Объекты обеспечения информационной
безопасности
Толстой Александр Иванович
НИЯУ МИФИ, факультет «Кибернетика и информационная
безопасность», кафедра «Информационная безопасность
банковских систем»
Москва, сентябрь 2016
Объекты обеспечения ИБ
Два подхода:
1. |
«27000»: |
• |
объектом защиты является активы организации |
• |
активы могут рассматриваться только в контексте целей |
|
деятельности организации, но не как иначе, |
• |
основной целью деятельности службы ИБ организации |
|
является содействие бизнесу – целям деятельности |
|
организации. |
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
2. «ФСТЭК»:
• объектом защиты является объект информатизации
«Объект информатизации» - Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения переговоров
Объект информатизации = актив |
2 |
|
Объекты обеспечения ИБ
«Угроза ИБ» - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
«Уязвимость» (бреш) (vulnerability) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [ГОСТ Р ИСО/МЭК 13335-1-2006];
«Уязвимость (ИС)» - свойство ИС, предоставляющее возможность реализации угрозы безопасности обрабатываемой в ней информации [Р 50.1.056-2005]
Если уязвимость соответствует угрозе, то существует риск (ИСО 2382-8:1998)
3
Объекты обеспечения ИБ
1.1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой концептуальной схемы |
||
(модели) обеспечения ИБ: |
|
Цели |
Цели собственника |
злоумышленника |
|
|
Завладение правами |
мотивация |
мотивация |
|
|
|
Злоумышленник |
|
|
|
|
Собственник |
Актив |
Использование прав |
|
В соответствии с целями |
доход |
бизнеса |
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
н |
|
|
с |
|
|
|
|
е |
|
|
|
||
|
|
ж |
|
|
|
е |
||
|
|
|
|
н |
|
|||
|
о |
|
|
з |
|
|
||
л |
|
|
и |
|
|
|
||
В |
|
|
б |
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
П |
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
л |
|
|
|
|
|
н |
|
|
у |
|
|
|
|
|
|
чен |
|
|
|||
е |
|
|
|
и |
|||
|
з |
|
|
|
|
е |
|
|
|
а |
к |
|
|
|
|
|
|
|
он |
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
о |
|
|
|
д |
|
|
|
|
г |
|
|
о |
|
|
|
о |
||
|
|
х |
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
д |
|
|
|
|
|
|
|
|
а |
|
|
|
Бизнес |
Конфликт целей собственника и |
|
|
||
злоумышленника по |
|
|
|
|
установлению контроля над |
Факторы эффективного |
|
Риски |
|
активами |
Ведения бизнеса |
|
|
|
4 |
||||
|
|
|||
Объекты обеспечения ИБ
Управление обеспечением ИБ
Оценка
рисков
ИБ
Что
защищае
м?
От чего защищае
м?
Как
защищае
м?
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы организации;
•активы могут рассматриваться только в контексте целей
деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ организации является
содействие бизнесу – целям деятельности организации.
6
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры объектов:
•Организация в целом (территория, здания, помещения,
коммуникации, бизнес процессы, технологические процессы);
•Автоматизированная система организации (АСУ ТП);
•Информационная система организации (Интранет);
•Локальная сеть (ИСПД);
•Одиночный компьютер (АРМ сотрудника);
•Сотрудники организации.
7
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры основных бизнес процессов:
•Организация в целом – санкционированный доступ на объект
(территория, здания, помещения, коммуникации, технологический процесс), штатное функционирование технологических процессов.
•Автоматизированная система организации – автоматизация
технологических процессов;
•Информационная система организации – информационное
обеспечение функционирования технологических процессов;
•Локальная сеть – автоматизация решения отдельных задач и их
информационное обеспечение;
•Одиночный компьютер – повышение эффективности выполнения
служебных задач отдельным сотрудником;
•Сотрудники организации – выполнение служебных обязанностей8.
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры активов, относящихся к основным бизнес процессам:
•Организация в целом – территория, здания, помещения,
коммуникации, технологический процесс;
технологических процессов, свойства системы обеспечения ИБ. |
|
Примеры свойств активов, подлежащих защите: |
|
•Организация в целом – доступность и целостность территории, |
|
зданий, помещений, коммуникаций, технологический процесс; |
|
обеспечение непрерывности функционирования основных |
9 |
бизнес процессов. |
|
Примеры уязвимостей активов, относящихся к основным бизнес |
|
процессам: |
|
•Организация в целом (санкционированный доступ на объект, |
|
штатное функционирование технологических процессов) – |
|
свойства территории, зданий, помещений, коммуникаций, |
|
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры активов, относящихся к основным бизнес процессам:
Автоматизированная система организации – информационные активы, программно-аппаратное обеспечение (среда обработки информации), технологический процесс, реализуемый АС, персонал, эксплуатирующий АС;
Примеры уязвимостей активов, относящихся к основным бизнес
процессам:
•Автоматизированная система организации - свойства программно-
аппаратного обеспечения, особенности функционирования АС, особенности технологического процесса, реализуемого АС.
Примеры свойств активов, подлежащих защите:
•Автоматизированная система организации - целостность, доступность и
конфиденциальность (информационные активы), целостность, доступность (программно-аппаратное обеспечение АС), непрерывность технологического процесса, реализуемого АС.
10