Информационная безопасность

Размещено на http://www.allbest.ru/

Информационная безопасность

Анализ угроз

Ш Несанкционированное копирование

Ш Потеря или удаление информации

Ш Несанкционированное (умышленное) изменение информации

Ш Нарушение работоспособности (неэффективное использование ресурсов)

Чаще всего:

l Случайное уничтожение информации

l Нарушение работоспособности сети

l Отказ технических средств из-за неосторожности пользователей

l Воздействие вирусов

l Перегрузка от «спама»

l Кража клиентской базы, финансовой информации и др. действия недобросовестных или уволенных сотрудников

l Неисполнение технических требований из-за невысокой квалификации персонала

Внутренние ИТ-угрозы Российских компаний (опрос 400 респондентов)

Основной путь утечек информации - сотрудники

Халатное отношение,34%

Слабый контроль,5%

Хакеры,20%

Недостаточный мониторинг безопасности,17%

Внутренние злоумышленники, 24%

Кто отвечает за ИБ ?

l Системный администратор?

(функции: организация бесперебойной работы ИТ и ИС, исполнитель, в большой компании их м.б. несколько)

l Начальник службы безопасности? (функции: охрана предприятия, кадровые проверки, открытый и негласный контроль за лояльностью сотрудников)

l CIO ?

(функции: организация работы всей информационной службы)

Вариант 1 : СIO

+ Защита информации - область специфическая и некомпетентное вмешательство может усугубить проблемы.

- Параллелизм в работе со службой безопасности

Вариант 2 : Начальник СБ

+ ИБ - часть системы общей безопасности, проблема решается системно, т.к. часто слабое звено - некомпетентный или обиженный сотрудник

- Нарушение иерархии в системе управления, подчинение CIO одновременно СБ и руководству может порождать организационные проблемы

Вариант 3 : «два ключа»

СIO + Начальник СБ

+ Службы контролируют друг друга, распределяя роли соответственно квалификации сотрудников.

При этом СБ следит не столько за соблюдением технических мер (грамотный специалист ИТ всегда может найти лазейку) сколько за лояльностью и добросовестностью сотрудников ИТ - службы.

Чтобы построить систему защиты информации - ответьте на 3 вопроса:

l Что защищать?

l Отчего защищать?

l Как защищать (нормативная база, стандарты, способы, методы, средства, организация)?

Нормативная база

Закон РФ «Об информации, информационным технологиям и защите информации» от 27.07.06 №149-ФЗ

УКАЗ Президента РФ от 03.04.1995 N 334

(ред. от 25.07.2000) «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования»

ПОСТАНОВЛЕНИЕ Правительства РФ от 30.04.2002 N 290 (ред. от 17.12.2004) "О лицензировании деятельности по технической защите конфиденциальной информации"

Закон РФ «Об информации, информационным технологиям и защите информации» от 27.07.06 №149-ФЗ

УКАЗ Президента РФ от 03.04.1995 N 334

(ред. от 25.07.2000) «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования»

ПОСТАНОВЛЕНИЕ Правительства РФ от 30.04.2002 N 290 (ред. от 17.12.2004) "О лицензировании деятельности по технической защите конфиденциальной информации"

История, предпосылки возникновения стандартов безопасности

l С 1985 г. большинство национальных стандартов по оценке безопасности ориентировались на документ, разработанный по заказу Министерства обороны США, получивший название «Оранжевая книга».

l В ее основу была положена концепция , ориентированная на защиту крупных вычислительных комплексов. Массовое распространение ПК, распределенных систем и глобальных сетей обнаружило недостатки классического подхода к оценке безопасности, эра «Оранжевой книги» закончилась.

На основе «Оранжевой книги»

были разработаны версии, представляющие

собой методики выбора политики

безопасности на основе анализа рисков и

необходимого уровня гарантий:

«Красная книга» - учтены отличия распределительных систем от сосредоточенных;

«Розовая книга» - описаны показатели защищенности, связанные со спецификой СУБД.

Новый подход к безопасности

l Накопившиеся проблемы призван разрешить новый международный стандарт ISO/IES 15408.

l Авторы - специалисты из 6 стран: США, Канады, Германии, Нидерландов, Франции и рабочая группа специалистов WG3 объединенного технического комитета JTC1 «Информационные технологии ISO/IES

Разработки СНГ

l В 1997-1999гг. В соответствии с методологией общих критериев безопасности в Институте технической кибернетики Национальной академии наук Белоруссии разработаны проекты общих требований к профилям защиты, ПЗ межсетевого экрана, сетевого и транспортного уровней.

l С 1998г. Рекомендовано использовать стандарт ISO/IES 15408 в СНГ.

Стандарты РФ

С 01.01.2004г. В РФ принят стандарт

ГОСТ Р ИСО/МЭК 15408-2002, соответствующий международному стандарту ISO 15408 - методика, описывающая параметры и и функции безопасной ИС, применение которой позволяет ответить на вопрос: «Безопасна ли система?», впитавшая в себя многолетний мировой опыт оценки безопасности, принятая в 15 ведущих государствах.

10 главных угроз ИБ (по данным компании Ernst & Young)

Размещено на http://www.allbest.ru/

Типы вредоносных программ,%

Сетевые черви, 85%, Вирусы, 10%, Троянцы, 5%

Вирусы

Одна из ранних угроз, первое упоминание относится к началу 80-х годов.

Вирусы мутировали, заражая не только загрузочные сектора жестких дисков , но и файлы документов, базы данных и графические изображения.

В настоящее время считается, что проблемы вирусов как таковых уже не существует, стоит всего лишь обновлять антивирусное ПО.

Вирусы - статистика

В мире существует более 50 000 компьютерных вирусов

Ежемесячно появляется от 200 до 300 новых вирусов.

Примерно 55% вирусов передается через вложения электронной почты.

Каждый месяц примерно 8% компьютеров сталкиваются с проникновением вируса.

Черви

Наиболее активная часть вредоносных программ (заложен механизм самораспространения). В Интернете доступны коды практически любой вредоносной программы, в т.ч. заражающие мобильные телефоны (от рассылки сообщений в чаты до демонстрации фривольных картинок).

В 2004г. Зафиксирована «война» между авторами червей (Bagle vs Netsky), когда одни черви уничтожались другими.

Черви - статистика

Ежедневно обнаруживается 10-15 новых червей, хотя не все обладают какими-то новыми возможностями., обычно являясь модификациями уже известных. Задача - остаться незамеченными для антивирусов в течение первых часов после начала распространения.

Ежегодно атакам червей подвергается 7 компьютеров из 10.

В Европе ущерб от атак ежегодно составляет около 20 млрд. евро, прекращается деятельность около 20% малых предприятий, не обладающих достаточными средствами для защиты.

Троянцы

Основное отличие троянцев - отсутствие механизма самораспространения.

Задача - проникновение с целью обнаружения скрытых каналов утечки информации.

Троянец Mitglieder незаметно устанавливался на компьютер-жертву и служил станцией для пересылки спама.

Функции - от простой пересылки информации до дистанционного выполнения команд владельцев троянца и загрузки других вредоносных программ.

Спам, шпионское и рекламное ПО

Spyware - ПО предназначенное для слежения за действиями пользователя и пересылки собранной информации недобросовестным адресатам, которые могут использовать его для продвижения своей рекламы (аdware) и др. деяний, раздражающих большинство пользователей.

По данным America online шпионское ПО установлено на 80% компьютеров пользователей (у одних сотни у др. единицы), со временем данный класс ПО грозит распространится шире, чем спам.

Распределение спама по тематике в Рунете в первом полугодии 2007г. (источник «Лаборатория Касперского», журнал РС WEEK)

DoS и DDoS -атаки

DoS -атака - «отказ в обслуживании», в одиночку не справляются даже самые крупные компании (Amazon, Microsoft, eBay…)

Лавинообразный поток трафика стирает все на своем пути, серверы останавливаются. Не справляясь с объемом информации.

В российской практике известны примеры шантажа владельцев сайта DoS -атакой.

Мировой опыт - конкурент, заплатив за атаку в течение нескольких недель 1000 $, нанес компании ущерб в размере более 2 млн.$.

Подмена главной страницы сайта

Виртуальное граффити может серьезно навредить репутации компании, отпугнуть потенциальных клиентов.

«Здесь был Вася» - это самая безобидная надпись, которая может появиться на вашем сайте.

Мобильные угрозы

Активное внедрение КПК в корпоративные сети может увеличит угрозы копаний.

В США зафиксирован случай заражения телефонов в витрине магазина проходящим мимо человеком с инфицированным аппаратом.

Социальный инжиниринг

Автор метода - Кевин Митник - известный хакер, отсидевший за свои деяния в американской тюрьме.

«Инженер человеческих душ», он в тюрьме написал книгу «Искусство обмана», в которой раскрывал подходы к различным типам людей, у которых выпытывал пароли и другие секреты доступа в корпоративные сети.

Просьба назвать пароль от Интернет-провайдера или системного администратора - типичные примеры социального инжиниринга.

l В феврале 2003г. К.Митник получил разрешение пользоваться Интернетом после пребывания в заключении с 2000 года.

l После тюрьмы он начал деятельность в сфере информационной безопасности

Фишинг

Новая угроза, развивающая социальный инжиниринг.

Суть проста - пользователю Интернет-банка или Интернет -магазина присылают письмо об окончании срока действия пароля и просят перерегистрироваться на их сайте.

Вводя нужную информацию клиент посылает данные на фальшивый сайт (среднее время жизни такого сайта - 6 дней) и злоумышленники получают доступ к персональным данным. В 2004г. фишингу подверглись более 57 млн.чел.

В последнее время в письмах указываются ссылки на настоящие сайты, а сфальсифицированный адрес скрыт в коде письма или параллельно устанавливается троянец, который пересылает информацию на подставной сайт вместо реального.

ФРОД - угроза для мобильных сетей

Froud - обман, мошенничество, жульничество в сфере мобильных сетей

Card-froud - мошенничество в сфере пластиковых карт, т.к. в США и Европе абоненты мобильной сети привязаны к кредитным картам

l Сегодня насчитывается свыше 200 видов фрода, которые можно разделить на 3 категории:

1. Деятельность абонентов, уклоняющихся от уплаты по счетам

2. Вмешательство в работу систем сотового оператора с помощью специализированной аппаратуры и ПО

3. Мошеннические операции с использованием SIM-карт (одно из требований к биллинговым системам - раздельное хранение информации о номере и о кодах)

По данным Ассоциации по борьбе с мошенничеством в области связи в 2000г. потери от фрода составляли 12млрд.$, в 2007г. - до 25млрд.$

Эксперты Neural Technologies (www.neuralt.com) считают, что ежегодные потери от фрода равны 40 млрд. $ из-за большого распространения сотовой связи во всех странах мира.

В 2006г. От утечки приватной информации пострадало 785тысяч человек по всему миру

Внутренние фрод-угрозы России

l 77% всех утечек - халатность сотрудников ( иногда в обход всех систем защиты, рассчитанных на внешнего врага, сотрудник копирует абонентские данные, так происходят утечки персональной информации от операторов мобильной связи или из кредитных бюро)

l 66% всех инцидентов в РФ пришлось на частные компании, а не на госсектор

Распределение вредоносного ПО по платформам (ЛК 2007г.)

l Windows - 236430 ( 99,66%)

l Unix - 602 (0,254%)

l ОС для мобильных систем - 63 (0,027%)

l Mac ОС - 35 (0,015%)

l Прочие - 106 (0,044%)

Новинки киберпреступной активности -активное создание вредоносных программ по заказу с оказанием технической поддержки покупателям

l яркий пример - троянская программа-шпион Pinch. За несколько лет ее авторы создали более 4000 версий по заказам злоумышленников. В декабре 2007г. Руководителем ФСБ РФ было объявлено об установлении личностей авторов.

l Китайский вирус-червь Fujack - кража данных пользователей онлайн-игр - разошелся по миру в сотнях вариантов. После ареста автора китайской полицией выяснилось, что от продажи было заработано около 12тыс.долл.

В ходе расследования выяснилось

l Что вредоносные программы находились на сайтах RBN - Russian Business Network

l RBN использовалась как площадка для распространения

l Скандал разразился летом 2007г.

l Осенью 2007г. компания RBN ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира, размыв реальные масштабы своей деятельности

Тенденции киберпреступности

l Основное внимание киберпреступников - различные троянцы, специализирующиеся на краже пользовательской информации

l Основные объекты атак - пользователи различных банковских и платежных систем, любители онлайн-игр

l Сплочение авторов вирусов и спамеров - для объединения атак и эпидемий с рассылкой спама

l Основные пути проникновения - по прежнему электронная почта и уязвимости в браузерах

Распределение конфиденциальной информации в ИТ-инфраструктуре

Прикладные базы данных (SAP, SQL Server,…), 34%

Файловые системы (электронные таблицы, Word, …),28%

Электронная почта, коммуникации, 21%

Корпоративные порталы и внутренние сети, 17%

информационный безопасность защита программа

Аутентификация на основе биометрических параметров

Биометрический параметр - измеряемая физическая черта, используемая для распознавания человека, его идентификации и проверки «является ли он тем, кем себя заявляет»

Выделяют физиологическую и поведенческую группы биометрических параметров

Биометрическая система - это система, способная:

l Получить биометрический образец от человека (снимок радужки, отпечаток пальца, …)

l Извлечь из него биометрические данные (особые точки, др. параметры)

l Сравнить эти данные с образцами, хранящимися в базе данных

l Определить совпадения

l Сделать заключение по идентификации данных (да, нет, недостаточно данных)

l Подтвердить, что это именно тот человек (да, нет).

Структура рынка биометрических средств по используемым признакам:

Распознавание геометрии руки, 25

Распознавание черт лица, 15%

Сканирование радужной оболочки глаза, 12%

Верификация голоса, 11%

Верификация подписи, 3%

Перспективы рынка биометрии- определение комплекса параметров :

l Форма кисти

l Форма лица

l Термограмма лица

l Голос

l Подпись

l Радужная оболочка глаза

l Рисунок папиллярного узора пальца

l Фрагменты генетического кода

Важным аспектом является умение осуществить действия на хорошей скорости с возможностью распознать муляж

Размещено на Allbest.ru