- •Основні поняття……………………………………………………...….154
- •Перелік скорочень
- •Розділ 1 інформація та її зв’язок з галуззю дільності суспільства
- •Види інформації
- •Інформація для ухвалення рішення
- •Інформація для стратегічних рішень
- •Інформація для тактичних рішень
- •Інформація для вирішення оперативних питань
- •Як збирати і обробляти інформацію
- •Шлях інформації
- •Канали інформації
- •Обробка інформації
- •Цикл інформації
- •Помилкова інформація
- •Витік інформації
- •Питання для самоперевірки
- •Розділ 2 необхідність захисту інформації
- •Класифікація цілей захисту
- •Основні положення концепції захисту інформації
- •Визначення і аналіз поняття загрози інформації
- •Система показників уразливості інформації і вимоги до первинних даних
- •Питання для самоперевірки
- •Розділ 3 поняття інформаційної безпеки
- •Поняття інформаційної безпеки
- •Основні складові інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Питання для самоперевірки
- •Основні складові інформаційної безпеки.
- •Важливість і складність проблеми інформаційної безпеки.
- •Розділ 4 поширення об’єктно-орієнтованого підходу на інформаційну безпеку
- •Про необхідність об’єктно-орієнтованого підходу до інформаційної безпеки
- •Основні поняття об’єктно-орієнтованого підходу
- •Застосування об’єктно-орієнтованого підходу до розгляду систем, що захищаються
- •Іс організації
- •Недоліки традиційного підходу до інформаційної безпеки з об’єктної точки зору
- •Питання для самоперевірки
- •Розділ 5 найпоширеніші загрози інформації
- •Основні визначення і критерії загроз
- •Найпоширеніші загрози доступності
- •Деякі приклади загроз доступності
- •Шкідливе програмне забезпечення
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Питання для самоперевірки
- •Основні визначення і критерії загроз.
- •Основні загрози цілісності.
- •Основні загрози конфіденційності.
- •Розділ 6 методологія формування повної множини загроз інформації
- •Структура і загальний зміст алгоритму формування відносно можливостей експертних методів
- •Причини порушення цілісності інформації
- •Канали несанкціонованого доступу інформації
- •Методи визначення значень показників уразливості інформації
- •Питання для самоперевірки
- •Розділ 7 адміністративний рівень інформаційної безпеки
- •Основні поняття
- •Політика безпеки
- •Програма безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Питання для самоперевірки
- •Політика безпеки.
- •Програма безпеки.
- •Синхронізація програми безпеки з життєвим циклом систем.
- •Розділ 8 порушення цілісності інформації завадами
- •Природна і штучна завади
- •Комп’ютерні віруси
- •Анатомія комп’ютерного вірусу
- •Процес зараження
- •Структура комп’ютерного вірусу
- •Структура файлового нерезидентного віруса
- •Структура файлового резидентного віруса
- •Структура бутового віруса
- •Генератори шуму
- •Структурна схема генератора шуму
- •Первинні джерела шуму
- •Тепловий шум
- •Токові шуми недротяних резисторів
- •Шумові діоди
- •Шуми газорозрядних ламп
- •Хаотичні імпульсні шуми
- •Питання для самоперевірки
- •Розділ 9 керування ризиками
- •Основні поняття
- •Підготовчі етапи керування ризиками
- •Основні етапи керування ризиками
- •Питання для самоперевірки
- •Підготовчі етапи керування ризиками.
- •Основні етапи керування ризиками.
- •Розділ 10 процедурний рівень інформаційної безпеки
- •Основні класи заходів процедурного рівня
- •Керування персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Питання для самоперевірки
- •Розділ 11 основні програмно-технічні заходи
- •Основні програмно-технічні заходи щодо рівня інформаційної безпеки
- •Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •Архітектура безпеки
- •Питання для самоперевірки
- •Розділ 12 ідентифікація й аутентифікація, керування доступом до інформації
- •Ідентифікація і аутентифікація
- •Парольна аутентифікація
- •Одноразові паролі
- •Ідентифікація/аутентифікація за допомогою біометричних даних
- •Керування доступом. Основні поняття.
- •Рольове керування доступом
- •Керування доступом в Java – середовищі
- •Можливий підхід до керування доступом у розподіленому об’єктному середовищі
- •Питання для самоперевірки
- •Розділ 13 протоколювання й аудит, шифрування, контроль цілісності інформації
- •Активний аудит. Основні поняття
- •Функціональні компоненти й архітектура
- •Шифрування
- •Контроль цілісності
- •Цифрові сертифікати
- •Питання для самоперевірки
- •Розділ 14 екранування та аналіз захищеності інформації
- •Архітектурні аспекти
- •Класифікація міжмережевих екранів
- •Аналіз захищеності
- •Питання для самоперевірки
- •Розділ 15 забезпечення високої доступності до інформації
- •Основні заходи забезпечення високої доступності
- •Відмовостійкість і зона ризику
- •Забезпечення відмовостійкості
- •Програмне забезпечення проміжного шару
- •Забезпечення обслуговування
- •Питання для самоперевірки
- •Розділ 16 тунелювання й керування інформаційною безпекою
- •Керування. Основні поняття
- •Можливості типових систем
- •Питання для самоперевірки
- •Керування. Основні поняття.
