Презентация ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ корпоративных информационных систем

Сентябрь 3, 2022

Главная
Алгебра
Презентация ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ корпоративных информационных систем

Содержание

2. 1. Угрозы Рис. 1. Условия использования информации Под информационной безопасностью понимается защищенность ресурсов ИС от факторов,
3. Виды угроз информационных систем Рис. 2. Виды угроз ИС
4. I. Базовые принципы защищенности ИС : 1.Наличие и полнота политики безопасности 2. Гарантированность безопасности
5. Политика безопасности организации (organizational security policies) — совокупность руководящих принциповorganizational security policies) — совокупность руководящих принципов,
6. Гарантированность безопасности - мера доверия, которая может быть оказана архитектуре и реализации системы
7. Стандарты безопасности: Критерии оценки компьютерных систем Министерства обороны США («Оранжевая книга») 1988г Международный стандарт ИСО/МЭК 15408-99
8. II.Подходы к обоснованию проекта подсистемы обеспечения безопасности 1) - проверка соответствия уровня защищенности ИС требованиям одного
9. Принцип «разумной достаточности» абсолютно непреодолимой защиты создать невозможно; необходимо соблюдать баланс между затратами на защиту и
10. Размер ущерба от реализации угрозы в отношении ресурса зависит от: стоимости ресурса, который подвергается риску. степени
11. ОЖИДАЕМЫЕ СУММАРНЫЕ ЗАТРАТЫ Затраты на средства защиты Ожидаемые потери от атак Уровень защищенности Затраты Оптимальный уровень
12. III. Управление рисками в системе обеспечения информационной безопасности Модель системы защиты с полным перекрытием
13. модель защищенной системы – система обеспечения безопасности Клементса S={О,T,M,V,B}, где О - набор защищаемых объектов; Т
14. Таким образом, система с полным перекрытием - это система, в которой имеются средства защиты на каждый
15. В системах с неполным перекрытием: Надежность барьера характеризуется величиной остаточного риска :
16. IV. ТРЕБОВАНИЯ К АРХИТЕКТУРЕ ИС С ТОЧКИ ЗРЕНИЯ ИБ: Проектирование ИС на принципах открытых систем Непрерывность
17. V. ИНТЕГРАЛЬНАЯ БЕЗОПАСНОСТЬ ИС ИИБ − это состояние условий функционирования человека, объектов, технических средств и систем,
18. Понятия безопасности и их взаимосвязь в соответствии с ГОСТ Р ИСО/МЭК 15408-2002
20. Скачать презентацию

Слайд 2

1. Угрозы
Рис. 1. Условия использования информации
Под информационной безопасностью понимается защищенность ресурсов

ИС от факторов, представляющих угрозу для конфиденциальности, целостности и доступности информации

Слайд 3

Виды угроз информационных систем
Рис. 2. Виды угроз ИС

Слайд 4

I. Базовые принципы защищенности ИС :
1.Наличие и полнота политики безопасности
2. Гарантированность

безопасности

Слайд 5

Политика безопасности организации
(organizational security policies) — совокупность руководящих принциповorganizational security policies)

— совокупность руководящих принципов, правилorganizational security policies) — совокупность руководящих принципов, правил, процедурorganizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмовorganizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов

Слайд 6

Гарантированность безопасности - мера доверия, которая может быть оказана архитектуре и

реализации системы

Слайд 7

Стандарты безопасности:
Критерии оценки компьютерных систем Министерства обороны США («Оранжевая книга») 1988г
Международный

стандарт ИСО/МЭК 15408-99 ( «Общие критерии» )

ГОСТ Р ИСО/МЭК 15408-2002
«Критерии оценки безопасности информационных технологий»

Международный стандарт ISO/IEC 17799-2000
«Практические правила управления информационной
безопасностью»

Стандарты и спецификации − одна из форм накопления знаний о процедурном и программно−техническом уровнях информационной безопасности и ИС.
Стандарты и спецификации являются основными средствами обеспечения взаимной совместимости аппаратно−программных средств и их компонентов.

Слайд 8

II.Подходы к обоснованию проекта подсистемы обеспечения безопасности
1) - проверка

соответствия уровня защищенности ИС требованиям одного из стандартов в области информационной безопасности;
где Сi - затраты на i-е средство защиты
2) - оценка и управление рисками

Риском в сфере ИБ будем называть потенциальную возможность понести убытки из-за нарушения безопасности информационной системы (ИС).

