Методика преподавания вопросов организационного обеспечения информационной безопасности Практика использования вычислительных средств при изучении дисциплин Инженерно-техническая защита информации и Технические средства защиты информации Особенности изучения курса «Организация и управление службой защиты информации на предприятии»

Как удержаться на гребне технологических волн, нами же созданных Jet Info 16, 1997 г., Дэнис Цикритзис tekhnologicheskikh-voln-nami-zhe-sozdannykh tekhnologicheskikh-voln-nami-zhe-sozdannykh Каждому поколению кажется, что их предшественники старомодны, консервативны и вообще отстали от жизни. Те, в свою очередь, считают преемников экзотическими, хаотичными и безответственными. Эти мнения не отличаются от мнений родителей о собственных детях и мнений детей о собственных родителях. В силу молодости нашей сферы деятельности все эти поколения сосуществуют, хотя у каждого свои проблемы и возможности. Как же их представители готовят себя к скольжению по новым волнам?

Есть ряд прописных истин и жизненных уложений, которые потеряли свою справедливость : То, что Вы изучаете в школе, пригодится Вам в Вашей будущей профессии. Специализация гарантирует стабильную занятость. Если Вы хорошо работаете, Вам нечего бояться. Каждая новая технология дает новые возможности для продвижения и не таит в себе никакого риска. Выдвижение в средний управленческий состав доходное и надежное дело. Каждая новая смена места работы подразумевает еще большую ответственность и приносит еще больший доход. Если Вы хорошо разбираетесь в компьютерах, у Вас нет необходимости знать что-либо еще. Если Вы реализовали что-либо правильно, Вам не приходится объяснять, как это работает. Если Вы профессионал в области компьютеров, Вы знаете о них больше, чем непрофессионалы.

Каждое поколение формировалось под воздействием эпохальных нововведений в области информационных технологий, отсюда и выбранные нами названия: поколение Фортрана, Кобола, перфокарт; поколение мэйнфреймов, OS-360, PL/1; поколение миникомпьютеров, Unix, С; поколение MS-DOS, Windows, ПК; поколение Интернет, электронной почты, Web. Новое поколение …….

Терминология и характеристики нового поколения: Относительность времени. Сосуществование реального и виртуального. Открытость пространства. Сверхинтерактивность. Активное присутствие. Косвенное управление. Мы можем влиять на явления и управлять ими дистанционно, внешним образом. Однако приятное ощущение полного и непосредственного контроля теряется. В такой среде особенно важными становятся другие способности. Удачливый человек не обязательно должен быть высокоорганизованным трудоголиком. Напротив, успеха может добиться тот, кто быстро и нешаблонно мыслит и действует в хаотичном окружении. Можно представить себе следующие приложения и инструменты: Язык описания воображения. Создание виртуальных персонажей. Средства для управления виртуальными собраниями. Кансей-сервисы.

-----ХОРОШИЙ СОВЕТ----- Доброжелательное отношение к людям окупится сторицей, доброжелательность страхует от возможных неприятностей. Не стоит быть придирчивым, легче простить ошибки и забыть о них. Не стоит переоценивать свои возможности. Чем выше и обозримее позиции, тем они опаснее. Верность людям и организациям ценится с незапамятных времен. Конфликты те же издержки. Никому не нравятся люди, деятельность которых умножает издержки, вместо того чтобы минимизировать их. Важно, что Вы знаете, а не то, кем Вы были. Изменения неизбежны, поэтому их следует принимать с готовностью. Эксперименты с вещами, еще не вошедшими в моду, дают преимущество в конкурентной борьбе. Если Вас ценят в различных кругах, Вы сможете занять хороший пост в любом из них. Следует постоянно отстаивать свое положение и периодически оценивать его и текущую ситуацию.

