А.Д.

Рудченко
Институт проблем безопасности А.В. Юрченко

 Дисциплина по выбору
 4-й курс бакалавриата

Управление системами безопасности бизнеса  Факультет менеджмента

Security Management for

 Раздел № 4

Информационная безопасность
предприятия
 Тема

11

Безопасность электронных ресурсов, систем и процессов

БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ РЕСУРСОВ, СИСТЕМ И ПРОЦЕССОВ

1. О соотношении понятий информационная и кибернетическая безопасность.

2. Философия информационной безопасности бизнеса.
3. Угрозы в сфере кибернетической безопасности бизнеса.
4. Системные угрозы кибернетической безопасности предприятия. Электронный шпионаж.
5. Деятельность отдельных лиц по нанесению ущерба кибернетической безопасности.
6. Уголовные преступления в сфере кибернетической безопасности.
7. Проблемы персонала и противодействие угрозам информационной безопасности
бизнеса со стороны персонала.
8. Модели организации кибернетической безопасности предприятия.
9. Построение систем и аудит их эффективности.
10. Архитектура стандартов защиты информации и принципиальные подходы к их
правовому обеспечению. Взаимодействие службы безопасности (через функцию
информационной безопасности) с подразделением ИТ обеспечения предприятия.
11. Особенности подбора персонала, осуществляющего функцию обеспечения безопасности
электронных ресурсов, систем и процессов.
 СООТНОШЕНИЕ ПОНЯТИЙ ИНФОРМАЦИОННОЙ И КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

БЕЗОПАСНАЯ ДЕЯТЕЛЬНОСТЬ
КИБЕРПРЕСТУПНОСТЬ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В КИБЕРПРОСТРАНСТВЕ

Обеспечение информационной
ЗАЩИТА ПРИЛОЖЕНИЙ Обеспечение кибернетической
безопасности это деятельность,
безопасности представляет
направленная на достижение
собой деятельность,
состояния защищенности
направленную на достижение
информационной сферы при
состояния защищенности
котором реализация известных КИБЕРНЕТИЧЕСКАЯ БЕЗОПАСНОСТЬ управления, при котором его
угроз в отношении нее
нарушение невозможно
невозможна
СЕТЕВАЯ ИНТЕРНЕТ
БЕЗОПАСНОСТЬ БЕЗОПАСНОСТЬ

ЗАЩИТА ОСОБО ВАЖНОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

ОСНОВНЫЕОБЪЕКТЫ
ОСНОВНЫЕ ОБЪЕКТЫВОЗДЕЙСТВИЯ
ВОЗДЕЙСТВИЯИНФОРМАЦИОННО-УДАРНЫХ
ИНФОРМАЦИОННО-УДАРНЫХГРУППИРОВОК
ГРУППИРОВОКСИЛ
СИЛИИСРЕДСТВ
СРЕДСТВИНФОРМАЦИОННОГО
ИНФОРМАЦИОННОГО
ПРОТИВОБОРСТВА
ПРОТИВОБОРСТВА

каналы связи,
программное и программно-аппаратные, обеспечивающие интеллект
каналы связи,
информационное
программное и телекоммуникационные
программно-аппаратные, циркуляцию человека и
интеллект
обеспечивающие
обеспечение
информационное и другие средства
телекоммуникационные информационных массовое
человека и
циркуляцию потоков и
обеспечение информации
и другие средства и интеграциюпотоков
системыи сознание
массовое
информационных
управления
информации и управления сознание
интеграцию системы
управления управления
  отсутствие международно-правовой основы запрещающей применение
 отсутствие международно-правовой основы запрещающей применение
информационного оружия и проведение информационных операций;
информационного оружия и проведение информационных операций;
 несовершенство нормативной правовой основы устанавливающей
 несовершенство нормативной правовой основы устанавливающей
ответственность за совершение преступлений в сфере информационных
ответственность за совершение преступлений в сфере информационных
технологий;
технологий;
 разработка отдельными государствами доктрин и стратегий наступательных
 разработка отдельными государствами доктрин и стратегий наступательных
и подрывных действий в информационном пространстве;
и подрывных действий в информационном пространстве;
 интенсивное развитие военных информационных технологий, в том числе
 интенсивное развитие военных информационных технологий, в том числе
средств поражения систем управления гражданского и военного
средств поражения систем управления гражданского и военного
назначения;
назначения;
 нивелирование роли международных организаций и их органов, в области
 нивелирование роли международных организаций и их органов, в области
обеспечения международной информационной безопасности;
обеспечения международной информационной безопасности;
  создание и применение специальных сил и средств негативного воздействия на
 создание и применение
информационную специальных сил и средств негативного воздействия на
инфраструктуру;
информационную инфраструктуру;
 существование специальных образцов вредоносного программного обеспечения
 существование
поражающего специальных образцовсистемы
автоматизированные вредоносного программного
управления обеспечения
промышленных и других
поражающего автоматизированные системы
объектов критически важной инфраструктуры;управления промышленных и других
объектов критически важной инфраструктуры;
 появление форм гражданского неповиновения связанных с посягательствами на
 появление форм гражданского
информационную неповиновения
инфраструктуру связанных
в знак протеста противс политики
посягательствами на и
государства
информационную инфраструктуру
деятельности органов власти; в знак протеста против политики государства и
деятельности органов власти;
 проникновение информационных технологий во все сферы государственной и
 проникновение
общественной информационных
жизни, построение технологий
на их основевосистем
все сферы государственной
государственного и
и военного
общественной
управления; жизни, построение на их основе систем государственного и военного
управления;
 развитие государственных проектов и программ в сфере информатизации
 развитие государственных
(электронный проектов
документооборот, и программ вэлектронное
межведомственное сфере информатизации
взаимодействие,
(электронный документооборот, межведомственное электронное взаимодействие,
универсальные электронные карты, предоставление государственных услуг в
универсальные электронные
электронной форме) карты,
направленных предоставление
на формирование государственныхобщества
информационного услуг в
электронной форме) направленных на формирование информационного общества
УГРОЗЫ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

Что такое кибернетические угрозы?

Объект кибернетической безопасности – процесс управления

Объект кибернетической безопасности – процесс управления

Кибернетические угрозы – явления, деяния, условия, факторы,

Кибернетические
представляющие угрозы – явления,
опасность деяния, условия,
для информации факторы,
управления,
представляющие
инфраструктуры опасность
управления, для информации
субъектов управленияуправления,
и порядка
инфраструктуры управления, субъектов управления и порядка
управления.
управления.
Опасность заключается в возможности нарушения свойств одного,
Опасность заключается
либо нескольких в возможности
указанных элементов,нарушения
что можетсвойств одного,
привести к
либо несколькихнарушению
указанных элементов,
управления.что может привести к
нарушению управления.
УГРОЗЫ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

АКТУАЛЬНЫЕ ТИПЫ КИБЕРУГРОЗ

ОТСУТСТВИЕ
КИБЕРНЕТИЧЕСКОЕ
ПРИВАТНОСТИ
ПРОТИВОБОРСТВО
ИНТЕРНЕТ-
СОЦИАЛЬНЫЕ ЗАВИСИМОСТЬ
СЕТИ ДЕЯТЕЛЬНОСТЬ НОВОГО ПОКОЛЕНИЯ
КИБЕРПРЕСТУПНИКОВ

О П А С Н О С Т Ь

ИНФОРМАЦИЯ ДЛЯ ИНФРАСТРУКТУРА СУБЪЕКТЫ ПОРЯДОК

УПРАВЛЕНИЯ УПРАВЛЕНИЯ УПРАВЛЕНИЯ УПРАВЛЕНИЯ
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И
ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ

ТИПОВЫЕ ПУТИ
ТИПОВЫЕ ПУТИ НЕСАНКЦИОНИРОВАННОГО
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
ДОСТУПА КК ИНФОРМАЦИИ
ИНФОРМАЦИИ

·перехват электронных
·перехват электронных излучений;
излучений;
·принудительное электромагнитное
·принудительное электромагнитное облучение
облучение (подсветка)
(подсветка) линий
линий связи
связи сс целью
целью получения
получения паразитной
паразитной
модуляции;
модуляции;
·применение подслушивающих
·применение подслушивающих устройств
устройств (закладок);
(закладок);
·дистанционное фотографирование;
·дистанционное фотографирование;
·перехват акустических
·перехват акустических излучений
излучений ии восстановление
восстановление текста
текста принтера;
принтера;
·хищение носителей
·хищение носителей информации
информации ии документальных
документальных отходов;
отходов;
·чтение остаточной
·чтение остаточной информации
информации вв памяти
памяти системы
системы после
после выполнения
выполнения санкционированных
санкционированных запросов;
запросов;
·копирование носителей
·копирование носителей информации
информации сс преодолением
преодолением мер
мер защиты;
защиты;
·маскировка под
·маскировка под зарегистрированного
зарегистрированного пользователя;
пользователя;
·мистификация (маскировка
·мистификация (маскировка под
под запросы
запросы системы);
системы);
·использование программных
·использование программных ловушек;
ловушек;
·использование недостатков
·использование недостатков языков
языков программирования
программирования ии операционных
операционных систем;
систем;
·включение вв библиотеки
·включение библиотеки программ
программ специальных
специальных блоков
блоков типа
типа "Троянский
"Троянский конь";
конь";
·незаконное подключение
·незаконное подключение кк аппаратуре
аппаратуре ии линиям
линиям связи;
связи;
·злоумышленный вывод
·злоумышленный вывод из
из строя
строя механизмов
механизмов защиты;
защиты;
·внедрение ии использование
·внедрение использование компьютерных
компьютерных вирусов.
вирусов.
ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И
ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ

ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК

ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК

Почтовая бомбардировка
Атаки с подбором
Почтовая пароля
бомбардировка
Вирусы,
Атакипочтовые
с подбором черви и "троянские кони"
пароля
Вирусы, почтовые черви и "троянские кони"
Сетевая разведка
Производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с помощью DNS
Сетевая разведка
адресов и т. д
Производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с помощью DNS
адресов и т. д

Сниффинг пакетов
Сниффер перехватывает
Сниффинг пакетов все сетевые пакеты, которые передаются через атакуемый домен.
Сниффер перехватывает все сетевые пакеты, которые передаются через атакуемый домен.

