Статистика виникнення інцидентів безпеки за галузями
15.27M
Categories: informaticsinformatics educationeducation

Інформаційні технології

1.

Галузь знань – 12
“ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ”
Спеціальність – 125
“КІБЕРБЕЗПЕКА”
УНІВЕРСИТЕТСЬКІ СТУДІЇ: ВСТУП до СПЕЦІАЛЬНОСТІ
http://map.norsecorp.com/#/explore?geo=eu
Доповідач: доктор технічних наук,
професор В.Л. БУРЯЧОК

2.

ТЕМИ ЛЕКЦІЙ:
Тема1: “Загальні поняття про інформацію, інформаційний і
кіберпростори, безпеку, події та інциденти безпеки”
Тема2: “Структура та стислий опис сучасних кібератак. Загальні
поняття про організацію захисту від їх деструктивного впливу”
Тема3: “Тенденції впровадження сучасних цифрових
технологій в системи безпеки критично важливих об’єктів
інфраструктури. Поняття стратегії безпеки КВОІ”
Тема4: “Інтернет речей – як об’єкт критичної інфраструктури.
Тенденції розвитку та перспективи захисту ІоТ-пристроїв у світі”
Тема5: “Україна в умовах сучасних кіберзагроз: концептуальний
підхід до формування систем інформаційної і кібербезпеки та
захисту інформації”

3.

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
Київський університет імені Бориса Грінченка
Тема 1:
“Загальні поняття про інформацію,
інформаційний і кіберпростори, безпеку,
події та інциденти безпеки”
Доповідач: доктор технічних наук,
професор В.Л. БУРЯЧОК
1

4.

Людству (за оцінками) біля 60 тис. років. За цей час змінилося
понад 1800 поколінь, але лише ОДНОМУ з них в цей період
ЦЕ, ЯК НАСЛІДОК:
по-перше, обумовило формування сучасного інформаційного суспільства;
(1200 – провели життя в печерах;
800 – застосовували вогонь;
400 – використовували енергію тварин;
300 – володіли енергією води і повітря;
150 – використовували писемність;
16 – застосовували порох;
8 – вимірювали точний час;
4 – використовували електромотори;
2 – володіли атомною енергією, телебаченням, авіацією, лазерами, антибіотиками),
властивою виявилась так звана ІНФОРМАЦІЙНА ГЛОБАЛІЗАЦІЯ.
Її виникненню у XVIII – XIX ст. сприяли:
1) 4-ри світові індустріальні та 1-на інформаційна революції;
2) винайдення двох простих, але дуже змістовних законів:
1-й закон
сформульовано
одним із
засновників
корпорації Intel
Гордоном
Муром.
Говорячи про те, що “… кількість
транзисторів
у
процесорах
збільшуватиметься вдвічі кожних півтора
роки
…”,
закон
Г.Мура
фактично пояснює формування
на рубежі тисячоліть простору
інформаційного
по-друге, дозволило виокремитись як деяким глобальним субстанціям спочатку
простору інформаційному, а згодом й простору кібернетичному;
2-й закон
належить
винахіднику найпоширенішої технології
комп’ютерної мережі
Internet Роберту
Меткалфу.
Говорячи про те, що “… цінність мережі знаходиться у квадратичній залежності від кількості
вузлів, які є її складовими …” закон Р.Меткалфа
констатує, що основу сучасного інформаційного суспільства
становлять ІТ системи та мережі різного призначення,
домінування яких в життєдіяльності людства обумовило
появу та формування простору кібернетичного
2

5.

по-третє, призвело до синтезу двох інформаційно-комунікаційних
технологій – інформаційної (комп’ютерної ) та телекомунікаційної,
-
1) СТАЛИ невід'ємною частиною їх внутрішньої і зовнішньої політики;
2) ВІДІГРАЮТЬ суттєву роль в їх економічному і соціальному розвитку;
3) СВІДЧАТЬ про їх вступ до якісно нової фази взаємовідносин –
інформаційного та кіберпротиборства, -
й наряду з: ВИБУХОВИМ ЗРОСТАННЯМ ОБСЯГІВ ІНФОРМАЦІЇ,
до яких отримали доступ пересічні громадяни,
Як результат, це призвело до виникнення та
розширення екосистеми даних в кожній організації та
до появи нових, здебільшого неструктурованих
даних, які зберігаються нині в
ЛОКАЛЬНИХ АБО
- але, й разом з цим, питання щодо
МІЖДЕРЖАВНОГО ПАРИТЕТУ ТА ВЗАЄМОВІДНОСИН В
ІНФОРМАЦІЙНОМУ І КІБЕРПРОСТОРАХ,
1 із 3
ХМАРНИХ СХОВИЩАХ
неструктурованих
даних
1 із 2
Файловий
Файловий сервер
сервер 55
Файловий
Файловий сервер
сервер 66
Файловий
Файловий сервер
сервер 33
83%
ІТ-директорів
сприймають бізнесаналітику як
конкурентну
перевагу
60%
голів Ради Директорів потребують
прискореної обробки інформації для
прийняття зважених
рішень
Користувач
Користувач
Файловий
Файловий сервер
сервер 77
Главный
Главный Сервер
Сервер
Комп’ютер адміністратора
Файловий
Файловий сервер
сервер 22
Файловий
Файловий сервер
сервер 11
ЗАЛИШИЛО ВІДКРИТИМИ Й
ТАКИМИ, ЩО ПОТРЕБУЮТЬ
СВОГО РОЗВ’ЯЗКУ.
керівників
Керівниківговорить,
приймає
що не має
доступу
рішення,
ґрунтуючись
на інформації,
якій не
до необхідної
довіряє
або якої
інформації
просто не має
Файловий
Файловий сервер
сервер 44
на відміну від таких
просторів, як наземний,
морський, повітряний та
космічний,
керівників приймає
рішення,
ґрунтуючись на
інформації, якій не
довіряє або якої
просто не має
Маршрутизатор
ку Маршрутизатор
в’яз
ал з
Кан
Хмара
Маршрутизатор
Маршрутизатор
та ЇХ ПЕРЕХОДОМ В ХМАРУ,
Такий стан справ пояснюється передусім безпрецедентним
ВПЛИВОМ НА СУЧАСНЕ СУСПІЛЬСТВО,
ІНФОРМАЦІНИЙ та КІБЕРПРОСТОРИ
низки інформаційних та кібероперацій, які для переважної
більшості держав земної кулі нині:
3

6.

ВИНАЙДЕННЯМ ПОТУЖНИХ КОМП'ЮТЕРІВ
та
ВБУДОВАНИХ МІКРОКОНТРОЛЕРІВ,
що сприяло розвитку промисловості,
а також ПРИЙНЯТТЯМ РІШЕНЬ У РЕЖИМІ РЕАЛЬНОГО ЧАСУ, СПОНУКАЮТЬ КРАЇНИ СВІТУ НЕ ТІЛЬКИ ДО ГЛОБАЛЬНОЇ ІНТЕЛЕКТУАЛІЗАЦІЇ ТА ОТРИМАННЮ НИМИ ПЕВНИХ ПЕРЕВАГ, АЛЕ Й СПРИЯЮТЬ
ВИНИКНЕННЮ НИЗКИ ПРОБЛЕМ – ПЕРЕДУСІМ БЕЗПЕКОВОГО ХАРАКТЕРУ, РОБЛЯЧИ БІЛЬШ ВРАЗЛИВОЮ ІНФРАСТРУКТУРУ ЦИХ КРАЇН ДО
ЗАГРОЗ АНТРОПОГЕННОГО І ТЕХНОГЕННОГО ХАРАКТЕРУ ТА ПРИРОДНИХ КАТАКЛІЗМІВ
Об’єкти захисту
ІКБ
Кібернетична
безпека
Інформаційна
безпека
Системи збору
даних
Системи збору
даних
Органи та канали
управління
Бази
даних
Канали інтерак тивної взаємодії
Персонал
Напрями забезпечення
безпеки
Контроль фізичн.доступу
Збереження обладнання
Управління комунікаціями
Захист інформац.сховищ
Управл. безперерв.діяльн.
Відповіднісь законодавству
Техногенні
Сплановані
Випадкові
Бомбардування
Сон вахтерші
Вандалізм
Запиленість
Прослуховування мережі
Флуктуації в мережі
Злам парольної системи
Збій крипто-засобів
Наслідки тестів на проникНаслідки DOS-атаки
нення
Тиражування
Комп’ютерне піратство
персональних даних
Антропогенні
Торнадо
Шарові блискавки
Магнитні бурі
Грибки
Карстові процеси
Природні пожежі
Про це було офіційно заявлено на Всесвітньому економічному форумі,
що проходив у Давосі в січні 2017 й, як наслідок, констатовано про:
– політичну необхідність контролю та подальшого регулювання взаємовідносин в інфосфері, зокрема в інформаційному та кіберпросторах;
– особливу актуальність процесу створення країнами світу власних
систем інформаційної і кібербезпеки, а також захисту власного інформаційного ресурсу, які в найближчій перспективі відіграватимуть, як результат,
надзвичайно важливу роль у міжнародній геополітичній конкуренції.
4

7.

Загальний
спектр
інформації
Відповідно до Закону
України «Про інформацію»:
ІНФОРМАЦІЯ – це «… будьякі відомості та/або дані, які
можуть бути збережені на
матеріальних носіях або
відображені в електронному
вигляді …».

з/п
Основні визначення
інформації
1
Документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природньому середовищі
2
Міра неоднорідності розгляду матерії та енергії у просторі і часі, міра змін,
якими супроводжуються всі процеси в світі (В.Глушков)
3
Фундаментальний генералізаційно-єдиний, безпочатково-нескінчений законопроцес автоосциляційного, резонансно-сотового, частоткокван-тового та
хвильового відношення, взаємодії,взаємоперетворення та взаємозбереження
(у просторі і часі) енергії, руху, маси та антимаси на основі матеріалізації та
дематеріалізації в мікро- й макроструктурах Всесвіту (І.Й.Юзвишин)
4
Відомості про оточуючий світ і процеси, що у ньому відбуваються, які
сприймаються людиною або спеціальним пристроєм (С.І.Ожегов)
5
Універсальна субстанція, яка пронизує всі сфери людської діяльності, слугує
провідником знань і думок, інструментом спілкування, взаєморозуміння і
співробітництва (ЮНЕСКО)
Форми існування
інформації
5

8.

ІНФОРМАЦІЯ
6

9.

«… Я твердо верю в одну простую вещь: самый надежный способ
выделить свою кампанию среди конкурентов, оторваться от толпы
преследователей - это хорошо организовать работу с информацией.
Именно то, как вы собираете, организуете и используете информацию определяет, победите вы или проиграете».
Структурно-логічна схема процесу передачі і
одержання інформації
Билл Гейтс «Бизнес со скоростью мысли»
Система збору, аналізу та видачі інформації
Спец.
підрозділи,
Філіали
Служба
безпеки
Керівництво
(ОПР)
Потоки
інформації
від VIP
корпорацій
Інтернет
Накази
і розпоряд
ження
Сервер
баз
даних
АРМ
співробітн
иків
E-mail
FAX,
Printer
Корпоративна
інформаційна
мережа
Докум
енти
Співроб
ітники
Інші
джерела
Аналітик
(інфо.аналітична
група)
Менеджмент
(управлінці)
Процес передачі і одержання інформації …
Код
ер
Передавач
повідомле
ння
Канал
зв’язку
Приймач
повідом
лення
Декодер
Захист від завад
Отримувач інформації
Джерело
інформа
ції
Завади й шум
7

10.

Форми витоку інформації
розголошення інформації (відомостей) –
протиправне надання розголосу відомостей,
за якого вони стали власністю сторонніх
осіб
НСД

доступ
до
інформації,
що
здійснюється з порушенням встановлених
прав та/або правил доступу до інформації із
застосуванням
штатних
засобів,
які
надаються
засобами
обчислювальної
техніки, або засобами, аналогічними до них
за своїм функціональним призначенням або
характеристиками
Перехоплення інформації
– протиправне
отримання інформації із застосуванням
технічних засобів, що забезпечують її
виявлення, збір та обробку
6%
цілеспрямовано
Персональні дані
Комерційна таємниця
Державна таємниця
Не визначено
1%
4%
38%
випадково
Розподіл
випадкових і
навмисних
витоків за видами
інформації
фізичний доступ
програмно-апаратний
доступ
89%
програмний доступ
22%
22%
10%
6%
7%
15%
46%
технічними засобами
Каналами зв’язку
Основні канали
випадкового і
навмисного витоку
інформації
3%
Випадкові
Навмисні
Не визначено
Співвідношення випадкових і навмисних витоків
інформації у комерційних компаніях
Випадкові
4%
26%
9%
0%
22%
Банки і фінорганізації
Медицина
36%
Рітейл
Телекомунікації
Інші
Викрадення носіїв інформації
9%
16%
Співвідношення
випадкових і
навмисних
витоків
інформації
61%
7%
33%
Навмисні
Банки і фінорганізації
Медицина
Рітейл
Телекомунікації
Інші
2%
Не визначено
Ноутбуки, смартфони
ПК
Зміні носії
Web
Електронна пошта
Паперові документи
Носії резервних копій
Інші
6%
8

11.

В електронному виді ІНФОРМАЦІЯ зберігається і накопичується в
ІНФОРМАЦІЙНОМУ просторі (ІП).
ІНФОРМАЦІЙНИЙ ПРОСТІР - глобальне інформаційне середовище, яке в
реальному масштабі часу забезпечує комплексну обробку інформації про
конфліктуючі сторони та їх навколишнє оточення в інтересах підтримки прийняття
рішень по створенню оптимального, для досягнення поставлених цілей, складу сил і
засобів та їх ефективногозастосування в різних умовах обстановки
Поняття інформаційного простору в свою чергу базується на визначенні інфосфери –
сукупності інформаційних ресурсів (ІР), інформаційно-комунікаційних
технологій (ІКТ) та інформаційної інфраструктури, застосування яких дозволяє
певній особі, структурі або державі:
- здійснювати, забезпечувати або підтримувати власну діяльність в інформаційному
середовищі;
- оцінювати стан ІП, а також вплив ІР та ІКТ на його забезпечення.
Інформаційна інфраструктура – структура системи інформаційного забезпечення, до складу якої входять інформаційно-обчислювальні центри,
банки даних і знань, а також автоматизована система зв'язку яка
забезпечує загальні умови доступу всіх користувачів до ІР.
Інформаційні ресурси – спеціалізовані інформаційні масиви у вигляді автоматизованих баз і банків даних (АББД), архівів, бібліотек і т.п., що
сформовані людьми для соціального використання в суспільстві, розпо9
ділені по WEB-сайтах у мережі Internet та зафіксовані на матеріальних носіях.

12.

