Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5183 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Тема 4.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
60.64 Кб
Скачать
►Содержание►

Тема 4. Аналіз стану забезпечення інформаційної безпеки.

1. Нормативні документи ,стандарти і специфікації в області інформаційної безпеки

2. Аудит стану інформаційної безпеки на підприємстві

3. Економіка інформаційної безпеки

1. Нормативні документи ,стандарти і специфікації в області інформаційної безпеки

Спроби стандартизувати видання пов’язані зі захистом та оцінкою безпеки даних тривають з середини 60-х. Першим результатами були рекомендації, видані 1983 року в так званій Помаранчевій Книзі (Trusted Computer System Evaluation Criteria - Критерії оцінки довірених комп’ютерних систем). Цей документ було створено з ініціативи Міністерства Оборони США та Національного Інституту Стандартів та Технологій.

Цей документ визначає чотири рівні довіри позначених D, C, B, A. Кожен з них, крім D, поділяється на певні класи оцінки . Рівні повинні задовольняти правилу накопичення можливостей, тобто система, що виконує вимоги вищого рівня довіри, повинна також виконувати вимоги усіх нижчих.

D - Мінімальний захист

C1 - Захист від довільних дій

C2 - Захист з управлінням доступом

B1 - Захист з мітками безпеки

B2 - Структурований захист

B3 - Домени безпеки

A1 - Перевірена модель

Рівень D - Мінімальний захист включає системи, що мають захист тільки від фізичного доступу. Системи цієї категорії дозволяють доступ до всіх ресурсів будь-кому, хто має фізичний доступ до комп’ютера. Прикладом такої системи є IBM PC з операційною системою MS-DOS без жодного парольного захисту.

Рівень C1 - Захист від довільних дій забезпечує основи безпеки для користувачів, що працюють в багатокористувацькому оточенні та працюють з даними приблизно однакового рівня приватності. В системах C1 реалізовано апаратні чи програмні механізми ідентифікації та авторизації користувачів. Дані, що використовуються для ідентифікації та паролі захищені системою від неавторизованого доступу. Ідентифікація користувача повинна здійснюватись при будь-якому типі доступу до будь-якого ресурсу. Кожен користувач має повний доступ до об’єктів, що належать йому. Більшість операційних систем родини UNIX можна віднести до цієї категорії.

Рівень C2 - Захист з управлінням доступу додатково забезпечує збереження протоколу подій безпеки, індивідуально для кожного користувача, разом із засобами визначення рамок записуваних подій (підсистема Аудиту). Завдяки останньому системи цієї категорії мають механізми відстеження подій та розширеної ідентифікації. Масштаб відстежуваних подій може бути визначений адміністратором системи окремо для кожного користувача. Рівень C2 визначає нові вимоги для шифрування паролів, які повинні бути невидимими зсередини системи (недоступними для звичайних користувачів). Системи родини UNIX класу C2 можуть зберігати паролі у файлі /etc/passwd.

Рівень B1 - Захист з мітками безпеки це перший рівень з різними ступенями приватності (тобто приватний, конфіденційний). Мітки визначають ступінь приватності для суб’єктів (процесів, користувачів) та об’єктів (файлів), що використовуються в системах цієї категорії. Дозвіл на доступ до файлу надається суб’єктам на основі міток. Процеси, файли чи пристрої з мітками містять повний опис ступеня приватності та його категорію.

Рівень B2 - Структурований захист визначає вимоги, такі як: присвоєння мітки кожному об’єкту в системі, структурованість та формалізм безпеки захисту системи, виконання сканування для виявлення "дірок" в моделі. Тільки авторизовані користувачі можуть робити зміни прав доступу до об’єктів. Видалені дані не підлягають відновленню жодним чином.

Рівень B3 - Домени безпеки містить обов’язкову вимогу щодо ізоляції певних доменів (областей). Елементи системи, критичні для безпеки повинні бути відділені від елементів, що забезпечують прикладні, але такі, що не мають стосунку до безпеки, функції користувачам. Механізми захисту пам’яті даного домену унеможливлюють доступ чи модифікацію програмним забезпеченням іншого домену. Створюється багатошарова структура абстрактних окремих машин з означеними привілеями безпеки. Всі елементи, що є складовими обмеженого об’єкту повинні бути стійкими до маніпуляцій. Процес розробки системи також відбувається під контролем забезпечення відповідності вимогам.

Рівень A1 - Перевірена модель вимагає формального, математичного доведення, що модель є достатньою для підтримки політики безпеки разом з формальними специфікаціями системи та специфікаціями розподілу безпеки. До тепер тільки декілька систем сертифіковані до рівня A1.