IP-спуфинг - вид атаки, при которой хакер внутри организации или за ее пределами выдает себя
за санкционированного пользователя.
IP-спуфинг - вид атаки, при которой хакер внутри организации или за ее пределами выдает себя
IP-спуфинг часто используется
за санкционированного как составная часть более сложной, комплексной атаки. Типичный
пользователя.
пример — атака
IP-спуфинг DDoS,
часто для осуществления
используется которой
как составная часть хакер
более обычно размещает
сложной, соответствующую
комплексной атаки. Типичный
программу
пример на
— чужом IP-адресе,
атака DDoS, для чтобы скрыть свою
осуществления истинную
которой личность.
хакер обычно размещает соответствующую
программу на чужом IP-адресе, чтобы скрыть свою истинную личность.
 ТИПОВЫЕ СЦЕНАРИИ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЭЛЕКТРОННЫМ СИСТЕМАМ И
ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ НИХ

ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК (продолжение)

ОСНОВНЫЕ ВИДЫ СЕТЕВЫХ АТАК (продолжение)
Атака на отказ в обслуживании
Атака на
Основная отказ в трафик,
защита: обслуживании
предназначенный для переполнения атакуемой сети, необходимо
Основная
"отсекать" защита: трафик,
у провайдера предназначенный для переполнения атакуемой сети, необходимо
услуг Интернет.
"отсекать" у провайдера услуг Интернет.

Когда атака этого типа проводится одновременно через множество устройств, говорится о
Когда атака этого
распределенной типа(Distributed
атаке DoS проводится одновременно
Denial через множество устройств, говорится о
of Service — DDoS).
распределенной атаке DoS (Distributed Denial of Service — DDoS).
Основные способы защиты:
1. Основные
Правильноспособы защиты:
сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых
1.экранах.
Правильно сконфигурировать
Если хакер функциизамаскировать
будет не в состоянии анти-спуфингасвою
на истинную
маршрутизаторах
личность,ионмежсетевых
вряд ли
экранах.
решится Если хакер будет
на проведение атаки.не в состоянии замаскировать свою истинную личность, он вряд ли
решитсяина
2. Включить проведение
правильно атаки.
сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых
2.экранах.
Включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых
экранах. объем проходящего по Сети некритического трафика. Об этом уже нужно
3. Ограничить
3.договариваться
Ограничить объемсо своимпроходящего по Сети некритического трафика. Об этом уже нужно
Интернет-провайдером.
договариваться со своим Интернет-провайдером.

Атаки типа Man-in-the-Middle

Атаки типа Man-in-the-Middle
Использование "дыр" и "багов" в ПО
Использование "дыр" и "багов" в ПО
 ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ
БАНК, ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.

Самый популярный вектор атаки – заход на компьютер клиента банка с последующим хищением
или использованием ключа его электронно-цифровой подписи (ЭЦП) и перехватом логина и пароля
учетной записи в системе «интернет-банк».

Ситуация усугубляется использование однотипного программного обеспечения для доступа к

ДБО.

ФАКТИЧЕСКИ БАНК НЕ МОЖЕТ ВЛИЯТЬ НА БЕЗОПАСНОСТЬ КЛИЕНТА!

Способы повышения защищенности:

1. Навязать клиенту USB-Token и выполнить привязку его IP-адреса.
2. Алгоритмы двухфакторной авторизации, вроде использования карточки одноразовых паролей
или SMS - уведомлений.

КАК СНИЗИТЬ РИСКИ ПРАКТИЧЕСКИ ДО МИНИМУМА?

• Отделить рабочую станцию с «банк-клиентом» межсетевым экраном от локальной сети

• Сделать доступ с этой рабочей станции только на IP-адрес банка
• Удалить с компьютера все ненужное ПО
• Не держать USB-Token постоянно включенным в компьютер,
 ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК,
ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.

ДВЕ ТИПОВЫЕ МОДЕЛИ ПОВЕДЕНИЯ НАРУШИТЕЛЯ

«Классический хакер»
 сканирование сервисов,
 поиск устаревших версий ПО,
 поиск уязвимостей в системе аутентификации,
 поиск уязвимостей в доступных web-приложениях.

Нарушитель является законным пользователем системы :

• у него есть своя учетная запись, свой счёт и все права на него
• он пытается исследовать систему в надежде найти уязвимости.

CROSS-SITE SCRIPTING
• Уязвимость позволяет атакующему влиять на генерируемое содержимое web-страницы системы
интернет-банка
• злоумышленник может использовать ресурс банка для атаки на клиента. В сочетании с
«Фишингом» эта атака становится более опасной, так как домен и IP-адрес действительно
принадлежат банку.

SQL-ИНЪЕКЦИЯ
• Общение с базой данных системы интернет-клиент в обход правил системы
• Результат - утечка или изменение базы клиентов, их счетов, номеров пластиковых карт, платежных
поручений, паролей от системы, и т.п.

ОШИБКИ БИЗНЕС ЛОГИКИ

Пример: при конвертации валюты скрипт генерирует курс и просит пользователя ввести сумму, которую он
хочет обменять. Если при этом не происходит дополнительной проверки курса, то злоумышленник может
поменять курс по своему усмотрению, из-за чего конвертация может пройти с неправильным курсом.
 ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК,
ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.

ОСНОВНАЯ СХЕМА МОШЕННИЧЕСКИХ МАХИНАЦИИЙ

ОСНОВНАЯ СХЕМА МОШЕННИЧЕСКИХ
С ИСПОЛЬЗОВАНИЕМ МАХИНАЦИИЙ
ИНТЕРНЕТ БАНК-КЛИЕНТОВ
С ИСПОЛЬЗОВАНИЕМ ИНТЕРНЕТ БАНК-КЛИЕНТОВ
1. Хаотичное заражение большого количества ПК вредоносным программным обеспечением,
1. Хаотичное
использую заражение
незакрытыебольшого количества
уязвимости ПК вредоносным
в браузерах программным
или др. прикладном обеспечением,
ПО (часто используются
использую незакрытые уязвимости в браузерах
незакрытые дыры в ПО Adobe, Microsoft, Mozilla и др.) или др. прикладном ПО (часто используются
незакрытые дыры в ПО Adobe, Microsoft, Mozilla и др.)
2. Если в список зараженных ПК попадает машина, с которой осуществляются банковские операции,
2. Если в список
данный фактзараженных ПК попадает
регистрируется, и на неемашина, с которой
закачиваются осуществляются
дополнительные банковские
модули, операции,для
необходимые
данный факт регистрируется, и на нее закачиваются дополнительные модули,
кражи электронных ключей и аутентификационной информации. Часто применяются различные необходимые для
кражи электронных
кейлоггеры, ключей
средства и аутентификационной
удаленного информации.
управления (Teamviewer, Часто
VNC, применяются
Remote Admin), различные
вредоносные
кейлоггеры, средства удаленного управления (Teamviewer, VNC, Remote Admin),
модули, предназначенные специально для извлечения ключей из реестра и внешних носителей. вредоносные
модули, предназначенные специально для извлечения ключей из реестра и внешних носителей.
3. Как только необходимая информация собирается, она передается злоумышленникам, которые
3. Какпроверяют
только необходимая
возможностьинформация
авторизациисобирается,
и проведения онаплатежных
передается злоумышленникам, которые
поручений.
проверяют возможность авторизации и проведения платежных поручений.
4. Как только вся необходимая информация для проведения мошенничества готова,
4. Какзлоумышленники
только вся необходимая
прилагают усилия информация для проведения
для того, чтобы скрыть следымошенничества
преступления отготова,
жертвы.
злоумышленники прилагаютметоды,
Применяются различные усилияначиная
для того, чтобы скрыть
от нарушения следы преступления
функционирования от жертвы.
ПК, с которого были
Применяются различные методы, начиная от нарушения функционирования ПК,
похищены ключи, заканчивая DDoS-атаками на сервер банк-клиента. Цель данных действий – с которого были
похищены ключи,отсрочить
максимально заканчиваямомент
DDoS-атаками на сервер
обнаружения банк-клиента.
факта Цель чтобы
преступления, данныхденьги
действий –
успели
максимально
перевестись отсрочить момент
на подставные фирмы. обнаружения факта преступления, чтобы деньги успели
перевестись на подставные фирмы.
5. Деньги выводятся через цепочку счетов подставных компаний или пластиковые карточки
5. Деньги выводятся
физических лиц. через цепочку
Наиболее частосчетов подставныхпроизводится
обналичивание компаний или пластиковые
в районе Урала икарточки
Западной
физических лиц. Наиболее часто обналичивание производится в
Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др. районе Урала и Западной
Сибири, регулярно мелькают такие города, как Екатеринбург, Челябинск и др.
 ЭЛЕКТРОННЫЕ ФИНАНСЫ, СИСТЕМЫ БАНК-КЛИЕНТ И ЭЛЕКТРОННЫЙ БАНК,
ИХ ЗАЩИТА ОТ ПРОТИВОПРАВНЫХ ПОСЯГАТЕЛЬСТВ.

