Методи захисту інформації – лекції…
Інформаційна безпека
Інформацíйна безпéка (англ. Information Security) — стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.
Складові інформаційної безпеки
Складові інформаційної безпеки або такі суттєві властивості, як: конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability) — тріада CIA. Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: Фізичний, Особистісний, Організаційний. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки
Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей і їхніх співтовариств інтересів, яким може бути завданий збитку шляхом дії на засоби інформаційних комунікацій, наявність і розвиток яких забезпечує інформаційний обмін між всіма елементами соціуму.
Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів[1]:
I етап — до 1816 року — характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.
II етап — починаючи з 1816 року — пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення скритності і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
III етап — починаючи з 1935 року — пов'язаний з появою засобів радіолокацій і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокацій від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючими радіоелектронними перешкодами.
IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.
V етап — починаючи з 1965 року — обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.
VI етап — починаючи з 1973 року — пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей — хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення його безпеки — найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право — нова галузь міжнародної правової системи.
VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.
Базові поняття
Визначення
Інформаційна безпека держави — стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.[2]
Інформаційна безпека організації — цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.
Інформаційна безпеки особистості характеризується як стан захищеності особистості, різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору[3].
Стандартизоване визначення
Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, відстежуваність, неспростовність та надійність[4].
Суттєві (з позицій ІБ) властивості інформації
Критерії оцінки інформаційної безпеки (англ. Common Criteria) є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступені захищеності.
З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.
Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA en:CIA_Triad.
Ця система передбачає такі основні характеристики інформаційної безпеки:
Конфіденційність,
цілісність,
доступність (англ. Confidentiality, Integrity and Availability (CIA)).
Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, програмному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використовування захисної продукції для гарантування інформаційної безпеки в межах організацій.
Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA[5]:
Конфіденційність (англ. confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем
Цілісність (англ. integrity) — означає неможливість модифікації неавторизованим користувачем
Доступність (англ. availability) — властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час
Додатково також використовують такі властивості:
Апелювання (англ. non-repudiation) — можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.
Підзвітність (англ. accountability) — властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об‘єктів та однозначно встановлювати авторів певних дій в системі.
Достовірність (англ. reliability)- властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.
Автентичність (англ. authenticity) — властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.
В Україні також розробляються і використовуються критерії інформаційної безпеки. Наприклад департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України прийняв нормативний документ технічного захисту інформації 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» який подібний до моделі тріади CIA.
Функціональні критерії
Складові інформаційної безпеки або властивості: конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability) — тріада CIA.
Функціональні критерії розбиті на чотири групи вимог захисту проти певних типів загроз:
Конфіденційність
Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головних послуг.
Цілісність
Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності.
Доступність
Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності.
Спостереженість
Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні функції відносяться до критеріїв спостереженості.
Критерій гарантій
Окрім функціональних критеріїв захищеності існують таки критерії гарантій, що дозволяють оцінити коректність реалізації систем захисту. Ці критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
Міжнародний стандарт ISO/IEC 15408
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.
Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.
Забезпечення ІБ
Згідно з українським законодавством[2], вирішення проблеми інформаційної безпеки має здійснюватися шляхом:
створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;
підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;
вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп'ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;
розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.
Забезпечення національної безпеки в інформаційній сфері
[
Діяльність Міжвідомчої комісії з питань інформаційної політики та інформаційної безпеки
При Раді національної безпеки і оборони (РНБО) діє Міжвідомча комісія з питань інформаційної політики та інформаційної безпеки. До основних її завдань, зокрема, належить аналіз стану і можливих загроз національній безпеці України в інформаційній сфері та узагальнення міжнародного досвіду щодо формування та реалізації інформаційної політики [7]
Укази Президента України
23 квітня 2008 р. Віктор Ющенко своїм наказом № 377/2008 ввів в дію рішення РНБО "Про невідкладні заходи щодо забезпечення інформаційної безпеки України". Відповідно до цього указу уряд, зокрема, мав:
розробити і внести у шестимісячний строк на розгляд Верховної Ради України проект Концепції національної інформаційної політики, яка визначатиме основні напрями, засади і принципи національної політики, механізми її реалізації та пріоритети розвитку інформаційної сфери;
затвердити державну програму формування позитивного іміджу України;
виділити фінансування на інформаційно-роз'яснювальну діяльність культурно-інформаційних центрів при закордонних дипломатичних установах України, розширити мережу таких центрів;
затвердити заходи щодо розширення вітчизняного мовлення на території інших держав іноземними мовами;
вжити невідкладних заходів щодо забезпечення присутності програм вітчизняних телерадіоорганізацій у багатоканальних мережах інших держав.
