Security_L1x - Лаборатория информационной безопасности
Download
Report
Transcript Security_L1x - Лаборатория информационной безопасности
Основы информационной
безопасности
Лекция 1. Основы ИБ и принципы построения СОИБ.
Лектор: А.С. Лысяк
E-mail: [email protected]
http://inforsec.ru/
По материалам лекций Пермякова Р. А.
Литература
Галатенко В.А. Основы информационной
безопасности. – М.:Интуит, 2005
Галатенко В.А. Стандарты безопасности
информационных технологий – М.:Интуит, 2006.
http://inforsec.ru/
П.Н.Девянин, О.О.Михальский, Д.И.Правиков,
А.Ю.Щербаков. Теоретические основы
компьютерной безопасности (учебное пособие
для вузов). – М.:Радио и связь, 2000 – 192 с.
А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин,
А.В.Черемушкин. Основы криптографии (учебное
пособие) – М.: Гелиос АРВ, 2004 – 480 с.
Литература
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
С. Норткатт, М.Купер. и д.р. Анализ типовых
нарушений безопасности в сетях. М. Вильямс.
2002
Дж. Маллери, Дж. Занн и др. Безопасная сеть
вашей компании, НТ Пресс , 2007 г.
Источники информации
www.fstec.ru - Федеральная служба по
техническому и экспортному контролю
www.securitylab.ru - Security Lab by positive technologies
www.intuit.ru - Интернет-Университет
Информационных Технологий
http://wikisec.ru/ - энциклопедию по безопасности
информации.
http://lukatsky.blogspot.com/
http://www.tsarev.biz/
Роль информации и ее защиты
Безопасность
ИБ – защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного
характера, которые могут нанести неприемлемый
ущерб субъектам информационных отношений, в том
числе владельцам и пользователям информации и
поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий,
направленных на обеспечение информационной
безопасности.
это состояние защищённости
информационной среды,
защита
информации представляет
собой деятельность по
предотвращению утечки
защищаемой информации,
несанкционированных и
непреднамеренных
воздействий на защищаемую
информацию,
то есть процесс,
направленный на
достижение этого состояния.
Эскиз системы
Цель построения
системы.
Задачи, решаемые
системой.
Состав системы.
Анализ окружения.
Цели функционирования
Зачем работает система?
В случае инцидента, что
отключить последним?
В случае инцидента, чем
можно пожертвовать?
Критерии качества
работы системы.
СВТ
Компьютеры
Программное
обеспечение
Активное сетевое
оборудование
Принтера и т.п.
Персонал
Информационные
технологии
В общем случае
объект защиты
представляет собой
«сложную систему
сложных систем»
Особенности сложных систем
Наиболее вероятный
отклик на единичное
воздействие –
хаотический
Обладает новыми
свойствами, по
сравнению с
совокупностью
элементов
Отклик на
воздействие не
является линейным
Основные свойства безопасности
Невозможно добиться абсолютной
безопасности
Невозможно измерить уровень безопасности
Наступление рискового события в общем
случае предотвратить невозможно
При любом вмешательстве в систему в первую
очередь страдает безопасность
Защита информации
Основные задачи ЗИ
Обеспечение следующих
характеристик:
Целостность
Доступность
Конфиденциальность
Подотчетности;
Аутентичности;
Достоверности.
По ГОСТ 133335-4. Методы и средства
обеспечения безопасности
Целостность
Актуальность и
непротиворечивость
информации, её защищённость от
разрушения и
несанкционированного
изменения.
Типы целостности:
Статическая (неизменность ИО)
Динамическая (корректное
выполнение сложных
транзакций).
Доступность
Состояние информации
(ресурсов
автоматизированной
информационной
системы), при котором
субъекты, имеющие
право доступа, могут
реализовывать их
беспрепятственно.
Конфиденциальность
Свойство информации,
свидетельствующее о
том, что информация не
сделана доступной или не
разглашена
неуполномоченным
лицам, организациям или
процессам.
Аутентичность и достоверность
Аутентичность или
подлинность – свойство,
гарантирующее, что субъект или
ресурс идентичны заявленным.
Достоверность — свойство
соответствия предусмотренному
поведению или результату;
Виды угроз
Угрозы конфиденциальности.
Угрозы доступности:
техногенные, непреднамеренные
ошибки, пользовательская
сложность ИС, инсайдеры.
Угрозы целостности:
фальсификация данных (в т.ч.
инсайдеры), нарушение
атомарности транзакций.
Угрозы раскрытия параметров
защищенной компьютерной
системы: новые угрозы,
уязвимости, увеличение рисков.