ОСНОВНЫЕ ПРИЧИНЫ УСПЕХА МОШЕННИЧЕСКИХ ДЕЙСТВИЙ

ОСНОВНЫЕ ПРИЧИНЫ УСПЕХА МОШЕННИЧЕСКИХ ДЕЙСТВИЙ
1. Недостаточное внимание клиентов банка к информационной безопасности.
1. Недостаточное
Недостаточная внимание клиентов
компьютерная банка к персонала,
грамотность информационной безопасности.
работающего с ДБО.
Недостаточная компьютерная грамотность персонала, работающего с ДБО.
Игнорирование рекомендаций и лучших практик по защите информации и организации
Игнорирование рекомендаций и лучших практик по защите информации и организации
бизнес-процессов.
бизнес-процессов.

2. Применение дискет и флеш-накопителей, а также ключей реестра для хранения

2. Применение дискет и флеш-накопителей,
ключевой информации вместо токенов. аОтсутствие
также ключей реестра
процедуры для храненияпо
аутентификации
ключевой информации
одноразовым вместо
паролям. токенов.
Отсутствие Отсутствие процедуры
разграничения доступа к аутентификации по
счетам по IP-адресу
одноразовым
клиента. паролям. Отсутствие разграничения доступа к счетам по IP-адресу
клиента.

3. Неэффективная работа anti-fraud систем и процедур в банках. Отсутствие или

3. Неэффективная
некорректная работа
работа anti-fraud
процедурысистем и процедур
валидации в банках.
получателя Отсутствие
платежа, или
отсутствие
некорректная
мониторинга работа
профиляпроцедуры
финансовойвалидации получателя
активности клиента платежа,
с целью отсутствие
выявления
мониторинга профиля финансовой активности клиента с целью выявления
подозрительных транзакций, отсутствие межбанковского обмена информацией по
подозрительных транзакций, отсутствие межбанковского обмена информацией по
мошенничествам.
мошенничествам.
 ИНФОРМАЦИОННЫЕ РЕСУРСЫ – ОТДЕЛЬНЫЕ ДОКУМЕНТЫ И МАССИВЫ ДОКУМЕНТОВ
В БИБЛИОТЕКАХ, АРХИВАХ, ФОНДАХ, БАНКАХ ДАННЫХ И ДРУГИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ.

КЛАССИФИКАЦИЯ ПО КОНТЕНТУ

Базы данных Базы данных Базы данных Специализированные

периодических электронных Базы данных Энциклопеди бизнес -
диссертаций базы данных
изданий книг и информации

Базы данных,
имеющих
Цитатные полнотекстовые
базы статьи
Библиографические
данных
базы
Базы данных данных
по наименованиям ·Электронные архивы (JSTOR)
журналов ·Доступ к журналам, выписываемым в
печатном виде (Swets Wise, EBSCO EJS)
·Science Citation Index ·Доступ на основе pay-per-view (Dialog,
Expanded Ingenta)
·Доступ к оглавлениям журналов (Current ·Social Science Citation Index ·Агрегаторы (EBSCOhost, ProQuest, InfoTrac)
Content) ·Arts&Humanities Citation ·Коллекции издательств (Science Direct,
·Доступ к аннотациям, составленным Index Oxford Journals Online, Wiley InterScience,
службой аннотирования (Sociological ·Scopus Springer Link)
Abstracts, CSA)
·Доступ к авторским аннотациям (Econ Lit)
 МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
КРИПТОГРАФИЯ
Количество
Количество возможных
возможных ключей
ключей для
для алгоритма
алгоритма зависит
зависит от
от числа
числа бит
бит в
в ключе.
ключе. Например,8-битный
Например,8-битный ключ
ключ допускает
допускает 256
256 (2
(28)) комбинаций
8
комбинаций
ключей.
ключей. Чем
Чем больше
больше возможных
возможных комбинаций
комбинаций ключей,
ключей, тем
тем труднее
труднее подобрать
подобрать ключ,
ключ, тем
тем надёжнее
надёжнее зашифровано
зашифровано послание.
послание. Так,
Так, например,
например,
если
если использовать
использовать 128-битный
128-битный ключ,
ключ, то
то необходимо
необходимо будет
будет перебрать
перебрать 22128 ключей,
128
ключей, что
что в
в настоящее
настоящее время
время не
не под
под силу
силу даже
даже самым
самым
мощным
мощным компьютерам.
компьютерам.

СИММЕТРИЧНОЕ ШИФРОВАНИЕ ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ

СИММЕТРИЧНОЕ ШИФРОВАНИЕ ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ
отправитель и получатель владеют одним и тем же ключом (секретным), с для шифрования послания используются два различных
отправитель
помощьюикоторого
получатель
онивладеют одним и тем же
могут зашифровывать ключом (секретным),
и расшифровывать с
данные. дляключа.
шифрования послания
При помощи используются
одного два различных
из них послание
помощью которого они могут зашифровывать и расшифровывать данные.
Недостатки: ключа. При помощи одного
зашифровывается, а при из них послание
помощи второго –
·очень сложно найти безопасный механизм, при помощи которого
Недостатки: зашифровывается, а при помощи второго –
расшифровывается.
·очень сложно найти
отправитель безопасный
и получатель механизм,
смогут тайно от при помощи
других которого
выбрать ключ. Возникает расшифровывается.
Недостатки:
отправитель
проблема безопасного распространения секретных ключей; Возникает
и получатель смогут тайно от других выбрать ключ. Недостатки:
необходимость использования более длинных, чем при
·для каждого
проблема безопасного распространения
адресата секретных
необходимо хранить ключей;секретный ключ;
отдельный необходимость
симметричномиспользования
шифровании,более длинных,
ключей чем при
для обеспечения
·для
·вкаждого адресата необходимо
схеме симметричного хранить
шифрования отдельныйгарантировать
невозможно секретный ключ; симметричном шифровании,
эквивалентного ключей для обеспечения
уровня безопасности, что сказывается на
·в схеме симметричного шифрования невозможно гарантировать
личность отправителя, поскольку два пользователя владеют одним эквивалентного уровня
вычислительных безопасности,
ресурсах, чтодля
требуемых сказывается на
организации
личность
ключом.отправителя, поскольку два пользователя владеют одним вычислительных ресурсах, требуемых для организации
процесса шифрования.
ключом. процесса шифрования.

ЭЛЕКТРОННАЯ ПОДПИСЬ АУТЕНТИФИКАЦИЯ

Электронные подписи создаются шифрованием контрольной

Электронные подписи создаются
суммы и дополнительной шифрованием
информации контрольной
при помощи личного
суммы и дополнительной информации при помощи
ключа отправителя. Таким образом, кто угодно может личного
ключа отправителя.
расшифровать Таким используя
подпись, образом, кто угодно ключ,
открытый может но Схема ЛОГИН – ПАРОЛЬ
расшифровать подпись, используя открытый
корректно создать подпись может только владелец личногоключ, но Схема ЛОГИН – ПАРОЛЬ
корректно создать
ключа. Для защиты подпись может только
от перехвата владелец
и повторного личного
использования Схема ОДНОРАЗОВЫЕ ПАРОЛИ
ключа. Для включает
подпись защиты от перехвата
в себя и повторного
уникальное использования
число – порядковый номер. Схема ОДНОРАЗОВЫЕ ПАРОЛИ
подпись включает в себя уникальное число – порядковый
При помощи электронной подписи получатель может убедиться номер. Схема S/Key
Прив помощи электронной
том, что полученное подписи получатель
им сообщение можетнеубедиться
послано сторонним Схема S/Key
в том, что полученное им сообщение послано
лицом, а имеющим определённые права отправителем. не сторонним Биометрическая аутентификация
лицом, а имеющим определённые права отправителем. Биометрическая аутентификация
 ПЕРСПЕКТИВЫ В ДЕЛЕ ЗАЩИТЫ ОТ НСД
ПЕРСПЕКТИВЫ В ДЕЛЕ ЗАЩИТЫ ОТ НСД

1. Вектор защиты — от противодействия "внешним" хакерским нападениям к защите от нападений

1. Вектор защиты — от противодействия "внешним" хакерским нападениям к защите от нападений
"изнутри".
"изнутри".
2. Акцент на аппаратные средства защиты от хакерских атак. На рынке появится новый класс сетевого
2. Акцент на аппаратные
оборудования средствасервисные
— "защитные защиты откоммутаторы"
хакерских атак.
дляНакомплексной
рынке появится новый
защиты класс сетевого
компьютерных сетей.
оборудования — "защитные
Сейчас основная сервисные
тяжесть все коммутаторы"
равно ложится для комплексной
на специализированное защиты компьютерных
программное обеспечение. сетей.
Сейчас основная тяжесть все равно ложится на специализированное программное обеспечение.
3. Стремительное развитие рынка услуг по защищенной доставке цифрового контента и защите самого
3. Стремительное развитие рынка
контента от нелегального услуг пои защищенной
копирования доставке цифрового
несанкционированного контента и защите самого
использования.
контента от нелегального копирования и несанкционированного использования.
4. Широкое применение систем биометрической аутентификации (по сетчатке глаза, отпечаткам пальцев,
4. Широкое
голосу иприменение систем
т.д.), в том числе биометрической аутентификации (по сетчатке глаза, отпечаткам пальцев,
и комплексных.
голосу и т.д.), в том числе и комплексных.

5. Быстрый рост ожидает рынок интеллектуальных услуг сетевой защиты. Это связано с тем, что новые
5. Быстрый рост защиты
концепции ожидаетIT-систем
рынок интеллектуальных услуг сетевой
от хакеров акцентируют защиты.
внимание Это связано
не столько с тем, что новые
на реагирование на уже
концепции защиты IT-систем от хакеров акцентируют внимание не столько на реагирование
произошедшие события/атаки, а на их прогнозирование, предупреждение и проведение упреждающих на уже и
произошедшие события/атаки,
профилактических мероприятий.а на их прогнозирование, предупреждение и проведение упреждающих и
профилактических мероприятий.
6. Существенно повысится спрос на коммерческие системы криптошифрования передаваемых данных,
6. Существенно повысится спрос разработки
включая "индивидуальные" на коммерческие системыкомпаний
для конкретных криптошифрования передаваемых
с учетом их сфер данных,
деятельности.
включая "индивидуальные" разработки для конкретных компаний с учетом их сфер деятельности.
7. На рынке решений по IT-безопасности будет происходить постепенный отход от "систем стандартной
7. Накомплектации",
рынке решенийв по IT-безопасности
связи будетспрос
с чем возрастет происходить постепенный услуги
на консалтинговые отход от
по "систем стандартной
разработке концепций
комплектации", в связи с чем возрастет спрос на консалтинговые услуги по разработке
информационной безопасности и построению систем управления информационной безопасностью для концепций
информационной безопасности и построению систем управления информационной безопасностью для
конкретных заказчиков.
конкретных заказчиков.
ДЕЯТЕЛЬНОСТЬ ЛИЦ ПО НАНЕСЕНИЮ УЩЕРБА КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

ПЕРСОНАЛ
МОТИВЫ КИБЕРПРЕСТУПЛЕНИЙ
 УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

КОНВЕНЦИЯ О КИБЕРПРЕСТУПНОСТИ СОВЕТА ЕВРОПЫ

РАЗЛИЧАЕТ ЧЕТЫРЕ ВИДА ПРАВОНАРУШЕНИЙ

ПРЕСТУПЛЕНИЯ ПРОТВ
КОНФИДЕНЦИАЛЬНОСТИ, ПРЕСТУПЛЕНИЯ, ПРЕСТУПЛЕНИЯ, ПРЕСТУПЛЕНИЯ,
ЦЕЛОСТНОСТИ И СВЯЗАННЫЕ С СВЯЗАННЫЕ С СВЯЗАННЫЕ С
ДОСТУПНОСТИ КОНТЕНТОМ ПРАВАМИ КОМПЬЮТЕРАМИ
КОМПЬЮТЕРНЫХ ДАННЫХ СОБСТВЕННОСТИ
И СИСТЕМ

Сфокусированы
Сфокусированы на объекте юридической защиты на методе
 УГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

ПРЕСТУПЛЕНИЯПРОТВ
ПРЕСТУПЛЕНИЯ ПРОТВ
КОНФИДЕНЦИАЛЬНОСТ
КОНФИДЕНЦИАЛЬНОСТ ПРЕСТУПЛЕНИЯ, ПРЕСТУПЛЕНИЯ, ПРЕСТУПЛЕНИЯ,
И,ЦЕЛОСТНОСТИ
И, ЦЕЛОСТНОСТИИИ СВЯЗАННЫЕ С СВЯЗАННЫЕ С СВЯЗАННЫЕ С КОМБИНИРОВАННЫЕ
ДОСТУПНОСТИ
ДОСТУПНОСТИ КОНТЕНТОМ ПРАВАМИ КОМПЬЮТЕРАМИ ПРЕСТУПЛЕНИЯ
КОМПЬЮТЕРНЫХ
КОМПЬЮТЕРНЫХ СОБСТВЕННОСТИ
ДАННЫХИИСИСТЕМ
ДАННЫХ СИСТЕМ

Незаконный доступ Эротические или

(хакерство, взлом порно материалы Преступления, Мошенничество Кибертерроризм
шифра) связанные с и компьютерное
авторскими мошенничество
правами
Детская порнография
Информационный
шпионаж Подлог с Информационная
Расизм, агрессивные использованием война
высказывания Преступления, компьютера
связанные с
Незаконный товарными
перехват Религиозные знаками Отмывание денег с
преступления Кража использованием
идентичности компьютерных
технологий
Искажение Религиозные Незаконные
информации преступления азартные игры
Неправильное
использование Фишинг
Искажения системы Клевета и фальшивая Спам и связанные устройств
информация с ним угрозы
ОБЩЕУГОЛОВНЫЕ ПРЕСТУПЛЕНИЯ В СФЕРЕ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

Ст.
Ст.158
158 Кража – тайное хищение чужого имущества
Кража – тайное хищение чужого имущества

Ст.
Ст.159
159 Мошенничество – хищение чужого имущества путем обмана, или злоупотребления доверием
Мошенничество – хищение чужого имущества путем обмана, или злоупотребления доверием

Ст.
Ст.159.3
159.3 Мошенничество с использованием платежных карт
Мошенничество с использованием платежных карт

Ст.
Ст.159.4
159.4 Мошенничество в сфере предпринимательской деятельности
Мошенничество в сфере предпринимательской деятельности

Ст.
Ст.159.6
159.6 Мошенничество в сфере компьютерной информации – хищение чужого имущества путем ввода,
Мошенничество в сфере компьютерной информации – хищение чужого имущества путем ввода,
удаления, блокирования, модификации компьютерной информации, либо иного вмешательства в
удаления, блокирования, модификации компьютерной информации, либо иного вмешательства в
функционирование средств хранения, обработки и передачи компьютерной информации
функционирование средств хранения, обработки и передачи компьютерной информации

Ст.
Ст.165
165 Причинение имущественного ущерба путем обмана или злоупотребления доверием
Причинение имущественного ущерба путем обмана или злоупотребления доверием

Ст.
Ст.167
167 Умышленное уничтожение или повреждение имущества
Умышленное уничтожение или повреждение имущества

Ст.
Ст.171
171 Незаконное предпринимательство
Незаконное предпринимательство

Ст.
Ст.171.2
171.2 Незаконная организация и проведение азартных игр
Незаконная организация и проведение азартных игр

Ст.
Ст.172
172 Незаконная банковская деятельность
Незаконная банковская деятельность

Ст.
Ст.183
183 Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую, или
Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую, или
банковскую тайну
банковскую тайну
 ОСНОВНЫЕ ИСТОЧНИКИ ПРОБЛЕМ ПЕРСОНАЛА В ОБЛАСТИ ИНФОРМАЦИОННОЙ
ОСНОВНЫЕ ИСТОЧНИКИ ПРОБЛЕМ ПЕРСОНАЛА В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
БЕЗОПАСНОСТИ
КОММУНИКАТИВНЫЕ ОСОБЕННОСТИ
КОММУНИКАТИВНЫЕ ОСОБЕННОСТИ
Люди склонны обсуждать свои животрепещущие проблемы с коллегами везде, где только можно, – от
Люди
столовой до вагона метро. Вживотрепещущие
склонны обсуждать свои проблемыс сэтой
последние годы бороться коллегами везде, где
человеческой только стало
слабость можно,сложнее,
– от
столовой доушли
поскольку вагона метро. традиции
в прошлое В последние годы бороться с этой человеческой слабость стало сложнее,
секретности.
поскольку ушли в прошлое традиции секретности.
КОГНИТИВНЫЕ СПОСОБНОСТИ
КОГНИТИВНЫЕ СПОСОБНОСТИ
Человек, в отличии машин, способен воспринимать и обобщать информацию, поступающую из
Человек, в отличии машин, способен воспринимать
различных альтернативных источников, и обобщать
таких, как чужие информацию,
телефонные поступающую
разговоры, проекты из
документов
различных
на столеальтернативных источников,
коллег, слухи и сплетни, таких,
обрывки фразкак
иличужие телефонные
просто разговоры,
настроение проекты документов
руководства.
на столе коллег, слухи и сплетни, обрывки фраз или просто настроение руководства.
ЛИЧНОСТНЫЕ КАЧЕСТВА
ЛИЧНОСТНЫЕ КАЧЕСТВА
Люди обижаются, и порой мстят, и нанесение вреда информационным ресурсам стало одним из
Люди обижаются, и порой мстят,
популярных способов отмщения и нанесение
обидчикам. вреда
Следует информационным
помнить, что можно не ресурсам
только стало одним
запускать из в
вирусы
популярных способов
корпоративные сетиотмщения обидчикам.
или стирать файлыСледует помнить,
– порой не меньшийчто можно
вред можноне причинить,
только запускать
положиввирусы
не навто
корпоративные сети
место дело или или стирать
бумажный файлы
документ, или– же
порой не меньший
просто вред можно
не поделившись причинить,
известной положив
человеку не на то
информацией.
место дело или бумажный документ, или же просто не поделившись известной человеку информацией.
ОСОБЕННОСТИ ТИПА «ХОЧУ ВСЕ ЗНАТЬ»
ОСОБЕННОСТИ
Ограничения ТИПА «ХОЧУ
доступа ВСЕ ЗНАТЬ»(особенно непродуманные) воспринимаются как вызов, и побуждают
к информации
Ограничения доступа кпорой
людей к активным, информации (особенно непродуманные)
весьма хитроумным воспринимаются
действиям по их какобходу.
преодолению или вызов, и побуждают
людей к активным, порой весьма хитроумным действиям по их преодолению или обходу.
ДЕФИЦИТ КВАЛИФИЦИРОВАННЫХ СПЕЦИАЛИСТОВ
ДЕФИЦИТ КВАЛИФИЦИРОВАННЫХ
В отличие СПЕЦИАЛИСТОВ сотрудники не выпускаются на конвейере, и найти
от машин, квалифицированные
В полноценную
отличие от замену
машин,заболевшему
квалифицированные сотрудникиработнику
или уволившемуся не выпускаются
не всего на конвейере,
просто. и найти
Ситуация может
полноценную замену заболевшему или уволившемуся работнику не всего
стать очень острой, если выбывшего сотрудника некому подстраховать. просто. Ситуация может
стать очень острой, если выбывшего сотрудника некому подстраховать.
 ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
У информационной безопасности большинства предприятий оказывается «семь нянек»: администрация, служба обработки
документов (ДОУ), служба безопасности, служба персонала, ИТ служба, юридический отдел, деловые подразделения.
Виды операций Информационные ресурсы

