Информационная безопасность: Вводная лекция

Лекции

ФЖ

2014

Подход к ИБ

По масштабам: международный национальный общественный корпоративный/групповой индивидуальный

По сферам:

- Технический/программный (машины)

- Правовой/законодательный (законы)

- Гуманитарный/административный (люди)

Темы• Введение в ИБ. Термины, понятия, определения• Информационная и кибербезопасность на

международном и российском уровнях• Юридические и правовые аспекты ИБ• Медиаграмотность как основа личной

безопасности. Безопасность детей• Хакеры: технические и человеческие факторы• Манипулирование общественным мнением• Сетевая агрессия и троллинг

«Информационная безопасность»

• Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл.

• Под ИБ принято понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

• Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

ИБ для государства и граждан

Информационная безопасность – это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

ИБ: Государство

Для государства: защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а так же телекоммуникационной инфраструктуры, организаций и служб.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

ИБ: Организации

Для организаций: защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а так же принадлежащей им интеллектуальной собственности

В соответствии с действующим законодательством РФ, далеко не каждая фирма сегодня имеет право на защиту своей информации. Декларация прав и свобод человека и гражданина РФ и Конституция предоставили каждому право свободно искать и получать информацию. Следовательно, для осуществления действий по защите информации и, главное, по ограничению доступа к ней фирма должна иметь законные основания, имеющие отражение в правоустанавливающих документах фирмы.

ИБ: Граждане

Для граждан: защищенность их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а так же результатов их интеллектуальной деятельности.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Ура, праздник!

Ежегодно 30 ноября отмечается Международный день защиты информации.

Его цель — напоминание пользователям о необходимости защиты компьютеров и всей хранимой в них информации.

Праздник был учрежден 30 ноября 1988 года. Т.к. 2 ноября 1988 года а зафиксирована первая массовая эпидемия "червя" Морриса (название по имени своего создателя - Роберта Морриса, аспиранта факультета Вычислительной техники Корнелльского университета).

Кибербезопасность не= ИБ

Термин «компьютерная безопасность» или «кибербезопасность» не охватывают всё понятие ИБ как эквиваленты или заменители.

Компьютеры – только одна из составляющих информационных систем.

ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал.

ИБ = защищенность

ИБ = состояние защищенности информации = обеспечены: конфиденциальность, доступность и целостность.

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Полная ИБ

Субъекты и угрозы

• Решение проблем ИБ начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС).

• Угрозы информационной безопасности –это оборотная сторона использования информационных технологий.

Угрозы информационной безопасности

Угрозы информационной безопасности –совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, -злоумышленником.

Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Классификация угроз

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

• по расположению источника угроз (внутри/вне рассматриваемой ИС)

Актуальные угрозы ИБ

Цели: • Мошенничество, вымогательство, шантаж • Кража конфиденциальной информации• Реклама/рассылка спама/нежелательный

контент DoS/DDoS – атаки • Уничтожение данных • Манипуляции с брендом/черный PR (для

компаний)

Технологии: • Вирусы• Эксплойты• Трояны• Сетевые черви• Ботнеты• Rootkit-ы• Социальная инженерия

Каналы реализации: • Web• Социальные сети • Peer to Peer сети• Электронная почта• Системы обмена

сообщениями• Внешние носители• Мобильные

устройства• Беспроводные сети• Инсайдеры

Актуальные угрозы ИБ (корпоративные)

• Более половины всех опрошенных (58.7%) заявили, что за прошедшие 12 месяцев они становились жертвами той или иной формы компьютерного воровства

• 67% всех компьютерных краж происходят в условиях их мобильного использования; запирающие кабели и замки оказываются, как правило, бесполезными

• Три четверти (78.2%) компаний, где проводился опрос: за прошедшие 12 месяцев было украдено от 1 до 9 компьютеров; в каждой шестой опрошенной компании (17.6%) за последние 12 месяцев было украдено свыше 25 компьютеров

• 46% опрошенных заявили, что ценность информации, которая хранилась на украденных компьютерах от 25,000 до $1,000,000

• 44% всех опрошенных отметили, что единственной мерой защиты информации было периодическое резервирование данных

• 91% опрошенных не использовали средств шифрования для хранения данных на украденном ПК

• 48.6% организаций, где проводились опросы, не предусматривают специальных защитных мероприятий, направленных на защиту компьютеров от краж

По материалам 8th Annual 2010 BSI Computer Theft Survey

Обеспечение ИБ

Требуется комплексный подход. Уровни: 1. законодательный – законы, нормативные

акты и прочие документы РФ и международного сообщества;

2. административный – комплекс мер, предпринимаемых локально руководством организации;

3. процедурный – меры безопасности, реализуемые людьми;

4. программно-технический – непосредственно средства защиты информации.

Материалы по теме

Информационная безопасность (CNEWS Analitycs, май 2014) - http://www.slideshare.net/StanislavM/2014-3-35033824?qid=03ed58f0-2ef7-4e9e-97f1-

250121845a51&v=default&b=&from_search=9

Информационная безопасность. Курс лекций(ссылка на скачивание) http://yandex.ru/clck/jsredir?from=yandex.ru%3Byandsearch%3Bweb%3B%3B&text=&etext=442.3eR2GImSVKcpoH5-85INXPOTyuUbzSXplRhW2NzrPyWVOs_y3s_2eeOzOC8wm5Zt0k8R3vrgiSfKJmmTt8uh9k2rz3DgT-wha1CjAmx2yRXusBo7YteihEOy9OLWd9T2jdn1MGaG7ivYzgyx8dsRNO08_jTHCGe6jjMIIWPfRBYV4REVfPcYxxNchM3LsuDTDgBo-wb2cVDBW6EvA-FZy3jN2FF7dKHxF37fiTrfGgD-09vIkdZXKBtB0Bs2lD0uvP4zCH__CpHeD22D6cXyFe7exr_2RV6r1bTFhlAjVak.867f761d30e58fc1289f3459b4cb80da9b62c9d2&uuid=&state=AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW9J0KiE5XNXd1-5lCoUJb8Spzg0aAClArkHM-JUIm78SdbBOsQnBZ7oSf_HaWqjDIQWW2wsViT06yfb679eO4CDXMCgdvfxz39XXKg5maIFbrnfKQlXob_3TtCXuKqN6LOzHXNyvvCmJ69JVxagZ0HeFs5lQgPkyg58xKU2byomR4-pteA6RCbjEg7UIi5wqug&data=UlNrNmk5WktYejR0eWJFYk1LdmtxaEJNZlp3Q1BHRlBJSm5KOTVGYXhyYVQ1U1RnMjMteUVXWXVyOGUydHdJOXQ3eVYwWC1IRFZuOXBFc1R2ZFVya1pEbnFWN3BRUnFxZjYyUHpWSWR1UC1sZm5uUEw2OUNrblhTLW5DNno0ZjFJRDJGOG4wQmg2eXpZVjNEN1pSWWY4dWhBaDNjRnliNQ&b64e=2&sign=7153358927c40e97aad863f02031d01f&keyno=0&l10n=ru&cts=1410304666961&mc=2.7254805569978684

Информационная безопасность и защита информации (курс лекций) - http://www.mylect.ru/informatic/securityinformation.html

О системе СОРМ-3 - http://www.newtimes.ru/articles/detail/86456?sphrase_id=487381