Комплексная система обеспечения информационной безопасности хозяйствующего субъекта Невский А. Ю. , кандидат технических наук, доцент Потехецкий С. В. , кандидат технических наук, старший научный сотрудник
Вводная лекция: «Основы системного подхода к обеспечению информационной безопасности хозяйствующего субъекта» Учебные вопросы 1. Актуальность проблемы обеспечения информационной безопасности 2. Системный подход к обеспечению информационной безопасности 3. Общая характеристика системы обеспечения информационной безопасности хозяйствующего субъекта 2
1. Актуальность проблемы обеспечения информационной безопасности 3
«Кто владеет информацией – тот владеет миром. . . » ,
Только цифры § в I полугодии 2015 г. в мире обнародовано • 723 случая утечки конфиденциальной информации, • что на 10% превышает количество утечек за аналогичный период 2014 г. § внешние атаки стали причиной 32% утечек данных • доля таких утечек выросла на 9 п. по сравнению с показателем I полугодия 2014 г. § с компрометацией ПДн связаны 90% утечек • за исследуемый период скомпрометированы более 262 млн. записей, в том числе платежная информация § за I полугодие 2015 г. зафиксировано 8 «мега-утечек» • по каждой «утекло» более 10 млн персональных данных • на «мега-утечки» пришлось 83% всех скомпрометированных записей Аналитический Центр Info. Watch Глобальное исследование утечек 5 конфиденциальной информации в I полугодии 2015 года
Только цифры § § § виновные в утечке информации • сотрудники компаний - 58% • высшие руководители организаций - 1% случаев основные источники утечек ПДн • транспортные компании • интернет-сервисами • ритейлеры • медицинские учреждения Россия заняла второе место по числу утечек, ставших достоянием общественности • зарегистрировано 59 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. • число «российских» утечек, по сравнению с аналогичным периодом 2014 г. , сократилось на 39%
Методология § исследование основывается на собственной базе данных, Info. Watch с 2004 г. • в базу Центра включаются публичные сообщения о случаях утечки информации из • коммерческих • некоммерческих • государственных организаций • муниципальных § база утечек Info. Watch насчитывает несколько тысяч зарегистрированных инцидентов • каждая утечка классифицируется по ряду критериев • размер организации и сфера деятельности (отрасль) • размер ущерба • тип утечки (по умыслу) • канал утечки • типы утекших данных • и пр.
Методология § с 2014 г. в базу добавляются утечки данных вследствие внешнего воздействия • таргетированная атака • фишинг • взлом веб-ресурса • и пр. § в связи с этим к списку критериев утечки добавлен вектор воздействия • признак действий лиц, спровоцировавших утечку • внешние злоумышленники • внутренние злоумышленники
Методология § инциденты классифицируются по характеру действий нарушителя § наряду с утечками • компрометация данных с потерей контроля над информацией выделяют утечки данных, когда сотрудник • имеющий легитимный доступ, использует данные в целях мошенничества • манипуляции с платежными данными • инсайдерской информацией • получает доступ к данным, которые не нужны ему для исполнения служебных обязанностей • превышение прав доступа
Методология § исследование охватывает не более 1 % случаев от предполагаемого совокупного количества утечек § критерии категоризации утечек подобраны так, чтобы исследуемые множества (категории) содержали достаточное или избыточное количество элементов (фактических случаев утечки) § такой подход позволяет считать получившуюся выборку достаточной для выявления и прогнозирования закономерностей на всей совокупности утечек
Статистика утечек информации
Вектор воздействия 12
Сравнительный анализ по источнику Рисунок 3 – Распределение утечек по источнику (виновнику), ½ 2014 - ½ 2015
Сравнительный анализ по типу данных Рисунок 4 - Распределение утечек по типам данных, ½ 2014 - ½ 2015 г. г.
Мошенничество § огромное число утечек информации, связанных с использованием ПДн в целях мошенничества – преступления, известные как «кража личности» (identity theft) • внутренние и внешние злоумышленники пытаются • любым способом получить доступ к базам с ПДн клиентов и сотрудников компаний • используют эти данные при проведении мошеннических финансовых операций, например, при оформлении электронных требований на возврат налогов
Мошенничество § nola. com: бывший глава программ лечения от наркозависимости в штате Луизина предстанет перед судом по обвинению в краже личности и злоупотреблении служебным положением • Шанта Барнс (Shanta Barnes) выписывал рецепты на оксикодон (опиоид, обезболивающий препарат) • однако пациенты, на чье имя выписывался препарат, его не получали • Барнс продавал лекарства через систему распространителей
Использование скомпрометированной информации Рисунок 5 – Распределение утечек по характеру, ½ 2014 - ½ 2015 г. г.
НСД § доля утечек данных, сопряженных с неправомерным доступом к информации • злоупотребление правами доступа • внутренний шпионаж § nj. com: капитан полиции города Ньюарк (Нью-Джерси, США) арестован по обвинению в незаконном доступе к информации • шестидесятилетний Антонио Буно вместе с бывшим сотрудником полиции Дино Д’Элиа в ходе расследования мошенничества со страховками • получили доступ к базе данных неназванной организации • информацию из этой базы предприимчивые полицейские продавали по 100 долларов за запись
Распределение случайных и умышленных утечек Рисунок 6 – Соотношение случайных и умышленных утечек, ½ 2014 - ½ 2015 г. г.
Вывод § утечки данных по вине внутреннего нарушителя превращаются в обыденное явление • количество таких утечек растет • их доля в распределении по вектору воздействия снижается • темпы роста не столь впечатляющие, как несколько лет назад § показательно, что широко распространенные средства контроля и ограничения доступа (как альтернатива DLP-системам в плане защиты информации) не оказывают системного влияния на текущую картину утечек данных • доля утечек вследствие злоупотребления (превышения) правами доступа растет
Вывод § на первый план выходят утечки произошедшие вследствие внешних атак данных, • основной фактор, оказывающий решающее воздействие на формирование картины утечек данных § с ними связано подавляющее большинство крупнейших и самых заметных инцидентов
Каналы утечек Рисунок 7 – Распределение утечек по каналам, ½ 2014 - ½ 2015 г. г.
