Билет. Человеческий фактор в угрозах

Угрозы

-Моделирование -Реагирование -Моделирование угроз -Планирование непрерывности деятельности -Внедрение СрЗИ

Моделирование

Инциденты

-Мониторинг и контроль - Реагирование на инциденты -Восстановление после сбоев

Реагирование

ПОНЯТИЯ СОБЫТИЯ И ИНЦИДЕНТА ИБ

событие ИБ – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ, отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности

ИНЦИДЕНТ ИБ

•инцидент ИБ – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и угрожающих нарушением ИБ

ПРИМЕРЫ СОБЫТИЙ

1.получение пользователем доступа к файлу

2.посылка пользователем запроса на WEB-страницу

3.отправка электронной почты

4.блокировка межсетевым экраном сетевого пакета

СОБЫТИЯ ИБ

1.получение пользователем доступа к файлу

2.посылка пользователем запроса на WEB-страницу

3.отправка электронной почты

4.блокировка межсетевым экраном сетевого пакета

1: доступ к файлу запрещен политикой ИБ подсистемы разграничения доступа 2-3: политикой допустимого использования информационных ресурсов данные действия запрещены явно 4: в любом случае.

ПРИМЕРЫ ИНЦИДЕНТОВ ИБ

•Отказ в обслуживании

•Несанкционированная инвентаризация информационных ресурсов

•Распространение вредоносного кода

•НСД к защищаемой информации

•Простые и комплексные компьютерные атаки

ПОНЯТИЕ УГРОЗЫ ИБ

•Потенциальная возможность возникновения инцидента ИБ

•Потенциальная причина инцидента, который может нанести ущерб системе или организации (ГОСТ 13335.1)

ДРУГИЕ ОПРЕДЕЛЕНИЯ

•Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (ГОСТ 50.1.056-2005)

•Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее (ГОСТ Р 51624-2000)

РЕАЛИЗАЦИЯ УГРОЗЫ УГРОЗА-> УЩЕРБ-> ПОТЕРИ

УЩЕРБ

Оценка значимости негативных последствий для организации, которые будут иметь место в результате возникновения инцидентов ИБ

Виды ущерба: •нарушение конфиденциальности данных •нарушение целостности данных

•нарушение доступности данных

ПОТЕРИ

•материальные (убытки) •прямые Примеры: штрафы, взыскания, стоимость информации, жизнь и здоровье

•косвенные Примеры: эксплутационные издержки, недополученная прибыль

•нематериальные Примеры: репутация, мор.-псих. Климат

БОЛЕЕ ОБЩЕЕ ПОНИМАНИЕ УГРОЗЫ

•Предпосылка появления угрозы

•Источник угрозы (агент угрозы)

•Потенциально возможное нежелательное событие

ИСТОЧНИКИ УГРОЗЫ

•Человек Примеры: сотрудник, руководитель, злоумышленник, программист

•Внешняя среда Примеры: Природные явления, животный мир, стихийные явления

•Технологии Пример: Программное обеспечение

УЯЗВИМОСТЬ

•Фактор, способствующий реализации угрозы (н.р. особенность конфигурации)

•Ущерб информационному ресурсу может быть нанесен при наличии у него уязвимостей

•Угрозы испол

ПРИМЕР

•Предпосылка появления угрозы, источник угрозы: Недобросовестный конкурент

•Угроза: Взлом, с использованием сетей связи

•Уязвимость: Слабый пароль на доступ к административной консоли управления

•Ущерб: нарушение конфиденциальности информации

•Потеря: Получение конкурентом технологии производства (недополученная прибыль)

Билет. КЛАССИФИКАЦИЯ УГРОЗ

•По природе возникновения

•По степени преднамеренного проявления

•По направлению осуществления

УГРОЗЫ ПО ПРИРОДЕ ПРОИСХОЖДЕНИЯ

•Естественные возникающие из за объективных физических процессов (не зависят от человека)

•Искусственные (Антропогенные) вызванные или связанные с действиями человека

УГРОЗЫ ПО СТЕПЕНИ ПРЕДНАМЕРЕННОСТИ ПРОЯВЛЕНИЯ

•Преднамеренные Примеры: хищение информации, действия злоумышленников

•Случайные Примеры: ошибки персонала, средств, некомпетентность, повреждения

УГРОЗЫ ПО НАПРАВЛЕНИЮ ОСУЩЕСТВЛЕНИЯ

•Внешние

исходящие извне по отношению к персоналу, к организации (предприятию), к государству, к территории (зданиям, помещениям)

•Внутренние

ВИДЫ УГРОЗ

Внешние источники угроз
Антропогенные (искусственные)   преднамеренные случайные	Техногенные случайные	Стихийные случайные
	Естественные источники угроз
Внутренние источники угроз

 

Предпосылки появления угроз ИБ
Психофизическое состояние персонала	Качество подготовки персонала	Количественная недостаточность компонентов ИУС ПХД	Качественная недостаточность компонентов ИУС ПХД	Природные катаклизмы	Технологические катастрофы	Деятельность конкурентов, в частности промышленный шпионаж	Деятельность криминальных структур	Деятельность иностранных спецслужб
Субъективные	Объективные(технические)	Объективные(естественные)	Субъективные
Источники угроз
Люди	Аппаратно-программные компоненты, Инженерно-технические компоненты, ИУС ПХЖ	Внешняя среда	Люди
Природа происхождения угроз
Непреднамеренные	Преднамеренные
Ошибки/Отказы/Сбои	Стихийные бедствия	Побочные явления	Злоумышленные действия

 

ДРУГИЕ НАПРАВЛЕНИЯ КЛАССИФИКАЦИИ УГРОЗ

•По объекту воздействия на информационную систему

•По этапу ЖЦ информационной системы

ОБЪЕКТЫ ВОЗДЕЙСТВИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

•Рабочие станции (АРМ) •Системы управления •Носители информации •Линии и каналы связи

•Программное обеспечение •СУБД •Объекты ОС (н.р. файлы) •Данные

•Средства отображения, представления информации

ЭТАПЫ ЖИЗНЕННОГО ЦИКЛА ИНФОРМАЦИОННОЙ СИСТЕМЫ

•Концептуализация •Проектирование •Внедрение •Тестирование •Эксплуатация

•Модернизация •Вывод из эксплуатации

НЕКОТОРЫЕ КАТАЛОГИ (КЛАССИФИКАТОРЫ) УГРОЗ БЕЗОПАСНОСТИ

•ГОСТ Р 51275-99

•BSI

•CRAMM

•Рекомендации ITU-T X.800

•типичные угрозы из ГОСТ Р ИСО/МЭК 13335-4-2007

•угрозы из BS 7799-3

•Отраслевые (н.р. ОАО «Газпром») и частные классификаторы (н.р. угрозы безопасности ПДн)

Электронная цифровая подпись и хеш-функции.

• реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе

• Обычно основывается на ассиметричном алгоритме Шифрования

ХЕШ ФУНКЦИИ

Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest).

Хеширование применяется для сравнения данных: если у двух массивов хеш-коды разные, массивы гарантированно различаются; если одинаковые — массивы, скорее всего, одинаковы. В общем случае однозначного соответствия между исходными данными и хеш-кодом нет в силу того, что количество значений хеш-функций меньше, чем вариантов входного массива; существует множество массивов, дающих одинаковые хеш-коды — так называемые коллизии. Вероятность возникновения коллизий играет немаловажную роль в оценке качества хеш-функций.

• h – хеш функция из M в {0,1}^n, если |M|>>2n, при этом h «легко вычисляется»

• Коллизия – совпадение значений хеш функции для различных текстов

• Назначение: контроль целостности данных, аутентификация источника данных

ВИДЫ ХЕШ-ФУНКЦИИ

• Ключевые

• коды аутентификации сообщений (MAC)

• Безключевые

ТРЕБОВАНИЯ К ХЕШ-ФУНКЦИЯМ

• Устойчивость к нахождению прообраза

• Устойчивость к нахождению второго прообраза

• Устойчивость к коллизиям

ПРИМЕРЫ ХЕШ-ФУНКЦИЙ

• MD 2, 4, 5 • Haval • SHA-1 • CRC • ГОСТ 34.11-94 • RIPEMD

Основные понятия и принципы аутентификации.

ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

• Идентификация – процесс распознавания субъекта по его идентификатору

• Аутентификация – процедура проверки подлинности субъекта

• Авторизация – процедура предоставления субъекту определенных прав доступа к ресурсам системы

УГРОЗЫ, НА ПРОТИВОДЕЙСТВИЕ КОТОРЫМ НАПРАВЛЕНА АУТЕНТИФИКАЦИЯ

• Несанкционированный доступ

• к информации

• к вычислительным ресурсам

• к материальным ресурсам и деньгам

• выдача одного субъекта доступа за другого и использование чужого уровня прав и привилегий (с целью реализации угроз (указанных выше) или мошенничества

Межсетевое экранирование, виртуальные частные сети (в т.ч. IPSEC).

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Разновидности сетевых экранов

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

•обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

•на уровне каких сетевых протоколов происходит контроль потока данных;

•отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

•традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

•персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

•сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

•сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

•уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Типичные возможности

•фильтрация доступа к заведомо незащищенным службам;

•препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

•контроль доступа к узлам сети;

•может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

•регламентирование порядка доступа к сети;

•уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Так же следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Проблемы, не решаемые файрволом

•Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

•не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

•не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

•не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.

 

Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.

Межсетевые экраны разделяют на четыре типа:

•межсетевые экраны с фильтрацией пакетов;

•шлюзы сеансового уровня;

•шлюзы прикладного уровня;

•межсетевые экраны экспертного уровня.

Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.

Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.

Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.

Угрозы

-Моделирование -Реагирование -Моделирование угроз -Планирование непрерывности деятельности -Внедрение СрЗИ

Моделирование

Инциденты

-Мониторинг и контроль - Реагирование на инциденты -Восстановление после сбоев

Реагирование

ПОНЯТИЯ СОБЫТИЯ И ИНЦИДЕНТА ИБ

событие ИБ – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ, отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности

ИНЦИДЕНТ ИБ

•инцидент ИБ – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и угрожающих нарушением ИБ

ПРИМЕРЫ СОБЫТИЙ

1.получение пользователем доступа к файлу

2.посылка пользователем запроса на WEB-страницу

3.отправка электронной почты

4.блокировка межсетевым экраном сетевого пакета

СОБЫТИЯ ИБ

1.получение пользователем доступа к файлу

2.посылка пользователем запроса на WEB-страницу

3.отправка электронной почты

4.блокировка межсетевым экраном сетевого пакета

1: доступ к файлу запрещен политикой ИБ подсистемы разграничения доступа 2-3: политикой допустимого использования информационных ресурсов данные действия запрещены явно 4: в любом случае.

ПРИМЕРЫ ИНЦИДЕНТОВ ИБ

•Отказ в обслуживании

•Несанкционированная инвентаризация информационных ресурсов

•Распространение вредоносного кода

•НСД к защищаемой информации

•Простые и комплексные компьютерные атаки

ПОНЯТИЕ УГРОЗЫ ИБ

•Потенциальная возможность возникновения инцидента ИБ

•Потенциальная причина инцидента, который может нанести ущерб системе или организации (ГОСТ 13335.1)

ДРУГИЕ ОПРЕДЕЛЕНИЯ

•Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (ГОСТ 50.1.056-2005)

•Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее (ГОСТ Р 51624-2000)

РЕАЛИЗАЦИЯ УГРОЗЫ УГРОЗА-> УЩЕРБ-> ПОТЕРИ

УЩЕРБ

Оценка значимости негативных последствий для организации, которые будут иметь место в результате возникновения инцидентов ИБ

Виды ущерба: •нарушение конфиденциальности данных •нарушение целостности данных

•нарушение доступности данных

ПОТЕРИ

•материальные (убытки) •прямые Примеры: штрафы, взыскания, стоимость информации, жизнь и здоровье

•косвенные Примеры: эксплутационные издержки, недополученная прибыль

•нематериальные Примеры: репутация, мор.-псих. Климат

БОЛЕЕ ОБЩЕЕ ПОНИМАНИЕ УГРОЗЫ

•Предпосылка появления угрозы

•Источник угрозы (агент угрозы)

•Потенциально возможное нежелательное событие

ИСТОЧНИКИ УГРОЗЫ

•Человек Примеры: сотрудник, руководитель, злоумышленник, программист

•Внешняя среда Примеры: Природные явления, животный мир, стихийные явления

•Технологии Пример: Программное обеспечение

УЯЗВИМОСТЬ

•Фактор, способствующий реализации угрозы (н.р. особенность конфигурации)

•Ущерб информационному ресурсу может быть нанесен при наличии у него уязвимостей

•Угрозы испол

ПРИМЕР

•Предпосылка появления угрозы, источник угрозы: Недобросовестный конкурент

•Угроза: Взлом, с использованием сетей связи

•Уязвимость: Слабый пароль на доступ к административной консоли управления

•Ущерб: нарушение конфиденциальности информации

•Потеря: Получение конкурентом технологии производства (недополученная прибыль)

Билет. КЛАССИФИКАЦИЯ УГРОЗ

•По природе возникновения

•По степени преднамеренного проявления

•По направлению осуществления

УГРОЗЫ ПО ПРИРОДЕ ПРОИСХОЖДЕНИЯ

•Естественные возникающие из за объективных физических процессов (не зависят от человека)

•Искусственные (Антропогенные) вызванные или связанные с действиями человека

УГРОЗЫ ПО СТЕПЕНИ ПРЕДНАМЕРЕННОСТИ ПРОЯВЛЕНИЯ

•Преднамеренные Примеры: хищение информации, действия злоумышленников

•Случайные Примеры: ошибки персонала, средств, некомпетентность, повреждения

УГРОЗЫ ПО НАПРАВЛЕНИЮ ОСУЩЕСТВЛЕНИЯ

•Внешние

исходящие извне по отношению к персоналу, к организации (предприятию), к государству, к территории (зданиям, помещениям)

•Внутренние

ВИДЫ УГРОЗ

Внешние источники угроз
Антропогенные (искусственные)   преднамеренные случайные	Техногенные случайные	Стихийные случайные
	Естественные источники угроз
Внутренние источники угроз

 

Предпосылки появления угроз ИБ
Психофизическое состояние персонала	Качество подготовки персонала	Количественная недостаточность компонентов ИУС ПХД	Качественная недостаточность компонентов ИУС ПХД	Природные катаклизмы	Технологические катастрофы	Деятельность конкурентов, в частности промышленный шпионаж	Деятельность криминальных структур	Деятельность иностранных спецслужб
Субъективные	Объективные(технические)	Объективные(естественные)	Субъективные
Источники угроз
Люди	Аппаратно-программные компоненты, Инженерно-технические компоненты, ИУС ПХЖ	Внешняя среда	Люди
Природа происхождения угроз
Непреднамеренные	Преднамеренные
Ошибки/Отказы/Сбои	Стихийные бедствия	Побочные явления	Злоумышленные действия

 

ДРУГИЕ НАПРАВЛЕНИЯ КЛАССИФИКАЦИИ УГРОЗ

•По объекту воздействия на информационную систему

•По этапу ЖЦ информационной системы

ОБЪЕКТЫ ВОЗДЕЙСТВИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

•Рабочие станции (АРМ) •Системы управления •Носители информации •Линии и каналы связи

•Программное обеспечение •СУБД •Объекты ОС (н.р. файлы) •Данные

•Средства отображения, представления информации

ЭТАПЫ ЖИЗНЕННОГО ЦИКЛА ИНФОРМАЦИОННОЙ СИСТЕМЫ

•Концептуализация •Проектирование •Внедрение •Тестирование •Эксплуатация

•Модернизация •Вывод из эксплуатации

НЕКОТОРЫЕ КАТАЛОГИ (КЛАССИФИКАТОРЫ) УГРОЗ БЕЗОПАСНОСТИ

•ГОСТ Р 51275-99

•BSI

•CRAMM

•Рекомендации ITU-T X.800

•типичные угрозы из ГОСТ Р ИСО/МЭК 13335-4-2007

•угрозы из BS 7799-3

•Отраслевые (н.р. ОАО «Газпром») и частные классификаторы (н.р. угрозы безопасности ПДн)

Билет. ЧЕЛОВЕЧЕСКИЙ ФАКТОР В УГРОЗАХ

Роль человека в угрозах

· носитель угроз

· средство осуществления угроз

· предмет, объект, среда осуществления угроз

Может руководствоваться различными мотивами

· осознанные

§ Корысть, нажива, Политика, власть, шпионаж, Исследовательский интерес

· неосознанные

§ Хулиганство, Месть, Зависть, Недовольство, Небрежность, недобросовестность

Нарушитель - субъект, реализующий угрозу ИБ

МОДЕЛЬ НАРУШИТЕЛЯ

совокупность представлений по человеческому фактору осуществления угроз ИБ

Может включать:

•категории лиц, в числе которых может оказаться нарушитель

•его мотивационные основания и преследуемые цели

•его возможности по осуществлению тех или иных угроз (квалификация, техническая и иная инструментальная оснащенность)

•наиболее вероятные способы его действий

ПРИМЕР МОДЕЛИ НАРУШИТЕЛЯ

Тип	Умысел	Корысть	Цель	Действия при ограничениях
Новичок	Нет	Нет	Нет	Обращение
Увлекающийся	Нет	Нет	Нет	отказ
Экспериментатор	Нет	Нет	Сам	Отказ/взлом
Саботажник	Да	Нет	Сам	Отказ/имитация работы
Мошенник	Да	Да	сам	Имитация работы/взлом
Завербованный	Да	Да	Извне	Имитация работы/взлом
Внешний нарушитель	Нет	Нет	Нет	отказ
Внешний злоумышленник	да	да	извне	взлом

 

МОДЕЛЬ УГРОЗ

Перечень возможных угроз

•Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации

•Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба

НАЗНАЧЕНИЕ МОДЕЛИ УГРОЗ

•Основа проектирования и обоснования системы защиты информации

•Концептуальное основание для требований к системе защиты

•Элемент системы управления рисками

 

6 Билет. УПРАВЛЕНИЕ РИСКАМИ

•Общий процесс оценки рисков и их обработки

•Оценка риска - общий процесс анализа и оценивания риска

ОПРЕДЕЛЕНИЯ РИСКА

•Риск – мера, учитывающая вероятность реализации угрозы и величину потери от реализации угрозы

•Потенциальная опасность нанесения ущерба в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

•Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива

•Риск = P (события) * Цена потери

ОБЩИЙ ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ

•Идентификация активов и информационных ресурсов

•Идентификация требований

•Моделирование угроз

•Идентификация уязвимостей

•Идентификация и оценивание рисков

•Определение стратегий обработки риска

АКТИВЫ И ИНФОРМАЦИОННЫЕ РЕСУРСЫ

•Актив – все что представляет ценность для организации (сотрудники, материальные ценности, информация, процессы)

•Актив имеет ценность, которая может быть оценена (н.р. путем BIA)

•Информационный ресурс – актив

ИДЕНТИФИКАЦИЯ И ОЦЕНКА ИНФ. РЕСУРСОВ

•Использование существующих данных (н.р. номенклатуры конф. сведений)

•Поверхностная экспертная оценка •Двоичная оценка •На основании классификации

•Диалоговые (групповые) методы

•Делфи

•Оценки стоимости •Оценка рыночной стоимости •Оценка на основе прибыльности

•Использование детального анализа процессов и их взаимосвязей

ТРЕБОВАНИЯ

•Юридические, законодательные, регулирующие, договорные, внутренние…

•Источник требований – оценка рисков более высокого уровня

•Каждое требование может быть ассоциировано с угрозой

•Методы анализа соответствия •gap-анализ •средние оценки и агрегация данных

•автоматизированные методы

ПРИМЕРЫ СВОДОВ ТРЕБОВАНИЙ

•Корпоративная политика ИБ •Требования ФСТЭК России

•ПДн (+ ФСБ России) •КТ •КСИИ •PCI DSS •Серия стандартов ISO 2700X

•СТО БР ИББС •Специализированные стандарты •OWASP (Open Web Application Security Project)

•CIS (Center for Internet Security) •Стандарты (и практики) от производителей программно-технического обеспечения

ОЦЕНКА ВЕРОЯТНОСТИ УГРОЗЫ (ПОДХОДЫ)

•На основании классификации •Статистика и опыт (подходит для случайных угроз)

•Анализ истории инцидентов •Отраслевые методики •Анализ информационных источников

ФАКТОРЫ, УЧИТЫВАЕМЫЕ ПРИ ОЦЕНКЕ УГРОЗ ДЛЯ ОРГАНИЗАЦИИ

•Особенности внешней среды •География и климат •Производственные ресурсы и конфигурация

•Социальная, политическая и рыночная конъюнктура •Бизнес-факторы •Открытость

•Состав предлагаемых сервисов •Ценность оборудования и инвентаря

АНАЛИЗ УЯЗВИМОСТЕЙ

•Выявление •экспертные •автоматизированные подходы •Анализ сценариев реализации уязвимости

•Аудит – возможный источник информации

ИДЕНТИФИКАЦИЯ И АНАЛИЗ УЯЗВИМОСТЕЙ

•Использование специализированных сканеров •Анализ конфигураций

•Инструментальные средства •Использование спец. Методик •CVSS

Уязвимости рассматриваются на следующих уровнях:

•организационный •прикладные системы •сети передачи данных

•общесистемного программного обеспечения

ВОЗМОЖНЫЕ ПОДХОДЫ

•Количественная оценка

РИСК = P (угроза) x P (уязвимость) x Цена потери

•Качественная оценка (нечеткие множества, шкалы оценок)

ОБЩИЕ ПОДХОДЫ К ОЦЕНИВАНИЮ РИСКА ИБ

1Базовый 2Неформальный 3Детальный 4Комбинированный

БАЗОВЫЙ ПОДХОД

•Принятие усредненного значения риска для всех систем

•Выбор стандартного набора средств защиты

Достоинства подхода

•Простота •Унификация защитных мер

Недостатки подхода

•Завышение или занижение уровня риска

НЕФОРМАЛЬНЫЙ ПОДХОД

•Анализ, основанный на практическом опыте конкретного эксперта

Достоинства подхода •Относительная простота

Недостатки подхода

•Возможность пропуска важных деталей

•Трудности при обосновании

•Большая зависимость от квалификации и субъективных качеств эксперта

ДЕТАЛЬНЫЙ ПОДХОД

•Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д.

Достоинства подхода •Адекватность при выборе защитных мер

Недостатки подхода •Значительные затраты на процесс

КОМБИНИРОВАННЫЙ ПОДХОД

•Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем

Достоинства подхода •Адекватность, полнота и обоснованность защитных мер, с оптимальным использованием ресурсов

Недостатки подхода •Потенциальная возможность неправильной классификации систем (н.р. отнесение критичных систем к некритичным)

СЦЕНАРИИ ОБРАБОТКИ РИСКОВ

•Уменьшение риска •Передача риска •Принятие риска •Уклонение от риска

ВАРИАНТЫ УМЕНЬШЕНИЯ РИСКА

•Внедрение механизмов контроля:

•организационных мер •технических средств

•Цели: •уменьшение вероятности использования уязвимости •уменьшение ущерба в случае возникновения инцидента

ВЫБОР СЦЕНАРИЯ ОБРАБОТКИ РИСКА

•Остаточный риск (уровень риска, оставшийся после его обработки)

•Итог – план обработки рисков

ВОЗМОЖНЫЕ МЕХАНИЗМЫ КОНТРОЛЯ

•Политика информационной безопасности •Управление активами

•Управление персоналом •Физическая защита •Контроль доступа

•Сетевая безопасность •Антивирусная защита (и защита от СПАМа) •Идентификация и аутентификация

•Криптографическая защита •Мониторинг и управление событиями безопасности

•Управление инцидентами ИБ •Управление непрерывностью бизнеса

•Стандартизация и контроль соответвия требованиям •Аудит

•Внесение избыточности в системы (резервное копирование и резервирование оборудования и пр.)

ОБЩИЕ ЗАМЕЧАНИЯ ПО УПРАВЛЕНИЮ РИСКОМ

•В организации может является основой для принятия решений не только по безопасности

•Должно рассматриваться как непрерывный процесс

Отраслевые методики

Примеры:

•OCTAVE •OSSTMMRAV •BS 7799-3 •NISTSP800-3 •Microsoft STRIDE •OWASP

Билет 7. СОСТАВ ОРГАНИЗАЦИОННЫХ МЕР

•Политика информационной безопасности

•Управление персоналом •должностные обязанности •проверка персонала

•соглашение о конфиденциальности •обучение

•Конфиденциальное делопроизводство

•документирование •учет •организация документооборота

•хранение документов •уничтожение документов

•контроль документов •Управляющий совет по ИБ •Координация вопросов ИБ •Распределение обязанностей по ИБ •Консультации специалистов по вопросам ИБ

•Сотрудничество между организациями в области ИБ

•Аудит ИБ •Соответствие требованиям

•Учет требований по ИБ в договорных отношениях

•Привлечение сторонних организация к обработке информации

Билет 7. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Понятие политики ИБ очень широкое: