'

Организация и управление службой защиты информации на предприятии

Понравилась презентация – покажи это...





Слайд 0

Организация и управление службой защиты информации на предприятии © Баранова Елена Константиновна


Слайд 1

Рекомендуемая литература 1. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с. 2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб.пособие для вузов – М.: Горячая линия – Телеком, 2004.- 280 с. 3. Мельников В.В. Безопасность информации в автоматизированных системах. – М.:Финансы и статистика, 2003. – 368 с. 4. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб: БХВ-Петербург, 2002. 5. Соколов А.В., Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. - М.: ООО "Фирма "Издательство АСТ"; СПб: ООО "Издательство "Полигон", 2000. – 272 с. 6. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. – М.: “Дашков и К”, 2006. - 234 с. 7.Шумский А.А. Системный анализ в защите информации: учеб.пособие для студентов вузов, обучающихся по специальностям в обл.информ.безопасности / А.А.Шумский, А.А.Шелупанов – М.: Гелиос АРВ, 2005.- 224 с. 2


Слайд 2

Организация системы защиты информации совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации от разглашения, утечки и несанкционированного доступа. Составные части 3


Слайд 3

Основные направления в общей проблеме обеспечения безопасности 4


Слайд 4

Этапы разработки СЗИ 1. Анализ конфиденциальности 3. Анализ ресурсов защиты 4. Оценка возможности технической защиты 6. Оценка возможности организационной защиты 5. Оценка возможности программной защиты 7. Распределение ответственности за защиту 10. Проверка и оценка принятых решений по ЗИ Анализ состояния и уточнение требований 8. Реализация выбора мер защиты 9. Создание условий необходимых для ЗИ 2. Анализ уязвимости 5


Слайд 5

Концепция создания защищенных ИС 6


Слайд 6

Многоуровневая структура СЗИ 1. охрана по периметру территории объекта; 2. охрана по периметру здания; 3. охрана помещения; 4. защита аппаратных средств; 5. защита программных средств; 6. защита информации. Для отдельного объекта можно выделить 6-7 уровней (рубежей) защиты: 7


Слайд 7

Сущность и задачи ОУСЗИ 8


Слайд 8

Стратегии организации защиты информации Стратегия – общая направленность в организации деятельности с учетом объективных потребностей, возможных условий осуществления и возможностей предприятия. 9


Слайд 9

Основные характеристики стратегий организации защиты информации 10


Слайд 10

Этапы построения СЗИ для различных стратегий 11


Слайд 11

Общие принципы построения КЗИ 12


Слайд 12

Структура КЗИ 13


Слайд 13

Основные характеристики КЗИ Надежность эшелонированность, многоуровневость Отказоустойчивость минимизация последствий отказов рубежей защиты Равнопрочность нарушитель должен преодолевать рубежи защиты с одинаковой трудностью, независимо от направления атаки 14


Слайд 14

Этапы разработки КЗИ Постоянный анализ и уточнение требований к КЗИ I. Определение информации, подлежащей защите II. Выявление полного множества угроз и критериев утечки информации III. Проведение оценки уязвимости и рисков информации по имеющимся угрозам и каналам утечки IV. Определение требований к комплексной защите V.Осуществление выбора средств защиты информации и их характеристик VI. Внедрение и организация использования выбранных мер, способов и средств защиты VII.Осуществление контроля целостности и управление системой защиты 15


Слайд 15

Обязательные элементы КЗИ 16


Слайд 16

Контрольные вопросы 1. Основные направления обеспечения информационной безопасности на предприятии 2. Этапы и общие принципы разработки СЗИ на предприятии. 3. Многоуровневая структура СЗИ на предприятии. 4. Сущность и задачи ОУСЗИ 5. Стратегии организации защиты информации на предприятии. 6. Этапы разработки комплексной системы защиты информации на предприятии. 17


Слайд 17

Организация защиты конфиденциальных документов 18


Слайд 18

Безопасность ценных информационных ресурсов Цель ИБ – безопасность информационных ресурсов в любой момент времени в любой обстановке. Первоначально всегда необходимо решить следующие вопросы: Что защищать? Почему защищать? От кого защищать? Как защищать? 19


Слайд 19

Главные опасности: утрата конфиденциального документа; разглашение конфиденциальных сведений; утечка по техническим каналам. В настоящее время главные опасности: – незаконные тайные операции с электронными документами без кражи из БД; незаконное использование информационных ресурсов для извлечения материальной выгоды. 20


Слайд 20

Архитектура СЗИ 21


Слайд 21

Основные направления формирования ценной информации 22


Слайд 22

Выявление конфиденциальных сведений Основополагающая часть организации системы защиты информации – процесс выявления и регламентации состава конфиденциальной информации. Критерии анализа информационных ресурсов: степень заинтересованности конкурентов; степень ценности (стоимостной, правовой аспект). 23


Слайд 23

Предпосылки отнесения информации к конфиденциальным сведениям 24


Слайд 24

Перечень конфиденциальных сведений Перечень – классифицированный список типовой и конкретно ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Перечень конфиденциальных сведений: закрепляет факт отнесения сведений к защищаемой информации; определяет срок, период недоступности этих сведений, уровень конфиденциальности (гриф); список должностей, которым дано право использовать эти сведения в работе. 25


Слайд 25

Документирование конфиденциальных сведений Основные отличия документированных конфиденциальных сведений Обязательность получения разрешения на документирование конфиденциальной информации от полномочного руководителя Установление грифа (уровня) конфиденциальности сведений, подлежащих включению в документ Оформление и учет носителя для документирования, выделенного комплекса конфиденциальных сведений. Учет подготовленного черновика документа Составление черновика и вариантов текста документа Получение разрешения на изготовление документа от полномочного руководителя Изготовление проекта конфиденциального документа Издание конфиденциального документа. 26


Слайд 26

Угрозы конфиденциальным документам 27


Слайд 27

28


Слайд 28

29 Задачи учета конфиденциальных документов Конфиденциальный документ – необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического (физического) лица.


Слайд 29

Жизненный цикл конфиденциального документа ????????? ????????? беловик беловик ???????? ??????? беловик беловик черновик беловик пакет Дата под., № Дата № Д. отм. об испол. Дела срок хранения архив уничтожение сжигание Перечень № черновик № Письменное распоряжение руководства замысел беловик № пакет Д. № Д. №, резол. рук. Д. под., № уничтожение Дата. об испол. архив сжигание размножение. размножение уничтожение Спец.урна Письменное разрешение размножение уничтожение сжигание Сопроводительное письмо замысел Д. резол. рук. Дела срок хранения 30


Слайд 30

Документированная система защиты Порядок определения сроков хранения Карточка Список Предписание Номенклатура дел и документов ГТ Инструкция по использованию ПВЭМ Инструкция по работе в сети Интернет Инструкция по пользованию сотовой связью Инструкция по пожару и ЧС План работы СФЗ Регламент ИБ Профиль защиты Положение о СФЗ Положение об ОЗИ Положение о ПДЭК Должностные инструкции План работы ОЗИ Инструкция по вскрытию ОЗИ Должностные инструкции Инструкция по пропускному и внутри объектовому режиму Инструкция по пользованию междугородной Инструкция по обработке и хранению КИ Номенклатура должностей на допуск к ГТ Номенклатура должностей на допуск к КТ Инструкция по оформлению допуска к КТ Номенклатура дел и документов КТ Справка о допуске Анкета Договор Регистр. анкета Журналы и книги учета и контроля Перечень конфиденциальных сведений Перечень должностных лиц, наделяемых полномочиями Инструкция по выезду за границу Инструкция по приему иноделегаций Порядок определения размеров ущерба Гражданский кодекс ФЗ «Об информации, информационных технологиях и о защите информации» Уголовный кодекс Концепция ИБ ФЗ «О государственной тайне» «О коммерческой тайне» 31


Слайд 31

Контрольные вопросы Архитектура системы защиты конфиденциального документооборота на предприятии. Основные направления формирования конфиденциальных документов на предприятии. Предпосылки отнесения информации к категории конфиденциальной и выявление конфиденциальных сведений на предприятии. Порядок документирования конфиденциальных сведений. Основные носители конфиденциальных сведений и угрозы конфиденциальному документообороту. Жизненный цикл конфиденциального документа. 7. Структура документированной системы защиты в РФ. 32


