- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
Ми приступаємо до розгляду мір безпеки, які орієнтовані на людей, а не на технічні засоби. Саме люди формують режим інформаційної безпеки, і вони ж виявляються головною загрозою, тому "людський фактор" заслуговує особливої уваги.
У російських компаніях накопичено багатий досвід регламентування та реалізації процедурних (організаційних) заходів, однак справа в тому, що вони прийшли з "докомп'ютерної" минулого, тому вимагають переоцінки.
Слід усвідомити ту ступінь залежності від комп'ютерної обробки даних, в яку потрапило сучасне суспільство. Без жодного перебільшення можна сказати, що необхідна інформаційна цивільна оборона. Спокійно, без нагнітання пристрастей, потрібно роз'яснювати суспільству не тільки переваги, а й небезпеки, пов'язані з використанням інформаційних технологій. Акцент слід робити не на військовій чи кримінальної боку справи, а на цивільних аспектах, пов'язаних з підтриманням нормального функціонування апаратного та програмного забезпечення, тобто концентруватися на питаннях доступності та цілісності даних.
На процедурному рівні можна виділити такі класи заходів:
управління персоналом;
фізичний захист;
підтримку працездатності;
реагування на порушення режиму безпеки;
планування відновлювальних робіт.
20. Процедурний рівень інформаційної безпеки: Управління персоналом.
Управління персоналом починається з прийому нового співробітника на роботу і навіть раніше - з складання опису посади. Вже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення комп'ютерних привілеїв, асоційованих з посадою. Існує два загальних принципу, які слід мати на увазі:
поділ обов'язків;
мінімізація привілеїв.
Принцип поділу обов'язків наказує як розподіляти ролі та відповідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, небажана ситуація, коли великі платежі від імені організації виконує одна людина. Надійніше доручити одному співробітнику оформлення заявок на подібні платежі, а іншому - завіряти ці заявки. Інший приклад - процедурні обмеження дій суперкористувача. Можна штучно "розщепити" пароль суперкористувача, повідомивши першу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії з адміністрування ІС вони зможуть виконати тільки вдвох, що знижує ймовірність помилок і зловживань.
Принцип мінімізації привілеїв наказує виділяти користувачам тільки ті права доступу, які необхідні їм для виконання службових обов'язків. Призначення цього принципу очевидно - зменшити збитки від випадкових або навмисних некоректних дій.
Попереднє складання опису посади дозволяє оцінити її критичність і спланувати процедуру перевірки та відбору кандидатів. Чим відповідальніше посаду, тим ретельніше потрібно перевіряти кандидатів: навести про них довідки, можливо, поговорити з колишніми товаришами по службі і т.д. Подібна процедура може бути тривалою та дорогою, тому немає сенсу додатково ускладнювати її. У той же час, нерозумно і зовсім відмовлятися від попередньої перевірки, щоб випадково не прийняти на роботу людину з кримінальним минулим або психічним захворюванням.
Коли кандидат визначений, він, ймовірно, повинен пройти навчання; принаймні, його слід докладно ознайомити зі службовими обов'язками, а також з нормами і процедурами інформаційної безпеки. Бажано, щоб заходи безпеки були ним засвоєні до вступу на посаду і до закладу його системного рахунки з вхідним ім'ям, паролем і привілеями.
З моменту закладу системного рахунку починається його адміністрування, а також протоколювання і аналіз дій користувача. Поступово змінюється оточення, в якому працює користувач, його службові обов'язки, і т.п. Все це вимагає відповідної зміни привілеїв. Технічну складність представляють тимчасові переміщення користувача, виконання ним обов'язків замість співробітника, який пішов у відпустку, і інші обставини, коли повноваження потрібно спочатку надати, а через деякий час взяти назад. У такі періоди профіль активності користувача різко змінюється, що створює труднощі при виявленні підозрілих ситуацій. Певну акуратність слід дотримуватися і при видачі нових постійних повноважень, не забуваючи ліквідувати старі права доступу.
Ліквідація системного рахунку користувача, особливо у випадку конфлікту між співробітником і організацією, повинна проводитися максимально оперативно (в ідеалі - одночасно з повідомленням про покарання або звільнення). Можливо і фізичне обмеження доступу до робочого місця. Зрозуміло, якщо працівник звільняється, у нього потрібно прийняти всі його комп'ютерне господарство і, зокрема, криптографічні ключі, якщо використовувалися засоби шифрування.
До управління співробітниками примикає адміністрування осіб, що працюють за контрактом (наприклад, фахівців фірми-постачальника, що допомагають запустити нову систему).Відповідно до принципу мінімізації привілеїв, їм потрібно виділити рівно стільки прав, скільки необхідно, і вилучити ці права відразу після закінчення контракту. Проблема, однак, полягає в тому, що на початковому етапі впровадження "зовнішні" співробітники будуть адмініструвати "місцевих", а не навпаки. Тут на перший план виходить кваліфікація персоналу організації, його здатність швидко навчатися, а також оперативне проведення навчальних курсів. Важливі й принципи вибору ділових партнерів.
Іноді зовнішні організації беруть на обслуговування і адміністрування відповідальні компоненти комп'ютерної системи, наприклад, мережеве обладнання. Нерідко адміністрування виконується у віддаленому режимі. Взагалі кажучи, це створює в системі додаткові вразливі місця, які необхідно компенсувати посиленим контролем засобів віддаленого доступу або, знову-таки, навчанням власних співробітників.
Ми бачимо, що проблема навчання - одна з основних з точки зору інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї організації, він не може прагнути до досягнення сформульованих у ній цілей. Не знаючи заходів безпеки, він не зможе їх дотримуватися. Навпаки, якщо працівник знає, що його дії записуються, він, можливо, утримається від порушень.