Були опубліковані й інші "кольорові книжки":

  • Червона Книга (Довірена мережна взаємодія) - містить критерії оцінки безпеки комп’ютерних мереж

  • Зелена Книга (Настанови з управління паролями) - містить принципи вибору та застосування паролів

Історію процесу розробки нормативних документів можна коротко охарактеризувати так:

  • 1983 Критерії оцінки довірених комп’ютерних систем (TCSEC) - "Помаранчева Книга"

  • 1990 організація підрозділу ISO

  • 1991 Критерії оцінки безпеки інформаційних технологій v. 1.2 (ITSEC) (Франція, Німеччина, Нідерланди, Великобританія)

  • 1993 Канадські критерії оцінки довірених комп’ютерних продуктів v. 3.0 (CTCPEC) поєднують риси ITSEC та TCSEC (Канада)

  • 1993 Федеральні критерії безпеки інформаційних технологій v. 1.0 (FC) (FC) (США)

  • 1993 організації, що створили CTCPEC, FC, TCSEC й ITSEC почали співпрацю шляхом участі у проекті " Common Criteria - Загальні критерії" (CC), завданням якого було об’єднати ці стандарти

  • 1996 ISO затверджує версію 1.0 CC (Чернетка Комісії)

  • 1997 виходить бета версія CC v. 2.0 - основи стандарту ISO/IEC 15408 під назвою Критерії оцінки безпеки інформаційних технологій

  • 1998 підписання угоди про взаємне визнання сертифікатів безпеки, заснованих на CC

  • 2000 2000 з’являється стандарт ISO/IEC 17799:2000, Кодекс діяльності з управління інформаційною безпекою (практичні правила з управління безпекою інформації)

  • 2001 побачив світ Технічний звіт ISO/IEC 13335TR (PN-I 13335-1 - Настанови з управління безпекою комп’ютерних систем: термінологія, взаємозв’язки між термінами, основні моделі)

Загальні критерії – найважливіший документ на сьогоднішній день.

  • Задача CC уніфікувати методи оцінки комп’ютерних систем в плані безпеки. CC визначає що робити, щоб досягнути поставленої мети, але не уточнює як це робити.

  • CC це джерело is a repository of конструкційних схем щодо вимог, пов’язаних із захистом інформації.

  • CC відноситься до апаратних та програмних продуктів.

  • CC не дає поради чи переваги жодному з відомих методів проектування та виготовлення систем.

Оцінювання, здійснене за допомогою цього документу, описує:

  • Сумісність продуктів з певним профілем безпеки, або

  • Відповідність певним вимогам безпеки, або

  • Присвоєння певного рівня безпеки (Гарантований рівень оцінки).

Стандарт ISO/IEC 17799:2000 Практичні правила з управління безпекою інформації визначає правила обробки інформації всередині компанії, з наголосом на конфіденційність, доступність та цілісність даних.

Стандарт висвітлює основні теми та визначає методи і засоби, необхідні для захисту інформації. Він працює на адміністративному рівні (всі підрозділи компанії) включаючи всю компанію та її ресурси.

Цей стандарт стосується управління і меншою мірою технічних та комп’ютерних питань. Стандарт визначає процеси, які повинні контролюватись з метою зменшення ризику втрати захисту даних.

Технічний звіт ISO/IEC TR 13335 (документ нижчого рівня, ніж стандарт) пов’язаний з ISO/IEC 17799, і містить п’ять частин, і перш за все Польський стандарт (PN-I 13335-1 Настанови з управління безпекою комп’ютерних систем: термінологія, взаємозв’язки між термінами, основні моделі) прийнятий в 2001 році. Цей звіт присвячено комп’ютерним підрозділам та стосується технічних аспектів, а не адміністративних рішень.

Деякі законодавчі акти України

  • Закон України "Про електронний цифровий підпис" N 852-15 вiд 22.05.2003

  • Закон України "Про електронні документи та електронний документообіг" N 851-15 вiд 24.06.2005

  • Постанова Кабінету міністрів України "Про затвердження Порядку акредитації центру сертифікації ключів" N 903 від 13 липня 2004 р.

  • Постанова Кабінету міністрів України "Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності" N 1452 від 28 жовтня 2004 р.

  • Постанова правління Національного банку України "Про затвердження Правил організації захисту електронних банківських документів" N 280 від 10.06.99

  • Указ Президента України "Про першочергові завдання щодо впровадження новітніх інформаційних технологій" N 1497/2005 вiд 20.10.2005

  • Постанова Верховної Ради України "Про затвердження Завдань Національної програми інформатизації на 2006-2008 роки" N 3075-15 вiд 04.11.2005

Кримінальний кодекс України

Стаття 361

1. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, – карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п'яти років, або позбавленням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Стаття 3611

1. Створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, – караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на той самий строк, з конфіскацією програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, які є власністю винної особи.

Стаття 3612

1. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, – караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Стаття 362

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, – караються штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

2. Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, – караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.

Стаття 363

Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, – караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.

Стаття 3631

1. Умисне масове розповсюдження повідомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, – карається штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, – караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности