Информационная

безопасность
Самые основы

Я.А.Кириленко, 2021
Большая и важная область
Стандарты: ГОСТ Р на основе ISO/IEC можно найти тут

“...по оценкам Всемирного экономического форума, киберугрозы заняли

третье место в рейтинге глобальных рисков, уступив климату и
стихийным бедствиям”

2018 г, заместитель председателя правления Сбербанка Станислав Кузнецов.

Информационная безопасность 1
Сохранение конфиденциальности, целостности и доступности
информации.
ГОСТ Р ИСО/МЭК 27000-2012 “ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЩИЙ
ОБЗОР И ТЕРМИНОЛОГИЯ”
Классическая триада CIA
Confidentiality — свойство информации быть недоступной или закрытой
для неавторизованных лиц, сущностей или процессов

Integrity — свойство сохранения правильности и полноты активов

Availability — свойство информации быть доступной и готовой к

использованию по запросу авторизованного субъекта, имеющего на это
право

Можно встретить “КЦД”

Но свойств гораздо больше в том же ISO\ГОСТ

Обеспечительные меры (направления защиты)

● Юридическая ответственность
● Обучение пользователей и администраторов
● Технические меры защиты информации
Обсудить свойства и меры
● Конфиденциальность
● Целостность
● Доступность

● “Неотказуемость” (non-repudiation) — неотрекаемость от авторства

информации, а также факта её отправки или получения
Политика информационной безопасности
Совокупность документированных правил, процедур, практических
приёмов или руководящих принципов в области безопасности
информации, которыми руководствуется организация в своей
деятельности.
Направления технической защиты
● Защита объектов информационной системы
● Защита процессов, процедур и программ обработки информации
● Защита каналов связи (акустические, инфракрасные, проводные,
радиоканалы и др.), включая защиту информации в локальных сетях
(в том числе, от регистрации ПЭМИН)
Этапы создания средств защиты
1. Определение информационных и технических ресурсов, подлежащих
защите
2. Выявление полного множества потенциально возможных угроз и каналов
утечки информации
3. Проведение оценки уязвимости и рисков информации при имеющемся
множестве угроз и каналов утечки
4. Определение требований к системе защиты
5. Осуществление выбора средств защиты информации и их характеристик
6. Внедрение и организация использования выбранных мер, способов и
средств защиты
7. Осуществление контроля целостности и управление системой защиты
Пример классификации средств защиты
● Средства защиты от
несанкционированного доступа
a. Средства авторизации
b. Мандатное управление доступом
c. Избирательное управление доступом
d. Управление доступом на основе ролей
e. Журналирование (Аудит)
● Системы анализа и моделирования
информационных потоков (CASE-
системы).
● Системы мониторинга сетей:
a. Системы обнаружения и предотвращения
вторжений (IDS/IPS).
b. Системы предотвращения утечек
конфиденциальной информации (DLP-
системы).
● Анализаторы протоколов
● Антивирусные средства
● Межсетевые экраны
● Криптографические средства:
○ Шифрование;
○ Цифровая подпись.
● Системы резервного копирования.
● Системы бесперебойного питания:
○ Источники бесперебойного питания;
Резервирование нагрузки;
○
○ Генераторы напряжения.
● Системы аутентификации:
○ Пароль;
○ Ключ доступа (физический или электронный);
○ Сертификат;
○ Биометрия.
● Средства предотвращения взлома
корпусов и краж оборудования.
● Средства контроля доступа в помещения.
● Инструментальные средства анализа
систем защиты
Информационная безопасность 2

Обоснованная уверенность в том, что информационные риски

уравновешены соответствующими мерами контроля и управления

Anderson, J. M. Why we need a new definition of information security, 2003

Модель угроз (риски)
Нужна везде (по всяким официальным требующим документам)

● описание угроз безопасности (нарушители, катастрофы, …)

● модель нарушителя (!)
● возможные уязвимости
● способы реализации угроз
● последствия от нарушения свойств безопасности информации

Очень хороший анализ наших реалий есть тут

Важные понятия
Мы уже упоминали, пора разобраться

● Идентификация — выделение уникального признака,

идентификатора
● Аутентификация — проверка подлинности/соответствия
● Авторизация — ограничение прав, применение ограничений

Бывает ли идентификация без аутентификации?

Бывает ли авторизация без аутентификации?

Механизмы аутентификации
А с чем сталкивались?

Попробуем классифицировать.

● know / have / are

Вот тут есть неплохая и доходчиво донесённая попытка классификации

со ссылками на источники интересных данных

● 2003 г: 152 человека — 75% за 1 фунт

● 2009 г: 130 человек — 28% , а ещё 16% из 49 не смогли вспомнить
Методы социальной инженерии
● Фишинг (Phishing)
● Заглядывание(shoulder surfing)
● Водопой (Watering hole)
○ Чаще через Zero-day vulnerability
● Предлог (Pretexting)
● Приманка и услуга за услугу (Baiting and quid pro quo)
● Vishing (voice phishing)
● Scareware
● ….
….. Самые действенные, очень действенные....
Примеры
Модель угроз (угрозы, нарушитель, уязвимости, последствия)
Организационные меры
Технические меры (применение технических средств)

Задача 1:
Задача 2:
Задача 3:
Простые выводы
1. Правильная модель угроз (!)
2. Нельзя от всего и всех защититься
3. Нельзя ограничиться техническими средствами
4. Нельзя доверять, нельзя надеяться
Технические средства
● Настройки маршрутизатора, Firewall
● Пароли и двухфакторная — грамотный выбор шагов
○ Внимание на backup схемы аутентификации — там много проблем
● Full-disk encryption (FDE), но надо понимать нюансы
● Передача сообщений только по защищённым каналам (VPN, HTTPS)
Общие соображения
● Меры по обеспечению безопасности — комплекс
● Начинаем с описания модели угроз (хоть неформально)
● Надо помнить, что противник/вредитель всегда умнее
● Основные уязвимости — не технические проблемы
● Задача мер обеспечения безопасности — сделать взлом
нерентабельным
● Безопасность VS. удобство
Если вдруг успеем ...

Идентификация в интернете

Кейс Фейсбука и рекламы Signal

Перехват смс / sms spoofing

SS7 attack

Дипфейк
Добавить