Рискориентированная информационная безопасность … СКОРОДУМОВ БОРИС

Рискориентированная
информационная безопасность
…1101011110010100110101..
СКОРОДУМОВ БОРИС
ИВАНОВИЧ, к.т.н.,
зам. директора ИБД АРБ
…1101011110010100110101..
Становление информационного
общества: темпы охвата аудитории
Россия на
финишной
прямой пути
вступления в
ВТО
Радио
38 лет
Пользователи
50 миллионов Интернет Телевидение ПК
13 лет
пользователей 4 года
16
лет
телефона за 55 лет
и мобильного
телефона за
5 лет
0
10
20
30
Период в годах
(источник: PWC)
40
www.e-rus.ru/
Правительство Российской
Федерации выделило 2,6
миллиардов долларов на
осуществление программы
Электронная Россия 2002 2010, направленной на
развитие электронного
бизнеса и использование
Интернета в России.
Создано 3 тысячи центров
Интернет коллективного
доступа
е-Москва, е-С. Петербург,
е-Чувашия, е-Якутия …
ОПЕРЕЖАЮЩЕЕ РАЗВИТИЕ РОССИЙСКОЙ ОТРАСЛИ
xx
ИКТ
Развитие российской
отрасли ИКТ, млрд. руб.
+30%
Среднегодовой
темп прироста
Доля отрасли ИКТ
в структуре ВВП, %
1 500
4,8
1 197
968
3,2
797
609
450
235
2000
306
01
02
03
04
05
06
2007
2000
2007
Министр информационных технологий и связи Российской Федерации Л.Д. Рейман (2007)
Международная практическая
конференция по вопросам борьбы
с киберпреступностью и
кибертерроризмом
19 апреля 2006 года в Москве
В мероприятии приняли участие: Министр
внутренних дел РФ Рашид Нургалиев,
представители Государственной Думы РФ, Совета
Безопасности, международные эксперты.
«в
1998 году в системе Министерства внутренних дел были созданы
специализированные подразделения по борьбе с
киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев
«с 2001 года количество компьютерных преступлений на территории
России удваивается ежегодно».
Начальник управления специальных технических мероприятий МВД
Борис Мирошников
http://sartraccc.sgap.ru/Press/cyber_crim.htm
«Report on Widening Gap»
"Отчет о расширяющейся пропасти"
Риски, вызванные постоянным
развитием бизнеса во всем мире,
эволюционируют так быстро, что
специалисты по информационной
безопасности не успевает
адекватно отреагировать на них.
Компания Ernst&Young, восьмой ежегодный отчет "Global Information
Security Survey 2005".
советник аппарата
Комитета
Государственной
Думы РФ по безопасности
Е.К. Волчинская
«В нашей стране
сегодня юридически
не определено
понятие
«информационная
безопасность».
ДОКТРИНА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Президент
Российской Федерации
В.Путин
• Под информационной безопасностью
Российской Федерации понимается
состояние защищенности ее
национальных интересов в
информационной сфере,
определяющихся совокупностью
сбалансированных интересов личности,
общества и государства...
9 сентября 2000 г.
Доктрина информационной
безопасности Российской Федерации
…«В каждой сфере жизнедеятельности
общества и государства наряду с общими
методами обеспечения информационной
безопасности Российской Федерации могут
использоваться частные методы и формы,
обусловленные
спецификой
факторов,
влияющих на состояние информационной
безопасности
Российской
Федерации».
ppt
Секция «Кибернетический
терроризм» российскоамериканского семинара
(Президиум РАН, 2003 год)
«Истина состоит в том, что мы
не знаем, как создавать
надежные информационные
системы». …Главный вывод –
необходима «разработка
совершенно новых методов
обеспечения безопасности
информационных систем».
Из выступления руководителей
американской делегации Уильяма А.
Вульфа (Президент Национальной
инженерной академии США) и Аниты
К. Джонс (Виргинский университет
США).
Что необходимо сделать?
Чтобы повысить уровень кибернетической безопасности
необходимо решить следующие 4 первоочередные задачи:
• 1. Создать новую модель компьютерной защиты вместо
прежней модели «круговой обороны».
• 2. Ввести новое определение «компьютерной
безопасности».
• 3. Перейти к активной обороне.
• 4. Скоординировать действия «кибернетических
сообществ», законодательной системы и систем надзора…
Практическое определение понятия безопасности должно
быть более сложным, чем конфиденциальность,
целостность и отказ в предоставлении услуги. Свое
понятие безопасности должно быть выработано для каждой
существующей реалии….
Стандарты информационной
безопасности и риск
• ГОСТ Р ИСО/МЭК 27001 «Информационная технология.Методы
безопасности. Система управления безопасностью
информации. Требования»
• ГОСТ Р ИСО/МЭК 17799 " Информационная технология. Методы
безопасности. Руководство по управлению безопасностью
информации"
• ГОСТ Р ИСО/МЭК 15408-1-2002 « Информационная технология.
Методы и средства обеспечения безопасности. Критерии
оценки безопасности информационных технологий »
• ГОСТ Р 51897-2002 Государственный стандарт Российской
федерации. Менеджмент риска. Термины и определения.
• «Предпринимательство –
рискованное дело»…
… « менеджмент
должен
осуществляться,
прежде всего, на
основании
постоянного,
систематического и
целенаправленного
снижения издержек
производства»…
«Настоящая наука
начинается там,
где начинаются
измерения»
Дмитрий Иванович
Менделеев
Закон «О техническом регулировании»
Статья 2. Основные понятия
• «риск – вероятность
причинения вреда…..»
• «безопасность - состояние, при котором
отсутствует недопустимый риск,
связанный с причинением вреда…….»
Предложение по определению термина
«информационная безопасность»
(на «законных» основаниях ФЗ
«О техническом регулировании»)
«информационная безопасность –
состояние информации при
допустимом риске ее уничтожения,
изменения или раскрытия, связанном
с причинением вреда владельцу или
пользователю информации»
Достоинства нового определения:
• Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-12002, 27001, 17799) и прежнего научно-технического задела.
• Получение метрик информационной безопасности.
Обобщенный критерий защищенности
информации в коммерческой АБС
(из методики французской банковской комиссии)
С защита
<
системыn
С выгода
< У
нарушителя
ущерб
владельца
R   ( Ai  Bi  Ci )  Rmax
i 1
R-суммарные издержки
n-количество рисков
А-вероятный риск
В-стоимостная оценка риска
С-стоимость реализации мер защиты
Rmax-оценка допустимого риска
ВЫВОДЫ:
• 1. Снижение издержек бизнеса
непосредственно связано с информационной
безопасностью.
• 2. Получение метрик информационной
безопасности, например, через риск –
актуальная задача бизнеса.
• 3. Наступило время создания отечественной
методики количественного определения
информационной безопасности
коммерческих АС с учетом информационных
рисков.
Спасибо за
Ваше внимание!
СКОРОДУМОВ
БОРИС ИВАНОВИЧ
bisko2003@list.ru