<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@56172ef5d03446e8a257616855e08757" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@4582c98bd7ec44e1988bc317e99f2667">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@4582c98bd7ec44e1988bc317e99f2667" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="text-align: center; font-size: 20pt !important; color: #003478; font-weight: bold !important;">Информационная безопасность и кибербезопасность</p>
<p><span style="font-size: 14pt !important; font-weight: bold !important; font-style: italic !important;">«Угроза — это зеркало пробелов в обеспечении безопасности. Кибер-угроза в основном является отражением наших недостатков. Точное видение цифровых и поведенческих пробелов имеет решающее значение для последовательного обеспечения кибер-устойчивости». </span><span style="font-size: 12pt !important; font-style:italic !important;"> – Stéphane Nappo, вице-президент - глобальный директор по информационной безопасности, Groupe SEB</span></p>
<p>Этот модуль служит введением в концепции информационной безопасности и кибербезопасности и направлен на ознакомление учащихся с основными элементами информационной безопасности, этапами модели управления кибер-рисками и анатомией кибератаки.</p>
<p style="color: #003478;">Посмотрите следующее видео, чтобы понять, почему информационная безопасность и кибербезопасность имеют значение.</p>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a9025b07e239451e97f07f29a7baa960">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a9025b07e239451e97f07f29a7baa960" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<p style="text-align: center"><iframe src="https://player.vimeo.com/video/575280559" width="640" height="564" frameborder="0" allow="autoplay; fullscreen" allowfullscreen></iframe></p>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@69191b04060b46df99646268d0711e90">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@69191b04060b46df99646268d0711e90" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<p><span style="font-size: 13pt !important; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Темы и цели обучения</span></p>
<p>Этот модуль служит введением в концепции информационной безопасности и кибербезопасности и направлен на ознакомление учащихся с основными элементами информационной безопасности, этапами модели управления кибер-рисками и анатомией кибератаки.</p>
<table>
<thead>
<tr><th style="border: 1px solid black; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Темы</th>
<th style="border: 1px solid black; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Цели обучения</th>
</tr>
</thead>
<tbody>
<tr>
<td style="border: 1px solid black; color: black;">
<ul>
<li>Концепции информационной безопасности
</li>
<li>Основные концепции управления рисками
</li>
<li>Модель управления рисками
</li>
<li>Анатомия атаки</li>
</ul>
</td>
<td style="border: 1px solid black; color: black;background-color: rgba(0,136,198,.30);">
<ul>
<li>Понять концепции информационной безопасности
</li>
<li>Объяснить программу информационной безопасности
</li>
<li>Понять концепции кибер-риска
</li>
<li>Понять концепции управления кибер-рисками
</li>
<li>Понять и объяснить анатомию кибератаки</li>
</ul>
</td>
</tr>
</tbody>
</table>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a8ffeb28b8ac4a2d9f462df071207b80">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a8ffeb28b8ac4a2d9f462df071207b80" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p>Для достижения этих целей данный модуль разделен на 7 разделов:</p>
<ul>
<li>В<span style="color:#003478; font-weight: bold !important;"> Разделе 1</span> представляет концепции и цели программы информационной безопасности, а также компоненты куба МакКамбера, который является представлением модели информационной безопасности.</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 2</span> объясняет различия между кибер-преступлением и кибер-угрозой, а также описывает пять этапов кибератаки.</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 3</span> напоминает о компонентах и особенностях управления кибер-рисками.</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 4</span> объясняет различия между кибер-преступлением и кибер-угрозой, а также описывает пять этапов кибератаки.</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 5</span> напоминает о компонентах и особенностях управления кибер-рисками</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 6</span> показывает пять этапов процесса управления кибер-рисками</li>
<li><span style="color:#003478; font-weight: bold !important;"> Раздел 7</span> обобщает важные концепции, представленные в модуле «Информационная безопасность и кибербезопасность»</li>
</ul>
<p>В конце модуля, обучающиеся пройдут контрольный опросник, чтобы проверить освоение материала и определить, нужно ли им повторить пройденный материал по концепциям информационной безопасности и кибербезопасности.
<br/><br/>Наконец, для углубления знаний по информационной безопасности и кибербезопасности предлагается дополнительное чтение.</p>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@4ee3d0a1c7354647896d0a4015d014a0" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@83f44507232e49bc9baa491253e6b238">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@83f44507232e49bc9baa491253e6b238" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<p>В представленном ниже видеоподкасте, <span style="color: #003478; font-weight: bold !important;">Ms. Karen Evans</span>,
<span style="color: #003478; font-weight: bold !important;">Ms. Ayhan Gucuyener</span>, <span style="color: #003478; font-weight: bold !important;">Ms. Amanda Joyce</span>,
and <span style="color: #003478; font-weight: bold !important;">Dr. Roland Varriale</span> обсуждают важность того, чтобы лица, принимающие решения, и аналитики учитывали информационную безопасность и кибербезопасность в процессах анализа рисков для повышения безопасности и жизнестойкости энергетических сетей и систем критической инфраструктуры.
<br/><br/>
В ходе дискуссии конкретно рассматриваются следующие вопросы:
<ul>
<li>Каковы основные потребности в информационной безопасности в энергетическом секторе?
</li>
<li>С какими проблемами сталкивались вы при внедрении стратегий/процессов обеспечения кибербезопасности энергетических сетей и систем критической инфраструктуры?
</li>
<li>Каковы предстоящие проблемы и потребности в повышении информационной безопасности и кибербезопасности?
</li>
<li>Как международное сотрудничество в рамках ОБСЕ может способствовать повышению информационной и кибербезопасности в энергетическом секторе?</li>
</ul><br/>
<span style="color: #003478;"><b>Нажмите на видео ниже, чтобы посмотреть дискуссию об информационной безопасности и кибербезопасности.</b></span>
</p>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@4987d58a67de471882ec3b8db8910782">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@4987d58a67de471882ec3b8db8910782" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<p style="text-align: center"><iframe src="https://player.vimeo.com/video/646527425" width="640" height="400" frameborder="0" allow="autoplay; fullscreen" allowfullscreen></iframe></p>
<p><span style="color: #003478;">Разверните гармошку ниже, чтобы просмотреть стенограмму обсуждения и биографию эксперта.</span></p>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@7de90d96e9194db1856d2def73b05852">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@7de90d96e9194db1856d2def73b05852" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Текстовая расшифровка видеоподкаста</button>
<div class="panel">
<table>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>00:00 - Общее введение</b></td>
</tr>
<tr>
<td style="background-color:white;">Добро пожаловать на дискуссию по информационной безопасности и кибербезопасности, являющуюся компонентом тренинга «Критические энергетические сети: от анализа рисков к управлению рисками» Виртуального центра ОБСЕ по защите критической энергетической инфраструктуры.
Данная презентация представляет собой неформальное обсуждение экспертами важности обеспечения информационной безопасности и кибербезопасности для работы, безопасности и жизнестойкости критически важных энергетических сетей.
<br/><br/>
<b>Dr. Roland Varriale:</b> Здравствуйте и добро пожаловать. Я Роланд Варриале, аналитик по кибербезопасности при Аргоннской национальной лаборатории. Я занимаюсь вопросами кибербезопасности инфраструктуры транспортных средств и связанных с ними систем. Сегодня с нами Карен Эванс, член правления Центра кибербезопасности и технологических инноваций и партнер KE&T Partners LLC; Аманда Джойс, руководитель группы по обеспечению кибербезопасности и руководитель программы по силам кибербезопасности при Аргоннской национальной лаборатории; и Айхан Гюджюенер, специалист по проектам Центра кибербезопасности и защиты критической инфраструктуры Университета Кадир Хас в Турции. Не могли бы вы представиться в указанном порядке?<br/><br/>
<b>Ms. Karen Evans:</b> Конечно, спасибо, Роланд, что пригласили меня сегодня. Я очень рада. Как вы сказали, я здесь из Центра, но в своей прошлой жизни, совсем недавно, я была бывшим директором по информационным технологиям (CIO) в Министерстве внутренней безопасности США (DHS), а также первым и бывшим помощником секретаря по кибербезопасности, энергетической безопасности и реагированию на чрезвычайные ситуации, известным как CESER, в Министерстве энергетики США (DOE).<br/><br/>
<b>Ms. Amanda Joyce:</b> Я Аманда Джойс. Как вы уже сказали, я являюсь руководителем группы стратегического кибер-анализа и исследований Аргоннской национальной лаборатории, и я возглавляю многие усилия по развитию кадров в области кибербезопасности при этой лаборатории.<br/><br/>
<b>Ms. Ayhan Gucuyener:</b> Здравствуйте все, спасибо, что пригласили меня сюда. Меня зовут Айхан Гюджюенер, я работаю специалистом по проектам в Университете Кадир Хас — это университет в Турции — в Ресурсном центре по кибербезопасности и защите критической инфраструктуры, и одновременно являюсь кандидатом наук на факультете международных отношений того же университета. В настоящее время я работаю над своей кандидатской диссертацией, что очень трудно, так что….<br/><br/>
<b>Dr. Roland Varriale:</b> И мне так было. Отлично — спасибо всем вам за то, что вы пришли и посвятили часть своего времени, добровольно отдали свое время для работы над этой очень важной проблемой.<br/><br/></td>
</tr>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>02:45 – Потребности энергетического сектора в информационной безопасности</b></td>
</tr>
<tr>
<td style="background-color:white;">
<b>Dr. Roland Varriale:</b> Итак, существуют некоторые потребности в информационной безопасности, которые могут отличаться в энергетическом секторе от обычной работы в частном секторе. Аманда, есть ли у вас какие-либо соображения относительно различий или особых потребностей в информационной безопасности в энергетическом секторе?<br/><br/>
<b>Ms. Amanda Joyce:</b> Конечно, и я думаю, что мои коллеги, вероятно, согласятся со мной, что в энергетическом секторе, как и во многих других секторах, это не проблема с универсальным решением. Все люди разные. Каждая страна отличается от другой. Каждый штат отличается от другого. И при продумывании плана кибербезопасности в энергетике, часть этой специфики состоит в том, что большая часть инфраструктуры была построена давным-давно без учета кибербезопасности, без учета того, что многое будет подключено к Интернету, как уже сложилось сегодня. Пока у нас есть удаленный доступ и вся эта информация, людям проще удаленно подключиться к машине, к которой давным-давно кто-то физически подходил и проверял уровень энергии или уровень воды и т.п. Так что, прежде всего, вопрос заключается в том, чтобы понять, какие меры безопасности установлены вокруг имеющихся активов. Вот стоит забор из сетки Рабица вокруг того, что в идеале должно иметь больше защиты, что аналогично, например, вопросу: нужно вам установить брандмауэр или нет? Так что в конечном итоге я бы свела все к очень простой логической основе: понимание того, что вообще имеется, в энергетическом секторе, в плане наличных активов. Я все же думаю, что даже в наше время, мы все еще не понимаем, что у нас имеется в плане наличных активов, что работает, что не работает, что подключено, что не подключено... И отчасти это следствие того, что не все является публичным, по отношению к федеральному правительству, штату или кому-то другому. Некоторые из этих активов находятся в частной собственности, поэтому невозможно просто заставить людей делиться всем. Так что, я думаю, что все сводится к тому, как наладить хорошие отношения между государственными и частными организациями для создания наилучшего плана обеспечения безопасности. И в своей основе, это начинается, на мой взгляд, с простого понимания того, какой у вас базовый уровень риска. Понимаете ли вы, каким вы подвержены угрозам? Например, во-первых, обмениваетесь ли вы оперативной информацией об угрозах? Изучаете ли вы оперативную информацию об угрозах по своему штату, по своей стране, по типу имеющейся у вас инфраструктуры? Делитесь ли вы такой информацией с другими организациями? Есть ли у вас партнеры в этой области? Понимаете ли вы, какие типы уязвимостей изначально заложены в вашей системе? И что вы делаете, чтобы смягчить такие уязвимости? И, кроме того, понимаете ли вы, каковы будут последствия, если что-то случится? Я думаю, что люди всегда исходят из того, что со мной ничего не случится, потому что этого не произошло раньше, но как мы видим все больше и больше за последние несколько лет, я думаю, что все идут с мыслью, что со мной ничего не случится, пока это не случается, а потом они как бы спрашивают: что теперь? И у них нет нужного плана. И поэтому, я думаю, что, поняв основы, мы закладываем их в фундамент, а затем начинаем строить дальше. И именно с этого, как мне кажется, мы начинаем сейчас работу в энергетическом секторе, и я думаю, что это максимум, что мы можем сделать на данный момент.<br/><br/>
<b>Ms. Karen Evans:</b> Итак. Роланд, я хотела бы вступить в разговор, чтобы немного подробнее обсудить то, что говорит Аманда, и, возможно, Аманда сможет потом снова еще поговорить. Отчасти я согласна с утверждением, что всюду по-разному, но вмести с тем одинаково. Например, многие концепции, которые исходят из информационных технологий. И Аманда действительно обрисовала основы: знать свои активы, знать свои запасы — это остается неизменным, независимо от того, в каком секторе вы работаете. Я думаю, что один момент, в силу которого рассмотрение именно энергетики является более критически важным, особенно для стран — это не только программа обеспечения кибербезопасности, но и с оперативной точки зрения, тот факт, что вы должны обеспечить подачу энергии независимо от того, что это за энергия. Таким образом, будь то энергия из возобновляемых источников, или из нефти и природного газа, или электричество, в любом случае, нужно обеспечить непрерывную подачу этой энергии. В тот момент, когда вы принимаете решение — и в этом заключается разница, которую я увидела, проработав в правительстве и вернувшись из него — операторы в сфере обеспечения безопасности информационных технологий зачастую отличаются от операторов операционных технологий тем, что, когда происходит инцидент, они хотят отключить и изолировать, чтобы собрать данные о том, что происходит, чтобы затем можно было провести анализ. Решение проблемы должно развиваться таким образом, чтобы было возможно продолжать операции, не прекращать работу, имея при этом механизм, который собирает данные, позволяющие людям проводить более серьезные виды анализа, как говорила Аманда, например, передавать их для разработки оперативной информации об угрозах. Передавать данные другим секторам, которым, возможно, придется их рассматривать, в то время как вы продолжается осуществлять свои операции. Во время моей работы в Министерстве внутренней безопасности США в качестве ИТ-директора, мы сделали еще один шаг вперед и объединили Операционный центр по обеспечению безопасности и Сетевой операционной центр в более крупную структуру под названием Центр по обеспечению безопасности сетевых операций, что позволило нам обеспечить бесперебойную работу, пока мы собираем необходимую информацию по инциденту, чтобы передать ее специалистам.<br/><br/>
<b>Ms. Amanda Joyce:</b> Я на 100% согласна с тем, что сказала Карен. Энергетический сектор, по крайней мере, в Соединенных Штатах — это критическая функция, как мы его сейчас называем, и энергия нужна для всего, что у нас есть, и поэтому это основная необходимость для нас на данный момент, что бы вы ни делали: вода, которую мы получаем, чтобы очистить воду которую мы получаем, для этого нужна энергия. Итак, все настолько комплексно, что, в любом случае, мы больше не можем позволить себе слепо идти в какое-либо направление, будь то возобновляемые источники, либо вопрос водоснабжения, или что угодно, и говорить, что со мной ничего не случится. Мы должны идти с мыслью, чтобы быть на пять шагов впереди, но что будет, если это все-таки случится? Что у вас есть такого, что позволит вашим клиентам не терять свет? По отношению к людям, которым нужна та энергия, которую вы поставляете им, или по отношению к той энергии, которая нужна вам от кого-то другого.<br/><br/>
<b>Dr. Roland Varriale:</b>И Айхан, поскольку вы специализируетесь именно на критической инфраструктуре. Существует ли какое-то присуще этим системам свойство, в силу того, как они построены, которое может привести к тому, что они будут немного более хрупкими с точки зрения риска или жизнестойкости, как сказала Карен, например, в плане протоколов работы используемых промышленных систем управления? Есть ли какие-либо отличия в том, что необходимо делать с учетом этого, по сравнению с традиционными системами информационных технологий (ИТ)?<br/><br/>
<b>Ms. Ayhan Gucuyener:</b> Одним из самых важных моментов является то, что в энергетических системах мы объединяем все технологии. Это одна из самых больших проблем, и в основном, как сказали обе участницы дискуссии, эти различные системы используют различные типы мышления о безопасности, и они управляются различными типами людей, которые имеют разный опыт, и у них разное понимание безопасности и защиты. Поэтому я думаю, что, возможно, одной из самых важных проблем для энергетического сектора является нехватка профессионалов, которые могут одновременно справиться с сетевой безопасностью операционных технологий (ОТ) и сетевой безопасностью ИТ. Возможно, инвестирование в эту область должно быть приоритетным для данного сектора. Нам действительно необходимо какое-то специальное обучение в плане подготовки специалистов по безопасности промышленных систем управления (ICS), которых в настоящее время у нас не так много, и я думаю, что это основные проблемы с моей точки зрения. </td>
