- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
До адміністративного рівня інформаційної безпеки відносяться дії загального характеру, що вживаються керівництвом організації.
Головна мета заходів адміністративного рівня - сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан справ.
Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів. - Керівництво кожної організації має усвідомити необхідність підтримки режиму безпеки і виділення на ці цілі значних ресурсів.
Політика безпеки будується на основі аналізу ризиків, які визнаються реальними для інформаційної системи організації.
Коли ризики проаналізовані і стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. - Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми і т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійського словосполучення "security policy", проте в даному випадку калька краще відображає зміст цього поняття, ніж лінгвістично більш вірні "правила безпеки". Ми будемо мати на увазі не окремі правила чи їх набори (такого роду рішення виносяться на процедурний рівень, про який попереду), а стратегію організації в області інформаційної безпеки. Для вироблення стратегії і впровадження її в життя потрібні, безсумнівно, політичні рішення, прийняті на найвищому рівні.
Під політикою безпеки ми будемо розуміти сукупність документованих рішень, прийнятих керівництвом організації і спрямованих на захист інформації й асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правил розмежування доступу (саме це означав термін "security policy" в "Помаранчевої книзі" і в побудованих на її основі нормативних документах інших країн).
ІС організації та пов'язані з нею інтереси суб'єктів - це складна система, для розгляду якої необхідно застосовувати об'єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівня, що ми вже робили в прикладі і зробимо ще раз далі.
Щоб розглядати ІС предметно, з використанням актуальних даних, слід скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути виготовлена в об'єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації, але і видимі межі об’єктів.
Технічним засобом складання, супроводу і візуалізації подібних карт може служити вільно поширюваний каркас якоїсь системи управління.
13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації.
А) До верхнього рівня можна віднести рішення, що зачіпають організацію в цілому. Вони носять дуже загальний характер і, як правило, виходять від керівництва організації. Приблизний список подібних рішень може включати в себе наступні елементи:
рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки,призначення відповідальних за просування програми;
формулювання цілей, які переслідує організація в області інформаційної безпеки,визначення загальних напрямків у досягненні цих цілей;
забезпечення бази для дотримання законів і правил;
формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня цілі організації в області інформаційної безпеки формулюються в термінах цілісності, доступності та конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, пошкоджень або спотворень даних. Для організації, що займається продажем комп'ютерної техніки, ймовірно, важлива актуальність інформації про надані послуги і ціни і її доступність максимальному числу потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься управління захисними ресурсами і координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюючими режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть усі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів).Можлива, однак, і така ситуація,коли в сферу впливу включаються лише найбільш важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб по виробленню програми безпеки і проведення його у життя. У цьому сенсі політика безпеки є основою підзвітності персоналу.
Політика верхнього рівня має справу з трьома аспектами законослухняності і виконавської дисципліни. По-перше, організація повинна дотримуватися існуючих законів. По-друге, слід контролювати дії осіб, відповідальних за вироблення програми безпеки. Нарешті, необхідно забезпечити певний ступінь старанності персоналу, а для цього потрібно виробити систему заохочень і покарань.
Взагалі кажучи, на верхній рівень слід виносити мінімум питань. Подібне винесення доцільно, коли вона обіцяє значну економію коштів або коли інакше вчинити просто неможливо.
Британський стандарт BS 7799:1995 рекомендує включати в документ, що характеризує політику безпеки організації, такі розділи:
вступний, підтверджує заклопотаність вищого керівництва проблемами інформаційної безпеки;
організаційний, що містить опис підрозділів, комісій, груп і т.д., що відповідають за роботи в області інформаційної безпеки;
класифікаційний, що описує наявні в організації матеріальні та інформаційні ресурси і необхідний рівень їх захисту;
штатний, який характеризує заходи безпеки, які застосовуються до персоналу (опис посад з точки зору інформаційної безпеки, організація навчання і перепідготовки персоналу, порядок реагування на порушення режиму безпеки і т.п.);
розділ, що висвітлює питання фізичного захисту;
керуючий розділ, що описує підхід до управління комп'ютерами і комп'ютерними мережами;
розділ, що описує правила розмежування доступу до виробничої інформації;
розділ, що характеризує порядок розробки і супроводу систем;
розділ, що описує заходи, спрямовані на забезпечення безперервної роботи організації;
юридичний розділ, що підтверджує відповідність політики безпеки чинному законодавству.
Б) До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевіреним) технологій, доступ в Internet (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), Використання домашніх комп'ютерів,застосування користувачами неофіційного програмного забезпечення і т.д.
Політика середнього рівня повинна для кожного аспекту освітлювати наступні теми:
Опис аспекти. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як ПЗ, яке не було схвалено і / або закуплено на рівні організації.
Область застосування. Слід визначити, де, коли, як, по відношенню до кого і чому застосовується дана політика безпеки. Наприклад, чи стосується політика, пов'язана з використанням неофіційного програмного забезпечення, організацій-субпідрядників?Зачіпає вона співробітників, що користуються портативними і домашніми комп'ютерами і змушених переносити інформацію на виробничі машини?
Позиція організації по даному аспекту. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, вироблення процедури приймання подібного ПЗ і т.п. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), у різних організаціях може сильно відрізнятися.
Ролі та обов'язки. У "політичний" документ необхідно включити інформацію про посадових осіб, відповідальних за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібний дозвіл керівництва, повинно бути відомо, у кого і як його можна отримати. Якщо неофіційне програмне забезпечення використовувати не можна, слід знати, хто стежить за виконанням даного правила.
Законослухняність. Політика повинна містити загальний опис заборонених дій і покарань за них.
Точки контакту. Повинно бути відомо, куди слід звертатися за роз'ясненнями, допомогою і додатковою інформацією. Зазвичай "точкою контакту" служить певна посадова особа, а не конкретна людина, що займає в даний момент цей пост.
В) Політика безпеки нижнього рівня відноситься до конкретних інформаційних сервісів. Вона включає в себе два аспекти - цілі і правила їх досягнення, тому її часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, розглянута політика повинна бути визначена більш докладно. Є багато речей, специфічних для окремих видів послуг, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час, ці речі настільки важливі для забезпечення режиму безпеки, що пов'язані з ним рішення повинні прийматися на управлінському,а не технічному рівні. Наведемо кілька прикладів питань, на які слід дати відповідь в політиці безпеки нижнього рівня:
хто має право доступу до об'єктів, підтримуваним сервісом?
за яких умов можна читати і модифікувати дані?
як організований віддалений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності та конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути більш конкретними. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і модифікувати інформацію. У більш загальному випадку цілі повинні зв'язувати між собою об'єкти сервісу та дії з ними.
З цілей виводяться правила безпеки, що описують, хто, що і при яких умовах може робити. Чим докладніше правила, чим більш формально вони викладені, тим простіше підтримати їхнє виконання програмно-технічними засобами. З іншого боку, занадто жорсткі правила можуть заважати роботі користувачів, імовірно, їх доведеться часто переглядати. Керівництву належить знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не опиняться надмірно пов’язані. Зазвичай найбільш формально задаються права доступу до об'єктів зважаючи на особливу важливість даного питання.