Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ИБ. Введение

Основные понятия. Исторические аспекты. Нормативные документы. Организационые и режимные меры. Социальный аспект.
by

Vladmir Borodin

on 7 September 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ИБ. Введение

Информационная безопасность Основные понятия Бородин Владимир Андреевич
аспирант кафедры 504 Что такое
информационная
безопасность? Информационная безопасность - состояние защищённости информации, обрабатываемой средствами вычислительной техники, от внешних или внутренних угроз:
нарушения конфиденциальности,
нарушения целостности,
нарушения доступности. Скучные определения Угроза - потенциально возможное происшествие, которое может оказать нежелательное воздействие на систему или информацию, хранящуюся в ней.

Уязвимость - свойство системы, которое может привести к реализации угрозы.

Атака - действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании уязвимости. Классификация уязвимостей уязвимости проектирования
уязвимости реализации
уязвимости эксплуатации Классификация атак Локальные
Удалённые Злонамеренные
Случайные Атаки на пользователей
Атаки на прикладное ПО
Атаки на системное ПО
Атаки на TCP/IP Повышение прилигей в системе
Получение доступа к системе
Раскрытие конфиденциальности информации
Нарушение целостности информации
Снижение доступности информации Хакер — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые глубины работы компьютерных систем.

Крэкер — взломщик, злоумышленник.

Гик — сленговое выражение, употребляемое относительно людей, увлечённых технологиями, в том числе компьютерными. Нескучные определения Хакеры 1960-х Фрикеры 1970-х Взломщики 1980-х Взломщики 1990-х Интернет-вирусы, рост ИБ-компаний Индустрия XXI-ого века Повсеместные вирусные эпидемии
Цифровые копирайты
Забота о безопасности Нормативные документы ГОСТ Р ИСО/МЭК 15408-3-2008 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий."
ГОСТ Р ИСО/МЭК 17799-2005 "Практические правила управления информационной безопасностью" ГОСТ Р 17799 Набор рекомендаций по организации управления безопасностью
Ключевые меры контроля безопасности:
обеспечение конфиденциальности персональных данных
защита учётных данных организации и коммерческой тайны
защита прав на интеллектуальную собственность Основные аспекты
управления безопасностью организационные
управление активами
управление персоналом
физическая защита
управление передачей данных и операциями
контроль доступа
разработка и обслуживание систем
управление непрерывностью бизнеса
соответствие требованиям законодательства Организационный аспект Анализ «внешнего» мира и его влияние на защищённость предприятия:
контроль доступа посторонних лиц к ресурсам;
включение темы безопасности во все договоры по предоставлению услуг;
вопросы аутсорсинга. Управление активами Информационные активы должны быть учтены и закреплены за людьми:
инвентаризация,
классификация,
маркировка. Управление персоналом Обесечение безопасности - должностные обязанности;
NDA (соглашение о конфиденциальности);
проверка при найме;
обучение, информирование;
ответственность, дисциплинарные меры. Физическая защита Охраняемая зона,
контроль доступа в зоны,
безопасность помещений,
снабжение - электро-, водо-, кабельные сети,
политика «чистого стола» и «чистого экрана». Управление потоками данных и операционной деятельностью Документирование основных бизнес-процессов
контроль изменений
процедуры по инцидентам нарушения безопасности
разделение обязанностей
планирование рагрузки и производительности
защита от вредоносного ПО
резервирование
управление сетевыми ресурсами
безопасность носителей информации
безопасность электронной почты и документооборота
системы публичного доступа Контроль доступа Регистрация пользователей
идентификация и аутентификация
управление паролями
управление привилегиями дискреционная модель
мандатный доступ
ролевой доступ Разработка и обслуживание систем Спецификация требований безопасности
Контроль корректности вводимых данных, целостности обрабатываемых данных
Контроль изменений
Регламент использования СКЗИ Управление непрерыв-ностью бизнеса Анализ последствий нарушения непрерывности деятельности
Планы обеспечения непрерывности бизнеса
Тестирование, поддержка и пересмотр планов Соответствие требованиям законодательства Авторское право и интеллектуальная собственность
Критичная для бизнеса информация, учётные данные
Персональные данные Вопросы?
Full transcript