ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

67
ПРЕДМЕТ: Основы защиты информации и управление интеллектуальной собственностью ЛЕКЦИЯ № 1: Информационная безопасность. Важность проблемы. Основные понятия.

Upload: -

Post on 14-Jul-2015

159 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ПРЕДМЕТ:

Основы защиты информации и

управление интеллектуальной

собственностью

ЛЕКЦИЯ № 1:

Информационная безопасность.

Важность проблемы.

Основные понятия.

Page 2: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Информация Сведения о лицах, предметах, фактах, событиях,

явлениях и процессах

Информационный объект (ИО) – среда, в которой информация создается, передается, обрабатывается или хранится

Page 3: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 4: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 5: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 6: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 7: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 8: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 9: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 10: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности

Page 11: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

© ReignVox

Характеристики безопасности персональных данных

ОСНОВНЫЕ:

Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания)

Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения/разрушения)

Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости)

09.09.2013 11Защита персональных данных

Page 12: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

© ReignVox

Характеристики безопасности персональных данных

ДОПОЛНИТЕЛЬНЫЕ:

Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут)

Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту)

Аутентичность (идентичность объекта тому, что заявлено)

Адекватность (свойство соответствия преднамеренному поведению и результатам)

09.09.2013 12Защита персональных данных

Page 13: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Угрозы информационной безопасности

Свойство объекта, делающее возможным возникновение и реализацию угрозы

Действие злоумышленника, заключающееся в поиске и использовании той или иной уязвимости

Возможные воздействия на ИО, приводящие к ущербу

Page 14: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 15: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 16: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 17: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 18: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 19: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 20: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

КЛАССИФИКАЦИЯ МЕТОДОВ ЗИ

Page 21: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ИТ-СЕРВИСЫ ● ЛИЦЕНЗИРОВАНИЕ ● ОБУЧЕНИЕ ● КОНСАЛТИНГРоссия, Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Узбекистан, Украина, Монголия, Турция, Венесуэла, Вьетнам, Иран, Египет

Международные стандарты и практики в сфере управления ИБ

• ITIL, CobiT - Набор практик по управлению IT инфраструктурой

• ISO 15408 - Общие критерии оценки безопасности информационных технологий

• ISO 13335 - Информационные технологии. Руководство по управлению безопасностью

• ISO 18028 - Информационные технологии. Методы обеспечения безопасности

• ISO 27001 - Системы Менеджмента Информационной Безопасностью

Отраслевые банковские стандарты

• PCI DSS - стандарт защиты информации в индустрии платежных карт

• Закон Сарбейнса-Оксли (SOX) – определяет требования к системе внутреннего

контроля и прозрачности финансовой отчетности компаний

• Basel - единые стандарты ведения банковской деятельности, направленные на

снижение рисков

Page 22: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

НАРУШИТЕЛИ

КЛАССИФИКАЦИЯ

МОТИВАЦИЯ

Page 23: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Классификация нарушителей

Террористы и террористические организации

Взломщики программных продуктов ИТ

Криминальные структуры

Конкурирующие организации и структуры

Бывшие сотрудники организаций

Недобросовестные сотрудники и партнеры

Пользователи услугами (сервисами)

Спецслужбы иностранных государств и блоков государств

Page 24: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 25: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 26: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Фактически

основной персонаж

судебных

процессов

Page 27: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Время, затрачиваемое на идентификацию уязвимости

Техническая компетенция специалиста

Знание проекта и функционирования атакуемой системы

Доступ к атакуемой системе

Аппаратное обеспечение/ПО или др. оборудование

ПОТЕНЦИАЛ НАПАДЕНИЯ

Page 28: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

МЕСТЬ

ДОСТИЖЕНИЕ ДЕНЕЖНОЙ ВЫГОДЫ

ХУЛИГАНСТВО/ЛЮБОПЫТСТВО

ПРОФЕССИОНАЛЬНОЕ САМОУТВЕРЖДЕНИЕ

ПОЛИТИЧЕСКАЯ/ИДЕОЛОГИЧЕСКАЯ ВЫГОДА

МОТИВАЦИЯ НАРУШИТЕЛЕЙ

Page 29: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 30: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 31: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 32: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 33: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 34: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 35: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 36: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 37: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

min

Page 38: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

+26%

Page 39: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

+26 %

+36%

+26%

Page 40: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

90,3%

Page 41: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 42: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

8400 $

в месяц

Page 43: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

№1

№2

Page 44: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

!!!!

???

Page 45: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

21,3%

Page 46: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

А все ли так тихо и

спокойно господа?

Не знаю. Или

точнее – не уверен.

Page 47: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

около 20% сайтов

банков РБ не имеют

рейтинга

Norton Safe Web

100% сайтов банков

РБ имеющих рейтинг

Norton Safe Web

не содержат угроз

Page 48: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

около 30% сайтов

банков РБ не имеют

рейтинга

McAfee SiteAdvisor

Page 49: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков РБ

имеют предупреждения о

безопасности

(сканер Sucuri SiteCheck)

Page 50: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков

РБ имеют

инсталлированные

системы интернет-

статистики с внешним

обменом данными

(сканер Sucuri SiteCheck)

Page 51: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков

РБ имеют

инсталлированные

системы интернет-

статистики с внешним

обменом данными

(сканер Sucuri SiteCheck)

Page 52: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков

РБ имеют

инсталлированные CMS с

повышенным риском

взлома

(сканер Sucuri SiteCheck)

Page 53: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков РБ

работают на Веб-серверах с

повышенным риском ошибок

администрирования и взлома

(сканер Sucuri SiteCheck)

Page 54: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Некоторые сайты банков

РБ работают на Веб-

серверах с повышенным

риском ошибок

администрирования и

взлома

Page 55: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

№ 4-8 в рейтинге

Virustotal

99% сайтов банков РБ не

имеют уязвимостей по

файлам загрузки

/тестировано - Virustotal/

Page 56: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Официальный сайт

ЧМ-2014 по хоккею с

шайбой

{работает на Веб-

серверах с

повышенным риском

ошибок

администрирования и

взлома}

(сканер Virustotal)

Page 57: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Официальный сайт

ЧМ-2014 по хоккею с

шайбой

{версия 5.3.3-7+squeeze15

является безопасной и в ней

закрыты все уязвимости,

известные на текущий

момент}

(сканер Sucuri SiteCheck)

Page 58: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ПЕРСОНАЛ

АКТУАЛЬНОСТЬ ПРОБЛЕМЫ

Page 59: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ПЕРСОНАЛ

(вакансии по IT-технологиям, интернет, телеком)

Беларусь, Украина, Россия

Опыт: 1-3 года

Page 60: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ПЕРСОНАЛ

(вакансии по IT-технологиям, интернет, телеком)

Беларусь, Украина, Россия

Беларусь: 1.709

Украина: 3.472

Россия: 25.523

Page 61: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ПРОГНОЗ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В БЕЛАРУСИ

2013 - 2014

Page 62: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

январь 2013 – …. 2014

Page 63: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Winlock

кто

следующий?

январь 2013 – …. 2014

Page 64: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

ATMs fraud

кто

следующий?

апрель 2013 - .… 2014

Page 65: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

14%6%

1%

78%

Разработчики шлюзов ЕРИП

IBA

Собственная

разработка

1% ЛВО

Софтклуб

Бисмарт

сертификация и

экспертиза по ИБ?

кто

следующий?

июль 2013 – …. 2014!

Page 66: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия
Page 67: ОЗИ_лекция_01: ИБ. Важность проблемы. Основные понятия

Вопросы