Результатом виконання цього указу стало, зокрема, створення РНБО Доктрини інформаційної безпеки України - сукупності основних офіційних поглядів на мету, задачі, принципи й основні напрямки забезпечення інформаційної безпеки держави. Віктор Ющенко затвердив її у липні 2009 р. В підготовці і обговоренні документу було задіяно понад 30 органів державної влади, наукових установ, враховано понад 200 конкретних пропозицій, у тому числі від представників громадських організацій, експертного середовища. В ньому сказано, що в інформаційній сфері України вирізняються такі життєво важливі інтереси держави:
недопущення інформаційної залежності, інформаційної блокади України, інформаційної експансії з боку інших держав та міжнародних структур;
ефективна взаємодія органів державної влади та інститутів громадянського суспільства при формуванні, реалізації та коригуванні державної політики в інформаційній сфері;
побудова та розвиток інформаційного суспільства;
забезпечення економічного та науково-технологічного розвитку України;
формування позитивного іміджу України;
інтеграція України у світовий інформаційний простір.[8]
В цьому ж було документі визначено принципи забезпечення інформаційної безпеки України:
свобода збирання, зберігання, використання та поширення інформації;
достовірність, повнота та неупередженість інформації;
обмеження доступу до інформації виключно на підставі закону;
гармонізація особистих, суспільних і державних інтересів;
запобігання правопорушенням в інформаційній сфері;
економічна доцільність;
гармонізація українського законодавства в інформаційній сфері з міжнародним;
пріоритетність національної інформаційної продукції.
Забезпечення ІБ підприємства/організації
В Україні забезпечення ІБ здійснюється шляхом захисту інформації — у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).
Або, у випадку, коли суб'єкт ІБ має наміри розробити і реалізувати політику ІБ і може реалізовувати їх без порушення вимог законодавства:
міжнародними стандартами ISO: ISO/IEC 17799:2005, ISO/IEC 27001:2005 та ін. — для підтримки рішень на основі ITIL та COBIT і виконання вимог англ. Sarbanes-Oxley Act (акту Сербайнза-Оклі про відповідальність акціонерів за обізнаність про стан своїх активів). Тоді на підприємстві створюється Система управління інформаційною безпекою (СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.
власними розробками.
Забезпечення ІБ особистості
Органи (підрозділи) забезпечення ІБ
Міжнародні організації
Державні органи
Відділи спецслужб держави.
Спеціально уповноважений орган держави з питань захисту інформації (зараз в Україні — це Державна служба спеціального зв'язку та захисту інформації (скор. ДССЗЗІ)
Підрозділи підприємства
На підприємстві функцію забезпечення ІБ може виконувати як окремий відділ Служби безпеки підприємства, так і окрема Служба (Служба захисту інформації).
Для контролю за КСЗІ в обов'язковому порядку створюється Служба захисту інформації в інформаційно-телекомунікаційній системі (сама назва «Служба» не є обов'язковою).
Функції з контролю за СУІБ покладаються на певний відділ підприємства.
Законодавчі вимоги і регулювання ІБ
Див. також: Список нормативних документів щодо інформаційної безпеки в Україні
Загальнозаконодавчі вимоги (інформаційне законодавство держави, спеціалізовані нормативні акти (в Україні — це Нормативні документи в галузі технічного захисту інформації (скор. НД ТЗІ).
Галузеві вимоги (галузеві стандарти тощо).
Загроза безпеці інформації (англ. security threat) — загрози викрадення, зміни або знищення інформації.
Бувають випадковими або навмисними.
