- •Основні поняття……………………………………………………...….154
- •Перелік скорочень
- •Розділ 1 інформація та її зв’язок з галуззю дільності суспільства
- •Види інформації
- •Інформація для ухвалення рішення
- •Інформація для стратегічних рішень
- •Інформація для тактичних рішень
- •Інформація для вирішення оперативних питань
- •Як збирати і обробляти інформацію
- •Шлях інформації
- •Канали інформації
- •Обробка інформації
- •Цикл інформації
- •Помилкова інформація
- •Витік інформації
- •Питання для самоперевірки
- •Розділ 2 необхідність захисту інформації
- •Класифікація цілей захисту
- •Основні положення концепції захисту інформації
- •Визначення і аналіз поняття загрози інформації
- •Система показників уразливості інформації і вимоги до первинних даних
- •Питання для самоперевірки
- •Розділ 3 поняття інформаційної безпеки
- •Поняття інформаційної безпеки
- •Основні складові інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Питання для самоперевірки
- •Основні складові інформаційної безпеки.
- •Важливість і складність проблеми інформаційної безпеки.
- •Розділ 4 поширення об’єктно-орієнтованого підходу на інформаційну безпеку
- •Про необхідність об’єктно-орієнтованого підходу до інформаційної безпеки
- •Основні поняття об’єктно-орієнтованого підходу
- •Застосування об’єктно-орієнтованого підходу до розгляду систем, що захищаються
- •Іс організації
- •Недоліки традиційного підходу до інформаційної безпеки з об’єктної точки зору
- •Питання для самоперевірки
- •Розділ 5 найпоширеніші загрози інформації
- •Основні визначення і критерії загроз
- •Найпоширеніші загрози доступності
- •Деякі приклади загроз доступності
- •Шкідливе програмне забезпечення
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Питання для самоперевірки
- •Основні визначення і критерії загроз.
- •Основні загрози цілісності.
- •Основні загрози конфіденційності.
- •Розділ 6 методологія формування повної множини загроз інформації
- •Структура і загальний зміст алгоритму формування відносно можливостей експертних методів
- •Причини порушення цілісності інформації
- •Канали несанкціонованого доступу інформації
- •Методи визначення значень показників уразливості інформації
- •Питання для самоперевірки
- •Розділ 7 адміністративний рівень інформаційної безпеки
- •Основні поняття
- •Політика безпеки
- •Програма безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Питання для самоперевірки
- •Політика безпеки.
- •Програма безпеки.
- •Синхронізація програми безпеки з життєвим циклом систем.
- •Розділ 8 порушення цілісності інформації завадами
- •Природна і штучна завади
- •Комп’ютерні віруси
- •Анатомія комп’ютерного вірусу
- •Процес зараження
- •Структура комп’ютерного вірусу
- •Структура файлового нерезидентного віруса
- •Структура файлового резидентного віруса
- •Структура бутового віруса
- •Генератори шуму
- •Структурна схема генератора шуму
- •Первинні джерела шуму
- •Тепловий шум
- •Токові шуми недротяних резисторів
- •Шумові діоди
- •Шуми газорозрядних ламп
- •Хаотичні імпульсні шуми
- •Питання для самоперевірки
- •Розділ 9 керування ризиками
- •Основні поняття
- •Підготовчі етапи керування ризиками
- •Основні етапи керування ризиками
- •Питання для самоперевірки
- •Підготовчі етапи керування ризиками.
- •Основні етапи керування ризиками.
- •Розділ 10 процедурний рівень інформаційної безпеки
- •Основні класи заходів процедурного рівня
- •Керування персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Питання для самоперевірки
- •Розділ 11 основні програмно-технічні заходи
- •Основні програмно-технічні заходи щодо рівня інформаційної безпеки
- •Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •Архітектура безпеки
- •Питання для самоперевірки
- •Розділ 12 ідентифікація й аутентифікація, керування доступом до інформації
- •Ідентифікація і аутентифікація
- •Парольна аутентифікація
- •Одноразові паролі
- •Ідентифікація/аутентифікація за допомогою біометричних даних
- •Керування доступом. Основні поняття.
- •Рольове керування доступом
- •Керування доступом в Java – середовищі
- •Можливий підхід до керування доступом у розподіленому об’єктному середовищі
- •Питання для самоперевірки
- •Розділ 13 протоколювання й аудит, шифрування, контроль цілісності інформації
- •Активний аудит. Основні поняття
- •Функціональні компоненти й архітектура
- •Шифрування
- •Контроль цілісності
- •Цифрові сертифікати
- •Питання для самоперевірки
- •Розділ 14 екранування та аналіз захищеності інформації
- •Архітектурні аспекти
- •Класифікація міжмережевих екранів
- •Аналіз захищеності
- •Питання для самоперевірки
- •Розділ 15 забезпечення високої доступності до інформації
- •Основні заходи забезпечення високої доступності
- •Відмовостійкість і зона ризику
- •Забезпечення відмовостійкості
- •Програмне забезпечення проміжного шару
- •Забезпечення обслуговування
- •Питання для самоперевірки
- •Розділ 16 тунелювання й керування інформаційною безпекою
- •Керування. Основні поняття
- •Можливості типових систем
- •Питання для самоперевірки
- •Керування. Основні поняття.