Каналы утечек § The Washington Post: Три жительницы Хьюстона предстанут перед судом по обвинению в мошенничестве с использованием чужих ПДн • небольшой «бизнес» мошенниц существовал с 2010 г. • подозреваемые работали на государственный департамент США и имели доступ к именам, номерам социального страхования, иной персональной информации американцев, благодаря чему оформляли кредиты на чужие данные для покупки электроники, включая устройства i. Phone, i. Pad • для кражи информации ограниченного доступа мошенницы использовали собственные смартфоны. Журналисты издания усматривают прямую связь между случаем в Хьюстоне и запретом на пользование мобильным телефоном на работе, который ввело паспортное бюро (The Passport Agency) в отношении своих сотрудников
Умысел в действиях злоумышленников Рисунок 8 – Распределение утечек по каналам
Умысел в действиях злоумышленников § доли умышленных утечек на каналах «кража/потеря оборудования» , через мобильные устройства, съемные носители, электронную почту, бумажные документы, текстовые и видеосообщения год от года все более незначительны. • распределение умышленных утечек по каналам не отличается однородностью. В основном информация уходит через сеть § случайные утечки распределились более однородно § 1 obl. ru: Письма, адресованные налогоплательщикам, оказались на помойке • 146 писем предназначались жителям Миасса и содержали конфиденциальные данные о каждом из адресатов • В пластиковом пакете с корреспонденцией Налоговой службы, помимо писем, нашли свиную голову
У кого больше утечек? ? Рисунок 9 – Распределение утечек по типу организации, ½ 2014 – ½ 2015 гг.
Кто впереди планеты всей?
Общие выводы § эра «мега-утечек» началась в 2014 г. • число утечек –больше 10 млн. и за истекшие полгода ситуация ухудшилась • зафиксировано 22 утечки • в ходе которых объем скомпрометированных персональных данных превысил 1 млн записей, из них • 8 «мега-утечек» – 10 млн. записей и выше § внешние атаки с целью хищения данных, платежной информации -основной фактор, формирующий картину утечек • в результате воздействия внешнего злоумышленника скомпрометировано 230 млн записей о персональных данных – 87% от общего объема «утекших» ПДн • наметившаяся тенденция, скорее всего, сохранится • сейчас до трети утечек данных происходит вследствие внешних атак, хотя в I полугодии 2014 г. зафиксировано 22% утечек по причине внешнего воздействия. С ростом осведомленности нарушителей о применении технических средств контроля каналов передачи информации, меняется распределение утечек по каналам
Общие выводы • растет «квалификация» внутреннего нарушителя, который отказывается от • использования электронной почты • сервисов мгновенных сообщений • съемных носителей § «продвинутый» нарушитель осведомлен, что современные средства контроля позволяют успешно перехватывать передачу конфиденциальной информации по перечисленным каналам, и не рискует понапрасну § влиянием двух факторов – ростом числа и эффективности внешних атак и повышением «квалификации» внутреннего злоумышленника, - обусловлена растущая год от года доля утечек информации через сеть
Общие выводы § «сетевой» канал приобретает особое положение – наиболее проблемного для служб ИБ и создателей средств защиты § вопрос защиты ПДн от утечек для среднего бизнеса более актуален, чем для крупного • в организациях среднего размера зафиксировано в разы больше утечек, чем в крупных • объем скомпрометированных записей в средних компаниях впервые за годы наблюдения превысил объем скомпрометированных записей в крупных компаниях § наиболее уязвимыми следует считать • сегмент высоких технологий • торговые и транспортные компании § наибольший объем скомпрометированных данных (без учета «мега-утечек» ) пришелся на интернет- сервисы
Общие выводы § глобальная картина и факторы, влияющие на распределение утечек по категориям, практически не изменяются с 2008 г. § уместно говорить о стабилизации роста утечек и их распределений, • в том числе из-за довольно широкого распространения средств защиты от утечек и контроля информации • исключение – фактор внешних (в том числе целенаправленных) атак, против которых действенного средства пока не найдено
Основные понятия термины и определения
Термины и определения «Первая задача всякой теории, это — привести в порядок смутные и чрезвычайно спутанные понятия и представления, и лишь условившись относительно названий и понятий, можно надеяться ясно и легко преуспевать в рассмотрении вопросов и при этом питать уверенность, что находишься с читателем на одной и той же точке зрения» Карл Филипп Готтлиб фон Клаузевиц. «О войне» . 1832/34 г.
Информация - сведения (сообщения, данные) независимо от формы их представления § акустическая (речевая) информация § видовая информация § информация, обрабатываемая (циркулирующая) в ИС, в виде электрических, электромагнитных, оптических сигналов § информация, обрабатываемая в ИС, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур 149 -ФЗ от 27 июля 2006 года
Классификационная схема понятий в области «Защита информации» ГОСТ Р 50922 -2006 Защита информации. Основные термины и определения
Классификационная схема понятий в области «Защита информации» ГОСТ Р 50922 -2006 Защита информации. Основные термины и определения
Предмет § Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз § Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства
Информационная обеспечивающий безопасность § конфиденциальность: доступ авторизованных пользователей - к механизм информации защиты, только § целостность: достоверность и полноту информации и методов ее обработки § доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости
Информационная безопасность - это защита информации от широкого спектра угроз с целью § обеспечения непрерывности бизнеса § минимизации рисков бизнеса § максимального увеличения возможностей бизнеса возврата инвестиций и ISO/IEC 27002 -2005
Термины и определения Конфиденциальность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя 149 -ФЗ от 27 июля 2006 года
Нарушения защиты информации Нормальный информационный поток Перехват перехват – получение несанкционированного доступа к ресурсу данный тип нарушения нарушает КОНФИДЕНЦИАЛЬНОСТЬ информации примерами нарушений этого типа могут служить • • подключение к кабелю связи с целью перехвата данных незаконное копирование файлов и программ
Нарушения защиты информации Нормальный информационный поток Модификация модификация – открытие несанкционированного доступа к ресурсу и его изменение нарушителем данный тип нарушений нарушает ЦЕЛОСТНОСТЬ информации примерами нарушений этого типа могут служить • • • изменение значений в файле данных модификация кода программы с целью изменения ее функций изменение содержимого передаваемого по сети сообщения
Нарушения защиты информации Нормальный информационный поток Фальсификация фальсификация – внесение в систему ложного объекта данный тип нарушений нарушает АУТЕНТИЧНОСТЬ информации примерами нарушений этого типа могут служить • отправка поддельных сообщений по сети • добавлений записей в файл
Нарушения защиты информации Нормальный информационный поток Разъединение разъединение – уничтожение ресурса системы, либо приведение его в состояние недоступности или негодности данный тип нарушений нарушает ДОСТУПНОСТЬ информации примерами нарушений этого типа могут служить • • • вывод из строя оборудования обрыв линии связи разрушение файловой системы
Термины и определения Доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения
Извечный вопрос Что будем защищать ? Информацию !!! - сведения (сообщения, данные) независимо от формы их представления (149 -ФЗ) Информацию, Информационную систему !!! - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (149 -ФЗ) но только ту которая циркулирует в определенной среде: на объекте информатизации
Термины и определения информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов информационно телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники 149 -ФЗ от 27 июля 2006 года
Термины и определения § оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных 149 -ФЗ от 27 июля 2006 года § оператор • • • государственный орган муниципальный орган юридическое лицо физическое лицо совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными 152 -ФЗ от 27 июля 2006
Термины и определения обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам 149 -ФЗ от 27 июля 2006 года
Термины и определения § доступ к информации - возможность получения информации и ее использования § предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц § распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц 149 -ФЗ от 27 июля 2006 года
Термины и определения распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц 152 -ФЗ от 27 июля 2006
Термины и определения § правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа § субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа § ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы
Термины и определения Дискреционная модель доступа • права доступа задаются матрицей доступа, элементами которой являются разрешенные права доступа субъекта к объекту
Дискреционное разграничение доступа к объектам компьютерных систем Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются
Термины и определения Мандатная модель доступа каждому субъекту и каждому объекту ставятся в соответствие специальные классификационные метки
Мандатное разграничение доступа к объектам компьютерных систем • в приведенном примере субъект «Пользователь № 2» , имеющий допуск уровня «НС» , не может получить доступ к объекту, имеющего метку «ДСП» • в то же время, субъект «Пользователь «№ 1» с допуском уровня «С» , право доступа к объекту с меткой «ДСП» имеет
Термины и определения Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Перечни запрашиваемых ПДн определяются 75 международными правовыми актами 13 кодексами РФ 100 федеральными законами 250 актами Правительства РФ 152 -ФЗ от 27 июля 2006
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными § § § § ? сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (распространение, предоставление, доступ) обезличивание блокирование удаление уничтожение 152 -ФЗ от 27 июля 2006
Термины и определения § автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (СВТ) 152 -ФЗ от 27 июля 2006 § неавтоматизированная обработка ПДн – такие действия, как использование, уточнение, распространение, уничтожение персональных данных, осуществляются при непосредственном участии человека Постановление правительства РФ № 687 от 15 сентября 2008
Термины и определения СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем
Термины и определения § уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и (или) в результате которых уничтожаются материальные носители персональных данных § обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных 152 -ФЗ от 27 июля 2006
Термины и определения § блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных) § трансграничная передача ПДн - передача персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства 152 -ФЗ от 27 июля 2006
Термины и определения § техническая защита конфиденциальной информации (ТЗКИ) - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации • по техническим каналам • от несанкционированного доступа к ней • от специальных воздействий на информацию СТР-К
Термины и определения § технический канал утечки информации (ТКУИ) - совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация § несанкционированный доступ (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС
Термины и определения § объект информатизации – совокупность • информационных ресурсов, средств и систем обработки информации • используемых в соответствии информационной технологией с заданной • средств обеспечения объекта информатизации • помещений или объектов (зданий, сооружений, технических средств), в которых они установлены • или помещения и объекты, предназначенные для ведения конфиденциальных переговоров
Автоматизированная система (АС) § система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций комплекс средств автоматизации информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов информация - сведения (сообщения, данные) независимо от формы их представления
Информационная система (ИС) § совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств технические средства информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов информация - сведения (сообщения, данные) независимо от формы их представления
Термины и определения § информационная система персональных данных (ИСПДн) -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств § государственные информационные системы (ГИС) - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов § информационные системы общего пользования (ИСОП) - федеральные государственные ИС, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством РФ
Защищаемая информация Общедоступная Ограниченного доступа Государственная тайна Служебная тайна Коммерческая тайна АС Персональные данные ГИС ИСПДн Сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в ИТС Интернет ИСОП
Создаём систему защиты ДСП ? ? ? – ФЗ Указ Президента РФ от 6 марта 1997 года № 188 КТ ИСПДн 98 -ФЗ 29 июля 2004 Указ Президента РФ от 6 марта 1997 года № 188 ГИС ИСОП 152 -ФЗ 27 июля 2006 Указ Президента РФ от 6 марта 1997 года № 188 149 -ФЗ 27 июля 2006 Пост. Правительства РФ от 18 мая 2009 г. № 424 Проводим обследование Определяем Класс АС РД ФСТЭК Определяем Категорию ОИ Определяем УЗ ПДн Определяем Класс ГИС Метод. рек. ФСТЭК ППр РФ № 1119 от 01 ноября 2012 Приказ ФСТЭК № 17 от 11 февраля 2013 Соотносим с классом АС РД ФСТЭК СТР-К РД ФСТЭК Метод. рек. ФСТЭК Определяем Класс ИСОП Приказ ФСБ и ФСТЭК № 416/489 от 31 августа 2010 Строим систему защиты РД ФСТЭК Приказ ФСТЭК № 21 от 18 февраля 2013 РД ФСТЭК Приказ ФСТЭК № 17 от 11 февраля 2013 Если в ГИС есть ПДн соотносим Класс ГИС с УЗ ПДн РД ФСТЭК Приказ ФСБ и ФСТЭК № 416/489 от 31 августа 2010
Термины и определения § защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т. д. ), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т. п. )
Термины и определения § основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации § вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с ОТСС или в ЗП
Термины и определения § контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств
Зона 1 Пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы КЗ, не превышает нормированного значения ОИ R 1
Зона 1 ОИ R 1
Зона 2 Пространство вокруг ОТСС на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения ОИ R 2
Зона 2 R 2 ОИ
