Информационная безопасность. Комплексная модель безопасности. (Лекция 13) презентация

Комплексная модель безопасности

А.А. Основы информационной безопасности.- М.: Горячая линия – Телеком, 2006.
Петраков А.В. Основы практической защиты информации.- М.: Радио и связь, 2001.
Шумский А.А., Шелупанов А.А. Системный анализ в защите информации.- М.: Гелиос АРВ, 2005.
Герасименко В.А., Малюк А.А. Основы защиты информации.- М.: Инкомбук, 1997.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.- М.: Энергоатомиздат, 1994.
Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации.- Орел: ОВИПС, 2000.

Корея оператор АЭС, Korea Hydro & Nuclear Power, отключил от Интернета свои внутренние компьютерные сети.

В Южной Корее сейчас действуют 23 атомных реактора, обеспечивающие до 35 % потребностей страны в электроэнергии.
Госкомпания также ограничила доступ в Интернет для своих систем управления атомными электростанциями, полностью отделив их от внутренних компьютерных сетей. С этой же целью в системах управления АЭС были опечатаны все USB-порты. Такие действия здесь считают наиболее надежным способом защиты станций от атак хакеров извне. На днях официальный Сеул также заявил, что за недавними кибератаками, в результате которых пострадали серверы трех крупных банков и трех ведущих телеканалов страны, включая государственный KBS, стоит КНДР. Пхеньян отрицает свою причастность к атакам хакеров, которые вывели из строя 48 тысяч компьютеров.


                                                                                                                         

безопасность

ядерных материалов и радиоактивных веществ должна основываться на единой системе планирования, координации, контроля и реализации комплекса технических и организационных мер, направленных на:
· предотвращение несанкционированного проникновения на территорию ядерных установок, радиационных источников и пунктов хранения, предотвращение несанкционированного доступа к ядерным материалам и радиоактивным веществам, предотвращение их хищения или порчи;
· своевременное обнаружение и пресечение любых посягательств на целостность и сохранность ядерных материалов и радиоактивных веществ, своевременное обнаружение и пресечение диверсионных и террористических актов, угрожающих безопасности ядерных установок, радиационных источников и пунктов хранения;
· обнаружение и возвращение пропавших или похищенных ядерных материалов и радиоактивных веществ.*

логическую систему целей и принципов безопасности ядерных реакторов.

Иерархия Норм безопасности

Основы Безопасности
Излагают общие принципы защиты людей и охраны окружающей среды

Требования Безопасности
Устанавливают требования: что должно быть сделано для того, чтобы эти принципы применялись для достижения целей

Руководства по безопасности
Представляют рекомендуемые методы, которые следует применять в обеспечение соблюдения этих требований

деятельности. Требования
GS-R-Part4

Безопасность атомных электростанций: Проектирование
NS-R-1

в целях безопасности

Часть 4 Оценка безопасности

Часть 5 Обращение с радиоактивными
отходами перед утилизацией

Часть 6 Вывод из эксплуатации и
прекращение деятельности

Часть 7 Противоаварийная
готовность и реагирование

Специфические Требования Безопасности

Общие Требования Безопасности

Часть 3 Радиационная защита и
Безопасность Источников Излучения

Оценка площадки для
ядерных установок

3. Безопасность исследовательских
реакторов

4. Безопасность предприятий ЯТЦ

5. Безопасность объектов утилизации
радиоактивных отходов

6. Безопасность транспортировки
радиоактивных материалов

2. Безопасность атомных
электростанций
2.1 Проектирование и сооружение
2.2 Ввод в эксплуатацию и лицензирование

Требования безопасности

направленной на достижение высокого уровня безопасности

образцовая международная практика и обратная связь от длительного опыта работы
Поэтапный подход
Самооценка
Подготовительное посещение
Основная миссия
Последующее (контрольное) посещение
Модульный подход, призванный удовлетворить потребности Государств-членов

