Информационная безопасность. Лекция 4
DESCRIPTION
Информационная безопасность. Лекция 4.TRANSCRIPT
4.Лекция - Метрики и нормативно правовое .полеИБ
: . . Лектор АС ЛысякE-mail: [email protected]
: Лекцииhttp://www.slideshare.net/Accemt/presentations
Основы информационной безопасности
Проактивный контроль ИБПроактивный контроль ИБ
Сергей ГордейчикPositive Technologies
Что такое «проактивность»?Что такое «проактивность»?Антивирус новой модели?
«Мощная» политика безопасности?
Серьезный анализ рисков?
Аудит у «солидной конторы»?
Пентест «настоящих хакеров»?
Анализ рисков?Анализ рисков?
: Классическая модель использование статистики
ALE = SLA x ARO. ARO – ( )частота в год
, ? Проактивность с задержкой в год
СитуацияСитуация « » Отсутствие революций в техническихвопросах
, ( ) .Все знают что не возможно Большинство защитных механизмов уже
.реализовано и внедрено ? Что остается Эффективное использование
:существующих средств
Оценка эффективности
Корреляция эффективности с принятыми мерами
Метрики безопасностиМетрики безопасности
, « Однозначно измеряются без экспертного»мнения
Доступны для расчета и анализа( )предпочтительно автоматически
( Имеют количественное выражение не" ", " ", " ")высокий средний низкий
Измеряются в пригодных для анализа, " ", " ", величинах таких как ошибки часы
" "стоимость Понятны и указывают на проблемную область
( « , ?") и возможные решения тест Ну и
Примеры метрикПримеры метрик Практический любойИТ иИБ процесс
можно оценивать с помощьюметрик Межсетевое экранирование
, Изменение конфигураций небезопасные, приложения доступные службы
Повышение осведомленности% , , % обученных заходы на сайты нарушающих
парольную политику (Соответствие требованиям compliance)
% , соответствия стандартам управляемость, сети время изменения уровня соответствия
Повод для гордостиПовод для гордости
«Количество заблокированных »вирусов « »Количество отраженных сетевых атак Количество отфильтрованного СПАМаИЛИ Процент узлов с обновляемыми
антивирусными базами Отношение количества вирусов в
исходящей и входящей почте
Источники метрикИсточники метрик
Антивирусные/ антиспам системы Системы класса SEIM/IDS ( Ручной сбор системы управления
, )проектами контроля трудозатрат Результаты аудитов Системы управления сетью
( )инвентаризация Система контроля изменений Системымониторинга и управленияуязвимостями
Системы контроля соответствия (стандартам Compliance management)
Чем я хуже?Чем я хуже?
Оценка динамики показателей Сравнение с мировой практикой
?Где брать метрикиNIST Special publicationCenter of Internet Security http://www.metricscenter.org/ http://www.securitymetrics.org
РезюмеРезюме Метрики безопасности позволяют оценить
.практический любой процесс ИБ Метрики позволяют общается с бизнесом в
привычных терминах управления.проектами
Метрики позволяют оценивать динамику процессов и проводить сравнение с
.общемировой практикой Большое количество метрик может
автоматизировано оцениваться с системами класса Compliance Management.
Нормативно-правовой уровень ИБНормативно-правовой уровень ИБ
Организационнаяструктура
Структура законодательных мерСтруктура законодательных мер
150 Более законов и подзаконных актов
Правовое поле
Конституция РФ
Право на доступ Право на защиту данных 24 Статья
Гарантия права ознакомления с
, собранными данными если это не тайна
( , государственная)следствия
29Статья Гарантия свободы
мысли и слова 41Статья
Гарантия доступности информации об
, обстоятельствах создающих угрозу для
жизни и здоровья.людей
23Статья Гарантия тайны
коммуникацийгражданина
24 Статья Гарантия
получения согласия на обработку и
хранение
Государственные Государственные контролирующие органы РФконтролирующие органы РФ
Контролирующие органыКонтролирующие органы
ФСБ ФСТЭК Обеспечение
безопасности информации
криптографическимиметодами
Лицензирующий орган в области защиты
информации криптографическими
методами
Обеспечение безопасности
( некриптографическими) методами информации
Противодействие техническим разведкам
Лицензирующий орган в области защиты
информации некриптографическими
методами
Службы, организующие ЗИ на Службы, организующие ЗИ на уровне предприятияуровне предприятия
ОБ ИНФОРМАЦИИ, ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХИ О ЗАЩИТЕ ИНФОРМАЦИИИ О ЗАЩИТЕ ИНФОРМАЦИИ
149- 27 2006 ФЗ от июля года
Сфера действияСфера действия
регулирует не распространяется осуществлении права
, , на поиск получение, передачу
производство и распространение
;информации применение
информационных;технологий
обеспечении защиты.информации
, на отношения возникающие при
правовой охране результатов
интеллектуальной деятельности и
приравненных к ним средств
индивидуализации
Виды информацииВиды информации , информация свободно
;распространяемая , информация предоставляемая по
, соглашению лиц участвующих в ;соответствующих отношениях
, информация которая в соответствии с федеральными законами подлежит
;предоставлению или распространению , информация распространение которой в
Российской Федерации ограничивается .или запрещается
Права собственника информацииПрава собственника информации разрешать или ограничивать доступ к
, информации определять порядок и условия ;такого доступа
, использовать информацию в том числе , ;распространять ее по своему усмотрению
передавать информацию другим лицам по договору или на ином установленном законом
;основании защищать установленными законом способами
свои права в случае незаконного получения информации или ее незаконного использования
;иными лицами осуществлять иные действия с информацией или
.разрешать осуществление таких действий
Обязанности собственникаОбязанности собственника соблюдать права и
законные интересы ;иных лиц
принимать меры по защите
;информации ограничивать
доступ к, информации если
такая обязанность установлена
федеральными.законами
Запрет ограничения доступаЗапрет ограничения доступа , , нормативным правовым актам затрагивающим права
, свободы и обязанности человека и гражданина а также устанавливающим правовое положение организаций и
, полномочия государственных органов органов местного;самоуправления
;информации о состоянии окружающей среды информации о деятельности государственных органов и
, органов местного самоуправления а также об использовании ( , бюджетных средств за исключением сведений
);составляющих государственную или служебную тайну , , информации накапливаемой в открытых фондах библиотек
, , музеев и архивов а также в государственных муниципальных , и иных информационных системах созданных или
( ) предназначенных для обеспечения граждан физических лиц ;и организаций такой информацией
, иной информации недопустимость ограничения доступа к .которой установлена федеральными законами
Ограничение доступаОграничение доступа В целях защиты
основ конституционного
, строя, нравственности
, здоровья прав и законных интересов других
, лиц обеспечения обороны страны и
безопасности.государства
Защита информацииЗащита информации , представляет собой принятие правовых
, организационных и технических мер :направленных на
обеспечение защиты информации от , , неправомерного доступа уничтожения
, , модифицирования блокирования, , копирования предоставления
, распространения а также от иных неправомерных действий в отношении
;такой информации соблюдение конфиденциальности
;информации ограниченного доступа .реализацию права на доступ к информации
Обязанности по ЗИОбязанности по ЗИ предотвращение несанкционированного доступа
( ) , к информации и или передачи ее лицам не ;имеющим права на доступ к информации
своевременное обнаружение фактов ;несанкционированного доступа к информации
предупреждение возможности неблагоприятных последствий нарушения порядка доступа к;информации
недопущение воздействия на технические , средства обработки информации в результате ;которого нарушается их функционирование
возможность незамедлительного восстановления, информации модифицированной или
уничтоженной вследствие ;несанкционированного доступа к ней
