2. Введение: Цели защиты
информации
● обеспечение национальной безопасности, суверенитета
Республик Беларусь;
● сохранение информации о частной жизни физических лиц и
неразглашение персональных данных, содержащихся в
информационных системах;
ЗАКОН "ОБ ИНФОРМАЦИИ,
ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ
ИНФОРМАЦИИ" 10 ноября 2008 г.
№ 455-З
3. Введение: Цели защиты
информации
● обеспечение прав субъектов информационных отношений при
создании, использовании и эксплуатации информационных систем и
информационных сетей, использовании информационных технологий,
а также формировании и использовании информационных ресурсов;
● недопущение неправомерного доступа, уничтожения, модификации
(изменения), копирования, распространения и (или) предоставления
информации, блокирования правомерного доступа к информации, а
также иных неправомерных действий.
ЗАКОН "ОБ ИНФОРМАЦИИ,
ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ
ИНФОРМАЦИИ" 10 ноября 2008 г.
№ 455-З
4. Введение: термины и
определения
Вредоносная программа; ВП - программный код
(исполняемый или интерпретируемый), обладающий
свойством несанкционированного воздействия на
объект информационной технологии.
СТБ 34.101.8-2006
"ПРОГРАММНЫЕ СРЕДСТВА
ЗАЩИТЫ ОТ ВОЗДЕЙСТВИЯ
ВРЕДОНОСНЫХ ПРОГРАММ И
АНТИВИРУСНЫЕ
ПРОГРАММНЫЕ СРЕДСТВА.
Общие требования."
5. Введение: термины и
определения
Идентификация вредоносной программы - процедура
установления программным средством защиты от
воздействия вредоносных программ соответствия
обнаруженной вредоносной программы известному
образцу.
СТБ 34.101.8-2006
"ПРОГРАММНЫЕ СРЕДСТВА
ЗАЩИТЫ ОТ ВОЗДЕЙСТВИЯ
ВРЕДОНОСНЫХ ПРОГРАММ И
АНТИВИРУСНЫЕ ПРОГРАММНЫЕ
СРЕДСТВА. Общие требования."
6. Введение: термины и
определения
Компьютерный вирус - тип вредоносной программы,
обладающий способностью создавать свои копии и
внедрять их в элементы объекта информационной
технологии, при этом копии сохраняют свойства
компьютерного вируса.
СТБ 34.101.8-2006
"ПРОГРАММНЫЕ СРЕДСТВА
ЗАЩИТЫ ОТ ВОЗДЕЙСТВИЯ
ВРЕДОНОСНЫХ ПРОГРАММ И
АНТИВИРУСНЫЕ ПРОГРАММНЫЕ
СРЕДСТВА. Общие требования."
7. Введение: термины и
определения
Обезвреживание вредоносной программы - процедура
изменения программного кода вредоносной программы,
после которой прекращается вредоносное воздействие
на объект информационной технологии.
СТБ 34.101.8-2006
"ПРОГРАММНЫЕ СРЕДСТВА
ЗАЩИТЫ ОТ ВОЗДЕЙСТВИЯ
ВРЕДОНОСНЫХ ПРОГРАММ И
АНТИВИРУСНЫЕ ПРОГРАММНЫЕ
СРЕДСТВА. Общие требования."
12. Современные тенденции развития
вредоносных программ
● Высокая монетизация отрасли
● Использование социальной инженерии
как механизма установки вредоносного
ПО
● Увеличение количества мобильных угроз
● Повышение сложности механизмов угроз
13. Тенденции развития вредоносных
программ: методы монетизации отрасли
● Рассылка спама
● Кража и продажа конфиденциальной
информации
● Написание вредоносных программ под
заказ
● Продажа обнаруженных уязвимостей в
ОС
● Malware as a service
● Блокировка работоспособности ОС
(WinLock)
● Шпионаж, саботаж и кража данных
17. Тенденции развития вредоносных программ:
увеличение количества мобильных угроз
Количество вредоносных программ для платформы Android (по материалам www.
slashgear.com)
19. Тенденции развития вредоносных программ:
повышение сложности механизмов угроз
● Rootkit
● Bootkit
● BiosKit
● стирание границ между типами
вредоносов
21. Rootkits. История и развитие. UNIX
● Мир UNIX: набор утилит или специальный
модуль ядра, которые взломщик
устанавливает на взломанной им
компьютерной системе сразу после
получения прав суперпользователя.
Rootkit позволяет взломщику закрепиться
во взломанной системе и скрыть следы
своей деятельности путём сокрытия
файлов, процессов, а также самого
присутствия руткита в системе.
22. Rootkits. История и развитие.
Windows. Stealth-вирусы
● 90е годы XX в.