- •Можливості типових систем.
- •Післямова
- •Література
- •Варіанти щодо модульного тестування по розділу 3
- •Варіанти щодо модульного тестування по розділу 4
- •Варіанти щодо модульного тестування по розділу 5
- •Варіанти щодо модульного тестування по розділу 7
- •1. Політика безпеки:
- •Варіанти щодо модульного тестування по розділу 9
- •Варіанти щодо модульного тестування по розділу 10
- •Варіанти шодо модульного тестування по розділу 11
- •Варіанти шодо модульного тестування по розділу 12
- •Варіанти шодо модульного тестування по розділу 13
- •Варіанти шодо модульного тестування по розділу 14
- •Варіанти шодо модульного тестування по розділу 15
- •Варіанти шодо модульного тестування по розділу 16
Питання для самоперевірки
Назвіть основні поняття об’єктно-орієнтованого підходу.
Що таке об’єктно-орієнтований підхід?
Які вимоги до безпеки повторного використання об’єктів?
Що надають контейнери в компонентних об’єктних середовищах?
На які принципи спираються розумні методи боротьби зі складністю?
Застосування об’єктно-орієнтованого підходу до розгляду системи, що застосовується?
Недоліки традиційного підходу до інформаційної безпеки.
Яка необхідність об’єктно-орієнтованого підходу до інформаційної безпеки.
Дайте визначення «поліморфізму».
Механізм успадкування при розгляді рольового керування доступом.
Розділ 5 найпоширеніші загрози інформації
Основні визначення і критерії загроз
Загроза – це потенційна можливість певним чином порушити інформаційну безпеку.
Спроба реалізації загрози називається атакою, а той, хто вчиняє таку спробу, – зловмисником. Потенційні зловмисники називаються джерелами загроз.
Найчастіше загроза є наслідком наявності уразливих місць у захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування або помилки в програмному забезпеченні).
Проміжок часу від моменту, коли з'являється можливість використати слабке місце, і до моменту, коли прогалина ліквідується, називається вікном небезпеки, асоційованим з даним уразливим місцем. Поки існує вікно небезпеки, можливі успішні атаки на ІС.
Якщо мова йде про помилки в ПЗ, то вікно небезпеки "відкривається" з появою засобів використання помилки й ліквідується при накладенні латок, які її виправляють.
Для більшості уразливих місць вікно небезпеки існує порівняно довго (кілька днів, іноді – тижнів), оскільки за цей час повинні відбутися наступні події:
повинно стати відомо про засоби використання прогалини в захисті;
повинні бути випущені відповідні латки;
латки повинні бути встановлені в захищуваній ІС.
Ми вже вказували, що нові уразливі місця й засоби їхнього використання з'являються постійно; це значить, по-перше, що майже завжди існують вікна небезпеки й, по-друге, що відстеження таких вікон повинне провадитися постійно, а випуск і накладення латок – якомога оперативніше.
Відзначимо, що деякі загрози не можна вважати наслідком якихось помилок або прорахунків; вони існують у чинність самої природи сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за припустимі границі існує внаслідок залежності апаратного забезпечення ІС від якісного електроживлення.
Розглянемо найпоширеніші загрози, яким піддаються сучасні інформаційні системи. Мати подання про можливі загрози, а також про уразливі місця, які ці загрози зазвичай експлуатують, необхідно для того, щоб вибирати найбільш економічні засоби забезпечення безпеки. Занадто багато міфів існує в сфері інформаційних технологій (згадаємо все ту ж "Проблему 2000"), тому незнання в цьому випадку веде до перевитрати коштів й, що ще гірше, до концентрації ресурсів там, де вони не дуже потрібні, за рахунок ослаблення дійсно уразливих напрямків.
Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастіше трактується по-різному. Наприклад, для підкреслено відкритої організації загроз конфіденційності може просто не існувати – вся інформація вважається загальнодоступною; однак у більшості випадків нелегальний доступ є серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересів суб'єктів інформаційних відносин (і від того, який збиток є для них неприйнятним).
Ми спробуємо подивитися на предмет з погляду типової (на наш погляд) організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.
Загрози можна класифікувати по декількох критеріях:
по аспекту інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози спрямовані в першу чергу;
по компонентах інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);
по способу здійснення (випадкові/навмисні дії природного/техногенного характеру);
розташуванню джерела загроз (усередині/поза розглянутим ІС).
Як основний критерій ми будемо використовувати перший (по аспекту ІБ), залучаючи при необхідності інші.