Материалы к лекциям по информационной безопасности для гуманитариев

1. Информационная безопасность:
Вводная лекция
Лекции
ФЖ
2014

2. Подход к ИБ
По масштабам: международный 
национальный  общественный 
корпоративный/групповой  индивидуальный
По сферам:
- Технический/программный (машины)
- Правовой/законодательный (законы)
- Гуманитарный/административный (люди)

3. Темы
• Введение в ИБ. Термины, понятия, определения
• Информационная и кибербезопасность на
международном и российском уровнях
• Юридические и правовые аспекты ИБ
• Медиаграмотность как основа личной
безопасности. Безопасность детей
• Хакеры: технические и человеческие факторы
• Манипулирование общественным мнением
• Сетевая агрессия и троллинг

4. «Информационная безопасность»
• Словосочетание "информационная безопасность" в разных
контекстах может иметь различный смысл.
• Под ИБ принято понимать защищенность информации и
поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или
искусственного характера, которые могут нанести
неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям
информации и поддерживающей инфраструктуры.
• Защита информации – это комплекс мероприятий,
направленных на обеспечение информационной безопасности.

5. ИБ для государства и граждан
Информационная безопасность – это защищенность
жизненно важных информационных ресурсов и систем
от внешних и внутренних посягательств и угроз для
граждан, организаций и государственных органов.
Под информационной безопасностью Российской
Федерации понимается состояние защищенности ее
национальных интересов в информационной сфере,
определяющихся совокупностью сбалансированных
интересов личности, общества и государства.

6. ИБ: Государство
Для государства: защита от внешних и внутренних угроз
национальных информационных ресурсов и государственных
информационных систем, а так же телекоммуникационной
инфраструктуры, организаций и служб.
Интересы государства в информационной сфере заключаются в
создании условий для гармоничного развития российской
информационной инфраструктуры, для реализации
конституционных прав и свобод человека и гражданина в области
получения информации и пользования ею в целях обеспечения
незыблемости конституционного строя, суверенитета и
территориальной целостности России, политической,
экономической и социальной стабильности, в безусловном
обеспечении законности и правопорядка, развитии равноправного
и взаимовыгодного международного сотрудничества.

7. ИБ: Организации
Для организаций: защищенность от внешних посягательств
служебной информации, корпоративных информационных
систем и сети ЭВМ, а так же принадлежащей им
интеллектуальной собственности
В соответствии с действующим законодательством РФ, далеко
не каждая фирма сегодня имеет право на защиту своей
информации. Декларация прав и свобод человека и
гражданина РФ и Конституция предоставили каждому право
свободно искать и получать информацию. Следовательно, для
осуществления действий по защите информации и, главное,
по ограничению доступа к ней фирма должна иметь законные
основания, имеющие отражение в правоустанавливающих
документах фирмы.

8. ИБ: Граждане
Для граждан: защищенность их персональных компьютеров,
их личной информации в информационных системах и сетях
ЭВМ, а так же результатов их интеллектуальной
деятельности.
Интересы личности в информационной сфере заключаются в
реализации конституционных прав человека и гражданина на
доступ к информации, на использование информации в
интересах осуществления не запрещенной законом
деятельности, физического, духовного и интеллектуального
развития, а также в защите информации, обеспечивающей
личную безопасность.

9. Ура, праздник!
Ежегодно 30 ноября отмечается Международный
день защиты информации.
Его цель — напоминание пользователям о
необходимости защиты компьютеров и всей
хранимой в них информации.
Праздник был учрежден 30 ноября 1988 года. Т.к. 2 ноября 1988 года а зафиксирована первая
массовая эпидемия "червя" Морриса (название по имени своего создателя - Роберта Морриса,
аспиранта факультета Вычислительной техники Корнелльского университета).

10. Кибербезопасность не= ИБ
Термин «компьютерная безопасность» или
«кибербезопасность» не охватывают всё понятие ИБ
как эквиваленты или заменители.
Компьютеры – только одна из составляющих
информационных систем.
ИБ зависит не только от компьютеров, но и от
поддерживающей инфраструктуры, к которой можно
отнести системы электро-, водо- и теплоснабжения,
кондиционеры, средства коммуникаций,
обслуживающий персонал.

11. ИБ = защищенность
ИБ = состояние защищенности информации =
обеспечены: конфиденциальность, доступность и
целостность.
Конфиденциальность – состояние информации, при
котором доступ к ней осуществляют только субъекты,
имеющие на него право.
Целостность – состояние информации, при котором
отсутствует любое ее изменение либо изменение
осуществляется только преднамеренно субъектами,
имеющими на него право;
Доступность – состояние информации, при котором
субъекты, имеющие право доступа, могут
реализовывать его беспрепятственно.

12. Полная ИБ

13. Субъекты и угрозы
• Решение проблем ИБ начинается с
выявления субъектов информационных
отношений и интересов этих субъектов,
связанных с использованием
информационных систем (ИС).
• Угрозы информационной безопасности –
это оборотная сторона использования
информационных технологий.

14. Угрозы информационной
безопасности
Угрозы информационной безопасности –
совокупность условий и факторов, создающих
потенциальную или реально существующую опасность
нарушения безопасности информации.
Атакой называется попытка реализации угрозы, а тот,
кто предпринимает такую попытку, -
злоумышленником.
Потенциальные злоумышленники называются
источниками угрозы.
Угроза является следствием наличия уязвимых мест
или уязвимостей в информационной системе.
Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при
написании программ.