Бумажные документы Электронные документы Информация и знания сотрудников

Создание информационного ресурса (создание и оформление документов) Деловые подразделения Деловые подразделения Деловые подразделения

Ввод документов в систему делопроизводства ДОУ и деловые подразделения Деловые подразделения

Оперативная работа с документами и документационное обеспечение деловых процессов Деловые подразделения, ДОУ Деловые подразделения, ИТ ?

Организация документооборота ДОУ ИТ? -

Обеспечение соответствия требованиям законодательства СВК, ДОУ, юридический отдел ? Руководство, СП и СБ ?

Учет документов (ознакомленности с информацией) ДОУ ? ?

Контроль исполнения ДОУ ДОУ? -

Определение сроков хранения документов ДОУ, юридический отдел, деловые подразделения ? -

Проведение экспертизы ценности документов и информации ДОУ, юридический отдел, деловые подразделения ? ?

Уничтожение документов с оформлением акта ДОУ и СБ ? -

Резервирование документов и информации ДОУ ИТ ?

Долговременное хранение документов с сохранением их целостности и аутентичности;

ДОУ ИТ ? ?
передача профессионального опыта и знаний

Управление доступом ДОУ ИТ ?

Физическая защита (обеспечение наличия ресурса) ДОУ и СБ ИТ и СБ Руководство, СП и СБ

Защита важнейших документов ДОУ? ИТ? ?

ДОУ, СБ, юридический отдел и деловые

Защита конфиденциальной информации и персональных данных подразделения СБ, ИТ и деловые подразделения Руководство, СП и СБ

Сохранение корпоративной памяти ДОУ ? ?

Обучение правилам и методам работы (использования ресурса) ДОУ ИТ СП, СБ, ДОУ
 ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА

ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ, ПРОВОДИМОГО СОВМЕСТНО ИНСТИТУТОМ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ
(COMPUTER SECURITY INSTITUTE – CSI) И ФБР

56% - заметили несанкционированный доступ к своим

компьютерам,
30% - сообщили о попытках взлома «изнутри».

В качестве основных причин для беспокойства компании отметили:

97% - злоупотребление сетевым доступом со стороны
сотрудников,
94% - заражение вирусами,
71% - несанкционированный доступ «изнутри»
69% - кража ноутбуков.

ДАННЫЕ ИССЛЕДОВАНИЙ ИБ В 2011 Г. КОМПАНИИ «CISCO»

70% молодых сотрудников, знакомых с корпоративными ИТ - правилами, признали, что нарушают эти правила с
большей или меньшей регулярностью. При этом:
каждый третий нарушитель не видит в этом ничего
страшного,
22% опрошенных заявили, что доступ к
несанкционированным программам и приложениям им
нужен для выполнения своих профессиональных
обязанностей,
19% признали, что корпоративные ИТ - правила в их
компаниях не соблюдаются,
18% сказали, что во время работы им не до того, чтобы об
этих правилах думать,
16% считают такие правила неудобными,
15% о корпоративных ИТ - правилах попросту забывают,
14% оправдывают свое поведение тем, что, мол, начальники
за ними все равно не следят,
 ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОАЛА

ДАННЫЕ ЕЖЕГОДНОГО ОПРОСА КОММЕРЧЕСКИХ ФИРМ,

ТИПОВЫЕ РАЗНОВИДНОСТИ УТЕЧЕК, СВЯЗАННЫХ С ПЕРСОНАЛОМ КОМПАНИИ
ПРОВОДИМОГО СОВМЕСТНО ИНСТИТУТОМ КОМПЬЮТЕРНОЙ
БЕЗОПАСНОСТИ (COMPUTER SECURITY INSTITUTE – CSI) И ФБР

56% - заметили несанкционированный доступ к своим

компьютерам,
30% - сообщили о попытках взлома «изнутри».

В качестве основных причин для беспокойства компании отметили:

97% - злоупотребление сетевым доступом со стороны
сотрудников,
94% - заражение вирусами,
71% - несанкционированный доступ «изнутри»
69% - кража ноутбуков.

ДАННЫЕ ИССЛЕДОВАНИЙ ИБ В 2011 Г. КОМПАНИИ «CISCO»

70% молодых сотрудников, знакомых с корпоративными ИТ -

правилами, признали, что нарушают эти правила с

ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ СЛУЖБЫ ПЕРСОНАЛА большей или меньшей регулярностью. При этом:
ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА: каждый третий нарушитель не видит в этом ничего
страшного,
22% опрошенных заявили, что доступ к
1. ПОДБОР НАДЁЖНЫХ И ВЫСОКОКВАЛИФИЦИРОВАННЫХ РАБОТНИКОВ; несанкционированным программам и приложениям им
нужен для выполнения своих профессиональных
2. ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ И ПЕРСОНАЛЬНЫХ обязанностей,
ДАННЫХ СОТРУДНИКОВ; 19% признали, что корпоративные ИТ - правила в их
компаниях не соблюдаются,
3. ЗАЩИТА ИНФОРМАЦИИ, НАХОДЯЩЕЙСЯ В ГОЛОВАХ СОТРУДНИКОВ И 18% сказали, что во время работы им не до того, чтобы об
ИМЕЮЩЕЙ ЦЕННОСТЬ ДЛЯ ОРГАНИЗАЦИИ, В КОТОРОЙ ОНИ РАБОТАЮТ.
этих правилах думать,
16% считают такие правила неудобными,
15% о корпоративных ИТ - правилах попросту забывают,
14% оправдывают свое поведение тем, что, мол, начальники
за ними все равно не следят,
 ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СО СТОРОНЫ ПЕРСОНАЛА

ИЗ СТАНДАРТА БАНКА РОССИИ «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ»

5.2. Наибольшими возможностями для нанесения ущерба организации БС РФ

обладает ее собственный персонал.

5.8. Соблюдение политики ИБ в значительной степени является элементом

корпоративной этики, поэтому на уровень ИБ в финансовой организации оказывают
серьезное влияние отношения, как в коллективе, так и между коллективом и
собственником или менеджментом организации, представляющим интересы
собственника. Поэтому этими отношениями необходимо управлять. Необходимо
обучение и регулярная переподготовка кадров, как по основной деятельности, так и
по вопросам информационных технологий, делопроизводства и безопасности.

10.7. Обязательны краткие занятия с работниками организации по вопросам

обеспечения ИБ и введение аттестации персонала по вопросам обеспечения
безопасности.
 ПРОТИВОДЕЙСТВИЕ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СО СТОРОНЫ ПЕРСОНАЛА

ИЗ СТАНДАРТА ISO 17779 «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ»:

• Условия найма должны определять обязанности и ответственность сотрудника за информационную безопасность.

При необходимости, такая ответственность должна сохраняться в течение определенного времени после увольнения
сотрудника. Должны быть также указаны действия, предпринимаемые в том случае, если сотрудник пренебрегает
требованиями к информационной безопасности.

• В тех случаях, когда должностные обязанности, как при первоначальном поступлении на работу, так и в результате
продвижения по службе, предусматривают доступ к средствам обработки информации, особенно к средствам
обработки конфиденциальной информации, например, финансовой или секретной, – организация должна также
проверить финансовое положение сотрудника. Занимающие ответственные посты сотрудники должны проходить
такую проверку регулярно.

