- •Завдання
- •Порядок виконання
- •Теоретичні відомості
- •1.1 Поняття про підприємництво
- •1.2 Система економічної безпеки підприємства
- •1.3 Комп'ютерна безпека
- •Джерела загроз інформаційній безпеці
- •Джерела загроз інформаційній безпеці суспільства
- •Джерела загроз інформаційній безпеці держави
- •Законодавство України в галузі захисту інформації
- •Ознайомлення з теоретичними відомостями.
- •Ознайомлення з теоретичними відомостями.
- •Ознайомлення з теоретичними відомостями.
- •Порядок виконання
- •Налаштування параметрів антивірусу Касперського
- •Контрольні питання
- •Лабораторна робота № 7. Принципи криптографічного захисту інформації. Класичні симетричні криптосистеми.
- •Теоретичні відомості
- •1. Ознайомлення з теоретичними відомостями.
- •1. Ознайомлення з теоретичними відомостями.
- •Порядок виконання
- •Завдання до лабораторної роботи
- •1. Ознайомлення з теоретичними відомостями.
- •Контрольні запитання
- •Література Основна література
- •Додаткова література
Ознайомлення з теоретичними відомостями.
Виконати систематизацію даних про можливі загрози безпеці та канали несанкціонованого витоку інформації. Проаналізувати реалізацію основних понять і принципів захисту інформації у законодавстві України.
Контрольні запитання
Загрози комп’ютерним інформаційним системам.
Законодавство України в галузі захисту інформації.
Загрози безпеці.
Канали несанкціонованого витоку інформації.
Реалізація основних понять і принципів захисту інформації у законодавстві України.
Лабораторна робота № 3. Організаційний, технічний та програмний захист інформації
Мета роботи: Навчитися проводити аналіз та вибір організаційних, програмних та технічних заходів захисту інформації.
Теоретичні відомості
Головна проблема забезпечення захисту інформації полягає в тому, що існує безліч каналів витоку та каналів для несанкціонованого доступу, тому задача забезпечення інформаційної безпеки потребує комплексного підходу. Отже, проблема створення комплексної системи захисту інформації на об'єкті інформаційної діяльності та живучості мереж в умовах розвитку та впровадження нових інформаційних технологій є актуальною та своєчасною темою дослідження.
Для планування та розробки комплексної системи захисту інформації на об'єкті інформаційної діяльності необхідно побудувати моделі загроз, детально розглянути існуючі канали витоку та несанкціонованого доступу, розробити систему захисту, яка буде забезпечувати блокування технічних каналів витоку. Головними технічними каналами витоку є акустичний, віброакустичний, канал електромагнітного випромінювання направленого і наведенням, канал несанкціонованого доступу до інформації.
Спільність завдань із захисту інформації для різних об'єктів інформаційної діяльності дозволяє виокремити ряд типових кроків, які слід зробити в першу чергу:
організувати захист приміщень, в яких циркулює мовна інформація з обмеженим доступом (ІзОД) бце проводяться конфіденційні переговори, службових кабінетів теріїшиків, їхніх заступників та інших відповідальних співробітників);
заблокувати можливість витоку інформації, яка циркулює на абонентській дільниці телефонної лінії й на всьому її протязі;
забезпечувати службу безпеки пошуковими технічними засобами (створення оптимального пошукового комплекту відповідно до завдань, які постають перед організацією, та її фінансових можливостей);
забезпечувати контроль стосовно перебування сторонніх осіб на ОІД, де
циркулює інформація з обмеженим доступом.
Комплексна система інформаційної безпеки на об'єкті інформаційної діяльності спрямована на виявлення та блокування різноманітних каналів витоку мовної інформації. Для захисту інформації використовують: технічні фізичні, організаційні та правові заходи.
До технічних засобів належать апаратні, програмні та криптографічні засоби захисту.
Серед апаратних засобів найбільш поширено такі засоби, як:
-засоби електромагнітного та акустичного зашумлення;
- кодовані замки для ввімкнення технічних засобів у системи й мережі;
пристрої вимірювання індивідуальних характеристик людини з метою її ідентифікації;
схеми переривання передавання інформації у лінії зв'язку з метою періодичної перевірки адреси видавання даних;
- спеціальні регістри для зберігання реквізитів захисту - паролей, ідентифікуючих кодів, рівнів секретності тощо.
Програмні засоби захисту мають властивості універсальності, гнучкості, зручності реалізації, можливості модернізації. Недолік полягає у значних витратах системних ресурсів: продуктивності та пам'яті. За функціональним призначенням програмні засоби захисту поділяють на такі групи:
ідентифікації апаратних засобів, задач, користувачів та файлів;
визначення прав об'єктів та суб'єктів (доступні задачі, файли, часові обмеження тощо);
контролю роботи апаратних засобів та користувачів;
аудиту, тобто реєстрації роботи апаратних засобів та користувачів при обробці інформації;
знищення інформації в пам'яті після використання;
сигналізації щодо несанкціонованих дій;
- контролю роботи механізмів захисту тощо.
