Документ содержит информацию об основах информационной безопасности, включая опыт и квалификацию автора, группы модулей, охватывающих различные аспекты безопасности информационных технологий. Основные темы включают модели угроз, управление рисками, принципы безопасности и стратегии защиты информации. Также обсуждаются важные законодательные нормативы и требования к защите информации в различных организациях.

1. ОСНОВЫ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Вячеслав Аксёнов
13-15.11.2017

2. Кратко о себе:
 Опыт работы в сфере информационной безопасности более 13 лет, в качестве
специалиста, инженера, аудитора, менеджера, руководителя проекта,
архитектора и консультанта. Преподаватель авторских курсов по
информационной безопасности. Преподаватель авторских курсов по
информационной безопасности.
 Образование: радиоинженер-педагог + магистратура и аспирантура по
направлению информационная безопасность.
 Сфера интересов: технологии облачных вычислений, гособлака,
проектирование и внедрение систем защиты информации.
Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
ПРЕПОДАВАТЕЛЬ
Вячеслав Аксёнов
IT Security Architect | R&D Department | ActiveCloud
itsec.by
Хобби:)

3. Модуль 1.
ОСНОВЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ
 Основные понятия в области безопасности
информационных технологий.
 Основные составляющие информационной
безопасности.
 Государственная система защиты информации.
 Правовое обеспечение информационной
безопасности.
 Стандарты и рекомендации в области
информационной безопасности.

4. ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ОБ ИНФОРМАЦИИ,
ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ:
 Иерархия нормативных правовых актов.
 Структура требований нормативных правовых актов.
 Зависимости между требованиями.
 Область применения и исключения.
 Правовой режим информации.
 Права и обязанности субъектов информационных отношений по защите информации.
 Ответственность за правонарушения в области связи и информации, и преступления против информационной
безопасности.
 Лицензирование деятельности по технической и (или) криптографической защите информации.
 Сертификация средств защиты информации и продукции по требованиям безопасности информации.
! Все что вы хотели узнать но
боялись спросить)

5. ИСТОЧНИКИ УГРОЗ
5/x
• Недовольный работник
• Отсутствие образования:
• Пользователей
• Администраторов
• Корпоративный шпионаж
• Злоупотребление IT
полномочиями
• Внутренними
• Внешними
Сотрудники
• Оставленное без присмотра оборудование
• Открытые двери, незащищенная серверная
или коммутационные шкафы
• Больше - легче
Нет физической безопасности
= нет безопасности вообще
•Группы фундаменталистов
•Организованная преступность
•Правительственная/иностранная разведка
•Терроризм
Организованные угрозы

6.  Наименьшие привилегии (Least Privilege)
 Эшелонированная защита (Defense in Depth)
 Разделение обязанностей (Separation of Duties)
ПРИНЦИПЫ БЕЗОПАСНОСТИ
6/x

7. Риск-ориентированный подход
ПОСТРОЕНИЕ ПРОГРАММЫ БЕЗОПАСНОСТИ
7/x
1. Как будут определены критические
активы?
2. Роли, и сферы ответственности?
3. Процесс проведения оценки рисков.?
4. Как часто оценки будут производиться?
5. Как результат оценивается и
обрабатывается?
6. Процесс запроса на исключение?

8. Проблемы
ПОСТРОЕНИЕ ПРОГРАММЫ БЕЗОПАСНОСТИ
8/x
 Смешивание корпоративной и личной жизни
 Непоследовательное применение политик
 Отсутствие возможности контролировать соответствие
 Размытие внутренней и внешней среды
 Сложные скрытые атаки

9. Критические моменты
ПОСТРОЕНИЕ ПРОГРАММЫ БЕЗОПАСНОСТИ
9/x
 Ваши ресурсы не должны использоваться для атаки на другую организацию.
 Обеспечить возможность восстановления ресурса в случае
эксплуатации/повреждения.
 Обеспечить возможность автоматического обнаружения и удаления вредоносных
программ.
 Стандартизировать удаленный доступ в сеть (или запретить).
 Выявлять и отслеживать все внешние подключения (точки входа в сеть) + сетевая
IPS
 Внедрить систему управления обновлениями/уязвимостями.
+ Дополнительные меры контроля (NAC, IPS, FW и др.) на всех рабочих станциях и
ноутбуках.
+ Возможность расследования инцидентов

10. Драйверы
ЗАЩИТА ИНФОРМАЦИИ
10/x
 НПА РБ (Указ, Закон, Приказ ОАЦ)
 Требования вышестоящих органов/организаций
 Стандарты и рекомендации?