Треугольник безопасности 2009 год
Данные – цель и
Данные
основной драйвер
Эксплоит –
уязвимость и
механизмы ее
использования
Доступ – наличие
принципиальной
возможности доступа
к системе
Треугольник безопасности 2013 год
Ресурсы – основная
Ресурсы
цель и инструмент.
Инструменты –
методы и средства
преодоления защиты.
Доступность –
наличие
принципиальной
возможности доступа
к системе.
Понятие оптимальной защиты
План защиты – то что
План
защиты
Реальные
угрозы
Реальная
СЗИ
было определено
специалистами
Реальная СЗИ – то что
было реализовано
после стадии
управления рисками
Реальные угрозы – то
что интересно
нарушителю.
Жизненный цикл СЗИ
Обследование объекта защиты,
выявление приоритетной задачи
защиты.
Построение политики
Проектиробезопасности.
вание
Выбор элементов системы
защиты информации.
Инсталляция.
Сопровождение.
Обследование объекта защиты
Определение структуры объекта защиты.
Выявление приоритетной задачи защиты.
Исследование бизнес-структуры
объекта защиты
Определение и исследование бизнес-модели
объекта защиты.
Определение факторов влияния на бизнес,
задание метрик для измеримых факторов.
Определение целей IT-инфраструктуры.
Определение эталонной модели IT-потоков.
Определение необходимого списка ресурсов
общего доступа в зависимости от
подразделения.
Бизнес-факторы, влияющие на
эффективность
Величина внутренних издержек (конфликт
стоимости СЗИ).
Качество управления собственным активом
(конфликт интересов).
Качество работы коллектива (конфликт с
персоналом).
Скорость реакции на внешние факторы.
Стратегия и качество ведения самого бизнеса.
Выбранная стратегия управления рисками.
Уровни разработки политики
безопасности
Общая концепция
защиты
Административный
Процедурный
Программнотехнический
Структура ИС,
классификация
Реализация
методов
Настройка
политик и
правил
Новые технологии
Анализ и
варианты
решения
Структура политики безопасности
Утверждённые модели (модель актуальных угроз,
модель нарушителя; анализ и управление рисками!).
Перечень защищаемых объектов.
Перечень лиц, имеющих доступ к защищаемым
объектам, и границы сетевых зон.
Перечень используемого ПО и его конфигураций.
Концепция информационной безопасности.
Набор инструкций, корпоративные приказы и
распоряжения.
Структура и схема активного сетевого
оборудования.
ПОНЯТИЕ ЗРЕЛОСТИ СОИБ
Уровни зрелости
0-й уровень – уровень
отсутствия ИБ.
1-й уровень – уровень
частных решений.
2-й уровень – уровень
комплексных
решений.
3-й уровень – уровень
полной интеграции.
0-й уровень
информационной
безопасностью в компании
никто не занимается,
руководство компании не
осознает важности
проблем информационной
безопасности;
финансирование
отсутствует;
информационная
безопасность реализуется
штатными средствами
операционных систем,
СУБД и приложений
(парольная защита,
разграничение доступа к
ресурсам и сервисам).
1-й уровень
Информационная безопасность
рассматривается руководством
как чисто «техническая»
проблема, отсутствует единая
программа (концепция
информационной безопасности,
политика) развития СОИБ
компании;
Финансирование ведется в
рамках общего ИТ-бюджета;
Информационная безопасность
реализуется средствами нулевого
уровня плюс средства резервного
копирования, антивирусные
средства, межсетевые экраны,
средства организации VPN, т.е.
традиционные средства защиты.
2-й уровень
ИБ рассматривается руководством,
как комплекс организационных и
технических мероприятий, существует
понимание важности ИБ для бизнеспроцессов, есть утвержденная
руководством программа развития
СОИБ;
финансирование ведется в рамках
отдельного бюджета;
ИБ реализуется средствами первого
уровня плюс средства усиленной
аутентификации, средства анализа
почтовых сообщений и web-контента,
IDS, средства анализа защищенности,
SSO (средства однократной
аутентификации), PKI
(инфраструктура открытых ключей) и
организационные меры (внутренний и
внешний аудит, анализ риска,
политика информационной
безопасности, положения, процедуры,
регламенты и руководства).
3-й уровень
ИБ является частью
корпоративной культуры,
назначен CISA (старший
администратор по вопросам
обеспечения ИБ);
Финансирование ведется в
рамках отдельного бюджета;
ИБ реализуется средствами
второго уровня плюс системы
управления информационной
безопасностью, CSIRT (группа
реагирования на инциденты
нарушения информационной
безопасности), SLA (соглашение
об уровне сервиса).
Обнаруженные уязвимости в 2009
году
Типы уязвимостей
Спасибо за внимание!