Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.

Презентация:

Advertisements

Похожие презентации

Построение политики безопасности организации УЦ «Bigone» 2007 год.

Advertisements

Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий.

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

Докладчик: Нелюб Сергей Александрович, аспирант кафедры «Информационная Безопасность» МГТУ им. Н.Э. Баумана. IT Security for the Next Generation Тур Россия.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Цветков Максим, Костанайский государственный университет, Казахстан, Костанай IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана.

Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.

Цвирко Д.А., БГА РФ IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Цвирко Д.А., БГА РФ IT Security for the.

Методы и средства защиты информации в компьютерных системах Пермяков Руслан

ЦЕЛИ ПРЕЗЕНТАЦИИ Сравнительный анализ программных продуктов по аудиту Сравнительный анализ программных продуктов по аудиту Определение целей разработки.

1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.

Информационная безопасность на предприятии Руководитель программы Д.А. Полторецкий НП ОДПО «Институт направленного профессионального образования»

Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,

Защита персональных данных в информационных системах 24 ноября 2010 года.

Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба".

Повышение эффективн ости системы корпоративного управления в банке ПРЕЗЕНТАЦИЯ ДИПЛОМНОЙ РАБОТЫ Магистрант : М.А. Богуш Научный руководитель: О.В. Тарасова.

«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)

Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.

Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Транксрипт:

Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Применение деловой игры при обучении технологиям защиты информации

Способы обучения профессиональным компетенциям 1. Проведение обучения технологиям ведения профессиональной деятельности на практике в организациях, связанных с решением вопросов информационной безопасности. 2. Создание моделей организаций и проведение обучение на этих моделях непосредственно в ВУЗе. | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 2 |

Научно-методические основы разработки деловых игры в сфере информационной безопасности

PAGE 4 | Этапы подготовки деловой телекоммуникационной игры в сфере защиты информации организации | 5-7 марта, 2012 "IT Security for the Next Generation", Тур Россия и СНГ

Разработка деловой игры по организации системы защиты информации в филиале АКБ «X-trimeBank»* * Название акционерного коммерческого банка вымышленное, но у него есть прототип, правда с несколько лучшей организацией системы защиты информации.

Постановка задачи на разработку деловой игры Постановка задачи: обосновать систему защиты информации в организации с учетом: анализа бизнес-процессов; уровня понимания руководством необходимости организации защиты ее информационных активов; многофакторной модели оценки рисков; рекомендаций стандартов на основе лучших мировых практик про защите информации. | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 6 |

Исходные данные | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 7 |

Организация проведения деловой игры

Основные этапы деловой игры | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 9 |

Модель решения этапа: Модель классификации информационных активов необходимо представить в форме кортежа где А (active) – информационный актив филиала АКБ «X-trimBank». F (form)– форма представления актива (база данных, бумажный документ, программное обеспечение и т.д.). V (value)– оценка ценности активов в форме терм-переменной, принимающей значения «высокая», «средняя», «низкая». Возможна и количественная оценка ценностей активов. D (defense) – требуемые механизмы защиты актива: конфиденциальность (К), целостность (Ц), доступность (Д). Описание этапов Этап 1. Инвентаризация и классификация банковских активов. | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 10 |

Модель решения этапа: Модель угроз представляются в форме кортежа:, где R ( resource) – источник угрозы; А (active) – актив (объект), в отношении которого реализуется угроза; G (goal) –цель реализации угрозы (мотив); М (mechanistics)-механизм или способ реализации угрозы. E (effect) – оценка возможных результатов реализации угрозы. D (defense) – механизм защиты, на который воздействует угроза. I (in or out) – нахождение источника угрозы (внутри системы или снаружи). Описание этапов Этап 2. Моделирование угроз | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 11 |

Методика решения этапа: на основе анализа результатов прохождения двух предыдущих этапов необходимо представить текстовый документ, определяющий следующие требования: Обеспечение информационной безопасности при назначении и распределении ролей, а также определение уровней доверия к персоналу. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов. и др. Описание этапов Этап 3. Разработка политики безопасности. | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 12 |

Модель решения этапа: Модель анализа состояния физической защиты информационных активов представляется в форме кортежа P(premises) – помещение, O (object) – объект защиты (актив или его часть). T(threat) – угроза. U(protection) – существующий уровень его защищенности. M(measures) – предлагаемые мероприятия по защите. S(costs) – оценка стоимости мер по защите. Описание этапов Этап 4. Анализ состояния физической защиты информационных активов | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 13 |

Методика решения этапа: Основными этапами проверки являются: Анализ системы защиты от вредоносного программного обеспечения. Анализ системы управления сетевыми ресурсами. Безопасность носителей информации. Обмен информацией и программным обеспечением. Обеспечение контроль в отношении доступа пользователей. Наличие инструкций с обязанностями пользователей. Обеспечение контроля сетевого доступа, доступа к операционной системе и приложениям. Возможность расследования инцидентов. Описание этапов Этап 5. Анализ управления передачей данных и контроля доступа | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 14 |

Модель решения этапа: Анализ рисков проводится по трехфакторной модели где P – вероятность риска (в значениях терм-переменной). U –оценка возможного ущерба (в значениях терм-переменной). Z – затраты на обработку риска (в денежных единицах). При проведении анализа рисков по переменным P,U,Z наиболее предпочтительными для защиты являются угрозы i, для которых выполняется соотношение Описание этапов Этап 6. Анализ рисков | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 15 |

Описание этапов | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 16 | Этап 6. Управление рисками информационной безопасности

Полнота и обоснованность: Модели угроз. Политики безопасности; Оценки ценности информационных активов. Состояния физической защиты информационных активов и рекомендаций по улучшению их защищенности. Рекомендаций по управлению передачей данных и контролю доступа. Предложений по управлению рисками и непрерывности бизнеса. Критерии оценки результатов прохождения деловой игры | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 17 |

Предложенная технология позволяет повысить уровень достижения профессиональных компетенций в сфере защиты информации. Выводы | 9-11 Марта, 2011"IT Security for the Next Generation", Россия и СНГPAGE 18 |

Thank You Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012