SlideShare a Scribd company logo

Информационная безопасность. Лекция 3.

Download as PPTX, PDF
А
Александр Лысяк

Информационная безопасность. Лекция 3. Третья лекция. Моделирование угроз и анализ рисков. В лекции подробно описан процесс построения модели угроз, его цели и принципы, способы построения дерева угроз, приведена модель нарушителя, классификация, типы и мотивы нарушителей, а также процессы анализа рисков и управления рисками.

Technology
1 of 57
Лекция 3. Моделирование угроз и анализ рисков. Лектор: А.С. Лысяк E-mail: accemt@gmail.com Сайт: www.inforsec.ru Основы информационной безопасности
Уровни разработки ПБ Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения
Общие принципы Стратегия Тактика  Доступность  защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено.
Цели и задачи  обеспечение уровня безопасности, соответствующего нормативным документам предприятия;  следование экономической целесообразности в выборе защитных мер;  обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;  обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;  выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
Жизненный цикл ИС СЗИ  Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Рабочая документация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение.
Модели ИБ
Список угроз  Простой перечень возможных угроз безопасности информационной системе, включая стихийные бедствия.
Зачем нужно моделирование угроз  Систематическая идентификация потенциальных опасностей.  Систематическая идентификация возможных видов отказов.  Количественные оценки или ранжирование рисков.  Выявление факторов, обуславливающих риск, и слабых звеньев в системе.  Более глубокое понимание устройства и функционирование системы.
Зачем нужно моделирование угроз  Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий.  Идентификация и сопоставление рисков и неопределенностей.  Возможность выбора мер и приемов по обеспечению снижения риска.  Основная задача моделирования окружения – обоснование решений, касающихся рисков.
Вопросы для модели  Какие угрозы могут быть реализованы?  Кем могут быть реализованы эти угрозы?  С какой вероятностью могут быть реализованы эти угрозы?  Каков потенциальный ущерб от этих угроз?  Каким образом могут быть реализованы эти угрозы?  Почему эти угрозы могут быть реализованы?  На что могут быть направлены эти угрозы?  Как можно отразить эти угрозы?
Моделирование окружения Модель угроз
Угроза Угроза – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных  Можно выделить:  Активная угроза безопасности – угроза намеренного несанкционированного изменения состояния автоматизированной системы.  Пассивная угроза безопасности – угроза несанкционированного раскрытия информации без изменения состояния автоматизированной системы.
Виды угроз  Угрозы конфиденциальности.  Угрозы доступности: техногенные, непреднамеренные ошибки, инсайдеры.  Угрозы целостности: фальсификация данных (в т.ч. инсайдеры), нарушение атомарности транзакций.  Угрозы раскрытия параметров защищенной компьютерной системы: новые угрозы, уязвимости, увеличение рисков.
Примеры угроз  действия злоумышленника;  наблюдение за источниками информации;  подслушивание конфиденциальных разговоров и акустических сигналов работающих механизмов;  перехват электрических, магнитных и электромагнитных полей, электрических сигналов и радиоактивных излучений;  несанкционированное распространение материальных носителей за пределами организации;  разглашение информации компетентными людьми;  утеря носителей информации;  несанкционированное распространение информации через поля и электрические сигналы случайно возникшие в аппаратуре;  воздействие стихийных сил;  сбои в аппаратуре сбора, обработки и передачи информации;  воздействие мощных электромагнитных и электрических помех промышленных и природных.
Идентификация угроз  Необходимо идентифицировать опасности:  Известные опасности.  Неучтённые ранее опасности.  Предварительная оценка (основывается на анализе последствий и изучении причин).  Предварительная оценка позволяет:  Принять немедленные меры.  Прекратить анализ из-за несущественности опасности.  Перейти к оценке рисков и угроз.
Как все устроено Фактически мы пытаемся описать процесс противодействия нарушителю используя наше понимание процесса.