Слайд 32

Организация режима обеспечения комплексной защиты информации 33


Слайд 33

Разработка Политики безопасности Политика безопасности информации ? совокупность нормативных документов, определяющих (или устанавливающих) порядок обеспечения безопасности информации на конкретном предприятии, а также выдвигающих требования по поддержанию подобного порядка. 34


Слайд 34

Цели политики безопасности 35


Слайд 35

1 уровень стратегический 2 уровень оперативный 3 уровень тактический Уровни Политики безопасности информации 36


Слайд 36

Разработка Концепции безопасности информации 37


Слайд 37

Разработка Регламента обеспечения безопасности информации 38


Слайд 38

Разделы Профиля защиты: «Введение ПЗ»; «Описание Объекта Оценки»; «Среда безопасности ОО»; «Цели безопасности»; «Требования безопасности ИТ»; «Обоснование». 39


Слайд 39

Профиль защиты включает: 40


Слайд 40

Угрозы Политика безопасности Предположения безопасности Требования безопасности к СОБИ Для АИС Для среды функционирования Не ИТ-требования безопасности АСПЕКТЫ СРЕДЫ БЕЗОПАСНОСТИ АИС 41


Слайд 41

Взаимосвязь основных и дополнительных ФТБ Цели безопасности для АИС РСА Основные ФТБ Поддерживающие ФТБ косвенно способствует удовлетворению удовлетворяют способствует выполнению 42


Слайд 42

Контрольные вопросы 1. Цели и задачи Политики информационной безопасности на предприятии 2. Уровни Политики информационной безопасности на предприятии. 3. Разработка Концепции безопасности информации и Регламента обеспечения безопасности информации на предприятии. 4. Понятие Профиль защиты и его составляющие. 43


Слайд 43

Организация системы физической защиты информации 44


Слайд 44

Система физической защиты ? типовые задачи и способы ее реализации Система физической защиты (СФЗ) – совокупность людей, процедур и оборудования защищающих имущество (объекты) от хищений, диверсий и иных неправомерных действий. 45


Слайд 45

Типовые задачи СФЗ 46


Слайд 46

Способы организации СФЗ 47


Слайд 47

Функции и подсистемы СФЗ СФЗ Восприятие признаков вторжения Обнаружение Силы охраны Задержание Реагирование Получение сигнала тревоги Связь с силами реагирования Развертывание сил реагирования Прерывание Оценка сигнала тревоги Препятствия Функции Подсистемы 48


Слайд 48

Связь между функциями СФЗ Время решения задачи нарушителем Время выполнения ОР Задержка Обнаружение Реагирование То ТА Тпрер Тс Начало акции Выполнение задачи нарушителем Прерывание действий нарушителя Сигнал тревоги оценка Время То – время срабатывания датчика ТА – время принятия решения об отражении акции Тпрер – время прерывания вторжения Тс – время совершения акции нарушителем 49


Слайд 49

Сдерживание Обнаружение Сдерживание – реализация мер, воспринимаемых потенциальным нарушителем как труднопреодолимые, устрашающие (предупреждающие) и превращающие объект в непривлекательную цель. Результат сдерживания – нарушитель прекращает нападение, лучше если не предпринимает вовсе. 50 Обнаружение – выявление скрытой или открытой акции нарушителя по проникновению в пространство объекта. Показатели эффективности обнаружения : - вероятность выявления акции; - время оценивания акции; - время передачи сообщения об акции; - частота ложных тревог.


Слайд 50

Организация подсистемы обнаружения Срабатывание датчика Инициализация сигнала тревоги Получение сигнала от датчика Оценка сигнала тревоги Вероятность обнаружения Время оценки to t1 t2 t3 Рсрабат. ? 1 Ро Связь времени оценки и вероятности обнаружения: 1 51


Слайд 51

Задержка Реагирование 52 Задержка – замедление продвижения нарушителя к цели. Путями (способами) являются: физические барьеры, препятствия; замки; персонал охраны (постоянной готовности, ждущий режим) Показатель эффективности задержки – общее время преодоления каждого элемента задержки после обнаружения. Реагирование – действия сил защиты по воспрепятствованию успеху нарушителя, прерывание действий нарушителя. Показатели эффективности реагирования: время между получением информации об обнаружении и прерывание акции нарушителя; вероятность своевременного развертывания сил реагирования.


Слайд 52

Подсистемы реагирования Передача сообщения о нападении Развертывание сил реагирования Прерывание попытки нападения Первая передача Вторая передача Уточнение Вероятность успешной передачи сообщения 1 53


Слайд 53

m – общее число элементов задержки по пути k – точки, где TR>TG Ti – время задержки i-го элемента PNDi- вероятность, того, что i-ый элемент не обнаружил нарушителя 54


Слайд 54

Зона ограниченного допуска Защищенная зона Контролируемое здание Контролируемая комната Ограничение цели Внешняя зона Зона ограниченного доступа Защищенная зона Контролируемое здание Внешняя зона Цель Контролируемая комната Контролируемое помещение Физические зоны Уровень защиты Сегмент пути Элемент защиты (пути) датчик побег вторжение Диаграмма последовательности действий нарушителя Цель 55


Слайд 55

Силы реагирования Комплектование охраны Организационная структура и численность подразделений ведомственной охраны, осуществляющих защиту объектов, определяются в зависимости от: особенностей охраняемого объекта, степени оборудования их инженерно- техническими средствами защиты, а также иных условий, связанных с обеспечением надежной защиты объектов. 56


Слайд 56

Инженерно-технические средства охраны К техническим средствам охраны относятся: системы охранной сигнализации (СОС) периметра; системы охранной сигнализации зданий и сооружений; системы контроля и управления доступом (СКУД); системы телевизионного наблюдения (СТН); системы охранного освещения (СОО); системы связи и оповещения (ССО). 57 К инженерным средствам охраны относятся: ограждение периметра объекта охраны и внутренних зон ограниченного доступа; контрольно-пропускные пункты (КПП) с соответствующим досмотровым оборудованием; въездные ворота, калитки, шлагбаумы.


Слайд 57

Контрольные вопросы Система физической защиты: основные задачи и способы их решения на предприятии. Функции и подсистемы СФЗ. Организация подсистемы сдерживания и обнаружения СФЗ. Организация подсистемы задержки и реагирования СФЗ. Сценарии последовательности действий нарушителя СФЗ. Организация инженерно-технических средств охраны. 58


Слайд 58

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Слайд 59

Основные цели и задачи британского стандарта ISO 17799 60


Слайд 60

Преимущества ISO 17799 61


Слайд 61

Содержание стандарта ISO 17799 62


Слайд 62

Содержание германского стандарта BSI 63


Слайд 63

Содержание международного стандарта ISO 27001 64


Слайд 64

Особенности стандарта ЦБ РФ ? обеспечение ИБ организаций банковской системы РФ 65


Слайд 65

ПРОВЕДЕНИЕ КОМПЛЕКСНОГО ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС


Слайд 66

Цель проведения обследования (аудита) Методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении информационной системой своего главного предназначения ? информационное обеспечение бизнеса. 67


Слайд 67

Стадии проведения аудита ИБ 68


Слайд 68

Виды обследования 69


Слайд 69

ОБЪЕКТ ЗАЩИТЫ информационные ресурсы, содержащие сведения ограниченного доступа Угрозы информационной безопасности Хищение Утрата Блокирование Уничтожение Модификация Отрицание подлинности Навязывание ложной Анализ угроз безопасности информации ЦЕЛЬ ИБ исключение нанесения материального, морального и иного ущерба собственникам информации в результате нарушения: конфиденциальности доступности целостности 70


Слайд 70

Состав работ по проведению аудита 71


Слайд 71

Контрольные вопросы Международные стандарты в области информационной безопасности. Цели, задачи и стадии проведения аудита информационной безопасности. Виды аудита информационной безопасности, применяемые на различных стадиях жизненного цикла обследуемого объекта. Состав работ по проведения аудита информационной безопасности. 72


×

HTML:





Ссылка: