- •Основні поняття……………………………………………………...….154
- •Перелік скорочень
- •Розділ 1 інформація та її зв’язок з галуззю дільності суспільства
- •Види інформації
- •Інформація для ухвалення рішення
- •Інформація для стратегічних рішень
- •Інформація для тактичних рішень
- •Інформація для вирішення оперативних питань
- •Як збирати і обробляти інформацію
- •Шлях інформації
- •Канали інформації
- •Обробка інформації
- •Цикл інформації
- •Помилкова інформація
- •Витік інформації
- •Питання для самоперевірки
- •Розділ 2 необхідність захисту інформації
- •Класифікація цілей захисту
- •Основні положення концепції захисту інформації
- •Визначення і аналіз поняття загрози інформації
- •Система показників уразливості інформації і вимоги до первинних даних
- •Питання для самоперевірки
- •Розділ 3 поняття інформаційної безпеки
- •Поняття інформаційної безпеки
- •Основні складові інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Питання для самоперевірки
- •Основні складові інформаційної безпеки.
- •Важливість і складність проблеми інформаційної безпеки.
- •Розділ 4 поширення об’єктно-орієнтованого підходу на інформаційну безпеку
- •Про необхідність об’єктно-орієнтованого підходу до інформаційної безпеки
- •Основні поняття об’єктно-орієнтованого підходу
- •Застосування об’єктно-орієнтованого підходу до розгляду систем, що захищаються
- •Іс організації
- •Недоліки традиційного підходу до інформаційної безпеки з об’єктної точки зору
- •Питання для самоперевірки
- •Розділ 5 найпоширеніші загрози інформації
- •Основні визначення і критерії загроз
- •Найпоширеніші загрози доступності
- •Деякі приклади загроз доступності
- •Шкідливе програмне забезпечення
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Питання для самоперевірки
- •Основні визначення і критерії загроз.
- •Основні загрози цілісності.
- •Основні загрози конфіденційності.
- •Розділ 6 методологія формування повної множини загроз інформації
- •Структура і загальний зміст алгоритму формування відносно можливостей експертних методів
- •Причини порушення цілісності інформації
- •Канали несанкціонованого доступу інформації
- •Методи визначення значень показників уразливості інформації
- •Питання для самоперевірки
- •Розділ 7 адміністративний рівень інформаційної безпеки
- •Основні поняття
- •Політика безпеки
- •Програма безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Питання для самоперевірки
- •Політика безпеки.
- •Програма безпеки.
- •Синхронізація програми безпеки з життєвим циклом систем.
- •Розділ 8 порушення цілісності інформації завадами
- •Природна і штучна завади
- •Комп’ютерні віруси
- •Анатомія комп’ютерного вірусу
- •Процес зараження
- •Структура комп’ютерного вірусу
- •Структура файлового нерезидентного віруса
- •Структура файлового резидентного віруса
- •Структура бутового віруса
- •Генератори шуму
- •Структурна схема генератора шуму
- •Первинні джерела шуму
- •Тепловий шум
- •Токові шуми недротяних резисторів
- •Шумові діоди
- •Шуми газорозрядних ламп
- •Хаотичні імпульсні шуми
- •Питання для самоперевірки
- •Розділ 9 керування ризиками
- •Основні поняття
- •Підготовчі етапи керування ризиками
- •Основні етапи керування ризиками
- •Питання для самоперевірки
- •Підготовчі етапи керування ризиками.
- •Основні етапи керування ризиками.
- •Розділ 10 процедурний рівень інформаційної безпеки
- •Основні класи заходів процедурного рівня
- •Керування персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Питання для самоперевірки
- •Розділ 11 основні програмно-технічні заходи
- •Основні програмно-технічні заходи щодо рівня інформаційної безпеки
- •Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •Архітектура безпеки
- •Питання для самоперевірки
- •Розділ 12 ідентифікація й аутентифікація, керування доступом до інформації
- •Ідентифікація і аутентифікація
- •Парольна аутентифікація
- •Одноразові паролі
- •Ідентифікація/аутентифікація за допомогою біометричних даних
- •Керування доступом. Основні поняття.