● Основная задача - скрыть свое
присутствие в системе
● В основном Proof of Concept или DOS-
вирусы (перехват прерываний)
23. Rootkits. История и развитие.
Windows. Современный этап
● Высокий технологический уровень (TDL,
Max++, Mayachok и т.д)
● Монетизация технологии (рассылка
спама, вымогательство, ботнеты)
● Использование уязвимостей ОС
24. Bootkits.
Буткит (Bootkit) (от англ. boot — загрузка и kit — набор
инструментов) — это вредоносная программа (так
называемая MBR-руткит), которая осуществляет
модификацию загрузочного сектора MBR (Master Boot
Record) — первого физического сектора на жёстком
диске.
28. Bioskits
● На данный момент существует лишь как
Proof of Concept
● Требует комплексного лечения (сочетает
в себе вредоносные свойства и Rootkit и
Bootkit).
● Лечение не гарантировано.
29. Противодействие сложным вирусным угрозам и
обнаружение до этого неизвестных вредоносных
программ.
● Глубокий анализ состояния ОС
● Прямой доступ к жесткому диску (ФС,
загрузочные сектора)
● Прямой доступ к реестру ОС
31. Противодействие вредоносным
угрозам
● Грамотная политика информационной
безопасности
● Обучение пользователей
● Защита периметра сети и
демилитаризованной зоны
● Защита клиентских рабочих станций
32. Противодействие вредоносным угрозам.
Политика информационной
безопасности.
Политика информационной безопасности
– это совокупность документированных
правил, процедур и требований в области
защиты информации, действующих в
организации
33. Противодействие вредоносным угрозам.
Содержание политики информационной
безопасности.
● цели построения системы защиты информации;
● перечень защищаемых сведений
● определение ответственности субъектов
информационных отношений за обеспечение
защиты информации
● определение прав и порядка доступа к защищаемой
информации (субъектам информационных
отношений предоставляется объективно
необходимый для них уровень доступа к
защищаемым сведениям)
34. Противодействие вредоносным угрозам.
Содержание политики информационной
безопасности.
● правила доступа к сетям общего пользования, в том
числе глобальной сети Интернет
● порядок работы с электронной почтой и другими
системами обмена, передачи сообщений
● порядок применения технических средств защиты и
обработки информации
● организационные мероприятия по разграничению
доступа к техническим средствам защиты и
обработки информации
35. Противодействие вредоносным угрозам.
Содержание политики информационной
безопасности.
● порядок действий при возникновении угроз обеспечению
целостности и конфиденциальности информационных
ресурсов, в том числе чрезвычайных и
непредотвратимых обстоятельств (непреодолимой
силы), и ликвидации их последствий
● инструкции для субъектов информационных отношений,
регламентирующие порядок доступа к ресурсам
информационной системы, установления подлинности
субъектов, аудита безопасности, резервирования и
уничтожения информации, контроля за целостностью
защищаемых сведений, защиты от вредоносного
программного обеспечения и вторжений
36. Противодействие вредоносным угрозам.
Свойства политики безопасности.
● Обязательно включает в себя требования в адрес
персонала, руководителей и технических служб
● Базируется на некотором уровне паранойи
(насколько разработчик доверят людям, как внутри
организации, так и снаружи).
37. Противодействие вредоносным угрозам.
Причины неудачных политик безопасности
● ПБ были неудобны для сотрудников организации и оказывали
негативное влияния на эффективность бизнес-процессов
● Сотрудники и менеджеры не привлекались к разработке ПБ,
требования политики не были согласованы со всеми
заинтересованными сторонами
● Сотрудники и руководство организации не были осведомлены
о причинах, обуславливающих необходимость выполнения
правил ПБ
● Контроль выполнения ПБ в ходе их внедрения не
осуществлялся
● Аудит безопасности не проводился
● Правила ПБ не пересматривались
38. Продукты компании ВирусБлокАда.
Области применения антивируса.
● Основной антивирус в организации
(защита файловых, почтовых и прокси
серверов, клиентских компьютеров,
централизованное управление и сбор
статистики, техническая поддержка)
● Второй антивирус в организации (защита
клиенстких компьютеров с помощью
сканера с возможностью удаленного
управлением, антируткит, приоритетный
анализ вредоносных программ,
техническая поддержка)
39. Продукты компании ВирусБлокАда.
Области применения антивируса.
● Защита демилитаризованной зоны
(почтовые сервера, прокси-серверы)
● Централизованный контроль доступа к
USB-носителям (запрет или разрешение
использования USB-носителей на
рабочей станции)
● Бесплатная защита (Антируткит с
самостоятельным анализом логов, Vba32
Rescue CD)