постоянный контроль за обеспечением уровня .защищенности информации
Федеральный закон о Федеральный закон о государственной тайнегосударственной тайне
№ 5485-1 21 1993 ФЗ от июля года
Сфера действия Сфера действия : Исполнение
, органами законодательной исполнительной и судебной
,власти , организациями наделенными
в соответствии с ФЗ, полномочиями
органамиместного,самоуправления
, предприятиями учреждениями и организациями независимо от
- их организационно правовой формы иформы
собственности должностными лицами и
, гражданами РФ взявшими на себя обязательства либо
обязанными по своему статусу исполнять требования
законодательства РФ о .государственной тайне
РегламентируетРегламентирует Структурные подразделения в области
защиты информации и их полномочия Перечень сведений относящихся
государственной тайне Порядок засекречивания и определениястатуса
.Порядок рассекречивания Порядок распространения информации Порядок допуска лиц к сведениям
.содержащим государственную тайну .Процедуры контроля
Государственная тайнаГосударственная тайна защищаемые
государством сведения , в области его военной
, внешнеполитической, экономической
, разведывательнойконтрразведывательно
-й и оперативно розыскной
, деятельности распространение
которых может нанести ущерб безопасности
;РоссийскойФедерации
Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну
:сведения в военной области , о содержании стратегических и оперативных планов документов боевого управления по
, , подготовке и проведению операций стратегическому оперативному и мобилизационному , , развертываниюВооруженных Сил РоссийскойФедерации других войск воинских
, " ", формирований и органов предусмотренных Федеральным законом Об обороне об их , боевой и мобилизационной готовности о создании и об использовании мобилизационных
;ресурсов , о планах строительства Вооруженных Сил РоссийскойФедерации других войск Российской
, , Федерации о направлениях развития вооружения и военной техники о содержании и , - -результатах выполнения целевых программ научно исследовательских и опытно
конструкторских работ по созданию имодернизации образцов вооружения и военной;техники
, , , , , о разработке технологии производстве об объемах производства о хранении об , , , утилизации ядерных боеприпасов их составных частей делящихся ядерных материалов
, ( ) используемых в ядерных боеприпасах о технических средствах и или методах защиты , ядерных боеприпасов от несанкционированного применения а также о ядерных
;энергетических и специальных физических установках оборонного значения - о тактико технических характеристиках и возможностях боевого применения образцов
, , вооружения и военной техники о свойствах рецептурах или технологиях производства ;новых видов ракетного топлива или взрывчатых веществ военного назначения
, , , о дислокации назначении степени готовности защищенности режимных и особо важных, , , , объектов об их проектировании строительстве и эксплуатации а также об отводе земель
;недр и акваторий для этих объектов , , , о дислокации действительных наименованиях об организационной структуре о
, , -вооружении численности войск и состоянии их боевого обеспечения а также о военно ( ) ;политической и или оперативной обстановке
Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну
, :сведения в области экономики науки и техники о содержании планов подготовки РоссийскойФедерации и ее отдельных регионов к возможным военным
, действиям омобилизационныхмощностях промышленности по изготовлениюи ремонту вооружения и , , , , военной техники об объемах производства поставок о запасах стратегических видов сырья иматериалов а
, ;также о размещении фактических размерах и об использовании государственныхматериальных резервов об использовании инфраструктуры РоссийскойФедерации в целях обеспечения обороноспособности и
;безопасности государства , , о силах и средствах гражданской обороны о дислокации предназначении и степени защищенности
, , объектов административного управления о степени обеспечения безопасности населения о функционировании транспорта и связи в РоссийскойФедерации в целях обеспечения безопасности
;государства , ( ) , ( об объемах о планах заданиях государственного оборонного заказа о выпуске и поставках в денежном
) , , или натуральном выражении вооружения военной техники и другой оборонной продукции о наличии и , , наращиваниимощностей по их выпуску о связях предприятий по кооперации о разработчиках или об
, ;изготовителях указанных вооружения военной техники и другой оборонной продукции , - , - , о достижениях науки и техники о научно исследовательских об опытно конструкторских о проектных
, , работах и технологиях имеющих важное оборонное или экономическое значение влияющих на ;безопасность государства
, , о запасах платины металлов платиновой группы природных алмазов в Государственномфонде , драгоценныхметаллов и драгоценных камней РоссийскойФедерации Центральном банке Российской
