Информационная безопасность: Вводная лекция Лекции ФЖ 2014
Информационная безопасность: Вводная лекция
Лекции
ФЖ
2014
Подход к ИБ
По масштабам: международный национальный общественный корпоративный/групповой индивидуальный
По сферам:
- Технический/программный (машины)
- Правовой/законодательный (законы)
- Гуманитарный/административный (люди)
Темы• Введение в ИБ. Термины, понятия, определения• Информационная и кибербезопасность на
международном и российском уровнях• Юридические и правовые аспекты ИБ• Медиаграмотность как основа личной
безопасности. Безопасность детей• Хакеры: технические и человеческие факторы• Манипулирование общественным мнением• Сетевая агрессия и троллинг
«Информационная безопасность»
• Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл.
• Под ИБ принято понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
• Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
ИБ для государства и граждан
Информационная безопасность – это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
ИБ: Государство
Для государства: защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а так же телекоммуникационной инфраструктуры, организаций и служб.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
ИБ: Организации
Для организаций: защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а так же принадлежащей им интеллектуальной собственности
В соответствии с действующим законодательством РФ, далеко не каждая фирма сегодня имеет право на защиту своей информации. Декларация прав и свобод человека и гражданина РФ и Конституция предоставили каждому право свободно искать и получать информацию. Следовательно, для осуществления действий по защите информации и, главное, по ограничению доступа к ней фирма должна иметь законные основания, имеющие отражение в правоустанавливающих документах фирмы.
ИБ: Граждане
Для граждан: защищенность их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а так же результатов их интеллектуальной деятельности.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Ура, праздник!
Ежегодно 30 ноября отмечается Международный день защиты информации.
Его цель — напоминание пользователям о необходимости защиты компьютеров и всей хранимой в них информации.
Праздник был учрежден 30 ноября 1988 года. Т.к. 2 ноября 1988 года а зафиксирована первая массовая эпидемия "червя" Морриса (название по имени своего создателя - Роберта Морриса, аспиранта факультета Вычислительной техники Корнелльского университета).
Кибербезопасность не= ИБ
Термин «компьютерная безопасность» или «кибербезопасность» не охватывают всё понятие ИБ как эквиваленты или заменители.
Компьютеры – только одна из составляющих информационных систем.
ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал.
ИБ = защищенность
ИБ = состояние защищенности информации = обеспечены: конфиденциальность, доступность и целостность.
Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Полная ИБ
Субъекты и угрозы
• Решение проблем ИБ начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС).
• Угрозы информационной безопасности –это оборотная сторона использования информационных технологий.
Угрозы информационной безопасности
Угрозы информационной безопасности –совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, -злоумышленником.
Потенциальные злоумышленники называются источниками угрозы.
Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.
Классификация угроз
• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС)
Актуальные угрозы ИБ
Цели: • Мошенничество, вымогательство, шантаж • Кража конфиденциальной информации• Реклама/рассылка спама/нежелательный
контент DoS/DDoS – атаки • Уничтожение данных • Манипуляции с брендом/черный PR (для
компаний)
Технологии: • Вирусы• Эксплойты• Трояны• Сетевые черви• Ботнеты• Rootkit-ы• Социальная инженерия
Каналы реализации: • Web• Социальные сети • Peer to Peer сети• Электронная почта• Системы обмена
сообщениями• Внешние носители• Мобильные
устройства• Беспроводные сети• Инсайдеры
Актуальные угрозы ИБ (корпоративные)
• Более половины всех опрошенных (58.7%) заявили, что за прошедшие 12 месяцев они становились жертвами той или иной формы компьютерного воровства
• 67% всех компьютерных краж происходят в условиях их мобильного использования; запирающие кабели и замки оказываются, как правило, бесполезными
• Три четверти (78.2%) компаний, где проводился опрос: за прошедшие 12 месяцев было украдено от 1 до 9 компьютеров; в каждой шестой опрошенной компании (17.6%) за последние 12 месяцев было украдено свыше 25 компьютеров
• 46% опрошенных заявили, что ценность информации, которая хранилась на украденных компьютерах от 25,000 до $1,000,000
• 44% всех опрошенных отметили, что единственной мерой защиты информации было периодическое резервирование данных
• 91% опрошенных не использовали средств шифрования для хранения данных на украденном ПК
• 48.6% организаций, где проводились опросы, не предусматривают специальных защитных мероприятий, направленных на защиту компьютеров от краж
По материалам 8th Annual 2010 BSI Computer Theft Survey
Обеспечение ИБ
Требуется комплексный подход. Уровни: 1. законодательный – законы, нормативные
акты и прочие документы РФ и международного сообщества;
2. административный – комплекс мер, предпринимаемых локально руководством организации;
3. процедурный – меры безопасности, реализуемые людьми;
4. программно-технический – непосредственно средства защиты информации.
Материалы по теме
Информационная безопасность (CNEWS Analitycs, май 2014) - http://www.slideshare.net/StanislavM/2014-3-35033824?qid=03ed58f0-2ef7-4e9e-97f1-
250121845a51&v=default&b=&from_search=9
Информационная безопасность. Курс лекций(ссылка на скачивание) http://yandex.ru/clck/jsredir?from=yandex.ru%3Byandsearch%3Bweb%3B%3B&text=&etext=442.3eR2GImSVKcpoH5-85INXPOTyuUbzSXplRhW2NzrPyWVOs_y3s_2eeOzOC8wm5Zt0k8R3vrgiSfKJmmTt8uh9k2rz3DgT-wha1CjAmx2yRXusBo7YteihEOy9OLWd9T2jdn1MGaG7ivYzgyx8dsRNO08_jTHCGe6jjMIIWPfRBYV4REVfPcYxxNchM3LsuDTDgBo-wb2cVDBW6EvA-FZy3jN2FF7dKHxF37fiTrfGgD-09vIkdZXKBtB0Bs2lD0uvP4zCH__CpHeD22D6cXyFe7exr_2RV6r1bTFhlAjVak.867f761d30e58fc1289f3459b4cb80da9b62c9d2&uuid=&state=AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW9J0KiE5XNXd1-5lCoUJb8Spzg0aAClArkHM-JUIm78SdbBOsQnBZ7oSf_HaWqjDIQWW2wsViT06yfb679eO4CDXMCgdvfxz39XXKg5maIFbrnfKQlXob_3TtCXuKqN6LOzHXNyvvCmJ69JVxagZ0HeFs5lQgPkyg58xKU2byomR4-pteA6RCbjEg7UIi5wqug&data=UlNrNmk5WktYejR0eWJFYk1LdmtxaEJNZlp3Q1BHRlBJSm5KOTVGYXhyYVQ1U1RnMjMteUVXWXVyOGUydHdJOXQ3eVYwWC1IRFZuOXBFc1R2ZFVya1pEbnFWN3BRUnFxZjYyUHpWSWR1UC1sZm5uUEw2OUNrblhTLW5DNno0ZjFJRDJGOG4wQmg2eXpZVjNEN1pSWWY4dWhBaDNjRnliNQ&b64e=2&sign=7153358927c40e97aad863f02031d01f&keyno=0&l10n=ru&cts=1410304666961&mc=2.7254805569978684
Информационная безопасность и защита информации (курс лекций) - http://www.mylect.ru/informatic/securityinformation.html
О системе СОРМ-3 - http://www.newtimes.ru/articles/detail/86456?sphrase_id=487381