Безопасность функционирования информационных систем


Чтобы посмотреть презентацию с картинками, оформлением и слайдами, скачайте ее файл и откройте в PowerPoint на своем компьютере.
Текстовое содержимое слайдов презентации:

Принципы построения системы информационной безопасности «Безопасность функционированияинформационных систем» Краткое содержание Понятия информационной безопасности: что, зачем, от чего и как защищать?Система ИБ: основные функции, этапы и принципы потроенияКомплексное обследование ИСОпределение требований к защитеМоделирование угрозЧто такое «аудит ИБ»?Оценка информационных рисковЧто такое «политика ИБ»? Понятия информационной безопасности ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?Безопасность – состояние защищенности активов от потенциально или реально существующих угроз, или отсутствие таких угрозАктивы - все, что имеет ценность для владельцаУгроза – возможная опасность совершения какого-либо деяния, наносящего ущерб Понятия информационной безопасности: что защищать? ЧТО ТАКОЕ ИНФОРМАЦИЯ?«Информация - сведения (сообщения, данные), независимо от формы их представления.»Федеральный закон от 27 июля 2006 г. № 149-ФЗ«Об информации, информационных технологиях и защите информации» ЧТО ТАКОЕ ИНФОРМАЦИЯ? Информация идеальна, т.к. ее значение не зависит от формы представленияПредставленная в конкретной форме информация является материальной ценностью, которую можно купить, продать, подарить, уничтожить, украсть и т.д. Понятия информационной безопасности: что защищать? ИНФОРМАЦИЯ Понятия информационной безопасности: что защищать? ЧТО ТАКОЕ ОБЪЕКТ ИНФОРМАТИЗАЦИИ? «Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации,помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров»ГОСТ Р 51275-99 Понятия информационной безопасности: что защищать? ЧТО ТАКОЕ АВТОМАТИЗАИРОВАННАЯ СИСТЕМА? «Автоматизированная система – система, состоящая из персоналакомплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций» ГОСТ 34.003-90‏ Понятия информационной безопасности: что защищать? ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ СИСТЕМА? «Информационная система – совокупность содержащейся в базах данных информацииобеспечивающих ее обработку информационных технологий и технических средств»Федеральный закон от 27 июля 2006 г. № 149-ФЗ«Об информации, информационных технологиях и защите информации» Понятия информационной безопасности: что защищать? Объект информатизации Информационная система Помещение Защищаемое Выделенное Понятия информационной безопасности: что защищать? Объект информатизации (ИС, помещения)?Информацию?Владельца информации? ТАК ЧТО ЖЕ ЗАЩИЩАТЬ? Понятия информационной безопасности: что защищать? «Информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищён надлежащим образом»ГОСТ Р ИСО/МЭК 17799-2005 Понятия информационной безопасности: что защищать? Защищать следует то, что представляет собой ценность!Объектом защиты является информация, но только та, которая представлена в конкретной форме, циркулирует в конкретной среде – на объекте информатизации! Понятия информационной безопасности: что защищать? Основная цель защиты: исключение нанесения ущербаЧто такое ущерб?- невыгодные последствияКаким может быть ущерб? простои производстваповторный ввод информациисудебные издержкиотзыв лицензии, приостановление деятельности отток клиентовобгон конкурентамипотеря репутацииухудшение психологического климата в коллективенецелевое использование вычислительных ресурсов Понятия информационной безопасности: что защищать? Задачи информационной безопасности являются подмножеством задач защиты бизнеса (экономической безопасности) Задачи экономической безопасности ЗадачиИБ Понятия информационной безопасности: что защищать? Защита интересов бизнеса В информационной сфере В других сферах Защита ИР Исключение нецелевого использования вычислительных ресурсов Обеспечение конфиденциальности ИР Обеспечение целостности ИР Обеспечение доступности ИР Соответствие требованиям закона Понятия информационной безопасности: что защищать? Понятия информационной безопасности: от чего защищать? для информации актуальны те угрозы, которые могут нарушить ее свойства безопасности КАКИЕ УГРОЗЫ МОГУТ БЫТЬ АКТУАЛЬНЫ ДЛЯ ИНФОРМАЦИИ КонфиденциальностьЦелостностьДоступность СВОЙСТВА (АСПЕКТЫ) БЕЗОПАСНОСТИ ИНФОРМАЦИИ Понятия информационной безопасности: от чего защищать? свойство информации быть доступной только ограниченному кругу пользователей ИС, в которой циркулирует данная информация ЧТО ТАКОЕ КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ? Понятия информационной безопасности: от чего защищать? свойство информации сохранять свою структуру и содержание ЧТО ТАКОЕ ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ? Понятия информационной безопасности: от чего защищать? свойство информации быть доступной для пользователей ИС ЧТО ТАКОЕ ДОСТУПНОСТЬ ИНФОРМАЦИИ? Понятия информационной безопасности: от чего защищать? Нарушение конфиденциальности:хищениеознакомлениекопированиеНарушение целостности:модификацияНарушение доступности:блокированиеуничтожение Понятия информационной безопасности: от чего защищать? «Безопасность информации – состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз»РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения» ЧТО ТАКОЕ БЕЗОПАСНОСТЬ ИНФОРМАЦИИ? Понятия информационной безопасности Понятия информационной безопасности ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ? «Информационная безопасность - свойство информации сохранять конфиденциальность, целостность, доступность»ГОСТ Р ИСО/МЭК 27001-2006 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государствасоблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страныинформационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации...развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи...защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем...Доктрина информационной безопасности Российской Федерации Понятия информационной безопасности ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ? состояние защищенности интересов организации в информационной сфере Понятия информационной безопасности ЧТО ТАКОЕ ЗАЩИТА ИНФОРМАЦИИ? «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;2) соблюдение конфиденциальности информации ограниченного доступа,3) реализацию права на доступ к информации.»Федеральный закон от 27 июля 2006 г. № 149-ФЗ«Об информации, информационных технологиях и защите информации» Понятия информационной безопасности ГОСТ Р ИСО/МЭК 15408-1-2002 Понятия информационной безопасности МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ТехническиеПравовыеОрганизационныеФизическиеМорально-этические Понятия информационной безопасности: как защищать? ТЕХНИЧЕСКИЕ МЕРЫ основаны на использовании различных программных и/или аппаратных средств, входящих в состав ИС и предназначенных самостоятельно или в комплексе с другими средствами выполнять функции защиты Понятия информационной безопасности: как защищать? ПРАВОВЫЕ МЕРЫ действующие в государстве нормативные правовые акты (законы, указы, постановления и др.), регламентирующие правила обращения с информацией, а также устанавливающие ответственность за нарушения этих правил Понятия информационной безопасности: как защищать? ОРГАНИЗАЦИОННЫЕ МЕРЫ меры административного и процедурного характера, регламентирующие процессы функционирования ИС, использования ИР, затрудняющие реализацию угроз безопасности информации Понятия информационной безопасности: как защищать? ФИЗИЧЕСКИЕ МЕРЫ основаны на применении устройств и сооружений, предназначенных для создания физических препятствий для доступа к ИС Понятия информационной безопасности: как защищать? МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ нормы поведения, традиционно сложившиеся или складывающиеся по мере распространения информационных технологий в обществе. Данные нормы не являются обязательными, однако их несоблюдение приводит к падению авторитета человека или организации (работы по укреплению морального климата в организации)‏ Понятия информационной безопасности: как защищать? ПОДХОДЫ К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ Фрагментарный – направлен на противодействие четко определенным угрозам в заданных условиях.Комплексный – ориентирован на создание защищенной среды обработки информации, объединяющий в единый комплекс разнородные меры противодействия всем угрозам. Основан на построении системы обеспечения безопасности информации. Понятия информационной безопасности: как защищать? ФРАГМЕНТАРНЫЙ ПОДХОД Достоинствавысокая избирательность к конкретным угрозамотносительно низкая стоимость реализацииНедостаткиотсутствие полного анализа всех угрозотсутствие единой защищенной среды обработки информации Понятия информационной безопасности: как защищать? КОМПЛЕКСНЫЙ ПОДХОД Достоинствапозволяет гарантировать определенный уровень защитыНедостаткисложность управлениявысокая стоимость реализации Понятия информационной безопасности: как защищать? Система информационной безопасности ЦИКЛИЧНОСТЬ ПРОЦЕССА ОБЕСПЕЧЕИЯ БЕЗОПАСНОСТИ Анализ бизнес-целей и определение требований Проектирование Реализация и внедрение Сопровождение МОДЕЛЬ ЗАЩИЩЕННОЙ СРЕДЫ ОБРАБОТКИ ИНФОРМАЦИИ Доверенные окружение и субъектыДоверенная аппаратная платформаДоверенная программная платформаДоверенные каналы передачи информацииДоверенные правила Система информационной безопасности ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Счетность