- •Рольове керування доступом
- •Керування доступом в Java – середовищі
- •Можливий підхід до керування доступом у розподіленому об’єктному середовищі
- •Питання для самоперевірки
- •Розділ 13 протоколювання й аудит, шифрування, контроль цілісності інформації
- •Активний аудит. Основні поняття
- •Функціональні компоненти й архітектура
- •Шифрування
- •Контроль цілісності
- •Цифрові сертифікати
- •Питання для самоперевірки
- •Розділ 14 екранування та аналіз захищеності інформації
- •Архітектурні аспекти
- •Класифікація міжмережевих екранів
- •Аналіз захищеності
- •Питання для самоперевірки
- •Розділ 15 забезпечення високої доступності до інформації
- •Основні заходи забезпечення високої доступності
- •Відмовостійкість і зона ризику
- •Забезпечення відмовостійкості
- •Програмне забезпечення проміжного шару
- •Забезпечення обслуговування
- •Питання для самоперевірки
- •Розділ 16 тунелювання й керування інформаційною безпекою
- •Керування. Основні поняття
- •Можливості типових систем
- •Питання для самоперевірки
- •Керування. Основні поняття.
- •Можливості типових систем.
- •Післямова
- •Література
- •Варіанти щодо модульного тестування по розділу 3
- •Варіанти щодо модульного тестування по розділу 4
- •Варіанти щодо модульного тестування по розділу 5
- •Варіанти щодо модульного тестування по розділу 7
- •1. Політика безпеки:
- •Варіанти щодо модульного тестування по розділу 9
- •Варіанти щодо модульного тестування по розділу 10
- •Варіанти шодо модульного тестування по розділу 11
- •Варіанти шодо модульного тестування по розділу 12
- •Варіанти шодо модульного тестування по розділу 13
- •Варіанти шодо модульного тестування по розділу 14
- •Варіанти шодо модульного тестування по розділу 15
- •Варіанти шодо модульного тестування по розділу 16
Важливість і складність проблеми інформаційної безпеки
Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню – національному, галузевому, корпоративному або персональному.
Для ілюстрації цього положення обмежимося декількома прикладами.
За розпорядженням президента США Клінтона (від 15 липня 1996 року, номер 13010) була створена Комісія із захисту критично важливої інфраструктури як від фізичних нападів, так і від атак, початих за допомогою інформаційної зброї. На початку жовтня 1997 року при підготовці доповіді президентові глава вищезгаданої комісії Роберт Марш заявив, що в цей час ні уряд, ні приватний сектор не мають у своєму розпорядженні засобів захисту від комп'ютерних атак, здатних вивести з ладу комунікаційні мережі й мережі енергопостачання.
Американський ракетний крейсер "Йорктаун" був змушений повернутися в порт через численні проблеми із програмним забезпеченням, що функціонувало на платформі Windows NT 4.0 (Government Computer News, липень 1998). Таким виявився побічний ефект програми ВМФ США по максимально широкому використанню комерційного програмного забезпечення з метою зниження вартості військової техніки.
Заступник начальника керування по економічних злочинах Міністерства внутрішніх справ Росії повідомив, що російські хакери з 1994 по 1996 рік вчинили майже 500 спроб проникнення в комп'ютерну мережу Центрального банку Росії. В 1995 році ними було викрадено 250 мільярдів рублів (ІТАР-ТАРС, АР, 17 вересня 1996 року).
Як повідомив журнал Internet Week від 23 березня 1998 року, втрати найбільших компаній, викликані комп'ютерними вторгненнями, продовжують збільшуватися, незважаючи на ріст витрат на засоби забезпечення безпеки. Відповідно до результатів спільного дослідження Інституту інформаційної безпеки й ФБР, в 1997 році збиток від комп'ютерних злочинів досяг 136 мільйонів доларів, що на 36% більше, ніж в 1996 році. Кожен комп'ютерний злочин завдає шкоди приблизно в 200 тисяч доларів.
У середині липня 1996 року корпорація General Motors відкликала 292860 автомобілів марки Pontiac, Oldsmobile й Buick моделей 1996 й 1997 років, оскільки помилка в програмному забезпеченні двигуна могла спричинити пожежу.
