- Главная
- Информатика
- Информационная безопасность. Тема № 11
Содержание
- 2. Безопасность электронных ресурсов, систем и процессов Тема
- 3. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ РЕСУРСОВ, СИСТЕМ И ПРОЦЕССОВ О соотношении понятий информационная и кибернетическая безопасность. Философия информационной безопасности
- 5. отсутствие международно-правовой основы запрещающей применение информационного оружия и проведение информационных операций; несовершенство нормативной правовой основы устанавливающей
- 6. создание и применение специальных сил и средств негативного воздействия на информационную инфраструктуру; существование специальных образцов вредоносного
- 7. Что такое кибернетические угрозы? УГРОЗЫ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ Объект кибернетической безопасности – процесс управления Кибернетические
- 8. АКТУАЛЬНЫЕ ТИПЫ КИБЕРУГРОЗ ОТСУТСТВИЕ ПРИВАТНОСТИ ДЕЯТЕЛЬНОСТЬ КИБЕРПРЕСТУПНИКОВ ИНТЕРНЕТ-ЗАВИСИМОСТЬ НОВОГО ПОКОЛЕНИЯ СОЦИАЛЬНЫЕ СЕТИ КИБЕРНЕТИЧЕСКОЕ ПРОТИВОБОРСТВО УГРОЗЫ В
- 16. ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ ТИПОВЫЕ ПУТИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
- 17. ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК
- 18. ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК
- 19. Самый популярный вектор атаки – заход на компьютер клиента банка с последующим хищением или использованием ключа
- 20. ДВЕ ТИПОВЫЕ МОДЕЛИ ПОВЕДЕНИЯ НАРУШИТЕЛЯ «Классический хакер» сканирование сервисов, поиск устаревших версий ПО, поиск уязвимостей в
- 21. ОСНОВНАЯ СХЕМА МОШЕННИЧЕСКИХ МАХИНАЦИИЙ С ИСПОЛЬЗОВАНИЕМ ИНТЕРНЕТ БАНК-КЛИЕНТОВ Хаотичное заражение большого количества ПК вредоносным программным обеспечением,
- 22. ОСНОВНЫЕ ПРИЧИНЫ УСПЕХА МОШЕННИЧЕСКИХ ДЕЙСТВИЙ Недостаточное внимание клиентов банка к информационной безопасности. Недостаточная компьютерная грамотность персонала,
- 23. ИНФОРМАЦИОННЫЕ РЕСУРСЫ – ОТДЕЛЬНЫЕ ДОКУМЕНТЫ И МАССИВЫ ДОКУМЕНТОВ В БИБЛИОТЕКАХ, АРХИВАХ, ФОНДАХ, БАНКАХ ДАННЫХ И ДРУГИХ
- 24. МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИММЕТРИЧНОЕ ШИФРОВАНИЕ отправитель и получатель владеют одним и тем же ключом (секретным), с
- 25. ПЕРСПЕКТИВЫ В ДЕЛЕ ЗАЩИТЫ ОТ НСД Вектор защиты — от противодействия "внешним" хакерским нападениям к защите
- 27. ДЕЯТЕЛЬНОСТЬ ЛИЦ ПО НАНЕСЕНИЮ УЩЕРБА КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛ
- 28. МОТИВЫ КИБЕРПРЕСТУПЛЕНИЙ
- 29. УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ КОМПЬЮТЕРНЫХ ДАННЫХ И СИСТЕМ
- 30. УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ КОМПЬЮТЕРНЫХ ДАННЫХ И СИСТЕМ
- 31. ОБЩЕУГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ Ст. 158 Кража – тайное хищение чужого имущества Ст. 159
- 32. ОСНОВНЫЕ ИСТОЧНИКИ ПРОБЛЕМ ПЕРСОНАЛА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОММУНИКАТИВНЫЕ ОСОБЕННОСТИ Люди склонны обсуждать свои животрепещущие проблемы
- 33. ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА У информационной безопасности большинства предприятий оказывается «семь нянек»: администрация,
- 34. ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ, ПРОВОДИМОГО СОВМЕСТНО ИНСТИТУТОМ КОМПЬЮТЕРНОЙ
- 35. ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ, ПРОВОДИМОГО СОВМЕСТНО ИНСТИТУТОМ КОМПЬЮТЕРНОЙ
- 36. ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА ИЗ СТАНДАРТА БАНКА РОССИИ «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ
- 37. ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА ИЗ СТАНДАРТА ISO 17779 «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ»: Условия
- 38. МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ ПОЛИТИКА БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ - совокупность руководящих принципов, правил, процедур, практических приемов или
- 39. МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эти три
- 40. МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ МОДЕЛЬ ИЗБИРАТЕЛЬНОГО (ДИСКРЕЦИОННОГО) ДОСТУПА Множество потоков информации, характеризующих легальный доступ, задается явным
- 41. МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ МОДЕЛЬ ПОЛНОМОЧНОГО (МАНДАТНОГО) ДОСТУПА Множество потоков информации, характеризующих легальный доступ, задается неявным
- 42. МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ МОДЕЛЬ РОЛЕВОГО (ТИПИЗОВАННОГО) ДОСТУПА Множество потоков информации, характеризующих легальный доступ, задается через
- 43. ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Профилактика возможных угроз.