Термины и определения § недекларированные возможности - функциональные возможности средств вычислительной техники (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации § носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин
Термины и определения § электронное сообщение - информация, переданная или полученная пользователем информационнотелекоммуникационной сети § документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель § электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационнотелекоммуникационным сетям или обработки в информационных системах 149 -ФЗ от 27 июля 2006 года
Термины и определения § специальные проверки (спецпроверки) - проверки ТСПИ иностранного и совместного производства на наличие возможно внедренных электронных устройств перехвата информации § специальные исследования (специсследования) - выявление с помощью контрольно - измерительной аппаратуры возможных каналов утечки информации ограниченного доступа, обрабатываемой ТСПИ § специальные обследования (спецобследования) – определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно - измерительной аппаратуры
Термины и определения ФСБ России ФСТЭК России выявление с помощью контрольно-измерительной аппаратуры возможных ТКУИ СИ выявление с помощью контрольно-измерительной аппаратуры возможных ТКУИ проверки ТСПИ на наличие возможно внедренных ЭУПИ СП проверки ТСПИ на наличие возможно внедренных ЭУПИ проверки помещений на наличие возможно внедренных ЭУПИ СО определение соответствия условий эксплуатации ОИ требованиям аттестатов соответствия, предписаний …. без применения контрольноизмерительной аппаратуры
2. Системный подход к обеспечению информационной безопасности § Под информационной безопасностью хозяйствующего субъекта будем понимать защищенность его информационных ресурсов и поддерживающей их инфраструктуры от • случайных • или преднамеренных воздействий естественного или искусственного характера которые могут нанести ущерб пользователям информации обладателям или 82
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • морально – этические • законодательные средства и меры • организационные (административные) • инженерно-техническое оборудование • возможности программных и аппаратных средств информационных систем
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • морально – этические средства защиты • нормы, которые сложились в информационной области в том или ином государстве • заключаются во внедрении в сознание людей аморальности всяческих покушений на нарушение К. Д. Ц. чужих информационных ресурсов 84
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • законодательные меры • законы и другие нормативные акты • стандарты которыми регламентируются правила использования и обработки информации ограниченного доступа и вводятся меры ответственности за нарушение этих правил
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • организационные (административные) меры • конкретные действия, предпринимаемые руководством организации для обеспечения ИБ • правила работы сотрудников • режим • должностные обязанности • инструкции • правила приобретения средств безопасности (сертификация, легальность)
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • инженерно-техническое оборудование • использование специальных средств для • блокирования физического доступа к отдельным элементам информационной инфраструктуры • наблюдения • оповещения • предотвращения воздействий различных негативных
Система средств, приёмов и способов обеспечения ИБ ХС § представляет собой совокупность • возможности программных и аппаратных средств ИС • физические средства • экранирование помещений • специальное обследование объектов и аппаратуры ПК • проверка помещений на предмет отсутствия аппаратных и программных закладок , «жучков» и др. • технические средства • контроль доступа (аутентификация, авторизация) • аудит системы • шифрование информации • антивирусная защита • контроль сетевого трафика и др.
Понятие СОИБ § функциональная подсистема системы комплексной безопасности ХС, объединяющая • силы защиты информации • средства • и объекты организованные и функционирующие по правилам, установленным • правовыми по ЗИ • организационно-распорядительными • и нормативными документами
Цель СОИБ § создание таких условий функционирования ИС ХС, при которых обеспечивается выполнение требований по конфиденциальности, доступности и целостности информации, принадлежащей ему
Задачи СОИБ ХС § предупреждение появления угроз ИБ § обнаружение появившихся угроз и предупреждение их воздействия § обнаружение и локализация воздействия угроз § ликвидация последствий воздействия угроз на ИС ХС
Требования, предъявляемые к СОИБ § по характеру информации, циркулирующей в ИС • степень конфиденциальности • объёмы информации • интенсивность обработки информации § по архитектуре ИС • пространственные размеры • территориальную распределённость • структурированность компонентов § по условиями функционирования ИС • расположение информационной инфраструктуры ИС на территории ХС • степень обустроенности информационной инфраструктуры • развитость информационных коммуникаций
Требования, предъявляемые к СОИБ § по технологии обработки информации в ИС • масштабируемость системы • стабильность функционирования • доступность технологических решений • структурированность § по организации функционирования ИС • общая организация • степень и качество укомплектованности кадрами • уровень подготовки и мотивации кадров • уровень производственной (технологической) дисциплины
Системный подход к обеспечению комплексной защиты объектов информатизации
Основные принципы обеспечения безопасности • соблюдение и защита прав и свобод человека и гражданина • законность • системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социальноэкономических, информационных, правовых и иных мер обеспечения безопасности ФЗ «О БЕЗОПАСНОСТИ» от 28 декабря 2010 г. N 390 -ФЗ
Основные принципы обеспечения безопасности • приоритет предупредительных мер в целях обеспечения безопасности • взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности ФЗ «О БЕЗОПАСНОСТИ» от 28 декабря 2010 г. N 390 ФЗ
Сферы деятельности человека Ноосфера Техносфера Космос Атмосфера Гидросфера Литосфера Планета Земля
Информация в материальном мире Материальный мир Физические тела Физические поля
Пирамида многомерности основные носители информации Абсолют n 7 - духовный уровень Тонкий 6 -ментальный уровень – мыслеобразы мир 5 - астральный уровень фантомы объектов 4 - (x, y, z, t)– физические тела биологических объектов 3 - (x, y, z) – объёмно – резонирующие структуры (ДНК) 2 -(x, y) – биполярные полимеры (Н 2 О) 1 -(x) – спиновые взаимодействия
Принцип маятника Л П Р
Энергоинформационные законы Сохранения Неприкосновен ности воли Законы Добро – норма жизни. Зло -наказуемо всегда Не нам судить
Закон сохранения Энергия Энтропия Негэнтропия (Физический план) (Хаос) (Информация)
Энергоинформационный обмен
Понятие системы Система(от греческого s. Ystems – целое, составленное из частей, соединение) – множество элементов, находящихся в отношениях и связях друг с другом, образующих определённую целостность, единство . СЭС. М, СЭ, 1985, под ред. Академика Прохорова. А. М
Классификация сложных систем Сложные системы Материальные Системы неорганической природы(физические, химические и др. ) Живые системы (простейшие, популяции, виды, социальные) Абстрактные Понятия, теоремы, формализованные, логические и др.
Управление с позиций ДОТУ § любой процесс в Мироздании может быть рассмотрен в качестве процессов • управления • самоуправления § в ДОТУ возможна постановка всего двух задач • задача управления • мы хотим управлять объектом в процессе его функционирования сами непосредственно • задача самоуправления • мы не хотим управлять объектом в процессе его функционирования, но хотим, чтобы объект без нашего непосредственного вмешательства самоуправлялся в приемлемом для нас режиме Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § вектор целей управления – описание идеального режима функционирования объекта • строится как иерархически упорядоченное множество частных целей управления, которые должны быть осуществлены в случае идеального управления • порядок следования частных целей является обратным порядку последовательного вынужденного отказа от частных целей в случае невозможности осуществления всей совокупности: на первом приоритете – самая важная цель, на последнем – самая незначительная • это – список, перечень того, чего желаем, пронумерованных в порядке, обратном порядку вынужденного отказа от осуществления этих желаний Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § вектор текущего состояния контрольных параметров, описывающий реальное поведение объекта по параметрам, входящим в вектор целей § вектор ошибки управления – «разность» вектора целей и вектора состояния (не обязательно привычная алгебраическая) • это перечень неудовлетворённости желаний соответственно перечню вектора целей с какими – то оценками степени неудовлетворённости каждого из них • либо соизмеримых друг с другом численно уровней, либо численно несоизмеримых, но упорядоченных дискретным индексом предпочтительности уровней Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § ключевое понятие теории управления • устойчивость объекта в смысле предсказуемости поведения в определённой мере под воздействием внешней среды, внутренних изменений и упра – воле – ния • управление невозможно, если поведение объекта непредсказуемо в достаточной мере Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § полная функция управления (матрица возможного управления, мера управления) • описывает этапы циркуляции и преобразования информации в процессе управления • начиная с момента формирования субъектом управления – управленцем вектора целей управления • и (включительно) до осуществления целей в процессе управления • система стереотипов отношений и преобразований информационных модулей, составляющих информационную базу управляющего субъекта • моделирующего на их основе функционирование объекта управления (или процесс самоуправления) Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § целевая функция управления – содержательный фрагмент ПФУ • это - концепция достижения в процессе управления каждой из частных целей, входящих в вектор целей • концепции управления по отношению ко всем частным целям образуют совокупную концепцию управления • целевую функцию управления и их совокупности там, где нет необходимости в точном термине, называют концепцией управления • наполняет конкретным управленческим содержанием все либо часть этапов ПФУ • после определения вектора целей и допустимых ошибок управления в процессе реального управления по ней замыкаются информационные потоки с вектора целей на вектор ошибки Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § дополняющие, информационно связанные параметры разделяются на две категории • управляемые, в изменении значений которых сказывается непосредственно управляющее воздействие • свободные, которые изменяются при изменении управляемых, но не входят в перечень контрольных параметров, составляющих вектор целей управления § в связи с этим под вектором состояния понимается в большинстве случаев расширенный вектор, включающий в себя иерархически упорядоченный вектор контрольных параметров Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ § набор управляемых параметров может быть также иерархически упорядочен • нормальное управление • управление в потенциально опасных обстоятельствах • аварийное управление • и т. д. и образует вектор управляющего воздействия, выделяемый из вектора состояния Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ ПФУ в процессе управления осуществляется • структурным способом управления • информация передаётся адресно по вполне определённым элементам структуры, сложившейся ещё до начала процесса управления • безструктурным способом управления • заранее сложившихся структур нет, поэтому происходит безадресное циркулярное распространение информации в среде, способной к порождению структур из себя Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ Режимы управления Манёвры Балансировочные Сильные Слабые Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Категории ДОТУ При описании любой из проблем в терминах теории управления общее число категорий - не более девяти • • • вектор целей вектор состояния вектор ошибки полная функция управления совокупность частных концепций управления вектор управляющего воздействия структурный способ безструктурный способ балансировочный режим или манёвр Краткий курс…Концепция общественной безопасности…- М. : НОУ «Академия управления» , 2010 г. – 458 с.
Системный подход § системный подход – направление методологии научного познания и социальной практики, в основе которого лежит рассмотрение объектов как систем § системный подход ориентирует исследователей на раскрытие целостности объекта, выявление многообразных типов связей в нём и сведение их в единую теоретическую картину § принципы системного подхода нашли применение в биологии, экономике, управлении, психологии, кибернетике, технике, экологии и др. в неразрывной связи с диалектикой – учением о развитии
Основные принципы системного подхода при создании сложных систем § при создании АС используется ряд представлений (категорий), среди которых основными являются • структурное, связанное с выделением элементов системы и связей между ними • функциональное – выделение совокупности функций системы и ее компонентов, направленное на достижение определенной цели • макроскопическое – понимание системы как целого, взаимодействующего с внешней средой
Основные принципы системного подхода при создании сложных систем • микроскопическое, основанное на рассмотрении системы как совокупности взаимосвязанных элементов, раскрывающей структуру системы • иерархическое, основанное на понятии подсистемы, получаемом при разложении (декомпозиции) системы, обладающей системными свойствами, которые следует отличать от ее элемента – неделимого на более мелкие части с точки зрения решаемой задачи • процессуальное, предполагающее понимание системного объекта как динамического объекта, характеризующегося последовательностью его состояний во времени
Структурная схема системы Вход Управляющий элемент Случай Управляемый элемент Выход Внутренние факторы Внешние факторы
Основные понятия теории систем • понятие «система» возникает там, где материально или умозрительно можно провести замкнутую границу между некоторым множеством элементов • элементы с соответствующими связями, находящиеся внутри, образуют сложную систему с внутренними факторами • элементы за пределами границы составляют множество, называемое в теории системным окружением или внешней средой, которая образует внешние факторы • на поведение сложной системы оказывает влияние и случай с дискретным вероятностным характером вмешательства
Основные понятия теории систем • объект познания - часть реального мира, которая выделяется и воспринимается как единое целое в течение длительного времени • компонент – часть системы, вступающая в определенные отношения с другими частями (подсистемами, элементами) • элемент системы - часть системы со свойствами, выполняющими определенные функции, и не подлежащая дальнейшему разбиению • всякая система может быть системой более высокого порядка – надсистемой, и системой более низкого порядка – подсистемой
Основные понятия теории систем • подсистемы - самостоятельные части систем, выделяемые по определенным признакам, обладающие относительной самостоятельностью и определенной степенью свободы • все подсистемы, получаемые непосредственным выделением из одной исходной системы, относятся к подсистемам одного уровня • иерархия - деление систем по уровням • иерархические системы – те, к которым применим принцип последовательного выделения подсистем различных уровней
Основные понятия теории систем § два уровня изучения систем • макроуровень • основное внимание - взаимодействию системы с внешней средой • системы более высокого уровня рассматриваются как часть внешней среды • главные факторы - цель (целевая функция системы) и условия ее функционирования • элементы системы изучаются с точки зрения организации их в единое целое и влияния на функции системы в целом
Основные понятия теории систем • микроуровень • внутренние характеристики системы • характер взаимодействия элементов между собой, их свойства и условия функционирования
Основные понятия теории систем § структура системы - устойчивое множество отношений, которое сохраняется длительное время неизменным § связи – элементы, осуществляющие взаимодействие между элементами (или подсистемами) системы, а также с элементами и подсистемами окружения • система как единое целое существует именно благодаря наличию связей между ее элементами • связи выражают законы функционирования системы • связи различаются по характеру взаимодействия на прямые и обратные, а по виду проявления (описания) – на детерминированные и вероятностные
Основные понятия теории систем § обратные связи выполняют осведомляющие функции, отражая изменение состояния системы в результате управляющего воздействия на нее • открытие принципа обратной связи - выдающееся событие в развитии техники и имело исключительно важные последствия • процессы управления, адаптации, саморегулирования, самоорганизации, развития невозможны без использования обратных связей
Основные понятия теории систем § основные функции обратной связи • противодействие тому, что делает сама система, когда она выходит за установленные пределы (нарушение качества работы) • компенсация возмущений и поддержание состояния устойчивого равновесия системы (например, неполадки в работе оборудования) • синтез внешних и внутренних возмущений, стремящихся вывести систему из состояния устойчивого равновесия • сведение возмущений к отклонениям одной или нескольких управляемых величин • выработка управляющих воздействий на объект управления по плохо формализуемому закону
Основные понятия теории систем § нарушение обратных связей в социально-экономических системах по различным причинам ведет к тяжелым последствиям • отдельные локальные системы утрачивают способность к эволюции и тонкому восприятию намечающихся новых тенденций, перспективному развитию, эффективному приспособлению к постоянно меняющимся условиям внешней среды
Основные понятия теории систем § поведение системы - изменение ее состояния во времени § эмерджентность – появление новых свойств и качеств, не присущих элементам, входящих в состав системы § целостность системы - каждый элемент системы вносит вклад в реализацию целевой функции системы • проявление целостности - система обладает собственной целью § целостность и эмерджентность – важнейшие черты интегративных свойств системы.
Основные понятия теории систем § организованность – сложное свойство систем, заключающееся в наличии структуры и порядка функционирования (поведения) § принадлежность системы – структурные образования, из которых состоит целое и без чего оно невозможно § функциональность – проявление определенных свойств (функций) при взаимодействии с внешней средой § структурность – определенный набор и расположение элементов со связями между ними • связь функциональности и структурности системы - «содержание» и «форма» • изменение содержания (функциональности) влечет за собой изменение формы (структуры) и наоборот
Основные понятия теории систем § поведение - процесс целенаправленного изменения во времени состояния системы • в отличие от управления, когда изменение состояния системы достигается за счет внешних воздействий, поведение реализуется исключительно самой системой, исходя из собственных целей § устойчивость - способность системы противостоять внешним возмущающим воздействиям • от устойчивости зависит продолжительность жизни системы
Основные понятия теории систем § надёжность – свойство сохранения структуры систем, несмотря на гибель отдельных ее элементов, с помощью их замены или дублирования § живучесть – активное подавление вредных качеств • надёжность является более пассивной формой, чем живучесть • адаптируемость – свойство изменять поведение или структуру с целью сохранения, улучшения или приобретения новых качеств в условиях изменения внешней среды • обязательное условие - наличие обратных связей
Основные понятия теории систем § по степени сложности системы подразделяются на сложные и простые • простые – системы • не имеющие разветвленных структур • состоящие из небольшого количества • взаимосвязей • элементов. которые служат для выполнения простейших функций • в которых нельзя выделить иерархические уровни • отличительной особенностью которых является детерминированность • номенклатуры • числа элементов и связей как внутри системы, так и со средой
Основные понятия теории систем • сложные системы - системы, характеризующиеся • наличием подсистем • иерархической организацией • большим числом элементов и связей между ними • многообразием выполняемых функций • тем, что компоненты сложных систем могут рассматриваться как подсистемы • каждая из которых может быть детализирована на еще более простые подсистемы
Основные понятия теории систем § по характеру взаимодействия с внешней средой системы подразделяются на • открытая система - связана со средой определенными внешними связями • выделение внешних связей и описание механизмов взаимодействия «система-среда» является центральной задачей теории открытых систем • замкнутая система - не взаимодействует со средой или взаимодействует строго определенным образом. • это - абстракция реальной ситуации, т. к. изолированных систем не существует • упрощение описания системы и отказ от внешних связей упрощают исследование системы
Основные понятия теории систем § по возможности изменения характеристик состояния различают • динамические системы - характеризуются сменой своего состояния во времени • статические - частный случай динамических систем, когда на рассматриваемом временном интервале состояние системы не изменяется § по виду связи между элементами системы классифицируются на • детерминированные , в которых взаимодействие элементов строго определено, зависимость между входами и выходами функциональна • стохастические, где элементы взаимодействуют случайным образом, между входами и выходами наблюдаются только вероятностные соотношения
Основные понятия теории систем § по характеру функций различают системы • специальные, для которых характерна единственность назначения и узкая профессиональная специализация обслуживающего персонала • многофункциональные, где возможна реализация на одной и той же структуре несколько функций • универсальные, позволяющие реализовать множество действий на одной и той же структуре, однако • состав функций по виду и количеству неоднороден
Основные понятия теории систем § по характеру развития систем различают • стабильные • структура и функции практически не изменяются в течение всего периода существования • качество функционирования по мере изнашивания элементов только ухудшается • при этом восстановительные мероприятия могут лишь снизить темп ухудшения • развивающиеся - с течением времени приобретают существенные изменения их • структура • функции
Основные понятия теории систем § по степени организованности системы подразделяются на • хорошо организованные – в которых определены • элементы системы • их взаимосвязь • правила объединения в более крупные компоненты • плохо организованные (диффузные) – в которых не ставятся задачи • определения всех учитываемых компонентов • их свойств • и связей • между ними • и целями системы
