ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
TRANSCRIPT
ПРЕДМЕТ:
Основы защиты информации и
управление интеллектуальной
собственностью
ЛЕКЦИЯ № 1:
Информационная безопасность.
Важность проблемы.
Основные понятия.
Информация Сведения о лицах, предметах, фактах, событиях,
явлениях и процессах
Информационный объект (ИО) – среда, в которой информация создается, передается, обрабатывается или хранится
Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности
© ReignVox
Характеристики безопасности персональных данных
ОСНОВНЫЕ:
Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания)
Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения/разрушения)
Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости)
09.09.2013 11Защита персональных данных
© ReignVox
Характеристики безопасности персональных данных
ДОПОЛНИТЕЛЬНЫЕ:
Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут)
Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту)
Аутентичность (идентичность объекта тому, что заявлено)
Адекватность (свойство соответствия преднамеренному поведению и результатам)
09.09.2013 12Защита персональных данных
Угрозы информационной безопасности
Свойство объекта, делающее возможным возникновение и реализацию угрозы
Действие злоумышленника, заключающееся в поиске и использовании той или иной уязвимости
Возможные воздействия на ИО, приводящие к ущербу
КЛАССИФИКАЦИЯ МЕТОДОВ ЗИ
ИТ-СЕРВИСЫ ● ЛИЦЕНЗИРОВАНИЕ ● ОБУЧЕНИЕ ● КОНСАЛТИНГРоссия, Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Узбекистан, Украина, Монголия, Турция, Венесуэла, Вьетнам, Иран, Египет
Международные стандарты и практики в сфере управления ИБ
• ITIL, CobiT - Набор практик по управлению IT инфраструктурой
• ISO 15408 - Общие критерии оценки безопасности информационных технологий
• ISO 13335 - Информационные технологии. Руководство по управлению безопасностью
• ISO 18028 - Информационные технологии. Методы обеспечения безопасности
• ISO 27001 - Системы Менеджмента Информационной Безопасностью
Отраслевые банковские стандарты
• PCI DSS - стандарт защиты информации в индустрии платежных карт
• Закон Сарбейнса-Оксли (SOX) – определяет требования к системе внутреннего
контроля и прозрачности финансовой отчетности компаний
• Basel - единые стандарты ведения банковской деятельности, направленные на
снижение рисков
НАРУШИТЕЛИ
КЛАССИФИКАЦИЯ
МОТИВАЦИЯ
Классификация нарушителей
Террористы и террористические организации
Взломщики программных продуктов ИТ
Криминальные структуры
Конкурирующие организации и структуры
Бывшие сотрудники организаций
Недобросовестные сотрудники и партнеры
Пользователи услугами (сервисами)
Спецслужбы иностранных государств и блоков государств
Фактически
основной персонаж
судебных
процессов
Время, затрачиваемое на идентификацию уязвимости
Техническая компетенция специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или др. оборудование
ПОТЕНЦИАЛ НАПАДЕНИЯ
МЕСТЬ
ДОСТИЖЕНИЕ ДЕНЕЖНОЙ ВЫГОДЫ
ХУЛИГАНСТВО/ЛЮБОПЫТСТВО
ПРОФЕССИОНАЛЬНОЕ САМОУТВЕРЖДЕНИЕ
ПОЛИТИЧЕСКАЯ/ИДЕОЛОГИЧЕСКАЯ ВЫГОДА
МОТИВАЦИЯ НАРУШИТЕЛЕЙ
min
+26%
+26 %
+36%
+26%
90,3%
8400 $
в месяц
№1
№2
!!!!
???
21,3%
А все ли так тихо и
спокойно господа?
Не знаю. Или
точнее – не уверен.
около 20% сайтов
банков РБ не имеют
рейтинга
Norton Safe Web
100% сайтов банков
РБ имеющих рейтинг
Norton Safe Web
не содержат угроз
около 30% сайтов
банков РБ не имеют
рейтинга
McAfee SiteAdvisor
Некоторые сайты банков РБ
имеют предупреждения о
безопасности
(сканер Sucuri SiteCheck)
Некоторые сайты банков
РБ имеют
инсталлированные
системы интернет-
статистики с внешним
обменом данными
(сканер Sucuri SiteCheck)
Некоторые сайты банков
РБ имеют
инсталлированные
системы интернет-
статистики с внешним
обменом данными
(сканер Sucuri SiteCheck)
Некоторые сайты банков
РБ имеют
инсталлированные CMS с
повышенным риском
взлома
(сканер Sucuri SiteCheck)
Некоторые сайты банков РБ
работают на Веб-серверах с
повышенным риском ошибок
администрирования и взлома
(сканер Sucuri SiteCheck)
Некоторые сайты банков
РБ работают на Веб-
серверах с повышенным
риском ошибок
администрирования и
взлома
№ 4-8 в рейтинге
Virustotal
99% сайтов банков РБ не
имеют уязвимостей по
файлам загрузки
/тестировано - Virustotal/
Официальный сайт
ЧМ-2014 по хоккею с
шайбой
{работает на Веб-
серверах с
повышенным риском
ошибок
администрирования и
взлома}
(сканер Virustotal)
Официальный сайт
ЧМ-2014 по хоккею с
шайбой
{версия 5.3.3-7+squeeze15
является безопасной и в ней
закрыты все уязвимости,
известные на текущий
момент}
(сканер Sucuri SiteCheck)
ПЕРСОНАЛ
АКТУАЛЬНОСТЬ ПРОБЛЕМЫ
ПЕРСОНАЛ
(вакансии по IT-технологиям, интернет, телеком)
Беларусь, Украина, Россия
Опыт: 1-3 года
ПЕРСОНАЛ
(вакансии по IT-технологиям, интернет, телеком)
Беларусь, Украина, Россия
Беларусь: 1.709
Украина: 3.472
Россия: 25.523
ПРОГНОЗ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
В БЕЛАРУСИ
2013 - 2014
январь 2013 – …. 2014
Winlock
кто
следующий?
январь 2013 – …. 2014
ATMs fraud
кто
следующий?
апрель 2013 - .… 2014
14%6%
1%
78%
Разработчики шлюзов ЕРИП
IBA
Собственная
разработка
1% ЛВО
Софтклуб
Бисмарт
сертификация и
экспертиза по ИБ?
кто
следующий?
июль 2013 – …. 2014!
Вопросы