- •Можливості типових систем.
- •Післямова
- •Література
- •Варіанти щодо модульного тестування по розділу 3
- •Варіанти щодо модульного тестування по розділу 4
- •Варіанти щодо модульного тестування по розділу 5
- •Варіанти щодо модульного тестування по розділу 7
- •1. Політика безпеки:
- •Варіанти щодо модульного тестування по розділу 9
- •Варіанти щодо модульного тестування по розділу 10
- •Варіанти шодо модульного тестування по розділу 11
- •Варіанти шодо модульного тестування по розділу 12
- •Варіанти шодо модульного тестування по розділу 13
- •Варіанти шодо модульного тестування по розділу 14
- •Варіанти шодо модульного тестування по розділу 15
- •Варіанти шодо модульного тестування по розділу 16
Підготовчі етапи керування ризиками
У цьому розділі будуть описані перші три етапи процесу керування ризиками.
Вибір аналізованих об'єктів і рівня деталізації їхнього розгляду – перший крок в оцінці ризиків. Для невеликої організації припустимо розглядати всю інформаційну інфраструктуру; однак якщо організація велика, всеохоплююча оцінка може вимагати неприйнятних витрат часу й сил. У такому випадку варто зосередитися на найбільш важливих сервісах, заздалегідь погоджуючись із наближеністю підсумкової оцінки. Якщо важливих сервісів усе ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі.
Ми вже вказували на доцільність створення карти інформаційної системи організації. Для керування ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси обрані для аналізу, а якими довелося знехтувати. Якщо ІС змінюється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або істотно змінені сервіси мають потребу в розгляді.
Загалом кажучи, уразливим є кожен компонент інформаційної системи – від мережевого кабелю, який можуть прогризти миші, до бази даних, що може бути зруйнована через невмілі дії адміністратора. Як правило, у сферу аналізу неможливо включити кожен гвинтик і кожен байт. Доводиться зупинятися на деякому рівні деталізації, усвідомлюючи наближеність оцінки. Для нових систем кращий детальний аналіз; стара система, яка піддається незначним модифікаціям, може бути проаналізована більш поверхнево.
Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є одержання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Виходить, оцінка повинна бути кількісною, що допускає зіставлення із заздалегідь обраними межами допустимості й витратами на реалізацію нових регуляторів безпеки. Керування ризиками – типова оптимізація завдання, й існує досить багато програмних продуктів, здатних допомогти в її вирішенні (іноді подібні продукти просто додаються до книг з інформаційної безпеки). Принципові труднощі, однак, складаються в неточності вихідних даних. Можна, звичайно, спробувати одержати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але особливого сенсу в цьому немає. Практичніше користуватися умовними одиницями. У найпростішому й цілком припустимому випадку можна користуватися трибальною шкалою. Далі ми продемонструємо, як це робиться.
При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, треба, звичайно, ураховувати не тільки компоненти інформаційної системи, але й підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною крапкою тут є уявлення про місію організації, у будь-якому випадку напрямки діяльності, які бажано (або необхідно) зберегти в кожному разі. Висловлюючись об'єктно-орієнтованою мовою, треба в першу чергу описати зовнішній інтерфейс організації, розглянутої як абстрактний об'єкт.
Одним з головних результатів процесу ідентифікації активів є одержання детальної інформаційної структури організації й способів її (структури) використання. Ці відомості доцільно нанести на карту ІС як межі відповідних об'єктів.
Інформаційною основою якої-небудь великої організації є мережа, тому в число апаратних активів варто включити комп'ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве устаткування (мости, маршрутизатори й т.п.). До програмних активів, імовірно, будуть віднесені операційні системи (мережева, серверні й клієнтські), прикладне програмне забезпечення, інструментальні засоби, де (у яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються й передаються по мережі. Варто класифікувати дані по типах і ступеню конфіденційності, виявити місця їхнього зберігання й обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.
Керування ризиками – процес далеко не лінійний. Практично всі його етапи пов'язані між собою, і по завершенню майже кожного з них може виникнути необхідність повернення до попереднього. Так, при ідентифікації активів може виявитися, що обрані межі аналізу варто розширити, а ступінь деталізації – збільшити. Особливо складний первинний аналіз, коли багаторазові повернення до початку неминучі.