Similar presentations:
Информационная безопасность. Комплексная модель безопасности. (Лекция 13)
1. Информационная безопасность
Лекция 13 Комплексная модель безопасностиВ. М. Куприянов, Национальный центр ИНИС МАГАТЭ, НИЯУ МИФИ
2. Литература
Основная литература для изучения дисциплины:– Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы
информационной безопасности.- М.: Горячая линия – Телеком,
2006.
– Петраков А.В. Основы практической защиты информации.- М.:
Радио и связь, 2001.
– Шумский А.А., Шелупанов А.А. Системный анализ в защите
информации.- М.: Гелиос АРВ, 2005.
– Герасименко В.А., Малюк А.А. Основы защиты информации.- М.:
Инкомбук, 1997.
– Герасименко В.А. Защита информации в автоматизированных
системах обработки данных. В 2-х кн.- М.: Энергоатомиздат,
1994.
– Семкин С.Н., Семкин А.Н. Основы информационной
безопасности объектов обработки информации.- Орел: ОВИПС,
2000.
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
3. 14.04.2013 15:05
В качестве превентивной меры против возможных кибератак единственный вРеспублике Корея оператор АЭС, Korea Hydro & Nuclear Power, отключил от
Интернета свои внутренние компьютерные сети.
В Южной Корее сейчас действуют 23 атомных реактора, обеспечивающие до 35 %
потребностей страны в электроэнергии.
Госкомпания также ограничила доступ в Интернет для своих систем управления
атомными электростанциями, полностью отделив их от внутренних компьютерных
сетей. С этой же целью в системах управления АЭС были опечатаны все USBпорты. Такие действия здесь считают наиболее надежным способом защиты
станций
от
атак
хакеров
извне.
На днях официальный Сеул также заявил, что за недавними кибератаками, в
результате которых пострадали серверы трех крупных банков и трех ведущих
телеканалов страны, включая государственный KBS, стоит КНДР. Пхеньян
отрицает свою причастность к атакам хакеров, которые вывели из строя 48 тысяч
компьютеров.
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
4. Комплексная безопасность – культура безопасности
Экологическаябезопасность
Физическая
безопасность
Ядерная
безопасность
Экономическая
безопасность
Информационная
безопасность
ИАТЭ
Лекция 14 Информационная безопасность
Культура
безопасности
АЭС
ИРОиНТД
5. Физическая безопасность ядерных технологий
Физическая защита ядерных установок, радиационных источников, пунктовхранения, ядерных материалов и радиоактивных веществ должна
основываться на единой системе планирования, координации, контроля и
реализации комплекса технических и организационных мер, направленных на:
· предотвращение несанкционированного проникновения на территорию
ядерных установок, радиационных источников и пунктов хранения,
предотвращение несанкционированного доступа к ядерным материалам и
радиоактивным веществам, предотвращение их хищения или порчи;
· своевременное обнаружение и пресечение любых посягательств на
целостность и сохранность ядерных материалов и радиоактивных веществ,
своевременное обнаружение и пресечение диверсионных и террористических
актов, угрожающих безопасности ядерных установок, радиационных
источников и пунктов хранения;
· обнаружение и возвращение пропавших или похищенных ядерных
материалов и радиоактивных веществ.*
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
6.
Иерархия Норм безопасностиВ рамках своего мандата МАГАТЭ разработало логическую
систему целей и принципов безопасности ядерных реакторов.
Основы Безопасности
Излагают общие принципы защиты людей и охраны
окружающей среды
Основы безопасности
Требования Безопасности
Устанавливают требования: что должно быть
сделано для того, чтобы эти принципы применялись
для достижения целей
Требования
Руководства по безопасности
Руководства по безопасности
Представляют рекомендуемые методы, которые
следует применять в обеспечение соблюдения этих
требований
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
7. Примеры документов серии Норм безопасности
Основополагающие принципы
безопасности
SF-1
Оценка безопасности объектов
и деятельности. Требования
GS-R-Part4
Безопасность атомных
электростанций:
Проектирование
NS-R-1
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
8. Требования безопасности
Общие ТребованияБезопасности
Часть 1 Правительственная и
регулирующая инфраструктура
Часть 2 Руководящая роль и
Управление в целях безопасности
Часть 3 Радиационная защита и
Безопасность Источников Излучения
Часть 4 Оценка безопасности
Часть 5 Обращение с радиоактивными
отходами перед утилизацией
Часть 6 Вывод из эксплуатации и
прекращение деятельности
Часть 7 Противоаварийная
готовность и реагирование
ИАТЭ
Специфические Требования
Безопасности
1. Оценка площадки для
ядерных установок
2. Безопасность атомных
электростанций
2.1 Проектирование и сооружение
2.2 Ввод в эксплуатацию и лицензирование
3. Безопасность исследовательских
реакторов
4. Безопасность предприятий ЯТЦ
5. Безопасность объектов утилизации
радиоактивных отходов
6. Безопасность транспортировки
радиоактивных материалов
ИРОиНТД
9. Нормы безопасности МАГАТЭ
Нормы безопасности представляют собой международный консенсус относительнообразцовой практики, направленной на достижение высокого уровня
безопасности
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
10. Услуги МАГАТЭ по рассмотрению безопасности
В основу Руководящих принципов положена образцоваямеждународная практика и обратная связь от длительного
опыта работы
Поэтапный подход
- Самооценка
- Подготовительное посещение
- Основная миссия
- Последующее (контрольное) посещение
• Модульный подход, призванный удовлетворить потребности
Государств-членов
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
11. Стандартный объем рассмотрения ОСАРТ: 9 областей
Управление, организация и администрирование (MOA)Обучение и аттестация (TQ)
Эксплуатация (OP)
Техническое обслуживание (MA)
Техническая поддержка (TS)
Учет опыта эксплуатации (OE)
Радиационная защита (RP)
Химия (CH)
Противоаварийное планирование и готовность (EPP)
(+ Ввод в эксплуатацию [COM] для предэксплуатационного ОСАРТ)
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
12. Миссии ОСАРТ на российских АЭС
Общая оценка результатов миссий ОСАРТ на Волгодонской и Балаковской АЭСпозволила отметить следующие моменты:
Очевидные значительные усилия, затраченные станциями на подготовку к ОСАРТ;
Относительно небольшое число областей для улучшения;
Большей частью области для улучшения были сформулированы как
«предложения», при весьма небольшом числе «рекомендаций»;
Относительно большое число примеров образцовой практики;
В ходе контрольных посещений ОСАРТ группа отмечала, что:
Значительная часть проблем была полностью решена, а в решении оставшихся
наметился адекватный прогресс, при этом не было проблем, прогресс в решении
которых был бы недостаточным;
Станции отреагировали своими корректирующими мерами не только на
рекомендации и предложения, но также и на «побуждения» (т.е. наиболее мягкие
рекомендательные формулировки);
Корректирующие меры были осуществлены не только на принявшей ОСАРТ
станции, но и во всем ядерном парке Росэнергоатома.
ИАТЭ
ИРОиНТД
13. Безопасность ядерных установок. Концептуальные рассмотрения безопасности реакторов (GRSR)
МАГАТЭ оказывает помощь Государствам-членам в оценке своих новыхпроектов реакторов путем осуществления рассмотрений проектной
документации по безопасности реактора, с особым вниманием к законченности и
полноте подобного комплекта документации по безопасности, используя
избранные применимые Нормы безопасности МАГАТЭ категории Основы и
. Требования.
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
14.
Концептуальное рассмотрение безопасности реакторовОсновы безопасности и Требования безопасности
Нормы безопасности, используемые в концептуальной
оценке МАГАТЭ безопасности новых проектов реакторов:
Основополагающие принципы
безопасности, SF-1
Требования к оценке безопасности GS-R-4
Требования безопасности проекта NS-R-1
Руководства по безопасности проекта
Руководства по оценке безопасности
ИАТЭ
Лекция 14 Информационная безопасность
Нормы
безопасности, на
соответствие
которым
проводится
рассмотрение
Вспомогательные
руководящие
документы
ИРОиНТД
15.
Требования безопасности МАГАТЭ и Концептуальноерассмотрение безопасности реакторов
Лицензирование
Будущее состояние
Лицензирование
Нормы безопасности
МАГАТЭ категории
Требования
Гармонизированные
оценки безопасности
Глобальный режим
ядерной безопасности
Будущий вклад МПОП
Лицензирование
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
Лицензирование
16.
Концептуальное рассмотрение безопасности реакторов(GRSR) Деятельность в 2006-2009 гг.
