Направление подготовки: 10.03.01 Информационная безопасность Дисциплина: Б.1.Б.12.07 «КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ (ПРЕДПРИЯТИЯ)» Преподаватель: Пономаренко Геннадий Владимирович Тел.: +7-916-184-3809 E-mail: [email protected], [email protected] ЛЕКЦИЯ 1 - ВВОДНАЯ: ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ *: 1.Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. 2.Термины, относящиеся к видам защиты информации •правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. •техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программнотехнических средств. •криптографическая защита информации: Защита информации с помощью ее криптографического преобразования. •физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. * - по ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения 2 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ *: 3 Термины, относящиеся к способам защиты информации • способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации. • защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. • защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. • защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. * - по ГОСТ Р 50922-2006 «Защита информации. основные термины и определения 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ *: 3 Термины, относящиеся к способам защиты информации • защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации. • защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо. • защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях. • защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. * - по ГОСТ Р 50922-2006 «Защита информации. основные термины и определения 4 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ *: 4 Термины, относящиеся к замыслу защиты информации • замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации. • цель защиты информации: Заранее намеченный результат защиты информации. Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию. • система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. * - по ГОСТ Р 50922-2006 «Защита информации. основные термины и определения • объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. ея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических * - по ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» 5 ЦЕЛИ ДИСЦИПЛИНЫ : 1.Дать студентам знания по организации целесообразных мероприятий по защите информации на предприятиях (организациях и учреждений) с различными формами собственности с учетом современных требований в области теории обеспечения информационной безопасности на основе комплексного подхода. 2.Выработать и закрепить у студентов базовые умения и навыки по практической организации и реализации современных технологий защиты информации на предприятиях (организациях и учреждений) с различными формами собственности с учетом современных международных и отечественных стандартов обеспечения информационной безопасности. 6 ОСНОВНАЯ ЗАДАЧА КУРСА: • раскрытие сущности, целей и задач обеспечения информационной безопасности на предприятии; • определение принципов и этапов разработки современных систем информационной безопасности предприятия; • освоение технологии установления состава защищаемой информации и выявления объектов защиты; • выявление актуальных информационных угроз и опасных нарушителей (злоумышленников); • овладение методами оценки уязвимости защищаемой информации; • определение параметров и структуры потребных систем информационной безопасности современного предприятия; • установление состава целесообразных мероприятий (технологий) по обеспечению по обеспечению информационной безопасности различных предприятий; • раскрытие структуры и методов управления информационной безопасностью; • определение показателей эффективности системы информационной безопасности и методики ее оценки. 7 МЕСТО КУРСА В ОБЩЕЙ СТРУКТУРЕ ОБУЧЕНИЯ Дисциплина «Комплексное обеспечение защиты информации объекта информатизации (предприятия)» относится к базовой части основной профессиональной образовательной программы подготовки бакалавров по направлению 10.03.01 «Информационная безопасность». Курс базируется на ранее изученных дисциплинах: • «Аппаратные средства вычислительной техники», • «Языки программирования», • «Информатика», • «Основы информационной безопасности», • «Математика», • «Основы управления информационной безопасностью», • «Криптографические методы защиты информации». Знания по курсу являются базовыми для прохождения практики, государственной итоговой аттестации и выполнения выпускной квалификационной работы бакалавра. 8 Темы курса: 8-Й СЕМЕСТР I раздел. Теоретико-прикладные основы ИБ предприятия • Тема 1. Введение в дисциплину. • Тема 2. Сущность и задачи системы обеспечения информационной безопасности предприятия (СИБ). • Тема 3. Принципы организации и этапы функционирования СИБ предприятия. • Тема 4. Факторы, влияющие на организацию СИБ современного предприятия. • Тема 5. Определение и нормативное закрепление состава защищаемой информации. • Тема 6. Выявление объектов информационной защиты на предприятии. II раздел. Базовые организационно - аналитические технологии ИБ • Тема 7. Выявление, оценка источников, способов и результатов дестабилизирующего воздействия. • Тема 8. Определение потенциальных каналов и методов противоправных действий. • Тема 9. Выявление нарушителей, определение уязвимостей информационных объектов и последствий противоправных действий. • Тема 10. Определение потребных компонентов целесообразной СИБ. • Тема 11. Определение условий функционирования СИБ. • Тема 12. Разработка моделей СИБ предприятия. Общая трудоемкость курса (включая аудиторные и самостоятельные занятия) – 144 часа. Текущий контроль знаний – тестирование (1-2 за семестр), контрольная работа. Вид итогового контроля – зачет. 9 Темы курса: 9-Й СЕМЕСТР III раздел. Виды обеспечения функционирования системы ИБ • Тема 13. Технологическое построение СИБ. • Тема 14. Организационно - кадровое обеспечение функционирования СИБ. • Тема 15. Материально-техническое обеспечение СИБ. • Тема 16. Нормативно-методическое обеспечение СИБ. • Тема 17. Назначение, структура и содержание управления СИБ. • Тема 18. Планирование функционирования СИБ. IV раздел. Ключевые управленческие аспекты обеспечения ИБ предприятия • Тема 19. Сущность и содержание контроля (аудита) функционирования СИБ. • Тема 20. Управление СИБ в условиях чрезвычайных ситуаций. • Тема 21. Общая характеристика подходов к оценке эффективности систем информационной безопасности. • Тема 22. Методы и модели функциональной оценки эффективности СИБ предприятия. • Тема 23. Компьютерное моделирование функциональной оценки эффективности СИБ. • Тема 24. Экономическая оценка эффективности СИБ предприятия. Общая трудоемкость курса (включая аудиторные и самостоятельные занятия) – 144 часа. Текущий контроль знаний – тестирование (1-2 за семестр), курсовая работа. Вид итогового контроля – экзамен. 10 ПО ЗАВЕРШЕНИЮ КУРСА СЛУШАТЕЛИ ДОЛЖНЫ ЗНАТЬ: • основные понятия, цели и задачи обеспечения информационной безопасности предприятия; • сущность и составляющие современной системы обеспечения информационной безопасности предприятия; • принципы организации и этапы разработки системы обеспечения информационной безопасности предприятия; • факторы, влияющие на организацию обеспечения информационной безопасности предприятия; • технологию определения состава защищаемой информации и объектов информационной безопасности; • методы анализа и оценки информационных угроз и уязвимостей информационных объектов; • технологическое и организационное построение потребной системы информационной безопасности; • состав мероприятий и условия, обеспечивающие функционирование системы информационной безопасности; • технологию управления системой информационной безопасности; • методику проведения анализа эффективности функционирования системы информационной безопасности. 11 ПО ЗАВЕРШЕНИЮ КУРСА СЛУШАТЕЛИ ДОЛЖНЫ УМЕТЬ: • выявлять угрозы и уязвимости информационной безопасности применительно к объектам защиты; • определять состав конфиденциальной информации применительно к видам тайны; • выявлять причины, обстоятельства и условия дестабилизирующего воздействия на защищаемую информацию со стороны различных источников воздействия; • выявлять применительно к объекту защиты каналы и методы несанкционированного доступа к конфиденциальной информации; • определять направления и виды защиты информации с учетом характера информации и задач по ее защите; • организовывать комплексный подход по защите информации. А ТАКЖЕ ВЛАДЕТЬ НАВЫКАМИ: • определения требований и состава средств, методов и мероприятий по организации защиты информации; • использования методов (технологий) организации, планирования и контроля функционирования систем информационной безопасности; • разработки организационно-функциональной структуры и комплекса нормативно-методического обеспечения систем информационной безопасности; • проведения количественной и качественной оценки эффективности функционирования различных компонентов систем информационной безопасности. 12 Основная литература: • Информационная безопасность предприятия: Учебное пособие / Гришина Н.В., - 2-е) (изд., доп - М.:Форум, НИЦ ИНФРА-М, 2021. - 216 с.: - (Высшее образование: Бакалавриат Обложка. КБС) ISBN 978-5-00091-007-8 https://znanium.com/catalog/document?pid=1178150 • Загинайлов, Ю.Н. Теория информационной безопасности и методология защиты информации: учебное пособие / Ю.Н. Загинайлов. - М. ; Берлин: Директ-Медиа, 2015. - 253 с. : ил. - Библиогр. в кн. - ISBN 978-5-4475-3946-7; URL: /biblioclub.ru/index.php?page=book&id=276557 • Информационная безопасность и защита информации: Учебное пособие/Баранова Е. К., Бабаш А. В., 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРАМ, 2016. - 322 с.: - (Высшее образование) (Переплёт) ISBN 978-5-369-014509 http://znanium.com/bookread2.php?book=495249 • Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО "ТИД "СД", 2001 13 Дополнительная литература: • Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - 5-e изд., перераб. и доп. - М.: Форум: НИЦ ИНФРА-М, 2014. - 432 с.: ил.; 60x90 1/16. (Профессиональное образование). (переплет) ISBN 978-5-91134-627-0 http://znanium.com/bookread2.php?book=420047 • Основные положения информационной безопасности: Учебное пособие/В.Я.Ищейнов, М.В.Мецатунян - М.: Форум, НИЦ ИНФРА-М, 2015. - 208 с.: 60x90 1/16. - (Профессиональное образование) (Обложка) ISBN 978-5-00091-079-5 http://znanium.com/bookread2.php?book=508381 • Бурков В.Н., Е.В.Грацианский, С.И.Длобко, А.В.Щепкин. Модели и механизмы управления безопасностью. М.:СИНТЕГ, 2001 Интернет-ресурсы: • • • • http://eup.ru/catalog/all-all.asp– научно-образовательный портал. http://informika.ru/– образовательный портал. http://www.academy.it.ru/–академия АЙТИ. http://www.iso27000.ru/- портал по управлению информационной безопасностью. 14 ТЕМА 1 (вводная) Концептуальные положения обеспечения информационной безопасности предприятия 15 ЦЕЛИ ЗАЩИТЫ ИНФОРМАЦИИ И ПРАВ СУБЪЕКТОВ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ И ИНФОРМАТИЗАЦИИ Предотвращение утечки, хищения, утраты, искажения, подделки информации Предотвращение угроз безопасности личности, общества, государства Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; Предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения 16 ОСНОВНЫЕ ТЕРМИНЫ • информация представления сведения (сообщения, данные) независимо от формы их • информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 14.07.2022) «Об информации, информационных технологиях и о защите информации») • безопасность информации [данных] - Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. (ГОСТ Р 50922-2006 Защита информации. Основные термины и определения) • безопасность информационной технологии Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации (Рекомендации по стандартизации Р 50.1.056-2005. Техническая защита информации. Основные термины и определения) ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения 17 СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту конфиденциальной информации предприятия от внутренних и внешних угроз 18 СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Субъект защиты Система безопасности Направления защиты •Правовая защита •Организац и-онная защита •Инженерно техническая защита Предотвращение Источники конфиденциальной информации •Люди •Документы •Публикации •Технические носители •Технические средства •Продукция •Отходы Объект защиты Предприятие, его продукция и сведения о характере деятельности Каналы утечки информации •Социальные •Технические: – визуальнооптические – акустические – электромагнитные – материальновещественные Злоумышленники НСД Конкуренты на рынке производства и сбыта товаров Сведения составляющие коммерческую тайну •Производство •Управление •Финансы •Рынок •Партнеры •Конкуренты •Цены •Технология •Безопасность Средства и способы НСД •Легальные •Нелегальные •Технические средства 19 СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Задачи Разработка и осуществление планов и других мер по защите информации Формирование, обеспечение и развитие органов, сил и средств обеспечения информационной безопасности предприятия Восстановление объектов защиты, пострадавших в результате противоправных действий Цели Выявление угроз Предотвращение угроз Нейтрализация угроз Пресечение угроз Локализация угроз Отражение угроз Уничтожение угроз 20 Защита информации должна быть: Непрерывной Универсальной Комплексной Плановой Целенаправленной Конкретной Активной (Проактивной) Надежной 21 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - за счет утечки - за счет разглашения - за счет НСД Сведения о составе, состоянии и деятельности Способы доступа Направления защиты - правовая - инженерно-техническая - организационная Объекты угроз Угрозы - целостности - конфиденциальности - полноте - доступности Информация Средства защиты Способы защиты Источники угроз - конкуренты - преступники - административные органы - коррупционеры Цели - модификация - ознакомление - уничтожение Источники информации -физические - программные - криптографические - аппаратные - упреждение - предотвращение - противодействие - пресечение - люди - документы - публикации - технические носители - технические средства - продукция - отходы 22 НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОЗНАКОМЛЕНИЕ (получение) Противоправное действие, не приводящее к изменению или разрушению информации ИСКАЖЕНИЕ (модификация) Случайные или преднамеренные действия, приводящие к частичному изменению содержания РАЗРУШЕНИЕ (уничтожение) Противоправные действия приводящие к значительному или полному разрушению информационных ресурсов 23 Случаи нарушения информационной безопасности предприятия Подкуп сотрудников 5% 10% Копирование информации 43% Проникновение в БД 18% Продажа конфиденциальных документов 24% Подслушивание 24 Случаи нарушения информационной безопасности в корпоративной сети Вирусные атаки 5% 7% Атаки с целью вызвать отказ в обслуживании 12% 45% Проникновение в систему из вне Несанкционированный доступ изнутри 15% Хищение компьютеров 16% Нарушение целостности данных и/или сетей 25 Методы обеспечения информационной безопасности ПРАВОВЫЕ Разработка нормативноправовых актов, регламентирующих отношения в информационной сфере и обеспечение информационной безопасности ЭКОНОМИЧЕСКИЕ ОРГАНИЗАЦИОННОТЕХНИЧЕСКИЕ Разработка, использование и совершенствование систем и средств защиты от несанкционированного доступа к информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации Совершенствование системы финансирования работ, связанных с реализацией правовых и организационнотехнических методов защиты информации 26 Направления защиты информации Правовая защита Специальные правовые акты, процедуры и нормы, ориентированные на защиту информации Организационная защита Инженерно-техническая защита Регламентация деятельности на нормативно-правовой основе, воспрещающая неправомерный доступ к охраняемой информации Совокупность мероприятий и технических средств для защиты информации Криптографическая защита Совокупность мероприятий и технических средств для защиты информации с использованием криптографических преобразований 27 Правовая защита Международное право Государственное право Патенты Административное Авторское право Гражданское Лицензии Уголовное Финансовое Коммерческое 28 Организационная защита Организационные меры Организационнотехнические меры Физическими средствами Кадры От наблюдения Воспрещения Режим От подслушивания Идентификации Делопроизводство От перехвата Охраны От копирования От модификаций 29 Инженерно-техническая защита Аппаратными средствами Программными средствами Математическими, криптографическими средствами Автономными Идентификация Данных Встраиваемыми Регистрация и контроль Речи Защищенными Обслуживание режимов Каналов связи Защита ОС, СПО и ППО Уничтожение информации в ОЗУ Сигнализация нарушений 30 КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ (ПРЕДПРИЯТИЯ) Спасибо за внимание ВОПРОСЫ??? Преподаватель: Пономаренко Геннадий Владимирович Тел.: +7-916-184-3809 E-mail: [email protected], [email protected]