15. Классификация угроз
• по свойствам информации (доступность,
целостность, конфиденциальность), против
которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на
которые угрозы нацелены (данные,
программы, аппаратура, поддерживающая
инфраструктура);
• по способу осуществления
(случайные/преднамеренные, действия
природного/техногенного характера);
• по расположению источника угроз (внутри/вне
рассматриваемой ИС)

16. Актуальные угрозы ИБ
Цели:
• Мошенничество, вымогательство, шантаж
• Кража конфиденциальной информации
• Реклама/рассылка спама/нежелательный
контент DoS/DDoS – атаки
• Уничтожение данных
• Манипуляции с брендом/черный PR (для
компаний)
Технологии:
• Вирусы
• Эксплойты
• Трояны
• Сетевые черви
• Ботнеты
• Rootkit-ы
• Социальная инженерия
Каналы реализации:
• Web
• Социальные сети
• Peer to Peer сети
• Электронная почта
• Системы обмена
сообщениями
• Внешние носители
• Мобильные
устройства
• Беспроводные сети
• Инсайдеры

17. Актуальные угрозы ИБ (корпоративные)
• Более половины всех опрошенных (58.7%) заявили, что за прошедшие 12 месяцев
они становились жертвами той или иной формы компьютерного воровства
• 67% всех компьютерных краж происходят в условиях их мобильного
использования; запирающие кабели и замки оказываются, как правило,
бесполезными
• Три четверти (78.2%) компаний, где проводился опрос: за прошедшие 12 месяцев
было украдено от 1 до 9 компьютеров; в каждой шестой опрошенной компании
(17.6%) за последние 12 месяцев было украдено свыше 25 компьютеров
• 46% опрошенных заявили, что ценность информации, которая хранилась на
украденных компьютерах от 25,000 до $1,000,000
• 44% всех опрошенных отметили, что единственной мерой защиты информации
было периодическое резервирование данных
• 91% опрошенных не использовали средств шифрования для хранения данных на
украденном ПК
• 48.6% организаций, где проводились опросы, не предусматривают специальных
защитных мероприятий, направленных на защиту компьютеров от краж
По материалам 8th Annual 2010 BSI Computer Theft Survey

18. Обеспечение ИБ
Требуется комплексный подход.
Уровни:
1. законодательный – законы, нормативные
акты и прочие документы РФ и
международного сообщества;
2. административный – комплекс мер,
предпринимаемых локально руководством
организации;
3. процедурный – меры безопасности,
реализуемые людьми;
4. программно-технический – непосредственно
средства защиты информации.

19. Материалы по теме
Информационная безопасность (CNEWS Analitycs,
май 2014) - http://www.slideshare.net/StanislavM/2014-3-35033824?qid=03ed58f0-2ef7-4e9e-97f1-
250121845a51&v=default&b=&from_search=9
Информационная безопасность. Курс лекций
(ссылка на скачивание)http://yandex.ru/clck/jsredir?from=yandex.ru%3Byandsearch%3Bweb%3B%3B&text=&etext=442.3eR2GImSVKcpoH5-85INXPOTyuUbzSXplRhW2NzrPyWVOs_y3s_2eeOzOC8wm5Zt0k8R3vrgiSfKJmmTt8uh9k2rz3DgT-
wha1CjAmx2yRXusBo7YteihEOy9OLWd9T2jdn1MGaG7ivYzgyx8dsRNO08_jTHCGe6jjMIIWPfRBYV4REVfPcYxxNchM3LsuDTDgBo-wb2cVDBW6EvA-FZy3jN2FF7dKHxF37fiTrfGgD-
09vIkdZXKBtB0Bs2lD0uvP4zCH__CpHeD22D6cXyFe7exr_2RV6r1bTFhlAjVak.867f761d30e58fc1289f3459b4cb80da9b62c9d2&uuid=&state=AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW9J0KiE5XNXd1-5lCoUJb8Spzg0aAClArkHM-
JUIm78SdbBOsQnBZ7oSf_HaWqjDIQWW2wsViT06yfb679eO4CDXMCgdvfxz39XXKg5maIFbrnfKQlXob_3TtCXuKqN6LOzHXNyvvCmJ69JVxagZ0HeFs5lQgPkyg58xKU2byomR4-
pteA6RCbjEg7UIi5wqug&data=UlNrNmk5WktYejR0eWJFYk1LdmtxaEJNZlp3Q1BHRlBJSm5KOTVGYXhyYVQ1U1RnMjMteUVXWXVyOGUydHdJOXQ3eVYwWC1IRFZuOXBFc1R2ZFVya1pEbnFWN3BRUnFxZjYyUHpWSWR1UC1sZm5uUEw2OUNrblhTLW5DNno0ZjFJRDJGOG4wQmg2eXpZVjNEN1pSWWY4dWhBaDNjRnliNQ
&b64e=2&sign=7153358927c40e97aad863f02031d01f&keyno=0&l10n=ru&cts=1410304666961&mc=2.7254805569978684
Информационная безопасность и защита информации
(курс лекций) - http://www.mylect.ru/informatic/securityinformation.html
О системе СОРМ-3 - http://www.newtimes.ru/articles/detail/86456?sphrase_id=487381