2006-2007 гг. – Разработка концепции и планирование
2007-2009 гг. Проведение рассмотрений GRSR :
UK HSE
Проверка документации по безопасности четырех новых реакторов,
представленной на рассмотрение регулирующего органа Великобритании HSE
/ NII, на соответствие документу DS348:
ACR1000, AP1000, ESBWR, EPR
(начата в сентябре 2007 г. – завершена в марте 2008 г.)
ATMEA1
Проверка Пакета безопасности Концептуального проекта нового реактора
ATMEA1 (консорциума AREVA-MHI ) и его инновационных особенностей на
соответствие документам DS348 и NS-R-1
(начата 10 декабря 2007 г. – завершена в июне 2008 г.)
AP1000
Проверка Отчета по безопасности и воздействию на окружающую среду
проекта AP1000 и его инновационных особенностей на соответствие
документам DS348 and NS-R-1
(начата 13 февраля 2008 г. – завершена в январе 2009 г.)
APR1400
Проверка Отчета по безопасности и воздействию на окружающую среду
проекта APR1400 компании KHNP на соответствие документам GS-R-Part 4 и
NS-R-1
(начата 15 октября 2008 г. – завершена в августе 2009 г.)
Проекты в стадии планирования :
APR1000
Запрошена проверка корейского APR1000, ведутся начальные обсуждения с
компанией KEPCO.
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
17. МАГАТЭ и БЕЗОПАСНОСТЬ
МАГАТЭ желает и готово оказать поддержку улучшениям безопасностипосредством введения и применения Норм безопасности, Услуг по рассмотрению
и консультациям в области безопасности и Международных инструментов.
МАГАТЭ с успехом проводит оценку безопасности новых проектов реакторов,
используя текущие Нормы безопасности.
Имеющиеся в настоящее время Нормы безопасности представляют собой
первооснову для гармонизации.
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
18. Опыт работы координаторов по культуре ядерной безопасности (культуре УКиФЗ ЯМ) на российских ядерных объектах
ЗадачиПроанализировать деятельность координаторов по культуре ядерной
безопасности (КЯБ) (культуре УКиФЗ ЯМ) на различных ядерных
объектах.
Познакомить с положительными моментами работы координаторов
по культуре, обратить внимание на ошибки и трудности, которые
встречаются в начале пути.
Продемонстрировать на реальном опыте пути развития и
совершенствования работы, направленной на повышение уровня
культуры ядерной безопасности (культуры УКиФЗ ЯМ).
ИАТЭ
ИРОиНТД
19. Опыт работы координаторов по культуре ядерной безопасности (культуре УКиФЗ ЯМ) на российских ядерных объектах
Статистика РостехнадзораРаспределение причин нарушений на объектах повышенной опасности
(красным цветом выделены причины нарушений, обусловленные человеческим
фактором)
ИАТЭ
ИРОиНТД
20. Опыт работы координаторов по культуре ядерной безопасности (культуре УКиФЗ ЯМ) на российских ядерных объектах
Общие черты работы, направленной наповышение уровня культуры ядерной
безопасности (культуры УКиФЗ ЯМ)
Подбор и подготовка кадров.
Обучение и переобучение персонала.
Воспитание приверженности работать по
правилам.
Использование одинаковых
стандартов и
критериев при работе.
ИАТЭ
ИРОиНТД
21. Опыт работы координаторов по культуре ядерной безопасности (культуре УКиФЗ ЯМ) на российских ядерных объектах
Основные цели работы:Определить исходный уровень культуры
ядерной безопасности (культуры УКиФЗ).
Усилить понимание сотрудниками ядерного
предприятия важности УКиФЗ ЯМ и их
обязанностей.
Формировать у персонала приверженность
работать по правилам.
Снизить
возможность
негативной
роли
человеческого фактора при работе с ЯМ.
ИАТЭ
ИРОиНТД
22. Опыт работы координаторов по культуре ядерной безопасности (культуре УКиФЗ ЯМ) на российских ядерных объектах
Требования к квалификации координатора по культуре ЯБ:Высшее техническое образование и дополнительное обучение
(повышение квалификации) по вопросам УК и ФЗ ЯМ.
Стаж работы в области УК и ФЗ ЯМ более 5 лет.