У найзагальнішому випадку загрози проявляються такими шляхами:
внаслідок дій зловмисників; спостереження за джерелами інформації;
підслухування конфіденційних розмов людей і сигналів акустичних працюючих механізмів;
перехоплення електричних, магнітних і електромагнітних полів, сигналів електричних і випромінювання радіоактивного;
несанкціонованого розповсюдження матеріально-речовинних носіїв за межі контрольованої зони;
розголошення інформації людьми, що володіють інформацією секретною або конфіденційною;
втрати носіїв з інформацією (документів, носіїв машинних, зразків матеріалів і т. ін.);
несанкціонованого розповсюдження інформації через поля і електричні сигнали, що випадково виникають в електричних і радіоелектронних приладах в результаті їхнього старіння, неякісного конструювання (виготовлення) та порушень правил експлуатації; * впливу стихійних сил, насамперед, вогню під час пожежі і води в ході гасіння пожежі та витоку води в аварійних трубах водопостачання;
збоїв в роботі апаратури збирання, оброблення, зберігання і передавання інформації, викликаних її несправністю, а також ненавмисних помилок користувачів або обслуговуючого персоналу;
впливу потужних електромагнітних і електричних промислових і природних завад.
Загроза інформаційній безпеці (англ. information security treat) — сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства і держави в інформаційній сфері. Основні загрози інформаційній безпеці можна розділити на три групи:
загрози впливу неякісної інформації (недостовірної, фальшивої, дезінформації) на особистість, суспільство, державу;
загрози несанкціонованого і неправомірного впливу сторонніх осіб на інформацію і інформаційні ресурси (на виробництво інформації, інформаційні ресурси, на системи їхнього формування і використання);
загрози інформаційним правам і свободам особистості (праву на виробництво, розповсюдження, пошук, одержання, передавання і використання інформації; праву на інтелектуальну власність на інформацію і речову власність на документовану інформацію; праву на особисту таємницю; праву на захист честі і достоїнства і т. ін.).
Загрози національній безпеці в інформаційній сфері
Однією з основних загроз інформаційній безпеці ЗУ "Про основи національної безпеки" називає "намагання маніпулювати суспільною свідомістю, зокрема, шляхом поширення недостовірної, неповної або упередженої інформації". До інших загроз віднесено:
прояви обмеження свободи слова та доступу громадян до інформації;
поширення засобами масової інформації культу насильства, жорстокості, порнографії;
комп'ютерна злочинність та комп'ютерний тероризм;
розголошення інформації, яка становить державну таємницю, а також конфіденційної інформації, що є власністю держави або спрямована на забезпечення потреб та національних інтересів суспільства і держави. [5]
В Доктрині інформаційної безпеки України, підписаній Президентом в липні 2009 р., серед всього виділено наступні загрози інформаційній безпеці країни:
поширення у світовому інформаційному просторі викривленої, недостовірної та упередженої інформації, що завдає шкоди національним інтересам України;
зовнішні деструктивні інформаційні впливи на суспільну свідомість через засоби масової інформації, а також мережу Інтернет;
деструктивні інформаційні впливи, які спрямовані на підрив конституційного ладу, суверенітету, територіальної цілісності і недоторканності України;
прояви сепаратизму в засобах масової інформації, а також у мережі Інтернет, за етнічною, мовною, релігійною та іншими ознаками.[6]
Політика інформаційної безпеки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.
Не варто плутати з політикою безпеки інформації — яка відноситься до безпеки інф. в інформаційно-телекомунікаційній системі..
Необхідність впровадження
Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності.
Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т.д.
Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.
Мета ПІБ
Метою ПІБ має бути впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на:
захист інформаційних активів організації,
забезпечення стабільної діяльності організації,
мінімізації ризиків інформаційної безпеки,
створення позитивних для організації інф. відносин з партнерами, клієнтами та всередині організації.
Основним завданням інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз.
Область застосування
Політика розповсюджується на всі аспекти діяльності організації як інформаційної системи та застосовується до всіх активів організації, які можуть здійснювати певний ефект на важливі для існування організації об'єкти своєю відсутністю чи псуванням.
Фактори неефективності
Сама по собі наявність документа «Політика інформаційної безпеки», не принесе істотної користі підприємству, крім, можливо, формального аргументу в суперечці про присутність або відсутність у нього даної політики.
Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані.
Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, затверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня - стандартам, процедурам, методикам і т.д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах.
Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, системний адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається.
Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.
Безпе́ка мере́жі (Network security) [1] — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в нормальні дії або намагань руйнування її компонентів. Безпека інформаційної мережі включає захист обладнання, програмного забезпечення, даних і персоналу. Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів. Мережева безпека включає в себе дозвіл на доступ до даних в мережі, який управляється адміністратором мережі. Користувачі вибирають або їм призначаються ID і пароль або інші перевірки автентичності інформації, що дозволяє їм здійснити доступ до інформації і програм у рамках своїх повноважень. Мережева безпека охоплює різні комп'ютерні мережі, як державні, так і приватні, які використовуються в повсякденних робочих місцях для здійснення угод і зв'язків між підприємствами, державними установами та приватними особами. Мережі можуть бути приватними, такими як всередині компанії, та інші, які можуть бути відкриті для публічного доступу. Мережева безпека бере участь в організаціях, підприємствах та інших типів закладів. Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та відповідного паролю.
Концепції мережевої безпеки
Мережева безпека починається з аутентифікації, що зазвичай включає в себе ім'я користувача і пароль. Коли для цього потрібно тільки одна деталь аутентифікації (ім'я користувача), то це іноді називають однофакторною аутентифікацією. При двофакторній аутентифікації, користувач повинен також використовується (наприклад, маркер безпеки або 'ключ', банкоматну картку або мобільний телефон), також при трьохфакторній аутентифікації, то користувач повинен використовувати (наприклад, відбитків пальців або сканування сітківки ока).
Після перевірки справжності, брандмауер забезпечує доступ до послуг користувачам мережі.[2] Для виявлення і пригнічування дії шкідливих програм використовується антивірусне програмне забезпечення або системи запобігання вторгнень (IPS)[3].
Зв'язок між двома комп'ютерами з використанням мережі можуть бути зашифрований, щоб зберегти конфіденційність.
Управління безпекою
Керування безпекою мереж залежить від виду ситуації. Будинку або невеликому офісу можуть знадобитися тільки основні засоби безпеки, в той час як великі підприємства можуть потребувати високого технічного обслуговування і сучасного програмного забезпечення з апаратними засобами для запобігання шкідливих атак хакерів і спаму.
Оселі та малий бізнес
Основний брандмауер або єдина система управління загрозою.
Для Windows користувачів, базове програмне забезпечення, антивірус, анти-шпигунські програми.
При бездротовому з'єднанні, використання надійного паролю.
Увімкнення фільтрації MAC-адрес, щоб відстежувати всі пристрої домашньої мережі MAC підключення до маршрутизатора. (Це не функція безпеки, проте вона може бути використана для обмеження і строгого контролю для небажаних вторгнень).
Призначення статичної IP адреси для мережевих пристроїв. (Це не функція безпеки, проте вона може бути використана у поєднанні з іншими функціями, щоб зробити вашу ІР менш бажаною для потенційних зловмисників).
Відключення ICMP пінг на маршрутизаторі.
Маршрутизатор відгуків або журнали брандмауера, щоб допомогти ідентифікувати ненормальне мережеві з'єднання або трафік.
Використання паролів для всіх облікових записів.
Для користувачів Windows, є кілька облікових записів на одного члена сім'ї та використовувати не-адміністративних облікових записів надень у день користування.
Підвищення обізнаності про інформаційну безпеку дітей.[4]
Середній бізнес
Досить сильний брандмауер або єдина система управління захистом від загроз.
Сильне антивірусне програмне забезпечення і програмне забезпечення Internet Security.
Для аутентифікації, використовуйте надійні паролі або міняти їх по-тижнево/місячно.
При використанні бездротового з'єднання, використовувати надійні паролі.
Підвищення обізнаності про фізичну безпеку співробітників.
Додатковий мережевий аналізатор або мережевий монітор.
Освічений адміністратор або менеджер.
Використання VPN або Virtual Private Network, для обміну даними між головним офісом та філіями.[5]
Чіткі інструкції працівникам, які мають доступ до Інтернету, в тому числі обмеження доступу до не пов'язаних з роботою сайтів, відправки та отримання інформації.