Інформаційні реcурси поділяють на три категорії:
- захищена інформація, режим доступу до якої визначається її
власниками і дозволяється за спеціальною угодою із споживачем . До цього
виду ресурсів належать комерційні архіви, закриті національні та міжнародні
некомерційні ресурси, приватна некомерційна інформація з спеціальними
режимами доступу.
- інформаційні ресурси обмеженого використання, до яких відносяться,
наприклад, ресурси обмеженого часу використання (поточна версія Netscape
перестане працювати в червні якщо тільки хтось не зламає захист) або
обмеженого часу дії, тобто користувач може використовувати поточну версію
на свій страх і ризик, але ніхто не буде надавати йому підтримку.
- вільно розповсюджувані інформаційні ресурси до яких відноситься все,
що можна вільно отримати по мережі без спеціальної реєстрації.
Інформаційні
ресурси
Інформаційно-комунікаційні
технології – різноманітні технологічні інструменти і ресурси, які
шляхом застосування комунікаційних
послуг
дозволяють
користувачам
створювати,
одержувати
доступ,
зберігати, передавати і змінювати
інформацію та управляти нею за
рахунок
інтеграції
телекомунікацій (телефонних ліній та бездротових
з'єднань), комп'ютерів, програмного
забезпечення, а також накопичувальних та аудіовізуальних систем.
Сучасні інформаційні технології (ІТ)
усе глибше проникають як у життя
простих громадян, так й у процеси
функціонування підприємств та
організацій.
10

13.

Ієрархічна структура рівнів інформаційно-комунікаційих технологій
Основною метою застосування
сучасних ІК технологій є створення
і використання активних ІР (частину
потенційних ІР, які складають інформацію, доступну для автоматизованого пошуку, зберіГання і обробки).
ІТ технології поділяють на
обчислювальні ІТ (призначені для забезпечення введення, обробки, зберігання і
надання інформації) та телекомунікаційні (для
передачі інформації між
окремими
вузлами
мережі).
Однак розвиток ІТ, даючи об'єктивні
передумови для підвищення ефективності життєдіяльноссті людства,
породжує цілий ряд складних і
великомасштабних проблем.
Одною з таких проблем є надійне забезпечення схоронності й установленого ста
тусу використання інформації, що циркулює й
обробляється у комп'ютерних і телекомунікаційних системах.
Дана проблема
є проблемою
забезпечення
безпеки ІТ,
за рахунок
створення
КСЗІ
У цей час практично відсутні підприємства, які
для розв’язання прикладних задач, а також
накопичення значних обсягів
інформації, що
найчастіше носять конфіденційний характер або
являють собою певну цінність для її власника та збереження їх у базах даних
(БД), сховищах даних (СД), базах знань (БЗ), базах моделей (БМ) або масивах
інформації (МІ) використовують для цього можливості сучасних:
інформаційних систем (ІС) – інформаційно-аналітичних систем (ІАС),
вимірювальних інформаційних систем (ВІС), автоматизованих систем
управління (АСУ), систем автоматизації офісу (САО), систем підтримки
прийняття рішень (СППР), експертних систем (ЕС) тощо;
інформаційних процесів (ІП);
інформаційних мереж (каналів) (ІМ (К));
систем комплексного управління (У).
Обчислювальні та інформаційно-комунікаційні технології
11

14.

ІНФОРМАЦІЯ в ІП циркулює та оброблюється за допомогою
інформаційно-комунікаційних (ІКС).
Інформаційно-комунікаційна система - сукупність інформаційних
(організаційно-технічних систем, в яких реалізується технологія обробки
інформації з використанням технічних і програмних засобів) та
телекомунікаційних систем (сукупність технічних і програмних засобів,
призначених
для
обміну
інформацією
шляхом
передавання,
випромінювання або приймання її у вигляді сигналів, знаків, звуків,
рухомих або нерухомих зображень чи в інший спосіб), які у процесі
обробки інформації діють як єдине ціле.
Інформаційно-комунікаційна система
Інформаційно-комунікаційна мережа — система зв'язку через кабельне чи бездротове
середовище, самі копютери різного функціонального призначення і мережеве обладнання.
Виконувані завдання: організація доступу до мережі; спільне використання інформаційних
ресурсів загального користування; керування обміном, передачею, збереженням і поновленням
інформації; надання обчислювальних ресурсів і послуг абонентам мережі.
Фізичні компоненти мережі
Топол
огія
Інтер
фейс
Прото
коли
Техні
чні
засоби
Прогр
амні
засоби
Структурна схема інформаційної системи
Архітектура мережі та призначення
її складових елементів
Топологія мережі – це набір правил для
фізичного з'єднання вузлів мережі й організації
взаємодії мережних пристроїв.
Топології мереж
можна розділити на дві основні групи: повнозв’язні
й неповнозв’язні. У мережі з повнозв’язною
топологією кожний комп'ютер мережі прямо
пов'язаний з кожним комп'ютером цієї мережі.
Прикладом такої мережі є мережа стільникової
топології. Більшість мережних топологій має
неповнозв’язну структуру. До основних видів
неповно-зв’язних топологій можна віднести: шину,
зірку, кільце й змішану топологію.
Інтерфейс – це сукупність засобів сполучення
функціональних
елементів
мере
жі.
Як
функціональні елементи можуть виступати окремі
пристрої та програмні модулі. Відповідно до цього
існує
апаратний
та
програмний
різновиди
інтерфейсів.
Протокол – правило взаємодії функціональних
елементів мережі.
Мережеве
технічне
забезпечення

різноманітні пристрої (мережеві контролери, вузли
комутації та ін.) з використанням яких виникає
можливість об’єднання окремих ПЕОМ в єдину
комп’ютерну мережу.
Загальне (мережеві операційні системи тощо) та
спеціальне (допоміжні або сервісні програми) ПЗ –
засоби, що керують роботою комп’ютерної мережі та
забезпечують
відповідний
інтерфейс
з
користувачами.
По числу підключених до мережі вузлів, а також їхньому географічному
розташуванню комп’ютерні мережі поділяються на локальні, регіональні та
глобальні. Локальні мережі (LAN - Local Area Network) – це сукупність
декількох ПЕОМ, що мають загальне середовище передачі даних та фізично
розташовані близько один до одного (в рамках окремої організації або
корпорації). Локальні мережі підтримують передачу даних на надзвичайно
високих швидкостях. Регіональні мережі (MAN - Metropolitan Area Network)
– являють собою кілька сотень, тисяч або більше ПЕОМ, розташованих на
відносно вилученій відстані один від одного (у межах одного міста або області),
що мають при цьому загальне середовище передачі даних. MAN мережі
працюють на швидкостях від середніх до високих.
12

15.

Глобальні мережі (WAN - Wide Area Network) – це сукупність регіональних мереж, зв‘язаних
комунікаційними каналами: телефонними лініями, оптоволоконними кабелями тощо. WAN мережі
працюють на найнижчих швидкостях передачі даних. Прикладом WAN мережі є мережа Internet.
КАНАЛИ ЗВ’ЯЗКУ
Електричний кабель
Оптоволоконний кабель
Радіохвилі
Основні характеристики
Швидкість
передачі даних
Надійність
передачі даних
Вартість
каналу
Перспективи
розвитку
Мережева модель OSI - абстрактна мережева модель для
комунікацій і розробки мережевих протоколів. Будь-який протокол
моделі OSI повинен взаємодіяти або з протоколами свого рівня, або
з протоколами на одиницю вище або нижче за свій рівень. Будьякий протокол моделі OSI може виконувати лише функції свого рівня
і не може виконувати функцій іншого рівня, що не виконується в
протоколах альтернативних моделей.
Як передаються дані
13

16.

