗИ

Включают:
Управление рисками
Разработку политики безопасности организации
Управление персоналом
Планирование действий в чрезвычайных ситуациях

Административные меры ЗИ Включают: Управление рисками Разработку политики безопасности организации Управление персоналом

Слайд 20

Управление рисками

«Информационная технология. Методы и средства обеспечения безопасности.
Часть 1. Концепция и модели

Управление рисками «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция
менеджмента безопасности информационных и телекоммуникационных технологий»
* ГОСТ Р ИСО/МЭК 27001-2006

Слайд 21

Управление рисками
Активы - все, что имеет ценность для организации

Управление рисками Активы - все, что имеет ценность для организации

Слайд 22

Управление рисками
Риск - потенциальная опасность нанесения ущерба организации в результате реализации некоторой

Управление рисками Риск - потенциальная опасность нанесения ущерба организации в результате реализации
угрозы с использованием уязвимости актива или группы активов. Определяется как сочетание вероятности события и его последствий.

Слайд 23

Управление рисками
Менеджмент риска (управление риском) - полный процесс идентификации, контроля, устранения или

Управление рисками Менеджмент риска (управление риском) - полный процесс идентификации, контроля, устранения
уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно­телекоммуникационных технологий

Слайд 24

Управление рисками

Оценка риска - процесс, объединяющий идентификацию риска, анализ риска и оценивание

Управление рисками Оценка риска - процесс, объединяющий идентификацию риска, анализ риска и
риска
Анализ риска - систематический процесс определения величины риска
Обработка риска - процесс выбора и осуществления мер по модификации риска
Остаточный риск - риск, остающийся после его обработки

Слайд 25

Управление рисками

Включает:
Оценку (измерение) рисков - оценку вероятности реализации угрозы и ее возможного

Управление рисками Включает: Оценку (измерение) рисков - оценку вероятности реализации угрозы и
ущерба, возможно, выраженного в финансовых потерях
Нейтрализацию рисков - выбор эффективных мер защиты или реагирования на реализацию угрозы

Слайд 26

Управление рисками
Защитная мера - сложившаяся практика, процедура или механизм обработки риска

Управление рисками Защитная мера - сложившаяся практика, процедура или механизм обработки риска

Слайд 27

Управление рисками

Этапы управления рисками:
Выбор анализируемых объектов и уровня детализации их рассмотрения;
Выбор методики

Управление рисками Этапы управления рисками: Выбор анализируемых объектов и уровня детализации их
оценки рисков;
Идентификация активов;
Анализ угроз и их последствий, выявление уязвимых мест в защите;
Оценка рисков.
Выбор защитных мер.
Реализация и проверка выбранных мер.
Оценка остаточного риска.

Слайд 28

Управление рисками

Возможные защитные меры:
ликвидация риска;
уменьшение риска;
принятие риска;
переадресация риска.

Управление рисками Возможные защитные меры: ликвидация риска; уменьшение риска; принятие риска; переадресация риска.

Слайд 29

Управление рисками

Рекомендуется включать управление рисками в жизненный цикл ИС и реализовывать защитные

Управление рисками Рекомендуется включать управление рисками в жизненный цикл ИС и реализовывать
меры на различных его этапах:
Этап проектирования ИС - выработка адекватных требований к ИС и ее системе безопасности
Этап разработки ИС - выбор наименее уязвимых решений, минимизация уязвимостей

Слайд 30

Политика безопасности организации
Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) - правила, директивы,

Политика безопасности организации Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) - правила,
сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию

Слайд 31

Политика безопасности организации
Политика безопасности организации (ПБ) - совокупность документированных решений, принимаемых руководством

Политика безопасности организации Политика безопасности организации (ПБ) - совокупность документированных решений, принимаемых
организации и направленных на защиту информации и ассоциированных с ней ресурсов

Слайд 32

Политика безопасности организации

Цели политики безопасности:
Формирование системы взглядов на проблему обеспечения безопасности информации

Политика безопасности организации Цели политики безопасности: Формирование системы взглядов на проблему обеспечения
в организации и пути ее решения с учетом современных технологий обработки и защиты информации;
Формулирование рекомендаций по повышению степени защищенности ИС;
Выработка общих требований к мерам защиты информации

