- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
9Висновки
Мета заходів у області інформаційної безпеки - захистити інтереси суб'єктів інформаційних відносин. Інтереси ці різнопланові, але всі вони концентруються навколо трьох основних аспектів:
доступність;
цілісність;
конфіденційність.
Перший крок при побудові системи ІБ організації - ранжирування і деталізація цих аспектів.
Руйнування важливої інформації, крадіжка конфіденційних даних, перерва в роботі унаслідок відмови - все це виливається в крупні матеріальні втрати, завдає збитку репутації організації. Проблеми з системами управління або медичними системами загрожують здоров'ю і життю людей.
Сучасні ІС складні і, значить, небезпечні вже самі по собі, навіть без урахування активності зловмисників. Постійно виявляються нові вразливі місця в програмному забезпеченні. Доводиться приймати до уваги надзвичайно широкий спектр апаратного і програмного забезпечення, численні зв'язки між компонентами. Міняються принципи побудови корпоративних ІС. Використовуються численні зовнішні інформаційні сервіси; надаються зовні власні; частина функцій корпоративній ІС передається зовнішнім організаціям. Розвивається програмування з активними агентами.
Підтвердженням складності проблематики ІБ є паралельне (і досить швидке) зростання витрат на захисні заходи і кількості порушень ІБ в поєднанні із зростанням середнього збитку від кожного порушення.
Успіх у області ІБ може принести тільки комплексний підхід, що поєднує заходи чотирьох рівнів:
законодавчого;
адміністративного;
процедурного;
програмно-технічного.
Проблема ІБ - не тільки (і не стільки) технічна; без законодавчої бази, без постійної уваги керівництва організації і виділення необхідних ресурсів, без заходів управління персоналом і фізичного захисту вирішити її неможливо. Комплексність також ускладнює проблематику ІБ: потрібна взаємодія фахівців з різних областей.
Література
Бабаш А.В., Шанкин Г.П. Криптография. Под ред. В.П. Шерстюка, Э.А. Применко/ А.В. Бабаш, Г.П. Шанкин. - М.: СОЛОН-Р, 2002. - 512 с.
Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии. Учебное пособие. - М.: Гелиос АРВ, 2001. - 480 с.
Петров А.А. Компьютерная безопасность. Криптографические методы защиты. - М.: ДМК, 2000. - 448 с.
Брассар Ж. Современная криптология. - М.: Полимед, 1999. - 354 с.
Нечаев В.И. Элементы криптографии. Основы теории защиты информации. - М.: Высшая школа, 1999. - 278 с.
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. - СПб., 2000. - 218 с.
Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях - М.: КУДИЦ-ОБРАЗ, 2001. - 346 c.
Грушо А.А., Тимонина Е.Е., Применко Э.А. Анализ и синтез криптоалгоритмов. - М.: СОЛОН-Р, 2000. - 108 с.
Шнайер Б. Прикладная криптография. Протоколы, алгоритмы и исходные тексты на языке С. 2-е изд. - СПб., 2000. - 789 с.
Чмора А.Л. Современная прикладная криптография. - М.: Гелиус АРВ, 2001. - 244 с.
Хоффман Л. Современные методы защиты информации. - М.: Радио и связь, 1980. - 274 с.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - М.: Энергоатомиздат, 1994. - 576 с.
Зегжда Д. П. Как построить защищенную информационную систему // Под ред. Д. П. Зегжды и В. В. Платонова. - СПб: Мир и семья, 1995. - 234 с.
Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях // Под ред. В. Ф. Шаньгина. - М.: Радио и связь, 1997. - 276 с.
Портал безпека www.bezpeka.com
Навчальне видання
Володимир Андрійович Поджаренко,
Олеся Петрівна Войтович
Основи інформаційної безпеки
Навчальний посібник
Оригінал-макет підготовлено авторами
Редактор В.О. Дружиніна
Коректор
Навчально-методичний відділ ВНТУ
Свідоцтво Держкомінформу України
серія ДК № 746 від 25.12.2001