ТРЕБОВАНИЯБЕЗОПАСНОСТИТРЕБОВАНИЯБЕЗОПАСНОСТИ

Пост Adriano Dias Leite " 6 причин, по которым не стоит работать в ИБ"Пост Adriano Dias Leite " 6 причин, по которым не стоит работать в ИБ", 6) Постоянная сверхурочная работа (т.к. инциденты происходят почти постоянно); 5) Люди вспоминают о вас, только когда случается что-то плохое (не ждите благодарности за отлично проделанную работу по обеспечению безопасности сети); 4) Учиться, учиться и еще раз учиться (когда другие отправляются на отдых, вы приступаете к изучению новой книжки по обеспечению безопасности Apache); 3) Существует предел роста в вашей карьере (у специалиста по ИБ мало шансов стать ген.директором); 2) Нет права на ошибку (ошибаться могут все - программисты, создающие небезопасные программы, сотрудники, подключающие к сети зараженные ноутбуки... вы - не можете); 1)К вам часто будут обращаться с просьбами что-нибудь взломать (вы же хакер, что вам стоит взломать чью-нибудь почту или какую-нибудь программу? отказать по этичным соображениям и при этом не обидеть человека очень сложно). Вы все еще хотите работать в ИБ? :-)

Школа, ВУЗ - Научить учиться -поиск в библиотеке УДК ББК -Название – автор – издательство – год -перечень ссылок – где в Инете -Первоисточник - библиотека Поиск – по терминам – по фамилиям ХОРЕВ – Федотов - Гламаздин? –ДОрлов Шаталов – Кузнецов (БД) - Домарев Мерфи – Питер – психология разрухи – Кодификаторы - Серендипити – Инь ФуВо Безопасность = Конфиденциальность +доступность +целостность Где и как фиксировать накапливать Сайты – могут пропадать! Управление безопасностью РИСКИ Комплаенс Нарушитель Угроза атака Уязвимость Защита Актив Экономическая разведка Практика – критерий истины Cheats&sheets ИДИОМЫ Сделай программу, которой может пользоваться даже дурак – и только дурак захочет ей пользоваться w15408.narod.ru Помечайте вопросы, которые хотите задать Жеглов Председатель Лучше на 20 минут опоздать, чем на 20 лет поспешить Умеешь считать до пяти? … тут выбегает философ…Тупой карандаш…

СОДЕРЖАНИЕ Куда и как исчезли тройки Направление поиска Опорные сигналы Преодоление инерции Теоретические взаимосвязи Делай, как мы. делай вместе с нами. делай лучше нас Работа по листам взаимоконтроля Листы открытого учета знаний Экраны успеваемости По новым календарным срокам Педагогическая проза Главное направление Обучая воспитывать Еще раз об опорных сигналах Игра дело серьезное Точка опоры Главное направление Педагогические магистрали. Сверхзадачи задач Испытание жизнью Зона повышенного внимания «Учитель, воспитай ученика...» Простые сложности Самоутверждение. Родительское собрание Методические секреты И снова самостоятельная работа Еще раз об опорных сигналах К новым рубежам

Система - нечто большее, чем просто сумма составляющих ее частей. Система – это тоже совокупность элементов. В отличие от понятия комплекс, Система обладает рядом свойств, специфичных только ей : связность – элементы Системы связаны друг с другом существенными связями, которые значительно сильнее (в данном контексте рассмотрения), чем связи между этими элементами и внешними, по отношению к системе, объектами. Например, с точки зрения автомобиля, как системы, колеса связаны с другими элементами автомобиля существенно сильнее, чем с дорогой, по которой автомобиль едет. целостность – ни один из элементов Системы не может быть изъят из нее. Система предназначена для выполнения конкретных функций и все без исключения элементы участвуют в выполнении этих функций. Если элемент выделить из Системы, он становится независимым объектом, и Система перестает выполнять весь набор функций, для которых она предназначена. делимость – каждый из элементов является самостоятельным объектом с четкими границами и связями с другими элементами. организация – элементы Системы ориентированы относительно друг друга в пространстве, во времени и в связях друг с другом, в отличие от комплекса, в котором элементы могут быть представлены как простой, неупорядоченный набор Концепция системотехники состоит в представлении реальных (существующих) или воображаемых (создаваемых) сложных систем посредством упрощенных описаний, т.е. моделей, отражающих определенные, наиболее важные грани сущности сложной системы, и исследовании таких моделей. Формирование моделей осуществляется на основании тех данных, которые можно получить о сложной системе экспериментальными и интеллектуальными средствами. Теория имеет дело с идеализацией реальности, модель – с самой реальностью.

