 |
Источники внутренних угроз
|
|
|
|
• Случайные: ошибки и небрежность персонала, технические сбои и неполадки
• Преднамеренные: обиженные сотрудники, администраторы, «продвинутые» пользователи, технический персонал, уволенные сотрудники
ИСТОЧНИКИВНЕШНИХ УГРОЗ
• Случайные: влияние окружающей среды, стихийные бедствия
• Преднамеренные: Хакеры, шпионы, террористы, вандалы, охотники за промышленными секретами, конкурирующие компании, профессиональные преступники
УРОВНИ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ. Законы и нормативные акты действуют на всех субъектов информационных отношений независимо любой организационной принадлежности в пределах страны и более широком масштабе.
АДМИНИСТРАТИВНЫЙ УРОВЕНЬ распространяется на всех субъектов в пределах отрасли, предприятия (включает приказы, нормативные документы руководства, формирующие – политику безопасности).
ПРОЦЕДУРНЫЙ УРОВЕНЬ ориентирован на конкретных людей или группы по категориям персонала организации (включает меры по управлению персоналом, физическую защиту, поддержание работоспособности информационных систем, реагирование на нарушения ИБ, планирование восстановительных работ)
ПРОГРАММНО-ТЕХНИЧЕСКИЙ УРОВЕНЬ относится к оборудованию и программному обеспечению
ОСНОВНЫЕ ПРИНЦИПЫ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НЕПРЕРЫВНОСТЬ ЗАЩИТЫ. Элемент информации должен быть защищен во всех своих формах, постоянно и на любом месте.
СИСТЕМНОСТЬ. Должны быть учтены в максимальной степени все взаимосвязанные, взаимодействующие и изменяющиеся во времени элементы, условия и факторы.
РАЗУМНАЯ ДОСТАТОЧНОСТЬ. Затраты на защиту информации должны соответствовать ценности защищаемой информации, и не превышать потенциально возможный ущерб в случае нарушения информационной безопасности.
|
|
|
КОМПЛЕКСНОСТЬ. Обеспечение информационной безопасности достигается путем применения комплексного подхода с использованием физических, технических, правовых, организационных и морально-этических средств.
ЭШЕЛОНИРОВАННОСТЬ ЗАЩИТЫ. Защита информации должна осуществляться на всех уровнях, «прорыв» на одном из уровней не должен привести к разрушению всей системы защиты.
ГИБКОСТЬ. Обеспечивает возможность создания СЗИ с учетом адаптации к изменениям.
ПРОСТОТА ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ Не должны существенно усложнять работу, быть понятными пользователю.
Развитие проблематики
компьютерной безопасности: XXI век
Особенности ИТ-среды и связанные с ними проблемы безопасности
v Высокая степень интеграции многочисленных ИС требует.
поиска комплексных решений в области разработки методов обеспечения ИБ с учетом особенностей ОС, многоуровневого сетевого взаимодействия, прикладных программ, сервисных приложений…
v Усложнение ИТ передачи, обработки и хранения информации в сочетании с высокой доступностью – требования к надежности, устойчивости к многочисленным атакам, обеспечению высокой доступности.
v Широкий спектр аппаратных платформ, развитие мобильной и беспроводной связи – расширяется спектр угроз, требуются увязка всех особенностей
v Разнообразие сетевых технологий (архитектура, протоколы, службы, сервисы) – расширение возможности организации скрытого взаимодействия с сохранением анонимности, повышение требований к безопасности в недоверенной и агрессивной среде.
v Большое количество национальных и м/н организаций, координирующих и стандартизирующих ИТ-деятельность: разработка оборудования и ПО, требования КБ (протоколы взаимодействия IETF, механизмы защиты ISO, оценка защищенности IEEE/ACM)
|
|
|
v Появление детальных и высокоразвитых стандартов: средств сетевой безопасности (~ неск. тыс. документов *rfc), оценки защищенности (ISO 15408), оргтребований к технологиям и аудиту ИБ: (ISO 17799, CoBIT и др.), компьютерному образованию (Computing Curricula 2001, Curriculum Guidelines 2004) Задачи согласования требований, адаптация к национальным стандартам, увязка соответствующих решений при интеграции
v Появление детальных и высокоразвитых стандартов в области средств безопасности м/сетевого взаимодействия (~ нескольких тысяч документов *rfc), оценки защищенности (ISO 15408), оргтребований к технологиям и аудиту ИБ: (ISO 17799, CoBIT и др.), образованию в области компьютерных наук (Computing Curricula 2001, Curriculum Guidelines 2004)
Задачи согласования требований, адаптация к национальным стандартам, увязка соответствующих решений при интеграции
v Большое количество несертифицированного иностранного оборудования и ПО, применяемого в в критически важных областях экономики и сфере госуправления - риски экономической и национальной безопасности
v Недостаточно высокая адежность доступного на потребительском рынке оборудования - Задачи повышения надежности, обеспечения бесперебойной работы АС, технологий быстрого восстановления систем.
v Расширение спектра свойств, характеризующих безопасность - только для протоколов более 20 свойств в документах IETF
v Широкое использование развитых программных систем со встроенными средствами защиты – проблемы анализа уязвимости, конфигурирования
v Развитие технологий электронного документооборота - организационные, криптографические, технологические, правовые проблемы обеспечения юридически значимого ЭД
v Широкое распространение систем сокрытия электронной информации (стеганография и смежные области) – задача обеспечения стойкости к обнаружению и разработка методов извлечения
v Увеличение числа и усложнение характера угроз утечки секретнои конфиденциальной информации – риски доступа к средствам хранения, многообразие средств воздействия с целью изменения содержания
v Повышение технологического уровня и совершенствование тактики компьютерных атак - небольшой программный код, самомаскировка присутствия в системе, вирусы, сетевые черви и другие вредоносные программные агенты
|
|
|
v Рост потребности в надежных средствах защиты (государственные, банковские системы, пластиковые карты и др.) – неразвитость рынка отечественных средств защиты на общем фоне.
v Перспективы вступления России в ВТО – переход от госстандартов к техническим регламентам в сфере ИТ и ИБ.
v Экономические аспекты и эффективность управления информационными рисками - разработка и применение автоматизированных технологий контроля и аудита информационной безопасности компьютерных систем различного назначения
v Рост потребности в специалистах по КБ – по официальным прогнозам потребность госструктур до 2010 года 4000-5000 в год
|
|
|