Основные понятия теории систем § по сложности поведения различают системы • автоматические – однозначно реагируют на ограниченный набор внешних воздействий • при этом внутренняя организация приспособлена к переходу в равновесное состояние при выводе из него (гомеостаз) • решающие – имеют постоянные критерии различения их постоянной реакции на широкие классы внешних воздействий. • постоянство внутренней структуры поддерживается заменой вышедших из строя элементов • самоорганизующиеся – имеют гибкие критерии различения и реакции на различные типы внешних воздействий. • устойчивость внутренней структуры высших форм обеспечивается постоянным самовоспроизводством
Основные понятия теории систем § По сложности поведения различают системы • предвидящие - могут предвидеть дальнейший ход взаимодействия, в связи с чем устойчивость по своей сложности начинает превосходить сложные внешние воздействия • превращающиеся - воображаемые системы на высшем уровне сложности, не связанные постоянством существующих носителей • могут менять вещественные носители, сохраняя свою индивидуальность • примеры таких систем пока неизвестны
Основные понятия теории систем § по характеру разделяются на структуры управления системы • централизованные • в которых одна из частей играет доминирующая роль • определяющую функционирование всей системы • децентрализованные • все части системы равны между собой
Основные понятия теории систем § по назначению системы бывают • производящие - реализуются процессы получения некоторых продуктов или услуг • вещественно-энергетические, в которых осуществляется преобразование природной среды или сырья в конечный продукт вещественной или энергетической природы либо транспортирование такого рода продуктов • информационные – для сбора, передачи и преобразования информации и предоставления информационных услуг • управляющие - организация и управление вещественно-энергетическими и информационными процессами • обслуживающие - поддержка заданных пределов работоспособности производящих и управляющих систем
Системный анализ § системный анализ – совокупность методологических средств, используемых для подготовки и принятия решений по сложным проблемам политического, военного, социального, экономического и технического характера • постановка задачи - определение • причины и цели анализа • перечня факторов, которые должны быть учтены • методики оценки эффективности системы • структуризация системы • определение набора всех элементов, связанных с поставленной задачей • определение входов каждой подсистемы • разбиение системы на подсистемы
Системный анализ • моделирование системы • любой способ представления реального объекта • исследование системы на модели • анализ поведения системы • нахождение наилучших параметров системы • выявление влияния того или иного параметра на поведение системы • оптимизация некоторого критерия качества
Моделирование сложных систем § при моделировании сложных систем применяются два основных типа математических моделей • имитационные • проведение расчетов большой размерности при различных значениях управляющих параметров • анализируются значения выходных данных модели на их соответствие целям исследования • оптимизационные - исследования оптимизационных моделей • вызывает значительные трудности • многофункциональность и многоаспектность сложных систем • наличие многих критериев качества функционирования системы и большая размерность задачи оптимизации
Моделирование сложных систем § методы исследования сложных систем • декомпозиция • разбиение сложной системы на ряд простых подсистем с целью упрощения исследования • анализ • взвешивание положительных и отрицательных моментов с точки зрения обеспечения устойчивости системы • синтез • выводы по результатам анализа о состоянии системы в целом
Порядок декомпозиции СОИБ § СОИБ рассматривается как сложная организационноиерархическая система с определенными видами обеспечения § каждый вид обеспечения рассматривается в качестве подсистемы СОИБ и, в свою очередь, является сложной системой § в каждой подсистеме СОИБ выделяются направления деятельности по обеспечению ИБ в интересах ХС § каждое направление деятельности по обеспечению ИБ реализуется определенными силами (организации, подразделения, должностные лица) § конкретные задачи обеспечения ИБ в интересах ИБ решаются применением конкретных средств (методики, документы, компьютерные программы и др. )
Структура вертикальной 4 -х уровневой декомпозиции СОИБ Система 1 -й уровень декомпозиции Подсистема 1 Подсистема 2 2 -й уровень декомпозиции Направление 1. 1 3 -й уровень декомпозиции Силы 1. 2. … m 4 -й уровень декомпозиции Средства 1. 2. … k Направление 1. 2 Подсистема n
Особенности сложных систем § система обладает следующими особенностями • иерархичность - система характеризуется определённой иерархичностью, т. е. подчинением одних элементов - другим, более высокого уровня иерархии • конфликтность – характеризуется противоречивостью и полярностью интересов входящих в состав системы элементов • противоборство – крайняя степень обострения противоречий, открытое противостояние за свои интересы • динамичность – конфликтное противоборство элементов системы осуществляется в динамике развития конфликта § при этом элементы системы постоянно находятся в динамике развития, конфликтуют друг с другом и вступают порой в открытое или скрытое противоборство
Составляющие системного подхода § системный подход включает в себя • формулировку цели • задачи, подлежащие решению • методы (способы) решения поставленных задач • ожидаемые результаты § все эти черты системного подхода называются организационным замыслом
Исследование поведения системы § для исследования поведения системы в целом выделяют главную цель, являющуюся стволом древа целей, ветвями которого является ряд подцелей более низкого уровня иерархии • формулировка цели и подцелей – один из основных элементов в исследовании поведения сложных систем • при этом подцели • должны быть простыми • не дублировать друга на каждом иерархическом уровне § задача управления – перевод системы из состояния в состояние и достижение главной цели управления • нахождение системы в равновесном состоянии • независимо от воздействия на неё объективных и субъективных внешних и внутренних факторов
Исследование поведения системы Главная цель Подцели (ГЦ) 1 2 3 n-1 n «Древо целей» Уровни иерархии подцелей
Модели и законы в поведении систем § модели поведения систем • мы. Ямы – превалирование интересов одного из элементов системы над остальными (эгоцентричная модель) • состояние сложной системы с точки зрения равновесия – крайне неустойчиво • я. Мыя – управление элементами сложной системы с учётом интересов всех входящих в неё элементов (системная модель) • состояние сложной системы характеризуется как равновесное
Модели и законы в поведении систем § законы, которые необходимо учитывать при исследовании сложных систем • закон Равновесия, который носит всеобщий характер • законы диалектики • закон единства и борьбы противоположностей (? ? ? ) • закон перехода количества в качество ( «К –К» ) • закон «отрицания» ( «О – О» )
Принципы исследования сложных систем § принципы, которые необходимо учитывать при исследовании сложных систем 1. доверие 2. обман 3. необходимость и достаточность 4. разум 5. осознание
Выбор и обоснование цели (целеполагание) § цель - то, что необходимо достигнуть за определённый промежуток времени • намерение • стремление • результат • цели могут быть • стратегическими • дают общее направление развития • тактическими • указывают методы (способы) достижения целей
Выбор и обоснование цели (целеполагание) § свойства целей 1. S PECIFIC – конкретность, определяющая, • какие критерии достижения этой цели существуют • кто? • что? делает • где? 2. M EASURABLE – измеримость, отвечающая на вопрос: насколько цель достигнута в любой момент времени в соответствии с определённым показателем • как? • каким образом?
Выбор и обоснование цели (целеполагание)
Ранжирование задач § всю совокупность задач разделяют на • важнейшие – составляют • 20% (15%) от общего количества всех задач, • около 70% - вклад в достижение поставленной цели • важные – составляют • 20%(15%) от общего числа задач • 20% (25%) - по вкладу в достижение цели • несущественные (малозначительные) - составляют • 60%(70%) от общего числа задач • 10%(5%) - по вкладу в достижение цели
Ранжирование задач § ранжирование целей по степени важности необходимо иметь в виду при формулировке задач, но только при окончательном определении целей • неправильное ранжирование приводит к тому, что впустую тратится время на решение несущественных задач при исследовании сложных систем • в ряде случаев это приводит к неправильному выбору пути решения и к „блужданию“ по древу целей в его ветвях, что приводит к потере ориентиров в обеспечении равновесного, устойчивого функционирования сложной системы
Ранжирование задач § цели • практически всегда являются источниками мотивации • но при этом всегда необходимо помнить о принципе Доверия при их достижении • малейший намёк на Обман • и теряется • смысл проводимых мероприятий • их эффективность • перспективы развития компании § «Доверяй, но – проверяй!» – основа управления сложной системой
Эффективность сложных систем § эффективность – способность выполнять свои функции с заданным качеством • для оценки качества функционирования сложных систем используются понятия • критерий оценки эффективности - правило принятия решения об эффективности функционирования системы • показатель оценки эффективности – количественное выражение критерия оценки эффективности
Эффективность сложных систем § В качестве показателя оценки эффективности может быть использован показатель „ эффективность/стоимость“ Пэ = Э/ С, где Э – эффективность; С – стоимость § При оценке эффективности в экономике используется понятие целевой функции ( «максимин» ) Пэ′ = F max ( х1, х2, …, хn) , х1, х2, …, хn → min , R= const, где F max ( X) – целевая функция X – вектор параметров R - заданное количество ресурсов
Укрупненная структура СОИБ Система обеспечения информационной безопасности (СОИБ) Силы обеспечения информационной безопасности Средства защиты информации Объекты защиты информации
Укрупнённая структура СОИБ § силы ОИБ • совокупность органов и (или) исполнителей работ • связанных с защитой информации • в интересах данной организации • структурное подразделение, выполняющее задачи управления функционированием данной системы
Укрупнённая структура СОИБ § средства защиты информации • это совокупность правовых, организационныхтехнических и других решений, предназначенных длязащиты информационных ресурсов организации от внутренних и внешних воздействий
Укрупнённая структура СОИБ § объекты защиты информации • информационные ресурсы, т. е. любые виды активов ИС организации • структурированная информация • неструктурированная • документы • вычислительная техника • коммуникационное • и сетевое оборудование • оргтехника • и др.
3. Общая характеристика системы обеспечения информационной безопасности хозяйствующего субъекта Система обеспечения информационной безопасности хозяйствующего субъекта (СОИБ) П о д с и с т е м ы Подсистема организационноправового обеспечения Подсистема финансовоэкономического обеспечения Подсистема кадрового обеспечения Подсистема программноаппаратного обеспечения Подсистема инженернотехнического обеспечения Подсистема аудита информационной безопасности
Система обеспечения информационной безопасности хозяйствующего субъекта § подсистема организационно-правового обеспечения должна обеспечить § формирование правового поля для выполнения мероприятий обеспечения ИБ § выполнение концептуальных разработок, а также практических ограничительных и режимных мероприятий по обеспечению ИБ в интересах ХС
Система обеспечения информационной безопасности хозяйствующего субъекта § подсистема кадрового обеспечения должна • базироваться на созданной системе подготовки специалистов в области ИБ • иметь систему подбора специалистов • а также систему работы с сотрудниками
Система обеспечения информационной безопасности хозяйствующего субъекта • подсистема финансово-экономического обеспечения предназначена для использования результатов анализа финансово-экономической деятельности ХС с целью • определения возможных масштабов финансирования деятельности по обеспечению ИБ • обеспечения работ по • моделированию и оценке затрат на обеспечение ИБ • определению минимально достаточного уровня затрат, т. е. оптимизационные расчёты
Система обеспечения информационной безопасности хозяйствующего субъекта • подсистема инженерно-технического обеспечения • охватывает совокупность работ по • инженерно-техническому оборудованию элементов (объектов) информационной инфраструктуры ХС • обеспечению • видеонаблюдения • противопожарной защиты на объектах • и защиты информации, в том числе и компьютерной, от утечек по различным каналам
Система обеспечения информационной безопасности хозяйствующего субъекта § подсистема программно-аппаратного обеспечения выполняет функции защиты • информации в ИС • элементов ИС от различных угроз применением различных программных и программно-аппаратных решений
Система обеспечения информационной безопасности хозяйствующего субъекта § подсистема аудита информационной безопасности • предназначена для обеспечения • контроля и проверок качества функционирования всех подсистем и элементов СОИБ применением • методик анализа рисков ИБ • различных форм проведения проверок
Структура СОИБ ХС
Скачать презентацию Комплексная система обеспечения информационной безопасности хозяйствующего субъекта Невский
Вводная лекция.ppt