Статистика_ЗаконодательствоИнформационная безопасность

Содержание

Слайд 2

Абзалов Олег Накибович
преподаватель и эксперт-практик в области информационной безопасности и комплексной защиты

Абзалов Олег Накибович преподаватель и эксперт-практик в области информационной безопасности и комплексной
информации;
автор учебных программ и курсов в вузах Москвы по дисциплинам “Информационная безопасность”, “Аудит информационной безопасности”, “Защита информации ограниченного доступа”, “ИТ-безопасность”;
доступ к ГТ (ф. 2);
стаж работы руководителем проектов в разработке систем защиты персональных данных более 16 лет;
консультант по вопросам информационной безопасности международной ассоциации «Генералы Мира за Мир».

Слайд 3

Актуальность проблемы обеспечения безопасности персональных данных

«Кто владеет информацией – тот владеет миром...» сэр

Актуальность проблемы обеспечения безопасности персональных данных «Кто владеет информацией – тот владеет миром...» сэр У. Черчиль
У. Черчиль

Слайд 4

Статистика зафиксированных утечек информации

Статистика зафиксированных утечек информации

Слайд 5

Каналы утечек по отраслевой принадлежности

Каналы утечек по отраслевой принадлежности

Слайд 6

Каналы утечек по источникам угроз

Каналы утечек по источникам угроз

Слайд 7

http://www.infowatch.ru

Каналы утечек в мире

http://www.infowatch.ru Каналы утечек в мире

Слайд 8

Реализованные утечки по странам

Более трети зарегистрированных утечек произошли в России, на втором

Реализованные утечки по странам Более трети зарегистрированных утечек произошли в России, на
месте США,
на третьем Индия

Слайд 9

Статистика распределения утечек

Свыше половины случаев компрометации данных, связанных с пандемией, как в

Статистика распределения утечек Свыше половины случаев компрометации данных, связанных с пандемией, как
России,
так и в мире произошли через сеть

Слайд 10

Распределение утечек по типам данных

Распределение утечек по типам данных

Слайд 11

Результаты исследования InfoWatch

28 июня 2021.
Из облака утекли персональные данные пользователей WordPress

Группа исследователей

Результаты исследования InfoWatch 28 июня 2021. Из облака утекли персональные данные пользователей
Website Planet по главе с Йеремией Фаулером (Jeremiah Fowler) обнаружила не защищенную паролем базу данных размером более 86 Гб.
В облачном хранилище находились более 814 млн записей конфиденциальной информации, связанные с аккаунтами WordPress: имена пользователей и адреса электронной почты.
Также на сервере оказались раскрыты журналы с логами событий, утекла такая конфиденциальная информация, как роли доступа и ID.

http://www.infowatch.ru

Слайд 12

Основной источник нарушения ИБ

Основной источник нарушения ИБ

Слайд 13

Выводы

Динамика утечек, связанных с пандемией коронавируса, во многом повторяет сценарий распространения самой

Выводы Динамика утечек, связанных с пандемией коронавируса, во многом повторяет сценарий распространения
инфекции.
Ближе к весне, на пороге массовых заболеваний COVID-19 в мире, зарегистрированы первые случаи компрометации данных.
В марте-апреле, когда инфекция активно распространялась в европейских странах и США, происходил лавинообразный рост числа утечек.
Медицинским учреждениям и другим организациям, обрабатывающим данные людей с коронавирусом и связанную с ними информацию, удалось усилить направление информационной безопасности, организационными мероприятиями.
Персонал стал более ответственно относиться к защите конфиденциальных данных.
Выросла информированность широких масс о пандемии.
Люди поняли, что от заболевания новой инфекцией не застрахован никто, а утечка может принести незаслуженные страдания.
Пандемия коронавируса высветила ряд «болевых точек» в организации корпоративных систем ИБ.
Подтвердился невысокий уровень зрелости процессов управления ИБ в медицинской сфере, а также в ряде муниципальных и государственных структур (фактически, независимо от страны, где это происходило).

Слайд 14

Информация - сведения (сообщения, данные) независимо от формы их представления

акустическая (речевая) информация
видовая

Информация - сведения (сообщения, данные) независимо от формы их представления акустическая (речевая)
информация
информация, обрабатываемая (циркулирующая) в ИС, в виде электрических, электромагнитных, оптических сигналов;
информация, обрабатываемая в ИС, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

Основные понятия в области технической защиты информации

Слайд 15

Термины и определения

Конфиденциальность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать

Термины и определения Конфиденциальность информации – состояние защищенности информации, характеризуемое способностью АС
сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.
Доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения.