Для взаємодії пристроїв в будь-якій комунікаційній мережі використовуються набори правил,
обов'язкові для дотримання всіма пристроями в мережі. Такі набори правил називаються протоколами.
Протоколи, які регламентують порядок передачі найменших одиниць інформації між пристроями в мережі,
мають назву транспортних протоколів. Прикладами транспортних протоколів є такі: TCP/IP, NetBEUI,
IPX/SPX та AppleTalk. Найпоширенішим транспортним прото колом на сьогодні є протокол TCP/IP –
базовий протокол мережі Internet.
Схеми підключення
безпровідної точки доступу і комутатора
Основні сервіси та технології ІКС
Сервіси
Мережеві пристрої
Мережеві сервіси
Сервіси міжмережевої
фільтрації трафіку та
доступу
Засоби (технології)
Маршрутизатори, комутатори, точки
доступу тощо
DNS, DHCP, WINS
Міжмережеві
екрани
периметру,
демілітаризованої
зони,
внутрішні
сегменти мережі, проксі-сервера
Сервіси для
Microsoft Active Directory, Oracle
централізованого
Identity Manager, IBM Tivoli Identity
керування та моніторингу
Manager, LDAP
корпоративною мережею
Системи керування БД
Схеми підключення
маршрутизатора і концентратора
Пристрої
збереження даних
Сервери застосувань
СКБД Microsoft SQL Server, Oracle,
DB2, MySQL
Direct-attached
storage
network attached storage
storage area network (SAN)
(DAS),
(NAS),
Забезпечуть роботу корпоративних
застосувань: JavaEE, NETFramework,
COM+and Message Queuing Services
(MSMQ)
Веб-сервіси та веб-сервери Apache, GlassFish, IIS, WebSphere
Сервер електронної пошти SMTP, POP3 , IMAP
ОС на хостах мережі
Схема підключення
міжмережевого екрану
Концентратор (hub) – пристрій фізичного рівня, з'єднувальний компонент, до
якого підключають усі комп’ютери в мережі за топологією «зірка» ;
Комутатор (switch) – пристрій, призначений для з'єднання декількох
вузлів комп'ютерної мережі в межах одного сегмента.
Маршрутизатор (router) – пристрій, що використовується для поєднання
двох або більше мереж і керує процесом маршрутизації, тобто на підставі
інформації про топологію мережі та певних правил приймає рішення про
пересилання пакетів мережевого рівня (рівень 3 моделі OSI) між різними
сегментами мережі
Міст (шлюз, Bridge) - пристрій для зв'язку ЛОМ. Дозволяє АРМ будь-якої із
мереж звертатись до ресурсів іншої мережі (виконує з'єднання на канальному
рівні OSI).
Міжмережевий екран - пристрій або набір пристроїв, сконфігурованих так,
щоб допускати, відмовляти, шифрувати, пропускати через проксі весь трафік між
областями різної безпеки згідно з набором правил та інших критеріїв.
Windows, Linux, Solaris, AIX, ...
Сервіси для
спільної роботи
SharePoint,
Lotus
Notes,
Lotus
Connection, Collaboration server
Сервіси забезпечення
віддаленого доступу
Virtual private network (VPN), Client
VPN, RRAS, Internet authentication
service (IAS)
Антивірусні програми
Безпека
Symantec, Kaspersky, ESET NOD32,
Dr.Web, ...
Забезпечення
цілісності
та
конфіденційності,
розме-жування
доступу,
ідентифікація
та
автентифікація,
Network
Access
Control(NAC), Single SignOn(SSO) 14

17.

Разом з тим, саме використання в суспільстві
ІКТ
та
ІТС
різного
функціонального
призначення, які в процесах обробки, передачі
та зберігання інформації використовують
електромагнітний спектр і діють як єдине ціле,
а також відповідного програмного забезпечення (ПЗ) з метою формування сфери
комунікації, забезпечення виробництва й
автоматизації більшості процесів життєдіяльності світової спільноти призвело, як наслідок,
до формування так званого простору
КІБЕРНЕТИЧНОГО («cyberspace»).
КІБЕРПРОСТІР – середовище (віртуальний простір), яке
надає можливості для здійснення комунікацій та/або реалізації суспільних відносин,
утворене в результаті функціонування сумісних (з’єднаних) комунікаційних систем та
забезпечення електронних комунікацій з використанням мережі Інтернет або інших глобальних мереж передачі даних
«Глобальнийе простір в межах
інформаційного середовища, що
складається з взаємозалежної
мережі інфраструктур
інформаційних технологій, в
тому числі Інтернету, мереж
зв'язку, комп'ютерних систем,
вбудованих процесорів і
контролерів»
Джерело: Словник
військових та
пов'язаних з ними
термінів
Міністерства
оборони США,
2012
ФІЗИЧНИЙ РІВЕНЬ
СЕМАНТИКО-СИНТАКСИЧНИЙ РІВЕНЬ
СОЦІАЛЬНИЙ РІВЕНЬ
РФ, ШОС:
інформаційний
простір
США:
кіберпростір
Інформаційний
простір
Німеччина:
кіберпростір
«Віртуальний простір всіх ІТсистем, пов'язаних на рівні
даних в глобальному масштабі.
Основою кіберпростору є
інтернет <...>. ІТ-системи в
ізольованому віртуальному
просторі не є частиною
кіберпростору»
Джерело: Стратегія
кібербезпеки для
Німеччини, ФМВД. 2011
«сфера діяльності, пов'язана з
формуванням, створенням,
перетворенням, передачею,
використанням, зберіганням
інформації,що надає вплив, в тому
числі наіндивідуальну і суспільну
свідомість, інформаційну
інфраструктуру і власне
інформацію»
КІБЕР
ПРОСТІР
Джерело : про
заКонцепція
Конвенції
безпечення МІБ,
2011 г., також
Угода ШОС
від16.06.2009
Російсько-американська
експертна група East-West
institute: кіберпростір
«Електронне (включаючи
фотоелектронне і пр.) середовище,
в (за допомогою) якому інформація
створюється, передається,
приймається, зберігається,
обробляється і знищується »
Источник: Russia – U.S.
Bilateral on Cybersecurity.
Critical Terminology
Foundations. East-West
Institute, 2011
15

18.

СПЕКТР ВЕДЕННЯ ОПЕРАЦІЙ У
КІБЕРПРОСТОРІ ПОЛЯГАЄ У ВИРІШЕННІ ТАКИХ
ПРИКЛАДНИХ ЗАВДАНЬ:
виявлення – пасивний або активний моніторинг
інформаційного
й
електромагнітного
середовища для виявлення загроз ІР і каналам
передачі даних;
переривання доступу супротивника до ІР –
обмеження поінформованості супротивника в
бойових умовах і захист власних ІР від
можливого використання або впливу з боку
супротивника;
порушення
працездатності
й
зниження
інформаційного потенціалу супротивника
– втручання в працездатність інформаційнокомунікаційного встаткування
супротивника
для
зниження
його
бойової
стійкості й
керованості (електронне придушення, мережні
комп'ютерні атаки й т.п.);
знищення – гарантоване знищення електронної
апаратури супротивника з використанням зброї
спрямованої енергії або традиційної зброї
кінетичної дії;
захист
власних
мереж
на
програмному
(антивіруси,
файєрволи)
та
апаратному
(підвищення
завадозахищеності,
протидія
електро-магнітним імпульсам) рівнях;
моніторинг і аналіз – збір інформації про стан
кібернетичного й електромагнітного середовищ
в інтересах ведення наступальних і оборонних
кібероперацій;
реагування – відповідні дії оборонного (зниження
ефективності
операцій
супротивника)
і
наступального (нанесення відповідного удару)
характеру;
вплив – перекручування сприйняття інформації
людьми або суспільними інститутами, а також
перекручування інформації, що циркулює в
машинних
і
змішаних
(машина-людина,
людина-машина) системах для переорієнтації
їхніх дій у власних цілях.
УРАЗЛИВІ СТОРОНИ КІБЕРПРОСТОРУ
16

19.

РЕГУЛЮВАННЯ КІБЕРПРОСТОРУ:
міжнародні механізми м’якого та жорсткого права
Норми
Автори
1. Росія
2. ШОС
(та окремі
країни
ШОС)
3. США
4. ООН и
МСЕ
Норми
Автори
1. Росія
2. ШОС
(та окремі
країни
ШОС)
3. США
4. ООН и
МСЕ
Механізми
м’якого права
МИД РФ поддерживает инициативы выработки правил поведения в
области обеспечения МИБ
1. Правила поведения (ПП) в области обеспечения МИБ
направлены Генсеку ООН письмом от 12.09.2011 от имени РФ, Китая,
Таджикистана и Узбекистана
2. В марте 2013 г. КНР призвал к выработке норм поведения в киберпространстве
С конца 2012 г. выступают за выработку «норм ответственного поведения»
государств в киберпространстве
Выступление Госсекретаря Х. Клинтон (5.11.2012, Конференция по
киберпространству, Лондон
Механизмы международного ГЧП: партнерство ИМПАКТ-МСЭ с 2011
г. (Россия отказалась, Лаборатория Касперского и Group-IB участвуют)
Генсек МСЭ Х. Туре поддерживает идею выработки правил
поведения в киберпространстве
Глобальная культура кибербезопасности: резолюции ГА ООН A/RES/
64/211, A/RES/58/199, A/RES/57/239 (рекомендательный характер)
Механізми
жорсткого права
1. Концепция Конвенции (КК) об обеспечении МИБ
Представлена 11.2011 (Conference on Cyberspace)
Глобальный охват (ООН) и Всеобъемлющий характер (триада угроз)
2. Проект универсальной Конвенции о борьбе с киберпреступностью ООН
Альтернатива Конвенции СЕ +новый уровень международного сотрудничества
Охватывает только преступный элемент триады угроз
1. Соглашение государств-членов ШОС о сотрудничестве в области обеспечения
МИБ от 16.06.2009
Заложило понятийную базу в сфере МИБ
Первый юридически обязывающий акт по МИБ
Декларативно-обобщенные нормы: нет механизма работы с угрозами
Участвуют в Конвенции СЕ
Поддерживают глобальное применение Конвенции СЕ
Противодействуют инициативам РФ и ШОС, считая их средством ущемления
свободы в Сети
2010 г.: Генсек МСЭ Х. Туре призвал к выработке договора с целью
предотвращения кибервойн (концепция «мирного договора до войны»)
На уровне ГА ООН вопрос не поднимался
Политические разногласия Восток-Запад пока блокируют работу в этом
направлении
17

20.

18

21.

Головну роль в процесах функціонування глобальних і регіональних інформаційного та кіберпросторів останнім часом відіграє
мережа INTERNET. (Її появі передувала відома мережа ARPANET від
англ. Advanced Research Projects Agency Network, 1969 рік).
Головні переваги, які мережа Інтернет надає користувачам завдяки винаходу нових ІКТ й
впровадженню сучасних ЕОМ та ІТСМ
З 1 січня 1983 року, після переходу з протоколу NCP на
TCP/IP, й дотепер технології ARPANET успішно застосовуються для об'єднання («нашарування») різних мереж.
Саме з цього часу за мережею
ARPAnet закріпився термін
«Інтернет».
З 90-х років минулого століття Internet утворює всесвітнє інфор
маційне середовище (сховище оцифрованої інформації) й відноситься до глобальної інформаційної системи (World Wide Web), яка:
1) логічно зв'язана глобально унікальним адресним простором на
основі Інтернет протоколу (IP) або його наступними розширеннями /
удосконаленнями;
2) здатна підтримувати комунікацію за допомогою пакета
протоколів TCP/IP /або інших протоколів, сумісних IP;
3) надає, використовує або робить доступними, привселюдно або в
приватному порядку, високорівневі служби, що опираються на відповідну
комунікацію та інфраструктуру.
Кількість Інтернет-користувачів у світі 2010 року
Разом з тим, збільшення обсягу Інтернет-послуг
веде до того, що
ІНФОРМАЦІЙНИЙ І КІБЕРПРОСТОРИ
все частіше стають об’єктами деструктивних
антропогенно-техногенних і природних впливів
й потребують, як наслідок, впровадження низки
заходів, які б гарантували
їх БЕЗПЕКУ.
19

22.

Акумулювання знань про “ БЕЗПЕКУ”
Суспільство
Прогресивний
розвиток
Суспільні
відношення
Внутрішні
протиріччя
БЕЗПЕКА
загрози
Зовнішні протиріччя
Особливості “БЕЗПЕКИ”:
1) безпека ніколи не буває
абсолютною - завжди є
ризик її порушення;
2) виміряти рівень безпеки
неможливо, можна лише побічно його оцінити та знизити
ймовірність настання ризикової події;
3) при будь-якому втручанні в систему, в першу чергу
страждає її безпека.
Концептуа
льна
модель
“БЕЗПЕКИ

Міри “БЕЗПЕКИ”
1) ступінь збереження систе
мою своєї структури, технології та ефективності функціонування у разі впливу дестабілізуючих факторів;
2) рівень вірогідності появи
таких дестабілізуючих факто
рів, які являтимуть загрозу
елементам самої системи або
зовнішньому середовищу
дозволяє надати цьому поняттю такі визначення:
1) стан складної системи (соціал. інституту), за якого дія зовнішніх і внутрішніх факторів не
призводить до погіршення системи або до неможливості її функціонування і розвитку;
2) стан, за умов якого складні системи (соціальні інститути) здатні протистояти
вражаючому впливу зовнішніх і внутрішніх антропогенних та техногенних загроз;
3) стан, за умов якого функціонування складної системи (соціального інституту) не
створює загроз для її власних елементів та зовнішнього середовища;
4) стан суспільних відносин, який забезпечує прогресивний розвиток суспільства в
конкретних історичних і природних умовах, від небезпек, джерелом виникнення яких
служать внутрішні і зовнішні протиріччя.
1
2
3
4
5
1. Периметр безопасности (Физическая безопасность)
2. Безопасность управление удаленным доступом
(VPN, аутентификация и т.д.)
3. Сетевая безопасность(Firewall, DMZ, etc.)
4. Безопасность вычислений (Hardening, Anti Virus, etc.)
5. Безопасность хранения(Encryption, Zoning, etc.)
20

23.

Зважаючи на те, що останнім часом саме ІНФОРМАЦІЯ (відомості, дані), а також ІТСМ
все частіше стають об’єктом нападу в інформаційному та кіберпросторах, - необхідність
забезпечення їх “БЕЗПЕКИ” в умовах стороннього деструктивного впливу постає
надзвичайно актуальною задачею.
Питання забезпечення безпеки інформації, у тому числі в ІТ
системах – покладаються на ІНФОРМАЦІЙНУ БЕЗПЕКУ
Питання забезпечення безпеки ІТ систем (обладнання та
програм) – покладаються на КІБЕРБЕЗПЕКУ
Об’єкти «БЕЗПЕКИ»
КІБЕРБЕЗПЕКА Є ЧАСТИНОЮ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
відомості про склад,
стан та діяльність
- цілісності;
- конфіденційності
Загрози
- наповненості;
- доступності
- конкуренти;
Джерела
- злочинці;
загроз
- корупціонери;
- адміністративні органи
-ознайомлення;
Цілі
Безпека інформації -модифікація;
- знищення
- стан інформації за
- люди;
якого забезпечується
Джерела
- документи;
збереження властивос
інформації
- публікації;
тей інформації, визна- технічні носії та засоби;
чених політикою
- продукція та відходи
безпеки
Об'єкти
загроз
МЕТОДОЛОГІ
ЧНІ АСПЕКТИ
БЕЗПЕКИ
ІНФОРМАЦІЇ
Способи
захисту
-за рахунок розголошення;
-за рахунок витоку;
-за рахунок НСД
Способи
доступу
Напрями
- правова;
- організаційна; захисту
- інженерно-технічна
Засоби
захисту
- фізичні;
- апаратні;
- попередження; - програмні;
- криптографічні
- запобігання;
- припинення;
- протидія
Головні ризики “БЕЗПЕКИ”
можуть бути пов’язані з:
1) порушенням конфіденційності, цілісності і доступності до
ІР та ІТС;
2) розміщенням в ІТ системах та
мережах протиправної інформації;
3) порушенням авторських і
суміжних прав тощо.
21

24.

Основні проблеми забезпечення безпеки
обумовлюються:
Моделювання, підбір ріщень
Аудит
Консалтинг
Підготовка,
планування
Розробка
архітектури
Проектування
БЕЗПЕКА - це
ПРОЦЕС,
а не ПРОДУКТ
Технічне
обсуговування
Постійна
експлуатація
Срозробка
проектної
документації
Навчання
Розробка
пакетуОРД
Введення в дію,
модернізація
Інсталяція
Супроводження
Оцінювання відповідності
Плюси і мінуси безпеки
Етапи розробки безпечних
систем
22

25.

Зменшити ризики внутрішніх та/або зовнішніх атак в інформаційному і кіберсередовищах, використовуючи для
цього досконало опрацьовані політики безпеки, найсучасніші брандмауери та інші методи, способи або засоби
захисту з кожним роком стає дедалі важче, а інколи майже неможливо.
Це, як наслідок,
становить загрозу
діяльності особи,
суспільства та держави
в цілому й може під
впливом низки ПОДІЙ
та/або ІНЦИДЕНТІВ
безпеки привести до:
• блокування роботи або руйнування стратегічно важливих для економіки та безпеки держави підприємств і систем життєзабезпечення, а
також об’єктів підвищеної небезпеки;
• блокування роботи
органів
та
органів
самоврядування;
державних
місцевого
• виникнення надзвичайних ситуацій або масових заворушень;
• блокування діяльності військових
формувань,
органів
військового
управління, ЗС в цілому, або
втручання в автоматизовані системи
керування зброєю;
• порушення безпечного функціонування банківської та/або фінансової системи держави тощо.
Незаконне
перехоплення
Викривлення
інформації
Викривлення
системи
23

26.

ПОДІЯ безпеки це:
1) стан системи, сервісу або мережі, котрий
свідчить про можливе порушення політики
безпеки, або про невідому ситуацію, яка може мати
відношення до безпеки;
2) ідентифікований випадок стану системи або
мережі, який вказує на можливі порушення
політики безпеки або відмов засобів захисту;
3) раніше невідома ситуація, що може бути
суттєвою для безпеки.
Подія
виникла
- Функція
- Система
- Людина
Аварійна
фаза
Перша
допомога
Виявлення
Оцінка 1
Господар
інциденту
Оцінка 2
Подія
Криза
Кризове
управління загострюється
Інцидент безпеки
Фаза
обробки
Порушені
операції
Обробка
- дії
- відновлення
Фаза
перевірки
виконання
CSIRT
Вивчення
- адмін. управління
- відновлювальні дії
- аналіз
- інформація
Звіт
- Людина
- Аварійний сигнал
- Зовнішній сигнал
Повідомлення/запис
про подію/інциденті:
ISec
Оновлення
IHS
Інцидент
Постійні
операції
Витягнуті
уроки, досвід
Обробка
- дії
- відновлення
- вивчення
Перевірка виконання
- адмін. управління
- рада з IT
- відділення
- інші
ПОДІЯ безпеки являє собою логічний зв'язок між дією й об'єктом, на який направлено дану дію, і результатом дії. Вона
характеризується рядом параметрів, які визначають його виникнення. Якщо події, що виникають, є частиною кроків вживаних
зловмисником для одержання якого-небудь несанкціонованого результату - їх розглядають як частину інциденту безпеки.
24

27.

ВІД ПОДІЙ ДО ІНЦИДЕНТІВ БЕЗПЕКИ
Недозволен
ий результат
Цілі
Вигода
Розширений
доступ
Статус виклику, збудження
Сканування
Процес
Розкриття
інформації
Політичні
дивіденди
Заповнення
Факти
Викривленн
я інформації
Фінансові
дивіденди
Перевірка
достовірності
Компонент
Відмова в об
слуговуванні
Нанесення
збитку
Обхід
Комп'ютер
Крадіжка
ресурсів
Інструмента
рій
Підміна
Мережа
Розподілени
й інструмент
Читання
Інтернет
мережа
Передача
даних
Копіювання
Атакуючий
Інструмент
Уразливість
Хакери
Фізична
атака
Призначення
Зондування
Шпигуни
Інформаційн
ий обмін
Реалізації
Терористи
Використовув
ані команди
Конфігурува
ння
Корпоративн
і рейдери
Скрипти або
програми
Професійні
злочинці
Автономний
агент
Вандали
Вауйєристи
Якщо подія виникає знову
й може завдати шкоди
певному суб'єкту, то таку подію
потрібно вважати
ІНЦИДЕНТОМ
безпеки.
Дія
Об’єкт
Викрадення
Модифікування
Видалення
25

28.

Таким чином, ІНЦИДЕНТ безпеки може розглядатися, як:
1) одинична подія або ряд небажаних та непередбачених подій
безпеки, результатом яких є велика ймовірність розкриття
конфіденційної інформації;
2) подія, яка може порушити діяльність, пов’язану із використанням
ІС, повноту, своєчасність та вірогідність оброблюваної інформації, а
також її конфіденційність, цілісність та доступність;
3) одна або низка небажаних або неочікуваних подій в системі
безпеки, які мають великий шанс компрометувати ділові операції й
поставити під загрозу, наприклад, захист інформації
Виникнення інциденту може бути спланованим (здійснюється порушником) або
випадковим (похибки ПЗ або персоналу, природні явища тощо) й може
визиватися як технічними, так і фізичними засобами.
Потенційно можливі інциденти ініціюються за рахунок:
При цьому зловмисник, який навмисно генерує виникнення інциденту
ІКБ, переслідує, як правило, певні цілі, спрямовані на:
- порушення конфіденційності та цілісності цінної інформації;
- незаконний моніторинг інформаційних систем;
- знищення інформації;
- компрометацію ІС (наприклад, розголошення пароля користувача);
- відмову в обслуговувані сервісів, засобів обробки інформації,
обладнання;
- пошкодження електричних мереж;
- неавторизоване використання системи для зберігання особистих даних
та інші порушення вимог до ІКБ, прийнятих в компанії.
26

29.