- 44. ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников
- 45. АРХИТЕКТУРА СТАНДАРТОВ ЗАЩИТЫ ИНФОРМАЦИИ ОБОБЩЕННАЯ АРХИТЕКТУРА СТАНДАРТОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ К категории I («Менеджмент ИБ»)
- 46. ВЗАИМОДЕЙСТВИЕ СЛУЖБЫ БЕЗОПАСНОСТИ С ПОДРАЗДЕЛЕНИЯМИ ИТ ОБЕСПЕЧЕНИЯ ПРЕДПРИЯТИЯ. ОСНОВА ВЗАИМОДЕЙСТВИЯ – ПРАВИЛО ДВУХ КЛЮЧЕЙ СПЕЦИАЛЬНЫЕ ФУНКЦИИ
- 47. ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ИБ Должен обладать: надежностью и честностью; ответственностью и объективностью; знаниями, умениями и навыками в
- 48. СООТНОШЕНИЕ СОБСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И ИСПОЛЬЗОВАНИЕ УСЛУГ АУТСОРСИНГА. ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПАНИИ-АУТСОРСЕРУ Естественно, в первую очередь, это
- 51. Скачать презентацию
Безопасность электронных ресурсов, систем и процессов
Тема
Безопасность электронных ресурсов, систем и процессов
Тема
БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ РЕСУРСОВ, СИСТЕМ И ПРОЦЕССОВ
О соотношении понятий информационная и кибернетическая
БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ РЕСУРСОВ, СИСТЕМ И ПРОЦЕССОВ
О соотношении понятий информационная и кибернетическая
Философия информационной безопасности бизнеса.
Угрозы в сфере кибернетической безопасности бизнеса.
Системные угрозы кибернетической безопасности предприятия. Электронный шпионаж.
Деятельность отдельных лиц по нанесению ущерба кибернетической безопасности.
Уголовные преступления в сфере кибернетической безопасности.
Проблемы персонала и противодействие угрозам информационной безопасности бизнеса со стороны персонала.
Модели организации кибернетической безопасности предприятия.
Построение систем и аудит их эффективности.
Архитектура стандартов защиты информации и принципиальные подходы к их правовому обеспечению. Взаимодействие службы безопасности (через функцию информационной безопасности) с подразделением ИТ обеспечения предприятия.
Особенности подбора персонала, осуществляющего функцию обеспечения безопасности электронных ресурсов, систем и процессов.
отсутствие международно-правовой основы запрещающей применение информационного оружия и проведение информационных операций;
несовершенство
несовершенство
разработка отдельными государствами доктрин и стратегий наступательных и подрывных действий в информационном пространстве;
интенсивное развитие военных информационных технологий, в том числе средств поражения систем управления гражданского и военного назначения;
нивелирование роли международных организаций и их органов, в области обеспечения международной информационной безопасности;
создание и применение специальных сил и средств негативного воздействия на информационную
существование специальных образцов вредоносного программного обеспечения поражающего автоматизированные системы управления промышленных и других объектов критически важной инфраструктуры;
появление форм гражданского неповиновения связанных с посягательствами на информационную инфраструктуру в знак протеста против политики государства и деятельности органов власти;
проникновение информационных технологий во все сферы государственной и общественной жизни, построение на их основе систем государственного и военного управления;
развитие государственных проектов и программ в сфере информатизации (электронный документооборот, межведомственное электронное взаимодействие, универсальные электронные карты, предоставление государственных услуг в электронной форме) направленных на формирование информационного общества
Что такое кибернетические угрозы?
УГРОЗЫ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
Объект кибернетической безопасности –
Что такое кибернетические угрозы?
УГРОЗЫ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
Объект кибернетической безопасности –
Кибернетические угрозы – явления, деяния, условия, факторы, представляющие опасность для информации управления, инфраструктуры управления, субъектов управления и порядка управления.
Опасность заключается в возможности нарушения свойств одного, либо нескольких указанных элементов, что может привести к нарушению управления.
АКТУАЛЬНЫЕ ТИПЫ КИБЕРУГРОЗ
ОТСУТСТВИЕ ПРИВАТНОСТИ
ДЕЯТЕЛЬНОСТЬ КИБЕРПРЕСТУПНИКОВ
ИНТЕРНЕТ-ЗАВИСИМОСТЬ НОВОГО ПОКОЛЕНИЯ
СОЦИАЛЬНЫЕ СЕТИ
КИБЕРНЕТИЧЕСКОЕ ПРОТИВОБОРСТВО
УГРОЗЫ В
АКТУАЛЬНЫЕ ТИПЫ КИБЕРУГРОЗ
ОТСУТСТВИЕ ПРИВАТНОСТИ
ДЕЯТЕЛЬНОСТЬ КИБЕРПРЕСТУПНИКОВ
ИНТЕРНЕТ-ЗАВИСИМОСТЬ НОВОГО ПОКОЛЕНИЯ
СОЦИАЛЬНЫЕ СЕТИ
КИБЕРНЕТИЧЕСКОЕ ПРОТИВОБОРСТВО
УГРОЗЫ В
ИНФОРМАЦИЯ ДЛЯ УПРАВЛЕНИЯ
ИНФРАСТРУКТУРА УПРАВЛЕНИЯ
СУБЪЕКТЫ УПРАВЛЕНИЯ
ПОРЯДОК УПРАВЛЕНИЯ
О П А С Н О С Т Ь
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ТИПОВЫЕ ПУТИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
перехват электронных излучений;
принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции;
применение подслушивающих устройств (закладок);
дистанционное фотографирование;
перехват акустических излучений и восстановление текста принтера;
хищение носителей информации и документальных отходов;
чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
копирование носителей информации с преодолением мер защиты;
маскировка под зарегистрированного пользователя;
мистификация (маскировка под запросы системы);
использование программных ловушек;
использование недостатков языков программирования и операционных систем;
включение в библиотеки программ специальных блоков типа "Троянский конь";
незаконное подключение к аппаратуре и линиям связи;
злоумышленный вывод из строя механизмов защиты;
внедрение и использование компьютерных вирусов.
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК
Почтовая бомбардировка
Атаки с подбором пароля
Вирусы, почтовые черви и "троянские кони"
Сетевая разведка
Производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с помощью DNS адресов и т. д
Сниффинг пакетов
Сниффер перехватывает все сетевые пакеты, которые передаются через атакуемый домен.
IP-спуфинг - вид атаки, при которой хакер внутри организации или за ее пределами выдает себя за санкционированного пользователя.
IP-спуфинг часто используется как составная часть более сложной, комплексной атаки. Типичный пример — атака DDoS, для осуществления которой хакер обычно размещает соответствующую программу на чужом IP-адресе, чтобы скрыть свою истинную личность.
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ
ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК (продолжение)
Атака на отказ в обслуживании
Основная защита: трафик, предназначенный для переполнения атакуемой сети, необходимо "отсекать" у провайдера услуг Интернет.
Когда атака этого типа проводится одновременно через множество устройств, говорится о распределенной атаке DoS (Distributed Denial of Service — DDoS).
Основные способы защиты:
Правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки.
Включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах.
Ограничить объем проходящего по Сети некритического трафика. Об этом уже нужно договариваться со своим Интернет-провайдером.
Атаки типа Man-in-the-Middle
Использование "дыр" и "багов" в ПО
Самый популярный вектор атаки – заход на компьютер клиента банка с
Ситуация усугубляется использование однотипного программного обеспечения для доступа к ДБО.
ФАКТИЧЕСКИ БАНК НЕ МОЖЕТ ВЛИЯТЬ НА БЕЗОПАСНОСТЬ КЛИЕНТА!
Способы повышения защищенности:
Навязать клиенту USB-Token и выполнить привязку его IP-адреса.
Алгоритмы двухфакторной авторизации, вроде использования карточки одноразовых паролей или SMS - уведомлений.
КАК СНИЗИТЬ РИСКИ ПРАКТИЧЕСКИ ДО МИНИМУМА?
Отделить рабочую станцию с «банк-клиентом» межсетевым экраном от локальной сети
Сделать доступ с этой рабочей станции только на IP-адрес банка
Удалить с компьютера все ненужное ПО
Не держать USB-Token постоянно включенным в компьютер,
ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК, ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.
ДВЕ ТИПОВЫЕ МОДЕЛИ ПОВЕДЕНИЯ НАРУШИТЕЛЯ
«Классический хакер»
сканирование сервисов,
поиск устаревших версий
«Классический хакер»
сканирование сервисов,
поиск устаревших версий
поиск уязвимостей в системе аутентификации,
поиск уязвимостей в доступных web-приложениях.
Нарушитель является законным пользователем системы:
у него есть своя учетная запись, свой счёт и все права на него
он пытается исследовать систему в надежде найти уязвимости.
CROSS-SITE SCRIPTING
Уязвимость позволяет атакующему влиять на генерируемое содержимое web-страницы системы интернет-банка
злоумышленник может использовать ресурс банка для атаки на клиента. В сочетании с «Фишингом» эта атака становится более опасной, так как домен и IP-адрес действительно принадлежат банку.
SQL-ИНЪЕКЦИЯ
Общение с базой данных системы интернет-клиент в обход правил системы
Результат - утечка или изменение базы клиентов, их счетов, номеров пластиковых карт, платежных поручений, паролей от системы, и т.п.
ОШИБКИ БИЗНЕС ЛОГИКИ
Пример: при конвертации валюты скрипт генерирует курс и просит пользователя ввести сумму, которую он хочет обменять. Если при этом не происходит дополнительной проверки курса, то злоумышленник может поменять курс по своему усмотрению, из-за чего конвертация может пройти с неправильным курсом.
ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК, ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.
ОСНОВНАЯ СХЕМА МОШЕННИЧЕСКИХ МАХИНАЦИИЙ
С ИСПОЛЬЗОВАНИЕМ ИНТЕРНЕТ БАНК-КЛИЕНТОВ
Хаотичное заражение большого количества
С ИСПОЛЬЗОВАНИЕМ ИНТЕРНЕТ БАНК-КЛИЕНТОВ
Хаотичное заражение большого количества
Если в список зараженных ПК попадает машина, с которой осуществляются банковские операции, данный факт регистрируется, и на нее закачиваются дополнительные модули, необходимые для кражи электронных ключей и аутентификационной информации. Часто применяются различные кейлоггеры, средства удаленного управления (Teamviewer, VNC, Remote Admin), вредоносные модули, предназначенные специально для извлечения ключей из реестра и внешних носителей.
Как только необходимая информация собирается, она передается злоумышленникам, которые проверяют возможность авторизации и проведения платежных поручений.
Как только вся необходимая информация для проведения мошенничества готова, злоумышленники прилагают усилия для того, чтобы скрыть следы преступления от жертвы. Применяются различные методы, начиная от нарушения функционирования ПК, с которого были похищены ключи, заканчивая DDoS-атаками на сервер банк-клиента. Цель данных действий – максимально отсрочить момент обнаружения факта преступления, чтобы деньги успели перевестись на подставные фирмы.
Деньги выводятся через цепочку счетов подставных компаний или пластиковые карточки физических лиц. Наиболее часто обналичивание производится в районе Урала и Западной Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др.
ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК, ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.
ОСНОВНЫЕ ПРИЧИНЫ УСПЕХА МОШЕННИЧЕСКИХ ДЕЙСТВИЙ
Недостаточное внимание клиентов банка к информационной безопасности.
Недостаточное внимание клиентов банка к информационной безопасности.
Применение дискет и флеш-накопителей, а также ключей реестра для хранения ключевой информации вместо токенов. Отсутствие процедуры аутентификации по одноразовым паролям. Отсутствие разграничения доступа к счетам по IP-адресу клиента.
Неэффективная работа anti-fraud систем и процедур в банках. Отсутствие или некорректная работа процедуры валидации получателя платежа, отсутствие мониторинга профиля финансовой активности клиента с целью выявления подозрительных транзакций, отсутствие межбанковского обмена информацией по мошенничествам.
ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК, ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.
ИНФОРМАЦИОННЫЕ РЕСУРСЫ – ОТДЕЛЬНЫЕ ДОКУМЕНТЫ И МАССИВЫ ДОКУМЕНТОВ
В БИБЛИОТЕКАХ, АРХИВАХ, ФОНДАХ,
ИНФОРМАЦИОННЫЕ РЕСУРСЫ – ОТДЕЛЬНЫЕ ДОКУМЕНТЫ И МАССИВЫ ДОКУМЕНТОВ
В БИБЛИОТЕКАХ, АРХИВАХ, ФОНДАХ,
МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
СИММЕТРИЧНОЕ ШИФРОВАНИЕ
отправитель и получатель владеют одним и тем же
МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
СИММЕТРИЧНОЕ ШИФРОВАНИЕ
отправитель и получатель владеют одним и тем же
Недостатки:
очень сложно найти безопасный механизм, при помощи которого отправитель и получатель смогут тайно от других выбрать ключ. Возникает проблема безопасного распространения секретных ключей;
для каждого адресата необходимо хранить отдельный секретный ключ;
в схеме симметричного шифрования невозможно гарантировать личность отправителя, поскольку два пользователя владеют одним ключом.
ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ
для шифрования послания используются два различных ключа. При помощи одного из них послание зашифровывается, а при помощи второго – расшифровывается.
Недостатки:
необходимость использования более длинных, чем при симметричном шифровании, ключей для обеспечения эквивалентного уровня безопасности, что сказывается на вычислительных ресурсах, требуемых для организации процесса шифрования.
КРИПТОГРАФИЯ
Количество возможных ключей для алгоритма зависит от числа бит в ключе. Например,8-битный ключ допускает 256 (28) комбинаций ключей. Чем больше возможных комбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифровано послание. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что в настоящее время не под силу даже самым мощным компьютерам.
ЭЛЕКТРОННАЯ ПОДПИСЬ
Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число – порядковый номер. При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определённые права отправителем.
АУТЕНТИФИКАЦИЯ
Схема ЛОГИН – ПАРОЛЬ
Схема ОДНОРАЗОВЫЕ ПАРОЛИ
Схема S/Key
Биометрическая аутентификация
ПЕРСПЕКТИВЫ В ДЕЛЕ ЗАЩИТЫ ОТ НСД
Вектор защиты — от противодействия "внешним"
Вектор защиты — от противодействия "внешним"
Акцент на аппаратные средства защиты от хакерских атак. На рынке появится новый класс сетевого оборудования — "защитные сервисные коммутаторы" для комплексной защиты компьютерных сетей. Сейчас основная тяжесть все равно ложится на специализированное программное обеспечение.
Стремительное развитие рынка услуг по защищенной доставке цифрового контента и защите самого контента от нелегального копирования и несанкционированного использования.
Широкое применение систем биометрической аутентификации (по сетчатке глаза, отпечаткам пальцев, голосу и т.д.), в том числе и комплексных.
Быстрый рост ожидает рынок интеллектуальных услуг сетевой защиты. Это связано с тем, что новые концепции защиты IT-систем от хакеров акцентируют внимание не столько на реагирование на уже произошедшие события/атаки, а на их прогнозирование, предупреждение и проведение упреждающих и профилактических мероприятий.
Существенно повысится спрос на коммерческие системы криптошифрования передаваемых данных, включая "индивидуальные" разработки для конкретных компаний с учетом их сфер деятельности.
На рынке решений по IT-безопасности будет происходить постепенный отход от "систем стандартной комплектации", в связи с чем возрастет спрос на консалтинговые услуги по разработке концепций информационной безопасности и построению систем управления информационной безопасностью для конкретных заказчиков.
ДЕЯТЕЛЬНОСТЬ ЛИЦ ПО НАНЕСЕНИЮ УЩЕРБА КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛ
ДЕЯТЕЛЬНОСТЬ ЛИЦ ПО НАНЕСЕНИЮ УЩЕРБА КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛ
МОТИВЫ КИБЕРПРЕСТУПЛЕНИЙ
МОТИВЫ КИБЕРПРЕСТУПЛЕНИЙ
УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ
УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С КОНТЕНТОМ
КОНВЕНЦИЯ О КИБЕРПРЕСТУПНОСТИ СОВЕТА ЕВРОПЫ
РАЗЛИЧАЕТ ЧЕТЫРЕ ВИДА ПРАВОНАРУШЕНИЙ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С ПРАВАМИ СОБСТВЕННОСТИ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С КОМПЬЮТЕРАМИ
Сфокусированы на объекте юридической защиты
Сфокусированы на методе
УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ
УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕСТУПЛЕНИЯ ПРОТВ КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С КОНТЕНТОМ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С ПРАВАМИ СОБСТВЕННОСТИ
ПРЕСТУПЛЕНИЯ, СВЯЗАННЫЕ С КОМПЬЮТЕРАМИ
Незаконный доступ (хакерство, взлом шифра)
КОМБИНИРОВАННЫЕ ПРЕСТУПЛЕНИЯ
Информационный шпионаж
Незаконный перехват
Искажение информации
Искажения системы
Эротические или порно материалы
Детская порнография
Расизм, агрессивные высказывания
Религиозные преступления
Религиозные преступления
Клевета и фальшивая информация
Преступления, связанные с авторскими правами
Преступления, связанные с товарными знаками
Незаконные азартные игры
Спам и связанные с ним угрозы
Мошенничество и компьютерное мошенничество
Подлог с использованием компьютера
Кража идентичности
Неправильное использование устройств
Кибертерроризм
Информационная война
Отмывание денег с использованием компьютерных технологий
Фишинг
ОБЩЕУГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
Ст. 158 Кража – тайное хищение чужого
ОБЩЕУГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
Ст. 158 Кража – тайное хищение чужого
Ст. 159 Мошенничество – хищение чужого имущества путем обмана, или злоупотребления доверием
Ст. 159.3 Мошенничество с использованием платежных карт
Ст. 159.4 Мошенничество в сфере предпринимательской деятельности
Ст. 159.6 Мошенничество в сфере компьютерной информации – хищение чужого имущества путем ввода, удаления, блокирования, модификации компьютерной информации, либо иного вмешательства в функционирование средств хранения, обработки и передачи компьютерной информации
Ст. 165 Причинение имущественного ущерба путем обмана или злоупотребления доверием
Ст. 167 Умышленное уничтожение или повреждение имущества
Ст. 171 Незаконное предпринимательство
Ст. 171.2 Незаконная организация и проведение азартных игр
Ст. 172 Незаконная банковская деятельность
Ст. 183 Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую, или банковскую тайну
ОСНОВНЫЕ ИСТОЧНИКИ ПРОБЛЕМ ПЕРСОНАЛА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОММУНИКАТИВНЫЕ ОСОБЕННОСТИ
Люди склонны обсуждать
ОСНОВНЫЕ ИСТОЧНИКИ ПРОБЛЕМ ПЕРСОНАЛА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОММУНИКАТИВНЫЕ ОСОБЕННОСТИ
Люди склонны обсуждать
КОГНИТИВНЫЕ СПОСОБНОСТИ
Человек, в отличии машин, способен воспринимать и обобщать информацию, поступающую из различных альтернативных источников, таких, как чужие телефонные разговоры, проекты документов на столе коллег, слухи и сплетни, обрывки фраз или просто настроение руководства.
ЛИЧНОСТНЫЕ КАЧЕСТВА
Люди обижаются, и порой мстят, и нанесение вреда информационным ресурсам стало одним из популярных способов отмщения обидчикам. Следует помнить, что можно не только запускать вирусы в корпоративные сети или стирать файлы – порой не меньший вред можно причинить, положив не на то место дело или бумажный документ, или же просто не поделившись известной человеку информацией.
ОСОБЕННОСТИ ТИПА «ХОЧУ ВСЕ ЗНАТЬ»
Ограничения доступа к информации (особенно непродуманные) воспринимаются как вызов, и побуждают людей к активным, порой весьма хитроумным действиям по их преодолению или обходу.
ДЕФИЦИТ КВАЛИФИЦИРОВАННЫХ СПЕЦИАЛИСТОВ
В отличие от машин, квалифицированные сотрудники не выпускаются на конвейере, и найти полноценную замену заболевшему или уволившемуся работнику не всего просто. Ситуация может стать очень острой, если выбывшего сотрудника некому подстраховать.
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
У информационной безопасности большинства предприятий
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
У информационной безопасности большинства предприятий
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА
ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ,
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА
ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ,
56% - заметили несанкционированный доступ к своим
компьютерам,
30% - сообщили о попытках взлома «изнутри».
В качестве основных причин для беспокойства компании отметили:
97% - злоупотребление сетевым доступом со стороны
сотрудников,
94% - заражение вирусами,
71% - несанкционированный доступ «изнутри»
69% - кража ноутбуков.
ДАННЫЕ ИССЛЕДОВАНИЙ ИБ В 2011 Г. КОМПАНИИ «CISCO»
70% молодых сотрудников, знакомых с корпоративными ИТ - правилами, признали, что нарушают эти правила с
большей или меньшей регулярностью. При этом:
каждый третий нарушитель не видит в этом ничего
страшного,
22% опрошенных заявили, что доступ к
несанкционированным программам и приложениям им
нужен для выполнения своих профессиональных
обязанностей,
19% признали, что корпоративные ИТ - правила в их
компаниях не соблюдаются,
18% сказали, что во время работы им не до того, чтобы об
этих правилах думать,
16% считают такие правила неудобными,
15% о корпоративных ИТ - правилах попросту забывают,
14% оправдывают свое поведение тем, что, мол, начальники
за ними все равно не следят,
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА
ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ,
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА
ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ,
56% - заметили несанкционированный доступ к своим
компьютерам,
30% - сообщили о попытках взлома «изнутри».
В качестве основных причин для беспокойства компании отметили:
97% - злоупотребление сетевым доступом со стороны
сотрудников,
94% - заражение вирусами,
71% - несанкционированный доступ «изнутри»
69% - кража ноутбуков.
ДАННЫЕ ИССЛЕДОВАНИЙ ИБ В 2011 Г. КОМПАНИИ «CISCO»
70% молодых сотрудников, знакомых с корпоративными ИТ -
правилами, признали, что нарушают эти правила с
большей или меньшей регулярностью. При этом:
каждый третий нарушитель не видит в этом ничего
страшного,
22% опрошенных заявили, что доступ к
несанкционированным программам и приложениям им
нужен для выполнения своих профессиональных
обязанностей,
19% признали, что корпоративные ИТ - правила в их
компаниях не соблюдаются,
18% сказали, что во время работы им не до того, чтобы об
этих правилах думать,
16% считают такие правила неудобными,
15% о корпоративных ИТ - правилах попросту забывают,
14% оправдывают свое поведение тем, что, мол, начальники
за ними все равно не следят,
ТИПОВЫЕ РАЗНОВИДНОСТИ УТЕЧЕК, СВЯЗАННЫХ С ПЕРСОНАЛОМ КОМПАНИИ
ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ СЛУЖБЫ ПЕРСОНАЛА
ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА:
ПОДБОР НАДЁЖНЫХ И ВЫСОКОКВАЛИФИЦИРОВАННЫХ РАБОТНИКОВ;
ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ И ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ;
ЗАЩИТА ИНФОРМАЦИИ, НАХОДЯЩЕЙСЯ В ГОЛОВАХ СОТРУДНИКОВ И ИМЕЮЩЕЙ ЦЕННОСТЬ ДЛЯ ОРГАНИЗАЦИИ, В КОТОРОЙ ОНИ РАБОТАЮТ.
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
ИЗ СТАНДАРТА БАНКА РОССИИ «ОБЕСПЕЧЕНИЕ
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
ИЗ СТАНДАРТА БАНКА РОССИИ «ОБЕСПЕЧЕНИЕ
5.2. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал.
5.8. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в финансовой организации оказывают серьезное влияние отношения, как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Необходимо обучение и регулярная переподготовка кадров, как по основной деятельности, так и по вопросам информационных технологий, делопроизводства и безопасности.
10.7. Обязательны краткие занятия с работниками организации по вопросам обеспечения ИБ и введение аттестации персонала по вопросам обеспечения безопасности.
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
ИЗ СТАНДАРТА ISO 17779 «ОБЕСПЕЧЕНИЕ
ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
ИЗ СТАНДАРТА ISO 17779 «ОБЕСПЕЧЕНИЕ
Условия найма должны определять обязанности и ответственность сотрудника за информационную безопасность. При необходимости, такая ответственность должна сохраняться в течение определенного времени после увольнения сотрудника. Должны быть также указаны действия, предпринимаемые в том случае, если сотрудник пренебрегает требованиями к информационной безопасности.
В тех случаях, когда должностные обязанности, как при первоначальном поступлении на работу, так и в результате продвижения по службе, предусматривают доступ к средствам обработки информации, особенно к средствам обработки конфиденциальной информации, например, финансовой или секретной, – организация должна также проверить финансовое положение сотрудника. Занимающие ответственные посты сотрудники должны проходить такую проверку регулярно.
Обучение и подготовка по вопросам информационной безопасности (п. 6.2.1.). Все сотрудники организации, а при необходимости, и пользователи из сторонних организаций, должны пройти обучение по используемым в организации регламентам и процедурам, и регулярно получать информацию об изменениях в них. Такая программа подготовки затрагивает требования к обеспечению безопасности, вопросы юридической ответственности и средства управления деловыми процессами, а также включает обучение правильному использованию средств обработки информации (например, процедуре входа в систему, использованию программного обеспечения), – прежде чем будет предоставлен доступ к информации и средствам её обработки.
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПОЛИТИКА БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ - совокупность руководящих принципов, правил,
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
ПОЛИТИКА БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ - совокупность руководящих принципов, правил,
МОДЕЛЬ БЕЗОПАСНОСТИ - формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности
Модель безопасности служит для:
выбора и обоснования базовых принципов архитектуры, определяющих механизмы реализации средств защиты информации
подтверждения свойств (защищенности) разрабатываемой системы путем формального доказательства соблюдения политики (требований, условий, критериев) безопасности
оставления формальной спецификации политики безопасности разрабатываемой системы
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность
Эти три группы принципов являются общепризнанными при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности.
Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц.
Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены.
Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима.
Основные требования к моделям обеспечения кибернетической безопасности
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ ИЗБИРАТЕЛЬНОГО (ДИСКРЕЦИОННОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ ИЗБИРАТЕЛЬНОГО (ДИСКРЕЦИОННОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
права доступа предоставляются («прописываются» в специальных информационных объектах-стуктурах), отдельно каждому пользователю к тем объектам, которые ему необходимы для работы в КС;
при запросе субъекта на доступ к объекту диспетчер, обращаясь к ассоциированным с ним информационным объектам, в которых «прописана» политика разграничения доступа, определяет «легальность» запрашиваемого доступа и разрешает/отвергает доступ.