Криптографічні методи захисту інформації застосовуються при передаванні даних каналами зв'язку. Криптографічне закриття інформації полягає у такому перетворенні захищуваних даних, за якого за їхнім зовнішнім виглядом без застосування спеціальних засобів не можна визначити зміст. Криптографічне закриття - це єдиний засіб захисту від викрадання інформації, передаваної каналами зв'язку. Системи шифрування можуть бути реалізовані апаратними, програмними засобами та їхньою комбінацією.
До фізичних заходів відносять створення пристроїв та споруд, а також проведення заходів, які утруднюють або унеможливлюють проникнення потенційних порушників у місця, де можна мати доступ до захищуваної інформації. Застосовують: фізичну ізоляцію споруд, де встановлено апаратуру зв'язку та електронно-обчислюальної техніки (EOT), від інших будівель; огороджування й систематичний контроль території, де розташовано апаратуру зв'язку та EOT, на таку відстань, яка є достатня для виключення ефективної реєстрації електромагнітних випромінювань; організацію контрольно-пропускних пунктів на входах у приміщення зв'язку та EOT або обладнання вхідних дверей спеціальними замками, котрі дозволяють регулювати доступ у приміщення; організацію системи охоронної сигналізації.
Організаційні заходи - це сукупність організаційно-технічних і організаційно-правових заходів, які регламентують процес функціонування систем та мереж зв'язку й EOT, а також забезпечують заборону або утруднення несанкціонованого доступу (НСД) до інформації. Організаційні заходи здійснюються на всіх етапах життєвого циклу систем: проектування, будівництва, експлуатації й утилізації. Ці заходи включають: унеможливлення впливів стихійних лих; унеможливлення таємного проникнення тощо; заходи стосовно підбору та підготовки персоналу (у тому числі перевірка кадрів, прийманих на роботу, навчання правилам роботи з конфіденційною інформацією, ознайомлення з відповідальністю за порушення правил захисту, виключення плинності кадрів тощо); організацію надійного пропускного режиму; організацію зберігання й використання документів та носіїв; організацію підготовки та контролю роботи користувачів.
Завдання до лабораторної роботи
Ознайомитись з класифікацією методів та засобів захисту інформації.
Виконати огляд, аналіз та вибір організаційних, програмних та технічних заходів захисту інформації. Розглянути засоби захисту територій і об’єктів, ліній зв’язку, екранування приміщень, програми зовнішнього і внутрішнього захисту.
Контрольні запитання
Класифікація методів та засобів захисту інформації.
Організаційні засоби захисту інформації.
Програмні заходи захисту інформації.
Технічні заходи захисту інформації
ТЗЗ територій і об’єктів
ТЗЗ ліній зв’язку.
ТЗЗ екранування приміщень.
Програми зовнішнього і внутрішнього захисту.
Лабораторна робота № 4. Аналіз захищеності інформаційних систем та розробка політики безпеки підприємства
Мета роботи: Навчитися визначати ступінь вразливості інформації на підприємстві та перелік дій та рішень для забезпечення політики безпеки.
Теоретичні відомості
Основна задача системи захисту полягає у попередженні та блокуванні максимальної кількості каналів витоку, які існують для інформації, що підлягає захисту. Існує доволі багато каналів витоку інформації, але не всі канали слід захищати. Ніколи не слід забувати просте правило: під ефективним захистом розуміється блокування всіх реально існуючих на об'єкті джерел витоку інформації, про наявність яких можна дізнатися лише шляхом аналізу об'єкту, чи то зробивши висновки на підставі вимірювань, проведених за допомогою спеціальної контрольно-вимірювальної апаратури.
Політика безпеки підприємства - це орієнтири для дій і ухвалення рішень, які полегшують досягнення цілей. Для встановлення цих загальних орієнтирів необхідно сформулювати цілі забезпечення безпеки підприємства.
Цілі політики безпеки: - захист фінансових ресурсів підприємства;- захист прав та інтересів підприємства; - зміцнення інтелектуального потенціалу підприємства; - збереження і примноження власності; - підвищення конкурентоспроможності продукції; - інформаційне забезпечення діяльності підприємства і підвищення його ефективності; - орієнтація на стандарти й лідерство; - сприяння управлінським структурам у досягненні цілей підприємства; - запобігання залежності від випадкових і недобросовісних ділових партнерів.
Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. Організаційні заходи є обов'язковою складовою побудови будь КСЗІ. Інженерно-технічні заходи здійснюються в міру необхідності.
Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:
складання посадових інструкцій для користувачів та обслуговуючого персоналу;
створення правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;
розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;
навчання правилам інформаційної безпеки користувачів.
У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів.
Інженерно-технічні заходи - сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.
Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.
У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.
Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.
Завдання до лабораторної роботи