- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
Конфіденційну інформацію можна розділити на предметну і службову. Службова інформація (наприклад, паролі користувачів) не належить до певної предметної області, в інформаційній системі вона грає технічну роль, але її розкриття особливо небезпечно, оскільки воно загрожує отриманням несанкціонованого доступу до всієї інформації, в тому числі предметною.
Навіть якщо інформація зберігається в комп'ютері або призначена для комп'ютерного використання, загрози її конфіденційності можуть носити некомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виступати в якості користувачів не однієї,а цілого ряду систем (інформаційних сервісів).Якщо для доступу до таких систем використовуються багаторазові паролі або інша конфіденційна інформація, то напевно ці дані будуть зберігатися не тільки в голові, але і в записній книжці або на клаптиках паперу, які користувач часто залишає на робочому столі, а то й просто втрачає. І справа тут не в неорганізованості людей, а в початковій непридатності парольного схеми. Неможливо пам'ятати багато різних паролів;рекомендації з їх регулярною (по можливості - частої) зміні тільки посилюють положення, примушуючи застосовувати нескладні схеми чергування або взагалі прагнути звести справу до двох-трьох легко запам'ятовується (і так само легко відгадуваним) паролів.
Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних у середовищі, де їм не забезпечена (найчастіше - і не може бути забезпечена) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться дізнатися секрети, які самі просяться в руки. Крім паролів, що зберігаються в записниках користувачів, в цей клас потрапляє передача конфіденційних даних у відкритому вигляді (у розмові, в листі, через мережу), яка робить можливим перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов, пасивне прослуховування мережі і т.п.), але ідея одна - здійснити доступ до даних в той момент, коли вони найменш захищені.
Загрозу перехоплення даних слід брати до уваги не тільки при початковому конфігуруванні ІС, але і, що дуже важливо, при всіх змінах. Дуже небезпечною загрозою є ...виставки, на які багато організацій, недовго думаючи, відправляють обладнання з виробничої мережі, з усіма що зберігаються на них даними. Залишаються колишніми паролі, при віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть в межах захищеної мережі організації;в об'єднаній мережі виставки - це занадто суворе випробування чесність усіх учасників.
Ще один приклад зміни, про який часто забувають, - зберігання даних на резервних носіях. Для захисту даних на основних носіях застосовуються розвинені системи управління доступом;копії ж нерідко просто лежать в шафах і дістати доступ до них можуть багато хто.
Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються по багатьох каналах, їх захист може виявитися досить складною і дорогою. Технічні засоби перехоплення добре опрацьовані, доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може хто завгодно, так що цю загрозу потрібно брати до уваги по відношенню не тільки до зовнішніх, але і до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але і для комп'ютерів, особливо портативних. Часто ноутбуки залишають без нагляду на роботі або в автомобілі, іноді просто втрачають.
Небезпечною нетехнічний загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад - виконання дій під виглядом особи, який має повноваження для доступу до даних (Див., наприклад, статтю Айре Вінклера "Завдання: шпигунство" в Jet Info, 1996, 19).
До неприємних загроз, від яких важко захищатися, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад системний адміністратор) здатний прочитати будь-який (незашифрований) файл, отримати доступ до пошти будь-якого користувача і т.д. Інший приклад - нанесення збитку при сервісному обслуговуванні. Зазвичай сервісний інженер одержує необмежений доступ до устаткування і має можливість діяти в обхід програмних захисних механізмів.
Такі основні загрози, які завдають найбільшої шкоди суб'єктам інформаційних відносин.