- •Основи інформаційної безпеки
- •Основні поняття………………......…………………... 61
- •Поняття інформаційної безпеки. Основні складові. Важливість проблеми
- •1.1. Поняття інформаційної безпеки
- •1.2. Основні складові інформаційної безпеки
- •1.3. Важливість і складність проблеми інформаційної безпеки
- •Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку
- •2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки
- •2.2. Основні поняття об'єктно-орієнтованого підходу
- •2.3. Застосування об'єктно-орієнтованого підходудо розгляду систем, що захищають
- •Іс організації
- •Internet
- •2.4. Недоліки традиційного підходу до інформаційної безпекиз об'єктної точки зору
- •3.1. Основні визначення і критерії класифікації загроз
- •3.2. Найпоширеніші загрози доступності
- •3.3. Деякі приклади загроз доступності
- •3.4. Шкідливе програмне забезпечення
- •3.5. Основні загрози цілісності
- •3.6. Основні загрози конфіденційності
- •Розділ 4. Адміністративний рівень інформаційної безпеки
- •4.1. Основні поняття
- •4.2. Політика безпеки
- •4.3. Програма безпеки
- •4.4. Синхронізація програми безпеки з життєвим циклом систем
- •Розділ 5. Керування ризиками
- •5.1. Основні поняття
- •5.2. Підготовчі етапи керування ризиками
- •5.3. Основні етапи керування ризиками
- •Розділ 6. Процедурний рівень інформаційної безпеки
- •6.1. Основні класи заходів процедурного рівня
- •6.2. Керування персоналом
- •6.3. Фізичний захист
- •6.4. Підтримка працездатності
- •6.5. Реагування на порушення режиму безпеки
- •6.6. Планування відновлювальних робіт
- •Розділ 7. Основні програмно-технічні заходи
- •7.1. Основні поняття програмно - технічного рівня інформаційної безпеки
- •7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •7.3. Архітектурна безпека
- •Розділ 8. Ідентифікація й аутентифікація, керування доступом
- •8.1. Ідентифікація й аутентифікація
- •8.2. Парольна аутентифікація
- •8.3. Одноразові паролі
- •8.4. Ідентифікація/аутентифікація за допомогою біометричних даних
- •8.5. Керування доступом. Основні поняття
- •8.6. Рольове керування доступом
- •8.7. Керування доступом в Java-середовищі
- •8.8. Можливий підхід до керування доступом у розподіленому об'єктному середовищі
- •9.1. Протоколювання й аудит. Основні поняття
- •9.2. Активний аудит. Основні поняття
- •9.3. Функціональні компоненти й архітектура
- •9.5. Контроль цілісності
- •9.6. Цифрові сертифікати
- •Розділ 10. Екранування, аналіз захищеності
- •10.1. Екранування. Основні поняття
- •10.2. Архітектурні аспекти
- •10.3. Класифікація міжмережевих екранів
- •11.2. Основи заходів забезпечення високої доступності
- •11.3. Відмовостійкість і зона ризику
- •11.4. Забезпечення відмовостійкості
- •11.5. Програмне забезпечення проміжного шару
- •11.6. Забезпечення обслуговування
- •12.1. Тунелювання
- •12.2. Керування. Основні поняття
- •12.3.Можливості типових систем
- •Додаток з
- •Додаток 4
- •1. Політика безпеки:
- •Додаток 7
- •Додаток 8
- •Додаток 9
- •Додаток 10
- •Додаток 12
ПІс організації
ри погляді з нульовим
рівнем деталізації ми побачимо лише
те, що ворганізації є інформаційна
система (див. Рис. 2.1).
Рис. 2.1. ІС при розгляді з рівнем деталізації 0.Подібна точка зору може здатися неспроможною, але це не так. Уже тутнеобхідно врахувати закони, які застосовуються до організацій, що упорядковуютьінформаційні системи. Можливо, яку-небудь інформацію не можна зберігати йобробляти на комп'ютерах, якщо ІС не була атестована на відповідність певнимвимогам. На адміністративному рівні може бути задекларована мета, заради якоїстворювалася ІС. Загальні правила закупівель, впровадження нових компонентів,експлуатації й т.п. На процедурному рівні потрібно визначити вимога до фізичноїбезпеки ІС і шляхи їхнього виконання, правила протипожежної безпеки й т.п. Напрограмно-технічному рівні можуть бути визначені кращі апаратно-програмніплатформи й т.п.
За якими критеріями проводити декомпозицію ІС - у значній мірі справасмаку. Будемо вважати, що на першому рівні деталізації робляться прозоримисервіси й користувачі, точніше, поділ на клієнтську й серверну частину (Рис. 2.2).
ІС
організації:
Сервіси
(без конкретизації)
Користувачі
(без конкретизації)
Рис. 2.2. ІС при розгляді з рівнем деталізації 1.
На цьому рівні варто сформулювати вимоги до сервісів (до самої їхньоїнаявності, до доступності, цілісності й конфіденційності надаваних інформаційнихпослуг), викласти способи виконання цих вимог, визначити загальні правилаповедінки користувачів, необхідний рівень їхньої попередньої підготовки, методиконтролю їхньої поведінки, порядок заохочення й покарання й т.п. Можуть бутисформульовані вимоги й переваги стосовно серверних і клієнтських платформ.
Н
Сервіси,
які використовуються організацією(без
конкретизації)
Користувачі
сервісів організації(без конкретизації)Internet
ІС
організації
Сервіси,
що надаються(без конкретизації)
Внутрішні
сервіси(без конкретизації)
Користувачі
зовнішніх сервісів(без конкретизації)
Користувачі
внутрішніх сервісів(без конкретизації)
Рис. 2.3. ІС при розгляді з рівнем деталізації 2
На цьому рівні нас усе ще не цікавить внутрішня структура ІС організації, таксамо як і деталі Internet. Констатується тільки існування зв'язку між цимимережами, наявність у них користувачів, а також надаваних і внутрішніхсервісів. Що це за сервіси, поки неважливо.
Перебуваючи на рівні деталізації 2, ми повинні враховувати закони, якізастосовуються до організацій, ІС які забезпечені зовнішніми підключеннями.Мова йде про допустимість такого підключення, про його захист, провідповідальність користувачів, що звертаються до зовнішніх сервісів, і провідповідальність організацій, що відкривають свої сервіси для зовнішньогодоступу. Конкретизація аналогічної спрямованості, з урахуванням наявностізовнішнього підключення, повинна бути виконана на адміністративному,процедурному й програмно-технічному рівнях.
Звернемо увагу на те, що контейнер (у змісті компонентного об'єктногосередовища) "ІС організації" задає межі контрольованої зони, у межах якихорганізація проводить певну політику. Internet існує за іншими правилами, якіорганізація повинна приймати, як щось уже існуюче.
Збільшуючи рівень деталізації, можна розглянути два рознесененихвиробничих майданчика й канали зв'язку між ними, розподіл сервісів ікористувачів по цих майданчиках і засоби забезпечення безпеки внутрішніхкомунікацій, специфіку окремих сервісів, різні категорії користувачів і т.п. Ми,однак, на цьому зупинимося.