Кое-что из Д.Медоуз ru.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BE%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0 ru.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BE%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0 Закон лимитирующего фактора: Без дрожжей тесто не подымется, сколько бы муки вы не сыпали Ловушка стремления к худшему: Если позволять текущему состоянию системы влиять на точки отсчета (стандарты, желаемое состояние системы), особенно если ощущается постоянное ухудшение, то усиливающийся цикл обратной связи будет работать на дальнейшее уменьшение ожиданий и ухудшение состояния системы. Если общественные ресурсы защищены только традициями или всё строится на доверии, то в любой момент ситуацию могут испортить те, кто не уважает традиции или не имеет совести. Ловушка успех к успеху: ситуация, когда победитель получает не только награду, но и возможность стать ещё более конкурентноспособным. Усиливающийся цикл обратной связи моментально разделяет систему на победителей и побежденных, которые всегда будут в проигрыше. В одной и той же экологической нише не могут ужиться два разных вида, живущих за счет одинаковых ресурсов. Ловушка манипулирование правилами: Искажение духа правил следуя букве, пренебрежение тем, ради чего эти правила создавались. Правила надо создавать с учетом всей системы, включая те ее самоорганизующиеся части, которые могут уклоняться от исполнения правил. Ловушка стремление к неверной цели. Система, словно золотая рыбка, может приводить не к тому, что вы на самом деле хотели, а к тому, что вы сказали. Слишком маленькое запаздывание приводит к избыточной, слишком резкой реакции - эдакой погоне за собственным хвостом. Из-за такого резкого отклика колебания только усиливаются. Информация: Собственное наблюдение дает гораздо более достоверную информацию, чем выслушивание мнений других о том, что, как им кажется, происходит. Практически невозможно удержаться от искушения обвинить кого-то или что-то снаружи. Вместо того, чтобы искать виновных, спросите: "Какова эта система?"

1. ЗаконыЗаконы 2. Стандарты безопасности - тексты и ссылки на Стандарты безопасности - текстыссылки на 3 Стандарты открытых систем 4. Примеры документов4. Примеры документов Профили защиты и задания по безопасности Профили защиты и задания по безопасности Примеры лицензий на ПО Примеры лицензий на ПО Примеры: Задания по безопасности от MSЗадания по безопасности от MS 5 Книги разные 6. Статьи разныеСтатьи разные 7. Полезные сайты разные 8. лекции ИНТУИТ по безопасностилекции ИНТУИТ по безопасности 9. Материалы к занятиямМатериалы к занятиям 10. Подумать оПодумать о картинки с выставки Законы и подзаконные акты Полезные ссылки: Российская газета - найдет, но за изменениями не следит Консультант Гарант (доступны On-line - не всегда)Российская газета Стандарты на

Блоки Типовые организационные недостатки Законодательство Виды тайны/не-тайны Коммерческая и др. Закон о тех. регулировании Стандарты безопасности Сертификация и лицензирование Проприетарные и Open Source лицензии Модели разработки прогр обеспечения Метрики. Отладка и тестирование, поиск ошибок. Холстед. Закон о связи СОРМ Оперативно-розыскная деятельность. Чоп детективы. Коммерческая разведка. Подготовка и проведение совещаний Рекламная и публикаторская деятельность Менеджмент инцидентов Документы ФСТЭК. Персональные данные. Поддержка Принятия управленческих решений Риск. Документы и политики безопасности Угроза/Атака/Актив Пароли Антивирусы Аудит НовоеПО РегламентРаботы С Цифр Носителями КИ Интернет/Облако ФизичБезопПомещОборуд SecurityPolicy.ru PCI DSS ГОСТы

Как выжить оказывая техническую поддержку своей семье? 1. Вам за это не платят. 2. Вы не можете перенаправить их со своими вопросами к кому-то другому. 3. Ваша помощь автоматически сопровождается пожизненной гарантией на все предоставляемые услуги КАК ПОСТУПАТЬ? Остерегайтесь синдрома умника 2. Устройте небольшое совещание 3. Планируйте время 4. Научитесь говорить нет 5. Попросите вознаграждение за работу 6. Делайте только то, что умеете 7. Общайтесь по-деловому Типовые организационные уязвимости при работе со средствами вычислительной техники 1.Деятельность без лицензии 2.Использование несертифицированных средств обработки информации и защиты 3.Использование несертифицированных криптосредств 4.Нелегальное подключение к Интернету 5.Несоблюдение требований по защите персональных данных 6.Нарушение прав интеллектуальной собственности, авторских прав, использование нелицензионного ПО 7.Нарушение тайны переписки, телефонных переговоров, отсутствие режима коммерческой тайны

КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ - 12 декабря 1993 года Постановление Правительства РФ от N 1009 (ред. от ) "Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации" Стратегия развития информационного общества в Российской Федерации - утв. 7 февраля 2008 г. N Пр-212 Стратегия национальной безопасности Российской Федерации до 2020 года -указ от 12 мая 2009 года 537 Военная доктрина Российской Федераци - указ от 5 февраля Федеральный закон от N "О безопасности" Закон РФ от N (ред. от ) "О государственной тайне Указ Президента РФ от N1203 (ред. от ) "Об утверждении Перечня сведений, отнесенных к государственной тайне Федеральный закон от N 98-ФЗ (ред. от ) "О коммерческой тайне Постановление Правительства РСФСР от N 35 (ред. от ) "О перечне сведений, которые не могут составлять коммерческую тайну Федеральный закон от N 149-ФЗ (ред. от ) "Об информации, информационных технологиях и защите информации Федеральный закон от N 152-ФЗ (ред. от ) "О персональных данных Федеральный закон от N 161-ФЗ(ред. от ) "О национальной платежной системе Федеральный закон от N 63-ФЗ (ред. от ) "Об электронной подписи Федеральный закон от N 210-ФЗ (ред. от ) "Об организации предоставления государственных и муниципальных услуг Федеральный закон от N 184-ФЗ (ред. от ) "О техническом регулировании Федеральный закон от N 126-ФЗ (ред. от ) "О связи Федеральный закон от N 38-ФЗ (ред. от ) "О рекламе Федеральный закон от N 40-ФЗ (ред. от ) "О Федеральной службе безопасности Федеральный закон от N 144-ФЗ (ред. от ) Об оперативно-розыскной деятельности "Гражданский кодекс Российской Федерации" Закон РФ от N (ред. от ) "О средствах массовой информации Закон РФ от N (ред. от ) "О частной детективной и охранной деятельности в Российской Федерации Федеральный закон Российской Федерации от «О защите прав потребителей». "Уголовный кодекс Российской Федерации" от N 63-ФЗ (ред. от ). "Уголовно-процессуальный кодекс Российской Федерации" от N 174-ФЗ (ред. от ). "Трудовой кодекс Российской Федерации" от N 197-ФЗ (ред. от ) (с изм. и доп., вступающими в силу с )

Совет Безопасности РФ Правительство России Ростехнадзор Министерство обороны России (Гостехкомиссия)ФСТЭК Министерство связи и массовых коммуникаций Роскомнадзор Государственная комиссия по радиочастотам (ГКРЧ) Уполномоченный орган по защите прав субъектов ПДн Роспечать Россвязь Министерство энергетики Росстандарт Министерство здравоохранения РФ Роспотребнадзор Министерство образования и науки РФ Роспатент Министерство внутренних дел РФ Управление «К» Вневедомственная охрана Генеральная прокуратура РФ Федеральная служба безопасности Служба внешней разведки Федеральная служба охраны РФ Центральный банк Российской Федерации Управление Президента РФ по применению информационных технологий и развитию электронной демократии Росфинмониторинг хочет регулировать электронные деньги

Приказ ФСТЭК России от N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн - Отменяет Приказ ФСТЭК от ИНФОРМАЦИОННОЕ СООБЩЕНИЕ от 4 мая 2012 г. N 240/24/1701 О РАБОТАХ В ОБЛАСТИ ОЦЕНКИ СООТВЕТСТВИЯ ПРОДУКЦИИ (РАБОТ, УСЛУГ), ИСПОЛЬЗУЕМОЙ В ЦЕЛЯХ ЗАЩИТЫ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ ИЛИ ОТНОСИМЫХ К ОХРАНЯЕМОЙ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНОЙ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА постановление Правительства-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» Постановление Правительства РФ от N1119 "Об утверждении требований к защите персональных данных при их обработке в ИСПДн Новые требования по защите ПДн в ПП уровень Организован режим обеспечения безопасности помещений, в которых размещена ИСПДн, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц Обеспечивается сохранность носителей ПДн Руководителем оператора утвержден документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей 3 уровень 4-й уровень защищенности + Назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных Доступ к содержанию электронного журнала сообщений возможен только должностному лицу (работнику) оператора или уполномоченного лица 2 уровень 3-й уровень защищенности + Применение средств защиты информации, успешно прошедших процедуру оценки соответствия в соответствии с законодательством Российской Федерации 1 уровень 2-й уровень защищенности + Факт изменения полномочий субъектов доступа к объектам доступа регистрировался автоматизированными средствами информационной системы персональных данных в электронном журнале безопасности Назначить структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных

Приказ ФСТЭК России от N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России N 28608) Приказ ФСТЭК России от N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (четверокнижие) (отменен?)Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г.) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ ) "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ ) (отменен)Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (15 февраля 2008 г.) "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (утв. ФСБ РФ N 149/54-144) (ТРЕХГЛАВЫЙ) Приказ ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от "Об утверждении Порядка проведения классификации информационных систем персональных данных Приказ ФСТЭК России от N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Приказ ФСТЭК РФ от N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных Информационное письмо ФСТЭК РФ от N 240 "Об утверждении требований к системам обнаружения вторжений

перечень с сайта ФСТЭК zashchita-informatsii/normativnye-i-metodicheskie-dokumenty/spetsialnye-normativnye-dokumenty/381-rukovodyashchij-dokument ГОСТ Р Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России ГОСТ Р Защита информации. Основные термины и определения. Госстандарт России ГОСТ Р Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. ГОСТ Р Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. ГОСТ Р Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования ГОСТ Р Защита информации. Система стандартов. Основные положения ГОСТ Р (ИСО/МЭК ТО ). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ГОСТ Р ИСО Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Часть 2. Архитектура защиты информации ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий Часть 3. Методы менеджмента безопасности информационных технологий Часть 4. Выбор защитных мер Часть 5. Руководство по менеджменту безопасности сети ГОСТ Р ИСО/МЭК Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности.. Требования доверия к безопасности ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Часть 2. Методы доверия Часть 3. Анализ методов доверия ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ а также ///////////////////////////////////////////////// ГОСТ 19, 24, (12, 7) Жизненный цикл ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Информационная технология. Системная инженерия. Процессы жизненного цикла систем Лицензирование ГОСТ Р ГОСТ Р Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства Планирование, требования ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий Разработка ГОСТ Р ИСО/МЭК Кодирование ГОСТ ГОСТ Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования Тестирование ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Информационная технология. Пакеты программ. Требования к качеству и тестирование Угрозы/защита ГОСТ Р ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения вирусы ГОСТ Р ГОСТ Р Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство Инциденты, обработка ГОСТ Р ИСО/МЭК ТО ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности

СТО БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ СТО БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТОБР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС РС БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ДОКУМЕНТАЦИИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ СТО БР ИББС-1.0 РС БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РС БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ РС БР ИББС ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 2.0 October 2010 Больше бумаги… Диамат…

ХР

Выявление уязвимостей в программном коде Сегодняшняя нормативная, методическая и инструментальная база выявления недекларированных возможностей программ не позволяет эффективно обеспечивать безопасность программных ресурсов. Алексей Марков, Валентин Цирлов, Сергей Миронов Сертификационные испытания2 Ограничения Руководящего документа2 Инструментальная база испытаний2 Организационные проблемы сертификации3 СПОСОБЫ ВЫЯВЛЕНИЯ УЯЗВИМОСТЕЙ4 СРЕДСТВА ДЛЯ ПРОВЕДЕНИЯ ИСПЫТАНИЙ4 ВОЗМОЖНОСТЬ ПЕРЕХОДА К ГОСТ Краткие выводы5 Примеры выявленных программных закладок6

1. Найти ошибки в программах. Каждая программа транслируется и отправляется на решение. //Программа 1********************************************* // Программа для суммирования чисел от 1 до 100 // с использованием метода «грубой силы» #include int main() { int sum; // Накапливаемая сумма int count; //Текущее число for (count = 1; count

Этапы испытаний на отсутствие уязвимостей кода таковы: 1.Формирование политики безопасности программ, которая может соотноситься с техническими условиями на объект информатизации; 2.Сигнатурно-эвристический анализ исходного и выполнимого кода по потенциально опасным операциям и некорректностям кодирования; 3.Анализ подсистем безопасности (трассировка подсистемы парольной защиты) и др.; 4.Функциональное, стрессовое, нагрузочное тестирование и тестирование производительности; 5.Структурный анализ избыточности дистрибутива и контроль над целостностью; 6.Анализ наличия скрытых каналов; 7.Формирование ограничений на использование продукта в соответствии с политикой безопасности; 8.Формирование условий обновления и модификации политики безопасности.

#include int main() { //массив для квадратов int array[5] ; int i; // Индекс для массива for (i = 1; i

ИНТЕРНЕТ *.ru не балует оформлением данных источника Любые сайты помещают для популярности __CheatSheet BSE GSM BSI Standard CERT_0CTAVE_SQUARE CIS security benchmark CISCO SAFE CLUSIF MEHARI CObiT COMMONcriteria15408 Comp Service IncorporLAW CORAS Risk UML CORAS_SrcFrg CRAMM risk_Siemens DVWA, DVL exploit-exercises.com FAIR FIRST_Common Vunerability ScoringSystem GAMMA SSL Honey Net org Know Your Enemy IBM JEEE SECURITY & PRIVACY ISACA_COBIT Isecom OSSTM M_rav ISSAF_OISSG matousec MAVEN.Microsoft MITRE_CWEnum MSDN NIST_ITIL 800 CVSS NMAP NVD OSA OWASP_10_49 RIPE_Reseaux IP Europeen Netw Coord Center SANS SEI CMMI syngress.com.Sysintemals troposproject.org Unisys WASC-TC

Домен Пользователя Домен автоматизированного рабочего места LAN Домен LAN-to-WAN Домен WAN Домен Домен Удаленного доступа Домен системы/приложения Managing Risk in Information Systems DARRIL GIBSON

OSSTMM 3 The Open Source Security Testing Methodology Manual Developed by ISECOM OSSTMM Описание каналов PHYSSEC - Физическая безопасность Human Включает коммуникации человека, где взаимодействие может быть физическим или психологическим. Physical -- тестирование физической безопасности, где канал по природе является и физическим и неэлектронным. Включает материальные элементы безопасности, где взаимодействие требует управления от физического усилия или передатчика энергии. SPECSEC - Спектральная безопасность Wireless Communications -- Включает все электронные средства связи, сигналы, и излучения, которые имеют место в известном спектре частот. Это включает ELSEC как электронные средства связи, SIGSEC как сигналы, и EMSEC (ПЭМиН), которые являются испусканиями, не ограниченными кабелями. COMSEC - Безопасность средств связи Data Networks -- Включает все электронные системы и сети передачи данных, где взаимодействие имеет место по установленному кабелю и телеграфным линиям сети. Telecommunications -- Включает все телекоммуникационные сети, цифровые или аналоговые, где взаимодействие имеет место по установленным телефонным или подобным телефону линиям сети.

1.POSTURE REVIEW 2. LOGISTICS 3. ACTIVE DETECTION VERIFICATION 4. VISIBILITY AUDIT 5. CONTROLS VERIFICATION 6. TRUST VERIFICATION 7. ACCESS VERIFICATION 8. PROCESS VERIFICATION 9. CONFIGURATION/ TRAINING VERIFICATION 10. PROPERTY VALIDATION 11. SEGREGATION REVIEW 12. EXPOSURE VERIFICATION 13. COMPETITIVE INTELLIGENCE SCOUTING 14. QUARANTINE VERIFICATION 15. PRIVILEGES AUDIT 16. SURVIVABILITY VALIDATION/SERVICE CONTINUITY 17. ALERT AND LOG REVIEW/END SURVEY

Восемь шагов CORAS Анализ степени риска методом моделирования Подход CORAS

пример Диаграммы активов

пример Диаграммы угроз

пример Диаграммы риска

пример Диаграммы обработки

Группа разработки решений Майкрософт по безопасности и соответствию регулятивным нормам Руководство по управлению рисками безопасности 98eb-4d b97/TheSecurityRiskManagementGuide.doc

Рис Задачи приоритизации рисков

Security Risk Management Guide Tools and Templates. средства и шаблоны. Шаблон Data Gathering Template (SRMGTool1-Data Gathering Tool.doc). Данный шаблон можно использовать на этапе оценки рисков при обсуждениях, описанных в главе 4 «Оценка рисков». Рабочий лист Summary Level Risk Analysis (SRMGTool2-Summary Risk Level.xls). Данный файл представляет собой книгу Microsoft® Excel®, которая поможет организациям выполнить начальный этап анализа рисков анализ общего уровня.

Рис Обзор этапа поддержки принятия решений

ЛУКАЦКИЙ "Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса - зал общий, а система игры у каждого своя Взглянем с точки зрения заказчика Методики оценки рисков представляются интеграторами и консультантами...которые заинтересованы в продаже своих продуктов и услуг Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? Заветы предков - Best Practices Интуиции и опыт хороши, но... А какой риск приемлем?..

материальные потери могут включать: Потерянная производительность обслуживания пользователей Потерянная производительность ИТ-штата Потерянный доход Сверхурочные платежи Потраченные впустую товары и материалы Наложенные штрафы или платежи штрафа. Нематериальные потери могут включить: Потеря клиентов Потеря потребительской доброжелательности (потребительская неудовлетворенность) Потеря деловой возможности (чтобы продать, получите новых клиентов и доход, и т.д.), Потеря деловой репутации Потеря уверенности в поставщике ИТ услуг Снижение морального духа коллектива.

Assessing Information Security Strategies, tactics, logic and framework A VLADIMIROV K GAVRILENKO A MICHAJLOWSKI Компании или организации, которые заказывают профессиональный аудит безопасности, обычно делают это потому что: 1 этого требуют комплаенс и регуляторы. 2 произошел инцидент безопасности. 3 среди руководителей есть кто-то с пониманием необходимости высокой степени безопасности, кто проталкивает его через законодательную власть. 4 Компания или организация - привлекательная цель для киберпреступников или недовольных, и знает это. 5 в компании так или иначе есть команда аудита внутренней безопасности. Они должны напряженно трудиться, чтобы оправдать их зарплаты. Мышления невежества 1 'это с нами никогда не произойдет 2 светящийся ящик с сигнальными огоньками. 3 'мы рады принять этот риск НЕ ПРИВЫКЛИ УЧИТЫВАТЬ Потери производительного труда Потерянный производительность штата ИТ Потерянный доход платежи за сверхурочные Потраченные впустую товары и материалы Наложенные штрафы Косвенные потери: Утрата клиентов Потеря потребительской доброжелательности (потребительская неудовлетворенность) Потери бизнес-возможностей (продажи, новые клиенты etc.) Утеря деловой репутации Потеря доверия у поставщика ИТ услуг Потеря веры в себя

Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Классическая формула оценки рисков: R = D * P(V) где R – информационный риск; D – критичность актива (ущерб); P(V) – вероятность реализации уязвимости. Результаты оценки рисков, как правило, представляются в «Отчете об оценке информационных рисков компании». Обработка информационных рисков Обработка информационных рисков – это этап, в процессе которого определяется, какие действия по отношению к рискам требуется выполнить в компании. Основные способы обработки рисков: Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб. Уклонение от рисков – это полное устранение источника риска. Передача рисков – перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска. Снижение рисков – это выбор и внедрение мер по снижению вероятности нанесения ущерба.

Pen-Test 1 Обзор цели 2 Сбор информации 3 Исследование цели 4 Перечисление целей 5 Отображение уязвимостей 6 Социальная инженерия 7 Эксплуатация цели - основанное на типах доступных эксплойтов проникновение в целевую систему. 8 Эскалация привилегий 9 Поддержание доступа - нападающий может поддержать свое присутствие в системе без шумного поведения. 10 Документирование и отчет Документирование, отчет и представление обнаруженных уязвимых мест, верификация и эксплойты заключают методологию тестирования на проникновение. Этика Предложение услуг тестирования после проникновения в целевую систему и до заключения любого формального соглашения между клиентом и аудитором должно быть строжайше запрещено. Это действие неэтичного маркетинга может привести к разрушению бизнеса и может иметь юридические последствия в зависимости от законов страны Выполнение тестов за областью испытания и с пересечением идентификационных границ без явных разрешений клиента запрещено. Соблюдение юридического контракта, который должен ограничивать ответственность за работы, пока не обнаружена любая незаконная деятельность. Контракт должен ясно указывать сроки и условия испытания, контактную информацию для непредвиденных ситуаций, условия работы, и любые очевидные конфликты интересов. Область определения должна ясно определять все договорные сущности и пределы накладываемые на них в течение оценки безопасности. План Тестирования определяет время, требующееся для оценки безопасности Целевой системы.. Процесс Тестирования определяет набор шагов, которым необходимо следовать в течение теста. Эти правила объединяют технические и административные стороны, что ограничивает процесс тестирования в отношении среды и людей. Результаты Теста и отчеты должны быть представлены в ясной и последовательной форме. Отчет должен выделить весь известные и неизвестные уязвимые места, и должен поставляться конфиденциально только ограниченному кругу лиц.