Слайд 16

Нарушение конфиденциальности

Перехват – получение несанкционированного доступа к ресурсу.
Подключение к кабелю связи с

Нарушение конфиденциальности Перехват – получение несанкционированного доступа к ресурсу. Подключение к кабелю
целью перехвата данных
Незаконное копирование файлов и программ

Слайд 17

Нарушение целостности

Модификация – открытие несанкционированного доступа к ресурсу и его изменение нарушителем.
Изменение

Нарушение целостности Модификация – открытие несанкционированного доступа к ресурсу и его изменение
значений в файле данных
Модификация кода программы с целью изменения ее функций
Изменение содержимого передаваемого по сети сообщения

Слайд 18

Нарушение доступности

Разъединение – уничтожение ресурса системы, либо приведение его в состояние недоступности

Нарушение доступности Разъединение – уничтожение ресурса системы, либо приведение его в состояние
или негодности.
Вывод из строя оборудования
Обрыв линии связи
Разрушение файловой системы

Слайд 19

Нарушение аутентичности

Фальсификация – внесение в систему ложного объекта.
Отправка поддельных сообщений по сети
Добавлений

Нарушение аутентичности Фальсификация – внесение в систему ложного объекта. Отправка поддельных сообщений
записей в файл

Фальсификация

Слайд 20

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации
и способы осуществления таких процессов и методов.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

149-ФЗ от 27 июля 2006 года

Термины и определения

Слайд 21

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона
или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

149-ФЗ от 27 июля 2006 года

Термины и определения

Слайд 22

Доступ к информации - возможность получения информации и ее использования.
Предоставление информации -

Доступ к информации - возможность получения информации и ее использования. Предоставление информации
действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Термины и определения

Слайд 23

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Документированная информация -

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети. Документированная информация
зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

149-ФЗ от 27 июля 2006 года

Термины и определения

Слайд 24

Информационная безопасность - механизм защиты, обеспечивающий:
конфиденциальность: доступ к информации только авторизованных пользователей;
целостность:

Информационная безопасность - механизм защиты, обеспечивающий: конфиденциальность: доступ к информации только авторизованных
достоверность и полноту информации и методов ее обработки;
доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

ГОСТ Р ИСО/МЭК 17799-2005

Термины и определения

Слайд 25

Оператор информационной системы – гражданин или юридическое лицо, осуществляющее деятельность по эксплуатации

Оператор информационной системы – гражданин или юридическое лицо, осуществляющее деятельность по эксплуатации
информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Оператор
государственный орган
муниципальный орган
юридическое лицо
физическое лицо
совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

152-ФЗ от 27 июля 2006

Термины и определения

Слайд 26

сбор
запись
систематизация
накопление
хранение
уточнение (обновление, изменение)
извлечение
использование
передача (распространение, предоставление, доступ)
обезличивание
блокирование
удаление
уничтожение

152-ФЗ от 27 июля 2006

Обработка

сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (распространение,
персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными

Термины и определения

Слайд 27

Нормативные правовые акты и организационно-распорядительные документы по технической защите информации ограниченного доступа

Нормативные правовые акты и организационно-распорядительные документы по технической защите информации ограниченного доступа

Слайд 28

Статья 24.
Сбор, хранение, использование и распространение информации о частной жизни лица без

Статья 24. Сбор, хранение, использование и распространение информации о частной жизни лица
его согласия не допускаются.
Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 29.
Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Конституция РФ

12 декабря 1993

Слайд 29

Положение о ГСЗИ в РФ от ИТР и от её утечки по

Положение о ГСЗИ в РФ от ИТР и от её утечки по
техническим каналам

Определяет задачи и структуру государственной системы защиты информации в Российской Федерации.
Является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, во всех органах власти и прочих организациях независимо от их организационно-правовой формы и формы собственности.

Постановление Правительства РФ
№ 912-51 от 15 сентября 1993

Слайд 30

Организационная структура ГСЗИ

Организационная структура ГСЗИ

Слайд 31

Конвенции и иные международные договора

Законы

Постановления правительства

Приказы
и иные документы

Европейская конвенция

152-ФЗ от 27.07.2006
(в редакции

Конвенции и иные международные договора Законы Постановления правительства Приказы и иные документы
261-ФЗ от 25.07.2011 г.)

№ 1119 от 01.11.2012

№ 687 от 15.09.2008

№ 512 от 06.07.2008

№ 21, 17 Приказы ФСТЭК.

НМД ФСТЭК

НМД ФСБ

№ 211 от 21.03.2012

№ 940 от 18.09.2012

Структура законодательства России по персональным данным

Слайд 32

Угрозы несанкционированного
доступа к информации
и
реализации технического канала утечки информации

Угрозы несанкционированного доступа к информации и реализации технического канала утечки информации

Слайд 33

НСД
(несанкционированные действия) - доступ к информации или действия с информацией, нарушающие

НСД (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие
правила разграничения доступа с использованием штатных средств, предоставляемых ИС.

программные средства

программно-аппаратные средства

Для реализации применяются
Угрозы НСД

Слайд 34

источник угрозы (приемник информативного сигнала)
среда (путь) распространения информационного сигнала
источник (носитель) информации

Описание угрозы

источник угрозы (приемник информативного сигнала) среда (путь) распространения информационного сигнала источник (носитель)
утечки информации по ТКУИ:

Угрозы утечки информации по техническим каналам

Источники угроз утечки информации по ТКУИ:

физические лица, не имеющие доступа к ИС
зарубежные спецслужбы или организации
криминальные группировки

Слайд 35

Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды

Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды
распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Технический канал утечки информации - совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

ТКУИ, приводящие к возникновению угроз безопасности информации

СТР-К

Базовая модель...

Слайд 36

за счет перехода сигнала из одной среды в другую

Среда распространения информативного сигнала

Физическая

за счет перехода сигнала из одной среды в другую Среда распространения информативного
среда, по которой информативный сигнал может распространяться и регистрироваться приемником.

однородная

неоднородная

воздух, камень, вода, металл …

акустоэлектрические или виброакустические преобразования

Угрозы утечки информации по техническим каналам

Слайд 37

копирование, несанкционированное распространение

нарушение
конфиденциальности
уничтожение,
изменение

нарушение
целостности
блокирование

нарушение
доступности
копирование, несанкционированное распространение

нарушение
конфиденциальности

ТКУИ

НСД

Последствия

копирование, несанкционированное распространение нарушение конфиденциальности уничтожение, изменение нарушение целостности блокирование нарушение доступности

Слайд 38

Подключение с кратковременным разрывом ВОЛС

Подключение к работающему каналу ВОЛС без разрыва соединения

Съем

Подключение с кратковременным разрывом ВОЛС Подключение к работающему каналу ВОЛС без разрыва
информации с ВОЛС

Слайд 39

Радиомикрофон аналоговый NFM-400M (BT3V-300)

частота: 400-470 MГц
питание: батарея CR2450
время работы: 100-120 ч

Радиомикрофон аналоговый NFM-400M (BT3V-300) частота: 400-470 MГц питание: батарея CR2450 время работы:

дальность : 300-400 м
Преимущества:

большое время работы и быстрый запуск
большой радиус передачи
защита аудио тракта от громких ударов и хлопков
высокая проходимость сигнала через препятствия, за счёт применения сравнительно низких частот;
сравнительно высокая скрытность работы, за счёт применения очень точной частоты работы передатчика и не высокой средней мощности сигнала.
сравнительно длинная антенна 15-17см

Недостатки:

Слайд 40

Радиомикрофон аналоговый WFM-1G(VN-120)

частота: 900 - 1100 MГц
питание: батарея любая на 3-6

Радиомикрофон аналоговый WFM-1G(VN-120) частота: 900 - 1100 MГц питание: батарея любая на
V
время работы: от батареи CR2450 до 40-50 ч
дальность работы при прямой видимости: 100-150м
Преимущества:

Недостатки:

минимальные шумы в эфире
короткая антенна 6.5-7см

хуже проходимость сигнала через препятствия (по сравнению с частотами 400-470;600-670MHz)
повышенное энергопотребление при сравнительно не большой дальности

Слайд 41

Цифровой радиомикрофон МР-04

дальность действия: 300 м
чувствительность встроенного микрофона: 7-9 м
питание: 3

Цифровой радиомикрофон МР-04 дальность действия: 300 м чувствительность встроенного микрофона: 7-9 м
V
габариты: 30Х40Х7 мм
рабочая частота: 410-440 МГц
источник питания: один элемент CR2450

Слайд 42

Радиомикрофон МР2

дальность - до 3 км
питание - 9В
время работы до

Радиомикрофон МР2 дальность - до 3 км питание - 9В время работы
4 дней
габариты - 30 X 12X 8 мм.
частота - 96,1М гц (частота передатчика регулируемая)

Слайд 43

Генри Кэбот Лодж, представитель США в ООН, демонстрирует «Златоуста» во время
чрезвычайной

Генри Кэбот Лодж, представитель США в ООН, демонстрирует «Златоуста» во время чрезвычайной
сессии Организации Объединенных Наций.
В настоящее время он хранится в музее ЦРУ в Лэнгли.