У лютому 2001 року двоє колишніх співробітників компанії Commerce One, скориставшись паролем адміністратора, видалили із сервера файли, що становили великий (на кілька мільйонів доларів) проект для іноземного замовника. На щастя, була резервна копія проекту, так що реальні втрати обмежилися витратами на наслідок і засоби захисту від подібних інцидентів у майбутньому. У серпні 2002 року злочинці постали перед судом.
Одна студентка втратила стипендію в 18 тисяч доларів у Мічиганському університеті через те, що її сусідка по кімнаті скористалася їх спільним системним паролем і відправила від імені своєї жертви електронний лист із відмовою від стипендії.
Зрозуміло, що подібних прикладів безліч, можна згадати й інші випадки – недоліків в порушеннях ІБ немає й не передбачається. Чого коштує одна тільки "Проблема 2000" – сором і ганьба програмного співтовариства!
При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідно враховувати специфіку даного аспекту безпеки, що полягає у тому, що інформаційна безпека є складовою частиною інформаційних технологій –області, що розвивається надзвичайно високими темпами. Тут важливі не стільки окремі рішення (закони, навчальні курси, програмно-технічні засоби), що перебувають на сучасному рівні, скільки механізми генерації нових рішень, що дозволяють жити в темпі технічного прогресу.
На жаль, сучасна технологія програмування не дозволяє створювати безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення ІБ. Варто виходити з того, що необхідно конструювати надійні системи (інформаційної безпеки) із залученням ненадійних компонентів (програм). У принципі, це можливо, але вимагає дотримання певних архітектурних принципів і контролю стану захищеності протягом усього життєвого циклу ІС.
Наведемо ще кілька цифр. У березні 1999 року був опублікований черговий, четвертий по рахунку, річний звіт "Комп'ютерна злочинність і безпека-1999: проблеми й тенденції" (Issues and Trends: 1999 CS1/FB1 Computer Crime and Security Survey). У звіті відзначається різкий ріст числа звернень до правоохоронних органів із приводу комп'ютерних злочинів (32% із числа опитаних); 30% респондентів повідомили про те, що їхні інформаційні системи були зламані зовнішніми зловмисниками; атакам через Internet піддавалися 57% опитаних; у 55% випадках відзначалися порушення з боку власних співробітників. Примітно, що 33% респондентів на питання " чи були зламані ваші Web-сервери й системи електронної комерції за останні 12 місяців? " відповіли "не знаю".
В аналогічному звіті, опублікованому у квітні 2002 року, цифри змінилися, але тенденція залишилася колишньою: 90% респондентів (переважно з великих компаній й урядових структур) повідомили, що за останні 12 місяців у їхніх організаціях мали місце порушення інформаційної безпеки; 80% констатували фінансові втрати від цих порушень; 44% (223 респондента) змогли й/або захотіли оцінити втрати кількісно, загальна сума склала більше 455 млн. доларів. Найбільший збиток нанесли крадіжки й підробки (більше 170 й 115 млн. доларів відповідно).
Настільки ж тривожні результати втримуються в огляді information Week, опублікованому 12 липня 1999 року. Лише 22% респондентів заявили про відсутність порушень інформаційної безпеки. Поряд з поширенням вірусів відзначається різкий ріст числа зовнішніх атак.
Збільшення кількості атак – ще не найбільша неприємність. Гірше те, що постійно виявляються нові уразливі місця в програмному забезпеченні (вище ми вказували на обмеженість сучасної технології програмування) і, як наслідок, з'являються нові види атак.
Так, в інформаційному листі Національного центру захисту інфраструктури США (National Infrastructure Protection Center, NIPC) від 21 липня 1999 року повідомляється, що за період з 3 по 16 липня 1999 року виявлено дев'ять проблем з ПЗ, ризик використання яких оцінюється як середній або високий (загальне число виявлених уразливих місць дорівнює 17). Серед "потерпілих" операційних платформ – майже всі різновиди ОС Unix, Windows, MacOS, так що ніхто не може почуватися спокійно, оскільки нові помилки відразу починають активно використовуватися зловмисниками.
У таких умовах системи інформаційної безпеки повинні вміти протистояти різноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим і скоординованим. Іноді напад триває долі секунди; часом промацування уразливих місць ведеться повільно й розтягується на години, так що підозріла активність практично непомітна. Метою зловмисників може бути порушення всіх складових ІБ – доступності, цілісності або конфіденційності.