Лекция 1. Введение

Лекция 1. Введение

2

Изучить фундаментальные свойства оцифрованной информации
Выявить причины появления киберпреступности
Рассмотреть примеры нерешенных проблем
Понять причины, по которым совершенная защита информации невозможна
Оценить роль криптографии в обеспечении информационной безопасности

3

4

Вирусы

Перебор паролей

«Троянские кони»

Подмена субъекта соединения

Перехват данных

Автоматизированное сканирование

Атаки типа «отказ в обслуживании»

Атаки на общедоступные Web-сервисы

Атаки типа «format string»

Атаки типа «SQL Injection»

Распределенные атаки

Stealth - сканирование

Атаки типа «переполнение буфера»

Инсайдеры

5

Бизнес-процессы компании
Информация (коммерческая тайна, персональные данные, служебная тайна, банковская тайна и др.)
Прикладное программное обеспечение (АБС, почтовые системы, комплексы ERP и др.)
Общесистемное программное обеспечение (операционные системы, СУБД и др.)
Аппаратное обеспечение (серверы, рабочие станции, жёсткие диски, съёмные носители и др.)
Телекоммуникационное обеспечение (каналы связи, коммутаторы, маршрутизаторы и др.)

6

Человеческий фактор
Злые инсайдеры
Уволенные по сокращению сотрудники
Потеря оборудования
Кража ноутбуков
Кража систем хранения
Обеспечение ИБ!

7

Появление нормативной базы в области информационной безопасности

Изменение приоритетов

Появление новых решений, ориентированных на противодействие внутренним угрозам безопасности

8

Инсайдер - сотрудник компании, являющийся нарушителем, который может иметь легальный доступ к конфиденциальной информации

В результате действий инсайдера конфиденциальная информация может попасть в посторонние руки

Действия могут быть как умышленные, так и совершенные по неосторожности

9

База данных проводок ЦБ РФ
База данных абонентов МТС и МГТС
Базы данных ГУВД, ГИБДД, ОВИР
База данных Налоговой Службы
База данных Пенсионного Фонда
База данных Таможенной Службы
База данных кредитных бюро

10

Мобильные накопители (USB, CD, DVD)
Ноутбуки, мобильные устройства
Электронная почта
Интернет (форумы, веб-почта и т.д.)
Печатающие устройства

11

CIA
Гексада Паркера
5A
STRIDE

12

Конфиденциальность

Целостность

Доступность

13

Конфиденциальность

Целостность

Доступность

Управляемость

Подлинность

Полезность

14

Authentication (who are you)
Authorization (what are you allowed to do)
Availability (is the data accessible)
Authenticity (is the data intact)
Admissibility (trustworthiness)

15

SpoofingПритворство
TamperingИзменение
RepudiationОтказ от ответственности
Information DisclosureУтечка данных
Denial of ServiceОтказ в обслуживании
Elevation of PrivilegeЗахват привилегий

STRIDE

16

Неприкосновенность частной жизни
Управление идентичностью
Проблема защиты авторского права
Новое преступление XX века

17

Отчуждаемость
Воспроизводимость
Неуничтожимость
Возможность быстрого поиска

18

Портативные и дешевые устройства хранения с высокой плотностью записи
Распространение Wi-fi
Социальные сети: поколение Y
Новое поколение хакеров
RFID
Все передается через цифровые каналы

19

1

20

1

21

1

22

1

23

Взгляд на обеспечение ИБ как дополнительную функцию

Нестабильность программного обеспечения

Компьютер – система из множествакомпонентов, поставляемых различными вендорами

Уязвимости

Человеческий фактор

24

Необратимый процесс развития технологий
Регулируемость деятельности в сети Интернет
Терроризм
ВЧЕРА: Защита материальных ценностей
СЕГОДНЯ и ЗАВТРА: Защита нематериальных ценностей

25

Истинность данных
Актуальность данных
Доверие к результатам работы поисковых систем
Удаление персональных данных из Интернета

26

Свобода слова 
Защита интеллектуальной собственности
Шифрование
Управление идентичностью
Цифровая подпись кода
Доверенная платформа
Разграничение доступа
Построение VPN
Гарантированное уничтожение информации
Защита от физической кражи носителя информации

27

Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008
Сердюк В.А. Современные методы и средства защиты от внутренних нарушителей // Презентация, ДиалогНаука, 2008
Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.
Holtzman D. PRIVACY LOST: How Technology Affects Privacy //Interop’2008 Moscow
Holtzman D. Privacy Lost: How Technology is Endangering Your Privacy. Josey-Bass, 2006 , 352 p.

Спасибо за внимание!