</tr>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>11:49 – Проблемы обеспечения информационной безопасности и кибербезопасности</b></td>
</tr>
<tr>
<td style="background-color:white; ">
<b>Dr. Roland Varriale:</b> Карен, приводило ли это к каким-то проблемам, с которыми вы сталкивались при внедрении стратегий или процессов обеспечения кибербезопасности для энергетических сетей и систем критической инфраструктуры?<br/><br/>
<b>Ms. Karen Evans:</b> Я рада, что вы задали этот вопрос, потому что всегда хорошо иметь возможность обсуждать проблемы. Так, в моей роли, моей бывшей роли в Министерстве энергетики, поскольку это секторальное ведомство, что, вероятно, является уникальной концепцией Соединенных Штатов, основное внимание уделялось данному сектору. Таким образом, именно это ведомство, по сути, представляет данный сектор в федеральном правительстве в целом. Таким образом, мне довелось увидеть обе эти роли, поскольку затем я также перешла в Министерство внутренней безопасности, которое отвечает за всю критическую инфраструктуру в стране. Итак, проблемы с этим в США, и я предполагаю, что они немного отличаются в каждой стране, заключаются в том, что более 85% критической инфраструктуры в энергетическом секторе принадлежит частному сектору. И затем, когда вы начинаете рассматривать бизнес-модели, связанные с различными способами осуществления функций генерации, передачи и распределения, они также регулируются по-разному в зависимости от рассматриваемой части цепочки поставок. Так что это сложная штука, и как Аманда говорила ранее, в начале своего разговора, она говорила о том, что у вас должен быть план управления рисками, затем у вас должен быть план обеспечения безопасности, а затем вы смотрите на это, но здесь проблема в том, что да, я могу делать определенные вещи в пределах моей организации физически и логически. А если я нахожусь в середине этапа передачи, генерации или даже распределения, то где линия разграничения и как это работает? Поэтому я включаю все это в управление рисками цепочки поставок, когда вам действительно нужно проанализировать общий риск, потому что потребитель, человек, который находится в конце, наш гражданин, не понимает, что сеть магистрального электроснабжения регулируется одной организацией, а ветряки, которые генерируют и с которых мы собираем энергию, вообще не регулируются никем. А потом я могу поставить солнечные панели на свой дом и, возможно, начну разбираться в некоторых вещах, чтобы стать самодостаточным. Или, может быть, я присоединюсь к группе, а затем мы создадим микросеть в своем районе, то есть в некоторых районах, это рассматривалось, где люди сказали: давайте создадим микросеть. Итак, это сложная задача, когда речь идет о том, насколько критически важна генерация энергии для конечного потребителя, поскольку такие отношения тоже очень важны, и опять же, как сказали участники дискуссии, это, вероятно, самая трудная часть данного пазла, потому что имеются культурные различия между каждой из организаций, даже если мы все пытаемся достичь одного и того же результата.<br/><br/>
<b>Ms. Amanda Joyce:</b> Я бы еще добавила, что помимо того, что частная собственность составляет 85%, размер организаций сильно отличается, поэтому перед вами может быть очень маленькая компания, которая владеет очень маленькой инфраструктурой, и, следовательно, у нее будет очень малая численность сотрудников. Итак, вы сравниваете крупные энергетические компании, которые мы видим на уровне страны или штата, и с другой стороны, небольшие муниципальные компании, которые обслуживают очень небольшие территории в стране. Сравнить их очень сложно, и говорить, что все должны следовать одному и тому же — это крайне проблематично, потому что в одном случае, тысячи людей в организации задействованы для внедрения чего-то, а во втором, пять человек делают тоже самое, даже на одном и том же ландшафте, когда они в конечном итоге делают одно и то же, но в меньшем масштабе. Поэтому я думаю, что это также было основной проблемой для некоторых, так сказать, «неимущих»: у них не так много ресурсов, как у некоторых крупных конгломератных энергетических компаний, которые есть в нашем секторе.<br/><br/>
<b>Ms. Ayhan Gucuyener:</b> Возможно, я могу добавить кое-что в отношении вопросов обеспечения соблюдения сотрудниками и того, как руководству компании бывает невозможно внедрить стратегии кибербезопасности. Потому что, даже если у организации имеются лучшие устройства мониторинга или технологии обнаружения кибер-угроз, реализация хорошего кибер-иммунитета зависит от усилий и соблюдения со стороны сотрудников. И прежде чем присоединиться к этому подкасту, я проверила недавний опрос, и в нем говорится, что 58% работодателей заявили, что их самой большой проблемой при реализации стратегии кибербезопасности было заставить своих сотрудников соблюдать ее условия. Я думаю, что эта цифра действительно тревожная. Это может сделать все письменные планы, процедуры и стандарты кибербезопасности менее эффективными. Поэтому, в качестве решения проблемы, я думаю, что, возможно, энергетический сектор должен уделять внимание обеспечению соблюдения персоналом, и это может быть обеспечено посредством геймификационных учений, учений на базе учебного центра или других типов инновационных программ обучения. И, в качестве еще одной задачи, я думаю, что роль высшего руководства действительно значительна, и затем я думаю, что всегда должен быть открытый канал связи между директором по безопасности или директором по информационной безопасности с одной стороны и высшим руководством с другой, и руководители должны быть обучены тому, как они должны реагировать в отношении кибер-рисков, в отношении СМИ, коммуникации и связей с общественностью, потому что это также важные аспекты кибер-нарушений с точки зрения восстановления, с точки зрения обеспечения устойчивости. Я думаю, что другие основные проблемы, с которыми мы сталкиваемся при реализации стратегий, заключаются именно в этом.<br/><br/>
<b>Ms. Karen Evans:</b> Роланд, она подняла много действительно важных моментов, на которые, возможно, нам следует уделить побольше внимания, потому что вы перечислили все эти вопросы, и я думаю, что участники нашей дискуссии — и я знаю, что я тоже хотела что-то сказать — но я знаю, что участники нашей дискуссии действительно хотели бы погрузиться в каждый из этих вопросов, с точки зрения того, как перейти к разработке стратегии. И я думаю, что важный момент здесь, когда вы приступаете к выработке стратегии — и я сейчас передам слово Аманде — часть стратегии заключается в том, что вы же не хотите приступать к проверке своего план в самом разгаре совершаемого против вас кибер-нарушения. Например, если у вас есть стратегия на будущее: учения, учения, учения. Потому что тогда это выявит пробелы, которые вам необходимо устранить. Невозможно предугадать все, но многие из тех моментов, о которых только что говорилось, сводятся к тому, что нужна очень комплексная команда в компании, очень комплексная команда в правительстве. Мы всегда, в федеральном правительстве, называем это «подходом на базе всего правительства». Таким образом, это включает в себя правоохранительные органы, наше руководство, наших специалистов по сектору, следственный орган CISA [Управление по обеспечению кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности США], чтобы иметь возможность донести информацию до остальной части сектора. Это очень целостный подход ко всему, что было только что представлено, и ключ к успеху в этом деле — обязательно проводить учения. Аманда, я предполагаю, что вы рветесь что-то сказать об этом.<br/><br/>
<b>Ms. Amanda Joyce:</b> Да нет, я думаю, что практика приводит к совершенству, будь то кабинетные учения либо реальная проработка того, что произойдет, если нам нужно будет вот это отключить по какой-либо причине, и я думаю, касательно вопроса обеспечения соблюдения, что мы можем все соблюдать, но это не обязательно ставит нас в хорошее либо плохое положение с точки зрения лучшей практики обеспечения кибербезопасности или информационной безопасности. Это означает, что мы соблюдаем требования и делаем то, что является минимально необходимым для достижения порога предъявлено нам стандарта, а задача учений или стратегии заключается в том, что мы можем сделать больше? Что мы можем сделать лучше? И разница заключается в том, что, как сказала Карен, когда вы собираете всех этих людей в одной комнате, это заставляет вас задуматься о том, чего нам не хватает? Когда вы начинается привлекать не только людей из данной компании, когда вы начинаете привлекать правоохранительные органы, и когда вы начинаете привлекать людей, которые, скажем так, находятся в нисходящей зависимыми от вас, когда они начинают объяснять вам, насколько они зависят от вас в плане энергии — тогда вы начинаете все больше понимать, что стратегия должна охватывать гораздо больше, чем просто заботу о себе, что мы оказываем более широкое влияние. Таким образом, кабинетные учения превращаются в дни и недели понимания, а затем вы получаете целое коллективное усилие из этого.</td>
</tr>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>18:16 – Предстоящие проблемы и потребности в укреплении кибербезопасности</b></td>
</tr>
<tr>
<td style="background-color:white;">
<b>Dr. Roland Varriale:</b> И я не могу не вспомнить о двух крупных событиях, произошедших за последний год. Одно из них — кибер-событие, связанное с SolarWinds, где проактивный подход, возможно, был бы хорошей мерой в плане киберзащиты, поскольку это был эксплойт нулевого дня, так что никто из сторон, у которых было установлено данное программное обеспечение, не знал об уязвимости и не имел возможности поставить патч. Затем был инцидент с трубопроводом Colonial, который, возможно, был больше связан с базовой гигиеной кибербезопасности и выполнением многих мер по исправлению ситуации, о которых, как я знаю, я говорил ранее. Таким образом, зная об этом — что есть такие текущие проблемы и текущая обстановка, то в отношении будущего, каковы, по вашему мнению, предстоящие проблемы и потребности в плане укрепления информационный безопасности и кибербезопасности, Айхан? <br/><br/>
<b>Ms. Ayhan Gucuyener:</b> Аманда и Карен уже упомянули о проблемах в операционных технологиях и системах промышленного контроля, но я думаю, что в будущем, у нас будут некоторые проблемы с безопасностью, охраной труда и окружающей среды в связи с нарушением систем ОТ, потому что мы знаем, что из-за своей экономической и стратегической важности, энергетический сектор является одним из самых наиболее подверженных нападению секторов, и особенно государственные субъекты выходят на передний план как значительный источник проблем, причем атака Shamoon, например, в 2012 году, стала переломным моментом, хотя она не затронула систем ОТ. А вот BlackEnergy действительно открыла ящик Пандоры. Я имею в виду, что она показала, как уязвимость операционных технологий может создать далеко идущие последствия в физической мире, в кинетическом мире. Итак, с моей точки зрения, как я уже сказала на первом этапе, проблема заключается в разнице в конструкции систем ИТ и ОТ в плане обеспечения безопасности. Затем, эти две системы значительно отличаются по операциям и по образу мышления, но один момент, который стоит упомянуть — это то, что в будущем, нарушения систем ОТ не обязательно будут ограничиваться отключением электроэнергии или перебоями в потоках нефти и т.д. Они могут создавать определенные проблемы с точки зрения безопасности людей. Они могут подвергать людей опасности. Например, вспомним о вредоносном ПО Triton. Вредоносная программа Triton была составлена с целью отключения системы безопасности на нефтехимическом предприятии. Таким образом, это показывает нам, что кибернетическое нарушение системы ОТ, в худшем случае, может закончиться выбросом токсичных газов, взрывами, оно может привести к загрязнению окружающей среды и подвергнуть риску жизнь и безопасность людей. Затем — и, по-моему, Карен также упоминала об этом — возобновляемые источники энергии, распределенные энергоресурсы создают новые уязвимости, и это на самом деле предстоящая проблема, поскольку мы уже боремся с трансграничными угрозами, такими, как пандемия, кибер-угрозы, но изменение климата также является очень важным вопросом для международного сообщества. Поэтому в рамках мероприятий по декарбонизации энергетическая отрасль становится свидетелем смены парадигмы в плане увеличения проникновения возобновляемых источников энергии. В целом, это очень позитивный аспект, конечно, по отношению к изменению климата, но эти возобновляемые или распределенные источники энергии создают новые уязвимости, и теперь мы сталкиваемся с новыми проблемами, потому что число возможных направлений атак увеличивается, и мы наблюдаем растущую взаимосвязанность на всех уровнях, причем эти системы используют новые технологии с неизвестными уязвимостями. Так, в отличие от производства электроэнергии на основе ископаемого топлива, в случае с возобновляемыми источниками энергии используются передовые цифровые решения, например, цифровые датчики. Так, например, солнечные электростанции очень важно принимать во внимание, поскольку они используют инверторы с возможностью подключения через Интернет. Таким образом, хакер может легко подключился к коммуникациям, чтобы изменить напряжение в сети. Поэтому, чем больше мы используем солнечные и другие виды распределенных энергоресурсов, тем больше, я думаю, будет нам необходимо обеспечить безопасность нашего энергетического перехода. Это важно, и именно поэтому мы должны начать защищать отдельные цифровые компоненты от отдельных цифровых компонентов, чтобы защитить нашу систему в целом.<br/><br/>
<b>Ms. Karen Evans:</b> Значит, Роланд, я должна немного вмешаться, потому что вы упомянули SolarWinds, а затем вы также упомянули трубопровод Colonial. Так, именно мне выпала замечательная возможность организовать мероприятия по реагированию в случае с SolarWinds, потому что Министерство внутренней безопасности США было одним из девяти министерств, которые пострадали от SolarWinds. Возможно, я неверно поняла то, что подразумевалось в вашем заявлении, но в случае с SolarWinds, несмотря на то, что она была активирована, никто никогда не смог бы это обнаружить, потому что это был очень изощренный способ внедрения уязвимости в систему, и что она сделала — и это действительно относится к тому, что было сказано ранее: со всеми новыми типами компонентов, возможностей и вещей, которые появляются, тут нужно на самом деле понять, что это за операционная система и что лежит в основе того, что там происходит, а затем, как можно на самом деле начать доверять этому. Таким образом, это подпадает под зонтик управления рисками цепочки поставок. Но то, что на самом деле было совершено при атаке SolarWinds — это злоупотребление доверительными отношениями. Неважно, что у меня была отличная стратегия, или что у нас были отличные люди в команде, что у нас был мониторинг, и у нас были все эти другие возможности, потому что способ запуска был таким: нарушитель воспользовался доверительным отношением и некоторыми базовыми технологиями, которые мы использовали в нашей среде. Некоторые аспекты этой атаки до сих пор расследуются. И еще ода часть проблемы заключалась в том, что проникнув в систему, пользуясь этим отношением, в силу изощренности своих действий они могли осуществлять боковое смещение, которые не обнаруживалось традиционными средствами, которыми располагают предприятия. В случае с трубопроводом Colonial, я наблюдала за этим слушанием, у нас было слушание с генеральным директором. Я наблюдала это слушание, и на самом деле, что произошло — это нечто очень базовое, что возвращает нас к моментам, высказанным обеими участницами дискуссии, а именно: недостаточное знание о наличных активах, потому что там была устаревшая функция VPN, и базовые обновления, которые должны были быть осуществлены с этой конкретной функцией, которая использовалась — потому что многофакторная аутентификация не была внедрена, и поэтому единственный пароль — хотя это был сложный пароль — но единственный пароль дал возможность получить доступ. А затем встает вопрос о том, когда вы смотрите на эту среду в целом, какова должна быть взаимосвязанность систем приборов безопасности? Следует ли сегментировать вообще? Надо подумать — и это относится к стратегии более высокого уровня, к обеспечению наличия соответствующей рабочей силы, которая должным образом обучена, чтобы они могли действительно понять это — как следует осуществить стратегию? Затем, как следует сегментировать? Например, что я буду делать с возобновляемыми источниками энергии по сравнению с тем, что я делаю в случае традиционной генерации. Как я собираюсь осуществить переход от угольных электростанций к возобновляемым источникам энергии? И как я это интегрирую? И затем надо опуститься на более низкий уровень, потому что надо понять, где эти вещи были произведены? И что на самом деле происходит с этими операционными системами, прежде чем просто подключать и запускать? Чем проще мы делаем это для себя, тем проще мы делаем это для всех тех, кто хочет воспользоваться этим в своем эксплойте.<br/><br/>
<b>Ms. Amanda Joyce:</b> Я затрону еще один момент, который был упомянут в отношении обучения в области ИТ и ОТ, и я согласна с тем, что, по моему мнению, это предстоящий вызов и проблема. Я думаю, что большая часть наших знаний и опыта в области ОТ находится в мозгу одного человека, который работает над этой системой годами, и когда он достигает своего расцвета, он решает уйти на пенсию, чтобы отправиться в следующий этап своего жизненного пути. У нас нет наготове следующего человека, потому что эта работа не всегда кажется привлекательной. Это не большая технологическая компания, как кажется людям, и я думаю, что также необходимо изменить парадигму в сфере образования, потому что эта работа касается не только кибербезопасности. И не так много выдается ученых степеней по ОТ или операционным технологиям, и во многом речь идет о скрещивании кибербезопасности или ИТ и некоторого рода инженерии, которые людям нужно понимать, как бы о совокуплении, и я думаю, что нужно больше такого на ранней стадии образования, чтобы люди понимали, что это такое, и меньше попадали в это случайно, например, вы на последнем курсе в университете, и папин друг, брат, сестра работает где-то, куда вы попали на стажировку или где открылась вакансия, и вот получилось, что вы над этим работали. Это не круто, мы это понимаем, но я думаю, что когда люди начнут осознавать, насколько важна эта работа, она начнет больше привлекать людей, и я думаю, что проблема в том, что достаточно трудно добиться того, чтобы люди просто понимали эту сторону ОТ и насколько она важна, потому что она очень отличается от ИТ. Вы не заботитесь о сервере электронной почты, вы не заботитесь о чьих-то файлах весь день. Если эта машина выйдет из строя, на карту может быть поставлено чье-то существование, поэтому вам нужно принимать действительно быстрые решения и меньше думать о том, что, типа, ты можешь поднять трубку и позвонить кому-то, вместо того чтобы отправить ему электронное письмо, Аманда. Да, я могу, и хотя вероятно есть какая-то возможность сделать это вручную со многими устройствами в сфере ОТ, но в таком ручном режиме далеко не пройдешь, и не со всеми. Через некоторое время, оборудование выключится, и что тогда? Поэтому, я думаю, что в образовательной сфере должны произойти изменения, чтобы больше людей осознали и поняли, что необходимо.<br/><br/>
<b>Dr. Roland Varriale:</b> И я думаю, что образование — это, вероятно, одна из многих вещей, о которых вы все говорили, как о разделенной сфере, по типу публичное/правительственное/частное, о чем говорит необходимость в специализированной рабочей силе и образовании, а также проблемы цепочки поставок, обмен информации об угрозах.</td>
</tr>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>33:46 – Важность международного сотрудничества</b></td>
</tr>
<tr>
<td style="background-color:white;">
<b>Dr. Roland Varriale:</b> Считаете ли вы, что международное сотрудничество в рамках таких организаций, как Организация по безопасности и сотрудничеству в Европе, может поспособствовать обеспечению информационной безопасность и кибербезопасности в энергетическом секторе?<br/><br/>
<b>Ms. Amanda Joyce:</b> Я действительно считаю, что это может помочь в образовательной сфере. Я думаю, что в целом сложнее иметь единое решение на все случаи. Я знаю, мы все говорим, что нам не хватает этого, а потом хотим, чтобы кто-то сказал: «Хорошо, я решу эту проблему». Это действительно трудно сделать. Как выходец из Аргонна, я работала с Карен, пытаясь сделать что-то хотя бы в Министерстве энергетики. Мы начали пытаться работать над подготовкой кадров, но, опять же, в конце концов, вы должны понимать, что это может иметь лишь ограниченный эффект, потому что есть пределы тому, что можно достичь с нашими ресурсами. Но наличие более крупной организации, которая может работать на международном уровне, я думаю, помогает, когда вы все можете прийти к достойному соглашению и стратегии о том, что мы все знаем, что это необходимо. Мы здесь как партнерство, с целью создать следующую группу людей, которые должны защищать это, укреплять наш энергетический сектор, а затем, в конце дня, подготовить следующее поколение специалистов, чтобы нам не надо было слишком стараться как-то вылепить из кого-то специалиста по работе, которая на самом деле не является тем, что данного человека интересует, чтобы у нас вместо того было больше людей, которые заинтересованы в этой работе, чтобы мы выбирали лучших из лучших.<br/><br/>
<b>Ms. Karen Evans:</b> Итак, я собираюсь немного затронуть международную перспективу, и я думаю, что да, такие организации, как эта, могут быть действительно полезны, потому что я опять-таки возвращаюсь к некоторым из этих вопросов, о которых все мы говорили, о том так проработать стратегию, как рассматривать взаимозависимость и выходить за пределы своей организации. Я думаю, что по таким вопросам, собираться на международном форуме действительно важно, но я думаю, что вы также можете узнать — ну, например, в Соединенных Штатах, наша электросеть устроена так, что она продолжается в Канаду. И поэтому у нас здесь, в Соединенных Штатах, огромные взаимозависимости. Мы даже проводим международные учения, они проводятся группой, под названием NERC — Североамериканской корпорацией по обеспечению надежности электроснабжения, но когда она их проводит, учения основываются на правилах и нормах и так далее, соблюдение которых обеспечивается нашей группой по регулированию, а затем они проводят эти учения, и у нас была возможность просто провести учения по куче новых полномочий, которые Министерство энергетики получило от законодательных органов, и значение которых не совсем понятно в промышленных кругах. Так, например, министр энергетики может объявить чрезвычайную ситуацию, энергетическую чрезвычайную ситуацию. Итак, что происходит в этом конкретном случае: секретарь может дать рекомендацию президенту Соединенных Штатов, а затем предпринять действия и направить частные организации, частные корпорации на выполнение определенных действий. Это будет иметь огромные международные последствия, если Соединенные Штатов предпримут действие, о котором мы не коммуницировали, по которому у нас нету плана, по которому мы не проводили какие-то учения совместно с Канадой. Кроме того, в своей прежней должности, когда я работала в правительстве, я также работала в Белом доме. Во время администрации Буша мы проводили ежегодные встречи на международном уровне, как с Мексикой, так и с Канадой, и конкретно обсуждали наши технические решения, связанные с большими политическими решениями, которые принимали президенты наших стран. Потому что независимо от того, каковы программы или как они хотят реализовать определенные результаты для страны, все всегда сводится к тому, что у вас должны быть правильные технологии, вы должны быть в состоянии обеспечить реализацию этих решений, и вы должны обеспечить бесперебойную подачу энергии, обеспечить, чтобы продолжал гореть свет. Все так и сводится именно к этому. И если посмотреть на то, что делается в Европе, на то, как они работают как группа там, а также на то, о чем говорят другие участники дискуссии, то это можно обеспечить именно через такие международные организации, которые заранее предвидят, что произойдет, и способны проводить соответствующие учения.<br/><br/>
<b>Ms. Ayhan Gucuyener:</b> Ну, я тоже добавлю слово, поскольку мы обсуждали о том, как кибер-угрозы являются трансграничными. Они заразны и легко переходят из одного сектора в другой. Таким образом, борьба с кризисом в сфере кибербезопасности требует международного ответа, действительно международного ответа, а также существует острая необходимость в тесном сотрудничестве между государствами. Я думаю, что в этом смысле мы должны мыслить и действовать глобально. Так, когда я вспоминаю кошмарный случай с WannaCry, он действительно затронул сотни тысяч компьютеров по всему миру, что делает необходимым международное сотрудничество. Так, для энергетического сектора, как уже говорила Карен, последствия кибернетического нарушения могут быть далеко идущими. Например, если рассматривать трансграничные трубопроводы или линии электропередачи, то можно сказать, что успешная кибератака может одновременно затронуть многие страны и многих субъектов, поэтому это может стать реальной проблемой для региональной безопасности и энергетической безопасности. Это может повлиять на страну-поставщика, на страну-потребителя. И по борьбе с кибер-угрозами, в международном сообществе, у нас уже есть некоторые виды инициатив. Например, что касается глобальных кибер-норм, Организация Объединенных Наций (ООН), например, Группа ООН по вопросам коммуникации (ГООНК), состоящая из правительственных экспертов, уже достигла консенсуса по 11 кибер-нормам об ответственном поведении, ответственном поведении государств в киберпространстве. Но проблема международного сотрудничества и норм или правил заключается в том, что они все еще не имеют силы, или у них нет «зубов» для наказания насилия негосударственных акторов, которое очень жестоко, которое сильно присутствует в киберпространстве. Что касается усилий ОБСЕ, я думаю, что они уже проявили большие усилия в создании международного сотрудничества для поддержки кибербезопасности энергетического сектора. И насколько я знаю, с 2016 года организация проводит кабинетные учения для наращивания потенциала и стимулирования дискуссий. Я думаю, что в будущем организация может усилить свою роль в качестве форума или центра для осуществления диалога между государствами-участниками, а затем организация может продолжить распространение лучших практик среди участников и затем опубликовать некоторые примеры хороших практик, справочники или руководства. Это может стать действительно важной работой для организации.</td>
</tr>
<tr>
<td style="background-color:rgba(0,136,198,.30); vertical-align: middle; text-align:left;" colspan="1"><b>41:21 - Закрытие</b></td>
</tr>
<tr>
<td style="background-color:white;">
<b>Dr. Roland Varriale:</b>Хорошо, я думаю, что на этом мы закончим сегодняшнюю запись, и я хотел бы поблагодарить всех участников дискуссии за довольно подробное обсуждение текущего состояния операционных технологий, безопасности, критической инфраструктуры и жизнеспособного пути вперед. Итак, спасибо всем вам.<br/><br/>Спасибо нашим экспертам за то, что они поделились своими взглядами на информационную безопасность и кибербезопасность. Более подробную информацию по этим темам можно найти в соответствующем учебном модуле на сайте Виртуального центра ОБСЕ по защите критической энергетической инфраструктуры. Посмотрите другие видеоролики, посвященные ключевым элементам анализа рисков для критической инфраструктуры, на сайте Виртуального центра ОБСЕ по защите критической энергетической инфраструктуры.</td>
</tr>
</table>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@2ed2b170f9e14018ad3cc09fce3e3e74">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@2ed2b170f9e14018ad3cc09fce3e3e74" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<p><em><span style="color: #003478; text-decoration: underline !important; font-weight: bold !important;">Познакомьтесь с экспертами:</span><span style=";color: #003478;"> Выберите каждый из следующих гармошек, чтобы узнать больше о наших экспертах.</span></em></p>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@246cea34bffc4ed095cf7f6ee72824ec">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@246cea34bffc4ed095cf7f6ee72824ec" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new1 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new1:hover {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new1" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Ms. Karen Evans</button>
<div class="panel3">
<br/>
<p><strong>Ms. Karen Evans</strong> является партнером компании KET Partners, LLC, расположенной в Мартинсбурге, Западная Вирджиния, США. Будучи утвержденным Сенатом и назначенным президентом руководителем, г-жа Эванс занимала должность первого помощника секретаря по вопросам кибербезопасности, энергетической безопасности и реагирования на чрезвычайные ситуации в Министерстве энергетики США. Как руководитель, занимавшая три должности по назначению президента, в двух администрациях, она обладает 30-летним опытом управления на руководящем уровне в области кибербезопасности, национальной безопасности, технологических инноваций, предоставления услуг и управления рисками в цепочке поставок.
</p>
<p><em><a href="https://www.linkedin.com/in/karensevans/" target="[object Object]">Нажмите здесь для получения дополнительной информации
</a></em></p>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new1");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-5" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@46074421c1bf4937b248d67631736aad">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@46074421c1bf4937b248d67631736aad" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new2 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new2:hover {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new2" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Ms. Ayhan Gucuyener</button>
<div class="panel3">
<br/>
<p><strong>Ms. Ayhan Gucuyener</strong> является специалистом по проектам в Центре кибербезопасности и защиты критической инфраструктуры Университета Кадир Хас, Стамбул, Турция. Профессиональный опыт г-жи Гюджюенер включает координацию, мониторинг и управление проектами, исследования, разработку стратегий и политики, международные отношения, стратегическое управление акционерами, работа с аналитическими центрами-НПО и гражданским обществом.</p>
<p><em><a href="https://www.linkedin.com/in/ayhan-gucuyener-157b0b44/" target="[object Object]">Нажмите здесь для получения дополнительной информации
</a></em></p>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new2");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-6" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@66508a978d8548ccb28d9bfb6a72ada8">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@66508a978d8548ccb28d9bfb6a72ada8" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new3 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new3:hover {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new3" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Ms. Amanda Joyce</button>
<div class="panel3">
<br/>
<p><strong>Ms. Amanda Joyce</strong> является руководителем группы по обеспечению кибербезопасности и руководителем программы CyberForce в Аргоннской национальной лаборатории, Лемонт Иллинойс, США. Г-жа Джойс оказывает экспертную помощь Министерству внутренней безопасности США в качестве инструктора по кибербезопасности. Она возглавляла стратегические исследования по вопросам удаленного доступа в системах промышленного контроля и облачных технологий, а также проводила оценки и исследования кибербезопасности для Министерства внутренней безопасности с целью оценки состояния кибербезопасности критической инфраструктуры.</p>
<p><em><a href="https://www.linkedin.com/in/amanda-joyce-5ab917b8/" target="[object Object]">Нажмите здесь для получения дополнительной информации</a></em></p>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new3");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-7" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a1b8a50125ce4ad0a4fd9a4cd0f27d5b">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a1b8a50125ce4ad0a4fd9a4cd0f27d5b" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new4 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new4:hover {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new4" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Dr. Roland Varriale</button>
<div class="panel3">
<br/>
<p><strong>Dr. Roland Varriale</strong> iявляется аналитиком по кибербезопасности в отделе стратегического исследования безопасности Аргоннской национальной лаборатории, Лемонт, штат Иллинойс, США. Д-р Варриале тесно сотрудничает с государственными органами с целью обеспечения применения надежных практик в сфере кибербезопасности при внедрении новых технологий. Его исследовательская деятельность направлена на обеспечение безопасности систем, связанных с транспортом, и поддерживающей их инфраструктуры путем использования информации, полученной в результате сбора данных из открытых источников, анализа уязвимостей и интерактивного тестирования систем.</p>
<p><em><a href="https://www.linkedin.com/in/roland-varriale-a74738b/" target="[object Object]">Нажмите здесь для получения дополнительной информации</a></em></p>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new4");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@06db64425b324216833085b20359db71" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@5e16e84835bf471bb714dc88fd15e5af">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@5e16e84835bf471bb714dc88fd15e5af" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Важность рассмотрения киберугроз и киберрисков</p>
<p>В предыдущих модулях рассказывалось о важности рассмотрения угроз и рисков кибербезопасности:</p>
<ul>
<li>В первом модуле доктор Элизабет Патэ-Корнелл подчеркнула важность, но также и сложность анализа и оценки кибербезопасности и киберрисков.
</li>
<li>Во втором модуле описание различных сетей инфраструктуры жизнеобеспечения проиллюстрировало важность киберкомпонентов, которые используются всеми системами инфраструктуры как компоненты систем коммуникации, информационных технологий (ИТ), операционных технологий (ОТ) и промышленного контроля.
</li>
<li>В третьем модуле мы увидели, что передача информации и данных создает киберзависимости, которые все больше взаимосвязаны с компонентами физической инфраструктуры. Кроме того, в более старых вычислительных системах ИТ и ОТ не всегда сегрегированы (или хорошо интегрированы), что создает дополнительные уязвимости.</li>
</ul>
<p>Все более широкое использование информационных технологий для эксплуатации систем критической инфраструктуры создает новые уязвимости, на которых необходимо обращать внимание. Недавний отчет, подготовленный IBM и институтом Ponemon, показывает, что ущерб от утечки данных достиг рекордного уровня во время пандемии COVID-19. Данное исследование в области безопасности, основанное на глубоком анализе реальных случаев утечки данных, с которыми столкнулись более 500 организаций, показывает, что утечки данных в 2021 году обойдутся опрошенным компаниям в среднем в 4,24 миллиона долларов за инцидент, что является самым высоким показателем за последние 17 лет.
<a href="https://www.ibm.com/security/data-breach" target="_blank">(IBM, 2021)</a>. На следующем рисунке показана средняя общая стоимость ущерба от утечки данных по отраслям.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/a5fe33c7e185265ad99dd2584d601225/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Data-Breach-Cost.jpg" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/a5fe33c7e185265ad99dd2584d601225/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Data-Breach-Cost.jpg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478;"><b>Средняя общая стоимость ущерба от утечки данных по отраслям в миллионах долларов США</b><a href="https://www.ibm.com/security/data-breach" target="[object Object]"> (IBM, 2021)</a></span></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p>Средняя общая стоимость ущерба в отрасли здравоохранения увеличились с $7,13 млн в 2020 году до $9,23 млн в 2021 году, что на 29,5% больше. Сфера энергетики опустилась со второго места в списке отраслей с наибольшей величиной ущерба на пятое, сократив ущерб с $6,39 млн в 2020 году до $4,65 млн в 2021 году (снижение на 27,2%). Другие отрасли, в которых наблюдался значительный рост ущерба, включали в себя сферу услуг (7,8% рост), коммуникации (20,3% рост), потребительский сектор (42,9% рост), розничную торговлю (62,7% рост), СМИ (92,1% рост), гостиничный бизнес (76,2% рост) и государственный сектор (78,7% рост) .
<a href="https://www.ibm.com/security/data-breach" target="[object Object]"> (IBM, 2021)</a>.</p>
<p>Помимо случаев утечки данных, в первой половине 2021 года кибератаки на критическую инфраструктуру увеличились на 41% по сравнению с предыдущими шестью месяцами.
<a href="https://security.claroty.com/1H-vulnerability-report-2021" target="_blank">(Claroty, 2021)</a>. На рисунке ниже показаны уязвимости промышленных систем управления по уровню операций критической инфраструктуры (т.е. Purdue Enterprise Reference Architecture.