аттестация (TQ)
Эксплуатация (OP)
Техническое обслуживание (MA)
Техническая поддержка (TS)
Учет опыта эксплуатации (OE)
Радиационная защита (RP)
Химия (CH)
Противоаварийное планирование и готовность (EPP)
(+ Ввод в эксплуатацию [COM] для предэксплуатационного ОСАРТ)

на Волгодонской и Балаковской АЭС позволила отметить следующие моменты:
Очевидные значительные усилия, затраченные станциями на подготовку к ОСАРТ;
Относительно небольшое число областей для улучшения;
Большей частью области для улучшения были сформулированы как «предложения», при весьма небольшом числе «рекомендаций»;
Относительно большое число примеров образцовой практики;
В ходе контрольных посещений ОСАРТ группа отмечала, что:
Значительная часть проблем была полностью решена, а в решении оставшихся наметился адекватный прогресс, при этом не было проблем, прогресс в решении которых был бы недостаточным;
Станции отреагировали своими корректирующими мерами не только на рекомендации и предложения, но также и на «побуждения» (т.е. наиболее мягкие рекомендательные формулировки);
Корректирующие меры были осуществлены не только на принявшей ОСАРТ станции, но и во всем ядерном парке Росэнергоатома.

помощь Государствам-членам в оценке своих новых проектов реакторов путем осуществления рассмотрений проектной документации по безопасности реактора, с особым вниманием к законченности и полноте подобного комплекта документации по безопасности, используя избранные применимые Нормы безопасности МАГАТЭ категории Основы и Требования.

.

по оценке безопасности

Вспомогательные руководящие документы

Нормы безопасности, на соответствие которым проводится рассмотрение

Нормы безопасности, используемые в концептуальной оценке МАГАТЭ безопасности новых проектов реакторов:

Требования безопасности проекта NS-R-1

Концептуальное рассмотрение безопасности реакторов Основы безопасности и Требования безопасности

критерии государств-членов

Требования и критерии государств-членов

Требования и критерии государств-членов

Рассмотрение

Рассмотрение

Рассмотрение

Рассмотрение

Лицензирование

Лицензирование

Лицензирование

Лицензирование

Глобальный режим
ядерной безопасности

Гармонизированные оценки безопасности

Будущее состояние

Будущий вклад МПОП

Требования безопасности МАГАТЭ и Концептуальное рассмотрение безопасности реакторов

на рассмотрение регулирующего органа Великобритании HSE / NII, на соответствие документу DS348:
ACR1000, AP1000, ESBWR, EPR
(начата в сентябре 2007 г. – завершена в марте 2008 г.)
ATMEA1 Проверка Пакета безопасности Концептуального проекта нового реактора ATMEA1 (консорциума AREVA-MHI ) и его инновационных особенностей на соответствие документам DS348 и NS-R-1
(начата 10 декабря 2007 г. – завершена в июне 2008 г.)
AP1000 Проверка Отчета по безопасности и воздействию на окружающую среду проекта AP1000 и его инновационных особенностей на соответствие документам DS348 and NS-R-1
(начата 13 февраля 2008 г. – завершена в январе 2009 г.)
APR1400 Проверка Отчета по безопасности и воздействию на окружающую среду проекта APR1400 компании KHNP на соответствие документам GS-R-Part 4 и NS-R-1
(начата 15 октября 2008 г. – завершена в августе 2009 г.)
Проекты в стадии планирования :
APR1000 Запрошена проверка корейского APR1000, ведутся начальные обсуждения с компанией KEPCO.

2007-2009 гг. Проведение рассмотрений GRSR :

Концептуальное рассмотрение безопасности реакторов (GRSR) Деятельность в 2006-2009 гг.

2006-2007 гг. – Разработка концепции и планирование

введения и применения Норм безопасности, Услуг по рассмотрению и консультациям в области безопасности и Международных инструментов.

МАГАТЭ с успехом проводит оценку безопасности новых проектов реакторов, используя текущие Нормы безопасности.

Имеющиеся в настоящее время Нормы безопасности представляют собой первооснову для гармонизации.

российских ядерных объектах

Задачи
Проанализировать деятельность координаторов по культуре ядерной безопасности (КЯБ) (культуре УКиФЗ ЯМ) на различных ядерных объектах.
Познакомить с положительными моментами работы координаторов по культуре, обратить внимание на ошибки и трудности, которые встречаются в начале пути.
Продемонстрировать на реальном опыте пути развития и совершенствования работы, направленной на повышение уровня культуры ядерной безопасности (культуры УКиФЗ ЯМ).

российских ядерных объектах

Статистика Ростехнадзора

Распределение причин нарушений на объектах повышенной опасности
(красным цветом выделены причины нарушений, обусловленные человеческим фактором)

российских ядерных объектах

Общие черты работы, направленной на повышение уровня культуры ядерной безопасности (культуры УКиФЗ ЯМ)
Подбор и подготовка кадров.
Обучение и переобучение персонала.
Воспитание приверженности работать по правилам.
Использование одинаковых стандартов и критериев при работе.

российских ядерных объектах

Основные цели работы:
Определить исходный уровень культуры ядерной безопасности (культуры УКиФЗ).
Усилить понимание сотрудниками ядерного предприятия важности УКиФЗ ЯМ и их обязанностей.
Формировать у персонала приверженность работать по правилам.
Снизить возможность негативной роли человеческого фактора при работе с ЯМ.

российских ядерных объектах

Требования к квалификации координатора по культуре ЯБ:

Высшее техническое образование и дополнительное обучение (повышение квалификации) по вопросам УК и ФЗ ЯМ.
Стаж работы в области УК и ФЗ ЯМ более 5 лет.
Стаж работы в руководящей должности не менее 5 лет.

Кроме того, он должен обладать следующими качествами:
качествами руководителя;
навыками коммуникации;
умением разрешать конфликты;
умением обучать людей.

безопасности

Задачи
ИБ

Понятия информационной безопасности:
что защищать?

информационной безопасности

ресурсов

Обеспечение конфиденциальности ИР

Обеспечение целостности ИР

Обеспечение доступности ИР

Соответствие требованиям закона

Понятия информационной безопасности:
что защищать?

экономической безопасности предпринимательства должна лежать определенная концепция. Концепция включает цель комплексной системы обеспечения безопасности, ее задачи, принципы деятельности, объект и субъект, стратегию и тактику.
Цель данной системы – минимизация внешних и внутренних угроз экономическому состоянию субъекта предпринимательства, в том числе его финансовым, материальным, информационным, кадровым ресурсам, на основе разработанного и реализуемого комплекса мероприятий экономико-правового и организационного характера. Следует иметь в виду, что наибольшее значение в деле обеспечения экономической безопасности предпринимательства принадлежит первичным - экономико-правовым и организационным мерам, обеспечивающим фундамент, основу системы безопасности, в отличие от вторичных – технических, физических и пр.
В процессе достижения поставленной цели осуществляется решение конкретных задач, объединяющих все направления обеспечения безопасности.

Комплексная система

конфиденциальность, целостность, доступность»



ГОСТ Р ИСО/МЭК 27001-2006

о всех значимых (с точки зрения безопасности информации) особенностях функционирования ИС для последующего анализа

Какие данные собирают?

Данные о составе и принципах работы ИС
Данные о ролях пользователей, работающих с ИС
Данные о потоках и процессах обработки информации

Источники исходных данных:

Интервьюирование пользователей ИС
Организационно-распорядительные и эксплуатационные документы
Сканирование ИС с использованием специализированного ПО

настройки
Целостность всех элементов
Подконтрольность всех действий
Документированность всех событий

Система информационной безопасности

информации
Обеспечение юридической значимости информации
Аудит и мониторинг безопасности системы
Построение доверенных каналов
Безопасное подключение ИС к открытым сетям
Обнаружение вторжений и антивирусная защита
Управление безопасностью

Система информационной безопасности

меры
организационные меры
физические меры

Система информационной безопасности