- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
2.1.2Комерційна таємниця
Під комерційною таємницею розуміють відомості, що не є державною таємницею, зв’язані з виробництвом, технологіями, фінансами, процесами управління та іншою діяльністю організацій чи фірм, розголошення яких може завдати шкоди їх інтересам.
Комерційну таємницю можуть складати відомості, які відносяться до широкого кола питань підприємницької діяльності. Підприємець, що виготовляє чи придбає законним шляхом конфіденційну інформацію, самостійно встановлює склад і об’єм відомостей, що відносяться до комерційної таємниці, строки, порядок захисту і доступу до неї, правила її використання та умови передачі іншим особам.
Дуже важливо правильно і вчасно визначити, які відомості слід віднести до комерційної таємниці. При цьому необхідно врахувати, що комерційну таємницю підприємства і підприємця, як правило, не складають відомості:
з установчих документів і статуту;
з документів, що дають право на підприємницьку діяльність;
з установлених форм звітності про фінансово-господарську діяльність;
про ліквідність підприємства;
про оплату податків і обов’язкових платежів;
про чисельність, склад працюючих, фонд заробітної плати, умови праці та наявність вільних робочих місць;
про забруднення навколишнього середовища, порушення анти монопольного законодавства тощо.
До комерційної таємниці відносяться відомості про предмет та умови угод. Значну частину цих відомостей складає інтелектуальна власність, яка звичайно захищається не тільки законодавством про комерційну таємницю, але і законами про власність і авторське право.
2.2Вимоги до захисту інформації
З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:
безупинним. Ця вимога виникає з того, що зловмисники тільки і шукають можливість, як би обійти захист цікавлячої їхньої інформації;
плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з урахуванням загальної мети підприємства (організації);
цілеспрямованим. Захищається те, що повинно захищатися в інтересах конкретної мети, а не все підряд;
конкретним. Захисту підлягають конкретні дані, об'єктивно підлягаючій охороні, утрата яких може заподіяти організації певний збиток;
активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;
надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;
універсальним. Вважається, що в залежності від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він ні проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;
комплексним. Для захисту інформації у всім різноманітті структурних елементів повинні застосовуватися усі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист — це специфічне явище, що є складною системою нерозривно взаємозв’язаних і взаємозалежних процесів, кожний з який у свою чергу має безліч різних сторін, властивостей, тенденцій.