- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Лужецький В.А., Войтович О.П.
Основи інформаційної безпеки
Міністерство освіти і науки України
Вінницький національний технічний університет
Лужецький В.А., Войтович О.П.
Основи інформаційної безпеки
Затверджено Вченою радою Вінницького національного технічного університету як навчальний посібник для студентів напрямів підготовки 6.091501, «». Протокол № 3 від 29 вересня 2005 р.
Вінниця ВНТУ 2007
УДК 621.317.08
Л 44
Рецензенти:
В.В. Кухарчук, доктор технічних наук професор
Р.Н. Квєтний, доктор технічних наук професор
П.Г. Столярчук, доктор технічних наук професор
Рекомендовано до видання Вченою радою Вінницького національного технічного університету Міністерства освіти і науки України
Лужецький В.А., Войтович О.П.
Л 44 Основи інформаційної безпеки. Навчальний посібник. – Вінниця: ВНТУ, 2007. – 171 с.
В посібнику розглянуті основні поняття та засади інформаційної безпеки, основні рівні інформаційної безпеки, а саме: законодавчий, адміністративний, процедурний та програмно-технічний. Посібник розроблений у відповідності до плану кафедри захисту інформації.
УДК 621.317.08
Лужецький В.А., Войтович О.П. 2007
Зміст
Зміст 3
1 Поняття інформаційної безпеки 6
1.1 Поняття інформаційної безпеки 6
1.2 Основні складові інформаційної безпеки 8
1.3 Важливість і складність проблеми інформаційної безпеки 10
1.4 Об'єктно-орієнтований підхід та інформаційна безпека 12
2 Основні концептуальні положення системи захисту інформації 18
2.1 Визначення інформації, що підлягає захисту 19
2.1.1 Сфери розповсюдження державної таємниці на інформацію 20
2.1.2 Комерційна таємниця 23
2.2 Вимоги до захисту інформації 23
2.3 Вимоги до системи захисту інформації 24
2.4 Види забезпечення системи захисту інформації 25
2.5 Компоненти концептуальної моделі 26
3 Найбільш поширені загрози 28
3.1 Основні визначення і критерії класифікації загроз 28
3.2 Найбільш поширені загрози доступності 31
3.2.1 Класифікація загроз доступності 31
3.2.2 Шкідливе програмне забезпечення 34
3.3 Основні загрози цілісності 37
3.4 Основні загрози конфіденційності 38
3.4.1 Дії, що призводять до неправомірного оволодіння конфіденційною інформацією 40
3.4.2 Умови, що сприяють неправомірному оволодінню конфіденційною інформацією 42
4 Законодавчий рівень інформаційної безпеки 44
4.1 Основні поняття законодавчого рівня інформаційної безпеки 44
4.2 Українське законодавство 45
4.2.1 Структура правових актів 51
4.2.2 Страхове забезпечення 54
4.2.3 Нормативно-правові документи 55
4.2.4 Форми захисту інформації 55
4.2.5 Захист комерційної таємниці від розголошення 56
4.2.6 Правові норми забезпечення безпеки і захисту інформації 57
4.3 Огляд українського законодавства у області інформаційної безпеки 60
4.4 Огляд зарубіжного законодавства у області інформаційної безпеки 65
5 Стандарти і специфікації у області інформаційної безпеки 68
5.1 "Оранжева книга" як оціночний стандарт 68
5.1.1 Основні поняття 68
5.1.2 Механізми безпеки 69
5.1.3 Класи безпеки (може в додаток) 71
5.2 Інформаційна безпека розподілених систем. Рекомендації X.800 74
5.2.1 Мережеві сервіси безпеки 74
5.2.2 Мережеві механізми безпеки 75
5.2.3 Адміністрування засобів безпеки 76
5.3 Стандарт ISO/IEC 15408 76
5.3.1 Основні поняття 76
5.3.2 Функціональні вимоги 77
5.3.3 Вимоги довіри безпеки 78
6 Адміністративний рівень інформаційної безпеки 80
6.1 Основні поняття 80
6.2 Управління ризиками 81
6.3 Політика безпеки 86
6.4 Програма безпеки 89
6.5 Синхронізація програми безпеки з життєвим циклом систем 90
7 Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки 93
7.1 Основні класи заходів процедурного рівня 93
7.2 Управління персоналом 93
7.3 Фізичний захист 95
7.4 Підтримка працездатності 97
7.5 Реагування на порушення режиму безпеки 99
7.6 Планування відновних робіт 100
7.7 Служба безпеки підприємства 102
8 Основні програмно-технічні заходи 106
8.1 Основні поняття програмно-технічного рівня інформаційної безпеки 106
8.2 Перехоплення даних та канали витоку інформації 107
8.3 Сервіси безпеки 115
8.4 Особливості сучасних інформаційних систем, з погляду безпеки 116
8.5 Архітектурна безпека 117
8.6 Ідентифікація і автентифікація 119
8.6.1 Основні поняття 119
8.6.2 Парольна автентифікація 121
8.6.3 Ідентифікація/автентифікація за допомогою біометричних даних 123
8.7 Логічне управління доступом 125
8.7.1 Основні поняття 125
8.7.2 Ролеве управління доступом 127
8.8 Протоколювання і аудит 129
8.8.1 Основні поняття 129
8.8.2 Активний аудит 130
8.8.3 Функціональні компоненти і архітектура 132
8.9 Шифрування інформації 134
8.9.1 Основні поняття 134
8.9.2 Технологія шифрування мови 137
8.10 Контроль цілісності 138
8.11 Екрануванняі 140
8.11.1 Основні поняття 140
8.11.2 Архітектурні аспекти 141
8.12 Аналіз захищеності 143
8.13 Забезпечення високої доступності 144
8.13.1 Основні поняття 144
8.13.2 Поняття відмовостійкоті 145
8.13.3 Основи заходів забезпечення високої доступності 147
8.13.4 Відмовостійкість і зона ризику 148
8.13.5 Забезпечення відмовостійкості 149
8.13.6 Програмне забезпечення проміжного шару 150
8.13.7 Забезпечення обслуговуємості 151
8.14 Тунелювання 152
8.15 Управління інформаційними системами 153
8.15.1 Основні поняття 153
8.15.2 Можливості типових систем 155
8.16 Інженерно-технічні заходи 157
8.17 Фізичні засоби захисту 158
8.17.1 Охоронні системи 159
8.17.2 Охоронне телебачення 161
8.17.3 Охоронне освітлення та засоби охоронної сигналізації 161
8.17.4 Захист елементів будинків і приміщень 162
8.18 Апаратні засоби захисту 165
9 Висновки 169
Література 170
1Поняття інформаційної безпеки
Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб'єктів інформаційних відносин. Нижче описані основні її складові - конфіденційність, цілісність, доступність. Приводиться статистика порушень ІБ, описуються найбільш характерні випадки.
1.1Поняття інформаційної безпеки
Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація.
Поняття «інформація» сьогодні вживається дуже широко і різнобічно. Важко знайти таку область знань, де б воно не використовувалося. Величезні інформаційні потоки буквально захльостують людей. Обсяг наукових знань, наприклад, за оцінкою фахівців, подвоюється кожні п'ять років.
Що ж таке інформація? У літературі дається таке визначення:
Інформація - данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.
Відомо, що інформація може мати різну форму, зокрема, дані, закладені в комп'ютерах, листи, пам'ятні записи, досьє, формули, креслення, діаграми, моделі продукції і прототипи, дисертації, судові документи й ін.
Як і всякий продукт, інформація має споживачів, що потребують її, і тому володіє певними споживчими якостями, а також має і своїх власників або виробників.
Відповідно до різноманітності інформації, словосполучення "інформаційна безпека" в різних контекстах може мати різний сенс.
Інформаційна безпека - стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації. Закон України Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки
Спеціальне законодавство в області безпеки інформаційної діяльності представлено низькою законів. У їхньому складі особливе місце належить базовому Закону «Про інформацію, інформатизацію і захист інформації», що закладає основи правового означення всіх найважливіших компонентів інформаційної діяльності:
інформації й інформаційних систем;
суб'єктів - учасників інформаційних процесів;
правовідносин виробників - споживачів інформаційної продукції;
власників (власників, джерел) інформації - оброблювачів і споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян і держави.
У даному посібнику увага буде зосереджена на зберіганні, обробці і передачі інформації незалежно від того, на якій мові (українській або іншій) вона закодована, хто або що є її джерелом і яку психологічну дію вона спричиняє на людей. Тому термін "інформаційна безпека" використовуватиметься у вузькому сенсі, так, як це прийнято, наприклад, в англомовній літературі.
Під інформаційною безпекою (ІБ) ми розумітимемо захищеність інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, зокрема власникам і користувачам інформації та інфраструктури, що її підтримує.
Захист інформації - це комплекс заходів, направлених на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотна сторона використання інформаційних технологій.
Тут необхідно зауважити, що трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і учбові інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", в другому - "немає у нас жодних секретів, аби все працювало". Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, учбових) власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам дуже вузьким. Комп'ютери - тільки одна складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабкішою ланкою, якою в переважній більшості випадків виявляється людина.
Згідно визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від інфраструктури, що її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою своїх функцій.
Звернемо увагу, що у визначенні ІБ перед іменником "втрати" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимими витратами є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до допустимих значень.