«Человеческий фактор, как угроза обеспечению информационной безопасности в системе объектов транспортной инфраструктуры

и транспортных средств. Комплексный подход»

«Об обеспечении транспортной безопасности (защита, охрана) объектов транспортной инфраструктуры и транспортных средств»

Вопросы к рассмотрению

•Инциденты ИБ в системах мониторинга транспортной безопасности•О надежности программного обеспечения в системе транспортной инфраструктуры•Непредумышленные и злоумышленные угрозы информационной безопасности, •Методы и технологии снижения влияния человеческого фактора на бесперебойность транспортной инфраструктуры обеспечения транспортной безопасности•Импортозамещение компонент инфраструктуры обеспечения транспортной безопасности•О включении требований ОИБ в единые требования к инженерно-техническим средствам

Уязвимости на http://secunia.com

На 2289 продукта приходится 13073 уязвимостей

Новый обзор выйдет 25 марта

727 уязвимости были обнаружены в 5 самых популярных браузерах

в 2014 году

Internet Explorer имеет долю рынка в 99% процентов, Firefox и Chrome, установленных на 63% и 60% компьютеров с ОС Windows. Между ними 641

уязвимость

Статистика

Источник: Computer Security Institute

Угрозы связанные с человеческим фактором в сумме составляют 80 %

Человеческий факторПреднамеренные и непреднамеренные нарушения безопасности программного обеспечения безопасности компьютерных систем большинство отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои аппаратных средств КС, ошибки программного обеспечения и т.п. часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности.

Непредумышленные, предумышленные (злоумышленные) угрозы

• Злоумышленные угрозы информационной безопасности – угрозы, носящие злоумышленный характер вызваны, как правило, преднамеренным желанием субъекта осуществить несанкционированные изменения приводящие к...

• Непредумышленные угрозы информационной безопасности - Непредумышленные ошибки обслуживающего персонала в результате которых возникают дестабилизирующие факторы, влияющие на безопасность функционирования информационных систем

…. большие данные - это будущее и мы его владельцы ……

Хакеры отделили Астраханскую область от РоссииДепутаты регионального парламента считают это политической провокацией. В ночь на 7 октября на сайте думы Астраханской области было опубликовано сообщение о создании «чрезвычайного комитета» по отделению региона от состава России. В тексте сообщения было сказано, что на территории Астраханской области создается новое государство «Нижне-Волжская народная республика».

Человеческий фактор и управление критическими системами. Психологические феномены.

• Человеческий фактор может воздействовать на информационную систему на этапах проектирования и создания, а не только в режиме эксплуатации

• Технологическая эффективность критических систем может свестись на нет ошибочными, несвоевременными действиями человека, т.е. при случайных дестабилизирующих воздействиях

• Феномены неосознаваемых автоматизмов и явления неосознаваемой установки подвержены нашему бессознательному. В связи с этим необходимо введение в критических системах каналов дублирования принятия решения. Также необходима тщательная проработка обучающих методик для обслуживающего персонала для сведения к минимуму таких реакций

Методы снижения непредумышленных угроз

• Использование адекватных методов оценки актуального психофизиологического состояния человека с целью профотбора, оценки адаптационных возможностей человека, его трудоспособности в экстремальных условиях. В том числе полиграфа и методов психодиагкостики.

• Метод повышения надежности приема и обработки информации ее дублирование; увеличение объема информации при ее предъявлении по различным сенсорным каналам.

• Для снижения феноменов неосознаваемых автоматизмов и явления неосознаваемой установки необходимо введение в критических системах каналов дублирования принятия решения. Также необходима тщательная проработка обучающих методик для обслуживающего персонала для сведения к минимуму таких реакций.

• Метод детальной проработки должностных инструкций и инструкций пользователя информационной системы.• Метод двухфакторной аутентификации.• Метод разграничения доступа к информационных ресурсам.• Метод ограничения доступа к использованию периферийного оборудования.• Метод контроля действий пользователя информационной системы.

Что мы доверяем своим «программистам»:• Стабильность и непрерывность процесса• Манипуляцию с данными: изменение и перемещение• Управление процессами• Возможность развития нашей системы

Достаточно ли просто доверия?

Необходимо вводить в практику использования системы умеющие анализировать код (сканеры кода) модифицированных приложений. Это дает:• На уровне приемки работ снизить вероятность случайно оставленных в коде

ошибок и уязвимостей• Проверить код на специфические правила, если они сформированы для вашей

организации• Убыстрить процедуру приемки и повысить ее качество• Аргументированно разговаривать с внешним разработчиком

Комплексные меры обеспечения информационной безопасности в системе

объектов транспортной инфраструктуры и транспортных средств

• Методы снижения человеческого фактора в реализации угроз ИБ и ТБ

• Периодический мониторинг и эффективное управление уязвимостями программного обеспечения

• Использование в критических информационных системах только сертифицированных средств защиты информации и ПО. По возможности только отечественных средств.

• Включение требований ОИБ в единые требования к инженерно-техническим средствам

13-14 апреля в Екатеринбурге

Конференция

БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

БИТ УРАЛ 2016

Минин Виктор

Председатель Общественного консультативного совета по научно-технологическим

вопросам информационной безопасности Комиссии по информационной безопасности

при Координационном совете государств-участников СНГ по информатизации при РСС,

Председатель Правления Ассоциации руководителей служб информационной безопасности

Академик Международной академии связи

Тел.: +7 (495) 6405330 E-mail: mvv@aciso.ru, www.aciso.ru