Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба".

Презентация:



Advertisements
Похожие презентации
Оценка рисков в иерархических структурах больших критически важных объектов А.А. Кононов, к.т.н., с.н.с. ИСА РАН.
Advertisements

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.
1 Государственная политика в области технического регулирования Мигин С.В., Национальный институт системных исследований проблем предпринимательства II.
БЕЗОПАСНОСТЬ ИКТ И ЦИФРОВОЕ ДОВЕРИЕ Горбач Александр Николаевич Оперативно-аналитический центр Оперативно-аналитический центр при Президенте Республики.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ УКРЕПЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОЮЗНОГО ГОСУДАРСТВА. Горбач Александр Николаевич Оперативно-аналитический.
ЦЕЛИ ПРЕЗЕНТАЦИИ Сравнительный анализ программных продуктов по аудиту Сравнительный анализ программных продуктов по аудиту Определение целей разработки.
Институт системного анализа Российской академии наук Математическое и программное обеспечение оценки рисков использования информационно-вычислительных.
Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.
Концепция создания нормативно-правовой базы, методических основ и систем информационного обеспечения органов исполнительной власти.
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
А. А. Кононов к. т. н., в. н. с. Федеральный исследовательский центр Информатика и управление РАН П. И. Кулаков инженер.
А. А. Кононов к. т. н., в. н. с. Федеральный исследовательский центр Информатика и управление РАН П. И. Кулаков инженер.
Подходы к организации СУБП на предприятиях, входящих в ОАО «ОАК» А.Г. Колосов, директор Департамента управления качеством и стандартизации ОАО «ОАК» 15.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Решение есть: инструментальный программный комплекс РискДетектор ВСЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИМЕЮТ ЭТУ УЯЗВИМОСТЬ.
1 Педагогический Совет МОУ24 Инновационная деятельность МОУ 24 в ходе реализации Программы развития МОУ на годы в рамках модернизации образования.
1 Стандарты качества управления рисками для финансовых институтов Марина Шамонина Руководитель группы Управления рисками IY научно-практическая конференция.
Транксрипт:

Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба". Кононов Александр Анатольевич, к.т.н.

Критические инфраструктуры (КИ) Инфраструктуры национального масштаба обеспечивающие жизнеспособность общества и государства Энергетические Транспортные Информационно-телекоммуникационные Банковские и финансовые

Общество тотального риска или общество управляемой безопасности?

Существующие способы и недостатки управления безопасностью КИ Способы управления: Нормативное регулирование Ведомственный контроль и контроль надзорных органов Аттестация Сертификация Лицензирование Паспорта безопасности Планы повышения защищенности Чего не хватает: Доверия к безопасности Гарантий безопасности Уверенности в полноте контроля проблем безопасности и в ответственности и способностях руководителей и исполнителей.

Магистральные пути решения проблем безопасности КИ Развитие систем контроля рисков и безопасности Развитие механизмов ответственности Развитие систем гарантий безопасности

Структура системы «РискМенеджер»

Основные задачи, которые предполагается решать с помощью предлагаемых средств: 1) Оценка рисков КИ, идентификация критически важных объектов (КВО) КИ 2) Категорирование КВО 3) Формирование систем требований безопасности (профилей защиты) для каждой категории объектов критической инфраструктуры 4) Оценка уязвимостей объектов инфраструктуры на основе контроля выполнения требований их безопасности и оценки рисков доверия 5) Мониторинг, аудит и инспекционный контроль безопасности объектов КВО КИ 6) Самооценка и самоаудит КВО 7

Идентификация критически важных и опасных, с точки зрения возможной реализации террористических угроз, объектов транспортной инфраструктуры, производится следующим образом: 1.1) Информация об объекте вносится в структурированную по административно- территориальному и функциональному признакам БД объектов транспортной инфраструктуры; 1.2) Строится модель угроз и модели возможных событий рисков. Рассчитывается возможный ущерб по событиям риска, рискообразующие потенциалы и потенциалы опасности по угрозам и объектам; 1.3) По величине оценки потенциалов опасности делается вывод об отнесении объекта к числу критически важных и опасных. 8

Информация об объекте вносится в структурированную по административно-территориальному и функциональному признакам БД объектов критической инфраструктуры 9

Построение моделей угроз и защиты

Потенциалы опасности и рискообразующие потенциалы Потенциал опасности объекта или структуры – это тот максимальный ущерб, который может быть нанесен, если будет нарушена безопасность объекта или структуры. При оценке потенциала опасности вероятность нанесения ущерба не учитывается – считается 100-процентной. Рискообразующий потенциал объекта или структуры – это величина максимального ущерба от возможного нарушения его безопасности, рассчитываемая на основе моделей событий рисков нарушения безопасности, с учетом вероятностей реализации этих событий. Потенциалы опасности и рискообразующие потенциалы определяются также для угроз и уязвимостей.

Построение моделей событий рисков и обоснование значимости угроз. Расчет потенциалов опасности и рискообразующих потенциалов

Идентификация опасных объектов, как структур с наибольшими потенциалами опасности

Проблемы больших систем (инфраструктур): Высокая стоимость построения моделей угроз, моделей защиты; Невозможность контроля. Путь решения проблемы – категорирование

Алгоритм построения категориальной системы

Категорирование объектов транспортной инфраструктуры по степени опасности при реализации террористических угроз проводится на основе заданной шкалы с использованием типовых образцов объектов каждой категории 16

На объекты рассылаются формы для заполнения их исходными данными (по категориальным признакам) и расчета на их основе возможного ущерба по типовой утвержденной методике 17

На основе расчетов определяется категория каждого объекта 18

По каждой категории (подкатегории) объектов формируется система требований безопасности 19

Оценка уязвимостей объектов транспортной инфраструктуры на основе контроля выполнения требований их безопасности 20

Оценка рисков доверия. Полная картина состояния безопасности

Обоснование планов обеспечения повышения защищенности объектов критической инфраструктуры 22

Ведение и хранение Паспортов безопасности объектов в БД 23

Мониторинг, аудит и инспекционный контроль безопасности объектов КИ (на примере транспортной инфраструктуры) 24

Самоаудит (самооценка) безопасности – путь решения проблем контроля безопасности КВО в условиях наличия объектов (предприятий) разных форм собственности Проводится по системе требований для соответствующей категории объектов с помощью ПК «РискМенеджер- Контроль» Самоаудит безопасности – способ повышения безопасности и культуры безопасности на объектах Самоаудит безопасности – механизм повышения ответственности Самоаудит безопасности – конкурентное преимущество в рыночной экономике Самоаудит безопасности – инновационный механизм внедрения новейших технологий безопасности

Обеспечение безопасности национальной банковской инфраструктуры – решения Банка России (нормативные документы) Стандарт Банка России СТО БР ИББС Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. Принят и введен в действие Распоряжением Банка России 26 января 2006 года Р М. Банк России г. Стандарт Банка России СТО БР ИББС Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности. Принят и введен в действие Распоряжением Банка России от 28 апреля 2007 года Р М. Банк России г. Стандарт Банка России СТО БР ИББС Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0. Принят и введен в действие Распоряжением Банка России от 28 апреля 2007 года Р М. Банк России г. Рекомендации в области стандартизации Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0 Приняты и введены в действие Распоряжением Банка России от Р М. Банк России г. Рекомендации в области стандартизации Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0. Приняты и введены в действие Распоряжением Банка России от Р М. Банк России г.

Спасибо за внимание! Контактные данные: Институт системного анализа РАН (тел. + факс)