Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Концептуальные основы обеспечения ИБ

Содержание

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ
Толстой Александр Ивановичк.т.н., доцентДоцент кафедры «Информационная безопасность банковских систем»НИЯУ МИФИ, Факультет «Кибернетика ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬЭволюция понятия (с 1970г.)УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security), «безопасность информации» ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security), «безопасность информации» ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБЕЗОПАСНОСТЬ (Б)УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБЕЗОПАСНОСТЬ (Б)Б - состояние защищенности жизненно важных интересов личности, общества и ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬДоктрина информационной безопасности Российской Федерации:УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСПкОИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬЧаще всего понимают:УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬзащищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:УИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:Конфиденциальность: доступ к информации только авторизованных пользователейДоступность: доступ к информации ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:Конфиденциальность: доступ к информации только авторизованных пользователейДоступность: доступ к информации ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬвсе аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищённости информации, которое достигается обеспечением совокупности для нее свойств доступности, 1. Концептуальные основы обеспечения ИБ Традиционный подход: УИБ 1. Концептуальные основы обеспечения ИБ Традиционный подход: Обеспечение ИБ Комплексная система защиты 1. Концептуальные основы обеспечения ИБ Традиционный подход: Обеспечение ИБ Комплексная система защиты 1. Концептуальные основы обеспечения ИБ Определения: «мера защиты информации» - Организационные меры 1. Концептуальные основы обеспечения ИБ Традиционный подход: кризис «Кризис подхода» - Специфика 1. Концептуальные основы обеспечения ИБ «Кризис подхода» - Специфика обеспечения ИБ:2.Изменчивость (стохастичность) 1. Концептуальные основы обеспечения ИБ «Кризис подхода» - Специфика обеспечения ИБ:3.Обеспечение ИБ, 1. Концептуальные основы обеспечения ИБ Современный подход: 	управленчески-ориентированныйИнформационная безопасность - состояние защищённости 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения Примеры злоумышленников:постороннее лицо, не имеющее легального доступа к системе и атакующее ее Факторы эффективногоВедения бизнесаАктивСобственникЦели собственникаЗлоумышленникЦели злоумышленникаРискимотивациямотивацияПолучение незаконного доходадоходБизнесЗавладение правамиИспользование правВ соответствии с целямибизнесаВложениев 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения Оценка рисков ИБОценка рисков ИБ1. Концептуальные основы обеспечения ИБ Основные идеи новой Что защищаем?Оценка рисков ИБОценка рисков ИБООНиИББ Что защищаем?От чего защищаем?Оценка рисков ИБ1. Концептуальные основы обеспечения ИБ Основные идеи Что защищаем?От чего защищаем?Как защищаем?Оценка рисков ИБ1. Концептуальные основы обеспечения ИБ Основные Что защищаем?От чего защищаем?Как защищаем?Оценка рисков ИБКак контролируем?1. Концептуальные основы обеспечения ИБ 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения АктивыАгрессивная среда (угрозы)Первоначальный риск активов распадается на четыре составляющих1.Риск несоблюдения регламента работ 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Современный подход: 	управленчески-ориентированныйОсновные идеи новой концептуальной схемы 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения 1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели) обеспечения Благодарю за внимание!   Толстой Александр Иванович  AITolstoj@mephi.ru  8(499)324-97-35
Слайды презентации

Слайд 2 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 3 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Эволюция понятия (с 1970г.)

УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬЭволюция понятия (с 1970г.)УИБ

Тема 1

Слайд 4 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
«безопасность данных» (англ. data security),
«компьютерная безопасность»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security), «безопасность

(computer security),
«безопасность информации» или «информационная безопасность» (information security),


«безопасность ИТ» (IT security),
«сетевая безопасность» (network security),
«безопасность систем» (systems security),
«защита информации» (information protection)

Эволюция понятия (с 1970г.)





УИБ Тема 1


Слайд 5 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
«безопасность данных» (англ. data security),
«компьютерная безопасность»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security), «безопасность

(computer security),
«безопасность информации» или «информационная безопасность» (information security),


«безопасность ИТ» (IT security),
«безопасность систем» (systems security) и
«защита информации» (information protection),
«сетевая безопасность» (network security).

Эволюция понятия (с 1970г.)






Россия:
«безопасность информации» или «информационная безопасность» (information security),
«защита информации» (information protection).

