Основы Информационной безопасности.
В презентации представлены основные положения, на которых базируется дисциплина "Информационная безопасность". Содержит краткий понятийный аппарат по курсу.
Скачать:
| Вложение | Размер |
|---|---|
 osnovy_ib.ppt | 1.07 МБ |
Предварительный просмотр:
Подписи к слайдам:
Определение (ИБ) « Информационная безопасность " – защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Способы преодоления сложности ИБ 1 . Сложная система (ИБ) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов 2. Относительная независимость понимается как минимизация числа связей между компонентами 3. Система (ИБ) представляется в виде иерархии с несколькими уровнями абстракции. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Основные определения и критерии классификации угроз Угроза - это потенциа- льная возможность определенным образом нарушить информа-ционную безопасность Попытка реализации угрозы называется атак-ой , а тот, кто предпри-нимает такую попытку, - злоумышленником Потенциальные злоумы-шленники называются источниками угрозы Окном опасности называется промежуток времени от момента появления возможности использовать слабое место, и до момента, ликвидации пробела Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Ослабление уязвимых направлений Уязвимые места (пробелы) в защите ИС: Способы защиты ошибки в программном обеспечении возможность доступа посторонних лиц к критически важному оборудованию зависимость АО ИС от качественного электропитания Выявление и отслеживание средств использования пробела в защите Выпуск заплат Оперативное наложение заплат на защищаемую ИС Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
КЛАССИФИКАЦИЯ УГРОЗ по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
КЛАССИФИКАЦИЯ УГРОЗ (продолжение) по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС). Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Наиболее распространенные угрозы доступности Угрозы Способы борьбы непреднамеренные ошибки штатных пользователей, операторов, са и других лиц, обслуживающих ИС (65% потерь) отказ пользователей; внутренний отказ ИС отказ поддерживающей инфраструктуры максимальная автоматизация и строгий контроль Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Угрозы доступности применительно к пользователям Угрозы Источники внутренних отказов нежелание работать с ИС невозможность работать с системой из-за отсутствия соответствующей подготовки невозможность работать с системой в силу отсутствия технической поддержки отступление (случайное или умышленное) от установленных правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала ; ошибки при (пере)конфигурировании системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
«Обиженные" сотрудники - нынешние и бывшие испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
«Оранжевая книга» Первый оценочный стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем» (1983 г.) Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Степень доверия оценивается по: Политика безопасности - набор законов, правил и норм поведения, определяю -щих, как организация обрабатывает, за- щищает и распространяет информацию Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС (пассивный аспект защиты) Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Доверенная вычислительная база доверенная система должна фиксиро-вать все события, касающиеся безопасности. средством обеспечения безопасности является механизм подотчетности (протоколирования) - совокупность защитных механизмов ИС (АО и ПО), отвечающих за проведе -ние в жизнь политики безопасности. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Доверенная вычислительная база ( продолжение ) выполняет функции монитора обраще-ний, контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями) Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Качества монитора обращений Изолированность. Необходимо предупредить возможность отслеживания работы монитора. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Ядро безопасности Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. ядро должно гарантировать собственную неизменность. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Административный уровень информационной безопасности действия общего характера, предприни-маемые руководством организации. формирование и обеспечение выполне-ния программы (политики безопаснос-ти) работ в области ИБ (ресурсы и контроль состояние дел. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Политика безопасности ("security policy", ) строится на основе анализа рисков, которые признаются реальными для ИС организации. стратегия организации в области ИБ совокупность документированных решений руководства организации и направленных на защиту информации и ассоциированных с ней ресурсов. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Политика безопасности (уровни детализации ) Верхний уровень (минимум вопросов) Средний уровень Нижний уровень Решения, затраги-вающие организа-цию в целом (целостность, доступность и конфиденциальность) Отдельные аспек-ты информацион-ной безопасности Цели и правила их достижения Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Управление рисками (административный уровень ИБ ) строится на основе анализа рисков, которые признаются реальными для ИС организации. стратегия организации в области ИБ совокупность документированных решений руководства организации и направленных на защиту информации и ассоциированных с ней ресурсов. Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Анализ риска Слово риск в буквальном переводе означает «принятие решения», результат которого неизвестен. Риск это гипотетическая возможность наступления ущерба. Риск вероятность наступления определенного уровня потерь Вероятность наступления аварии Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Риск и принятие решений Слово риск в буквальном переводе означает «принятие решения», результат которого неизвестен. Риск это гипотетическая возможность наступления ущерба. Риск вероятность наступления определенного уровня потерь Вероятность наступления аварии Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Риск и принятие решений (продолжение) В области безопасности и риска существует своеобразный информационный барьер , достигая который мы должны обратиться к вероятностным характеристикам функционирования сложных технологических и организационных систем. Использование информационных систем связано с определенной совокупностью рисков Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Управление рисками включает в себя: (пере)оценка (измерение) рисков выбор методологии оценки рисков ликвидация риска (устранение причины) уменьшение риска принятие риска (и выработка плана действия в соответствующих условиях) переадресация риска (например, путем заключения страхового соглашения) Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.
Этапы управления рисками Выбор анализируемых объектов и уровня детализации их рассмотрения Выбор методологии оценки рисков Анализ угроз и их последствий, выявление уязвимых мест в защите. Оценка рисков. Выбор защитных мер Реализация и проверка выбранных мер Оценка остаточного риска Сарафанова Елена Юрьевна, кафедра ИКТ, Иркутск, 2014 г.