<a href="https://www.zscaler.com/resources/security-terms-glossary/what-is-purdue-model-ics-security" target="_blank">(ZSCALER, 2021)</a>).</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/9bd82f7069b9ffdb4093fdcf6913d119/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Cyber-Vunerabilities.jpg" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/9bd82f7069b9ffdb4093fdcf6913d119/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Cyber-Vunerabilities.jpg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478;"><b>Киберуязвимости систем промышленного управления </b><a href="https://security.claroty.com/1H-vulnerability-report-2021" target="[object Object]"> (Claroty, 2021)</a></span></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p>Кибератаки могут быть сложными. Они охватывают нежелательные попытки украсть, раскрыть, изменить, вывести из строя или уничтожить информацию посредством несанкционированного доступа к компьютерным системам. В современном связанном цифровом ландшафте киберпреступники используют сложные инструменты для проведения кибератак на предприятия. К числу объектов их атак относятся персональные компьютеры, компьютерные сети, ИТ-инфраструктура и ИТ-системы. На сайте IBM представлена дополнительная информация о распространенных типах кибер-атак (например, троянские бэкдоры, межсайтовые скриптовые атаки, отказ в обслуживании [DoS], туннелирование DNS, вредоносное ПО, фишинг, программы-вымогатели).<a href="https://www.ibm.com/topics/cyber-attack" target="_blank">(IBM, 2021)</a>. На рисунке ниже представлены основные виды кибератак по каждой из отраслей.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/1b30297cd013cb5a5d28e58a9e052c90/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Cyber-Attacks.jpg" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/1b30297cd013cb5a5d28e58a9e052c90/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Cyber-Attacks.jpg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478;"><b>Средняя общая стоимость ущерба от утечки данных по отраслям в миллионах долларов США</b><a href="https://www.ibm.com/security/data-breach/threat-intelligence" target="[object Object]"> (IBM, 2021)</a></span></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p style="font-size: 13pt !important; color: #003478;"><u><b>Мифы о кибербезопасности</b></u></p>
<p>Существует несколько ошибочных представлений о кибербезопасности (IBM, 2021 г.): <a href="https://www.ibm.com/topics/cybersecurity" target="_blank">(IBM, 2021)</a>:
<ul>
<li><span style="color: #003478;">Киберпреступники — это внешние нарушители. Нарушения кибербезопасности часто являются результатом угроз внутренних нарушителей.
.</span> Риски хорошо известны. Киберриски продолжают расширяться: сообщается о тысячах новых уязвимостей.
.</li>
<li><span style="color: #003478;">Возможные векторы атак ограничены. Киберпреступники постоянно находят новые векторы атак, включая системы Linux, операционные технологии (OT), устройства Интернета вещей (IoT) и облачные среды.
</span> Моя отрасль в безопасности. В каждой отрасли существует своя доля рисков кибербезопасности, поскольку киберпротивники используют в своих целях факт необходимости коммуникационных сетей практически для всех государственных и частных организаций..</li>
</ul>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Тенденции в сфере кибербезопасности 2021 г.</p>
<p>Ежегодный отчет о стоимости утечки данных, проведенный институтом Ponemon при спонсорской поддержке и анализе IBM Security, выявил следующие тенденции среди исследованных организаций <a href="https://www.ibm.com/security/data-breach/threat-intelligence" target="_blank">(IBM, 2021)</a>:
<ul>
<li>Влияние удаленной работы: Быстрый переход на удаленную работу во время пандемии, по-видимому, привел к более дорогостоящим утечкам данных. Утечки в среднем стоили более 1 миллиона долларов США, когда удаленная работа была указана в качестве фактора события, по сравнению с теми случаями в данной группе, когда этот фактор отсутствовал. </li>
<li>Резко возрос ущерб от утечек в сфере здравоохранения: Отрасли, в которых во время пандемии произошли значительные изменения в работе (здравоохранение, розничная торговля, гостиничный бизнес и производство/распределение потребительских товаров), также столкнулись с существенным увеличением ущерба от утечки данных по сравнению с предыдущим годом.
</li>
<li>Компрометация реквизитов привела к компрометации данных: Украденные реквизиты пользователей были наиболее распространенной первопричиной утечки в исследовании. В то же время, личные данные клиентов (такие как имя, адрес электронной почты, пароль) были наиболее распространенным типом информации, раскрываемой при утечке данных — 44% утечек включали в себя этот тип данных.
</li>
<li>Современные подходы позволили снизить ущерб: Внедрение искусственного интеллекта, аналитики безопасности и шифрования были тремя главными смягчающими факторами, которые, по результату исследования, снижали ущерб от утечки, помогая компаниям сэкономить от 1,25 до 1,49 миллиона долларов по сравнению с теми, кто не использовал эти инструменты в значительной степени. Касательно исследованных случаев утечки данных при использовании облачных технологий, организации, внедрившие подход на базе гибридного облака, понесли меньший ущерб от утечки данных ($3,61 млн), чем организации, использовавшие преимущественно публичное облако ($4,80 млн) или преимущественно частное облако ($4,55 млн).
</li>
<li>Уязвимости превосходят фишинг как наиболее распространенный вектор заражения: самым успешным способом получения доступа к системам, подверженным нарушению в прошлом году стало сканирование и использование уязвимостей (35%), впервые за последние годы превзойдя фишинг (31%).
</li>
<li>Европа ощутила на себе основную тяжесть атак в 2020 году: Согласно отчету, на Европу пришлось 31% атак, на которые X-Force отреагировала в 2020 году. В Европе было совершено больше атак, чем в любом другом регионе, причем главным виновником стали программы-вымогатели. Кроме того, в Европе было зафиксировано больше атак, связанных с угрозой внутренних нарушителей, чем в любом другом регионе, в два раза больше, чем в Северной Америке и Азии вместе взятых.</li>
</ul>
<p>На рисунке ниже показана тенденция к росту числа новых выявленных уязвимостей по годам.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/d37b740400faa89224d3ce8e526e2049/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_New-Vulnerabilities.jpeg" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/d37b740400faa89224d3ce8e526e2049/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_New-Vulnerabilities.jpeg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478;"><b>Киберуязвимости систем промышленного управления </b><a href="https://securityintelligence.com/posts/top-10-cybersecurity-vulnerabilities-2020/" target="[object Object]"> (IBM, 2020)</a></span></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p> Киберугрозы и киберуязвимости можно уменьшить путем внедрения процессов обеспечения информационной безопасности и управления киберрисками. В следующих разделах представлены основные концепции информационной безопасности и управления рисками.</p>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@ec0284b4613d4dd795347fa5a27973d6" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@366e05c6880a4c1589be5deda1d5e4cb">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@366e05c6880a4c1589be5deda1d5e4cb" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Цели программы информационной безопасности</p>
<p>Программа информационной безопасности направлена на оценку различных рисков для информационных систем и используется для оценки эффективности системы на основе трех основополагающих концепций, представленных ниже.</p>
<table>
<tr>
<td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2"><b>Основополагающие концепции информационной безопасности </b></td>
</tr>
<tr>
<td style="border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;" rowspan="4"><img src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/f26c60d5c89d841a182e94eedb95bebd/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Information-Security-Goals.jpg" alt="Get Alt Text" /></td>
</tr>
<tr>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px;"><b><u>Целостность</u></b><br/>Целостность характеризует защиту системной информации или процессов от преднамеренного или случайного изменения. Целостность сосредоточена на содержимом сообщения и подвергается атакам, таким как несанкционированное изменение или хэш-коллизии, которые могут подорвать обычные меры проверки содержимого сообщения, такие как хэширование.</td>
</tr>
<tr>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px;"><b><u>Конфиденциальность</u></b><br/>Конфиденциальность предотвращает раскрытие чувствительной информации от неавторизованных людей, ресурсов и процессов. Конфиденциальность направлена на защиту содержимого сообщения от нежелательного просмотра и часто сохраняется с помощью шифрования.</td>
</tr>
<tr>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px;"><b><u>Доступность</u></b><br/>Доступность характеризует уверенность в том, что авторизованные пользователи смогут получить доступ к системам и данным в нужное время. К распространенным атакам на доступность относятся методы, направленные на истощение или уничтожение системных ресурсов, такие как атаки типа «отказ в обслуживании» (DoS), «распределенный отказ в обслуживании» (DDoS) или атаки с лавинообразным умножением данных.</td>
</tr>
</table>
<p>Некоторые из этих атак и методов могут не быть общеизвестными и приводятся для дополнительного контекста или дальнейшего исследования. Ни один из перечисленных методов не является типично изощренным, однако их названия могут обычно ассоциироваться с этими различными концепциями информационной безопасности.</p>
<p style="font-size: 13pt !important; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Модель информационной безопасности</p>
<p>Модель информационной безопасности обычно включает свойства информационной безопасности, состояния информации и меры обеспечения безопасности. Взаимодействие между этими тремя элементами можно представить в виде куба, известного как куб МакКамбера. Эта модель делает рассмотрение пересечения между этими тремя основными понятиями более очевидным. На рисунке ниже показано представление куба МакКамбера.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/911cd34e048d7d08b0c9da15cc6b3364/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_McCumber-Cubev2.jpg" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/911cd34e048d7d08b0c9da15cc6b3364/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_McCumber-Cubev2.jpg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478;"><b>Куб МакКамбера </b><a href="http://www.sis.pitt.edu/jjoshi/courses/IS2150/Fall11/nstissi_4011.pdf"
target="[object Object]"> (NSTISS, 1994)</a></span></center></p>
<p style="color: #003478;">Нажмите на рисунок, чтобы увеличить его.</p>
<p style="color: #003478;">Нажмите на гармошки ниже, чтобы узнать больше о компонентах куба МакКамбера.</p>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@8ca4a8d9d48a498dbef8405796a63215">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@8ca4a8d9d48a498dbef8405796a63215" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Свойства информационной безопасности</button>
<div class="panel">
<div>
<p><center><img style="width: 35%;" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/d11848121188a9b802bc7fdffcbf8644/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Information-Security-Properties.jpg" alt = "Get Alt Text"/><br/>
<b><span style="color: #003478;">Свойства информационной безопасности</span></b></center></p>
<p>Свойства информационной безопасности учитывают три характеристики информационной безопасности (т.е. конфиденциальность, целостность и доступность). Они представляют собой одну из трех граней куба МакКамбера и позволяют оценить уровень безопасности путем включения эвристики для их сравнения.
Помните, что конфиденциальность защищает данные от нежелательного доступа; целостность сохраняет содержимое сообщения на всем пути от отправителя до получателя; а доступность обеспечивает возможность доступа к необходимым системным ресурсам в нужное время.
</p>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@fcea044312b141e8a54f8bb865841bc2">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@fcea044312b141e8a54f8bb865841bc2" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new1 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new1:hover {
background-color: #ccc;
}
.panel1 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new1" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Состояния информации</button>
<div class="panel1">
<div>
<p><center><img style="width: 40%;" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/44d635aad6c16f2cc7f2440c3c45ca49/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Information-States.jpg" alt = "Get Alt Text"/><br/>
<b><span style="color: #003478;">Состояния информации</span></b></center></p>
<p>Вторая грань куба МакКамбера представляет собой три состояния информации: обработка, хранение и передача. Эти три состояния информации можно также описать как данные в процессе, данные в состоянии покоя и данные в движении.<br/><br/><b> Данные в процессе (обработка) </b> включают информацию, которая в настоящее время обрабатывается системой, например, информацию, загруженную в оперативную память. Хотя эта часть состояния может быть кратковременной, способность оперативной памяти сохранять данные до перезаписи или потери питания делает ее мишенью для атак с использованием скраперов памяти.br/><br/>
<b>Данные в состоянии покоя (хранение) </b> относятся к данным, хранящимся на жестком диске или твердотельном накопителе. После записи на накопитель, данные сохраняются до перезаписи.<br/><br/>
<b>Данные в пути (передача) </b> относится к информации, передаваемой по носителю. При обмене информацией через сети, информация обычно шифруется перед отправкой через публичный Интернет в попытке защитить ее от шпионажа.</p>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new1");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@7049a7d0088d4b1287fcf6ae2ce79b77">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@7049a7d0088d4b1287fcf6ae2ce79b77" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new2 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new2:hover {
background-color: #ccc;
}
.panel2 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new2" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Меры обеспечения безопасности</button>
<div class="panel2">
<div>
<p><center><img style="width: 50%;" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/2251482517d9d4fd9f748c147b79490e/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Security-Measures.jpg" alt = "Get Alt Text"/><br/>
<b><span style="color: #003478;">Меры обеспечения безопасности</span></b></center></p>
<p>Третья грань куба МакКамбера представляет собой три основных типа мер обеспечения безопасности, которые обеспечивают конкретные способы защиты конфиденциальности, целостности и доступности данных в трех их состояниях (т.е. данные в процессе, данные в состоянии покоя и данные в движении).<br/><br/><b> Политики и процедуры <b> относятся к правилам и руководствам на уровне организации, которые диктуют, как маркировать, использовать и защищать данные.</<br/><br/> <b>Технология </b> может включать в себя методы, такие как шифрование, или программное обеспечение, помогающее защитить данные или предотвратить их потерю, например, устройство предотвращения потери данных (DLP). DLP-устройства могут искать аномалии в передаче данных или слова и фразы для выявления потенциальной потери чувствительной информации.<br/><br/> Наконец, <b>образование, обучение и осведомленность </b> обеспечивают руководство и контекст безопасности для персонала, который может нести ответственность за данные на любом этапе их жизненного цикла.</p>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new2");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@85d900851f84423ba366d2f2ef396b52">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@85d900851f84423ba366d2f2ef396b52" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; font-weight: bold !important; text-decoration: underline !important;">Заключение</p>
<p>Сочетание представленных выше девяти концепций — свойств информационной безопасности (т.е. конфиденциальности, целостности и доступности), состояний информации (т.е. обработки, хранения и передачи) и мер обеспечения безопасности (т.е. политики и процедур, технологий, а также образования, обучения и осведомленности) — позволяет полностью собрать куб МакКамбера.</p>
<p><center><img style="width: 55%;" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/648acf698835c86efa448945309872d6/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_McCumber-Cubev3.jpg" alt = "Get Alt Text"/><br/>
<b><span style="color: #003478;">Модель информационной безопасности</span></b></center></p>
<p>Это вкратце показывает взаимосвязь между различными концепциями информационной безопасности. Помните, что успешная программа информационной безопасности включает в себя меры обеспечения безопасности во всех состояниях данных для поддержания хороших свойств информационной безопасности.</p>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@3a337922e93d4efc8c7bb46139c0beda" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@2ab6bfa921ca4ee6974bb147f543331a">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@2ab6bfa921ca4ee6974bb147f543331a" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478;"><u><b>Типы кибератак</b></u></p>
<p>Типы кибератак связаны с типами злоумышленников, представленных в «Пирамиде навыков» в предыдущем разделе «Модель управления рисками». Существует три основных типа атак, представленных в таблице ниже.</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">Типы кибератак</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Случайные</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Случайные злоумышленники, как правило, совершенно не осознают своего воздействия на систему и мешают работе систем исключительно по ошибке. Это может быть такой безобидный случай, как, например, случайное выбивание вилки из розетки или выключение компьютера, выполняющего важную системную функцию.<br/><br/><b><u>Примеры случайных атак:</u></b><br/>
<ul>
<li>Отказ в обслуживании, вызванный непрерывным непреднамеренным пингом сервера.</li>
</ul></td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Оппортунистические</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Оппортунистические атаки совершаются злоумышленниками, которые имеют ограниченные знания о системе и пытаются получить доступ или прибыль путем корреляции с метаданными с помощью инструмента или метода. Например, может быть выпущена уязвимость, затрагивающая Microsoft Remote Desktop. Оппортунистическая атака может состоять в сканировании Интернета на предмет IP-адресов с открытым портом и использовании небольшого фрагмента кода для взаимодействия с уязвимостью в попытке использовать ее.<br/><br/><b><u>Примеры оппортунистических атак:</u></b><br/>
<ul>
<li>Обнаружена новая уязвимость (нулевой день). Злоумышленник сканирует весь Интернет в поисках мишеней. Неважно, кто скомпрометирован.
</li>
<li>Фишинговые аферы — электронные письма рассылаются миллионам людей. Любой человек, у которого есть деньги, является подходящей мишенью.
</li>
</ul></td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Целенаправленные</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Целенаправленные атаки гораздо серьезнее и используют изощренные атаки и инструменты в попытке получить доступ к конкретной системе или конфиденциальной информации. Эти кампании могут занять значительное количество времени и привести к большим потерям.
<br/><br/><b><u>Примеры целенаправленных атак:</u></b><br/>
<ul>
<li>Злоумышленник потратит месяцы, и даже годы, на пробу большого количества разнообразных методов атаки, пока не достигнута компрометация.</li>
</ul></td>
</tr>
</table>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@d212a844b70245e6a6066e2146e047b1">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@d212a844b70245e6a6066e2146e047b1" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p>Термин «киберпреступление» часто используется в политической и юридической сферах, но есть ли разница между кибератакой и киберпреступлением?</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Киберпреступление vs кибератака</p>
<p>Не существует международного определения ни киберпреступления, ни кибератаки. В целом, киберпреступление можно описать как киберзависимые нарушения, нарушения с использованием кибертехнологий и, как особый вид преступлений, сексуальная эксплуатация детей и сексуальные надругательства над детьми с использованием сети Интернет. <a href="https://www.unodc.org/unodc/en/cybercrime/global-programme-cybercrime.html" target="[object Object]"> (Управление ООН по борьбе с наркоманией и преступностью, 2021 г.)</a></p>
<ul>
<li>Киберзависимые преступления требуют наличия инфраструктуры информационно-коммуникационных технологий (ИКТ) и часто характеризуются созданием, распространением и внедрением вредоносных программ, программ-вымогателей, атаками на критически важные объекты национальной инфраструктуры (например, киберзахват электростанции организованной преступной группировкой) и выводом веб-сайтов из строя путем перегрузки данными (DDoS-атака).
</li>
<li>Преступления с использованием кибертехнологий — это преступления, которые могут происходить в офлайновом мире, но которым также могут способствовать ИКТ. К числу таких преступлений, как правило, относится мошенничество в Интернете, покупка наркотиков с помощью Интернета и отмывание денег через Интернет.
</li>
<li>Сексуальная эксплуатация детей и сексуальные надругательства над детьми включают в себя надругательства, осуществляемые в публичном интернете, на форумах даркнета и, все чаще, использование самосозданных изображений в целях вымогательства — известное как «сексторство».
</li>
</ul>
<p>Кибератака в основном соответствует первым двум типам киберпреступлений, перечисленным выше, и включает в себя незаконные действия хакера, который использует уязвимости компьютерных систем или компонентов. Компьютерный хакер — это человек, который использует компьютерную систему не по назначению. Однако кибернарушения могут происходить и без злого умысла (т.е. случайная атака).</p>
</div>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c66c393349094d68984a6219d1e1df1b">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c66c393349094d68984a6219d1e1df1b" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; text-decoration: underline !important; font-weight: bold !important; color: #003478;">Анатомия кибератаки</p>
<p>Анатомию кибератаки можно представить в виде цепочки атак, также известной как кибер-убийство
цепь <a href="https://www.unodc.org/unodc/en/cybercrime/global-programme-cybercrime.html" target="[object Object]"> (Lockheed Martin, 2021)</a>.
На рисунке ниже показаны пять основных этапов, характеризующих методологию злоумышленника.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/478a9bae4d9961a206a337816cbbf6d6/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Anatomy-Cyberattack.jpg" target="_blank"><img width="60%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/478a9bae4d9961a206a337816cbbf6d6/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Anatomy-Cyberattack.jpg" alt = "Get Alt Text"/></a>
<span style="color: #003478;"><br/>
<b>Анатомия кибератаки</b></span></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p>Этапы, изображенные на этой блок-схеме, в общих чертах определяют, как злоумышленник взаимодействует с системой. Процесс изображен как линейный, однако в реальности злоумышленнику может потребоваться повторное обращение к определенным частям атаки, чтобы продвинуться вперед по блок-схеме атаки. Например, после получения доступа к системе (проникновение) часто необходимо провести дополнительную разведку, чтобы определить дополнительные ресурсы или данные, которые могут быть доступны злоумышленнику.</p>
<p style="color: #003478;">Разверните гармошки ниже для получения дополнительной информации о пяти этапах кибератаки.</p>
</div>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@09e3ead3b5054d809296944ba133e1dc">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@09e3ead3b5054d809296944ba133e1dc" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Разведка</button>
<div class="panel">
<p></p>
<div>
<p>К числу часто используемых методов разведки относятся как активное, так и пассивное сканирование и анализ систем. Помимо методов, перечисленных на этом слайде, дополнительный контекст и подробности можно получить путем анализ информации, полученной так называемой разведкой по открытым источникам (OSINT), например, с помощью поисковых систем или агрегаторов данных, таких как Shodan
<a href="https://www.shodan.io" target="[object Object]"> (Shodan, 2021)</a> Censys <a href="https://censys.io" target="[object Object]"> (Censys, 2021) </a>.
или Censys (Censys, 2021 г.). Кроме того, разведка может включать в себя поиск часто используемых технологий в системе путем просмотра информации о сотрудниках на LinkedIn, поиска ключевых слов или расширений файлов и просмотра исторических данных веб-сайтов через Wayback Machine <a href="https://archive.org/web/" target="[object Object]"> (Wayback Machine, 2021)</a>. A цель выбирается и исследуется на предмет слабых мест, а этап разведки длится от нескольких минут до нескольких лет в зависимости от цели.<br/><br/>Задача на данном этапе — собрать как можно больше информации о том, как организована система, о наличии каких-либо неправильных конфигураций или уязвимостей, и создать перечень развернутых служб. Это создает основу для последующих методов и облегчает последующие функции, такие как боковое смещение/пивотинг, путем определения различных хостов и служб, которые могут быть полезны в этом плане.</p>
<p><u>Примеры разведки включают в себя:</u></p>
<ul>
<li>Несанкционированное обнаружение и составление схем систем, служб или уязвимостей.
</li>
<li>Ping-сканирование целевой сети.
</li>
<li>Определение активных служб и портов
</li>
<li>Проверка портов и служб запросами для определения типов и версий приложений</li>
</ul>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@054ba67d0fb6406d9a8bf07c00980903">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@054ba67d0fb6406d9a8bf07c00980903" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new1 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover1 {
background-color: #ccc;
}
.panel1 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new1" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Проникновение</button>
<div class="panel1">
<p></p>
<div>
<p>Стадия проникновения обеспечивает первоначальную точку доступа в систему. Если на этапе разведки были выявлены уязвимости, то, возможно, их можно использовать для получения доступа. Другими распространенными методами получения первоначального доступа являются фишинг (направленный фишинг, вишинг, уэйлинг), предоставление вредоносного ПО участнику сети (разбрасывание USB-носителей с вредоносным ПО или подключение вредоносного USB-носителя к USB-порту компьютера) или физическое подключение к сетевому порту (RJ45). Успешная атака создает начальную точку проникновения.
<br/><br/>Этап проникновения может происходить несколько раз в зависимости от последующих этапов атаки. Например, первоначальный доступ может осуществляться через непривилегированного пользователя. Если злоумышленник не может найти способ расширить привилегии этой учетной записи путем эскалации/повышения привилегий, то другая точка входа может оказаться полезной. Именно тогда возвращение к разведке может оказаться полезным для выявления дополнительных пользователей, которые могут иметь привилегированные учетные записи в системе, например, руководителей или ИТ-администраторов.
</p>
<p><u>Примеры проникновения включают в себя:</u></p>
<ul>
<li>Прокси для внедрения кода.
</li>
<li>Направленный фишинг.
</li>
<li>Незаметные вход.
</li>
<li>Сниффер.
</li>
<li>USB-ключ.
</li>
<li>Беспроводное проникновение.</li>
</ul>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new1");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-5" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@731df330e03a4bd09ae665cf61de96f0">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@731df330e03a4bd09ae665cf61de96f0" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new2 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover2 {
background-color: #ccc;
}
.panel2 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new2" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Распространение / пивотинг</button>
<div class="panel2">
<p></p>
<div>
<p>Получив доступ к системе, злоумышленник обычно исследует сеть и выявляет дополнительные устройства или узлы, которые могут обеспечить лучшую точку обзора. Во многих случаях злоумышленник пытается получить доступ к контроллеру домена сети Windows в попытке получить доступ на уровне администратора ко всем устройствам и ресурсам в данной сети. Получив доступ, злоумышленники переходят к атакам на другие системы.
<br/><br/>Другой тип пивотинга — использование нового доступа к сети для создания фишинговых писем или попыток других атак изнутри компании. Это может привести к дополнительным уровням или типам доступа в зависимости от эксплуатируемого персонала.</p>
<p><u>Примеры распространения включают в себя:</u></p>
<ul>
<li>Злоумышленник может иметь доступ к электронной почте пользователя, но попытаться заставить администратора нажать на ссылку в последующем письме.
</li>
<li>Злоумышленник может начать проводить сниффинг дополнительных сетевых локаций с помощью украденных учетных данных.
</li>
</ul>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new2");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-6" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b9a1e4de1539426292713838486cf5fa">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b9a1e4de1539426292713838486cf5fa" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new3 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover3 {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new3" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Захват</button>
<div class="panel3">
<p></p>
<div>
<p>После того, как злоумышленник выявит ценные активы, он, скорее всего, запишет их для вывода из текущей системы. Это может включать в себя использование удаленного промежуточного сервера для хранения информации с целью выборки и эксфильтрации данных. На этапе захвата, чувствительные данные выявляются, приобретаются и накапливаются.
<br/><br/>Определение того, какие файлы или активы являются ценными, может оказаться довольно сложной задачей и может потребовать повторения нескольких этапов процесса атаки для получения доступа к большему количеству устройств или дополнительных привилегий.
</p>
<p><u>Примеры захвата включают в себя:</u></p>
<ul>
<li>Копирование файла с коммерческой тайной.
</li>
<li>Удаление финансовых документов.
</li>
<li>Кража информация, позволяющей идентифицировать личность (PII).</li>
</ul>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new3");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-7" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@0419546174a64ba190e2d79803e2d08e">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@0419546174a64ba190e2d79803e2d08e" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new4 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover4 {
background-color: #ccc;
}
.panel4 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new4" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Эксфильтрация</button>
<div class="panel4">
<p></p>
<div>
<p>Как правило, эксфильтрация происходит либо по сети, либо путем копирования данных на физический носитель и вынос его за пределы территории объекта. Эти два действия могут вызвать регистрацию событий и предупреждения, если ИТ-системы настроены должным образом для выявления больших перемещений данных или перемещений данных, содержащих чувствительные ключевые слова или фразы. На этапе эксфильтрации данные перемещаются во внешнюю систему злоумышленника.
<br/><br/>Эксфильтрация также может быть предотвращена путем настройки правил брандмауэра для исходящих подключений с целью ограничения исходящих данных, поскольку некоторые злоумышленники используют нестандартные протоколы для маскировки своих намерений.
.</p>
<p><u>Примеры эксфильтрации включают в себя:</u></p>
<ul>
<li>Копирование данных на личную систему злоумышленника. Информация в исходной базе данных может выглядеть нетронутой или может быть удалена.</li>
</ul>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new4");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-8" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@f026a7a14402490687fbbd9e0733cd5a">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@f026a7a14402490687fbbd9e0733cd5a" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Дополнительные соображения</p>
<p>Помимо обычных опасений, связанных с нарушением операционной условий, у предприятий есть дополнительные соображения, которые могут проявиться со временем в результате успешной кибератаки или утечки данных. Уведомление об утечке данных и защита от утечки данных остаются динамично развивающейся темой в рамках реагирования на инциденты, причем многие государственные учреждения имеют руководящие документы и планы действий, основанные на последних принятых процедурах. Один аспект последствий кибератаки, который часто упускается из виду — это понимание первоначального нарушения и соответствующих индикаторов компрометации. Правильный аудит и анализ могут дать полное представление о том, как злоумышленник взаимодействовал с системой. Однако более изощренные деятели могут использовать менее известные или неизвестные уязвимости, например, так называемые уязвимости нулевого дня, в попытке обойти правила регистрации и аудита для известных уязвимостей. Это может привести к частичной или неполной очистке окружающей среды и оставить остатки плацдарма злоумышленника. Крупным корпорациям может потребоваться иметь в резерве валюту, возможно включая криптовалюту, на несчастный случай атаки с использованием программы-вымогателя. Киберстрахование предоставляет возможность переноса риска, но требует от организации должной заботливости в применении и выполнении мер безопасности, чтобы получить страховое возмещение убытков от кибератаки.</p>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@c6313216a2264b0e88774c8b2601b94a" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c854a3536d0e40849978bad496a4f97d">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c854a3536d0e40849978bad496a4f97d" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p>Кибер-риск — это <i>риск финансовых потерь, нарушения работы или ущерба, вызванных отказом цифровых технологий, используемых для защиты информационных и/или операционных функций, введенных в производственную систему с помощью электронных средств, в результате несанкционированного доступа, использования, раскрытия, нарушения, модификации или разрушения производственной системы </i>
<a href="https://csrc.nist.gov/glossary/term/cyber_risk" target="[object Object]"> (Национальный институт стандартов и технологий США, 2021 г.)</a> Таким образом, киберриск — это результат кибератаки или непреднамеренного киберинцидента.<p>
<p><center><img width="30%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/7bbe2f401513af4efcf344dd35fe7261/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_CyberTVC.jpg" alt="Get Alt Text"/><br/>
<span style="color: #003478; font-weight: bold !important;">Компоненты киберриска</span></center></p>
<p>При расчете киберриска обычно используется <span style="color: #003478; font-weight: bold !important;">сочетание угрозы, уязвимости и последствия</span> для получения показателя, который можно использовать в сравнении. Таким образом, киберриск представляет собой вероятность того, что угроза будет осуществляться с использованием уязвимости:</p>
<ul>
<li>Угроза представляет собой потенциальную опасность;
</li>
<li>Уязвимость представляет собой уязвимость системы; и
</li>
<li>Последствие представляет собой потенциальный ущерб.</li>
</ul>
<p>Процессы и стратегии управления киберрисками аналогичны общим процессам управления рисками, представленным в первом модуле «Введение в анализ рисков». Анализ и оценка рисков обычно делятся на две категории — качественную и количественную. Анализ и оценка киберрисков обычно относятся к качественной ветви анализа рисков, несмотря на присвоение числовых значений угрозам, уязвимостям и последствиям.</p>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@3936eba09d0046cb924e33021481631f">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@3936eba09d0046cb924e33021481631f" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Киберугрозы</p>
<p>В дополнение к элементам, характеризующим кибератаки, которые представлены в предыдущем разделе, матрица MITRE ATT&CK представляет собой всеобъемлющий источник данных для понимания угроз и методов злоумышленников <a href="https://attack.mitre.org" target="[object Object]"> (MITRE, 2021).</a></p>
<p><center><a href="https://attack.mitre.org" target="_blank"><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/ac24cd0d5f7d827517ebae4199eeb319/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_MITRE.jpg" alt = "Get Alt Text"/></a>
<span style="color: #003478; font-weight: bold !important;"><br/>Матрица MITRE ATTACK</span></center></p>
<p style="color: #003478;"> Щелкните на рисунке, чтобы получить доступ к матрице MITRE.</p>
<p>В каждом элементе матрицы приведены связанные атаки и известные группы угроз, использующие каждый метод, а также примеры. В настоящее время существует несколько версий этой матрицы, охватывающих корпоративные, мобильные и промышленные системы управления. Поначалу использование этого ресурса может показаться очень сложным, но его не следует использовать в качестве сайта для получения простых справок. Его надежность обеспечивается предоставлением всеобъемлющей информации о множестве различных методов и атак.</p>
</div>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@29718026727c4df0bc2e7854767bafe5">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@29718026727c4df0bc2e7854767bafe5" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Киберуязвимости</p>
<p>Киберуязвимости относятся к операциям ОТ и ИТ, недостаткам управления. Они соответствуют слабым сторонам информационной безопасности системы (т.е. свойствам информационной безопасности — конфиденциальность, целостность и доступность). Дополнительная информация о киберуязвимостях представлена в предыдущих разделах <b>«Концепции информационной безопасности» </b> и <b>«Анатомия атаки».</b>.</p>
</div>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c1e960a48c164012a36f4d148ca0cf91">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@c1e960a48c164012a36f4d148ca0cf91" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Кибер-последствия</p>
<p>Последней частью расчета риска является характеризация последствий, или воздействий. Это вытекает из понимания того, как работает система в целом и что может пострадать в результате нарушения или компрометации одного или нескольких компонентов. Количественные компоненты анализа риска, такие как ожидаемый единичный убыток (сколько может стоить отдельное событие) и годовая частота возникновения (как часто событие происходит ежегодно), могут обеспечить денежную основу для вынесения таких суждений. Например, если вы подсчитаете, что в среднем раз в пять лет вы можете стать жертвой атаки с использованием программы-вымогателя, а восстановление после нее обойдется в 500 000 долларов, то вы легко сможете сравнить стоимость такого ущерба с затратами на страхование на случай вымогательства или киберстрахование. Таким образом, ожидаемый единичный убыток составляет 500 000, а годовая частота возникновения — 0,2, что дает ожидаемый годовой убыток в $100 000. Таким образом, с чисто количественной точки зрения, любое решение по отношению к данному риску, например его перенесение на другое лицо, должно стоить менее 100 000 долларов в год. При этом не учитывается сопутствующий ущерб, например, репутационные потери.</p>
<p>Последствия нарушения кибербезопасности делятся на пять основных категорий <a href="https://www.sungardas.com/en-us/blog/the-consequences-of-a-cyber-security-breach/" target="[object Object]"> (Sungard Availability Services, 2021):</a></p>
<ul>
<li>Кража — кража финансовых, личных и деловых чувствительных данных.</li>
<li>Финансовые потери — по прогнозам Cybersecurity Ventures, в течение следующих пяти лет глобальный ущерб от киберпреступности будет расти на 15% в год и к 2025 году достигнут 10,5 трлн долларов США в год по сравнению с 3 трлн долларов США в 2015 году <a href="https://cybersecurityventures.com/annual-cybercrime-report-2019/" target="[object Object]"> (Cybersecurity Ventures, 2019).</a></li>
<li>Репутационный ущерб — утечка данных может нанести ущерб репутации и доходам критически важной инфраструктуры, а на восстановление репутации могут уйти годы.
</li>
<li>Штрафы — регулирующие органы могут налагать штрафы на организации, которые не обеспечивают надлежащую защиту данных потребителей. Например, в соответствии с Общим регламентом ЕС по защите данных (GDPR) за более серьезные нарушения права на неприкосновенность частной жизни и права на забвение могут налагаться штрафы в размере до 20 млн евро или 4% от общемирового годового дохода компании за предыдущий финансовый год, в зависимости от того, какая сумма больше <a href="https://gdpr.eu/fines/" target="[object Object]"> (GDPR, 2021).</a></li>
<li>Скрытые затраты — Помимо экономических затрат на реагирование на инциденты, более неосязаемые затраты, такие как последствия нарушения работы, как правило, недооцениваются.</li>
</ul>
</div>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@f7f63a7091a3414087fed236265d1119">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@f7f63a7091a3414087fed236265d1119" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p>Управление рисками — это практика детализации и оценки рисков в среде путем выявления, мониторинга и ограничения рисков до управляемого уровня. Управление рисками не может устранить все риски, но направлено на снижение остаточных рисков (т.е. количества рисков, которое остается после процесса управления рисками) до приемлемого уровня («снижения риска настолько, насколько это практически целесообразно» [ALARP]).