УИБ Тема 1


Слайд 6 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 7 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
БЕЗОПАСНОСТЬ (Б)

УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБЕЗОПАСНОСТЬ (Б)УИБ

Тема 1

Слайд 8 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
БЕЗОПАСНОСТЬ (Б)
Б - состояние защищенности жизненно важных

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБЕЗОПАСНОСТЬ (Б)Б - состояние защищенности жизненно важных интересов личности, общества

интересов личности, общества и государства от внутренних и внешних

угроз (Закон РФ от 05.03.1992 № 2446-1 «О безопасности»)
Б – … (Закон РФ от 28.12.2010 № 390-ФЗ)
Б – отсутствие недопустимого риска, связанного с возможностью нанесения ущерба (ГОСТ Р 1.1-2002)
Б (защищаемого объекта - предприятие, организация, учреждение, домовладение и т.п.) - состояние защищенности объекта от угроз причинения ущерба (вреда) жизни и здоровью людей, имуществу физических и юридических лиц, государственному и муниципальному имуществу, техническому состоянию, инфраструктуре жизнеобеспечения, внешнему виду, интерьеру(ам), ландшафтной архитектуре, окружающей природной среде (ГОСТ Р 53704-2009 «Системы безопасности комплексные и интегрированные. Общие технические требования»).














УИБ Тема 1


Слайд 9 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 10 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Доктрина информационной безопасности Российской Федерации:
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬДоктрина информационной безопасности Российской Федерации:УИБ

Тема 1

Слайд 11 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

«Под информационной безопасностью Российской Федерации понимается состояние

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных

защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью

сбалансированных интересов личности, общества и государства»

Доктрина информационной безопасности Российской Федерации:


УИБ Тема 1


Слайд 12 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

«Под информационной безопасностью Российской Федерации понимается состояние

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных

защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью

сбалансированных интересов личности, общества и государства»

Доктрина информационной безопасности Российской Федерации:



Интересы личности в информационной сфере:
реализация конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также на защиту информации, обеспечивающей личную безопасность

УИБ Тема 1


Слайд 13
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

«Под информационной безопасностью Российской Федерации понимается состояние

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных

защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью

сбалансированных интересов личности, общества и государства»

Доктрина информационной безопасности Российской Федерации:



Интересы государства в информационной сфере:
создание условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, безусловное обеспечение законности и правопорядка, развитие равноправного и взаимовыгодного международного сотрудничества

Интересы личности в информационной сфере:
реализация конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также на защиту информации, обеспечивающей личную безопасность

УИБ Тема 1


Слайд 14 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
СПкОИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСПкОИБ           1. Современная концепция ОИБ

1. Современная концепция ОИБ

Слайд 15 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Чаще всего понимают:

УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬЧаще всего понимают:УИБ

Тема 1

Слайд 16 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

защищенность информации и поддерживающей инфраструктуры от случайных

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬзащищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий

или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением

ущерба владельцам или пользователям информации и поддерживающей инфраструктуры;

механизм защиты, обеспечивающий конфиденциальность, целостность и доступность информации;

свойство информации сохранять конфиденциальность, целостность и доступность.


Чаще всего понимают:


УИБ Тема 1


Слайд 17 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 18 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Безопасность информации:

УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:УИБ

Тема 1

Слайд 19 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Безопасность информации:

состояние защищенности информации, обрабатываемой средствами вычислительной

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной

техники или автоматизированной системы, от внутренних или внешних угроз


Руководящий документ Гостехкомиссии России от 30 марта 1992 г. «Защита от несанкционированного доступа к информации. Термины и определения»

состояние защищенности информации, при котором обеспечивается ее конфиденциальность, доступность и целостность
Рекомендациям по стандартизации Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации» и ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»


УИБ Тема 1


Слайд 20 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Безопасность информации:

состояние защищенности информации, обрабатываемой средствами вычислительной

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬБезопасность информации:состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной

техники или автоматизированной системы, от внутренних или внешних угроз


Руководящий документ Гостехкомиссии России от 30 марта 1992 г. «Защита от несанкционированного доступа к информации. Термины и определения»

состояние защищенности информации, при котором обеспечивается ее конфиденциальность, доступность и целостность
Рекомендациям по стандартизации Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации» и ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»


Угроза потенциальная причина инцидента, который может нанести ущерб системе или организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
Угроза ИБ - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];


УИБ Тема 1


Слайд 21 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 22 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Свойства информации:

УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:УИБ

Тема 1

Слайд 23 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Свойства информации:

Конфиденциальность: доступ к информации только авторизованных

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:Конфиденциальность: доступ к информации только авторизованных пользователейДоступность: доступ к

пользователей
Доступность: доступ к информации и связанным с ней активам

авторизованных пользователей по мере необходимости
Целостность: достоверность и полнота информации и методов ее обработки;
ГОСТ Р ИСО/МЭК 17799-2005


УИБ Тема 1


Слайд 24 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Свойства информации:

Конфиденциальность: доступ к информации только авторизованных

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬСвойства информации:Конфиденциальность: доступ к информации только авторизованных пользователейДоступность: доступ к

пользователей
Доступность: доступ к информации и связанным с ней активам

авторизованных пользователей по мере необходимости
Целостность: достоверность и полнота информации и методов ее обработки;
ГОСТ Р ИСО/МЭК 17799-2005


Аутентичность или подлинность (authenticity) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным;
Неотказуемость или неоспоримость (non-repudiation) – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [ГОСТ Р ИСО/МЭК 13335-1-2006];
Достоверность или функциональность (reliability) –
свойство соответствия преднамеренному поведению и результатам [ГОСТ Р ИСО/МЭК 13335-1-2006];


УИБ Тема 1


Слайд 25 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УИБ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬУИБ

Тема 1

Слайд 26 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
состояние защищенности национальных интересов в информационной сфере,

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных

определяемых совокупностью сбалансированных интересов личности, общества и государства.
Доктрина

информационной безопасности РФ

безопасность, связанная с угрозами в информационной сфере (состояние защищенности интересов (целей) организации БС РФ в условиях угроз),.
Стандарт Банка России СТО БР ИББС-1.0


УИБ Тема 1


Слайд 27 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
состояние защищенности национальных интересов в информационной сфере,

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных

определяемых совокупностью сбалансированных интересов личности, общества и государства.
Доктрина

информационной безопасности РФ

безопасность, связанная с угрозами в информационной сфере (состояние защищенности интересов (целей) организации БС РФ в условиях угроз),.
Стандарт Банка России СТО БР ИББС-1.0


Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов.
Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации, находящаяся в распоряжении организации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.


УИБ Тема 1


Слайд 28 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

все аспекты, связанные с определением, достижением и

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬвсе аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности,

поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности

информации или средства ее обработки.

ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»


УИБ Тема 1


Слайд 29 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
состояние защищённости информации, которое достигается обеспечением совокупности

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬсостояние защищённости информации, которое достигается обеспечением совокупности для нее свойств

для нее свойств доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости

и достоверности.


УИБ Тема 1


Слайд 30 1. Концептуальные основы обеспечения ИБ
Традиционный подход:


1. Концептуальные основы обеспечения ИБ Традиционный подход: УИБ





УИБ

Тема 1

Обеспечение ИБ

Комплексная система
защиты информации


Определения(ГОСТ Р 50922-2006):
«защита информации» – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
«объект защиты» – информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации;
«система защиты информации» - совокупность органов и/или исполнителей, используемая ими техника защиты информации , а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации;

Объект информатизации

Объект защиты

=



Защита
информации



Слайд 31 1. Концептуальные основы обеспечения ИБ
Традиционный подход:


1. Концептуальные основы обеспечения ИБ Традиционный подход: Обеспечение ИБ Комплексная система





Обеспечение ИБ
Комплексная система
защиты информации

Определения(ГОСТ Р 50922-2006):
«защита информации»

– деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

«объект защиты» – информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации;

«объект информатизации» –совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией;

Объект информатизации

Объект защиты

=



Защита
информации


УИБ Тема 1


Слайд 32 1. Концептуальные основы обеспечения ИБ
Традиционный подход:


1. Концептуальные основы обеспечения ИБ Традиционный подход: Обеспечение ИБ Комплексная система





Обеспечение ИБ
Комплексная система
защиты информации

Определения(ГОСТ Р 50922-2006):

«средство защиты

информации» - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации;

«базовые защитные меры» - минимальный набор защитных мер, установленный для системы или организации;

«мера защиты информации» - ???


Объект информатизации

Объект защиты

=



Защита
информации


УИБ Тема 1


Слайд 33 1. Концептуальные основы обеспечения ИБ






Определения: «мера

1. Концептуальные основы обеспечения ИБ Определения: «мера защиты информации» - Организационные

защиты информации» -
Организационные меры защиты информации:
 ограничение доступа к

помещениям, где информация содержится и обрабатывается;
 допуск только проверенных лиц к конфиденциальной информации;
 хранение информации в закрытых для посторонних сейфах;
 блокировка просмотра содержания обрабатываемых материалов;
 криптографическая защита при передаче каналами связи;
 своевременное уничтожение остаточной информации.

Организационно-технические меры защиты информации:
 организация независимого питания оборудования, содержащего и обрабатывающего ценную информацию;
 установка кодовых замков;
 использование жидкокристаллических или плазменных дисплеев, струйных принтеров и термопринтеров, избегая высокочастотного электромагнитного излучения;
 уничтожение информации при списании или отправки компьютера в ремонт;
 минимальная защита снятия информации акустическим способом с помощью мягких прокладок, установленных под оборудованием;
 экранирования помещений обработки данных.

УИБ Тема 1


Слайд 34 1. Концептуальные основы обеспечения ИБ
Традиционный подход: кризис

1. Концептуальные основы обеспечения ИБ Традиционный подход: кризис «Кризис подхода» -


«Кризис подхода» - Специфика обеспечения ИБ:

1.Деградация мер и средств

защиты информации.
Правильно выстроенные процессы и используемые защитные меры в силу объективных причин имеют тенденцию к постепенному ослаблению своей эффективности.
Причины:
угрозы ИБ, их источники через некоторые промежутки времени изменяются под воздействием среды ведения бизнеса организации.
защитные меры всегда тем или иным образом ограничивают сотрудников и сам бизнес (следствие - неправильного распределения ролей и ответственности и плохо отлаженного механизма выделения полномочий всем и все разрешено)
Результат: организация несет потери, так как на систему ЗИ были зря потрачены немалые средства 


УИБ Тема 1


Слайд 35 1. Концептуальные основы обеспечения ИБ
«Кризис подхода» -

1. Концептуальные основы обеспечения ИБ «Кризис подхода» - Специфика обеспечения ИБ:2.Изменчивость

Специфика обеспечения ИБ:

2.Изменчивость (стохастичность) бизнеса.
Бизнес ведется в условиях

изменчивой среды, то есть при большой неопределенности.
Это естественное свойство среды, которое должно учитываться организацией в ее деятельности.
В условиях неопределенности на бизнес уровне принимается решение о необходимости осуществить то или иное действие, отсрочить его, позаботиться о дополнительных гарантиях или ресурсах, либо вообще отказаться от выполнения действий.
При этом используются естественные для бизнеса механизмы самоконтроля, позволяющие проверить степень достижения заданной цели.
Изменчивость потребует постоянной подстройки обеспечения ИБ под изменение внутренней и внешней среды ведения бизнеса организации.



УИБ Тема 1


Слайд 36 1. Концептуальные основы обеспечения ИБ
«Кризис подхода» -

1. Концептуальные основы обеспечения ИБ «Кризис подхода» - Специфика обеспечения ИБ:3.Обеспечение

Специфика обеспечения ИБ:

3.Обеспечение ИБ, в отличие от бизнеса, не

имеет механизмов самоконтроля.
4.Эффективность деятельности по обеспечению ИБ реально проявляется только в момент атак.
5.Своевременность обнаружения проблем в области обеспечения ИБ.
6.Рост масштабов и сложности самих задач ОИБ организации.
Выход: целенаправленное управление всеми процессами обеспечения ИБ, основанное на системном методологическом подходе.

УИБ Тема 1


Слайд 37 1. Концептуальные основы обеспечения ИБ
Современный подход: управленчески-ориентированный

Информационная

1. Концептуальные основы обеспечения ИБ Современный подход: 	управленчески-ориентированныйИнформационная безопасность - состояние

безопасность - состояние защищённости информации, которое достигается обеспечением совокупности

для нее свойств доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости и достоверности.

Обеспечение ИБ – это системный процесс, а не состояние.

Процессом надо управлять!

Эффективность обеспечения ИБ определяется эффективностью управления





УИБ Тема 1


Слайд 38 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Деятельность организации осуществляется через реализацию трех групп высокоуровневых бизнес-процессов: - основные процессы (процессы основной деятельности), - вспомогательные процессы (процессы по видам обеспечения), - процессы менеджмента (управления) организацией.
Процессы по обеспечению ИБ –
вид вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.





УИБ Тема 1


Слайд 39 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.




УИБ Тема 1


Слайд 40 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Причем информационный актив является объектом взаимодействия различных субъектов
Определения:
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
«Собственник» - субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.
«Субъект» – сущность, инициирующая выполнение операций (собственник актива, служба ИБ собственника, злоумышленник (нарушитель);
«Злоумышленник (нарушитель)» - лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий




УИБ Тема 1


Слайд 41 Примеры злоумышленников:
постороннее лицо, не имеющее легального доступа к

Примеры злоумышленников:постороннее лицо, не имеющее легального доступа к системе и атакующее

системе и атакующее ее только с использованием общедоступных сетей;


сотрудник организации, не имеющий легального доступа к атакуемой системе и сумевший подсмотреть/подобрать пароль легального пользователя;
пользователь системы, обладающий минимальными полномочиями и использующий ошибки в ПО и администрировании системы;
администратор системы, имеющий легально полученные полномочия, достаточные для успешной атаки на систему;
разработчик системы, встроивший в код системы “люки” (недокументированные возможности), которые в дальнейшем позволят ему осуществлять НСД к ресурсам системы.


1. Концептуальные основы обеспечения ИБ
Основные идеи новой концептуальной схемы (модели) обеспечения ИБ:

УИБ Тема 1


Слайд 42
Факторы эффективного
Ведения бизнеса
Актив
Собственник


Цели собственника
Злоумышленник
Цели злоумышленника
Риски
мотивация
мотивация



Получение
незаконного
дохода
доход
Бизнес


Завладение правами
Использование

Факторы эффективногоВедения бизнесаАктивСобственникЦели собственникаЗлоумышленникЦели злоумышленникаРискимотивациямотивацияПолучение незаконного доходадоходБизнесЗавладение правамиИспользование правВ соответствии с

прав
В соответствии с целями
бизнеса
Вложение
в бизнес
Конфликт целей собственника и злоумышленника

по установлению контроля над активами

1. Концептуальные основы обеспечения ИБ
Основные идеи новой концептуальной схемы (модели) обеспечения ИБ:

УИБ Тема 1


Слайд 43 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Определения (ГОСТ Р ИСО/МЭК 13335-1-2006):
«Риск»: потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов (определяется как сочетание вероятности события и его последствий .
«Менеджмент риска»: скоординированные действия по руководству и управлению в отношении риска с целью его минимизации.


УИБ Тема 1


Слайд 44 4.1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой

4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Деятельности организации сопутствует значительное число

различных рисков – риски ИБ один из видов рисков.
Фундаментальные особенности безопасности:
1) Безопасность никогда не бывает абсолютной – всегда есть некоторый риск ее нарушения

«риск» – это вероятность причинения вреда с учетом его тяжести (ст.2 Федерального закона № 184-ФЗ «О техническом регулировании»);

2) Наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т.е. добиться того, чтобы такие события будут наступать реже.

Следствие 1: усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не болеe.

УИБ Тема 1


Слайд 45 4.1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой

4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Деятельности организации сопутствует значительное число

различных рисков – риски ИБ один из видов рисков.
Фундаментальные особенности безопасности:

3) Измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности объекта.
Следствие 2: можно говорить только о вероятности наступления того или иного события и степени его последствий, т.е. использовать для оценок уровня безопасности рисковый подход.

4) При любом вмешательстве в объект в первую очередь страдает ее безопасность
Следствие 3: при добавлении средства защиты безопасность объекта может не улучшиться, а ухудшится.

УИБ Тема 1


Слайд 46 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Менеджмент рисков ИБ – основа

деятельности по обеспечению ИБ.

«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
«Угроза ИБ» - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];

«Уязвимость» (бреш) (vulnerability) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [ГОСТ Р ИСО/МЭК 13335-1-2006];

Если уязвимость соответствует угрозе, то существует риск
(ИСО 2382-8:1998)

УИБ Тема 1


Слайд 47 Оценка рисков ИБ
Оценка рисков ИБ
1. Концептуальные основы обеспечения

Оценка рисков ИБОценка рисков ИБ1. Концептуальные основы обеспечения ИБ Основные идеи

ИБ
Основные идеи новой концептуальной схемы (модели) обеспечения ИБ:
Менеджмент

рисков ИБ – основа деятельности по обеспечению ИБ

ООНиИББ Тема 4.1


Слайд 48 Что защищаем?
Оценка рисков ИБ
Оценка рисков ИБ
ООНиИББ

Что защищаем?Оценка рисков ИБОценка рисков ИБООНиИББ

Тема 4.1

1. Концептуальные основы обеспечения ИБ
Основные идеи новой концептуальной схемы (модели) обеспечения ИБ:
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ


Слайд 49 Что защищаем?
От чего защищаем?
Оценка рисков ИБ
1. Концептуальные основы

Что защищаем?От чего защищаем?Оценка рисков ИБ1. Концептуальные основы обеспечения ИБ Основные

обеспечения ИБ
Основные идеи новой концептуальной схемы (модели) обеспечения

ИБ:
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ

УИБ Тема 1


Слайд 50 Что защищаем?
От чего защищаем?
Как защищаем?
Оценка рисков ИБ
1. Концептуальные

Что защищаем?От чего защищаем?Как защищаем?Оценка рисков ИБ1. Концептуальные основы обеспечения ИБ

основы обеспечения ИБ
Основные идеи новой концептуальной схемы (модели)

обеспечения ИБ:
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ

УИБ Тема 1


Слайд 51 Что защищаем?
От чего защищаем?
Как защищаем?
Оценка рисков ИБ
Как контролируем?
1.

Что защищаем?От чего защищаем?Как защищаем?Оценка рисков ИБКак контролируем?1. Концептуальные основы обеспечения

Концептуальные основы обеспечения ИБ
Основные идеи новой концептуальной схемы

(модели) обеспечения ИБ:
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ

УИБ Тема 1


Слайд 52 1. Концептуальные основы обеспечения ИБ

Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Деятельности организации сопутствует значительное число

различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ


Фундаментальные особенности безопасности:


4) При любом вмешательстве в объект в первую очередь страдает ее безопасность

Следствие 3: при добавлении средства защиты безопасность объекта может не улучшиться, а ухудшится.

ООНиИББ Тема 4.1


Слайд 53 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Менеджмент рисков ИБ – основа

деятельности по обеспечению ИБ

По ГОСТ ИСО/МЭК 15408

УИБ Тема 1


Слайд 54
Активы






Агрессивная среда (угрозы)

Первоначальный риск активов распадается на четыре

АктивыАгрессивная среда (угрозы)Первоначальный риск активов распадается на четыре составляющих1.Риск несоблюдения регламента

составляющих
1.Риск несоблюдения регламента работ по стене (ухудшение характеристик)
2. Риск

необнаружения и несвоевременной обработки инцидентов безопасности (дыры и лазейки в стене и их устранение)
3.Риск неверной (несвоевременной) оценки необходимых параметров стены
4.Риск преодоления стены (определяется ее параметрами относительно угроз)

1. Регламентные работы по стене (покраска, проф. ремонт, …)
2. Безопасность стены (мониторинг состояния стены, периодический контроль злоумышленной активности, …)
3. Оценка параметров (толщина, высота, …) стены с точки зрения злоумышленной активности (оснащенность злоумышленника, его мотивация, …)



Риск

УИБ Тема 1


Слайд 55 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ:

Фундаментальные особенности безопасности:
1) Безопасность никогда не бывает абсолютной – всегда есть некоторый риск ее нарушения

2) Наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т.е. добиться того, чтобы такие события будут наступать реже.

Следствие 4: событие нарушения безопасности объекта неизбежно!



УИБ Тема 1


Слайд 56 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ:
Фундаментальные особенности безопасности:
1) Безопасность никогда не бывает абсолютной – всегда есть некоторый риск ее нарушения
2) Наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т.е. добиться того, чтобы такие события будут наступать реже.
Следствие 4: событие нарушения безопасности объекта неизбежно!
«Событие нарушения безопасности объекта» - идентифицированное появление определенного состояния объекта, указывающего на возможное нарушение его безопасности или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к безопасности.
«Инцидент» - ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.
«Инцидент безопасности» - событие, которое может негативно повлиять на безопасность объекта



УИБ Тема 1


Слайд 57 4.1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой

4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ:

Определения:
«Инцидент ИБ» - появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операций и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации ;
«Событие ИБ» - идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.

УИБ Тема 1


Слайд 58 4.1.Исходная концептуальная схема обеспечения ИБ
Основные идеи новой

4.1.Исходная концептуальная схема обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ:
Определения:
Управление инцидентами ИБ - это процесс, состоящий из ряда подпроцессов, на вход которого поступают данные, полученные в результате сбора и протоколирования событий ИБ, а на выходе – информация о причинах произошедшего инцидента ИБ, нанесенном организации ущербе и мерах, которые необходимо принять для того, чтобы инцидент ИБ не повторился вновь.

УИБ Тема 1


Слайд 59 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ:

Цель управления инцидентами ИБ – обеспечение следующих условий :
события ИБ обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к категории инцидентов ИБ;
идентифицированные инциденты ИБ оценены, и реагирование на них осуществлено наиболее целесообразным и результативным способом;
негативные воздействия инцидентов ИБ на организацию и ее бизнес-операции минимизированы соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов из плана(ов) ОНБ;
из инцидентов ИБ и их управления быстро извлечены уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер, улучшения общей системы управления инцидентами ИБ.

УИБ Тема 1


Слайд 60 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ:

Определение:
Система управления инцидентами ИБ (СУИИБ) –
часть общей системы управления организации, предназначенная для:
обнаружения и регистрации, оценки, классификации и приоритезации, всестороннего исследования, обработки, извлечения уроков и предотвращения инцидентов ИБ в дальнейшем
и включающая организационную структуру, политику,
планирование действий, обязанности, установившийся порядок, процедуры, процессы и
ресурсы в области реагирования на инциденты ИБ.

Назначение СУИИБ

Структура СУИИБ

УИБ Тема 1


Слайд 61 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ:
Контроль обеспечения ИБ является элементом управления ИБ:

УИБ Тема 1


Слайд 62 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Контроль обеспечения ИБ является элементом

управления ИБ:

Почему?

Актуальные вопросы, возникающие на объекте, функционирующем в условиях существования угроз в информационной сфере:
Имеются ли в текущей конфигурации систем уязвимости, которые могут быть использованы для несанкционированного доступа (НСД) и взлома системы?
Насколько адекватны существующим рискам ИБ реализованные защитные меры?
Какие контрмеры позволят реально повысить существующий уровень защиты?
Как оценить уровень защищенности объекта и как определить, является ли он достаточным в данной среде функционирования?
На какие критерии оценки защищенности следует ориентироваться, и какие показатели защищенности использовать?

Ответы: в области проверки и оценки деятельности по обеспечению ИБ


УИБ Тема 1


Слайд 63 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Контроль обеспечения ИБ является элементом

управления ИБ:

Почему?
Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

Для того, чтобы это не допустить, необходимо:
определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ);
оценить эффективность обеспечения ИБ, используя «процессный подход»
Это: основа дальнейшего планирования обеспечения ИБ

УИБ Тема 1


Слайд 64 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Контроль обеспечения ИБ является элементом

управления ИБ:

ООНиИББ Тема 4.1

Для того, чтобы это не допустить, необходимо:
определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ );
оценить эффективность обеспечения ИБ, используя «процессный подход»
Определения:
«мониторинг»: постоянное наблюдение за объектами и субьектами, влияющими на обеспечение ИБ, а также сбор, анализ и обобщение результатов наблюдений;
«аудит»: периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения установленных требований по обеспечению ИБ (может быть внутренний или внешний аудит);
«процессный подход»: деятельность по обеспечению ИБ в виде системы процессов в пределах организации;
«процесс»: любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов в выходные ресурсы.


Слайд 65 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Управление инцидентами ИБ является элементом

управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ.



УИБ Тема 1


Слайд 66 1. Концептуальные основы обеспечения ИБ
Современный подход: управленчески-ориентированный
Основные

1. Концептуальные основы обеспечения ИБ Современный подход: 	управленчески-ориентированныйОсновные идеи новой концептуальной

идеи новой концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ

определяется эффективностью управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ





УИБ Тема 1


Слайд 67 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:



УИБ Тема 1


Слайд 68 1. Концептуальные основы обеспечения ИБ
Основные идеи новой

1. Концептуальные основы обеспечения ИБ Основные идеи новой концептуальной схемы (модели)

концептуальной схемы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью

управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:
Главный «флаг»: Управление информационной безопасности
Составляющие «флага»:
1.Управление рисками ИБ.
2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
4.Взаимодействие с управлением непрерывностью бизнеса


УИБ Тема 1


  • Имя файла: kontseptualnye-osnovy-obespecheniya-ib.pptx
  • Количество просмотров: 146
  • Количество скачиваний: 0