- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.12Аналіз захищеності
Сервіс аналізу захищеності призначений для виявлення вразливих місць з метою їх оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає виявити (і усунути) пропуски в захисті раніше, ніж їх зможе використовувати зловмисник. В першу чергу, мається на увазі не архітектурні (їх ліквідовувати складно), а "оперативні" проломи, що з'явилися в результаті помилок адміністрування або із-за неуваги до оновлення версій програмного забезпечення.
Системи аналізу захищеності (сканери захищеності), як і розглянуті вище засоби активного аудиту, основані на накопиченні і використанні знань. В даному випадку маються на увазі знання про пропуски в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.
Відповідно, ядром таких систем є база вразливих місць, яка визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.
У принципі, можуть виявлятися загрози самої різної природи: наявність шкідливого ПЗ, слабкі паролі користувачів, невдало конфігуровані операційні системи, небезпечні мережеві сервіси, невстановлені латки, уразливості в додатках і т.д. Проте найбільш ефективними є мережеві сканери (очевидно, через домінування сімейства протоколів TCP/IP), а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не вважаючи її окремим сервісом безпеки.
Сканери можуть виявляти вразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації атакуючих дій. Деякі знайдені вразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інші повідомляється адміністратору.
Системи аналізу захищеності забезпечені традиційним "технологічним цукром": автоматичним виявленням компонентів аналізованої ІС і графічним інтерфейсом (що допомагає, зокрема, ефективно працювати з протоколом сканування).
Прикладом є вільно поширюваний сканер Nessus.
Контроль, що забезпечується системами аналізу захищеності, носить реактивний запізню вальний характер, він не захищає від нових атак, проте слід пам'ятати, що оборона повинна бути ешелонованою, і як один з рубежів контроль захищеності цілком адекватний. Відзначимо також, що переважна більшість атак носять рутинний характер; вони можливі тільки тому, що відомі проломи в захисті роками залишаються неусуненими.
8.13Забезпечення високої доступності
8.13.1Основні поняття
ІС надає своїм користувачам певний набір послуг (сервісів). Говорять, що забезпечений потрібний рівень доступності цих сервісів, якщо наступні показники знаходяться в заданих межах:
Ефективність послуг. Ефективність послуги визначається в термінах максимального часу обслуговування запиту, кількості підтримуваних користувачів тощо. Він потрібний, щоб ефективність не опускалася нижче за наперед встановлений поріг.
Час недоступності. Якщо ефективність інформаційної послуги не задовольняє накладеним обмеженням, послуга вважається недоступною. Потрібний, щоб максимальна тривалість періоду недоступності і сумарний час недоступності за деякою період (місяць, рік) не перевищували наперед заданих меж.
По суті, ІС повинна майже завжди працювати з необхідною ефективністю. Для деяких критично важливих систем (наприклад, систем управління) час недоступності повинен бути нульовим, без всяких "майже". У такому разі говорять про вірогідність виникнення ситуації недоступності і вимагають, щоб ця вірогідність не перевищувала заданої величини. Для вирішення даного завдання створювалися і створюються спеціальні відмовостійкі системи, вартість яких, як правило, вельми висока.
До переважної більшості комерційних систем пред'являються менш жорсткі вимоги, проте сучасне ділове життя і тут накладає достатньо суворі обмеження, коли число обслуговуваних користувачів може вимірюватися тисячами, час відповіді не повинний перевищувати декількох секунд, а час недоступності - декількох годин на рік.
Задачу забезпечення високої доступності необхідно вирішувати для сучасних конфігурацій, побудованих в технології клієнт/сервер. Це означає, що захисту потребує весь ланцюжок - від користувачів (можливо, віддалених) до критично важливих серверів (зокрема серверів безпеки).