Модель угроз Систематизированный перечень угроз безопасности при обработке информации в информационных системах. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия для нарушения безопасности, которое ведет к ущербу жизненно важных интересов личности, общества и государства. (ФСТЭК России)
Дерево угроз  Дерево атак – средство оценки вероятности реализации угроз.  Комбинированный эффект и взаимосвязь уязвимостей.
Моделирование окружения Модель нарушителя.
Модель нарушителя. Модель нарушителя определяет:  категории (типы) нарушителей, которые могут воздействовать на объект;  цели, которые могут преследовать нарушители каждой категории и их описание;  типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.
Классификация нарушителей  Террористы и террористические организации.  Конкурирующие организации и структуры.  Спецслужбы иностранных государств и блоков государств.  Криминальные структуры.  Взломщики программных продуктов ИТ, использующихся в системах связи.  Бывшие сотрудники организаций связи.  Недобросовестные сотрудники и партнеры.  Пользователи услугами связи и др.
Классификация нарушителей. Основные типы.  Разработчик.  Обслуживающий персонал (системный администратор, сотрудники обеспечения ИБ).  Пользователи.  Сторонние лица.
Мотивы нарушителей  Месть.  Достижение денежной выгоды.  Хулиганство и любопытство.  Профессиональное самоутверждение.
Управление рисками
Взаимосвязь элементов Модель угроз Управление рисками Структура СЗИ
Риск  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. ГОСТ РИСО/МЭК13335-1-2006  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам. ДагХаббард
Анализ рисков Анализ рисков – процесс получения количественной и/или качественной оценки ущерба, который может понести предприятие в случае реализации угрозы ИБ. Задачи:  От чего защищаться?  Что делать, если угроза реализуется?  Что и в каком количество потеряем, если защита не сработает?  Как минимизировать потери?
Методы оценки Количественная Качественная (экспертная)  Оценка адекватности затрат.  Оценка снижения рисков.  Оценка управления рисками.  Возможна при недостатке информации о системе.  Оценивает влияние человеческого фактора.  Неполные данные об инциденте.
Общий алгоритм анализа рисков(I) Выбор анализируемых объектов и определение степени детализации их рассмотрения; моделирование каналов утечки информации и НСД; оценка вероятности реализации угроз (установления информационного контакта); формирование облика (модели) нарушителя;
Общий алгоритм анализа рисков (II) оценка возможного развития событий в случае достижения целей нарушителем; оценка возможного ущерба (потерь); ранжирование угроз в соответствии с оценками риска; определение стратегии управления рисками; оценка эффективности мер по управлению рисками; подготовка экспертного заключения о защищенности информационных ресурсов.
Понятие ущерба Анализ последствий
Ущерб включает  цену ресурса - затраты на производство;  стоимость восстановления или создания нового ресурса;  стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации);  стоимость вынужденного простоя;  стоимость упущенной выгоды;  стоимость выплаты неустоек, штрафов;  стоимость затрат на реабилитацию, престижа, имени фирмы;  стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме;  стоимость затрат на поиск (или восстановление) каналов связи, информационных источников.
Управление рисками  Матрица риска. Основана на метриках ИБ.
Стратегии управления рисками  Принятие риска.  Изменение характера риска.  Уклонение от риска.  Уменьшение риска.
Возможные реализации  Угрозы, обусловленные действиями субъекта (антропогенные угрозы)  Кража, подмена, уничтожение (носители информации, пароли, СВТ) и т.д.  Угрозы, обусловленные техническими средствами (техногенные угрозы)  нарушение работоспособности, старение носителей информации, уничтожение… и т.д.  Угрозы, обусловленные стихийными источниками  Исчезновение персонала, уничтожение помещений и т.п.
Реагирование на реализацию рисков Идентификация Локализация Устранение причин Восстановление Извлечение уроков Устранение текущих причин возникновения риска Планирование, координация восстановления системы Первые шаги по выявлению инцидента направленные на снятие неопределенности Получение и анализ событий, отчетов об инцидентах и сигналов тревог text. Внимание! Не следует забывать о подготовке нормативной базы
Моделирование окружения Моделирование угроз на разных этапах жизненного цикла
Этап проектирования  Выявление главных источников риска и предполагаемых факторов, влияющих на риск.  Предоставление исходных данных для оценки системы в целом.  Определение и оценка возможных мер безопасности.  Предоставление исходных данных для оценки потенциально опасных действий и систем  Обеспечение соответствующей информации при проведении ОКР.  Оценка альтернативных решений.
Этап эксплуатации и техобслуживания  Контроль и оценка данных эксплуатации.  Обеспечение исходными данными процесса разработки эксплуатационной документации.  Корректировка информации об основных источниках риска и влияющих факторах.  Предоставление информации по значимости риска для принятия оперативных решений.  Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы.  Подготовка персонала.
Этап вывода из эксплуатации  Предоставление исходных данных для новой версии системы.  Корректировка информации об основных источниках риска и влияющих факторах.
Моделирование окружения Стратегии анализа рисков
Стратегии анализа риска Базовый Неформальный Детальный Комбинированный Источник: ГОСТРИСО/МЭКТО13335-3- 2007(ISOIECTR13335-3-1998)
Базовый подход  Принятие усредненного значения риска для всех систем  Выбор стандартных средств защиты  Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации Достоинства Минимум ресурсов Минимум ресурсов Унификация защитных мер Недостатки Завышение или занижение уровня риска
Неформальный подход  Проведение анализа, основанного на практическом опыте конкретного эксперта Недостатки Увеличивается вероятность пропуска важных деталей Трудности при обосновании защитных мер Возможна низкая квалификация эксперта Зависимость от субъективности или увольнения эксперта Достоинства Не требует значительных средств и времени
Детальный подход  Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д. Недостатки Значительные финансовые, временные и людские ресурсы Вероятность опоздать с выбором защитных мер из-за глубокого анализа Достоинства Адекватный выбор защитных мер
Комбинированный подход  Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем Достоинства Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков Оптимизация и эффективность использования ресурсов Недостатки Потенциальная ошибочность отнесения систем к некритичным для бизнеса
Цели киберпреступности
Причины возникновения. Проблемы.  Совершенно сложная система  Ошибки проектирования  Ошибки настройки и сопровождения  Ошибки персонала  Машина Тьюринга  Информация может быть как данными, так и программой  Информация рассматривается как товар.
Треугольник безопасности 2009 год  Данные – цель и основной драйвер  Эксплоит – уязвимость и механизмы ее использования  Доступ – наличие принципиальной возможности доступа к системе Данные
Треугольник безопасности 2011 год  Ресурсы – основная цель и инструмент.  Инструменты – методы и средства преодоления защиты.  Доступность – наличие принципиальной возможности доступа к системе. Ресурсы
Ресурс, как объект защиты  Ресурсы:  Денежные средства пользователя  Процессорное время системы  Дисковое пространство  Пропускная способность канала подключения к сетям общего пользования  Информационные.
Современные цели  Построение бот сетей  Кража персональной информации  Кража персональной банковской информации  Аукцион в электронной форме при проведении государственных закупок
Обнаруженные уязвимости в 2009 году
Типы уязвимостей
Подсистемы  Физической защиты  Криптографическая защиты  Авторизации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Управления знаниями
Задание №1  Прочитать следующие РД ФСТЭК (http://www.fstec.ru/_spravs/_spec.htm ):  «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн».  «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».  Приказ ФСТЭК №58 «О методах и способах защиты ПДн».  Составить модель нарушителя и модель угроз для одной из следующих систем (являются ИСПДн (учесть), но модель общая):  СЭД ВУЗа (локальная система в множественными внешними каналами).  Корпоративная ИС Intel (распределённая ИС).  Корпоративная ИС компании по производству компьютерных игр.  СЭД завода ЖБИ (есть филиалы).  Интернет-магазин с филиалами (складской учёт автоматизирован).  Сеть магазинов электроники «Эльдорадо».  Единая СЭД и распределённая ИС ФСБ РФ.
Спасибо за внимание!

Recommended

Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Информационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекцияИнформационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекция
Max Kornev
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
Max Kornev
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
Andrey Dolinin
 
основы безопасности и надежности ис
основы безопасности и надежности исосновы безопасности и надежности ис
основы безопасности и надежности ис
trenders
 
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Expolink
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
NataDruzhinina
 

Recommended

Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Информационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекцияИнформационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекция
Max Kornev
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
Max Kornev
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
Andrey Dolinin
 
основы безопасности и надежности ис
основы безопасности и надежности исосновы безопасности и надежности ис
основы безопасности и надежности ис
trenders
 
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Концессии водоснабжения. Геннадий Атаманов. "Место службы информационной безо...
Expolink
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
NataDruzhinina
 
презентация на тему «защита информации»
презентация на тему «защита информации»презентация на тему «защита информации»
презентация на тему «защита информации»
Yanatr
 
лекция 1 основные понятия кб
лекция 1 основные понятия кблекция 1 основные понятия кб
лекция 1 основные понятия кб
nikolaeva-tatiana
 
защита информации 11 класс
защита информации 11 классзащита информации 11 класс
защита информации 11 класс
uset
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасность
Оля Гольцева
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
tanya197517
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
 
защита информации
защита информациизащита информации
защита информации
Елена Ключева
 
защита информации 1
защита информации 1защита информации 1
защита информации 1
aepetelin
 
Безопасность и защита информации.
Безопасность и защита информации.Безопасность и защита информации.
Безопасность и защита информации.
maripet012
 
Настройка автоответчика в яндекс почте
Настройка автоответчика в яндекс почтеНастройка автоответчика в яндекс почте
Настройка автоответчика в яндекс почте
maripet012
 
Формирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений КоротовскихФормирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений Коротовских
Ecological Movement "BIOM"
 
презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.
Ozerova
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
BellaBolotova
 
лекция № 2
лекция № 2лекция № 2
лекция № 2
Gulnaz Shakirova
 
Информационные технологии
Информационные технологииИнформационные технологии
Информационные технологии
Tarakashka
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
milushaaa
 
вводная презентация
вводная презентациявводная презентация
вводная презентация
Anastasia Belyashova
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
 
M6 - E Commerce - Integrity And Security
M6 - E Commerce - Integrity And SecurityM6 - E Commerce - Integrity And Security
M6 - E Commerce - Integrity And Security
Jamie Hutt
 

More Related Content

What's hot

презентация на тему «защита информации»
презентация на тему «защита информации»презентация на тему «защита информации»
презентация на тему «защита информации»
Yanatr
 
защита информации 11 класс
защита информации 11 классзащита информации 11 класс
защита информации 11 класс
uset
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасность
Оля Гольцева
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
tanya197517
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
 
Формирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений КоротовскихФормирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений Коротовских
Ecological Movement "BIOM"
 
презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.
Ozerova
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
BellaBolotova
 
Информационные технологии
Информационные технологииИнформационные технологии
Информационные технологии
Tarakashka
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
вводная презентация
вводная презентациявводная презентация
вводная презентация
Anastasia Belyashova
 

What's hot (19)

презентация на тему «защита информации»
презентация на тему «защита информации»презентация на тему «защита информации»
презентация на тему «защита информации»
 
лекция 1 основные понятия кб
лекция 1 основные понятия кблекция 1 основные понятия кб
лекция 1 основные понятия кб
 
защита информации 11 класс
защита информации 11 классзащита информации 11 класс
защита информации 11 класс
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасность
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
 
защита информации
защита информациизащита информации
защита информации
 
защита информации 1
защита информации 1защита информации 1
защита информации 1
 
Безопасность и защита информации.
Безопасность и защита информации.Безопасность и защита информации.
Безопасность и защита информации.
 
Настройка автоответчика в яндекс почте
Настройка автоответчика в яндекс почтеНастройка автоответчика в яндекс почте
Настройка автоответчика в яндекс почте
 
Формирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений КоротовскихФормирование информационной безопасности в школах - Евгений Коротовских
Формирование информационной безопасности в школах - Евгений Коротовских
 
презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.презентация с музыкой учителя озеровой м.и.
презентация с музыкой учителя озеровой м.и.
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
лекция № 2
лекция № 2лекция № 2
лекция № 2
 
Информационные технологии
Информационные технологииИнформационные технологии
Информационные технологии
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
вводная презентация
вводная презентациявводная презентация
вводная презентация
 

Viewers also liked

Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
 
Tutorial 9 - Security on the Internet
Tutorial 9 - Security on the InternetTutorial 9 - Security on the Internet
Tutorial 9 - Security on the Internet
dpd
 

Viewers also liked (13)

Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
M6 - E Commerce - Integrity And Security
M6 - E Commerce - Integrity And SecurityM6 - E Commerce - Integrity And Security
M6 - E Commerce - Integrity And Security
 
4 Steps to Battling Pipeline Integrity Threats
4 Steps to Battling Pipeline Integrity Threats4 Steps to Battling Pipeline Integrity Threats
4 Steps to Battling Pipeline Integrity Threats
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
 
7 Reasons your existing SIEM is not enough
7 Reasons your existing SIEM is not enough7 Reasons your existing SIEM is not enough
7 Reasons your existing SIEM is not enough
 