всех субъектов и объектов Доверенная конфигурация и настройкиЦелостность всех элементовПодконтрольность всех действийДокументированность всех событий Система информационной безопасности Основные задачи СИБ Защита ИР от НСД и утечекКонтроль подлинности и целостности информацииОбеспечение юридической значимости информацииАудит и мониторинг безопасности системыПостроение доверенных каналовБезопасное подключение ИС к открытым сетямОбнаружение вторжений и антивирусная защитаУправление безопасностью Система информационной безопасности Основные принципы построения СИБ СистемностьКомплексностьМногоуровневостьИнтегрируемостьРазумная достаточность Система информационной безопасности СИСТЕМНОСТЬ Реализуется полный комплекс этапов по созданию СИБ: анализ состояния и определение требований,проектирование, реализация, оценка эффективности Система информационной безопасности КОМПЛЕКСНОСТЬ Для обеспечения безопасности используется комплекс мер, который включает в себя:технические мерыправовые мерыорганизационные мерыфизические меры Система информационной безопасности МНОГОУРОВНЕВОСТЬ Безопасность информации обеспечивается с помощью нескольких последовательных рубежей защиты Система информационной безопасности ИНТЕГРИРУЕМОСТЬ СОБИ строится на основе существующей IT-инфраструктуры с использованием встроенных средств защиты информации Система информационной безопасности РАЗУМНАЯ ДОСТАТОЧНОСТЬ При определении перечня мероприятий по обеспечению безопасности информации необходимо учитывать возможный ущерб от реализации угроз и соотносить его с совокупной стоимостью защиты Система информационной безопасности Этапы построения СИБ Комплексное обследование ИС Моделирование и анализ угроз безопасности информацииОпределение требований к защитеПроектирование системы защиты информацииРазработка организационно-распорядительной и эксплуатационной документацииВнедрение системы защиты информацииОценка соответствия требованиямСопровождение и корректировка Система информационной безопасности Обследование ИС (аудит) Определение требований к системе защиты Разработка технического задания на создание системы защиты Проектирование системы защиты Разработка внутренних нормативных документов Установка и настройка средств защиты информации Оценка соответствия объекта информатизации Обслуживание системы защиты Этапы построения СИБ изменение процессов обработки информации Система информационной безопасности Построение СИБ: комплексное обследование ИС На этапе комплексного обеследования ИС собирают данные о всех значимых (с точки зрения безопасности информации) особенностях функционирования ИС для последующего анализаКакие данные собирают?Данные о составе и принципах работы ИСДанные о ролях пользователей, работающих с ИСДанные о потоках и процессах обработки информацииИсточники исходных данных:Интервьюирование пользователей ИСОрганизационно-распорядительные и эксплуатационные документыСканирование ИС с использованием специализированного ПО Построение СИБ: моделирование и анализ угроз На этапе моделирования и анализа угроз моделируются возможные угрозы, а также определяется их актуальность для последующего формирование требований к защитеДля моделирования угроз используются исходные данные, полученные на этапе комплексного обследования Построение СИБ: моделирование и анализ угроз Угрозу можно представить как совокупность следующих элементов:источник угрозы,уязвимость ИС,способ реализации угрозы,объект воздействия (ИР)‏,деструктивное действие.Источник, используя уязвимость системы и применяя какой-либо способ реализации угрозы, совершает деструктивное действие над защищаемой информацией Как моделировать угрозы? Построение СИБ: определение требований к защите Источники формирования требований к защите:смоделированные угрозы безопасности информациитребования нормативных правовых актов Российской Федерациитребования методических документов ФСТЭК России и ФСБ Россиитребования международных, государственных и отраслевых стандартовтребования, включенные в договора с партнерами и контрагентами На этапе определения требований формируются требования к защите, которым должна удовлетворять СОБИ Построение СИБ: определение требований к защите Классификация защищаемых информационных ресурсов Построение СИБ: определение требований к защите «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации»Закон Российской Федерации от 21 июля 1993 г. № 5485-1«О государственной тайне» Классификация защищаемых информационных ресурсов Государственная тайна Построение СИБ: определение требований к защите Классификация защищаемых информационных ресурсов Персональные данные «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Построение СИБ: определение требований к защите Классификация защищаемых информационных ресурсов Профессиональная тайна «сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.)