</p>
<p>В следующем разделе «Модель управления рисками» более подробно описывается процесс управления киберрисками.
</p>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@0b24676aca5e401c9e57e206c5ff3d13" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@32e0028c04214c25b37bfbf0b4a31d4b">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@32e0028c04214c25b37bfbf0b4a31d4b" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p>Базовая модель управления киберрисками состоит из пяти этапов, представленных на рисунке ниже.</p>
<p><center><img width="50%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/33bcf324089ad1262d6d5a6736eb38bc/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Cyber-Risk-Management.jpg" alt="Get Alt Text"/><br/>
<span style="color: #003478; font-weight: bold !important;">Модель Управления Киберрисками</span></center></p>
<p style="color: #003478;">Нажмите на рисунок, чтобы увеличить его.</p>
<p>Шаги являются последовательными и целенаправленными, чтобы сначала понять операционную среду, прежде чем давать общие рекомендации, а затем более детальные рекомендации для
принятия решений о рисках. Часто этот процесс превращается в более итеративный процесс, в котором могут проявляться некоторые области.</p>
<p style="color: #003478;">Разверните гармошки ниже для получения дополнительной информации о пяти шагах модели управления киберрисками.</p>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b2c70c17df7449128ff68a5c4a21bd2a">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b2c70c17df7449128ff68a5c4a21bd2a" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Этап 1 — Выявление активов</button>
<div class="panel"><br/>
<div>
<p>Выявление активов — это самая основная, но в то же время, очень сложная задача управления рисками. Этот этап требует глубокого понимания различных компонентов анализируемой системы и может потребовать участия многих заинтересованных сторон в зависимости от размера организации. Это также может включать в себя понимание партнерских отношений и закупок, которые могут взаимодействовать с ОТ или ИТ-системой, а также точек входа и выхода данных.Первым действием на этом этапе обычно является понимание бизнес-операций и людей путем выявления, категоризации и определения приоритетов различных элементов, составляющих систему:</p>
<ul>
<li>Инвентарь
</li>
<li>Здания
</li>
<li>Наличные деньги
</li>
<li>Информация и данные
</li>
<li>Оборудование
</li>
<li>Программное обеспечение
</li>
<li>Услуги
</li>
<li>Документы
</li>
<li>Персонал
</li>
<li>Узнаваемость бренда
</li>
<li>Репутация организации
</li>
<li>Доброжелательность</li>
</ul>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a57895530aaa4e0b98a54bb151086b43">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@a57895530aaa4e0b98a54bb151086b43" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new2 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new2:hover {
background-color: #ccc;
}
.panel2 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new2" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none; ">Этап 2 — Оценка угроз</button>
<div class="panel2"><br/>
<div>
<p>Второй этап управления киберрисками направлен на определение вероятности возникновения возможных угроз и уязвимостей:</p>
<ul>
<li>Терроризм
</li>
<li>Ошибки
</li>
<li>Злонамеренное повреждение или нападение
</li>
<li>Мошенничество
</li>
<li>Кража
</li>
<li>Сбой оборудования/программного обеспечения
</li>
<li>Незащищенные объекты/компьютерные системы/данные
</li>
<li>Недостаточные процедуры и контроль</li>
</ul>
<p>Хотя при оценке угроз основное внимание уделяется человеку как угрозе в контексте риска, при оценке угроз необходимо учитывать и многие другие опасности, которым могут подвергаться стандартные бизнес-операции. Эти опасности варьируются от стихийных бедствий до непреднамеренных антропогенных опасностей, таких как потеря ключевого персонала. Анализ и оценка киберугрозы требуют понимания и характеризации факторов, определяющих кибератаку. В основном они связаны с характеризацией нарушителя на основе нескольких критериев, таких как его намерения (например, белые, серые или черные шляпы), мотивы и навыки.
</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Белые, серые и черные шляпы</p>
<p>С точки зрения кибербезопасности, кибераналитики рассматривают градиент от белого к черному, чтобы определить намерения злоумышленников. Многих аналитиков зачастую интересуют только злоумышленники «черной шляпы», но полезно понимать, где они находятся в контексте и чем отличаются от других типов «шляп». В таблице ниже представлены различия между белыми, серыми и черными шляпами.
</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">
Различия между каждым типом «шляп»
</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Белые шляпы</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Как правило, «белые шляпы» — это люди, которых нанимают для проведения анализа безопасности в рамках тестирования на проникновение, в составе «красных команд» или внутренней команды по обеспечению безопасности. Они имеют хорошо документированную цель и диапазон действий, определяющий, что они могут и не могут делать.<br/><br/>
<u>Пример:</u> человек, который проникает в компьютерную сеть, чтобы проверить или оценить ее системы безопасности.</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Серые шляпы</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">«Серые шляпы» обычно обнаруживают уязвимости безопасности в развернутых системах, к которым у них нет санкционированного доступа; однако они следуют этическим принципам и законам об ответственном раскрытии информации, чтобы гарантировать, что информация об уязвимостях не будет распространена в ущерб предприятию.<br/><br/><u>Пример:</u> нарушитель компьютерных систем или эксперт по компьютерной безопасности, чьи этические стандарты находятся где-то между чисто альтруистическими и чисто злонамеренными.</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Черные шляпы</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Черные шляпы не следуют правилам либо руководству и не заботятся об этом. Они охотно нарушают законы, чтобы совершать атаки на системы, доступ к которым им не разрешен. Их действия, как правило, направлены на получение личной или коллективной выгоды.t.<br/><br/><u>Пример:</u> человек, который проникает в компьютерную сеть со злым или преступным умыслом.</td>
</tr>
</table>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight:bold !important;">Типы нарушителей</p>
<p>Существует три основных типа нарушителей, представленных в таблице ниже.
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">
Характеристики типов нарушителей
</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Внутренние нарушители</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">
<ul>
<li>Изначально уполномочены использовать сеть
</li>
<li>Часто недооцениваются и упускаются из виду
</li>
<li>Недовольные сотрудники представляют наибольший риск</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Внешние нарушители</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Внешний нарушитель — это человек, не имеющий полномочий на использование сети.</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Нарушители «красной команды»</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">
Нарушитель «красной команды» — это посторонний человек, имеющий право атаковать сеть организации в целях тестирования.
Нарушитель «красной команды» — это нанятый нарушитель, который пытается подорвать системы, как это делала бы «черная шляпа». Эти лица могут помочь в выявлении или проверке рисков в системе и могут имитировать предыдущие два типа нарушителей в попытке составить перечень слабых мест или уязвимостей в системе. Атака «красной команды» обычно осуществляется в координации с «синей командой», которая защищает систему.
</td>
</tr>
</table>
<p>Первые две категории (т.е. внутренние и внешние нарушители) относятся к категории «черные шляпы», в то время как последняя категория соответствует категории «белые шляпы». Первые две категории отличаются от последней тем, что они представляют риск для организации и должны учитываться в рамках моделирования рисков и реестра рисков.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight:bold !important;">Мотивация нарушителей</p>
<p>Типичной мотивацией нарушителей является экономическая выгода или получение власти, но существует и ряд других мотиваций. В таблице ниже приведены примеры мотивации нарушителей.</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">
Мотивация нарушителей</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Умышленная</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; "><p>Существует три основных типа умышленной мотивации:</p>
<ul>
<li style="color: #003478; font-weight: bold !important;">Политическая</li>
<ul>
<li style="margin-left:20px;" type="circle">Уничтожение
</li>
<li style="margin-left:20px;" type="circle"> Нарушение работы
</li>
<li style="margin-left:20px;" type="circle">Шпионаж</li>
</ul>
<li style="color: #003478; font-weight: bold !important;">Экономическая
</li>
<ul>
<li style="margin-left:20px;" type="circle">Кража
</li>
<li style="margin-left:20px;" type="circle">Мошенничество
</li>
<li style="margin-left:20px;" type="circle">Шантаж
</li>
</ul>
<li style="color: #003478; font-weight: bold !important;">Социокультурная
</li>
<ul>
<li style="margin-left:20px;" type="circle">Философская
</li>
<li style="margin-left:20px;" type="circle">Гуманитарная</li>
</ul>
</ul>
<p>Рост группы Anonymous также привнес «хактивизм» (т.е. гибридное слово из «хакерство» и «активизм») в основные новостные циклы и расширил представление о том, почему некоторые группы мотивированы делать то, что они делают. Преобладающе выступают также государственные субъекты, тесно связанных с политическими мотивами, с тем, чтобы повлиять на общественное мнение, получить доступ к привилегированной информации или участвовать в (дез)информационной войне.</p>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Случайная</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; "><p>Случайные «нарушители» — это сотрудники, которые могут внести изменения в производственную среду без тщательного тестирования кода, или изменения физической инфраструктуры, которые могут привести к простою ресурсов (например, случайное извлечение необходимой вилки электропитания из розетки). Случайные мотивации охватывают два основных элемента:
</p>
<ul>
<li style="color: #003478; font-weight: bold !important;">Неумышленное действие
</li>
<ul>
<li style="margin-left:20px;" type="circle">
Несчастный случай или непреднамеренное нарушение (т.е. человеческая ошибка).
</li>
</ul>
<li style="color: #003478; font-weight: bold !important;">Бездействие
</li>
<ul>
<li style="margin-left:20px;" type="circle">Действие не выполнено, как обещано. Когда коррупция не раскрыта, нарушитель может решить самостоятельно произвести утечку информации.</li>
</ul>
</ul>
</td></tr>
</table>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Пирамида навыков</p>
<p>Эта пирамида изображает примерное соотношение между количеством людей на каждом уровне навыков.</p>
<p><center><img width="40%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/7bf40b3b7e40055b9e2927c3353d261d/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Skills-Pyramid.jpg" alt="Get Alt Text"/><br/><span style="color: #003478; font-weight: bold !important;">
Skills Pyramid</span></center></p>
<p>Основание пирамиды, включающее наибольшее количество людей, представляет собой неквалифицированных нарушителей, которые могут просто полагаться на чужие наработки или скрипты эксплойтов.
Следующий по величине уровень представляет собой неквалифицированных нарушителей с прикладными знаниями и навыками. Хотя они могут не обладать глубокими знаниями наборов инструментов, они понимают различные компоненты методологии атаки и то, как использовать инструменты для достижения своих целей. Это может включать изменение некоторых данных, предоставляемых инструментам, или использование инструментов иным образом, чем то, для чего они были разработаны.
Второй наименьший уровень представляет собой полуквалифицированных нарушителей, которые могут уметь создавать инструменты на основе работы других или комбинировать инструменты уникальным образом для осуществления атаки на систему. Сюда также могут относиться люди, которые изменяют или пишут код на основе существующих методик новыми или оригинальными способами.
Наконец, верхний уровень пирамиды представляет собой наименьшее количество нарушителей, которые квалифицированны и способны менять правила игры. Сюда входят те, кто пишет новое программное обеспечение, использующее системы таким образом, который не является широко известным или документированным. Их работа часто копируется полуквалифицированными нарушителями и широко распространяется в сообществах для повторного использования.
</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Матрица угроз</p>
<p>Сандийская национальная лаборатория предлагает подход к количественной оценке силы субъекта угрозы (т.е. нарушителя, хакера) на основе нескольких критериев. Это представляет собой высокоуровневый способ включения различных характеристик угроз в базовый расчет риска с учетом угроз, уязвимостей и последствий.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/04001edfdf7c446f2e8b970e9b9ea0fc/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Threat-Matrix.jpg" target="_blank"><img width="40%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/04001edfdf7c446f2e8b970e9b9ea0fc/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Threat-Matrix.jpg" alt="Get Alt Text"/></a><br/>
<span style="color: #003478; font-weight: bold !important;">
Общая матрица угроз </span><a href="https://www.energy.gov/sites/prod/files/oeprod/DocumentsandMedia/14-Categorizing_Threat.pdf" target="[object Object]"> (Duggan <i>et al.</i>, 2007)</a></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p>TheОбщая матрица угроз выделяет 8 уровней угроз, основанных на приверженности (т.е. намерении) и ресурсах (т.е. способности) нарушителя. Уровень угрозы 1 всегда будет наиболее способным к выполнению задачи или достижению цели, в то время как уровень угрозы 8 будет наименее способным. В отчете «Категоризация угроз: разработка и применение общей матрицы угроз» <a href="https://www.energy.gov/sites/prod/files/oeprod/DocumentsandMedia/14-Categorizing_Threat.pdf" target="[object Object]"> (Duggan <i>et al.</i>, 2007)</a>
объясняется, как была разработана матрица и как ее использовать.</p>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new2");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b4a66b6e0d7a450190998592b0905fc0">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@b4a66b6e0d7a450190998592b0905fc0" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new3 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new3:hover {
background-color: #ccc;
}
.panel3 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new3" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none;">Этап 3 — Определение и количественная оценка воздействия</button>
<div class="panel3"><br/>
<div>
<p>Определение и количественная оценка воздействия направлены на выявление потенциальных угроз и выбор соответствующих подходов к расчету риска. Выбор метода расчета риска (т.е. количественного или качественного), который будет применяться, обычно определяется в зависимости от категории воздействия (т.е. материального или нематериального).</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Категории воздействия</p>
Существует несколько категорий опасностей, которые представлены в таблице ниже.
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">Материальные и нематериальные воздействия</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Материальные воздействия</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Материальные воздействия (или потери) могут быть очень точно представлены в денежном выражении или в виде потерь активов, и их частота обычно хорошо известна. Например, предприятие имеет хорошее представление о том, как часто теряются ноутбуки и сколько стоит каждый из них, и может использовать это в качестве основы для расчета риска. Материальные последствия приводят к финансовым потерям и могут включать в себя:
<ul>
<li>Прямую потерю денег
</li>
<li>Опасность для персонала или клиентов
</li>
<li>Утрату деловых возможностей
</li>
<li>Снижение операционной эффективности или производительности
</li>
<li>Прерывание деятельности предприятия</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Нематериальные воздействия</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Нематериальные воздействия трудно зафиксировать точным образом, и для их включения в расчеты риска могут потребоваться вероятностные подходы или приближения. Это могут быть события, которые никогда не происходили или происходят редко, по отношению к которым расчеты легче провести с использованием качественных методов. Нематериальное воздействие трудно поддается количественной оценке, и определить его финансовую стоимость довольно сложно. Оно может включать в себя:
<ul>
<li>Нарушение законодательства или нормативных требований
</li>
<li>Потеря репутации или гудвилла (ущерб бренду)</li>
<li>Нарушение доверия</li>
</ul>
</td></tr>
</table>
<p>После определения воздействия, следующей задачей является оценка возможных последствий.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Оценка последствий</p>
<p>Оценка последствий начинается с выявления активов системы и их стоимости. После выявления могут быть проведены два типа оценки. Они представлены в таблице ниже.</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">Количественные и качественные оценки</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Количественная оценка</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">
При количественной оценке используются конкретные денежные суммы для определения ущерба и стоимости активов. Количественные оценки риска строятся на расчетах, при которых субъекты относительно хорошо известны и документированы, что может обеспечить точное измерение убытков.
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Качественная оценка</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">
При качественной оценке используются суждения для классификации рисков на основе вероятности и воздействия. Качественная оценка риска опирается на опыт и знания оценщика для выявления различных характеристик и вероятностей, которые включаются в расчет риска.
</td></tr>
</table>
<p>Эти два типа расчетов не противоречат друг другу и часто используются в дополнение друг к другу для создания более целостного представления о риске, которому подвержена организации.
В оставшейся части данного раздела, посвященного оценке последствий, внимание уделяется только количественным оценкам.
</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Количественные оценки последствий</p>
<p>Количественный расчет последствий направлен на определение <b>ожидаемого годового ущерба (ОГУ)</b>, который является произведением двух элементов:</p>
<ul>
<li><b>Ожидаемый разовый ущерб (ОРУ) </b> представляет собой величину потери в результате одного случая данной потери.</li>
<li><b>Ежегодная частота возникновения (ЕЧВ)</b> определяет, сколько раз в год будет возникать данная потеря
</li>
</ul>
<p style="color: #003478; text-align: center; font-weight: bold !important;">ОГУ = ОРУ x ЕЧВ</p>
<p><b><u>Пример::</u></b><br/><br/> Рассмотрим потерю ноутбука.</p>
<table>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:200px; ">
Сотрудники теряют один ноутбук в месяц, который стоит $ 2 000.
<ul>
<li>Каково значение ОРУ?
</li>
<li>Каково значение ЕЧВ?
</li>
<li>Каково значение ОГУ?
</li>
</ul></span></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">В данном примере ожидаемый разовый ущерб составляет 2 000 долларов, а ежегодная частота возникновения — 12 (один раз в месяц -> 12 в год). Используя эти две единицы данных, мы рассчитываем, что ожидаемый годовой ущерб составляет $24 000.
<ul>
<li>ОРУ = $2,000</li>
<li>ЕЧВ = 12 per year</li>
<li>ОГУ = $24,000</li>
</ul>
</td></tr>
</table>
<p>By Используя эту информацию, можно принять решение о том, какие страховые полисы целесообразно приобрести. Максимальная годовая стоимость страхования для успешной передачи этого риска составит $23 999. Любая сумма, превышающая эту, не имеет финансового смысла.
Используя качественные показатели, как мы можем рассчитать последствия или потери для нематериальных или менее материальных воздействий? Можно использовать аппроксимации и вероятностные измерения, предоставляемые несколькими различными направляющими метриками:
</p>
<ul>
<li>
Использование системы оценки уязвимостей Common Vulnerability Scoring System (CVSS)
</li>
<li> Перечисление затронутых ресурсов
</li>
<li>Вычисление зависимостей
</li>
<li>Определение суммарного времени и стоимости отключения
</li>
<li>Понимание бизнес-процессов и операционных процессов
</li>
<li>Применение таких методов, как кабинетные учения</li>
</ul>
<p>После того как мы выполнили этапы по выявлению активов, которые могут пострадать от конкретной угрозы, мы можем рассчитать приблизительную силу угрозы (общую матрицу угрозы), уязвимость (CVSS), а затем приблизительно оценить стоимость потери ресурсов.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Учения</p>
<p>В таблице ниже представлены два основных типа учений.</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">
Типы учений
</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Кабинетные учения</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Кабинетные учения (TTX) представляют собой возможно полезный способ оценки и проработки случаев возникновения угрозы и определения надлежащих мероприятий по реагированию. Кроме того, кабинетные учения могут послужить в качестве дополнительной подготовки для сотрудников, что может помочь в реальных ситуациях. Такие кабинетные учения могут позволить провести ролевую игру и отреагировать на события и ситуации, которые могут произойти, и выявить пробелы в планах реагирования или действиях сотрудников. Это может поспособствовать укреплению понимания рисков или планов реагирования на инциденты.<br/><br/><b><u>Характеристики кабинетных учений:</u></b>
<ul>
<li>Кабинетные учения — это имитационные учения, в которых заинтересованным сторонам предлагается рассмотреть возможные сценарии.
</li>
<li>Путем кабинетных учений можно определить перечень пробелов в области безопасности, устойчивости и знаний/документации.
</li>
<li>Кабинетные учения полезны для обеспечения соблюдения операционной политики и политики безопасности.
<li>Кабинетные учения могут быть сфокусированы на одной области или распространяться на различные группы/роли сотрудников.</li>
</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Кабинетные учения на базе сценариев</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">В дополнение к кабинетным учениям, имитирующим исключительные обстоятельства, можно разработать различные сценарии для оценки реакции сотрудников на изменение условий работы, что может помочь в выявлении новых факторов риска. Это позволяет проактивно понимать и предвидеть будущие угрозы, не требуя при этом опыта.
<br/><br/><b><u>Кабинетные учения на базе сценариев:</u></b>
<ul>
<li>Кабинетные учения на базе сценария — это учения, в которых предоставляется конкретный сценарий для оценки типичных бизнес-процедур.
</li>
<li>В кабинетные учения на базе сценария могут вводиться различные дополнительные параметры если условия меняются или получена новая информация.
</li>
<li>Кабинетные учения на базе сценария могут включать несколько взаимосвязанных сценариев, которые могут подчеркнуть широту цепочки атаки.</li>
</ul></td></tr>
</table>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new3");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@fa9b66fdb71245e7b2e52deb24ce8738">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@fa9b66fdb71245e7b2e52deb24ce8738" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new4 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new4:hover {
background-color: #ccc;
}
.panel4 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new4" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none;">Этап 4 — Разработка и оценка контрольных мер</button>
<div class="panel4"><br/>
<div>
<p>После выявления угроз и уязвимостей, четвертый этап процесса управления рисками направлен на разработку и внедрение контрмер (т.е. контрольных мер, гарантий) для смягчения этих рисков и уменьшения последствий до приемлемого уровня. Это должно быть первой попыткой сортировки рисков, присутствующих в сети.
Может быть реализовано несколько типов контрольных мер (т.е. действий, устройств или процедур). Они организованы в пять основных категорий, представленных в таблице ниже.
</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">
Типы контрольных мер
</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Контрольные меры предотвращения</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Контрольные меры предотвращения направлены на предотвращение возникновения риска. <br/><br/><u>Примеры контрольных мер предотвращения:</u>
<ul>
<li>Административные (например, политика, разделение обязанностей, осведомленность о безопасности)
</li>
<li>Физические (например, пропуска, замки, сигнализация)
</li>
<li>Технические (пароли, шифрование, брандмауэры, антивирусы)</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Контрольные меры обнаружения</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Контрольные меры обнаружения способствует быстрому обнаружению любой угрозы.<br/><br/><u> Примеры контрольных мер обнаружения:</u>
<ul>
<li>Административные (например, ротация рабочих мест, реагирование на инциденты, аудиты)
</li>
<li>Физические (например, детекторы движения, камеры)
<li>Технические (например, системы обнаружения вторжений, журналы аудита, форензика)</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Контрольные меры исправления</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Контрольные меры исправления направлены на то, чтобы вернуть систему в рабочее состояние.</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Контрольные меры сдерживания</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Контрольные меры сдерживания направлены на предотвращение угроз путем отпугивания.</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Контрольные меры восстановления</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Контрольные меры восстановления, дополняя контрольные меры исправления и компенсации, направлены на противодействие рискам после их возникновения.</td></tr>
</table>
<p>Выбор контрмер и контрольных мер зависит от существующих уязвимостей системы. Несколько подходов и инструментов могут помочь выявить и охарактеризовать уязвимости системы. Некоторые из этих подходов представлены ниже.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Реестр распространенных уязвимостей MITRE Common Vulnerabilities and Exposures (CVEs)</p>
<p>Common vulnerabilities and exposures (CVEs) — это реестр уязвимостей, который ведет и индексирует корпорация MITRE <a href="https://www.cve.org/" target="[object Object]"> (MITRE, 2021)</a>
Эта база данных содержит описания и метаданные уязвимостей, созданные на основе информации, полученной из различных источников и проверенной MITRE. Этот реестр уязвимостей служит отличной основой для сравнения программного обеспечения вашей системы, чтобы понять потенциальные слабые места. Многие программные продукты, такие как nikto и OpenVAS, используют базовые данные CVE, чтобы попытаться выявить известные уязвимости.
</p>
<p> CVE — это:</p>
<ul>
<li>Один идентификатор для одной уязвимости или подверженности
</li>
<li>Одно стандартизированное описание для каждой уязвимости или подверженности
</li>
<li>Скорее словарь, чем база данных
</li>
<li>Позволяет разрозненным базам данных и инструментам «говорить» на одном языке
</li>
<li>Путь к функциональной совместимости и лучшему обеспечению безопасности
</li>
<li>Основа для оценки услуг, инструментов и баз данных
</li>
<li>Бесплатно для публичного скачивания и использования
</li>
<li>Одобрен промышленностью через органы нумерации CVE, Совет CVE, а также многочисленные продукты и услуги, включающие CVE</li>
</ul>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Система оценки уязвимостей Common Vulnerability Scoring System (CVSS)</p>
<p>Common Vulnerability Scoring System (CVSS) — это бесплатный и открытый отраслевой стандарт для оценки серьезности уязвимостей в обеспечение безопасности компьютерных систем
<a href="https://www.first.org/cvss/" target="[object Object]"> (Forum of Incident Response and Security Teams, 2021)</a> Система обеспечивает сравнительный способ определения потенциального воздействия конкретной уязвимости. Она предоставляет среду, в которой можно проводить сравнения между уязвимостями, используя набор определяющих характеристик.</p>
<p><center><a href="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/b25ea1f49507588f0c8ddf6f6bbcc7e2/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_CVSS-Metrics.jpg" target="_blank"><img width="60%" src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/b25ea1f49507588f0c8ddf6f6bbcc7e2/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_CVSS-Metrics.jpg" alt="Get Alt Text" /></a><br/>
<span style="color: #003478; font-weight: bold !important;">Группы метрик CVSS V3.1 </span><a href="https://www.first.org/cvss/v3.1/specification-document" target="[object Object]">
(Forum of Incident Response and Security Teams, 2021)</a></center></p>
<p style="color: #003478;"> Нажмите на рисунок, чтобы увеличить его.</p>
<p><b>Группа базовых метрик </b> reпредставляет присущие характеристики уязвимости, которые являются постоянными с течением времени и в разных пользовательских средах. Она состоит из двух наборов метрик: метрики эксплуатируемости и метрики воздействия. Метрики эксплуатируемости отражают простоту и технические средства, с помощью которых уязвимость может эксплуатироваться. В то время как уязвимым компонентом обычно является программное приложение, модуль, драйвер и т.д. (или, возможно, аппаратное устройство), подвергаемый воздействию компонент может быть программным приложением, аппаратным устройством или сетевым ресурсом. </p>
<p> <b>Группа временных метрик </b> отражает характеристики уязвимости, которые могут меняться со временем, но не в разных пользовательских средах.</p>
<p> <b>Группа метрик среды </b> представляет характеристики уязвимости, которые являются релевантными и уникальными для конкретной пользовательской среды.</p>
<p>Когда аналитик присваивает значения базовым метрикам, оценка в диапазоне от 0,0 до 10,0 вычисляется с помощью базового уравнения. Калькулятор CVSS реализует формулу расчета, генерируя оценки на основе значений метрик. Калькулятор CVSS и соответствующий стандарт доступны <a href="https://www.first.org/cvss/calculator/3.1" target="[object Object]"> здесь</a>.</p>
<p>Оценки CVSS сопровождают CVE в Национальной базе данных уязвимостей и позволяют получить быстрый обзор метрик воздействия уязвимостей.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Национальная база данных уязвимостей (NVD)</p>
<p>Национальная база данных уязвимостей США содержит репозиторий известных уязвимостей, в котором распространенные уязвимости и подверженности MITRE сочетаются с общей системой оценки уязвимостей .
<a href="https://nvd.nist.gov/" target="[object Object]"> (Национальный институт стандартов и технологий США, 2021 г.)</a> Это позволяет быстро найти и идентифицировать риски, которым подвержена система, путем понимания уязвимости, а также ее последствий. Например, если выявлено, что у службы имеется известная уязвимость, но для использования этой уязвимости требуется локальный доступ, вы можете зафиксировать наличие уязвимости, но отметить, что она не применима к вашей системе. Это должно быть зафиксировано в реестре рисков для дальнейшего использования.</p>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new4");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-5" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@ca32c9247aa649418d42c9c6f13e97b4">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@ca32c9247aa649418d42c9c6f13e97b4" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
.accordion_new5 {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new5:hover {
background-color: #ccc;
}
.panel5 {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div><button class="accordion_new5" style= "font-size: 12.0pt; font-family: 'Calibri'; background-color: #003478; background-image: none;">Этап 5 — Управление остаточными рисками</button>
<div class="panel5"><br/>
<div>
<p>Какой бы ни была причина, некоторые риски никогда не удастся устранить. Например, для того, чтобы бизнес функционировал, он должен полагаться на ИТ для внешнего веб-сайта и связи с клиентами. Некоторые риски в рамках этих технологий находятся вне контроля ИТ-персонала организации. Что если в используемом программном обеспечении почтового клиента была обнаружена уязвимость? Что произойдет, если сотрудник повторно использует учетные данные с другого сайта, который был взломан?</p>
<p>Остаточные риски, то есть риски, которые остаются после внедрения мер контроля, могут потребовать рассмотрения в виде планов действий или включения в меры реагирования на инциденты.</p>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Методы реагирования на риск</p>
<p>Выбор метода реагирования на риск зависит от характера риска и его связи с операциями или нарушениями бизнеса. Учесть и справиться с некоторыми рисками можно путем создания политики и процедур для снижения риска или его воздействия (смягчение). С другими рисками может быть лучше справиться с задействованием третьей стороны на основе расчета рисков и анализа затрат и выгод (передача). Наконец, иногда риск может быть неизбежным, например, стихийное бедствие, и вы можете просто принять этот риск как издержки ведения бизнеса в определенном регионе.</p>
<p>В таблице ниже представлены четыре основных типа действий по управлению остаточными рисками.</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;" colspan="2">Типы методов реагирования на риски</td>
</tr>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Метод</td>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Цель</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Избежание</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">
Не участвовать в рискованной деятельности.
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Передача</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Передать рискованные виды деятельности на аутсорсинг:
<ul>
<li>Приобретение страховки.
</li>
<li>«Разделение» риска.</li>
</ul>
</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Смягчение</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Внедрить меры контроля для снижения рисков (например, антивредоносная программа для снижения риска от вредоносного ПО).</td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Принятие</u></b></td>
<td style="background-color:white; border: 1px solid black; padding: 15px; width:300px; ">Вариант на случай, если затраты на меры контроля превышают выгоду.</td></tr>
</table>
</div>
</div>
</div>
<script type="text/javascript">
var acc = document.getElementsByClassName("accordion_new5");
var i;
for (i = 0; i < acc.length; i++) {
acc[i].addEventListener("click", function() {
this.classList.toggle("active");
var panel = this.nextElementSibling;
if (panel.style.display === "block") {
panel.style.display = "none";
} else {
panel.style.display = "block";
}
});
}
</script>
</div>
</div>
<div class="vert vert-6" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@62d352ad17ac4c1cac634c2055a5fca0">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@62d352ad17ac4c1cac634c2055a5fca0" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Качественное управление рисками</p>
<p>Пять этапов процесса количественного управления рисками также могут быть использованы для качественной оценки и управления рисками.</p>
<p><b><u>Вероятность возникновения:</u></b></p>
<ul>
<li>Вероятность того, что событие произойдет
</li>
<li>Вероятность попытки реализации угрозы с использованием определенной уязвимости
</li>
</ul>
<p>Сравнивая качественную модель рисков с пятью этапами количественной модели рисков, можно перевести угрозы и уязвимости в вероятность их возникновения с помощью простого умножения.</p>
<p><b><u>Воздействие:</u></b></p>
<ul>
<li>Величина ущерба в результате реализации риска
</li>
<li>Отрицательный результат события
<li>Потеря конфиденциальности, целостности или доступности системы или данных</li>
</ul>
<p>Определение воздействия требует глубокого знания оцениваемой системы и может включать несколько вторичных расчетов для учета побочных событий, возникающих как прямой результат неблагоприятного события.
Таким образом, используя опыт и приблизительные количественные оценки, можно рассчитать риск по отношению к нематериальным или трудноопределимым угрозам.
</p>
<p><b><u>Примеры расчета:</u></b></p>
<p><span style="color: #003478;"><b>1.</b></span> Веб-сервер, продающий товары через Интернет</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Вероятность</td>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Воздействие</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Высокая (10)</u></b></td>
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Сильное (10)</u></b></td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:white; border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;" colspan="2">
Оценка риска (10 * 10 = 100)</td></tr>
</table>
<p><span style="color: #003478;"><b>2.</b></span> Библиотечный компьютер</p>
<table>
<tr>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Вероятность</td>
<td td style="background-color:#003478; color: white; border: 1px solid black; padding: 15px; vertical-align: middle; text-align:center;">Воздействие</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Низкая (1)</u></b></td>
<td style="background-color:rgba(0,136,198,.30); border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;">
<b><u>Слабое (1)</u></b></td></tr>
<tr style="align: middle; vertical-align: middle;">
<td style="background-color:white; border: 1px solid black; padding: 15px; width:100px; vertical-align: middle; text-align:center;" colspan="2">
Оценка риска (1 * 1 = 1)</td></tr>
</table>
<p>Эти примеры иллюстрируют простые расчеты. Более глубокие расчеты должны включать количественные оценки угрозы, уязвимости и последствий с использованием методов, представленных в разделе о количественном управлении рисками. Это может включать оценку угрозы (0-10), оценку уязвимости (на основе CVSS) и оценку последствий/воздействия, основанную на предполагаемой потере активов.</p>
</div>
</div>
</div>
<div class="vert vert-7" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@36e782924c48453daa9c205ce8b75bea">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@36e782924c48453daa9c205ce8b75bea" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>
<p style="font-size: 13pt !important; color: #003478; text-decoration: underline !important; font-weight: bold !important;">Оценка риска и реестр рисков</p>
<p>Реестры рисков — это контролируемые документы, которые позволяют идентифицировать и отслеживать риски и действия организации в отношении данных рисков. Эти документы помогают понять общий подход к рискам, а также отследить действия в отношении рисков с течением времени. Их следует регулярно пересматривать, чтобы убедиться, что деятельность организации по-прежнему соответствует предполагаемому риску и что обучение сотрудников соответствует действиям, определенным в реестре рисков.</p>
<p>Таким образом, реестр рисков — это хранилище информации о рисках. Как правило, реестр рисков включает следующее:</p>
<table>
<tr>
<td style="width:200px; border: 0px; padding: 0px;" >
<ul>
<li>Категория</li>
<li>Конкретный риск</li>
<li>Вероятность</li>
<li>Воздействие</li>
<li>Оценка риска</li>
</ul>
</td>
<td style="border: 0px; padding: 0px;">
<ul>
<li>Меры контроля безопасности</li>
<li>Меры на случай нештатной ситуации</li>
<li>Оценка риска (при мерах контроля)</li>
<li>Действия поручены кому</li>
<li>Срок выполнения действий</li>
</ul>
</td>
</tr>
</table>
<p>Регулярная оценка рисков направлена на проверку актуальности реестров рисков и другой документации, связанной с рисками, а также на расширение перспективы для включения возникающих и новых рисков, которые могут отсутствовать в текущей документации. По мере роста и изменения организаций, риски эволюционируют и принимают различные формы. Например, при слиянии двух организаций необходимо согласовать риски и активы между компаниями, что может потребовать значительных усилий. Во многих случаях эта задача не является однозначной и может потребовать значительного количества времени и оценок для получения уровня риска, приемлемого для организации.</p>
<p>Реестр рисков включает в себя документацию по оценке рисков. Он включает в себя ценные результаты, которые:</p>
<ul>
<li>помогают организации оценить угрозы и уязвимости;
</li>
<li>должны быть защищены; и
</li>
<li>должны быть доступны только для руководства и специалистов по безопасности.
</li>
</ul>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@a67da773a4274c23a907b455275fa50f" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@61e2578bf3ac48e0b4c41ba67fd77127">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@61e2578bf3ac48e0b4c41ba67fd77127" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
#SecondOrderList
{
list-style-type: lower-alpha;
}
.SecondOrderList
{
list-style-type: lower-alpha;
}
ol.SecondOrderList
{
list-style-type: lower-alpha;
}
--></style>
<div>
<p>Общие концепции, представленные в этом модуле, составляют основу, необходимую для понимания принципов и процессов информационной безопасности и кибербезопасности.
<p style="color: #003478; text-decoration: underline !important; font-weight: bold !important;">Семь ключевых элемента представлены в этом модуле:</p>
<p style="color: #003478; font-weight: bold !important;">1. Все более широкое использование информационных технологий для эксплуатации систем критической инфраструктуры создает новые уязвимости.</p>
<p style="color: #003478; font-weight: bold !important;">2. Кибератаки могут быть сложными. Они охватывают нежелательные попытки украсть, раскрыть, изменить, вывести из строя или уничтожить информацию посредством несанкционированного доступа к компьютерным системам.
</p>
<p style="color: #003478; font-weight: bold !important;">3. Киберугрозы и киберуязвимости можно уменьшить путем внедрения процессов информационной безопасности и управления киберрисками.</p>
<p style="color: #003478; font-weight: bold !important;">4.Программа информационной безопасности направлена на оценку различных рисков для информационных систем и используется для оценки эффективности системы на основе трех основополагающих концепций:</p>
<ol class="SecondOrderList" id="SecondOrderList" style="padding-left: 50px;" type="a" start="1">
<li>Целостность
</li>
<li>Конфиденциальность
</li>
<li>Доступность</li>
</ol>
<p style="color: #003478;"><b>5. Модель информационной безопасности включает три элемента, которые можно представить с помощью куба МакКамбера:</b></p>
<ol style="padding-left: 50px;" class="SecondOrderList" id="SecondOrderList" type="a" start="1">
<li>Свойства информационной безопасности, которые характеризуют конфиденциальность, целостность и доступность данных.
</li>
<li>Состояния информации, которые характеризуют обработку данных (данные в процессе), хранение данных (данные в состоянии покоя) и передачу данных (данные в пути).
</li>
<li>Меры обеспечения безопасности, которые характеризуют политику и процедуры кибербезопасности, технологии, а также образование, обучение и осведомленность.</li>
</ol>
<p style="color: #003478;"><b>6. Анатомия кибератаки включает пять основных этапов:</b></p>
<ol style="padding-left: 50px;" class="SecondOrderList" id="SecondOrderList" type="a" start="1">
<li>Разведка — выбирается цель и изучается на предмет слабых мест.
</li>
<li>Проникновение — успешная атака создает начальную точку проникновения.
</li>
<li>Распространение — нарушитель получает доступ, переходит на другие системы.
</li>
<li>Захват — чувствительные данные выявляются, приобретаются и накапливаются.
</li>
<li>Эксфильтрация — данные перемещаются во внешнюю систему нарушителя.</li>
</ol>
<p style="color: #003478;"><b>7. Управление киберрисками включает в себя 5 этапов для обоснования принятия решения о риске:</b></p>
<ol style="padding-left: 50px;" class="SecondOrderList" id="SecondOrderList" type="a" start="1">
<li>Этап 1 — идентификация активов: направлен на определение характеристик различных компонентов анализируемой системы.
</li>
<li>Этап 2 — оценка угроз: направлен на определение вероятности возникновения возможных угроз и уязвимостей.
</li>
<li>Этап 3 — определение и количественная оценка воздействия: направлен на выявление потенциальных угроз и выбор соответствующих подходов к расчету риска.
</li>
<li>Этап 4 — разработка и оценка мер контроля: направлен на разработку и внедрение контрмер для смягчения рисков и уменьшения последствий до приемлемого уровня.
</li>
<li>Этап 5 — управление остаточными рисками: направлен на внедрение мер контроля, планов действий и методов реагирования на инциденты для управления остаточными рисками.</li>
</ol>
</div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@30346628a95241479534a7b970b47473" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@34f2b8516906469183d09febfc4eb7b4">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@34f2b8516906469183d09febfc4eb7b4" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<div>Следующий контрольный опросник поможет вам проверить свое понимание важных элементов, представленных в модуле «Информационная безопасность и анализ киберрисков».<br/><br/>
Тест включает пять вопросов.<br/><br/>
<p style="color: #003478;">Если вы ошибетесь при ответе на вопрос, <span style="text-decoration: underline !important;">вернитесь к соответствующим разделам, чтобы пересмотреть представленные концепции.</span></p>
</div>
</div>
</div>
<div class="vert vert-1" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@420c0383c12d425b974b5264f4fe640a">
<div class="xblock xblock-public_view xblock-public_view-problem xmodule_display xmodule_ProblemBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-block-type="problem" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@420c0383c12d425b974b5264f4fe640a" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="True">
<div class="page-banner"><div class="alert alert-warning"><span class="icon icon-alert fa fa fa-warning" aria-hidden="true"></span><div class="message-content">Вопрос 1 is only accessible to enrolled learners. Sign in or register, and enroll in this course to view it.</div></div></div>
</div>
</div>
<div class="vert vert-2" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@ef58a1b278434ebdb87d65b4b16b31b0">
<div class="xblock xblock-public_view xblock-public_view-problem xmodule_display xmodule_ProblemBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-block-type="problem" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@ef58a1b278434ebdb87d65b4b16b31b0" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="True">
<div class="page-banner"><div class="alert alert-warning"><span class="icon icon-alert fa fa fa-warning" aria-hidden="true"></span><div class="message-content">Вопрос 2 is only accessible to enrolled learners. Sign in or register, and enroll in this course to view it.</div></div></div>
</div>
</div>
<div class="vert vert-3" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@5f131f3ffeaa46c7b813fa432ff93f00">
<div class="xblock xblock-public_view xblock-public_view-problem xmodule_display xmodule_ProblemBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-block-type="problem" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@5f131f3ffeaa46c7b813fa432ff93f00" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="True">
<div class="page-banner"><div class="alert alert-warning"><span class="icon icon-alert fa fa fa-warning" aria-hidden="true"></span><div class="message-content">Вопрос 3 is only accessible to enrolled learners. Sign in or register, and enroll in this course to view it.</div></div></div>
</div>
</div>
<div class="vert vert-4" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@3e10f94651fb45c69b9422bfe7b2485b">
<div class="xblock xblock-public_view xblock-public_view-problem xmodule_display xmodule_ProblemBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-block-type="problem" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@3e10f94651fb45c69b9422bfe7b2485b" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="True">
<div class="page-banner"><div class="alert alert-warning"><span class="icon icon-alert fa fa fa-warning" aria-hidden="true"></span><div class="message-content">Вопрос 4 is only accessible to enrolled learners. Sign in or register, and enroll in this course to view it.</div></div></div>
</div>
</div>
<div class="vert vert-5" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@9afc046a4b9543b7b6928285ca30664d">
<div class="xblock xblock-public_view xblock-public_view-problem xmodule_display xmodule_ProblemBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-block-type="problem" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@problem+block@9afc046a4b9543b7b6928285ca30664d" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="True">
<div class="page-banner"><div class="alert alert-warning"><span class="icon icon-alert fa fa fa-warning" aria-hidden="true"></span><div class="message-content">Вопрос 5 is only accessible to enrolled learners. Sign in or register, and enroll in this course to view it.</div></div></div>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
<div class="xblock xblock-public_view xblock-public_view-vertical" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="VerticalStudentView" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="vertical" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@vertical+block@6b530a2d0e6647349e2853bde2ae33ae" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<div class="vert-mod">
<div class="vert vert-0" data-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@0f1eb77c04974843bfa1eae402ed71b8">
<div class="xblock xblock-public_view xblock-public_view-html xmodule_display xmodule_HtmlBlock" data-course-id="course-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03" data-init="XBlockToXModuleShim" data-runtime-class="LmsRuntime" data-runtime-version="1" data-block-type="html" data-usage-id="block-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@html+block@0f1eb77c04974843bfa1eae402ed71b8" data-request-token="29b7eca2219011f0a778ae07ee1b2d53" data-graded="False" data-has-score="False">
<script type="json/xblock-args" class="xblock-json-init-args">
{"xmodule-type": "HTMLModule"}
</script>
<style><!--
.accordion_new {
background-color: #4769A0;
color: white;
cursor: pointer;
padding: 18px;
width: 100%;
border: none;
text-align: left;
outline: none;
font-size: 15px;
font-weight: normal;
transition: 0.4s;
margin-bottom:2px;
margin-top:2px;
background-image: none;
}
.active, .accordion_new:hover {
background-color: #ccc;
}
.panel {
padding: 0 18px;
display: none;
background-color: white;
overflow: hidden;
font-family: Calibri !important;
font-size: 12pt !important;
}
div
{
font-family: Calibri !important;
font-size: 12pt !important;
}
p
{
font-family: Calibri !important;
font-size: 12pt !important;
}
td
{
font-family: Calibri !important;
font-size: 12pt !important;
}
th
{
font-family: Calibri !important;
font-size: 12pt !important;
font-weight: bold !important;
}
li
{
font-family: Calibri !important;
font-size: 12pt !important;
}
--></style>
<table>
<tbody>
<tr>
<td style="background-color: #003478; color: white; font-weight: bold !important;" colspan="2">«Ключевые практики управления рисками кибернетических цепочек поставок»</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="align: middle; vertical-align: middle; width: 15%"><img src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/031a729b937661d7655acaa0e888701b/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Ref1.jpg" alt="Get Alt Text" /></td>
<td style="align: left; vertical-align: top;">Междисциплинарный подход к управлению этими видами рисков называется управлением рисками кибернетических цепочек поставок (C-SCRM). Этот документ предоставляет постоянно растущему сообществу цифровых предприятий набор ключевых практик, которые любая организация может использовать для управления рисками кибербезопасности, связанными с ее цепочками поставок. Ключевые практики, представленные в этом документе, могут быть использованы для реализации надежной функции C-SCRM в организации любого размера, масштаба и сложности.</td>
</tr>
<tr>
<td colspan="2"><span style="color: #003478; font-weight: bold !important;"><em>Ссылка:</em></span> Boyens, J., C. Paulsen, N. Bartol, K. Winkler, and J. Gimbi, 2021,
<a href="https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8276.pdf" target="_blank">Key Practices in Cyber Supply Chain Risk Management: Observations from Industry</a>,
NISTIR 8276, National Institute of Standards and Technology, U.S. Department of Commerce, accessed on November 10, 2021. [«Ключевые практики управления рисками кибернетических цепочек поставок: наблюдения со стороны промышленности», NISTIR 8276, Национальный институт стандартов и технологий, Министерство торговли США], дата обращения: 10 ноября 2021 г.</td>
</tr>
<tr>
<td style="background-color: #003478; color: white; font-weight: bold !important;" colspan="2">«Кибер-основы — комплект для начинающих»</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="align: middle; vertical-align: middle; width: 15%"><img src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/ab280b26523d13e2eb18132689661c77/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Ref2.jpg" alt="Get Alt Text" /></td>
<td style="align: left; vertical-align: top;">«Кибер-основы» от Агентства по кибербезопасности и безопасности инфраструктуры США — это руководство для руководителей малых предприятий, а также руководителей малых и местных государственных учреждений, позволяющее выработать практическое понимание того, с чего надо начинать внедрение организационных практик обеспечения кибербезопасности.
<br/><br/>В соответствии с Рамочными концепциями кибербезопасности Национального института стандартов и технологий США и другими стандартами, «Кибер-основы» являются отправной точкой для обеспечения киберготовности.
</td>
</tr>
<tr>
<td colspan="2"><span style="color: #003478; font-weight: bold !important;"><em>Ссылка:</em></span> Cybersecurity and Infrastructure Security Agency (CISA), 2020,
<a href="https://www.cisa.gov/sites/default/files/publications/Cyber%20Essentials%20Starter%20Kit_03.12.2021_508_0.pdf" target="_blank">Cyber Essentials Starter Kit</a>,
The Basics for Building a Culture of Cyber Readiness, U.S. Department of Homeland Security, accessed on November 10, 2021. [Агентство по кибербезопасности и безопасности инфраструктуры США, 2020 г., «Кибер-основы — комплект для начинающих: основания для построения культуры киберготовности», Министерство внутренней безопасности США], дата обращения: 10 ноября 2021 г.</td>
</tr>
<tr>
<td style="background-color: #003478; color: white; font-weight: bold !important;" colspan="2">«Рамочные концепции кибербезопасности»</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="align: middle; vertical-align: middle; width: 15%"><img src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/28a2a9ced0a418b81be6e99cfab60411/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Ref3.jpg" alt="Get Alt Text" /></td>
<td style="align: left; vertical-align: top;">«Рамочные концепции кибербезопасности» NIST — это набор рекомендаций по снижению рисков кибербезопасности организаций, опубликованный Национальным институтом стандартов и технологий США на основе существующих стандартов, руководящих принципов и практик. Данная концепция предоставляет высокоуровневую таксономию исходов в сфере кибербезопасности и методологию для оценки и управления этими исходами.</td>
</tr>
<tr>
<td colspan="2"><span style="color: #003478; font-weight: bold !important;"><em>Ссылка:</em></span> National Institute of Standards and Technology (NIST), 2021,
<a href="https://www.nist.gov/cyberframework" target="_blank">Cybersecurity Framework</a>, U.S. Department of Commerce, accessed on November 10, 2021. [Национальный институт стандартов и технологий США, 2021 г., «Рамочные концепции кибербезопасности», Министерство торговли США], дата обращения: 10 ноября 2021 г.</td>
</tr>
<tr>r
<td style="background-color: #003478; color: white; font-weight: bold !important;" colspan="2">«Меры контроля безопасности и конфиденциальности для информационных систем и организаций»</td>
</tr>
<tr style="align: middle; vertical-align: middle;">
<td style="align: middle; vertical-align: middle; width: 15%"><img src="//d24jp206mxeyfm.cloudfront.net/assets/courseware/v1/1f5a1c143aa33c6056255ba02a635548/asset-v1:OSCE+CriticalEnergyNetworks101_RU+2022-03+type@asset+block/Mod4_Ref4.jpg" alt="Get Alt Text" /></td>
<td style="align: left; vertical-align: top;">В данной публикации представлен каталог мер контроля безопасности и конфиденциальности для информационных систем и организаций, нацеленных на защиту операций и активов организации, отдельных лиц, других организаций и государства от различных угроз и рисков, включая враждебные атаки, человеческие ошибки, стихийные бедствия, структурные отказы, деятельность иностранных разведок и риски конфиденциальности. Предлагаемые меры контроля являются гибкими и настраиваемыми и внедряются как часть общеорганизационного процесса управления рисками. Меры контроля учитывают разнообразные требования, вытекающие из миссии и деловых потребностей, законов, исполнительных приказов, распоряжений, нормативных актов, политик, стандартов и руководящих принципов. Наконец, в сводном каталоге мер контроля безопасность и конфиденциальность рассматриваются с точки зрения функциональности (т.е. силы функций и механизмов, обеспечиваемых мерами контроля) и с точки зрения гарантирования (т.е. уровня уверенности в способности мер контроля обеспечить безопасность или конфиденциальность). Решение вопросов функциональности и гарантирования обеспечивает достаточную надежность продуктов информационных технологий и систем, которые полагаются на эти продукты.</td>
</tr>
<tr>
<td colspan="2"><span style="color: #003478; font-weight: bold !important;"><em>Ссылка:</em></span> National Institute of Standards and Technology (NIST), 2020,
<a href="https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf" target="_blank">Security and Privacy Controls for Information Systems and Organizations</a>,
ENIST Special Publication 800-53, Version 5, U.S. Department of Commerce, accessed on November 10, 2021. [Национальный институт стандартов и технологий США, 2020 г., «Меры контроля безопасности и конфиденциальности для информационных систем и организаций», Специальная публикация ENIST 800-53, версия 5, Министерство торговли США], адрес обращения: 10 ноября 2021 г.</td>
</tr>
</tbody>
</table>
</div>
</div>
</div>
<script type="text/javascript">
(function (require) {
require(['https://d24jp206mxeyfm.cloudfront.net/static/js/dateutil_factory.a28baef97506.js?raw'], function () {
require(['js/dateutil_factory'], function (DateUtilFactory) {
DateUtilFactory.transform('.localized-datetime');
});
});
}).call(this, require || RequireJS.require);
</script>
<script>
function emit_event(message) {
parent.postMessage(message, '*');
}
</script>
</div>
© All Rights Reserved