Presentation about security testing and why companies need it.
Language: Russian
Prepared by Uladzislau Murashka, Certified Ethical Hacker and Security Engineer.
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробнее на http://inforsec.ru/
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробности на http://inforsec.ru/
Информационная безопасность. Лекция 3.
Третья лекция. Моделирование угроз и анализ рисков. В лекции подробно описан процесс построения модели угроз, его цели и принципы, способы построения дерева угроз, приведена модель нарушителя, классификация, типы и мотивы нарушителей, а также процессы анализа рисков и управления рисками.
Обеспечение безопасности передачи информации на внешних носителяхkzissu
Презентация работы Мирко И.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/37 (доступ закрытый)
Presentation about security testing and why companies need it.
Language: Russian
Prepared by Uladzislau Murashka, Certified Ethical Hacker and Security Engineer.
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробнее на http://inforsec.ru/
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробности на http://inforsec.ru/
Информационная безопасность. Лекция 3.
Третья лекция. Моделирование угроз и анализ рисков. В лекции подробно описан процесс построения модели угроз, его цели и принципы, способы построения дерева угроз, приведена модель нарушителя, классификация, типы и мотивы нарушителей, а также процессы анализа рисков и управления рисками.
Обеспечение безопасности передачи информации на внешних носителяхkzissu
Презентация работы Мирко И.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/37 (доступ закрытый)
Information security lection № 2 in NSU.
Вторая лекция, в которой описываются все принципы ИБ, жизненный цикл СЗИ, бизнес-структура объекта защиты, показывается суть документа "политика безопасности", её реализации в реальном бизнесе.
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Information security lection № 2 in NSU.
Вторая лекция, в которой описываются все принципы ИБ, жизненный цикл СЗИ, бизнес-структура объекта защиты, показывается суть документа "политика безопасности", её реализации в реальном бизнесе.
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
2. Угроза – потенциально возможное событие,
действие, процесс или явление, которое может
привести к нанесению ущерба чьи-либо интересам.
3. Классификация угроз
По природе возникновения
• естественные
• искусственные
По степени
преднамеренности
• случайные
• преднамеренные
По источнику угрозы
• вызванные природной средой
• вызванные человеком
• вызванные санкционированным СВТ
• вызванные несанкционированным
СВТ
По местонахождению
источника
• источник вне периметра безопасности
• источник в пределах периметра
безопасности
По степени воздействия на АС
• пассивные
• активные
По способу доступа к
ресурсам АС
• использующие стандартные
возможности
• использующие недекларируемые
возможности
По нарушаемому свойству
безопасности
• нарушение конфиденциальности
• нарушение целостности
• нарушение доступности
4. Методы моделирования угроз
1. Неформальное построение перечня угроз
2. Использование типовых моделей угроз
3. Формальное моделирование угроз
5. Пример формального метода
Декомпозиция приложения
на составляющие
Идентификация угроз
Построение деревьев угроз
Ранжирование угроз
Выработка мер
противодействия угрозам
10. Идентификация угроз – метод STRIDE
Spoofing identity – нарушение идентификации
Tampering with data – подмена данных
Repudiation – отказ от авторства
Information disclosure – нарушение конфиденциальности
Denial of Service – отказ в обслуживании
Elevation of privilege – повышение полномочий
11. Связь элементов DFD и категорий угроз
процессы хранилища
данных
субъекты потоки
данных
S ✅ ✅
T ✅ ✅ ✅
R ✅ ✅ ✅
I ✅ ✅ ✅
D ✅ ✅ ✅
E ✅
19. Сдача ДЗ1
1. Прислать ДЗ1 до 30 сентября 2015 включительно
2. Адрес – mvanin@bmstu.ru
3. Тема письма – ДЗ1. <Группа>. <ФИО>.
Пример темы: «ДЗ1. ИУ8-71.Иванов Иван Иванович.»
4. Вложение – отчет в формате docx, pdf или html