Пример закладного устройства негласного съема информации («Златоуст»)

Слайд 44

Видеонаблюдение за помещением с использованием телевизионной камеры, установленной на беспилотном дистанционно –

Видеонаблюдение за помещением с использованием телевизионной камеры, установленной на беспилотном дистанционно –
управляемом вертолете (БПВ)

Телевизионная камера

Малогабаритный беспилотный
вертолет (БПВ)

Пульт дистанционного управления БПВ

Слайд 45

Уровень шума 65 дБ
на расстоянии 3 м

Беспилотный малогабаритный вертолет с электрическим

Уровень шума 65 дБ на расстоянии 3 м Беспилотный малогабаритный вертолет с электрическим малошумным двигателем SkyEye
малошумным двигателем SkyEye

Слайд 46

Беспилотный управляемый вертолет SIM-SkyEye

Беспилотный управляемый вертолет SIM-SkyEye

Слайд 47

Технические каналы утечки информации
из офисного помещения

ВИЗУАЛЬНОЕ НАБЛЮДЕНИЕ, В ТОМ ЧИСЛЕ ПРИБОРАМИ НОЧНОГО ВИДЕНИЯ

ОБЛУЧЕНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ

ПОБОЧНЫЕ ИЗЛУЧЕНИЯ КОМПЬЮТЕРА

ПЕРЕДАЧА

Технические каналы утечки информации из офисного помещения ВИЗУАЛЬНОЕ НАБЛЮДЕНИЕ, В ТОМ ЧИСЛЕ
ИНФОРМАЦИИ ПО ПРОВОДАМ СИСТЕМЫ ОХРАННОЙ И ПОЖАРНОЙ СИГНАЛИЗАЦИИ

СЪЕМ ИНФОРМАЦИИ ПО ВИБРОКАНАЛУ

КОМАНДЫ НА ВКЛЮЧЕНИЕ РЕЖИМА
АКУСТИЧЕСКОГО КОНТРОЛЯ ПОМЕЩЕНИЯ

ТЕЛЕФОННАЯ СЕТЬ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО ПРОВОДАМ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО РАДИОКАНАЛУ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО РАДИОКАНАЛУ

СЪЕМ ИНФОРМАЦИИ ПО ВИБРОКАНАЛУ

ПОДПИТКА ТОКАМИ ВЫСОКОЙ ЧАСТОТЫ

Слайд 48

Конституция РФ.
ФЗ-152 «О персональных данных».
ФЗ-149 «Об информации, информационных технологиях и о защите

Конституция РФ. ФЗ-152 «О персональных данных». ФЗ-149 «Об информации, информационных технологиях и
информации».
Требования по защите коммерческой тайны (98-ФЗ)
Требования по защите инсайдерской информации (224-ФЗ)
Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие)
Приказ ФСТЭК России №17, №21, Постановление Правительства РФ №1119, Методические рекомендации ФСТЭК России
Требования по защите информации в АСУ ТП (Приказ ФСТЭК России №31)
Требования к безопасности данных индустрии платежных карт - PCI DSS
СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
РС БР ИББС-2.9-2016 «Предотвращение утечек информации»
Комплексный международный стандарт по информационной безопасности ISO 27001
Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т.д.)

Нормативно-правовое обеспечение
(обзорно для ОУ)

Слайд 49

http://www.fstec.ru
http://www.fsb.ru
http://www.rsoc.ru
http://www.garant.ru
http://www.consultant.ru
http://www.gost.ru/wps/portal
http://www.abiss.ru/doc

Информационные ресурсы федеральных регуляторов безопасности информации и нормативно-правового обеспечения ИБ

http://www.fstec.ru http://www.fsb.ru http://www.rsoc.ru http://www.garant.ru http://www.consultant.ru http://www.gost.ru/wps/portal http://www.abiss.ru/doc Информационные ресурсы федеральных регуляторов безопасности
Имя файла: Статистика_ЗаконодательствоИнформационная-безопасность.pptx
Количество просмотров: 39
Количество скачиваний: 0