‏»Указ Президента РФ от 06 марта 1997 г. № 188«Об утверждении перечня сведений конфиденциального характера» Построение СИБ: определение требований к защите Классификация защищаемых информационных ресурсов Служебная тайна «Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами»Указ Президента РФ от 06 марта 1997 г. № 188«К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью»Постановление Правительства РФ от 03 ноября 1994 г. № 1233 Построение СИБ: определение требований к защите Классификация защищаемых информационных ресурсов Коммерческая тайна «сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны»Федеральный закон от 29 июля 2004 г. № 98-ФЗ«О коммерческой тайне» Построение СИБ: проектирование системы защиты информации На этапе проектирования системы защиты информации формируются технические решения и разрабатывается проектная документация с описанием таких решенийТехнические решения должны удовлетворять сформулированным требованиям Построение СИБ: разработка ОРД На этапе разработки организационно-распорядительной и эксплуатационной документации фиксируются и документируются правила, которые должны соблюдаться при обработке информации и использовании вычислительных ресурсовПравила должны быть утверждены руководством организацииСовокупность таких правил составляет политику обеспечения безопасности информации Построение СИБ: оценка соответствия требованиям Оценка соответствия требованиям обеспечения безопасности информации является комплексом контрольных мероприятийКонтрольные мероприятия могут проводиться в различной формеВ некоторых случаях форма контрольных мероприятий регламентируется требованиями нормативных правовых актов Аудит безопасности информации процесс сбора, анализа, оценки данных о текущем состоянии обеспечения безопасности информации в обследуемой ИС на соответствие определенным критериям ЧТО ТАКОЕ АУДИТ БЕЗОПАСНОСТИ ИНФОРМАЦИИ? Аудит безопасности информации Собрают, оценивают и анализируют информацию об ИСОценивают возможные последствия нарушения безопасностиВыбирают уровень (класс) защищенностиСравнивают реальное и требуемоеДокументально фиксируют результаты сравнения ЧТО ДЕЛАЮТ ПРИ АУДИТЕ? Аудит безопасности информации При создании (проектировании) новой ИСПри модернизации ИСПри оценке соответствия (аттестация)‏При штатной эксплуатации ИС(контрольный аудит) КОГДА МОЖЕТ ПРОВОДИТЬСЯ АУДИТ? Аудит безопасности информации Проводится штатными сотрудниками ОрганизацииДостоинства:лучшая осведомленность об особенностях работы ИС и процессах Организацииполучение необходимой информации с минимальными затратамирезультаты остаются внутри ОрганизацииНедостатки:отсутствие у проверяющих обширной базы знаний недостаток временинедостаток квалификациинеобходимость дополнительного обучения персонала организации ВНУТРЕННИЙ АУДИТ Аудит безопасности информации Проводится сотрудниками сторонней специализированной организацииДостоинства:Независимость экспертовНаличие специалистов необходимой квалификацииНаличие отработанных методик проведения аудитаНаличие опыта и обширной базы знанийНедостатки:Единовременные затраты ВНЕШНИЙ АУДИТ Оценка информационных рисков «Риск — комбинация вероятности события и его последствий»ISO/IEC 17799-2005Информационные риски рассчитываютдля оценки эффективности защитных мердля обоснования расходов на защитные мерыдля определения значимости угроздля ранжирования угроз по значимости ЧТО ТАКОЕ РИСК? Оценка информационных рисков простои производстваповторный ввод информациисудебные издержкиштрафотзыв лицензииприостановление деятельности отток клиентовобгон конкурентамиснижение (потеря) репутацииухудшение психологического климата КАКИМ МОЖЕТ БЫТЬ УЩЕРБ? Политика информационной безопасности ЧТО ТАКОЕ ПОЛИТИКА БЕЗОПАСНОСТИ ИНФОРМАЦИИ? Согласованный пакет внутренних документов, устанавливающих требования и порядок обеспечения безопасности информации, регламентирующих все вопросы организации, управления и контроля безопасности, а также эксплуатации средств защиты информации ЗАЧЕМ НУЖНА ПОЛИТИКА? Создание единой, целостной и эффективной СОБИ требует усилий от каждого сотрудникаРуководству организации необходимо поставить перед собой и подчиненными цель, а также определить, как необходимо действовать каждому сотруднику для достижения этой целиДля различных должностных обязанностей такие правила будут различными, но все они направлены на повышение уровня защищенности, и поэтому должны быть логически связаны Политика информационной безопасности

Приложенные файлы

  • ppt 8491588
    Размер файла: 615 kB Загрузок: 1

Добавить комментарий