Стаж работы в руководящей должности не менее 5 лет.
Кроме того, он должен обладать следующими качествами:
качествами руководителя;
навыками коммуникации;
умением разрешать конфликты;
умением обучать людей.
ИАТЭ
ИРОиНТД
23.
Понятия информационной безопасности:что защищать?
Задачи информационной безопасности являются
подмножеством задач защиты бизнеса (экономической
безопасности)
Задачи экономической
безопасности
Задачи
ИБ
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
24.
Система информационной безопасностиЭтапы построения СИБ
Обследование ИС (аудит)
изменение процессов
обработки информации
Определение требований к системе
защиты
Разработка технического задания на
создание системы защиты
Проектирование
системы защиты
Разработка внутренних
нормативных документов
Установка и настройка средств защиты
информации
Обслуживание
системы защиты
ИАТЭ
Оценка соответствия
объекта информатизации
Лекция 14 Информационная безопасность
ИРОиНТД
25.
Понятия информационной безопасности:что защищать?
Защита интересов
бизнеса
В других сферах
В информационной
сфере
Защита ИР
Обеспечение
конфиденциальности
ИР
Обеспечение
целостности ИР
Обеспечение
доступности ИР
ИАТЭ
Исключение
нецелевого
использования
вычислительных
ресурсов
Соответствие
требованиям
закона
Лекция 14 Информационная безопасность
ИРОиНТД
26. Комплексная система
Концепция комплексной системы обеспечения экономическойбезопасности предпринимательства
В основе разработки комплексной системы обеспечения экономической
безопасности предпринимательства должна лежать определенная
концепция. Концепция включает цель комплексной системы обеспечения
безопасности, ее задачи, принципы деятельности, объект и субъект,
стратегию и тактику.
Цель данной системы – минимизация внешних и внутренних угроз
экономическому состоянию субъекта предпринимательства, в том числе
его финансовым, материальным, информационным, кадровым
ресурсам, на основе разработанного и реализуемого комплекса
мероприятий экономико-правового и организационного характера.
Следует иметь в виду, что наибольшее значение в деле обеспечения
экономической безопасности предпринимательства принадлежит
первичным - экономико-правовым и организационным мерам,
обеспечивающим фундамент, основу системы безопасности, в отличие
от вторичных – технических, физических и пр.
В процессе достижения поставленной цели осуществляется решение
конкретных задач, объединяющих все направления обеспечения
безопасности.
ИАТЭ
ИРОиНТД
Лекция 14 Информационная безопасность
27.
Понятия информационной безопасностиЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?
«Информационная безопасность - свойство информации
сохранять конфиденциальность, целостность,
доступность»
ГОСТ Р ИСО/МЭК 27001-2006
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
28.
Построение СИБ: комплексноеобследование ИС
На этапе комплексного обеследования ИС собирают данные о всех
значимых (с точки зрения безопасности информации) особенностях
функционирования ИС для последующего анализа
Какие данные собирают?
Данные о составе и принципах работы ИС
Данные о ролях пользователей, работающих с ИС
Данные о потоках и процессах обработки информации
Источники исходных данных:
Интервьюирование пользователей ИС
Организационно-распорядительные и эксплуатационные документы
Сканирование ИС с использованием специализированного ПО
ИАТЭ
ИРОиНТД
29.
Понятия информационной безопасностиГОСТ Р ИСО/МЭК 15408-1-2002
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
30.
Система информационной безопасностиПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Счетность всех субъектов и объектов
Доверенная конфигурация и настройки
Целостность всех элементов
Подконтрольность всех действий
Документированность всех событий
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
31.
Система информационной безопасностиОсновные задачи СИБ
Защита ИР от НСД и утечек
Контроль подлинности и целостности информации
Обеспечение юридической значимости информации
Аудит и мониторинг безопасности системы
Построение доверенных каналов
Безопасное подключение ИС к открытым сетям
Обнаружение вторжений и антивирусная защита
Управление безопасностью
ИАТЭ
Лекция 14 Информационная безопасность
ИРОиНТД
32.
Система информационной безопасностиКОМПЛЕКСНОСТЬ
Для обеспечения безопасности используется
комплекс мер, который включает в себя:
ИАТЭ
технические меры
правовые меры
организационные меры
физические меры
Лекция 14 Информационная безопасность
ИРОиНТД