Слайд 33

Политика безопасности организации

Может рассматриваться как совокупность 3 уровней:
Верхний уровень - решения, касающиеся

Политика безопасности организации Может рассматриваться как совокупность 3 уровней: Верхний уровень -
организации в целом в терминах целостности, доступности, конфиденциальности
Средний уровень - область применения политики безопасности, вопросы ответственности за соблюдение политики безопасности, обучения персонала
Нижний уровень - решения по конкретным системам и сервисам

Слайд 34

Политика безопасности организации

Примеры элементов ПБ верхнего уровня:
Формулировка целей, которые преследует организация в

Политика безопасности организации Примеры элементов ПБ верхнего уровня: Формулировка целей, которые преследует
области информационной безопасности;
Обеспечение базы для соблюдения законов и прочих нормативных актов;
Формулировка административных решений по вопросам, касающимся организации в целом

Слайд 35

Политика безопасности организации

Примеры элементов ПБ среднего уровня:
Область применения ПБ;
Обязанности должностных лиц, отвечающих

Политика безопасности организации Примеры элементов ПБ среднего уровня: Область применения ПБ; Обязанности
за выполнение ПБ;
Обучение и информирование персонала о ПБ организации.

Слайд 36

Управление персоналом

Включает следующие мероприятия:
Внедрение должностных инструкций сотрудников:
Разделение обязанностей,
Минимизация привилегий.
Информирование и обучение персонала;
Внедрение

Управление персоналом Включает следующие мероприятия: Внедрение должностных инструкций сотрудников: Разделение обязанностей, Минимизация
инструкций по работе со средствами ЗИ;
Внедрение инструкций для внештатных ситуаций;
Разграничение доступа сотрудников:
Логического в рамках ИС,
Физического в рамках ОИ;
Контроль, протоколирование и аудит действий персонала.

Слайд 37

Управление персоналом

Направлено на решение следующих задач:
Разделение сферы ответственности сотрудников;
Противодействие злоумышленным действиям внутренних

Управление персоналом Направлено на решение следующих задач: Разделение сферы ответственности сотрудников; Противодействие
нарушителей;
Снижение угроз, реализуемых из-за халатности или недостаточной квалификации сотрудников;
Снижение последствий угроз, имеющих техногенные или стихийные источники

Слайд 38

Планирование действий в ЧС
Направлено на минимизацию последствий от таких ситуаций как с

Планирование действий в ЧС Направлено на минимизацию последствий от таких ситуаций как
физической (выход из строя аппаратного обеспечения, систем и средств обработки информации), так и с финансовой (денежные потери организации) точки зрения

Слайд 39

Планирование действий в ЧС

Должно охватывать следующие ситуации:
Стихийные бедствия
Аппаратные сбои ИС
Программные сбои ИС
Выход

Планирование действий в ЧС Должно охватывать следующие ситуации: Стихийные бедствия Аппаратные сбои
из строя поддерживающих коммуникаций
Обнаружение действий нарушителя

Слайд 40

Планирование действий в ЧС

Заключается в:
Разработке инструкции по действию персонала в перечисленных ситуациях,
Назначении

Планирование действий в ЧС Заключается в: Разработке инструкции по действию персонала в
ответственных лиц за действия в таких ситуациях;
Информировании сотрудников о необходимых действиях;
Обучении сотрудников требуемым действиям

Слайд 41

Планирование действий в ЧС

Может решать следующие задачи:
Сохранение функционирования ИС объекта информатизации;
Снижение убытков

Планирование действий в ЧС Может решать следующие задачи: Сохранение функционирования ИС объекта
организации;
Обеспечение целостности и доступности информации;
Прекращение действий нарушителя или усиления последствий угрозы;
Обеспечение возможности протоколирования и аудита событий;
Оценка защищенности ОИ от ситуаций подобного рода;
Принятие мер по снижению риска ситуаций подобного рода.