• Обучение и подготовка по вопросам информационной безопасности (п. 6.2.1.). Все сотрудники организации, а при
необходимости, и пользователи из сторонних организаций, должны пройти обучение по используемым в
организации регламентам и процедурам, и регулярно получать информацию об изменениях в них. Такая
программа подготовки затрагивает требования к обеспечению безопасности, вопросы юридической ответственности
и средства управления деловыми процессами, а также включает обучение правильному использованию средств
обработки информации (например, процедуре входа в систему, использованию программного обеспечения), –
прежде чем будет предоставлен доступ к информации и средствам её обработки.
 МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

ПОЛИТИКА
ПОЛИТИКА БЕЗОПАСНОСТИ
БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
ОРГАНИЗАЦИИ -- совокупность
совокупность руководящих
руководящих принципов,
принципов, правил,
правил,
процедур, практических приемов или руководящих принципов в области безопасности,
процедур, практических приемов или руководящих принципов в области безопасности,
которыми
которыми руководствуется
руководствуется организация
организация вв своей
своей деятельности
деятельности (ГОСТ
(ГОСТ РР ИСО/МЭК
ИСО/МЭК 15408)
15408)

МОДЕЛЬ БЕЗОПАСНОСТИ
БЕЗОПАСНОСТИ - формальное (математическое, алгоритмическое,
алгоритмическое,
схемотехническое и т.п.) выражение политики безопасности
безопасности

Модель
Модель безопасности
безопасности служит для:
• выбора и обоснования базовых принципов архитектуры, определяющих
определяющих
механизмы реализации
реализации средств защиты информации
• подтверждения свойств (защищенности) разрабатываемой системы путем
формального доказательства соблюдения
соблюдения политики
политики (требований,
(требований, условий,
условий,
критериев) безопасности
• оставления формальной спецификации политики безопасности
разрабатываемой системы
 МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

Основные требования к моделям

обеспечения кибернетической безопасности

CIA (Confidentiality, Integrity, and

CIAAvailability
(Confidentiality, Integrity, and
— конфиденциальность,
Availability — конфиденциальность,
целостность и доступность).
целостность и доступность).
Эти три группы принципов являются
Эти три группы принципов
общепризнанными являются
при оценке рисков,
общепризнанными при оценке
связанных с важной информацией, и рисков,
связанных с важной информацией,
при утверждении политики и
прибезопасности.
утверждении политики
безопасности.

Конфиденциальность — Важная
Конфиденциальность
информация должна — Важная
быть доступна
информация должна быть доступна
только ограниченному кругу лиц.
только ограниченному
Целостность кругу лиц.
— Изменения
Целостность
информации,—приводящие
Изменения к её потере
информации, приводящие
или искажению, должныкбыть
её потере
или искажению, должны быть
запрещены.
запрещены.
Доступность — Информация должна
Доступность — авторизованным
быть доступна Информация должна
быть доступна авторизованным
пользователем, когда она им
пользователем,
необходима. когда она им
необходима.
 МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ

МОДЕЛЬ ИЗБИРАТЕЛЬНОГО (ДИСКРЕЦИОННОГО) ДОСТУПА

МОДЕЛЬ ИЗБИРАТЕЛЬНОГО
Множество (ДИСКРЕЦИОННОГО)
потоков информации, ДОСТУПА
характеризующих легальный доступ, задается явным образом
Множество потоков информации, характеризующих легальный доступ, задается
внешним по отношению к системе фактором в виде указания дискретного явным
набора троекобразом
"субъект-
внешним по отношению к
поток(операция)-объект": системе фактором в виде указания дискретного набора троек "субъект-
поток(операция)-объект":
• права доступа предоставляются («прописываются» в специальных информационных
• права доступа предоставляются
объектах-стуктурах), отдельно («прописываются» в специальных
каждому пользователю информационных
к тем объектам, которые ему
объектах-стуктурах), отдельно
необходимы для работы в КС; каждому пользователю к тем объектам, которые ему
• необходимы
при запроседлясубъекта
работы внаКС;доступ к объекту диспетчер, обращаясь к ассоциированным с ним
• приинформационным
запросе субъекта объектам,
на доступ квобъекту диспетчер,
которых обращаясь
«прописана» к ассоциированным
политика разграничения сдоступа,
ним
информационным объектам,запрашиваемого
определяет «легальность» в которых «прописана» политика разграничения
доступа и разрешает/отвергает доступ. доступа,
определяет «легальность» запрашиваемого доступа и разрешает/отвергает доступ.
Достоинства дискреционных моделей:
• Достоинства дискреционных
Хорошая детализация моделей:
защиты (позволяют управлять доступом с точностью до
• Хорошая детализация защиты (позволяют
отдельной операции над отдельным объектом)управлять доступом с точностью до
• отдельной
Простотаоперации над отдельным объектом)
реализации
• Простота реализации
Недостатки дискреционных моделей:
 Недостатки дискреционных
Слабые защитные моделей:из-за невозможности для реальных систем выполнять
характеристики
 Слабые защитные безопасности
все ограничения характеристики из-за невозможности для реальных систем выполнять
 всеПроблема
ограничения безопасности
"троянских коней"
  Проблема "троянских коней"
Сложности в управлении доступом из-за большого количества назначений прав доступа
 Сложности в управлении доступом из-за большого количества назначений прав доступа
 МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ ПОЛНОМОЧНОГО (МАНДАТНОГО) ДОСТУПА
МОДЕЛЬ ПОЛНОМОЧНОГО
Множество (МАНДАТНОГО)
потоков информации, ДОСТУПАлегальный доступ, задается неявным образом через
характеризующих
Множество потоков
предоставление информации,
субъектам характеризующих
неких полномочий (допуска,легальный доступ, задается
мандата) порождать неявным
определенные образом
потоки через с
над объектами
предоставление
определеннымисубъектам неких полномочий
характеристиками (допуска, мандата)
конфиденциальности порождать
(метками, грифами определенные
секретности): потоки над объектами с
определенными
Основаны: характеристиками конфиденциальности (метками, грифами секретности):
Основаны:
• на субъектно-объектной модели КС
• на
• субъектно-объектной
на правилах организации модели КС
секретного делопроизводства, принятых в государственных учреждениях многих стран.
• на правилах организации
Информация секретного
(точнее документы, делопроизводства,
ее содержащие) принятых специальными
категорируется в государственных учреждениях
метками многих стран. – т.н.
конфиденциальности
Информация (точнее документы,
грифы секретности документов ее содержащие) категорируется специальными метками конфиденциальности – т.н.
грифы секретности
Сотрудники документов
по уровню благонадежности (доверия к ним) получают т.н. допуски определенной степени
Сотрудники
Сотрудники с допуском определенной(доверия
по уровню благонадежности степени кприобретают
ним) получают т.н. допуски
полномочия определенной
работы степени
с документами определенного грифа
Сотрудники с допуском определенной степени приобретают полномочия работы с документами определенного грифа
секретности
секретности
Главная задача: не допустить утечки информации из документов с высоким грифом секретности к сотрудникам с
Главная
низкимзадача:
уровнемне допустить утечки информации из документов с высоким грифом секретности к сотрудникам с
допуска
низким уровнем допуска
Достоинства моделей мандатного доступа
Достоинства
• ясность имоделей
простотамандатного
реализации доступа
• ясность
• отсутствие
и простота реализации
проблемы "Троянских коней" (контролируется направленность потоков, а не взаимоотношения
• отсутствие проблемы "Троянских
конкретного субъекта с конкретнымконей" объектом,
(контролируется направленность
поэтому потоков,
недекларированный а нетроянской
поток взаимоотношения
программы
конкретного субъекта
«сверху-вниз» с конкретным
будет считаться объектом,
опасным поэтому
и отвергнут МБО)недекларированный поток троянской программы
• каналы утечки
«сверху-вниз» будет
не считаться
заложены вопасным и отвергнут
саму модель, а могут МБО)
возникнуть только в практической реализации
• каналы утечки не заложены в саму модель, а могут возникнуть только в практической реализации
Недостатки моделей мандатного доступа
Недостатки моделей
• возможность мандатного
скрытых доступа
каналов утечки - механизм, посредством которого субъект с высоким уровнем безопасности м.
• возможность скрытых
предоставить каналов утечки
определенные аспекты- механизм, посредством
конфиденциальной которогосубъекту,
информации субъект суровень
высокимбезопасности
уровнем безопасности
которого м.
ниже
предоставить определенные
уровня безопасности аспекты конфиденциальной
конфиденциальной информации информации субъекту, уровень безопасности которого ниже
• проблема
уровня безопасности конфиденциальной
удаленного информации системах осуществление доступа всегда сопровождается потоком
доступа. В распределенных
• проблема удаленного
информации доступа.
в прямом В распределенных
и обратном системах
направлении, что осуществление
в результате доступа квсегда
может приводить сопровождается
нарушениям привил NRU потоком
и NWD
• проблема визбыточности
информации прямом и обратном направлении, что в результате может приводить к нарушениям привил NRU и NWD
прав доступа. Без учета матрицы доступа (т.е. без использования дискреционного доступа)
• проблема избыточности
мандатный прав доступа.
принцип доступа Без доступ
организует учета матрицы доступа
более жестко, но и(т.е.
болеебезгрубо,
использования
без учетадискреционного
потребностей доступа)
конкретных
мандатный принцип доступа организует доступ более жестко, но и более грубо, без учета потребностей конкретных
пользователей-субъектов
пользователей-субъектов
 МОДЕЛИ ОРГАНИЗАЦИИ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
МОДЕЛЬ РОЛЕВОГО (ТИПИЗОВАННОГО) ДОСТУПА
МОДЕЛЬ РОЛЕВОГО
Множество (ТИПИЗОВАННОГО)
потоков ДОСТУПА
информации, характеризующих легальный доступ, задается через введение в
Множество потоков информации, характеризующих легальный доступ, задается
системе дополнительных абстрактных сущностей – ролей, с которыми через введение
ассоциируются в
конкретные
системе дополнительных
пользователи, абстрактных
и наделение ролевыхсущностей
субъектов –доступа
ролей, на
с которыми ассоциируютсяили
основе дискреционного конкретные
мандатного
пользователи, и наделение ролевых субъектов
принципа правами доступа к объектам системы. доступа на основе дискреционного или мандатного
принципа
Основнаяправами доступа киобъектам
идея: политика системы.
система защиты должны учитывать организационно-технологическое
Основная
взаимодействие пользователей. (Впервые была учитывать
идея: политика и система защиты должны примененаорганизационно-технологическое
в продуктах управления доступом
взаимодействие пользователей.
корпорации IBM в 70-80.гг.) (Впервые была применена в продуктах управления доступом
корпорации IBM в 70-80.гг.)
Вместо субъекта
Вместо субъекта (конкретная активная сущность)
·пользователь
·пользователь (конкретная
·роль (абстрактная активная
активная сущность)
сущность)
·роль (абстрактная
Неформально активная
Роль: сущность)
типовая работа в КС (ИС) определенной группы пользователей
Неформально Роль: типовая
Аналог: нормативное работа вфункциональные
положение, КС (ИС) определенной группыи пользователей
обязанности права сотрудников по определенной
Аналог: нормативное положение, функциональные обязанности и права сотрудников по
должности, например могут быть роли - кассира, бухгалтера, делопроизводителя, определенной
менеджера и т.п.
должности, например могут быть роли - кассира, бухгалтера,
Наиболее распространены модели с иерархической системой ролей: делопроизводителя, менеджера и т.п.
Наиболее распространены
·чем выше модели
роль по иерархии, темс иерархической системой ролей:
больше полномочий
·чем выше
·если роль по иерархии,
пользователю тем какая-то
присвоена больше полномочий
роль, то ему автоматически присваиваются все роли ниже по
·если пользователю присвоена какая-то роль, то ему автоматически присваиваются все роли ниже по
иерархии
иерархии
MMS (military message system)-модель
MMS (military
Основная message
схема system)-модельсистемы - пользователи после идентификации запрашивают у
функционирования
Основная
системысхема функционирования
операции над сущностямисистемы - пользователи
от своего после
ID или от имени идентификации
Роли, запрашивают
с которой в данный момент у
системы операции над сущностями от своего ID или от имени Роли, с которой в данный момент
авторизован.
авторизован.
Модель Лендвера-Маклина (MMS) сочетает принципы: ролевой, дискреционной и мандатной моделей
Модель Лендвера-Маклина
и оказывает (MMS)
сильное влияние сочетает
на модели принципы: ролевой,
и технологии дискреционной
современных защищенныхи мандатной
КС. моделей
и оказывает сильное влияние на модели и технологии современных защищенных КС.
 ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Профилактика возможных угроз. Необходимо своевременное выявление возможных угроз безопасности предприятия,
Профилактика
анализ которыхвозможных угроз. Необходимо
позволит разработать своевременное
соответствующие выявление возможных
профилактические меры. угроз безопасности предприятия,
анализ которых позволит разработать соответствующие профилактические меры.
Законность. Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов.
Законность.
ЛокальныеМеры по обеспечению
правовые безопасности
акты предприятия не должныразрабатываются
противоречитьназаконам
основе и вподзаконным
рамках действующих
актам. правовых актов.
Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в
Комплексное использование
распоряжении предприятия сил и средств.
силы ДляКаждый
и средства. обеспечения безопасности
сотрудник должен, виспользуются
рамках своейвсе имеющиесяучаствовать
компетенции, в в
распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции,
обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является участвовать в
обеспечении
программабезопасности предприятия.безопасности
(план работ) обеспечения Организационной формой комплексного использования сил и средств является
предприятия.
программа (план работ) обеспечения безопасности предприятия.
Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе
Координация и взаимодействие
взаимодействия и координациивнутри усилийивсех
вне подразделений,
предприятия. Меры службпротиводействия
предприятия, а также угрозам осуществляются
установления на основе
необходимых
взаимодействия и координации
контактов с внешними усилий всех
организациями, подразделений,
способными оказать служб предприятия,
необходимое а такжевустановления
содействие обеспечении необходимых
безопасности
контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности
предприятия.
предприятия.
Сочетание гласности с секретностью. Доведение информации до сведения персонала предприятия и общественности
Сочетание гласности
в допустимых с секретностью.
пределах мер безопасности Доведение информации
выполняет важнейшую дороль
сведения персонала предприятия
- предотвращение и общественности
потенциальных и реальных
в допустимых
угроз. пределах мер безопасности выполняет важнейшую роль - предотвращение потенциальных и реальных
угроз.
Компетентность. Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в
Компетентность. Сотрудники
необходимых случаях должны решать
специализироваться по вопросы
основным обеспечения безопасности на профессиональном уровне, а в
его направлениям.
необходимых случаях специализироваться по основным его направлениям.
Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать
Экономическая целесообразность.
тот оптимальный уровень, при которомСтоимость финансовых
теряется затрат на
экономический обеспечение
смысл безопасности не должна превышать
их применения.
тот оптимальный уровень, при котором теряется экономический смысл их применения.
Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной
Плановая основа
программы деятельности.
обеспечения Деятельность
безопасности по обеспечению
предприятия, подпрограмм безопасности
обеспечениядолжна строиться на
безопасности по основе
основнымкомплексной
его видам
программы обеспечения
(экономическая, научно безопасности
- техническая, предприятия, подпрограмм
экологическая, обеспечения
технологическая и т. д.) ибезопасности по основным
разрабатываемых его видам
для их исполнения
(экономическая,
планов работынаучно - техническая,
подразделений экологическая,
предприятия технологическая
и отдельных и т. д.) и разрабатываемых для их исполнения
сотрудников.
планов работы подразделений предприятия и отдельных сотрудников.
 ПОСТРОЕНИЕ СИСТЕМ И АУДИТ ИХ ЭФФЕКТИВНОСТИ
Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников предприятия) и
Различают два основных вида аудита:(осуществляемый
внешний внутренний (проводимый
сторонними исключительно силами сотрудников предприятия) и
организациями).
внешний (осуществляемый сторонними организациями).
ОСНОВНЫМИ ЦЕЛЯМИ АУДИТА ЯВЛЯЮТСЯ:
ОСНОВНЫМИ ЦЕЛЯМИ АУДИТА ЯВЛЯЮТСЯ:
установление степени защищенности информационных ресурсов предприятия, выявление недостатков и
установление
определениестепени защищенности
направлений информационных
дальнейшего ресурсов
развития системы защитыпредприятия,
информации; выявление недостатков и
проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в
определение направлений дальнейшего развития системы защиты информации;
проверка руководством предприятия
сфере информационной и другими
безопасности, заинтересованными
выполнения лицами
требований политики достижения поставленных целей в
безопасности;
контроль
сфере информационной безопасности,
эффективности вложенийвыполнения требований
в приобретение средствполитики безопасности;
защиты информации и реализацию мероприятий по
контроль эффективности вложений в приобретение
обеспечению информационной безопасности; средств защиты информации и реализацию мероприятий по
сертификация
обеспечению информационной безопасности;
на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в
сертификация на соответствие общепризнанным нормам и требованиям
частности на соответствие национальным и международным в сфере информационной безопасности (в
стандартам).
частности на соответствие национальным и международным стандартам).
ОСНОВНЫЕ ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА:
инициирование
ОСНОВНЫЕ ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА:
проведения аудита;
инициирование
непосредственно проведения аудита; сбора информации и проведение обследования аудиторами;
осуществление
непосредственно
анализ собранных осуществление сбора информации
данных и выработка и проведение обследования аудиторами;
рекомендаций;
анализ
подготовка
собранных данных и выработка
аудиторского рекомендаций;заключения.
отчета и аттестационного
подготовка аудиторского отчета и аттестационного заключения.
В случае, если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы:
перечень
В случае, если аудит не является
обследуемых комплексным,ресурсов
информационных на начальном этапе необходимо
и информационных определить его непосредственные границы:
систем;
перечень
переченьобследуемых информационных
зданий, помещений ресурсов
и территорий, и информационных
в пределах систем;
которых будет проводиться аудит;
перечень
основныезданий, помещений
угрозы, средства изащиты
территорий, в пределах
от которых нужнокоторых будетаудиту;
подвергнуть проводиться аудит;
основные
элементы угрозы, средства
системы защиты от
обеспечения которых нужно подвергнуть
информационной аудиту;
безопасности, которые необходимо включить в процесс проверки.
элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки.
Основная стадия – проведение аудиторского обследования и сбор информации - как правило, должно включать в
Основная
себя: стадия – проведение аудиторского обследования и сбор информации - как правило, должно включать в
анализ имеющейся политики информационной безопасности и другой организационной документации;
себя:
анализ
проведение
имеющейся политики
совещаний, информационной
опросов, безопасности
доверительных и другой организационной
бесед и интервью документации;
с сотрудниками предприятия;
проведение
проверку состояния физической безопасности информационной инфраструктуры предприятия;
совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;
проверку
техническое
состояния физической
обследование безопасности информационной
информационных инфраструктуры
систем – программных предприятия;
и аппаратных средств (инструментальная
техническое обследование
проверка защищенности). информационных систем – программных и аппаратных средств (инструментальная
проверка защищенности).
 АРХИТЕКТУРА СТАНДАРТОВ ЗАЩИТЫ ИНФОРМАЦИИ
ОБОБЩЕННАЯ АРХИТЕКТУРА СТАНДАРТОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ

К категории I («Менеджмент ИБ») относятся стандарты семейства менеджмента ИБ ISO/IEC 270ХХ (семейство стандартов СМИБ организации),
и комплекс новых стандартов направления Identity management and privacy technologies (менеджмент идентификационными атрибутами и
безопасность личности в электронном мире). Среди российских национальных стандартов к данной категории можно отнести только
гармонизированные международные.
 
К категории II («Процедуры и процессы ИБ») можно отнести стандарты для следующих объектов и аспектов стандартизации:
•менеджмент инцидентов информационной безопасности;
•безопасность сетей информационных технологий;
•обнаружение вторжений, выбор и поставка систем обнаружения вторжений;
•управление и пользование услугами третьей доверенной стороны;
•восстановление информационных технологий после бедствий и аварий и т. п.
•Среди российских национальных стандартов к данной категории можно отнести ГОСТ Р 50922, ГОСТ Р 51275 и др.
 
К категории III («Технические средства и инструменты защиты информации и информационной безопасности») можно отнести стандарты на
алгоритмы криптографических преобразований, критерии оценки безопасности информационных технологий и т. п.
Среди российских национальных стандартов к данной категории можно отнести стандарты требований по защите от несанкционированного
доступа к средствам вычислительной техники и автоматизированным системам, гармонизированные международные стандарты критериев
оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408), ГОСТ Р ИСО/МЭК 18045), защиты от вредоносного программного
обеспечения и т. п.
 ВЗАИМОДЕЙСТВИЕ СЛУЖБЫ БЕЗОПАСНОСТИ С ПОДРАЗДЕЛЕНИЯМИ ИТ ОБЕСПЕЧЕНИЯ ПРЕДПРИЯТИЯ.
ОСНОВА ВЗАИМОДЕЙСТВИЯ – ПРАВИЛО ДВУХ КЛЮЧЕЙ
СПЕЦИАЛЬНЫЕ ФУНКЦИИ ОБЕСПЕЧЕНИЯ ИБ
·определять критерии, по которым различные
рабочие места (РМ) относятся к той или иной
категории по требуемой степени защищенности,
и оформлять их в виде «Положения об
определении требований по защите ресурсов»;
·определять типовые конфигурации и
настройки программно-аппаратных средств
защиты информации для РМ различных
категорий (требуемых степеней защищенности);
·по заявкам руководителей подразделений
проводить анализ возможности решения (а
также совмещения) указанных задач на
конкретных РМ и принимать решения об
отнесении РМ к той или иной группе по степени
защищенности;
·совместно с ИТ - подразделением проводить
работы по установке на РМ программно-
аппаратных средств защиты информации;
·согласовывать и утверждать предписания
на эксплуатацию (формуляры) РМ,
подготовленные в подразделениях организации;
·обеспечивать проведение необходимых
дополнительных специальных мероприятий по
обеспечению безопасности информации;
·определять организацию, методики и
средства контроля эффективности
противодействия попыткам
несанкционированного доступа к информации
(НСД) и незаконного вмешательства в процесс
функционирования автоматизированной
системы.
ФУНКЦИИ ИТ – ОБЕСПЕЧЕНИЯ ПО РЕШЕНИЮ ФУНКЦИИ СТРУКТУРНЫХ
ЗАДАЧ ОБЕСПЕЧЕНИЯ ИБ ПОДРАЗДЕЛЕНИЙ
КОМПАНИИ ПО
проводить анализ возможности решения ОБЕСПЕЧЕНИЮ ИБ
задач структурных подразделений на
конкретных РМ и уточняет содержание Определять функциональные
необходимых для этого изменений в задачи, которые должны
конфигурации аппаратных и программных решаться в подразделении с
средств РМ; использованием РМ АС
производить на основе утвержденных заявок организации. Все необходимые
начальников подразделений: изменения в конфигурации РМ
•установку (развертывание, обновление версий) и полномочиях пользователей
программных средств; подразделения осуществляют
•удаление (затирание) программ; на основе заявок в
•установку (развертывание) новых РМ (ПК) или соответствии с нормативными
дополнительных устройств; документами организации.
•изъятие или замену ПК;
•принимает участие в заполнении формуляров Заполнять формуляры РМ и
РМ и выдаче предписаний к эксплуатации РМ; представляют их на
утверждение в подразделение
Служба ИТ (в части алгоритмов и программ) ИБ.
ведет общий перечень задач, решаемых в
автоматизированной системе (АС) организации; Обеспечивать надлежащую
совместно с подразделением ИБ оформляет эксплуатацию установленных
формуляры установленного образца на новые на РМ средств защиты
функциональные задачи АС; информации.
хранит установленным порядком и
осуществляет резервное копирование и
контроль целостности лицензионных
дистрибутивов или эталонных носителей;
осуществляет выдачу специалистам службы
ИТ программных пакетов для их развертывания
или обновления на РМ АС
 Квалифицированные
специалисты

Мотивация

Аутсорсинг
Взаимодействие с
государством

ПЕРСОНАЛ ПОДРАЗДЕЛЕНИЯ ИБ

Должен обладать:

a) надежностью и честностью;
b) ответственностью и объективностью;
c) знаниями, умениями и навыками в проверяемой области;
d) высшим профессиональным образованием;
e) работоспособностью и внимательностью;
f) способностями к выявлению новых угроз;
g) умением выделять главное;
h) умением четко излагать существо технической информации.
СООТНОШЕНИЕ СОБСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И ИСПОЛЬЗОВАНИЕ УСЛУГ АУТСОРСИНГА.

ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПАНИИ-АУТСОРСЕРУ

ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПАНИИ-АУТСОРСЕРУ
1. Естественно, в первую очередь, это известное имя и
1. Естественно, в первую очередь,
хорошая репутация компанииэто наизвестное имя и опыт
рынке, большой
хорошая репутация
выполнения компании
подобных на рынке,
проектов. большой
Косвенно это опыт
выполнения подобных
свидетельствует проектов.
о наличии Косвенно это
достаточного штата
свидетельствует о наличии достаточного
высоквалифицированных сотрудников, штата
необходимого
высоквалифицированных сотрудников, необходимого
программно-аппаратного обеспечения, налаженных
программно-аппаратного
связей с поставщикамиобеспечения,
решений. налаженных
связей с поставщиками решений.
2. Аутсорсинговая компания должна иметь четкую и
2. Аутсорсинговая компания
понятную политику ИБ,должна
а такжеиметь
систему четкую и
управления
понятную политику ИБ,
информационной а также систему
безопасностью. управления
В идеале – наличие
информационной
сертификата ISOбезопасностью.
27001. В идеале – наличие
сертификата ISO 27001.
3. Компания должна иметь опыт проведения анализа
3. Компания должна иметь
информационных опытпрактику
рисков, проведения анализа
управления
информационных рисков, практику управления
рисками и соответствующие технические средства
рисками и соответствующие технические средства
контроля.
контроля.
4. Безусловно, требуется высокая профессиональная
4. Безусловно,
подготовкатребуется
команды высокая профессиональная
компании-аутсорсера,
подготовка
пониманиекоманды
проблемкомпании-аутсорсера,
ИБ в той области бизнеса, в
понимание проблем клиент.
которой работает ИБ в той области бизнеса, в
которой работает клиент.
5. Особое внимание следует уделить наличию средств
5. Особое внимание
контроля следуетбезопасности
физической уделить наличию средств
и технических
контроля физической безопасности и технических
средств контроля инженерных систем (систем
средств контроля инженерных
кондиционирования, систем (систем
электропитания и др.).
кондиционирования, электропитания и др.).
6. Необходимо также определить систему и способ
6. Необходимо
передачи также
данных определить системуииаутсорсером.
между клиентом способ
передачи данных между клиентом и аутсорсером.
Контрольные вопросы по 4-му разделу

1. Что такое промышленный шпионаж?

2. Каковы основные способы промышленного шпионажа?
3. Какие методы сбора разведданных используются в промышленном шпионаже?
4. Что понимается под оперативными видами разведки?
5. Какую роль играют технические средства промышленного шпионажа?
6. Что такое электронная разведка?
7. Чем можно объяснить дуализм отношений бизнеса и государства в сфере промышленного шпионажа?
8. Что вам известно о плане операции «Эшелон»?
9. Что такое информация ограниченного использования?
10. Какие существуют виды информации ограниченного использования?
11. Как осуществляется защита персональных данных?
12. Почему в отдельных случаях бизнес отвечает за защиту сведений, составляющих государственную тайну?
13. Что включает в себя система мер по защите конфиденциальной информации?
14. Кто и в каких случаях может получать информацию, составляющую банковскую тайну?
15. Какие меры предусмотрены нормативно-правовыми актами для защиты информации ограниченного использования?
16. Каким требованиям должна отвечать модель обеспечения кибернетической безопасности предприятия?
17. В чем заключается роль персонала в вопросах обеспечения кибернетической безопасности предприятия?
18. Каков механизм мошеннических действий по проникновению в систему банк-клиент?
19. Каковы основные методы расследования кибер-преступлений?
20. Что такое веб-хакинг и какой ущерб он может нанести предприятию?
21. В чем заключаются основы обеспечения сетевой безопасности?
22. Что такое фишинг, каковы основные меры противодействия?
23. Каковы основные правила обращения с носителями ЭЦП?