Внутрішні
інциденти
2017
ІНЦИДЕНТ безпеки- подія або ряд несприятливих подій
ненавмисного
характеру
(природного,
технічного,
технологічного, помилкового, у тому числі внаслідок дії
людського фактора) та/або таких, що мають ознаки
можливої (потенційної) кібератаки, які становлять
загрозу безпеці систем електронних комунікацій, систем
управління
технологічними
процесами,
створюють
імовірність
порушення
штатного
режиму
функціонування таких систем (у тому числі зриву та/або
блокування роботи системи, та/або несанкціонованого
управління її ресурсами), ставлять під загрозу безпеку
(захищеність) електронних ІР.
Зовнішній інцидент - інцидент, джерелом якого є порушник, з
постраждалою стороною безпосередньо не пов’язаний.
Системні події такого типу: атаки типу “відмова в
обслуговуванні” (DoS), у тому числі розподілені (DDoS);
перехоплення й підміна трафіку тощо.
Внутрішній інцидент - інцидент, джерелом якого є порушник,
безпосередньо пов’язаний з постраждалою стороною.
Системні події такого типу:
витік конфіденційної інформації;
неправомірний доступ до інформації;
видалення інформації;
компрометація інформації; саботаж;
шахрайство за допомогою ІТ;
аномальна мережева активність;
аномальне поводження бізнес-додатків тощо.
Зовнішні
інциденти
2017
Як зовнішні, так і внутрішні інциденти включають такі елементи:
-
зловмисник (суб'єкт);
цілі, на досягнення яких спрямована діяльність зловмисника;
використовувані зловмисником методи і засоби;
дії зловмисника та об'єкти, на які спрямовані ці дії.
27

30. Статистика виникнення інцидентів безпеки за галузями

Згідно схеми, пропонованої Конвенцією Ради Європи 2001 р.
по боротьбі з кіберзлочинністю інциденти класифікують на:
1) інциденти, спрямовані проти конфіденційності, цілісності й доступності
комп’ютерних даних і систем, що реалізуються через:
НСД до інформаційного середовища (протиправний навмисний доступ до
комп’ютерної системи або її частини, а також до ІР протиборчої сторони, зроблений в
обхід систем безпеки);
втручання в дані (протиправну зміну, ушкодження, видалення, перекручування
або блокування комп’ютерних даних та керуючих команд шляхом
проведення
кібератак на інформаційні системи, ресурси та мережі державного і військового
управління тощо);
втручання в роботу системи (протиправне порушення або створення перешкод
функціонуванню комп’ютерної системи шляхом розробки та поширення вірусного
програмного забезпечення, застосування апаратних закладок, радіоелектронного та
інших видів впливу на технічні засоби та системи телекомунікацій і зв’язку, обробки та
передачі інформації, системи захисту ІР, систем і мереж, програмно-математичне
забезпечення, протоколи передачі даних, алгоритми адресації та маршрутизації
тощо);
незаконне перехоплення (протиправне навмисне аудіовізуальне та/або
електромагнітне перехоплення непризначених для загального доступу комп’ютерних
даних, переданих ІТС в обхід заходів безпеки);
незаконне використання комп’ютерного й телекомунікаційного встаткування
(виготовлення, придбання для використання, поширення або інші способи зробити
доступними: пристрої, включаючи ПЗ, розроблені або пристосовані для здійснення
кожного зі злочинів першої групи; комп’ютерні паролі, коди доступу, інші подібні дані,
що забезпечують доступ до комп’ютерної системи або її частини) або його повне
вилучення;
2) шахрайства та підробки, пов’язані з використанням ПЕОМ, що
полягають у:
підробці документів із застосуванням комп’ютерних засобів (протиправному
навмисному внесенні, змінюванні, видаленні або блокуванні комп’ютерних даних, що
приводять до зниження вірогідності документів);
шахрайстві із застосуванням комп’ютерних засобів (втручанні у функціонування
комп’ютерної системи з метою навмисного протиправного одержання економічної
вигоди для себе або для інших осіб);
3) інциденти, пов’язані з розміщенням у мережах протиправної
інформації (наприклад, поширенням дитячої порнографії тощо);
4) інциденти відносно авторських і суміжних прав.
Головні ознаки виникнення ІНЦИДЕНТУ:
1) фіксування IDS (Intrusion Detection Systems) переповнення
буферу або злому Web-інтерфейсу;
2) фіксування сисадміном наявності файлів з підозрілими назвами;
3) фіксування адміністратором мережі результатів різкого
збільшення мережевого трафіку;
4) отримання користувачем повідомлення від антивірусної
програми;
5) отримання користувачем повідомлення про низьку швидкість при
спробі виходу в Internet;
6) фіксування користувачем наявності у своїх поштових скриньках
повторюваних повідомлень;
7) фіксування результатів внесення хостом запису до журналу
аудиту про зміну конфігурації;
8) фіксування в журнальному файлі невдалих спроб авторизації ….
Статистика виникнення інцидентів безпеки за галузями
28

31.

Пример 1
Виявлення
інциденту
• Средствами IPS/SIEM
или др. выявлен факт
обращения
ПК
к
адресу СС
• Группа реагирования*
получает информацию
о зараженном объекте
• Каждый член группы
реагирования выполняет мероприятия в
рамках своей функции
• ПК отключается от
сети
на
сетевом
уровне (например,
отключается
порт
маршрутизатора)
• Учетная
запись
пользователя
блокируется
• ПК
физически
отключается от сети
Локалізація
Аналіз й
очистка
Оцінка
маштабу
Корегування
• На
основе
полученной
информации
проводится
анализ масштаба заражения
(например, кто еще получал
такие письма и т.п.)
• В случае выявления фактов
массового
заражения

повторяются
этапы
«Локализация» и «Анализ и
очистка»
• На ПК проводится проверка
на
наличие
зловреда
•В
ходе
проверки
выявляются
каналы
заражения (например,
письмо или носитель)
• После анализа осуществляется гарантированная очистка ПК
(при необходимости –
переустановка ОС)
• На основе реализо-ванных
мероприятий
вносятся
необходимые изменения в
средства безопасности и
мониторинга
• Выявленные неизвестные
ранее
зловреды
пересылаются
разработчикам
антивирусного ПО
Пример 2
*В группу реагирования входят сотрудники ИБ, а также, сотрудники ИТ, ответственные за: управление доступом, сетевую инфраструктуру, прикладное ПО, техподдержка пользователей и др.
•Пользователь получил пи • ПК
пользователя
сьмо с вложением от неи
отключен от сети на
звестного
отправителя.
сетевом уровне
Для анализа пере слал его • Учетная
запись
в подразделе-ниеИБ
пользователя
•Проведенный
анализ
блокирована
файла выявил макрос, • ПК
физически
активация которого при
отключен от сети
водит к скачиванию дро
пперас неизвестногоСС
•Группа
реагироваия
получает информацию об
инциденте
• На
ПК
проведена
проверка на наличие
зловреда.
• Зловред не выявлен
(файл пользователем
не открывался)
• ПК
помещается
в
карантин
(закрытый
VLAN), где анализируется поведение ПК
на сетевом уровне и на
уровне
ОС/приложений
Події (керування мережею)
Служба
безпеки
Група реагування
на інциденти
безпеки (CSIRT)
Група подолання
кризи
Інциденти
(проблема готовності мережі)
Інциденти безпеки
(проникнення у приміщення)
Інциденти ІБ
(зараження ЕОМ вірусом)
Інциденти безпеки ТМ
(компрометація вузла комутації)
• Анализ почтовых логов
выявляет
несколько
аналогичных
писем,
попавших в компанию.
• Некоторые
письма
были
открыты
пользователями.
1
пользователь открыл
файл. По его ПК
проведены
мероприятия в рамках
этапов «Локализация»
и «Анализ и очистка»
• Внесены данные вы
явленного СС средства безопасности и
мониторинга
• Информация
передана
вендору
антивирусного ПО
Причини виникнення
інцидентів
Служба технічної
експлуатації, IT
департаменти
Служба захисту
Інформації
(IT Security),
ТЗІ
Катастрофа
(пожежа)
Розподіл задач і відповідальності в системі обробки
інцидентів у телекомунікаційних мережах
29

32.

Управління інцидентами – процес реєстрації інформації про стан безпеки і
рівноваги ІКС, передавання її у пункти накопичення й переробки, про
ведення її аналізу, прийняття рішення та формування певного керуючого
впливу на об’єкт управління.
Вирішувані завдання
Особлива увага приділяється:
•Розумінню вимог до ІБ організації та
цілей управління інцидентами ІБ;
•Використанню
процесу управління в
рамках загальної системи забезпечення
й управління ІБ;
•моніторингу та аналізу
ефективності
процессу
•Постійному
вдосконаленню процесу,
який грунтується на низці об’єктивних
показників.
Мета процесу управління інцидентами - якнайшвидше відновлення
нормальної роботи служб й
зведення до мінімуму негативного впливу
інциденту на роботу організації для підтримки якості і доступності служб на
максимально можливому рівні.
Складові частини процесу управління інцидентами :
- виявлення;
- реєстрація (обробка та аналіз);
- реагування (усунення причин і наслідків);
- розслідування;
- застосування превентивних заходів.
Структура процесу
(системи)
управління інцидентами
Ролі учасників процесу управління
інцидентами
30

33.

Опис процесу управління
Алгоритм виявлення та реагування на інциденти безпеки
інцидентами (документація)
Порівняльний аналіз основних нормативних документів
щодо реагування та обробки інцидентів безпеки
Реагування
Алгоритм
реагування на
інцидент
Назва
ISO/IEC 27001
ISO/IEC TR 18044
E.408
RFC 2350,
BCP 21
Тип
стандарт
технічний звіт
рекомендація
рекомендація
Розробник
ISO/IEC
ISO/IEC
ITU-T
The Internet Society
Рік
2005
2004
2004
1998
Об’єкт
Інформац.
технології
Інформац.
Технології
Телекомунікац.
мережі
Комп’ютерні системи
Предмет
Вимоги до си
стеми менеджменту
Керування
інцидентами
Організація груп
реагування
Очікування щодо
CSIRT
Підхід
Процесний
Підготовчий
Функціональнофазовий
Процедурний
Модель
Шухарта-Демінга,
PDCA
Планування
Власний алго ритм
з 3-х фаз
Загальні правила,
устав
Характер
Неперервний
замкнутий цикл
Миттєві, корот
ко- та довготермінові дії
Дискретні
відокремлені фази
Процедури
реагування
Мета
(акцент)
Постійне
вдосконалення
процесу
Екстенсивна
підготовка
Послідовне
виконання фаз
Ефективність окремої
процедури
31

34.

Приклад Плану реагування на інциденти безпеки (крок №1 та №2)
Якшо інцидент
має ступінь
важливості 1
Реагування
або 2
відповідно
до Плану
Реагування на
інциденти

Першочергові
дії
Призупинення
дій порушника/
ліквідація
інциденту
Моніторинг дій
порушника/
розвитку
інциденту
План реагування
на інцидентами
безпеки (крок №1)
Якщо існує потреба
в проведенні аналізу
інциденту
Якщо інцидент
має 3-й ступінь
важливості
Реагування
відповідно
до Плану
Якщо проводити
аналіз інциденту
не потрібно
Якщо необхідно
провести аналіз
інциденту
Аналіз
інцидентів ІБ
Якщо необхідно
провести розслідування
інциденту
Якщо проведення
аналізу та
розслідування
нциденту немає
потреби
Результати виконання
першого етапу реагування на
інциденти :
Розслідування
інцидентів ІБ
Звіт про
інцидент
Закриття
інциденту
Формування звіту
Аналіз
інцидентів ІБ
Інші
процеси
управлін
ня ІБ
1)Вивчено рекомендації
й
кращі практики в галузі
побу-дови процесів управління інцидентами безпеки.
2) Проведено аналіз поняття
«подія безпеки» та «інцидент
безпеки».
3)
Визначено
підхід
до
розробки процесу управління
інцидентами безпеки.
Звіт про
інцидент
Формуванн
я звіту про
інцидент
Закриття
інциденту
Подальші дослідження можуть
проводитися в напрямку:
1) детального аналізу етапів
роботи
процесу
управління
інцидентами безпеки;
Підпроцес
Вимоги до підпроцесу
Процедури і правила
2) моделювання та формалізації
процесу управління інцидентами
безпеки;
Реагування на інцидент
безпеки відповідно до Плану
реагувания
Залежно від ступеня важливості інци-денту ІБ
обирається одна з послідов-ностей дій в рамках
даного процесу.
Тим не менш незалежно від ступеня важливості
інциденту реагування здійснюється у відповідності
до розробленого Плану реагування на інцидент
безпеки.
«Положення про ролі
процесу
управління
інци-дентами
безпеки»;
«Процедура
виявлення, опові-щення
та реагу-вання на інциденти безпеки»;
Інші документи щодо
забезпече-ння безпеки
в рамках організа-ції.
3)
розробки
механізмів
моніторингу роботи процесу та
його удосконалення.
Інші процеси
управління
ІБ
Вимоги до підпроцесів управління інцидентами безпеки(крок №2)
Вхід
Докум. інцидент
План реагування
Вихід
Дії реагування на
інцидент, що були
реалізовано
Ролі
Ролі, які можуть
приймати участь в
даному підпроцесі;
Відповідальний за
вирішення та
усунення наслідків
інциденту безпеки;
члени Групи
реагування на
інцидент безпеки.
32

35.

ВИСНОВОК
Нині можна впевнено констатувати, що:
Це безпосередньо стосується й КВОІ, які
надзвичайно швидко входять у наше буття.
1) більша частина знань про безпеку, які створені та акумульовані
людством, не охоплена відповідними інструментами безпеки;
КВОІ
2) глибока обізнаність про методи роботи зловмисників, про потенційно
можливі події та інциденти безпеки суттєво зменшує впевненість
користувачів у своїх силах.
Лучшая
производит
ельность
Традиционн
ая безопасность
•Каждая новая коробка
для безопасности снижает
производител
ьность;
•IPS чаще
всех получают жалобы
•Идут трения
между ИТ и
безопасностью
Тим не менш слід
розуміти, що підвищуючи
рівень безпеки власної
інфраструктури,
– люди суттєво
погіршують їх
продуктивність
Firewall
IPS
AntiMalware
33

36.

Враховуючи таке, з метою убезпечення державами світу власних ІР, ІКТ та ІТС від деструктивного
кібернетичного впливу, а також захисту від нього власної інфраструктури,
необхідно:
по-перше, проводити активну інформаційно-пропагандистську
кампанію про значимість проблематики інформаційної і кібербезпеки та захисту інформації;
по-друге, вдосконалювати нормативно-правовий та понятійно-термінологічний апарат
з
питань інформаційної і
кібербезпеки та захисту інформації;
по-третє, створювати сучасні механізми моніторингу кібервтручань і загроз, а також своєчасного прийняття рішень щодо
реагування на їх прояви;
по-четверте, забезпечувати безпеку державних інформаційних ресурсів та надійність захисту об’єктів критично-важливої інфраструктури;
по-п’яте, підтримувати вітчизняних виробників програмно-апаратного забезпечення;
по-шосте, підвищувати компетентності фахівців
різних сфер діяльності у питаннях інформаційної і
кібербезпеки та захисту інформації;
по-сьоме, організовувати міжнародне співробітництво у сфері кібербезпеки;
по-восьме, першочергово вирішувати найбільш важливі й загальні та, в тому чи іншому формулюванні, найбільш пріоритетні
задачі, що передбачають посилення боротьби з міжнародним тероризмом тощо.
Невиконання цих кроків може привести до серйозних проблем, пов’язаних із забезпеченням
безперебійного функціонування головних сегментів інфраструктури будь-якої держави світу,
цілісності та конфіденційності інформації, а також її збереження й, як наслідок, до втрати нею
політичної незалежності, тобто до фактичного програшу війни невійськовими засобами та
підпорядкування її національних інтересів інтересам протиборчої сторони.
34
English     Русский Rules