Індивідуальні облікові записи для входу в систему і отримання доступу до корпоративної мережі та Інтернету з моніторингом звітності.
Резервна політика для відновлення даних у разі виходу з ладу обладнання або порушення безпеки, змін, пошкодження або видалення даних.
Відключення Messenger.
Призначення кілька співробітників для моніторингу групи, як CERT[6], яка вивчає вразливості безпеки в Інтернеті і розвиває навчання, щоб допомогти поліпшити безпеку.
Великі підприємства
Сильний брандмауер і проксі-сервер або мережу захисту, щоб тримати небажаних людей подалі.
Сильний пакет антивірусних додатків і пакет програмного забезпечення Internet Security.
Для аутентифікації, використання надійних паролів і змінювати їх раз на тиждень / раз в два тижні.
При використанні бездротового з'єднання, використання надійного пароля.
Фізичні заходи безпеки для співробітників.
Аналізатор мережі або моніторинг мережі, використання їх при необхідності.
Реалізація управління фізичної безпеки, такі як охоронного телебачення для вступу в райони і зони обмеженого доступу.
Безпека огорожі, щоб відзначити периметр компанії.
Вогнегасники для гасіння чутливих областей, таких як серверні кімнати і приміщення безпеки.
Навчальні заклади
Регульований брандмауер і проксі, з авторизацією доступу користувачів ззовні і всередині.
Сильне антивірусне програмне забезпечення та Інтернет-пакети Security Software.
Нагляд мережі, щоб гарантувати оновлення і зміни на популярних сайтах.
Постійний контроль з боку вчителів, бібліотекарів та адміністраторів, щоб гарантувати захист від атак різних джерел.
Типи атак
Мережі є об'єктами нападів з боку шкідливих джерел. Атаки можуть бути двох типів: "пасивна", коли зловмисник перехоплює дані, передані по мережі, і "активна", в якій зловмисник може ініціювати команди, що порушують нормальну роботу мережі.[7]
Типи атак включають:[8]
Пасивний
Мережа
Підслуховування телефонних розмов
Порт сканер
Час простою комп'ютера
Активний
Відмова в обслуговуванні напад
Людина в центрі
ARP отруєння
Smurf атаки
Переповнення буфера
Переповнення купи
Напад форматного рядка
SQL ін'єкції
Захист інформації
Зáхист інформáції (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Термін вживається в Україні для опису комплексу заходів по забезпеченню інформаційної безпеки.
Захист інформації ведеться для підтримки таких властивостей інформації як:
Цілісність
— неможливість модифікації інформації неавторизованим користувачем.
Конфіденційність
— інформація не може бути отримана неавторизованим користувачем.
Доступність
— полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Спостережність
властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.
Загрози інформації
Відповідно до властивостей І., виділяють такі загрози її безпеці:
загрози цілісності:
знищення;
модифікація;
загрози доступності:
блокування;
знищення;
загрози конфіденційності:
несанкціонований доступ (НСД);
витік;
розголошення.
Аспекти захисту інформації
Конфіденційність — захист від несанкціонованого ознайомлення з інформацією.
Цілісність — захист інформації від несанкціонованої модифікації.
Доступність — захист (забезпечення) доступу до інформації, а також можливості її використання. Доступність забезпечується як підтриманням систем в робочому стані так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
Види захисту інформації
Кожен вид ЗІ забезпечує окремі аспекти ІБ:
Технічний — забезпечує обмеження доступу до носія повідомлення апаратно-технічними засобами (антивіруси, фаєрволи, маршрутизатори, токіни, смарт-карти тощо):
попередження витоку по технічним каналам;
Техні́чний за́хист інформа́ції (ТЗІ) — діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Техні́чний за́хист секре́тної інформа́ції — вид захисту, спрямований на забезпечення інженерно-технічними заходами конфіденційності, цілісності та унеможливлення блокування інформації.
попередження блокування ;
Одним з напрямків захисту інформації в комп'ютерних системах є технічний захист інформації (ТЗІ). В свою чергу, питання ТЗІ розбиваються на два великих класи задач:
захист інформації від несанкціонованого доступу (НСД)
захист інформації від витоку технічними каналами.
Для забезпечення ТЗІ створюється комплекс технічного захисту інформації, що є складовою КСЗІ.
Під НСД звичайно розуміється доступ до інформації, що порушує встановлену в інформаційній системі політику розмежування доступу. Під технічними каналами розглядаються канали побічних електромагнітних випромінювань і наводок (ПЕМВН), акустичні канали, оптичні канали та інші.
Захист від НСД може здійснюватися в різних складових інформаційної системи:
прикладне та системне ПЗ.
апаратна частина серверів та робочих станцій.
комунікаційне обладнання та канали зв'язку.
периметр інформаційної системи.
ТЗІ від НСД на прикладному і програмному рівні
Для захисту інформації на рівні прикладного та системного ПЗ нами використовуються:
системи розмежування доступу до інформації;
системи ідентифікації та автентифікації;
системи аудиту та моніторингу;
системи антивірусного захисту.
ТЗІ від НСД на апаратному рівні
Для захисту інформації на рівні апаратного забезпечення використовуються:
апаратні ключі.
системи сигналізації.
засоби блокування пристроїв та інтерфейс вводу-виводу інформації.
ТЗІ на мережевому рівні
В комунікаційних системах використовуються такі засоби мережевого захисту інформації:
міжмережеві екрани (англ. Firewall) — для блокування атак з зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway та Alteon Switched Firewall від компанії Nortel Networks). Вони керують проходженням мережевого трафіку відповідно до правил (англ. policies) захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі.
системи виявлення втручаннь (англ. Intrusion Detection System) — для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу «відмова в обслуговуванні» (Cisco Secure IDS, Intruder Alert та NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі.
засоби створення віртуальних приватних мереж (англ. Virtual Private Network) — для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування.
засоби аналізу захищеності — для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). Їх застосування дозволяє попередити можливі атаки на корпоративну мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
Засоби та заходи ТЗІ
Захист інформації від її витоку технічними каналами зв'язку забезпечується такими засобами та заходами:
використанням екранованого кабелю та прокладка проводів та кабелів в екранованих конструкціях;
встановленням на лініях зв'язку високочастотних фільтрів;
побудовою екранованих приміщень («капсул»);
використанням екранованого обладнання;
встановленням активних систем зашумлення;
створенням контрольованої зони.
Інженерний — попереджує руйнування носія внаслідок навмисних дій або природного впливу інженерно-технічними засобами (сюди відносять обмежуючі конструкції, охоронно-пожежна сигналізація).
Інженерний ЗІ є частиною комплексної системи захисту інформації.
Закон [1] визначає інженерний ЗІ як складову технічного захисту інформації. Але засоби і методи інженерного та технічного ЗІ дуже різняться хоча і мають спільну мету використання. Для прикладу: засоби обмеження доступу на територію і програмні засоби забезпечення автетифікації згідно із законодавчим визначенням складають одну категорію.
Криптографічний — попереджує доступ до за допомогою математичних перетворень повідомлення (ІП):
попередження несанкціонованої модифікації ;
попередження НС розголошення.
Криптографі́чний за́хист інформа́ції — вид захисту інформації, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо[1].
Організаційний — попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (правила розмежування доступу).
Організаці́йний за́хист інформа́ції — захист інформації шляхом регулювання за допомогою організаційних заходів доступу до всіх ресурсів інформаційної системи .
Згідно з ДСТУ 3396.1-96 [1] організаційні заходи захисту інформації — комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення ТЗІ.
Система управління інформаційною безпекою СУІБ (англ. information security management system, ISMS) — частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки[1].
Комплексна система захисту інформації (КСЗІ) — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації[1] (ЗІ).
Слу́жба за́хисту інформа́ції (СЗІ) — підрозділ організації, який забезпечує захист інформації шляхом управління комплексною системою захисту інформації.
В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо забезпечення захисту інформації в АС здійснюють призначені наказом керівника організації працівники. У цьому випадку посадові (функціональні) обов'язки цих працівників повинні включати положення, які б передбачали виконання ними вимог щодо діяльності СЗІ.
СЗІ створюється в обов'язковому порядку коли організація обробляє інформацію, вимогу щодо захисту якої встановлено законодавством.
Типове положення про СЗІ міститься в НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.
Мета створення
Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в автоматизованій системі та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС.