- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
Фізичний захист
Безпека ІС залежить від оточення, в якому ця ІС функціонує. Необхідно вжити заходів для захисту будівель і прилеглої території, інфраструктури, обчислювальної техніки, носіїв даних.
Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як “безперервність захисту у просторі та часі”. Фізичний захист здійснюється за такими напрямками:
фізичне управління доступом;
протипожежні заходи;
захист інфраструктури;
захист від перехоплення даних;
захист мобільних систем.
Заходи фізичного управління доступом дозволяють:
контролювати і, в разі необхідності, обмежувати вхід і вихід співробітників і відвідувачів;
виключити можливості таємного проникнення на територію та у приміщення сторонніх осіб;
забезпечити зручність контролю проходу і переміщення співробітників і відвідувачів;
Прибиральниця просить у директора банку:
- Чи не могли б Ви дати мені ключі від сховища? А то мені доводиться кожен день по 20 хвилин морочитися зі шпилькою, щоб його відкрити та прибратися.
створити окремі виробничі зони за типом конфіденційних робіт із самостійними системами доступу;
контролювати дотримання часового режиму праці і перебування на території персоналу фірми;
організувати і підтримувати надійний пропускний режим.
Важливо зробити так, щоб відвідувачі, по можливості, не мали безпосереднього доступу до комп’ютерів або, в крайньому випадку, потурбуватися про те, щоб від вікон і дверей не були видимими екрани моніторів і принтери. Необхідно, щоб відвідувачів на вигляд можна було відрізнити від співробітників.
Протипожежні заходи мають розробляти і реалізовувати професіонали пожежники. Однак, у будь-якому разі, основним заходом є встановлення протипожежної сигналізації і автоматичних засобів пожежогасіння.
До підтримуючої інфраструкту ри відносять системи електро-, во- до- і теплопостачання, кондиціонери і засоби комунікацій. До них застосовні ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для забезпечення цілісності потрібно захищати устаткування від крадіжок і пошкоджень. Для підтримки доступності слід вибирати устаткування з максимальним часом напрацювання на відмову, дублювати важливі вузли і завжди мати під рукою запчастини.
Перехоплення даних може здійснюватися найрізноманітнішими способами. Зловмисник може підглядати за екраном монітора, читати пакети, передані по мережі, здійснювати аналіз побічних електромагнітних випромінювань і наведень тощо. Захист від перехоплення даних можна забезпечити використанням криптографії, максимальним розширенням контрольованої території, контролем лінії зв’язку (наприклад, укладати їх в надувну оболонку з виявленням проколювання). Однак найрозумніше - усвідомити, що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.
Основна загроза мобільним і портативним комп’ютерам - це їхнє викрадення. Тому важливо не залишати їх без нагляду в автомобілі або на роботі.
Сумна статистика останніх інцидентів показую всю ненадійність захисту мобільних систем:
В 2008 р. мобільний комп’ютер з секретними даними було вкрадено з автомобіля однієї з перших осіб Пентагону.
З липня по жовтень 2007 p. Bank of Ireland, другий за величиною банк в Ірландії, втратив чотири ноутбуки з іменами громадян країни, їх адресами, відомостями про банківські рахунки та медичною інформацією.
У вересні 2008 р. з Національного банку Канади серед робочого дня грабіжник виніс ноутбук з даними тисяч клієнтів іпотечної програми.
За статистикою в аеропортах СІ1ІА губиться близько 20 тис. ноутбуків та мобільних телефонів, причому лише за половиною з них повертаються.
Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, ухвалюючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, займаній організацією, характер і тривалість збоїв електроживлення, вартість доступних джерел і можливі втрати від аварій (поломка техніки, припинення роботи організації тощо). В той же час, у багатьох випадках рішення очевидні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох заходів (наприклад, установлення звичайного замка на двері серверної кімнати) мала або явно менша, ніж можливий збиток.