Слайд 9

Принцип «разумной достаточности»
абсолютно непреодолимой защиты создать невозможно;
необходимо соблюдать баланс между затратами

на защиту и получаемым эффектом, в т.ч. и экономическим, заключающимся в снижении потерь от нарушений безопасности;
стоимость средств защиты не должна превышать стоимости защищаемой информации (или других ресурсов - аппаратных, программных);
затраты нарушителя на несанкционированный доступ к информации должны превышать тот эффект, который он получит, осуществив подобный доступ.

Слайд 10

Размер ущерба от реализации угрозы в отношении ресурса зависит от:
стоимости

ресурса, который подвергается риску.
степени разрушительности воздействия на ресурс, выражаемой в виде коэффициента разрушительности. Как правило, указанный коэффициент лежит в диапазоне от 0 до 1.
Оценка= (Стоимость ресурса)*(Коэф. Разрушительности)
Стоимость риска=(Частота)*(Вероятность)*(Стоимость ресурса)*(Коэф. Разрушительности).

Слайд 11

ОЖИДАЕМЫЕ СУММАРНЫЕ ЗАТРАТЫ
Затраты на средства защиты
Ожидаемые потери от атак
Уровень защищенности
Затраты
Оптимальный уровень

защищенности

Слайд 12

III. Управление рисками в системе обеспечения информационной безопасности
Модель системы защиты с

полным перекрытием

Слайд 13

модель защищенной системы – система обеспечения безопасности Клементса
S={О,T,M,V,B}, где
О

- набор защищаемых объектов;
Т - набор угроз;
М - набор средств обеспечения безопасности;
V - набор уязвимых мест = отображение ТxO на набор упорядоченных пар Vi=(ti, oj ), представляющих собой пути проникновения в систему;
В - набор барьеров = отображение VxM или ТxОxМ на набор упорядоченных троек bi=(ti, oj, mk) представляющих собой точки, в которых требуется осуществлять защиту в системе.

Слайд 14

Таким образом, система с полным перекрытием - это система, в которой

имеются средства защиты на каждый возможный путь проникновения.

(ti,oj)

V, то

(ti,oj,mk)

В.

Слайд 15

В системах с неполным перекрытием:
Надежность барьера характеризуется величиной остаточного риска :

Слайд 16

IV. ТРЕБОВАНИЯ К АРХИТЕКТУРЕ ИС С ТОЧКИ ЗРЕНИЯ ИБ:
Проектирование ИС на

принципах открытых систем
Непрерывность защиты в пространстве и времени
Усиление самого слабого звена, минимизация привилегий доступа
Эшелонирование обороны. Разнообразие защитных средств,
Простота и управляемость ИС и системой ее безопасности

Слайд 17

V. ИНТЕГРАЛЬНАЯ БЕЗОПАСНОСТЬ ИС
ИИБ − это состояние условий функционирования человека, объектов,

технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывной совокупности различных информационных процессов.

Слайд 18

Понятия безопасности и их взаимосвязь в соответствии с ГОСТ Р ИСО/МЭК

15408-2002

Презентация ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ корпоративных информационных систем

Содержание

1. УгрозыРис. 1. Условия использования информацииПод информационной безопасностью понимается защищенность ресурсов

Виды угроз информационных системРис. 2. Виды угроз ИС

I. Базовые принципы защищенности ИС :1.Наличие и полнота политики безопасности 2. Гарантированность

Политика безопасности организации(organizational security policies) — совокупность руководящих принциповorganizational security policies)

Гарантированность безопасности - мера доверия, которая может быть оказана архитектуре и

Стандарты безопасности:Критерии оценки компьютерных систем Министерства обороны США («Оранжевая книга») 1988гМеждународный

II.Подходы к обоснованию проекта подсистемы обеспечения безопасности 1) - проверка

Принцип «разумной достаточности»абсолютно непреодолимой защиты создать невозможно;необходимо соблюдать баланс между затратами

Размер ущерба от реализации угрозы в отношении ресурса зависит от: стоимости

ОЖИДАЕМЫЕ СУММАРНЫЕ ЗАТРАТЫЗатраты на средства защитыОжидаемые потери от атакУровень защищенностиЗатратыОптимальный уровень

III. Управление рисками в системе обеспечения информационной безопасностиМодель системы защиты с

модель защищенной системы – система обеспечения безопасности Клементса S={О,T,M,V,B}, где О