🗊Презентация ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ОСНОВНЫЕ АСПЕКТЫ, СОВРЕМЕННОЕ СОСТОЯНИЕ Пестунова Тамара Михайловна кандидат технических наук, доцент

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - общее понятие В БОЛЕЕ УЗКОМ СМЫСЛЕ: «защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий искусственного или естественного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений и поддерживающей инфраструктуре» - не учитываются гуманитарные и психологические аспекты ИБ.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - общее понятие РД Гостехкомиссии РФ «Защита от НСД к информации. Термины и определения» : состояние защищенности информации, обрабатываемой средствами ВТ или АС, от внутренних или внешних угроз: от нежелательного ее разглашения, искажения, утраты или снижения степени доступности, а также от незаконного тиражирования, которые приводят к моральному или материальному ущербу владельца или пользователя информации.

ОПРЕДЕЛЕНИЕ ЦЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОСНОВНЫЕ АСПЕКТЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КОНФИДЕНЦИАЛЬНОСТЬ: предотвращение несанкционирован- ного ознакомления, раскрытия информации. Пример: защита персональных данных, производственных секретов. ЦЕЛОСТНОСТЬ: актуальность и непротиворечивость, защищенность от разрушения и несанкционированного изменения: на физическом уровне на логическом уровне на содержательном уровне Пример: защита носителей информации от поломки, защита программного обеспечения от изменений, защита содержания документа от незаконных изменений, защита от ошибок ввода данных в информационную систему, защита корректности выполнения транзакций электронного платежа

ОСНОВНЫЕ АСПЕКТЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ДОСТУПНОСТЬ: возможность получить информационную услугу в требуемое время требуемого качества Пример: защита интернет-магазина, предотвращение «зависания» автоматизированной системы продажи билетов, обеспечение оперативного доступа к информации в системах управления критическими объектами. ПРАВА СОБСТВЕННОСТИ: защита авторских прав и прав собственности в информационной сфере. Пример: защита электронных публикаций, защита СD от несанкционированного копирования, защита информации, связанной с интеллектуальной собственностью.

Базовые термины

Базовые термины

ИЗМЕНЕНИЯ В ИНФОРМАЦИОННОЙ СРЕДЕ

ИЗМЕНЕНИЯ В ИНФОРМАЦИОННОЙ СРЕДЕ

Развитие проблематики компьютерной безопасности: 60-70-е годы

Развитие проблематики компьютерной безопасности: 60-70-е годы

Развитие проблематики компьютерной безопасности: 60-70-е годы

Развитие проблематики компьютерной безопасности: 80-е годы

Развитие проблематики компьютерной безопасности: 80-е годы

Развитие проблематики компьютерной безопасности: 90-е годы

ВИДЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Угрозы: ТОР 10

МОТИВЫ ПРЕДНАМЕРЕННЫХ УГРОЗ

КОМПЬЮТЕРНАЯ ПРЕСТУПНОСТЬ В РОССИИ

ВЫВОДЫ ОБ ИСТОЧНИКАХ УГРОЗ ИСТОЧНИКИ ВНЕШНИХ УГРОЗ Случайные: влияние окружающей среды, стихийные бедствия Преднамеренные: Хакеры, шпионы, террористы, вандалы, охотники за промышленными секретами, конкурирующие компании, профессиональные преступники

Развитие проблематики компьютерной безопасности: 90-е годы

Развитие проблематики компьютерной безопасности: 90-е годы

УРОВНИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ. Законы и нормативные акты действуют на всех субъектов информационных отношений независимо любой организационной принадлежности в пределах страны и более широком масштабе. АДМИНИСТРАТИВНЫЙ УРОВЕНЬ распространяется на всех субъектов в пределах отрасли, предприятия (включает приказы, нормативные документы руководства, формирующие – политику безопасности). ПРОЦЕДУРНЫЙ УРОВЕНЬ ориентирован на конкретных людей или группы по категориям персонала организации (включает меры по управлению персоналом, физическую защиту, поддержание работоспособности информационных систем, реагирование на нарушения ИБ, планирование восстановительных работ) ПРОГРАММНО-ТЕХНИЧЕСКИЙ УРОВЕНЬ относится к оборудованию и программному обеспечению

ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НЕПРЕРЫВНОСТЬ ЗАЩИТЫ. Элемент информации должен быть защищен во всех своих формах, постоянно и на любом месте. СИСТЕМНОСТЬ. Должны быть учтены в максимальной степени все взаимосвязанные, взаимодействующие и изменяющиеся во времени элементы, условия и факторы. РАЗУМНАЯ ДОСТАТОЧНОСТЬ. Затраты на защиту информации должны соответствовать ценности защищаемой информации, и не превышать потенциально возможный ущерб в случае нарушения информационной безопасности. КОМПЛЕКСНОСТЬ. Обеспечение информационной безопасности достигается путем применения комплексного подхода с использованием физических, технических, правовых, организационных и морально-этических средств. ЭШЕЛОНИРОВАННОСТЬ ЗАЩИТЫ. Защита информации должна осуществляться на всех уровнях, «прорыв» на одном из уровней не должен привести к разрушению всей системы защиты. ГИБКОСТЬ. Обеспечивает возможность создания СЗИ с учетом адаптации к изменениям. ПРОСТОТА ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ Не должны существенно усложнять работу, быть понятными пользователю.

Развитие проблематики компьютерной безопасности: XXI век

Развитие проблематики компьютерной безопасности: XXI век

Развитие проблематики компьютерной безопасности: XXI век

Развитие проблематики компьютерной безопасности: XXI век

Развитие проблематики компьютерной безопасности: XXI век

Развитие проблематики компьютерной безопасности: XXI век

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

Актуальные практические аспекты защиты информации в ИТ-системах

ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АНАЛИЗ ИНФОРМАЦИОННОЙ БАЗЫ: анализ имеющихся в организации информационных ресурсов и их потоков с целью определения и учета информации, нуждающейся в тех или иных видах защиты, анализ и оценка рисков. ФОРМИРОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ. Разработка базового документа организации по ИБ, формирование программы работ с учетом основных принципов обеспечения ИБ РАЗРАБОТКА НОРМАТИВНЫХ ДОКУМЕНТОВ: руководств, инструкций для персонала и пользователей и т.п. по обеспечению ИБ ПЛАНИРОВАНИЕ И РЕАЛИЗАЦИЯ ОРГАНИЗАЦИОННЫХ МЕРОПРИЯТИЙ: разработка процедур контроля и доступа к защищаемой информации иметь в виду - функции администратора сети и администратора информационной безопасности сети объективно противоречат друг другу.

ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОЕКТИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ С УЧЕТОМ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ: учет требований по безопасности на начальном этапе позволяет построить наиболее эффективную систему защиты, однако не всегда это реализуемо в конкретных условиях, если информационная система уже функционирует. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ: должна быть обеспечена защита помещений, линий связи, вычислительной техники и других средств обработки данных и т.п с использованием программных, программно-аппаратных и технических средств защиты.

ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБУЧЕНИЕ ПЕРСОНАЛА: направлено на предотвращение внутренних угроз путем поддержания необходимого уровня квалификации персонала в условиях быстрого изменения информационной среды, а также на формирование соответствующей мотивации сотрудников и их заинтересованности в обеспечении информационной безопасности. ТЕКУЩЕЕ УПРАВЛЕНИЕ, АУДИТ И КОРРЕКТИРОВКИ: направлено на предотвращение угроз, связанных с повышением хаотичности информационной среды (устаревание информации, появление посторонних пользователей и т.п.) и объективными тенденциями развития технологий, снижает вероятности проявления случайных угроз, обеспечивает учет изменений рисков.