11. Проблемы реализации требований
ЗАЩИТА ИНФОРМАЦИИ
11/x
 Высокая стоимость СИБ
 Невозможность изменения инфраструктуры
субъекта
 Нехватка квалифицированного персонала

12. Модуль 2.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
 Модель нарушителя.
 Угрозы безопасности информационных
технологий.
 Анализ рисков.
 Управление рисками.
 Политика информационной безопасности.
 Документы, регламентирующие политику
безопасности организации.

13. МОДЕЛЬ НАРУШИТЕЛЯ
Тип Внешний
Цели Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление
уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Потенциал Средний
Возможности Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах
защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить
информацию об уязвимостях отдельных компонент информационной системы путем проведения, с
использованием имеющихся в свободном доступе программных средств, анализа кода прикладного
программного обеспечения и отдельных программных компонент общесистемного программного обеспечения.
Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования
информационной системы
Преступные группы (криминальные структуры)

14. Проект (интернет-магазин)
APPLICATIONSERVER
APP
DATABASESERVER
DB
WEBSERVER
WEB
Модуль обработки
данных
Модуль хранения
данных
Модуль
взаимодействия с
пользователями
ИС «Интернет-магазин»
ИС предназначена для:
 представления в сети Интернет
товаров (услуг) покупателю
(описание, характеристики,
стоимость);
 формирования заказов на продажу
и (или) доставку товаров (услуг);
 хранения информации: о
покупателях (пользователях)
интернет-магазина, история
посещений, сформированных,
доставленных и оплаченных
заказов.
1. Перечень и оценка ценности
первичных информационных
активов

15. ФАКТОРЫ И ПРИЧИНЫ РИСКА
Факторы риска – условия, способствующие проявлению причин
риска.
 Определяют возникновение причин и воздействие различных
видов риска.
Причина – источник возникновения риска.
 Конкретные незапланированные события, которые потенциально
могут осуществиться и привести к отклонению от намеченного
результата.

16. КАЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
 Определить ценность актива
(уровень воздействия).
 Оценить вероятность реализации
угрозы этому активу (вероятность
воздействия).
2-х факторный
Вероятность
воздействия
Уровень воздействия
Низкий (10) Средний (50) Высокий (100)
Низкая (0,1) 1 5 10
Средняя (0,5) 5 25 50
Высокая (1,0) 10 50 100
Вероятность
воздействия
Уровень воздействия
Низкий (1) Средний (2) Высокий (3)
Низкая (1) 2 3 4
Средняя (2) 3 4 5
Высокая (3) 4 5 6

17. Параноидальная политика
ТИПЫ ПОЛИТИК
17/x
Все запрещено
Нет интернет
соединения, или строго
ограниченное
использование интернет
Пользователи находят
пути обойти строгие
ограничения

18. Политика криптографической защиты данных
ТИПЫ ПОЛИТИК
18/x
Шифрование обеспечивает защиту данных
организации.
Сотрудники организации должны знать о
разрешенных криптографических методах и
способах их реализации для защиты данных.
Должны использоваться сильные крипто-
алгоритмы в соответствии с требованиями
регуляторов.

19. Модуль 3.
УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
 Основы процессного подхода в области
информационной безопасности.
 Стандарты и структуры построения систем
информационной безопасности.
 Организация и функционирование службы
информационной безопасности.
 Поведение оценки и разработка планов
обработки рисков информационной безопасности.
 Обучение и повышение осведомленности в
области информационной безопасности.
 Мониторинг, контроль защитных мер и аудит
информационной безопасности.
 Анализ функционирования системы обеспечения
информационной безопасности.

20.  Вход
 Выход
 Ресурсы
 Владелец
 Потребители и
поставщики
 Показатели
20/91
Ключевые элементы процесса
ПРОЦЕССНЫЙ ПОДХОД

21. 21/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ

22. 22/91
Структура стандарта СТБ ISO/IEC 27001-2016
СИСТЕМА МЕНЕДЖМЕНТА ИБ
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
PLAN
DO
CHECK
ACT

23. 23/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.6 Организация
информационной
безопасности
А.7 Безопасность,
связанная с
персоналом
А.8 Управление
активами
А.9 Управление
доступом
А.10 Криптография
А.11 Физическая
безопасность и
защита от
окружающей среды
А.12 Операционная
деятельность по
обеспечению
безопасности
А.13 Безопасность
сети
А.14 Приобретение,
разработка и
сопровождение
систем
А.15
Взаимоотношения с
поставщиками
А.16 Управление
инцидентами в
области
информационной
безопасности
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.18 Соответствие

24. 24/91
Проект
разработки
и внедрения
СМИБ
7. Программа внедрения
СМИБ
3.
Инвентариза-
ция инфо-
активов
0. Start
2. Определить
область
применения
6. Разработать
программу
внедрения СМИБ
5b. Подготовить
план обработки
рисков
4. Оценка
риска
1. Получить
поддержку
руководства
N
N-1
Один из
проектов
программы
Реестр
План обработки
риска
Область
применения
Обоснование
для бизнеса
8. Система
менеджмента
информационной
безопасности
План проекта
План проекта
План проекта
11. Проверка
соответствия
5a.
Подготовить
положение о
применмости
Положение о
применимости
(SoA)
12.
Корректирующие
дествия
ISO/IEC 27002
13. Пред-
аудит
14.
Сертификаци
онный аудит
ISO/IEC 27001
Сертификат
ISO/IEC 27001
9. Свидетельства
функционирования
СМИБ
Copyright © 2016
ISO27k Forum Version 4
www.ISO27001security.com
Report
Report
Инциденты
Logs
Report
Отчеты по анализу
со стороны
руководства
Политики
Стандарты
Процедуры
Руководства
15.
Эксплуатация
СМИБ
16. Ежегодные
аудиторские
проверки
Report
Метрики
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27004
10.
Внутренний
аудит СМИБ
Report
Report
BCP
Report
Отчеты по
аудиту
ISO 22301
НПА,
ТНПА,
договоры
Легенда
Деятельность
Международный
стандарт
Документ
или запись
Набор или
группа
Viacheslav Aksionov
Itsec.by

25. ОРГАНИЗАЦИЯ СЛУЖБЫ ИБ
Место CISO
Руководитель
CEO
?
CCO
?
CIO
?
CSO
?
?

26. АНАЛИЗ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

27. Модуль 4.
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ИНФОРМАЦИОННЫХ СИСТЕМ
 Проектирование системы защиты информации.
 Создание системы защиты информации.
 Подготовка системы защиты информации к
проведению аттестации. Аттестация.
 Эксплуатация системы защиты информации.
 Модернизация системы защиты информации.
проектирование
созданиеэксплуатация
модернизация

28. Проектирование СЗИ
Классификация информационных
систем
СТБ 34.101.30-2017
Группа Общедоступная информация Информация, распространение и (или)
предоставление которой ограничено
квои С
Подгруппа Изолированная Открытая Изолированная Открытая
Категория частн гос частн гос фл юл дсп фл юл дсп
Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп 2 1

29. Перечень требований к СЗИ
Приказ ОАЦ №62 от 30 августа 2013 г.
Перечень требований к СЗИ, подлежащих включению в ЧТЗ или ЗБ
 Требования по обеспечению аудита безопасности
 Требования по обеспечению защиты данных
 Требования по обеспечению идентификации и аутентификации
 Требования по обеспечению защиты системы защиты информации информационной
системы
 Требования по обеспечению защищенного канала передачи данных
 Требования по обеспечению защиты информации в виртуальной инфраструктуре
 Иные требования

30. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИБ
Процесс

31. ОБНАРУЖЕНИЕ ИНЦИДЕНТОВ
 http://sourceforge.net/projects/security-onion/
 http://blog.securityonion.net/
 На основе Ubuntu и содержит Snort, Suricata, BRO, OSSEC, Sguil, Squert,
Snorby, ELSA, Xplico, NetworkMiner.
 2 книги:
 http://www.amazon.com/Richard-
Bejtlich/e/B001IR3KOW/ref=dp_byline_cont_book_1
NSM - SecurityOnion

32. Network Forensics Investigative Methodology
(OSCAR)
 Obtain Information
 Strategize
 Collect Evidence
 Analyze
 Report

33. Модуль 5.
ЗАЩИТА ИНФОРМАЦИИ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
 Требования по защите информации от НСД.
 Управление доступом.
 Идентификация, аутентификация и авторизация.
 Аудит.

34. 34/91
Подсистемы
ЗАЩИТА ИНФОРМАЦИИ ОТ НСД
Защита информации от НСД реализуется
следующими подсистемами:
подсистема
управления
доступом
подсистема
регистрации и
учета
подсистема
обеспечения
целостности
подсистема
криптографической
защиты

35. Модуль 6.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
КОМПЬЮТЕРНЫХ СИСТЕМ И СЕТЕЙ
 Угрозы сетевой безопасности.
 Межсетевые экраны.
 Системы обнаружения и предотвращения
вторжений.
 Виртуальные частных сети.

36. МЕЖСЕТЕВЫЕ ЭКРАНЫ

37. СИСТЕМЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ

38. ВИРТУАЛЬНЫЕ ЧАСТНЫХ СЕТИ