Слайд 42

Планирование действий в ЧС

Примеры действий персонала в ЧС:
Отключение и эвакуация носителей информации;
Принятие

Планирование действий в ЧС Примеры действий персонала в ЧС: Отключение и эвакуация
мер для защиты аппаратного обеспечения ИС от физических повреждений;
Информирование службы безопасности организации;
Приостановление работы в штатном режиме;
Включение систем резервирования;
Восстановление работоспособности программного обеспечения ИС из резервной копии;
Замена или ремонт аппаратного обеспечения ИС
Выявление уязвимостей, приведших к реализации угрозы их устранение

Слайд 43

Организационно-технические меры ЗИ

Заключаются в совокупности организационных и технических мероприятий, направленных на:
контроль доступа

Организационно-технические меры ЗИ Заключаются в совокупности организационных и технических мероприятий, направленных на:
на контролируемую территорию и к конкретным объектам ОИ,
защиту элементов ИС и имущества организации от хищения, повреждения и иных неправомерных действий,
поддержку работоспособности ИС

Слайд 44

Организационно-технические меры ЗИ

Направлены, главным образом, на противодействие:
Угрозам, имеющим стихийные и техногенные источники;
Внешним

Организационно-технические меры ЗИ Направлены, главным образом, на противодействие: Угрозам, имеющим стихийные и
нарушителям, стремящимся получить физический доступ к ИС;
Внутренним нарушителям, действующим в нарушение своих должностных инструкций

Слайд 45

Организационно-технические меры ЗИ

Включают следующие основные мероприятия:
Контроль доступа на контролируемую территорию и в

Организационно-технические меры ЗИ Включают следующие основные мероприятия: Контроль доступа на контролируемую территорию
конкретные помещения;
Физическая защита ОИ от неправомерных действий;
Защита поддерживающей инфраструктуры, техническая безопасность.

Слайд 46

Физическая защита ОИ

Может включать следующие меры:
защита от несанкционированного доступа в помещения;
защита от

Физическая защита ОИ Может включать следующие меры: защита от несанкционированного доступа в
краж;
защита от вандализма;
противопожарная охрана;
защита от взрывов;
защита от других неправомерных действий.

Слайд 47

Физическая защита ОИ
Система физической защиты (СФЗ) - совокупность людей, процедур и оборудования,

Физическая защита ОИ Система физической защиты (СФЗ) - совокупность людей, процедур и
защищающих объект информатизации в целом и его части от действий, нарушающих его безопасность
СФЗ является основным элементом физической защиты ОИ

Слайд 48

Физическая защита ОИ
Целью СФЗ является предотвращение реализации квалифицированным нарушителем явных или скрытых

Физическая защита ОИ Целью СФЗ является предотвращение реализации квалифицированным нарушителем явных или
неправомерных воздействий на объект информатизации, его ИС, персонал или поддерживающую инфраструктуру

Слайд 49

Физическая защита ОИ

Подходы к реализации СФЗ:
Сдерживание
Обнаружение - задержка - реагирование

Физическая защита ОИ Подходы к реализации СФЗ: Сдерживание Обнаружение - задержка - реагирование

Слайд 50

Физическая защита ОИ

Сдерживание заключается в реализации мер, снижающих привлекательность объекта как потенциальной

Физическая защита ОИ Сдерживание заключается в реализации мер, снижающих привлекательность объекта как
цели воздействия для нарушителя.
Примеры - наличие охраны, видеонаблюдения, сигнализации, ясно видимых потенциальным нарушителем.
Результат сдерживания - отказ нарушителя от попыток реализации угрозы.

Слайд 51

Физическая защита ОИ

Обнаружение - выявление скрытой или явной попытки нарушителя проникнуть на

Физическая защита ОИ Обнаружение - выявление скрытой или явной попытки нарушителя проникнуть
контролируемую территорию объекта информатизации.
Показатели эффективности обнаружения:
Вероятность выявления попытки проникновения;
Время оценивания попытки;
Время передачи сообщения о попытке;
Частота ложных обнаружений.

