инфобез лекции
.pdf
1)Развитие сферы ИТ до полноценной отрасли российской экономики, создающей высокопроизводительные рабочие места и обеспечивающей выпуск высокотехнологичной и конкурентоспособной продукции
2)Обеспечение различных сфер экономики качественными информационными технологиями с целью повышения производительности труда
3)Обеспечение высокого уровня информационной безопасности государства, индустрии и граждан
Базовые принципы развития отрасли ИТ:
Основные направления развития отрасли ИТ:
1 организация:
Основным органом координирующим действия гос структур по вопросам защиты информации является межведомственная комиссия по защите гос тайны (указ 11.08)
МЕЖВЕДОМСТВЕННАЯ КОММИСИЯ ПО ЗАЩИТЕ ГОС ТАЙНЫ
2 организация:
Общая координация и организация работ в стране по защите информации обрабатываемой техническими средствами осуществляется федеральной службой по техническому и экспортному контролю (ВСТЕК России)
ВСТЕК России является федеральным органом исполнительной власти, осуществляющим реализацию гос политики по следующим вопросам:
1)Обеспечение безопасности информации в системах информационной и телекоммуникационной инфраструктуры
2)Противодействие иностранным техническим разведкам на территории РФ
3)Обеспечение защиты (не криптографическими методами) информации содержащей сведения составляющие гос тайну
Основными задачами ВСТЕК являются:
1)Реализация в пределах своей компетенции гос политики в области обеспечения безопасности информации
2)Осуществление государственной научно-технической политики в области защиты информации
3)Организация деятельности гос системы противодействия техническим разведкам и техническая защита информации
4)Координация деятельности органов гос власти по подготовке развернутых перечней, сведений подлежащих засекречиванию
5)Обеспечения в пределах своей компетенции защиты информации в аппаратах федеральных органов гос власти
6)Осуществление координации деятельности федеральных органов исполнительной власти по гос регулированию, размещению и использованию иностранных технических средств наблюдения и контроля
7)Осуществление центральным аппаратом ВСТЕК организационного технического обеспечения межведомственной комиссии по защите гос тайны
ВСТЕК НЕ занимается криптографией
3 организация
Обеспечение информационной безопасности является одним из основных направлений деятельности органов федеральной службы безопасности (ФСБ)
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ
Основные задачи:
1)Формирование и реализация гос и научно-технической политики в области обеспечения информационной безопасности в том числе с использованием инжернерно-технических и криптографических средства
2)Обеспечение криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и ее учреждениях находящихся за пределами РФ
4 организация:
Министерство обороны РФ (МО РФ) организует деятельность по обеспечению ИБ и защите гос тайны в вооруженных силах РФ
ДРУГИЕ ОРГАНЫ ГОС УПРАВЛЕНИЯ:
1)Определяют перечень охраняемых сведений
2)Обеспечивают разработку и осуществление технических и обоснованных мер по защите информации
3)Организуют и координирует проведение технических работ в области защиты информации
4)Разрабатывают отраслевые документы по защите информации
5)Контролируют выполнение на предприятиях установленных норм и требований по защите информации
6)Создают отраслевые центры по защите информации
7)Организуют подготовку и повышение квалификации специалистов по защите информации
ГОСУДАРСТВЕННАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ ИБ СОЗДАЕТСЯ ДЛЯ РЕШЕНИЯ СЛЕДУЮЩИХ ПРОБЛЕМ:
1)Защита персональных данных
2)Борьба с компьютерной преступностью
3)Защита коммерческой тайны
4)Защита гос тайны
5)Страхование информации и информационных систем
6)Сертификация и лицензирование в области безопасности информации
7)Организация взаимодействия в сфере защиты информации со странами СНГ и другими государствами
КЛЮЧЕВЫМИ ПРОБЛЕМАМИ В ОБЛАСТИ ИБ ЯВЛЯЮТСЯ:
1)Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности
2)Разработка механизмов реализации прав граждан на информацию
3)Формирование системы ИБ обеспечивающих реализацию гос политики в этой области
4)Совершенствование методов и технических средств обеспечивающих комплексное решение задач по защите информации
5)Разработка критериев и методов оценки эффективности систем ИБ
6)Исследование форм и способов цивилизованного воздействия государства на формирования общественного сознания
7)Комплексное исследование деятельности персонала информационных систем и методов повышения их мотивации
ОСНОВНЫЕ ПРИНЦИПЫ ГОС ПОЛИТИКИ ОБЕСПЕЧЕНИЯ ИБ:
1)Соблюдение конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права
2)Открытость в реализации функции федеральных органов гос власти
3)Правовое равенство всех участников процесса информационного процесса вне зависимости от их политического, социального и экономического статуса
4) Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий
МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ В ОБЛАСТИ ИБ
Для координации усилий в области обеспечения ИБ в разных государствах образованы десятки коммерческих и некоммерческих организаций.
3 наиболее влиятельных организаций во всем мире:
1. ISACA - ассоциация аудита и контроля информационных систем. Неккомерческая организция
ОСНОВНАЯ СФЕРА ДЕЯТЕЛЬНОСТИ:
1)Они разрабатывают единую терминологию в области ИБ
2)Развитие единых подходов к организации информационных технологий и проектов
3)Они занимаются обучением на мировом уровне, выдают сертификат международного образца
ISACA работает над следующими проектами:
1)Электронный бизнес (Контроль, Аудит, Безопасность)
2)Частные виртуальные сети
3)Целостность информации
4)Беспроводные сети
5)Безопасность и контроль информационных технолоигий
6)Управление взаимоотношениями с клиентами
2. CIS - центр интернет безопасности
CIS некоммерческое предприятие, задача которого состоит в том, чтобы помочь организациям во всем мире уменьшить риски потерь в электронной коммерции, а также предлагает методы эффективного управления организационными рисками, связанными с ИБ.
Деятельность CIS представляет интерес для:
1)Пользователей сетевых и информационных технологий (частные лица и компании)
2)Аудиторов и консультантов по ИБ, которые нуждаются в конкретных технических рекомендациях
3)Администраторов безопасности сетей и специалистов по безопасности информационных систем
4)Операторов электронной коммерции, стремящихся к снижению потерь от кибер преступности
5)Страховых компаний, связанных с оценкой рисков в области ИБ
3. ISALLiance - интернет союз информационной безопасности
Коммерческая ассоциация, предлагающая своим членами набор услуг по защите их информационных активов и правовой защите интересов в области ИБ
ОБЗОР МЕЖДУНАРОДНЫХ СТАНДАРТОВ
Международные стандарты и методологии в области ИБ и управления ИТ является ориентиром при построении систем ИБ, а также помогают в решении задач всех уровней, стратегических, тактических, оперативных в области ИБ
Стандарты ИБ позволяют узнать:
1)Терминологию в сфере ИБ
2)Общие подходы к построению ИБ
3)Общепринятые процессы ИБ и рекомендации по их выстраиванию
4)Конкретные меры защиты в области ИБ
5)Роли и зоны ответственности при построении процессов ИБ
Общепризнанные стандарты международного уровня позволяют специалистам ИБ общаться между собой и подразделениями компаний на одном языке с использованием устоявшихся терминов и определений
СТАНДАРТЫ В ОБЛАСТИ ИБ МОЖНО РАЗДЕЛИТЬ НА 2 ТИПА:
-Технические (контрольные) регламентирующие различные аспекты реализации мер защиты
-Процессно-ориентированные, описывающие подход к выстраиванию процессов и построению ИБ в целом
Технические стандарты помогают провести выстраивание технической защиты информации - выбрать необходимый комплекс защитных мер и провести их грамотную настройку
Процессно-ориентированные стандарты описывают подход к выстраиванию отдельных процессов
1)СТАНДАРТ COBIT - его разработала фирма ISACA - крайняя редакция 2019 - описывает набор процессов и лучших практик, для выстраивания эффективного управления и контроля, а также достижение максимальной выгоды от использования информационных технологий
2)СТАНДАРТ ITIL и ITSM - набор публикаций, описывающий общие принципы эффективного использования ИТ сервисов, а также проектирования сервисов и инфраструктуры информационных технологий различных компаний
3) СТАНДАРТ ISo/IEC27001-2013 - Наиболее популярный стандарт среди зарубежных и российских ИБ специалистов, к которому обращаются в первую очередь при внедрении СУИБ (система управления информационной безопасности), он определяет все аспекты менеджмента ИБ и содержит лучшие практики по выстраиванию процессов для повышения эффективности для управления ИБ
Угрозы и уязвимости безопасности при построении систем защиты информации
Основные направления и методы реализации угроз
К основным направлениям реализации злоумышленника информационных угроз относится:
1.Непосредственное обращение к объектам доступа
2.Создание программы и технических средств, выполняющих обращение к объектам доступа в обход средствам защиты
3.Модификация средств защиты, позволяющая реализовать угрозы ИБ
4.Внедрение в технические средства программных или технических механизмов, нарушающих предполагаемую структуру и функции систем
К числу основных методов реализации угроз ИБ относится:
1.Определение злоумышленником типа и параметров носителей информации;
2.Получение злоумышленником информации и программно-аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, в составе прикладного ПО;
3.Получение злоумышленником детальной информации о функциях выполняемой системы
4.Получение злоумышленником данных о применяемых системах защиты
5.Определение способа представления информации
6.Определение злоумышленником содержания данных, обрабатываемых системой на качественном уровне
7.Хищение машинных носителей информации, содержащих конфиденциальные данные
8.Использование специальных технических средств для перехвата ПЭИМН
9.Уничтожение средств вычислительной техники и носителей информации
10.Несанкционированный доступ пользователя к ресурсам системы в обход или путем преодоления системы защиты с использованием специальных средств и методов
11.Несанкционированное превышение пользователем своих полномочий
12.Несанкционированное копирование ПО
13.Перехват данных, передаваемых по каналу связи
14.Визуальное наблюдение
15.Дешифрирование данных (раскрытие представления информации)
16.Уничтожение носителей информации