16 9 минин в.в
TRANSCRIPT
«Человеческий фактор, как угроза обеспечению информационной безопасности в системе объектов транспортной инфраструктуры
и транспортных средств. Комплексный подход»
«Об обеспечении транспортной безопасности (защита, охрана) объектов транспортной инфраструктуры и транспортных средств»
Вопросы к рассмотрению
•Инциденты ИБ в системах мониторинга транспортной безопасности•О надежности программного обеспечения в системе транспортной инфраструктуры•Непредумышленные и злоумышленные угрозы информационной безопасности, •Методы и технологии снижения влияния человеческого фактора на бесперебойность транспортной инфраструктуры обеспечения транспортной безопасности•Импортозамещение компонент инфраструктуры обеспечения транспортной безопасности•О включении требований ОИБ в единые требования к инженерно-техническим средствам
Уязвимости на http://secunia.com
На 2289 продукта приходится 13073 уязвимостей
Новый обзор выйдет 25 марта
727 уязвимости были обнаружены в 5 самых популярных браузерах
в 2014 году
Internet Explorer имеет долю рынка в 99% процентов, Firefox и Chrome, установленных на 63% и 60% компьютеров с ОС Windows. Между ними 641
уязвимость
Статистика
Источник: Computer Security Institute
Угрозы связанные с человеческим фактором в сумме составляют 80 %
Человеческий факторПреднамеренные и непреднамеренные нарушения безопасности программного обеспечения безопасности компьютерных систем большинство отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои аппаратных средств КС, ошибки программного обеспечения и т.п. часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности.
Непредумышленные, предумышленные (злоумышленные) угрозы
• Злоумышленные угрозы информационной безопасности – угрозы, носящие злоумышленный характер вызваны, как правило, преднамеренным желанием субъекта осуществить несанкционированные изменения приводящие к...
• Непредумышленные угрозы информационной безопасности - Непредумышленные ошибки обслуживающего персонала в результате которых возникают дестабилизирующие факторы, влияющие на безопасность функционирования информационных систем
…. большие данные - это будущее и мы его владельцы ……
Хакеры отделили Астраханскую область от РоссииДепутаты регионального парламента считают это политической провокацией. В ночь на 7 октября на сайте думы Астраханской области было опубликовано сообщение о создании «чрезвычайного комитета» по отделению региона от состава России. В тексте сообщения было сказано, что на территории Астраханской области создается новое государство «Нижне-Волжская народная республика».
Человеческий фактор и управление критическими системами. Психологические феномены.
• Человеческий фактор может воздействовать на информационную систему на этапах проектирования и создания, а не только в режиме эксплуатации
• Технологическая эффективность критических систем может свестись на нет ошибочными, несвоевременными действиями человека, т.е. при случайных дестабилизирующих воздействиях
• Феномены неосознаваемых автоматизмов и явления неосознаваемой установки подвержены нашему бессознательному. В связи с этим необходимо введение в критических системах каналов дублирования принятия решения. Также необходима тщательная проработка обучающих методик для обслуживающего персонала для сведения к минимуму таких реакций
Методы снижения непредумышленных угроз
• Использование адекватных методов оценки актуального психофизиологического состояния человека с целью профотбора, оценки адаптационных возможностей человека, его трудоспособности в экстремальных условиях. В том числе полиграфа и методов психодиагкостики.
• Метод повышения надежности приема и обработки информации ее дублирование; увеличение объема информации при ее предъявлении по различным сенсорным каналам.
• Для снижения феноменов неосознаваемых автоматизмов и явления неосознаваемой установки необходимо введение в критических системах каналов дублирования принятия решения. Также необходима тщательная проработка обучающих методик для обслуживающего персонала для сведения к минимуму таких реакций.
• Метод детальной проработки должностных инструкций и инструкций пользователя информационной системы.• Метод двухфакторной аутентификации.• Метод разграничения доступа к информационных ресурсам.• Метод ограничения доступа к использованию периферийного оборудования.• Метод контроля действий пользователя информационной системы.
Что мы доверяем своим «программистам»:• Стабильность и непрерывность процесса• Манипуляцию с данными: изменение и перемещение• Управление процессами• Возможность развития нашей системы
Достаточно ли просто доверия?
Необходимо вводить в практику использования системы умеющие анализировать код (сканеры кода) модифицированных приложений. Это дает:• На уровне приемки работ снизить вероятность случайно оставленных в коде
ошибок и уязвимостей• Проверить код на специфические правила, если они сформированы для вашей
организации• Убыстрить процедуру приемки и повысить ее качество• Аргументированно разговаривать с внешним разработчиком
Комплексные меры обеспечения информационной безопасности в системе
объектов транспортной инфраструктуры и транспортных средств
• Методы снижения человеческого фактора в реализации угроз ИБ и ТБ
• Периодический мониторинг и эффективное управление уязвимостями программного обеспечения
• Использование в критических информационных системах только сертифицированных средств защиты информации и ПО. По возможности только отечественных средств.
• Включение требований ОИБ в единые требования к инженерно-техническим средствам
13-14 апреля в Екатеринбурге
Конференция
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
БИТ УРАЛ 2016
Минин Виктор
Председатель Общественного консультативного совета по научно-технологическим
вопросам информационной безопасности Комиссии по информационной безопасности
при Координационном совете государств-участников СНГ по информатизации при РСС,
Председатель Правления Ассоциации руководителей служб информационной безопасности
Академик Международной академии связи
Тел.: +7 (495) 6405330 E-mail: [email protected], www.aciso.ru