Слайд 52

Физическая защита ОИ

Задержка - замедление продвижения нарушителя к цели.
Способы задержки:
физические барьеры, препятствия,
замки,
персонал

Физическая защита ОИ Задержка - замедление продвижения нарушителя к цели. Способы задержки:
охраны.
Показатель эффективности задержки - время на преодоление нарушителем всех препятствий после его обнаружения

Слайд 53

Физическая защита ОИ

Реагирование - действия сил СФЗ по воспрепятствованию успеху нарушителя, прерыванию

Физическая защита ОИ Реагирование - действия сил СФЗ по воспрепятствованию успеху нарушителя,
его действий и его нейтрализации.
Для успешного реагирования важными факторами являются:
Наличие точной информации о нарушителе;
Наличие времени на развертывание сил и средств реагирования;
Численное превосходство сил СФЗ.

Слайд 54

Физическая защита ОИ

Принципы построения эффективной СФЗ:
Надежность (эшелонированность) - наличие нескольких рубежей препятствий,

Физическая защита ОИ Принципы построения эффективной СФЗ: Надежность (эшелонированность) - наличие нескольких
которые должен преодолеть нарушитель;
Отказоустойчивость - наличие запасных мер защиты на случай успеха нарушителя в преодолении основных препятствий;
Сбалансированность - отсутствие явных наиболее простых я преодоления путей достижения цели нарушителем.

Слайд 55

Физическая защита ОИ

Принципы построения эффективной СФЗ:
Обнаружение нарушителя на максимальном удалении от цели;
Оценка

Физическая защита ОИ Принципы построения эффективной СФЗ: Обнаружение нарушителя на максимальном удалении
попытки проникновения со стороны нарушителя до завершения его обнаружения;
Устойчивая связь между обнаружением нарушителя и реагированием на него;
Задержка обеспечивается на минимально приемлемом удалении от цели.

Слайд 56

Защита поддерживающей инфраструктуры
Поддерживающая инфраструктура - комплекс взаимосвязанных обслуживающих структур или объектов, составляющих

Защита поддерживающей инфраструктуры Поддерживающая инфраструктура - комплекс взаимосвязанных обслуживающих структур или объектов,
и (или) обеспечивающих основу функционирования информационной системы

Слайд 57

Защита поддерживающей инфраструктуры

Поддерживающая инфраструктура может включать системы:
электроснабжения;
теплоснабжения;
водоснабжения;
газоснабжения;
кондиционирования;
другие системы.

Защита поддерживающей инфраструктуры Поддерживающая инфраструктура может включать системы: электроснабжения; теплоснабжения; водоснабжения; газоснабжения; кондиционирования; другие системы.

Слайд 58

Защита поддерживающей инфраструктуры

Выход из строя какой-либо системы поддерживающей инфраструктуры может привести к:
Временному

Защита поддерживающей инфраструктуры Выход из строя какой-либо системы поддерживающей инфраструктуры может привести
прекращению работы ИС;
Физическому повреждению элементов ИС;
Повышенному износу элементов ИС;
Другим нежелательным последствиям.
- Предыдущая
Марс и Земля
Следующая -
Grundig_new BZ_brief

Похожие презентации

2_Vidy_kompyuternoy_grafiki
02_ООП_практика
Пошаговое создание кроссворда
О фотошопе
Алгоритмизация и программирование
Data Luxury Protection (DLP) – защита данных с удовольствием!
Разработка и исследование возможностей строительства ВОЛС на участке Череповец - Кириллов
Управление памятью
Бизнес план интернет магазина Leki-shop
Рисование вазы в графическом редакторе Paint
Наука информатика
SQL-запрос. Задания
Коллаж. Понятие
Сравнение платформ создания сайтов
База данных Visual FoxPro 6.0 (основные понятия и инструментальные средства среды разработки)
Что может заменить компьютер в библиотечной работе? Или что было в Фоминской сельской библиотеке во 2-й половине XX в
История развития вычислительной техники
Правила оформления презентации и доклада
Интернет как инструмент для общения. Интернет ресурсы как способ проповеди Евангелия
Texture_mapping (1)
BPMN. Язык описания бизнес-процессов
Напишите консольную программу
Формирование автозаказа
Разработка фирменной рекламной продукции для регионального бренда “Саратовская глиняная игрушка”
Логические элементы
Я-собеседник
Дистанционное обучение
Программное обеспечение Интернет-переписи
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть