Please enable JavaScript.
Coggle requires JavaScript to display documents.
Организационное и правовое обеспечение информационной безопасности…
Организационное и правовое обеспечение информационной безопасности
Правовое обеспечение ИБ
Иерархия нормативно правовых актов
Законодательный акты
Конституция РФ
Каждый имеет право на неприкосновенность частной жизни...
Каждый имеет право на тайну переписки
Не допускается сбор, хранения, исп. и распр. инф. от частной жизни без солгасия
Обеспечение возможности ознакомления с документами каждого, чьи права в документах затрагиваются
№148-ФЗ
Доступ не может быть ограничен
Норм. правовые акты, затрагивающие права и свободы гражданина и человека
Инф. о сост. окр. среды
Инфю о деятельности гос. органов и орг. самоуправления
Инф., накапливаемой в открытых фонда библиотек, музеев, архивов и иных открытых системах
Иная инф., которая не может быть огр. ФЗ
Обладатель - физ лицо, юр лицо, РФ, субъект РФ, мун. обр.
№152-ФЗ
и др.
№63-ФЗ
Виды подписей
Простая
Усиленная квалифицированная
Усиленная неквалифицированная
Нормативно правовые акты Президента РФ
Доктрина ИБ
УП Ф №188 "об утв перечня свед. конф хар-ра"
и др.
Постановления Правительства РФ
№1119 "Об утв. треб к защите ПДн при их обр к ИСПДн"
№211 "Об утв перечня мер, направ. на вып. обяз., предусмотренных ФЗ "О ПДне"
и др.
Основные национальные стандарты в области ЗИ
ГОСТ 51583-2000 "Порядок соз АС в ЗИ"
ГОСТ Р 50739-95 "СВТ защита от НСД"
СССР ГОСТ 34.603-92 "Инф. техгология. Виды испытания АС"
и др.
ГОСТ Р ИСО/МЭК 13335 "Методы и ср-ва обеспеч. безопасности"
Активы
Материальные активы
Информация
ПО
Способность производить продукт или предоставлять услгу
Люди
Нематериальные ресурсы
Угрозы
См. весть "Основные угрозы ИБ"
Нормативные и методические документы в области ЗИ
Методика опред. актуальных угроз в ИС
РД "Концепция защиты ср-в вычислительной техники и автоматизированных систем от НСД"
Сокращения
АС - автоматизированная система
НСД - несанкционированный доступ
СЗИ - система защита информации
ППП - пакет прикладных программ
СВТ - средства вычислительной техники
ОС - операционная система
СРД - система разграничения доступа
ПРД - правила разграничения доступа
РД - распорядительный документ
ТЗ - техническое задание
ЭВМ - электронно-вычислительная техника
Задачи
Выработка требований по защите СВТ И АС от НСД
Создание защищенных от НСД к инф. СВТ и АС
Сертификация защищенных СВТ и АС
Основные принципы
Защита АС должна обеспечиваться на всех этапах обработки инф.
Программно-технические ср-ва защиты не должны существенно ухудшать основные хар-ки
Важная часть - оценка эффективности ср-в защиты
Нарушитель
Четвертый ур-нь
Весь объем возможностей
Третий ур-нь
Управ функц-ес АС
Второй ур-нь
Возможности созд. и запуска собственных программ с новыми ф-ями
Первый ур-нь
Запуск задач из фиксированного набора
Основные способы НСД
Непосредственное обращение к объектам доступа
Созд. прогр. и тех. ср-в, выполняющих обращение к объектам
Модификация ср-в защиты
Внедрение в тех ср-ва СВТ или АС программных или технических механизмов
Обеспечение защиты от НСД
Осуществляется
СРД
Средства для РСД
Основные ф-и РСД
Реализация правил разграничения доступа
Реализация ПРД субъектов
Изоляция программ процесса
Управление потоками данных
Реализация правил обмена данными между субъектами
Функции ср-в для РСД
Идентификация и опознание субъектов
Регистрация д-й субъекта и его процесса
Предоставление возможностей исключения и включения новых субъектов и объектов доступа
Реакция на попытки НСД
Тестирование
Очистка оперативной памяти и рабочих областей на магнитных дисках
Учет выходных печатных, граф. форм и твердых копий в АС
Контроль целостности программной и инф. части как РСД
Основные хар-ки тех ср-в защиты от НСД
Степень полноты и кач-во охвата ПРД
Состав и кач-во обеспечивающих ср-в для СРД
Гарантии правильности функционирования СРД
Приказы №17 и №21 по вопросам защиты ПДн...
РД "Автоматизированные системы"
Сокращения
АС - автоматизированная система
НСД - несанкционированный доступ
РД - руководящий документ
СЗИ - система защиты информации
СЗИ НСД - система защиты информации от несанкционированного доступа
Необходимые данные для проведения классификации
Перечень защищаемых инф. ресурсов АС и уровен конф.
Перечень лиц, имеющих доступ
Матрица доступа
Режим обработки данных в АС
Определяющие пр-ки
Наличие в АС инф. различного ур-ня конф.
Ур-нь полномочий субъектов доступа АС
Режим обработки данных в АС
Коллективный доступ
1 группа А-Д
Многопользовательская с разными правами
2 группа А-Б
Многопользовательская с одинаковыми правами
3 группа А-Б
Однопользовательская
РД "СВТ. Защиьа от НСД"
Сокращения
АС - автоматизированная система
КД - конструкторская документация
КСЗ - комлекс ср-в защиты
НСД - несанкционированный доступ
ПРД - правила разграничения доступа
СВТ - средства вычислительной техники
Классы защищенности от НСД
Первая группа
7 класс
Вторая группа (дискреционная защита)
6 и 5 классы
Список управления доступом
Третья группа (мандатная защита)
3 и 2 классы
Объекту гриф секретности, а субъекту - уровень доступа
Четвертая группа (верифицированная защита)
1 класс
РД "СВТ. МЭ. Защита от НСД"
А - Физ граница
Б - Логическая граница
В - Узел
Г - На сервере
Д - В АС управ. технологич или производ. процессами
Решение задач
Разработка, совершенств. и обеспечение функционирования механизмов отнесения сведений к инф. огр. доступа
Опред. перечня свед., отнесенных к гос. тайне
Сов. сек.
Секретно
Особой важности
Установление правового режима
Установление порядка доступа допуска к гос. тайне
Организационное обеспечение ИБ
Обеспечивает
Организацию охраны, режима, работу с кадрами, с документами
Использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности
Основные мероприятия
Организация режима и охраны
Организация работы с сотрудниками
Организация работы с документами и документированной информацией
Организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации
Организация работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты
Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией
Направления
Организация внутриобъектового пропускного режими
Организация аналитической работы и контроля
Организация работы с персоналом
Комплексное планирование мероприятий по защите информации
Организация работы с носителями сведений
Принципы ЗИ
Комплексного подхода
Отражает целеустремленность должностных лиц на решение задач ЗИ
Оперативности принятия управленческих решений
Эффективное и полное распред. сил, участвующих в ЗИ
Персональной ответственности
Исп. сил, ср-в, способов и методов ЗИ в зависимости от конкретной ситуации
Основные условия
Непрерывность всестороннего анализа состояния системы ЗИ
Неукоснительное соблюдение установленных норм и правил ЗИ
Система ЗИ, созд. на норм.-прав. основе и отражает все направ. и специфику
Система ЗИ
Централизованная
Плановая
Конкретная и целенаправленная
Активная
Надежная и универсальная
Подразделения для орг. работ по ЗИ
Режимно-секретные
Организация деятельности по ЗИ
Подразд. по противод-ю иностр тех. разведкам и тех. ЗИ
Орг. мероприятий направ. на искл. возд. ин. разведки
Подразделение криптограф ЗИ
Закрытие каналов утечки при передаче по открытым каналам
Мобилизационные
Решение задач всесторонней подготовки предприятия к работе в усл. военного времени
Подразделения охраны и пропускного режима
Предотвращение несанкционированного пребывания на территории объектов
Основные угрозы ИБ
Основные определения
Угроза безопасности
Ущерб безопасности
Атака на компьютерную систему
Уязвимости КС
Основные виды
Стихийные бедствия
Сбои и отказы оборудования
Последствия ошибок проектирования и разработки
Ошибки эксплуатации
Преднамеренные д-я нарушителей
Угрозы
Искусственные
Преднамеренные
Непреднамеренные
Естественные
Классификация
По цели
Несанкционированное чтение информации
Несанкционированное изменение информации
Несанкционированное уничтожение информации
по принципу воздействия на КС
Использование легальных каналов
Использование скрытых каналов
Создание новых каналов
По характеру возд-я
Активное возд-е - несанкционированные д-я в системе
Пассивное возд-е - несанкционированное наблюдение за процессами в системе
По типу исп. слабости защиты
Неадекватная политика безопасности
ошибки и недокументированные возможности ПО
ранее внедренные программные закладки
По способу возд-я на объект атаки
Непосредственное превышение пользователем своих полномочий
Работа от имени другого пользователя или перехват результатов его рабоыт
По способу д-й нарушителя
В интерактивном режиме (вручную)
По исп. ср-вами атаки
Штатные ср-ва
ПО третьих фирм
По объекту атаки
Аппаратные ср-ва
Программные ср-ва
Данные
Персонал
Модель нарушителя
Учитывать
Квалификация нарушителя мб на уровне разработчика
Нарушителем мб кто угодно
Нарушителю известна инф. о принципах работы системы
Нарушитель выберет наиболее слабое звено в защите
Классификация нарушителей
По уровню знаний о КС
Знает функциональные особенности КС
Обладает высоким уровнем знаний и опытом работы с тех ср-вами системы
Обладает высоким уровнем знаний в области программирования и выч. техники
Знает структуру, ф-и и механизмы д-я ср-в защиты
По уровню возможностей
Применяющий чисто агентурные методы
Применяющий пассивные ср-ва
Исп. только штатные ср-ва и недостатки системы защиты
Применяющий методы и ср-ва активного возд-я средств
По времени д-я
В процессе ф-ования КС
В период неактивности компонентов защиты системы
В обоих случаях
По месту д-я
Без доступа на контролируемую территорию
С контролируемой территории без доступа в здания
Внутри помещения, но без доступа к тех ср-вам КС
С рабочих мест конечных пользователей КС
С доступом в зону данных
С доступом в зону управ. ср-вами обеспечения безопасности КС