Информационная безопасность и защита информации Ю. А. Смолий Угрозы. Пирамидальный подход к защите информации ЛЕКЦИЯ 2 Классический «пирамидальный» подход Контрмеры Угроза (нарушитель) Объект (уязвимость) Контрмера – конкретное мероприятие, призванное ликвидировать угрозу или минимизировать последствия от ее реализации. Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство, которое может явиться причиной нанесения ущерба предприятию. Объекты – ресурсы предприятия (в т.ч. информационные). Уязвимость – недостаток в системе обработки и хранения информации, используя который, можно намеренно нанести этой системе повреждения. 10 источников базовых угроз 1. Деятельность государства. 2. Деятельность иностранных государств. 3. Превышение полномочий государственных чиновников. 4. Нестабильность экономики государства. 5. Конкурентная борьба. 6. Коммерческие партнеры. 7. Собственная некомпетентность. 8. Организованная преступность. 9. Собственный персонал компании. 10. Техногенные и природные факторы. Типология угроз по объекту угрозы Угрозы персоналу • Убийства; похищения и угрозы; • Похищения сотрудников, членов их семей и близких родственников; • Психологический террор, угрозы, запугивания, шантаж и вымогательство. Угрозы материальным ресурсам Угрозы финансам • Повреждение зданий, помещений и недвижимого имущества. • Кража/угон и уничтожение транспортных средств. • Вывод из строя систем связи. • Кража оборудования и прочего имущества организации. • Кража финансовых средств и ценностей. • Мошенничество с финансовыми средствами. Фальсификация валюты и финансовых документов. • неплатежеспособность клиентов; • невозврат ссуд; • подрыв доверия. Угрозы информации • Нарушение трех основных свойств информации: конфиденциальности, целостности, доступности. Типология угроз по источникам Природные • Стихийные бедствия: землетрясения, извержения вулканов, сели, оползни, лавины, обвалы, наводнения, цунами, пожары (лесные, степные, торфяные). • Магнитные бури • Радиоактивное излучение и осадки Технические Созданные людьми • Отключения или колебания электропитания и других средств обеспечения • Отказы и сбои аппаратнопрограммных средств • Электромагнитные излучения и наводки • Утечки через каналы связи (оптические, электрические, звуковые) • Непреднамеренные действия: обслуживающего персонала; управленческого персонала; программистов; пользователей АС; архивной службы; службы безопасности • Преднамеренные действия: всех тех же самых лиц (см. выше), а также несанкционированных пользователей (военная разведка, коммерческий шпионаж, диверсии). Нарушитель, определение Нарушитель (в шир. см. сл) - физическое или юридическое лицо, техническое устройство или программа, процесс или событие, субъект или пользователь системы, производящий несанкционированные или непреднамеренные действия (операции) над информационной сферой объекта, способные привести к потере одной или более характеристик информационной безопасности системы - конфиденциальности, целостности и доступности информационной сферы объекта. В узком смысле слова под нарушителем обычно понимают сотрудника организации или стороннее лицо, осуществляющее те же действия, о которых говорилось ранее. «Внутренних» нарушителей называют «инсайдерами». Типология инсайдеров Тип Умысел Корысть Постановка задачи Действия при невозможности реализации Халатный Нет Нет Нет Сообщение Манипулируемый Нет Нет Извне Сообщение Обиженный Да Нет Сам Отказ Нелояльный Да Нет Сам Имитация Подрабатывающий Да Да Сам/Извне Отказ/Имитация/Взлом Внедренный Да Да Извне Взлом О видах инсайдеров Халатные • создают незлонамеренные ненаправленные угрозы, т.е нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты — вынос информации из офиса для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом посторонних лиц к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен Манипулируемые • манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, персональных идентификационных номеров, реквизитов кредитных карт и адресов. Сотрудники, наткнувшись на невозможность совершить требуемое манипулятором, обратятся в службу поддержки. Обиженные (или саботажники) • стремятся нанести вред компании из-за личных мотивов. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Обычно сотрудник не собирается покидать компанию, а цель сотрудника — нанести вред, не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое, например на уничтожение или фальсификацию доступной информации, или похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. О видах инсайдеров, продолжение Нелояльные • нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. К этому же типу мы относим и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству и коллегам, и начавшие действовать в своих интересах в ущерб интересам компании. Самый частый способ получения доступа к информации или возможности ее скопировать, если они этой возможности не имеют, — это имитация производственной необходимости. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как залог для обеспечения комфортного увольнения — с компенсацией и рекомендациями, либо — как способ повысить свою оценку новым работодателем, например, имея на руках клиентскую базу бывшего рекламодателя. Подрабатывающие • если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить. Внедренные • специально устроены на работу для похищения информации . Составляющие безопасности. Комплексная защита информации. Понятие и задачи. ЛЕКЦИЯ 2, ЧАСТЬ 2 Безопасность. Информационная безопасность. Информационная безопасность является составной частью целого комплекса мер по обеспечению безопасности объекта. В роли объекта могут выступать системы различного масштаба – это может быть компьютер, производственная линия, организация, государство. Конкретные схемы обеспечения КБ могут изменяться в зависимости от масштаба объекта и его специфики, но принцип многогранности остается неизменным. Комплексная система обеспечения безопасности (на примере организации) Комплексная безопасность Физическая безопасность Правовая безопасность Маркетинговая безопасность Информационная безопасность Задачи подсистем КБ (объект – организация) Маркетинговая безопасность • предполагает наличие аналитических исследований добросовестных конкурентов и партнеров, конъюнктуры рынка продукции, анализ направленности недобросовестных конкурентов, злоумышленников, организацию разведки в бизнесе, аналитическую работу по выявлению ситуаций, несущих потенциальную опасность для деятельности организации Физическая безопасность • предполагает наличие обученного персонала охраны, эффективной инженерной системы охраны территории, здания, помещений, имущества и персонала фирмы, наличие установленного взаимодействия с правоохранительными органами, регламентацию действий персонала в экстремальных ситуациях, организацию службы телохранителей, охраны инкассации, наличие эффективных средств пожаротушения Правовая безопасность • предполагает наличие правовой грамотности учредителей и персонала, процессуальной защиты интересов предпринимателя, лицензирование деятельности, правовое обеспечение защиты коммерческой тайны, технических и технологических новшеств (т.н. know-how). Информационная безопасность • представляет собой совокупность направлений, методов, средств и мероприятий, проводимых на предприятии с целью обеспечения необходимого уровня безопасности информационных ресурсов. ИБ и ЗИ - что это? • ИБ – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. • Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности. ИБ и ЗИ – для чего это? Цели деятельности по обеспечению ИБ 1. Ликвидация угроз как цель противодействия представляет собой такой характер взаимодействия объекта безопасности (или его компонентов) и источника угроз, при котором источник перестает обладать свойством порождения угрозы. 2. Минимизация ущерба от реализации угрозы как цель противодействия возникает тогда, когда ликвидация угроз не представляется возможной. Эта цель представляет собой такой характер взаимодействия субъекта обеспечения безопасности и источника угроз, при котором проявляющиеся угрозы своевременно выявляются, осуществляется выяснение и устранение последствий их осуществления. ИБ и ЗИ – как именно осуществлять? Защита информации от утечки • деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации. Защита информации от несанкционированного воздействия • деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от непреднамеренного воздействия • деятельность, направленная на предотвращение воздействия на защищаемую информацию, ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, а также к утрате, уничтожению или сбою функционирования носителя информации. ИБ и ЗИ – с чего начать? Отправная точка деятельности по обеспечению ИБ – изучение защищаемого объекта, создание эскиза системы: • Цель построения системы. • Задачи, решаемые системой. • Состав системы. • Анализ окружения. Цель системы • Зачем работает система? • Что является основным, что дополнительным? • Чем можно пожертвовать в случае инцидента? Задачи системы • Что в спектре задач первостепенно, что второстепенно? • Каковы критерии качества работы системы? Состав системы • Из каких элементов состоит система? Как они взаимосвязаны? • Что можно отключить последним? Анализ окружения • Внешние по отношению к защищаемому объекту элементы. Зачем нужен эскиз? Эскиз – попытка собрать все значимые сведения о защищаемом объекте и его окружении для того, чтобы оценить имеющиеся уязвимости, предсказать возможные угрозы и предложить эффективные контрмеры (пирамидальный подход). «Подводные камни» • Величина внутренних издержек (конфликт стоимости СЗИ). • Качество управления (конфликт интересов). • Качество работы коллектива (конфликт с персоналом). • Скорость реакции на внешние факторы. • Стратегия и качество ведения бизнеса. • Стратегия управления рисками. Как специалист по ИБ видит себя сам Каким его видят пользователи В чем реально заключается его работа