Информационная безопасность Лекция 13 Комплексная модель безопасности Лекция

Зарегистрируйтесь, чтобы просмотреть полный документ!

Информационная безопасность Лекция 13 Комплексная модель безопасности Лекция 13 В. М. Куприянов, Национальный центр ИНИС МАГАТЭ, НИЯУ МИФИ НЦ ИНИС МИФИ

Литература v Основная литература для изучения дисциплины: ИАТЭ – Белов Е. Б. , Лось В. П. , Мещеряков Р. В. , Шелупанов А. А. Основы информационной безопасности. - М. : Горячая линия – Телеком, 2006. – Петраков А. В. Основы практической защиты информации. - М. : Радио и связь, 2001. – Шумский А. А. , Шелупанов А. А. Системный анализ в защите информации. - М. : Гелиос АРВ, 2005. – Герасименко В. А. , Малюк А. А. Основы защиты информации. - М. : Инкомбук, 1997. – Герасименко В. А. Защита информации в автоматизированных системах обработки данных. В 2 -х кн. - М. : Энергоатомиздат, 1994. – Семкин С. Н. , Семкин А. Н. Основы информационной безопасности объектов обработки информации. - Орел: ОВИПС, 2000. Лекция 14 Информационная безопасность ИРОи. НТД

14. 04. 2013 15: 05 В качестве превентивной меры против возможных кибератак единственный в Республике Корея оператор АЭС, Korea Hydro & Nuclear Power, отключил от Интернета свои внутренние компьютерные сети. В Южной Корее сейчас действуют 23 атомных реактора, обеспечивающие до 35 % потребностей страны в электроэнергии. Госкомпания также ограничила доступ в Интернет для своих систем управления атомными электростанциями, полностью отделив их от внутренних компьютерных сетей. С этой же целью в системах управления АЭС были опечатаны все USBпорты. Такие действия здесь считают наиболее надежным способом защиты станций от атак хакеров извне. На днях официальный Сеул также заявил, что за недавними кибератаками, в результате которых пострадали серверы трех крупных банков и трех ведущих телеканалов страны, включая государственный KBS, стоит КНДР. Пхеньян отрицает свою причастность к атакам хакеров, которые вывели из строя 48 тысяч компьютеров. ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Комплексная безопасность – культура безопасности Экологическая безопасность Физическая безопасность Ядерная безопасность Экономическая безопасность Информационная безопасность ИАТЭ Лекция 14 Информационная безопасность Культура безопасности АЭС ИРОи. НТД

Физическая безопасность ядерных технологий v Физическая защита ядерных установок, радиационных источников, пунктов хранения, ядерных материалов и радиоактивных веществ должна основываться на единой системе планирования, координации, контроля и реализации комплекса технических и организационных мер, направленных на: v · предотвращение несанкционированного проникновения на территорию ядерных установок, радиационных источников и пунктов хранения, предотвращение несанкционированного доступа к ядерным материалам и радиоактивным веществам, предотвращение их хищения или порчи; v · своевременное обнаружение и пресечение любых посягательств на целостность и сохранность ядерных материалов и радиоактивных веществ, своевременное обнаружение и пресечение диверсионных и террористических актов, угрожающих безопасности ядерных установок, радиационных источников и пунктов хранения; v · обнаружение и возвращение пропавших или похищенных ядерных материалов и радиоактивных веществ. * ИАТЭ ИРОи. НТД Лекция 14 Информационная безопасность

Иерархия Норм безопасности В рамках своего мандата МАГАТЭ разработало логическую систему целей и принципов безопасности ядерных реакторов. Основы Безопасности v Излагают общие принципы защиты людей Основы безопасности и охраны окружающей среды Требования Безопасности v Устанавливают требования: что должно быть сделано для того, чтобы эти принципы применялись для достижения целей Требования Руководства по безопасности v Представляют рекомендуемые методы, которые следует применять в обеспечение соблюдения этих требований ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Примеры документов серии Норм безопасности • Основополагающие принципы безопасности SF-1 • Оценка безопасности объектов и деятельности. Требования GS-R-Part 4 • Безопасность атомных электростанций: Проектирование NS-R-1 ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Требования безопасности Общие Требования Безопасности Часть 1 Правительственная и регулирующая инфраструктура Часть 2 Руководящая роль и Управление в целях безопасности Специфические Требования Безопасности 1. Оценка площадки для ядерных установок 2. Безопасность атомных Часть 3 Радиационная защита и электростанций Безопасность Источников Излучения 2. 1 Проектирование и сооружение Часть 4 Оценка безопасности 2. 2 Ввод в эксплуатацию и лицензировани 3. Безопасность исследовательских Часть 5 Обращение с радиоактивными реакторов отходами перед утилизацией 4. Безопасность предприятий ЯТЦ Часть 6 Вывод из эксплуатации и прекращение деятельности 5. Безопасность объектов утилизации Часть 7 Противоаварийная готовность и реагирование ИАТЭ радиоактивных отходов 6. Безопасность транспортировки радиоактивных материалов НЦ ИРОи. НТД ИНИС МИФИ

Нормы безопасности МАГАТЭ Нормы безопасности представляют собой международный консенсус относительно образцовой практики, направленной на достижение высокого уровня безопасности ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Услуги МАГАТЭ по рассмотрению безопасности v В основу Руководящих принципов положена образцовая международная практика и обратная связь от длительного опыта работы v Поэтапный подход - Самооценка - Подготовительное посещение - Основная миссия - Последующее (контрольное) посещение • Модульный подход, призванный удовлетворить потребности Государств-членов ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Стандартный объем рассмотрения ОСАРТ: 9 областей v v v v v Управление, организация и администрирование (MOA) Обучение и аттестация (TQ) Эксплуатация (OP) Техническое обслуживание (MA) Техническая поддержка (TS) Учет опыта эксплуатации (OE) Радиационная защита (RP) Химия (CH) Противоаварийное планирование и готовность (EPP) (+ Ввод в эксплуатацию [COM] для предэксплуатационного ОСАРТ) ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Миссии ОСАРТ на российских АЭС Общая оценка результатов миссий ОСАРТ на Волгодонской и Балаковской АЭС позволила отметить следующие моменты: § Очевидные значительные усилия, затраченные станциями на подготовку к ОСАРТ; § Относительно небольшое число областей для улучшения; § Большей частью области для улучшения были сформулированы как «предложения» , при весьма небольшом числе «рекомендаций» ; § Относительно большое число примеров образцовой практики; § В ходе контрольных посещений ОСАРТ группа отмечала, что: § Значительная часть проблем была полностью решена, а в решении оставшихся наметился адекватный прогресс, при этом не было проблем, прогресс в решении которых был бы недостаточным; § Станции отреагировали своими корректирующими мерами не только на рекомендации и предложения, но также и на «побуждения» (т. е. наиболее мягкие рекомендательные формулировки); § Корректирующие меры были осуществлены не только на принявшей ОСАРТ станции, но и во всем ядерном парке Росэнергоатома. ИАТЭ ИРОи. НТД

Безопасность ядерных установок. Концептуальные рассмотрения безопасности реакторов (GRSR) МАГАТЭ оказывает помощь Государствам-членам в оценке своих новых проектов реакторов путем осуществления рассмотрений проектной документации по безопасности реактора, с особым вниманием к законченности и полноте подобного комплекта документации по безопасности, используя избранные . применимые Нормы безопасности МАГАТЭ категории Основы и Требования. ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Концептуальное рассмотрение безопасности реакторов Основы безопасности и Требования безопасности Нормы безопасности, используемые в концептуальной оценке МАГАТЭ безопасности новых проектов реакторов: Основополагающие принципы безопасности, SF-1 Требования к оценке безопасности GS-R-4 Требования безопасности проекта NS-R-1 Руководства по безопасности проекта Руководства по оценке безопасности ИАТЭ Лекция 14 Информационная безопасность Нормы безопасности, на соответствие которым проводится рассмотрение Вспомогательные руководящие документы ИРОи. НТД

Требования безопасности МАГАТЭ и Концептуальное рассмотрение безопасности реакторов Будущее состояние д су в но Лицензирование е -чл в ст ар го и ри те я и Лицензирование Треб ован и я и к б ре Рас смо рите рии трен госу тв-ч лено ри ите кр я и мо с ас Р в Тр еб Глобальный режим ено чл ядерной безопасности тв. Будущий вклад МПОП ов а ни я и Ра сс кр и те мо т ре ебо Тр ни е ри и го су д ар ст в -ч Лицензирование ИАТЭ е ни е тр Гармонизированные оценки безопасности арс суд го и ов в ние тре смо и ан Нормы безопасности Т МАГАТЭ категории Требования ие дарс Рас и ван и кр Лекция 14 Информационная безопасность ле но в ИРОи. НТД Лицензирование

Концептуальное рассмотрение безопасности реакторов (GRSR) Деятельность в 2006 -2009 гг. 2006 -2007 гг. – Разработка концепции и планирование 2007 -2009 гг. Проведение рассмотрений GRSR : §UK HSE Проверка документации по безопасности четырех новых реакторов, представленной на рассмотрение регулирующего органа Великобритании HSE / NII, на соответствие документу DS 348: ACR 1000, AP 1000, ESBWR, EPR (начата в сентябре 2007 г. – завершена в марте 2008 г. ) §ATMEA 1 Проверка Пакета безопасности Концептуального проекта нового реактора ATMEA 1 (консорциума AREVA-MHI ) и его инновационных особенностей на соответствие документам DS 348 и NS-R-1 (начата 10 декабря 2007 г. – завершена в июне 2008 г. ) §AP 1000 Проверка Отчета по безопасности и воздействию на окружающую среду проекта AP 1000 и его инновационных особенностей на соответствие документам DS 348 and NS-R-1 (начата 13 февраля 2008 г. – завершена в январе 2009 г. ) §APR 1400 Проверка Отчета по безопасности и воздействию на окружающую среду проекта APR 1400 компании KHNP на соответствие документам GS-R-Part 4 и NS-R-1 (начата 15 октября 2008 г. – завершена в августе 2009 г. ) Проекты в стадии планирования : §APR 1000 Запрошена проверка корейского APR 1000, ведутся начальные обсуждения с компанией KEPCO. ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

МАГАТЭ и БЕЗОПАСНОСТЬ v МАГАТЭ желает и готово оказать поддержку улучшениям безопасности посредством введения и применения Норм безопасности, Услуг по рассмотрению и консультациям в области безопасности и Международных инструментов. v МАГАТЭ с успехом проводит оценку безопасности новых проектов реакторов, используя текущие Нормы безопасности. v Имеющиеся в настоящее время Нормы безопасности представляют собой первооснову для гармонизации. ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Опыт работы координаторов по культуре ядерной безопасности (культуре УКи. ФЗ ЯМ) на российских ядерных объектах v Задачи q Проанализировать деятельность координаторов по культуре ядерной безопасности (КЯБ) (культуре УКи. ФЗ ЯМ) на различных ядерных объектах. q Познакомить с положительными моментами работы координаторов по культуре, обратить внимание на ошибки и трудности, которые встречаются в начале пути. q Продемонстрировать на реальном опыте пути развития и совершенствования работы, направленной на повышение уровня культуры ядерной безопасности (культуры УКи. ФЗ ЯМ). v ИАТЭ НЦ ИРОи. НТД ИНИС МИФИ

Опыт работы координаторов по культуре ядерной безопасности (культуре УКи. ФЗ ЯМ) на российских ядерных объектах Статистика Ростехнадзора v v Распределение причин нарушений на объектах повышенной опасности (красным цветом выделены причины нарушений, обусловленные человеческим фактором) ИАТЭ НЦ ИРОи. НТД ИНИС МИФИ

Опыт работы координаторов по культуре ядерной безопасности (культуре УКи. ФЗ ЯМ) на российских ядерных объектах v Общие черты работы, направленной на повышение уровня культуры ядерной безопасности (культуры УКи. ФЗ ЯМ) q Подбор и подготовка кадров. q Обучение и переобучение персонала. q Воспитание приверженности работать по правилам. q Использование одинаковых стандартов и критериев при работе. v ИАТЭ НЦ ИРОи. НТД ИНИС МИФИ

Опыт работы координаторов по культуре ядерной безопасности (культуре УКи. ФЗ ЯМ) на российских ядерных объектах Основные цели работы: q Определить исходный уровень культуры ядерной безопасности (культуры УКи. ФЗ). q Усилить понимание сотрудниками ядерного предприятия важности УКи. ФЗ ЯМ и их обязанностей. q Формировать у персонала приверженность работать по правилам. q Снизить возможность негативной роли человеческого фактора при работе с ЯМ. ИАТЭ НЦ ИРОи. НТД ИНИС МИФИ

Опыт работы координаторов по культуре ядерной безопасности (культуре УКи. ФЗ ЯМ) на российских ядерных объектах Требования к квалификации координатора по культуре ЯБ: q Высшее техническое образование и дополнительное обучение (повышение квалификации) по вопросам УК и ФЗ ЯМ. q Стаж работы в области УК и ФЗ ЯМ более 5 лет. q Стаж работы в руководящей должности не менее 5 лет. Кроме того, он должен обладать следующими качествами: q качествами руководителя; q навыками коммуникации; q умением разрешать конфликты; q умением обучать людей. ИАТЭ НЦ ИРОи. НТД ИНИС МИФИ

Понятия информационной безопасности: что защищать? Задачи информационной безопасности являются подмножеством задач защиты бизнеса (экономической безопасности) Задачи экономической безопасности Задачи ИБ ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Система информационной безопасности Этапы построения СИБ Обследование ИС (аудит) изменение процессов обработки информации Определение требований к системе защиты Разработка технического задания на создание системы защиты Проектирование системы защиты Разработка внутренних нормативных документов Установка и настройка средств защиты информации Обслуживание системы защиты ИАТЭ Оценка соответствия объекта информатизации Лекция 14 Информационная безопасность ИРОи. НТД

Понятия информационной безопасности: что защищать? Защита интересов бизнеса В других сферах В информационной сфере Защита ИР Обеспечение конфиденциальности ИР Обеспечение целостности ИР Обеспечение доступности ИР ИАТЭ Исключение нецелевого использования вычислительных ресурсов Соответствие требованиям закона Лекция 14 Информационная безопасность ИРОи. НТД

Комплексная система Концепция комплексной системы обеспечения экономической безопасности предпринимательства В основе разработки комплексной системы обеспечения экономической безопасности предпринимательства должна лежать определенная концепция. Концепция включает цель комплексной системы обеспечения безопасности, ее задачи, принципы деятельности, объект и субъект, стратегию и тактику. Цель данной системы – минимизация внешних и внутренних угроз экономическому состоянию субъекта предпринимательства, в том числе его финансовым, материальным, информационным, кадровым ресурсам, на основе разработанного и реализуемого комплекса мероприятий экономико-правового и организационного характера. Следует иметь в виду, что наибольшее значение в деле обеспечения экономической безопасности предпринимательства принадлежит первичным - экономико-правовым и организационным мерам, обеспечивающим фундамент, основу системы безопасности, в отличие от вторичных – технических, физических и пр. В процессе достижения поставленной цели осуществляется решение конкретных задач, объединяющих все направления обеспечения безопасности. ИАТЭ ИРОи. НТД Лекция 14 Информационная безопасность

Понятия информационной безопасности ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ? «Информационная безопасность - свойство информации сохранять конфиденциальность, целостность, доступность» ГОСТ Р ИСО/МЭК 27001 -2006 ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Построение СИБ: комплексное обследование ИС На этапе комплексного обеследования ИС собирают данные о всех значимых (с точки зрения безопасности информации) особенностях функционирования ИС для последующего анализа Какие данные собирают? ü Данные о составе и принципах работы ИС ü Данные о ролях пользователей, работающих с ИС ü Данные о потоках и процессах обработки информации Источники исходных данных: ü Интервьюирование пользователей ИС ü Организационно-распорядительные и эксплуатационные документы ü Сканирование ИС с использованием специализированного ПО ИАТЭ ИРОи. НТД

Понятия информационной безопасности ГОСТ Р ИСО/МЭК 15408 -1 -2002 ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Система информационной безопасности ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ü Счетность всех субъектов и объектов ü Доверенная конфигурация и настройки ü Целостность всех элементов ü Подконтрольность всех действий ü Документированность всех событий ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Система информационной безопасности Основные задачи СИБ ü Защита ИР от НСД и утечек ü Контроль подлинности и целостности информации ü Обеспечение юридической значимости информации ü Аудит и мониторинг безопасности системы ü Построение доверенных каналов ü Безопасное подключение ИС к открытым сетям ü Обнаружение вторжений и антивирусная защита ü Управление безопасностью ИАТЭ Лекция 14 Информационная безопасность ИРОи. НТД

Система информационной безопасности КОМПЛЕКСНОСТЬ Для обеспечения безопасности используется комплекс мер, который включает в себя: • • ИАТЭ технические меры правовые меры организационные меры физические меры Лекция 14 Информационная безопасность ИРОи. НТД

Скачать презентацию Информационная безопасность Лекция 13 Комплексная модель безопасности Лекция

Л_13.ppt

Количество слайдов: 32