, , , Федерации а также об объемах запасов в недрах добычи производства и потребления стратегических ( , видов полезных ископаемых РоссийскойФедерации по списку определяемомуПравительством
);РоссийскойФедерации
:сведения в области внешней политики и экономики , , о внешнеполитической внешнеэкономической деятельности РоссийскойФедерации преждевременное
;распространение которыхможет нанести ущерб безопасности государства ( о финансовой политике в отношении иностранных государств за исключением обобщенных показателей
), - , по внешней задолженности а также офинансовой или денежно кредитной деятельности ;преждевременное распространение которыхможет нанести ущерб безопасности государства
Перечень сведений, составляющих Перечень сведений, составляющих государственную тайнугосударственную тайну
, сведения в области разведывательной контрразведывательной и- :оперативно розыскной деятельности
, , , , о силах средствах об источниках о методах планах и результатах, - разведывательной контрразведывательной и оперативно розыскной
, , деятельности а также данные о финансировании этой деятельности если ;эти данные раскрывают перечисленные сведения
, о лицах сотрудничающих или сотрудничавших на конфиденциальной , , основе с органами осуществляющими разведывательную
- ;контрразведывательную и оперативно розыскную деятельность , , об организации о силах средствах и методах обеспечения безопасности
, объектов государственной охраны а также данные о финансировании этой, ;деятельности если эти данные раскрывают перечисленные сведения
, , , о системе президентской правительственной шифрованной в том числе , , , кодированной и засекреченной связи ошифрах о разработке об
, изготовлениишифров и обеспечении ими о методах и средствах анализа , -шифровальных средств и средств специальной защиты об информационно ;аналитических системах специального назначения
;о методах и средствах защиты секретной информации ;об организации и о фактическом состоянии защиты государственной тайны , о защите Государственной границы Российской Федерации
исключительной экономической зоны и континентальногошельфа ;РоссийскойФедерации
, , о расходах федерального бюджета связанных с обеспечением обороны безопасности государства и правоохранительной деятельности в
;РоссийскойФедерации , , о подготовке кадров раскрывающие мероприятия проводимые в целях
.обеспечения безопасности государства
Не подлежат засекречиваниюНе подлежат засекречиванию , чрезвычайных происшествиях и катастрофах
, угрожающих безопасности и здоровью граждан и их, , последствиях а также о стихийных бедствиях их ;официальных прогнозах и последствиях
, , , о состоянии экологии здравоохранения санитарии, , , демографии образования культуры сельского
, ;хозяйства а также о состоянии преступности , , о привилегиях компенсациях и социальных гарантиях
, предоставляемых государством гражданам , , должностным лицам предприятиям учреждениям и;организациям
о фактах нарушения прав и свобод человека и;гражданина
о размерах золотого запаса и государственных ;валютных резервах РоссийскойФедерации
о состоянии здоровья высших должностных лиц ;РоссийскойФедерации
о фактах нарушения законности органами .государственной власти и их должностными лицами
Степени секретностиСтепени секретности , Степень секретности сведений составляющих
, государственную тайну должна , соответствовать степени тяжести ущерба
который может быть нанесен безопасности РоссийскойФедерации вследствие
.распространения указанных сведений :Устанавливаются три степени
" "особой важности" " совершенно секретно" ".секретно
Использование перечисленных грифов , секретности для засекречивания сведений не
, отнесенных к государственной тайне не.допускается
Доктрина ИБ РФДоктрина ИБ РФ
Доктрина ИБ РФДоктрина ИБ РФ :Состав
, совокупность официальных взглядов на цели, задачи принципы и основные направления
обеспечения информационной безопасности РоссийскойФедерации
:Цели формирование государственной политики в
области обеспечения информационной ;безопасности РФ
подготовки предложений по совершенствованию, , - правового методического научно технического и
организационного обеспечения информационной ;безопасности РФ
разработки целевых программ обеспечения ;информационной безопасности
развивает Концепцию национальной безопасности .РФ применительно к информационной сфере
Информационная безопасностьИнформационная безопасность Под информационной безопасностью РФ понимается состояние
защищенности ее национальных интересов в информационной, сфере определяющихся совокупностью сбалансированных
, .интересов личности общества и государства Интересы личности в информационной сфере заключаются в
реализации конституционных прав человека и гражданина на , доступ к информации на использование информации в интересах
, осуществления не запрещенной законом деятельности, , физического духовного и интеллектуального развития а также в
, .защите информации обеспечивающей личную безопасность Интересы общества в информационной сфере заключаются в
, обеспечении интересов личности в этой сфере упрочении, , демократии создании правового социального государства , достижении и поддержании общественного согласия в духовном
.обновлении России Интересы государства в информационной сфере заключаются в
создании условий для гармоничного развития российской , информационной инфраструктуры для реализации конституционных прав и свобод человека и гражданина в области
получения информации и пользования ею в целях обеспечения , незыблемости конституционного строя суверенитета и
, , территориальной целостности России политической , экономической и социальной стабильности в безусловном
, обеспечении законности и правопорядка развитии равноправного и .взаимовыгодного международного сотрудничества
Основные составляющие Основные составляющие национальных интересов национальных интересов
Виды угроз информационной Виды угроз информационной безопасности РФбезопасности РФ
угрозы конституционным правам и свободам человека и гражданина в области духовнойжизни и
, , информационной деятельности индивидуальному , групповому и общественному сознанию духовному
;возрождениюРоссии угрозы информационному обеспечению
;государственной политики РоссийскойФедерации угрозы развитию отечественной индустрии
, информации включая индустрию средств, , информатизации телекоммуникации и связи
обеспечениюпотребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой
, , рынок а также обеспечениюнакопления сохранности и эффективного использования
;отечественных информационных ресурсов угрозы безопасности информационных и
, телекоммуникационных средств и систем как уже, развернутых так и создаваемых на территории
.России
Угрозы конституционным правам и Угрозы конституционным правам и свободам человека (свободам человека (I)I) принятие федеральными органами государственной
, власти органами государственной власти субъектов , Российской Федерации нормативных правовых актов
ущемляющих конституционные права и свободы граждан в области духовнойжизни и
;информационной деятельности , создание монополий на формирование получение и
распространение информации в Российской, Федерации в том числе с использованием
;телекоммуникационных систем , противодействие в том числе со стороны
, криминальных структур реализации гражданами своих конституционных прав на личную и семейную, , тайну тайну переписки телефонных переговоров и
;иных сообщений , нерациональное чрезмерное ограничение доступа к
;общественно необходимой информации
Угрозы конституционным правам и Угрозы конституционным правам и свободам человека свободам человека (II)(II) противоправное применение специальных средств
, воздействия на индивидуальное групповое и ;общественное сознание
неисполнение федеральными органами , государственной власти органами государственной
, власти субъектов РоссийскойФедерации органами , местного самоуправления организациями и
гражданами требований федерального, законодательства регулирующего отношения в ;информационной сфере
неправомерное ограничение доступа граждан к открытым информационным ресурсамфедеральных
, органов государственной власти органов государственной власти субъектов Российской
, , Федерации органов местного самоуправления к , открытым архивнымматериалам к другой открытой ;социально значимой информации
Угрозы конституционным правам и Угрозы конституционным правам и свободам человекасвободам человека (III) (III)
дезорганизация и разрушение системы накопления и , ;сохранения культурных ценностей включая архивы
нарушение конституционных прав и свобод человека и ;гражданина в области массовой информации
, вытеснение российских информационных агентств средств массовой информации с внутреннего
информационного рынка и усиление зависимости, духовной экономической и политической сфер
общественнойжизни России от зарубежных ;информационных структур
, девальвация духовных ценностей пропаганда образцов , , массовой культуры основанных на культе насилия на , духовных и нравственных ценностях противоречащих
, ;ценностям принятым в российском обществе , снижение духовного нравственного и творческого
, потенциала населения России что существенно осложнит подготовку трудовых ресурсов для внедрения и
, использования новейших технологий в том числе;информационных
( , манипулирование информацией дезинформация ).сокрытие или искажение информации
Угрозы информационному обеспечению Угрозы информационному обеспечению государственной политики государственной политики
монополизация информационного рынка, России его отдельных секторов
отечественными и зарубежными ;информационными структурами
блокирование деятельности государственных средств массовой информации по
информированию российской и зарубежной;аудитории
низкая эффективность информационного обеспечения государственной политики
РоссийскойФедерации вследствие дефицита , квалифицированных кадров отсутствия
системыформирования и реализации .государственной информационной политики
Методы обеспечения безопасностиМетоды обеспечения безопасности
Спасибо за Спасибо за внимание!внимание!