DB security
DB security DB security
DB security
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Tutorial 9 - Security on the Internet
Tutorial 9 - Security on the InternetTutorial 9 - Security on the Internet
Tutorial 9 - Security on the Internet
 
Security Threats to Electronic Commerce
Security Threats to Electronic CommerceSecurity Threats to Electronic Commerce
Security Threats to Electronic Commerce
 
Security and Integrity of Data
Security and Integrity of DataSecurity and Integrity of Data
Security and Integrity of Data
 
Data security and Integrity
Data security and IntegrityData security and Integrity
Data security and Integrity
 

Similar to Информационная безопасность. Лекция 3.

Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Positive Hack Days
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2
mkyf
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
Cisco Russia
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
Александр Лысяк
 
система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...
Irina Erofeeva
 

Similar to Информационная безопасность. Лекция 3. (20)

Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
 
иб
ибиб
иб
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenko
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и Терроризм
 
Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentation
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информации
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...
 
аик прогнозир.- 03.06.2013 - тпп рф
аик прогнозир.- 03.06.2013 - тпп рфаик прогнозир.- 03.06.2013 - тпп рф
аик прогнозир.- 03.06.2013 - тпп рф
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 

More from Александр Лысяк

Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Александр Лысяк
 

More from Александр Лысяк (10)

Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
 
Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 день
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
 
Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 

Информационная безопасность. Лекция 3.

  • 1. Лекция 3. Моделирование угроз и анализ рисков. Лектор: А.С. Лысяк E-mail: accemt@gmail.com Сайт: www.inforsec.ru Основы информационной безопасности
  • 2. Уровни разработки ПБ Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения
  • 3. Общие принципы Стратегия Тактика  Доступность  защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено.
  • 4. Цели и задачи  обеспечение уровня безопасности, соответствующего нормативным документам предприятия;  следование экономической целесообразности в выборе защитных мер;  обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;  обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;  выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
  • 5. Жизненный цикл ИС СЗИ  Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Рабочая документация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение.
  • 7. Список угроз  Простой перечень возможных угроз безопасности информационной системе, включая стихийные бедствия.
  • 8. Зачем нужно моделирование угроз  Систематическая идентификация потенциальных опасностей.  Систематическая идентификация возможных видов отказов.  Количественные оценки или ранжирование рисков.  Выявление факторов, обуславливающих риск, и слабых звеньев в системе.  Более глубокое понимание устройства и функционирование системы.
  • 9. Зачем нужно моделирование угроз  Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий.  Идентификация и сопоставление рисков и неопределенностей.  Возможность выбора мер и приемов по обеспечению снижения риска.  Основная задача моделирования окружения – обоснование решений, касающихся рисков.
  • 10. Вопросы для модели  Какие угрозы могут быть реализованы?  Кем могут быть реализованы эти угрозы?  С какой вероятностью могут быть реализованы эти угрозы?  Каков потенциальный ущерб от этих угроз?  Каким образом могут быть реализованы эти угрозы?  Почему эти угрозы могут быть реализованы?  На что могут быть направлены эти угрозы?  Как можно отразить эти угрозы?
  • 12. Угроза Угроза – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных  Можно выделить:  Активная угроза безопасности – угроза намеренного несанкционированного изменения состояния автоматизированной системы.  Пассивная угроза безопасности – угроза несанкционированного раскрытия информации без изменения состояния автоматизированной системы.
  • 13. Виды угроз  Угрозы конфиденциальности.  Угрозы доступности: техногенные, непреднамеренные ошибки, инсайдеры.  Угрозы целостности: фальсификация данных (в т.ч. инсайдеры), нарушение атомарности транзакций.  Угрозы раскрытия параметров защищенной компьютерной системы: новые угрозы, уязвимости, увеличение рисков.
  • 14. Примеры угроз  действия злоумышленника;  наблюдение за источниками информации;  подслушивание конфиденциальных разговоров и акустических сигналов работающих механизмов;  перехват электрических, магнитных и электромагнитных полей, электрических сигналов и радиоактивных излучений;  несанкционированное распространение материальных носителей за пределами организации;  разглашение информации компетентными людьми;  утеря носителей информации;  несанкционированное распространение информации через поля и электрические сигналы случайно возникшие в аппаратуре;  воздействие стихийных сил;  сбои в аппаратуре сбора, обработки и передачи информации;  воздействие мощных электромагнитных и электрических помех промышленных и природных.
  • 15. Идентификация угроз  Необходимо идентифицировать опасности:  Известные опасности.  Неучтённые ранее опасности.  Предварительная оценка (основывается на анализе последствий и изучении причин).  Предварительная оценка позволяет:  Принять немедленные меры.  Прекратить анализ из-за несущественности опасности.  Перейти к оценке рисков и угроз.
  • 16. Как все устроено Фактически мы пытаемся описать процесс противодействия нарушителю используя наше понимание процесса.
  • 17. Модель угроз Систематизированный перечень угроз безопасности при обработке информации в информационных системах. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия для нарушения безопасности, которое ведет к ущербу жизненно важных интересов личности, общества и государства. (ФСТЭК России)
  • 18. Дерево угроз  Дерево атак – средство оценки вероятности реализации угроз.  Комбинированный эффект и взаимосвязь уязвимостей.
  • 20. Модель нарушителя. Модель нарушителя определяет:  категории (типы) нарушителей, которые могут воздействовать на объект;  цели, которые могут преследовать нарушители каждой категории и их описание;  типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.
  • 21. Классификация нарушителей  Террористы и террористические организации.  Конкурирующие организации и структуры.  Спецслужбы иностранных государств и блоков государств.  Криминальные структуры.  Взломщики программных продуктов ИТ, использующихся в системах связи.  Бывшие сотрудники организаций связи.  Недобросовестные сотрудники и партнеры.  Пользователи услугами связи и др.
  • 22. Классификация нарушителей. Основные типы.  Разработчик.  Обслуживающий персонал (системный администратор, сотрудники обеспечения ИБ).  Пользователи.  Сторонние лица.
  • 23. Мотивы нарушителей  Месть.  Достижение денежной выгоды.  Хулиганство и любопытство.  Профессиональное самоутверждение.
  • 26. Риск  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. ГОСТ РИСО/МЭК13335-1-2006  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам. ДагХаббард
  • 27. Анализ рисков Анализ рисков – процесс получения количественной и/или качественной оценки ущерба, который может понести предприятие в случае реализации угрозы ИБ. Задачи:  От чего защищаться?  Что делать, если угроза реализуется?  Что и в каком количество потеряем, если защита не сработает?  Как минимизировать потери?
  • 28. Методы оценки Количественная Качественная (экспертная)  Оценка адекватности затрат.  Оценка снижения рисков.  Оценка управления рисками.  Возможна при недостатке информации о системе.  Оценивает влияние человеческого фактора.  Неполные данные об инциденте.
  • 29. Общий алгоритм анализа рисков(I) Выбор анализируемых объектов и определение степени детализации их рассмотрения; моделирование каналов утечки информации и НСД; оценка вероятности реализации угроз (установления информационного контакта); формирование облика (модели) нарушителя;
  • 30. Общий алгоритм анализа рисков (II) оценка возможного развития событий в случае достижения целей нарушителем; оценка возможного ущерба (потерь); ранжирование угроз в соответствии с оценками риска; определение стратегии управления рисками; оценка эффективности мер по управлению рисками; подготовка экспертного заключения о защищенности информационных ресурсов.
  • 32. Ущерб включает  цену ресурса - затраты на производство;  стоимость восстановления или создания нового ресурса;  стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации);  стоимость вынужденного простоя;  стоимость упущенной выгоды;  стоимость выплаты неустоек, штрафов;  стоимость затрат на реабилитацию, престижа, имени фирмы;  стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме;  стоимость затрат на поиск (или восстановление) каналов связи, информационных источников.
  • 33. Управление рисками  Матрица риска. Основана на метриках ИБ.
  • 34. Стратегии управления рисками  Принятие риска.  Изменение характера риска.  Уклонение от риска.  Уменьшение риска.
  • 35. Возможные реализации  Угрозы, обусловленные действиями субъекта (антропогенные угрозы)  Кража, подмена, уничтожение (носители информации, пароли, СВТ) и т.д.  Угрозы, обусловленные техническими средствами (техногенные угрозы)  нарушение работоспособности, старение носителей информации, уничтожение… и т.д.  Угрозы, обусловленные стихийными источниками  Исчезновение персонала, уничтожение помещений и т.п.
  • 36. Реагирование на реализацию рисков Идентификация Локализация Устранение причин Восстановление Извлечение уроков Устранение текущих причин возникновения риска Планирование, координация восстановления системы Первые шаги по выявлению инцидента направленные на снятие неопределенности Получение и анализ событий, отчетов об инцидентах и сигналов тревог text. Внимание! Не следует забывать о подготовке нормативной базы
  • 37. Моделирование окружения Моделирование угроз на разных этапах жизненного цикла
  • 38. Этап проектирования  Выявление главных источников риска и предполагаемых факторов, влияющих на риск.  Предоставление исходных данных для оценки системы в целом.  Определение и оценка возможных мер безопасности.  Предоставление исходных данных для оценки потенциально опасных действий и систем  Обеспечение соответствующей информации при проведении ОКР.  Оценка альтернативных решений.
  • 39. Этап эксплуатации и техобслуживания  Контроль и оценка данных эксплуатации.  Обеспечение исходными данными процесса разработки эксплуатационной документации.  Корректировка информации об основных источниках риска и влияющих факторах.  Предоставление информации по значимости риска для принятия оперативных решений.  Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы.  Подготовка персонала.
  • 40. Этап вывода из эксплуатации  Предоставление исходных данных для новой версии системы.  Корректировка информации об основных источниках риска и влияющих факторах.
  • 43. Базовый подход  Принятие усредненного значения риска для всех систем  Выбор стандартных средств защиты  Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации Достоинства Минимум ресурсов Минимум ресурсов Унификация защитных мер Недостатки Завышение или занижение уровня риска
  • 44. Неформальный подход  Проведение анализа, основанного на практическом опыте конкретного эксперта Недостатки Увеличивается вероятность пропуска важных деталей Трудности при обосновании защитных мер Возможна низкая квалификация эксперта Зависимость от субъективности или увольнения эксперта Достоинства Не требует значительных средств и времени
  • 45. Детальный подход  Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д. Недостатки Значительные финансовые, временные и людские ресурсы Вероятность опоздать с выбором защитных мер из-за глубокого анализа Достоинства Адекватный выбор защитных мер
  • 46. Комбинированный подход  Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем Достоинства Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков Оптимизация и эффективность использования ресурсов Недостатки Потенциальная ошибочность отнесения систем к некритичным для бизнеса
  • 48. Причины возникновения. Проблемы.  Совершенно сложная система  Ошибки проектирования  Ошибки настройки и сопровождения  Ошибки персонала  Машина Тьюринга  Информация может быть как данными, так и программой  Информация рассматривается как товар.
  • 49. Треугольник безопасности 2009 год  Данные – цель и основной драйвер  Эксплоит – уязвимость и механизмы ее использования  Доступ – наличие принципиальной возможности доступа к системе Данные
  • 50. Треугольник безопасности 2011 год  Ресурсы – основная цель и инструмент.  Инструменты – методы и средства преодоления защиты.  Доступность – наличие принципиальной возможности доступа к системе. Ресурсы
  • 51. Ресурс, как объект защиты  Ресурсы:  Денежные средства пользователя  Процессорное время системы  Дисковое пространство  Пропускная способность канала подключения к сетям общего пользования  Информационные.
  • 52. Современные цели  Построение бот сетей  Кража персональной информации  Кража персональной банковской информации  Аукцион в электронной форме при проведении государственных закупок
  • 55. Подсистемы  Физической защиты  Криптографическая защиты  Авторизации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Управления знаниями
  • 56. Задание №1  Прочитать следующие РД ФСТЭК (http://www.fstec.ru/_spravs/_spec.htm ):  «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн».  «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».  Приказ ФСТЭК №58 «О методах и способах защиты ПДн».  Составить модель нарушителя и модель угроз для одной из следующих систем (являются ИСПДн (учесть), но модель общая):  СЭД ВУЗа (локальная система в множественными внешними каналами).  Корпоративная ИС Intel (распределённая ИС).  Корпоративная ИС компании по производству компьютерных игр.  СЭД завода ЖБИ (есть филиалы).  Интернет-магазин с филиалами (складской учёт автоматизирован).  Сеть магазинов электроники «Эльдорадо».  Единая СЭД и распределённая ИС ФСБ РФ.