Достоинства дискреционных моделей:
Хорошая детализация защиты (позволяют управлять доступом с точностью до отдельной операции над отдельным объектом)
Простота реализации
Недостатки дискреционных моделей:
Слабые защитные характеристики из-за невозможности для реальных систем выполнять все ограничения безопасности
Проблема "троянских коней"
Сложности в управлении доступом из-за большого количества назначений прав доступа
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ ПОЛНОМОЧНОГО (МАНДАТНОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ ПОЛНОМОЧНОГО (МАНДАТНОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
Основаны:
на субъектно-объектной модели КС
на правилах организации секретного делопроизводства, принятых в государственных учреждениях многих стран.
Информация (точнее документы, ее содержащие) категорируется специальными метками конфиденциальности – т.н. грифы секретности документов
Сотрудники по уровню благонадежности (доверия к ним) получают т.н. допуски определенной степени
Сотрудники с допуском определенной степени приобретают полномочия работы с документами определенного грифа секретности
Главная задача: не допустить утечки информации из документов с высоким грифом секретности к сотрудникам с низким уровнем допуска
Достоинства моделей мандатного доступа
ясность и простота реализации
отсутствие проблемы "Троянских коней" (контролируется направленность потоков, а не взаимоотношения конкретного субъекта с конкретным объектом, поэтому недекларированный поток троянской программы «сверху-вниз» будет считаться опасным и отвергнут МБО)
каналы утечки не заложены в саму модель, а могут возникнуть только в практической реализации
Недостатки моделей мандатного доступа
возможность скрытых каналов утечки - механизм, посредством которого субъект с высоким уровнем безопасности м. предоставить определенные аспекты конфиденциальной информации субъекту, уровень безопасности которого ниже уровня безопасности конфиденциальной информации
проблема удаленного доступа. В распределенных системах осуществление доступа всегда сопровождается потоком информации в прямом и обратном направлении, что в результате может приводить к нарушениям привил NRU и NWD
проблема избыточности прав доступа. Без учета матрицы доступа (т.е. без использования дискреционного доступа) мандатный принцип доступа организует доступ более жестко, но и более грубо, без учета потребностей конкретных пользователей-субъектов
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ РОЛЕВОГО (ТИПИЗОВАННОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ РОЛЕВОГО (ТИПИЗОВАННОГО) ДОСТУПА
Множество потоков информации, характеризующих легальный
Основная идея: политика и система защиты должны учитывать организационно-технологическое взаимодействие пользователей. (Впервые была применена в продуктах управления доступом корпорации IBM в 70-80.гг.)
Вместо субъекта
пользователь (конкретная активная сущность)
роль (абстрактная активная сущность)
Неформально Роль: типовая работа в КС (ИС) определенной группы пользователей
Аналог: нормативное положение, функциональные обязанности и права сотрудников по определенной должности, например могут быть роли - кассира, бухгалтера, делопроизводителя, менеджера и т.п.
Наиболее распространены модели с иерархической системой ролей:
чем выше роль по иерархии, тем больше полномочий
если пользователю присвоена какая-то роль, то ему автоматически присваиваются все роли ниже по иерархии
MMS (military message system)-модель
Основная схема функционирования системы - пользователи после идентификации запрашивают у системы операции над сущностями от своего ID или от имени Роли, с которой в данный момент авторизован.
Модель Лендвера-Маклина (MMS) сочетает принципы: ролевой, дискреционной и мандатной моделей и оказывает сильное влияние на модели и технологии современных защищенных КС.
ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Профилактика возможных угроз. Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.
Законность. Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является программа (план работ) обеспечения безопасности предприятия.
Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия.
Сочетание гласности с секретностью. Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль - предотвращение потенциальных и реальных угроз.
Компетентность. Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.
Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.
Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно - техническая, экологическая, технологическая и т. д.) и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников.
ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
Различают два основных вида аудита: внутренний
ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
Различают два основных вида аудита: внутренний
внешний (осуществляемый сторонними организациями).
ОСНОВНЫМИ ЦЕЛЯМИ АУДИТА ЯВЛЯЮТСЯ:
установление степени защищенности информационных ресурсов предприятия, выявление недостатков и определение направлений дальнейшего развития системы защиты информации;
проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в сфере информационной безопасности, выполнения требований политики безопасности;
контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению информационной безопасности;
сертификация на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в частности на соответствие национальным и международным стандартам).
ОСНОВНЫЕ ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА:
инициирование проведения аудита;
непосредственно осуществление сбора информации и проведение обследования аудиторами;
анализ собранных данных и выработка рекомендаций;
подготовка аудиторского отчета и аттестационного заключения.
В случае, если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы:
перечень обследуемых информационных ресурсов и информационных систем;
перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит;
основные угрозы, средства защиты от которых нужно подвергнуть аудиту;
элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки.
Основная стадия – проведение аудиторского обследования и сбор информации - как правило, должно включать в себя:
анализ имеющейся политики информационной безопасности и другой организационной документации;
проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;
проверку состояния физической безопасности информационной инфраструктуры предприятия;
техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности).
АРХИТЕКТУРА СТАНДАРТОВ ЗАЩИТЫ ИНФОРМАЦИИ
ОБОБЩЕННАЯ АРХИТЕКТУРА СТАНДАРТОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
К
АРХИТЕКТУРА СТАНДАРТОВ ЗАЩИТЫ ИНФОРМАЦИИ
ОБОБЩЕННАЯ АРХИТЕКТУРА СТАНДАРТОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
К
К категории II («Процедуры и процессы ИБ») можно отнести стандарты для следующих объектов и аспектов стандартизации:
менеджмент инцидентов информационной безопасности;
безопасность сетей информационных технологий;
обнаружение вторжений, выбор и поставка систем обнаружения вторжений;
управление и пользование услугами третьей доверенной стороны;
восстановление информационных технологий после бедствий и аварий и т. п.
Среди российских национальных стандартов к данной категории можно отнести ГОСТ Р 50922, ГОСТ Р 51275 и др.
К категории III («Технические средства и инструменты защиты информации и информационной безопасности») можно отнести стандарты на алгоритмы криптографических преобразований, критерии оценки безопасности информационных технологий и т. п.
Среди российских национальных стандартов к данной категории можно отнести стандарты требований по защите от несанкционированного доступа к средствам вычислительной техники и автоматизированным системам, гармонизированные международные стандарты критериев оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408), ГОСТ Р ИСО/МЭК 18045), защиты от вредоносного программного обеспечения и т. п.
ВЗАИМОДЕЙСТВИЕ СЛУЖБЫ БЕЗОПАСНОСТИ С ПОДРАЗДЕЛЕНИЯМИ ИТ ОБЕСПЕЧЕНИЯ ПРЕДПРИЯТИЯ.
ОСНОВА ВЗАИМОДЕЙСТВИЯ – ПРАВИЛО
ВЗАИМОДЕЙСТВИЕ СЛУЖБЫ БЕЗОПАСНОСТИ С ПОДРАЗДЕЛЕНИЯМИ ИТ ОБЕСПЕЧЕНИЯ ПРЕДПРИЯТИЯ.
ОСНОВА ВЗАИМОДЕЙСТВИЯ – ПРАВИЛО
СПЕЦИАЛЬНЫЕ ФУНКЦИИ ОБЕСПЕЧЕНИЯ ИБ
определять критерии, по которым различные рабочие места (РМ) относятся к той или иной категории по требуемой степени защищенности, и оформлять их в виде «Положения об определении требований по защите ресурсов»;
определять типовые конфигурации и настройки программно-аппаратных средств защиты информации для РМ различных категорий (требуемых степеней защищенности);
по заявкам руководителей подразделений проводить анализ возможности решения (а также совмещения) указанных задач на конкретных РМ и принимать решения об отнесении РМ к той или иной группе по степени защищенности;
совместно с ИТ - подразделением проводить работы по установке на РМ программно-аппаратных средств защиты информации;
согласовывать и утверждать предписания на эксплуатацию (формуляры) РМ, подготовленные в подразделениях организации;
обеспечивать проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;
определять организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования автоматизированной системы.
ФУНКЦИИ ИТ – ОБЕСПЕЧЕНИЯ ПО РЕШЕНИЮ ЗАДАЧ ОБЕСПЕЧЕНИЯ ИБ
проводить анализ возможности решения задач структурных подразделений на конкретных РМ и уточняет содержание необходимых для этого изменений в конфигурации аппаратных и программных средств РМ;
производить на основе утвержденных заявок начальников подразделений:
установку (развертывание, обновление версий) программных средств;
удаление (затирание) программ;
установку (развертывание) новых РМ (ПК) или дополнительных устройств;
изъятие или замену ПК;
принимает участие в заполнении формуляров РМ и выдаче предписаний к эксплуатации РМ;
Служба ИТ (в части алгоритмов и программ)
ведет общий перечень задач, решаемых в автоматизированной системе (АС) организации;
совместно с подразделением ИБ оформляет формуляры установленного образца на новые функциональные задачи АС;
хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей;
осуществляет выдачу специалистам службы ИТ программных пакетов для их развертывания или обновления на РМ АС
ФУНКЦИИ СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЙ КОМПАНИИ ПО ОБЕСПЕЧЕНИЮ ИБ
Определять функциональные задачи, которые должны решаться в подразделении с использованием РМ АС организации. Все необходимые изменения в конфигурации РМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с нормативными документами организации.
Заполнять формуляры РМ и представляют их на утверждение в подразделение ИБ.
Обеспечивать надлежащую эксплуатацию установленных на РМ средств защиты информации.
ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ИБ
Должен обладать:
надежностью и честностью;
ответственностью и объективностью;
знаниями, умениями и навыками
ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ИБ
Должен обладать:
надежностью и честностью;
ответственностью и объективностью;
знаниями, умениями и навыками
высшим профессиональным образованием;
работоспособностью и внимательностью;
способностями к выявлению новых угроз;
умением выделять главное;
умением четко излагать существо технической информации.
Квалифицированные специалисты
Мотивация
Аутсорсинг
Взаимодействие с государством
СООТНОШЕНИЕ СОБСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И ИСПОЛЬЗОВАНИЕ УСЛУГ АУТСОРСИНГА.
ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПАНИИ-АУТСОРСЕРУ
Естественно,
СООТНОШЕНИЕ СОБСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И ИСПОЛЬЗОВАНИЕ УСЛУГ АУТСОРСИНГА.
ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПАНИИ-АУТСОРСЕРУ
Естественно,
Аутсорсинговая компания должна иметь четкую и понятную политику ИБ, а также систему управления информационной безопасностью. В идеале – наличие сертификата ISO 27001.
Компания должна иметь опыт проведения анализа информационных рисков, практику управления рисками и соответствующие технические средства контроля.
Безусловно, требуется высокая профессиональная подготовка команды компании-аутсорсера, понимание проблем ИБ в той области бизнеса, в которой работает клиент.
Особое внимание следует уделить наличию средств контроля физической безопасности и технических средств контроля инженерных систем (систем кондиционирования, электропитания и др.).
Необходимо также определить систему и способ передачи данных между клиентом и аутсорсером.