- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
21. Процедурний рівень інформаційної безпеки: Фізичний захист.
Безпека інформаційної системи залежить від оточення, в якому вона функціонує. Необхідно вжити заходів для захисту будівель і прилеглої території, підтримуючої інфраструктури, обчислювальної техніки, носіїв даних.
Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як "безперервність захисту в просторі і часі". Раніше ми розглядали поняття вікна небезпеки. Для фізичного захисту таких вікон бути не повинно.
Ми коротко розглянемо наступні напрями фізичного захисту:
• фізичне управління доступом;
• протипожежні заходи;
• захист підтримуючої інфраструктури;
• захист від перехоплення даних;
• захист мобільних систем.
Заходи фізичного управління доступом дозволяють контролювати і при необхідності обмежувати вхід і вихід працівників та відвідувачів. Контролюватися може вся будівля організації, а також окремі приміщення, наприклад, ті, де розташовані сервери, комунікаційна апаратура і т.п.
При проектуванні і реалізації заходів фізичного управління доступом доцільно застосовувати об'єктний підхід. По-перше, визначається периметр безпеки, обмежує контрольовану територію. На цьому рівні деталізації важливо продумати зовнішній інтерфейс організації - порядок входу / виходу штатних співробітників і відвідувачів, що вносяться / винесення техніки. Усе, що не входить у зовнішній інтерфейс, має бути инкапсулирован, тобто захищене від нелегальних проникнень.
По-друге, проводиться декомпозиція контрольованої території, виділяються (під) об'єкти та зв'язку (проходи) між ними. Під час такої, більш глибокої деталізації слід виділити серед підоб'єктів найбільш критичні з точки зору безпеки та забезпечити їм підвищену увагу. Декомпозиція повинна бути семантично виправданою, забезпечує розмежування різнорідних сутностей, таких як устаткування різних власників або персонал, що працює з даними різного ступеня критичності. Важливо зробити так, щоб відвідувачі, по можливості, не мали безпосереднього доступу до комп'ютерів або, в крайньому випадку, подбати про те, щоб від вікон і дверей не проглядалися екрани моніторів і принтери. Необхідно, щоб відвідувачів за зовнішнім виглядом можна було відрізнити від співробітників. Якщо відмінність полягає в тому, що відвідувачам видаються ідентифікаційні картки, а співробітники ходять "без розпізнавальних знаків", зловмисникові достатньо зняти картку, щоб його вважали "своїм". Очевидно, відповідні картки потрібно видавати всім.
Засоби фізичного управління доступом відомі давно. Це охорона, двері із замками, перегородки, телекамери, датчики руху і багато іншого. Для вибору оптимального (за критерієм вартість / ефективність) кошти доцільно провести аналіз ризиків (до цього ми ще повернемося).Крім того, є сенс періодично відстежувати появу технічних новинок у цій області, намагаючись максимально автоматизувати фізичний захист.
Більш детально дана тема розглянута в статті В. Барсукова "Фізичний захист інформаційних систем" (Jet Info, 1997, 1).
Професія пожежного - одна з найдавніших, але пожежі як і раніше трапляються і завдають великої шкоди. Ми не збираємося цитувати параграфи протипожежних інструкцій або винаходити нові методи боротьби з вогнем - на це є професіонали. Відзначимо лише необхідність установки протипожежної сигналізації та автоматичних засобів пожежогасіння. Звернемо також увагу на те, що захисні заходи можуть створювати нові слабкі місця. Якщо на роботу узятий новий охоронець, це, ймовірно, покращує фізичне управління доступом. Якщо ж він ночами палить і п'є, то з огляду на підвищеної пожежонебезпеки подібна міра захисту може тільки нашкодити.
До підтримуючої інфраструктури можна віднести системи електро-, водо-і теплопостачання, кондиціонери і засоби комунікацій. У принципі, до них застосовуються ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для забезпечення цілісності потрібно захищати обладнання від крадіжок та пошкоджень. Для підтримки доступності слід вибирати обладнання з максимальним часом напрацювання на відмову, дублювати відповідальні вузли і завжди мати під рукою запчастини.
Окрему проблему становлять аварії водопроводу. Вони відбуваються нечасто, але можуть завдати величезної шкоди. При розміщенні комп'ютерів необхідно взяти до уваги розташування водопровідних і каналізаційних труб і постаратися триматися від них подалі. Співробітники повинні знати, куди слід звертатися при виявленні протікань.
Перехоплення даних (про що ми вже писали) може здійснюватися самими різними способами. Зловмисник може підглядати за екраном монітора, читати пакети, що передаються по мережі, робити аналіз побічних електромагнітних випромінювань і наведень (ПЕМВН) і т.д. Залишається сподіватися на повсюдне використання криптографії (що, втім, поєднується у нас в країні з безліччю технічних і законодавчих проблем), намагатися максимально розширити контрольовану територію, розмістившись в тихому особняку, віддалік від інших будинків,намагатися тримати під контролем лінії зв'язку (наприклад, укладати їх у надувний оболонку з виявленням проколювання), але саме розумне, ймовірно, - постаратися усвідомити,що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.
Бажаючим докладніше ознайомитися з питанням ми рекомендуємо прочитати статтю В. Барсукова "Блокування технологічних каналів витоку інформації" (Jet Info, 1998, 5-6).
Мобільні та портативні комп'ютери - привабливий об'єкт крадіжки. Їх часто залишають без нагляду, в автомобілі або на роботі, і викрасти такий комп'ютер зовсім нескладно. Раз у раз засоби масової інформації повідомляють про те, що будь-який офіцер англійської розвідки чи американський військовий позбувся таким чином рухомого майна. Ми настійно рекомендуємо шифрувати дані на жорстких дисках таких комп'ютерів.
Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, приймаючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, що займається організацією (втім, майже напевно воно виявиться поганим), характер і тривалість збоїв електроживлення,вартість доступних джерел і можливі втрати від аварій (поломка техніки,припинення роботи організації і т.п.) (див. також статтю В. Барсукова "Захист комп'ютерних систем від силових деструктивних впливів" в Jet Info, 2000, 2). У той же час, в багатьох випадках рішення очевидні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох заходів (наприклад, установка звичайного замку на двері серверної кімнати) або мала, або хоч і помітна, але все ж явно менше, ніж можливі збитки. Зокрема, має сенс регулярно копіювати великі бази даних.