- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
Контрольні запитання
1. Хто, від кого чи від чого, як і яку інформацію має захищати?
2. Зміст основних етапів історії розвитку інформаційної безпеки.
3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
План
Необхідність стандартів з інформаційної безпеки.
Погляди на проблеми інформаційної безпеки споживачів засобів захисту, виробників та експертів по кваліфікації.
Узагальнені показники, що характеризують стандарти з інформаційної безпеки.
Значення розробки «Оранжевої книги».
Основні вимоги безпеки з «Оранжевої книги».
Основні вимоги безпеки з «Європейських критеріїв».
Основні вимоги безпеки з документів Держтехкомісії Російської федерації.
Основні вимоги безпеки з «Федеральних критеріїв безпеки інформаційних технологій» США.
Основні вимоги безпеки з «Канадських критеріїв безпеки комп’ютерних систем».
2. Нормативно-законодавча база із захисту інформації
2.1. Проблеми створення стандартів з зі
В основному роль стандартів із ЗІ така ж як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що навколо неї і чим вона користується. У цьому сенсі ІБ нічим не відрізняється від інших сфер нашої діяльності. Головна задача стандартів ІБ – створити основу для взаємодії між виробниками, споживачами та експертами по кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ.
Споживачі, по-перше, зацікавлені в методиці, яка дозволяє обґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обґрунтовано) цікавлять виключно характеристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):
Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування».
Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно», і т.д.
Відповідно і вимоги споживач хотів би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовговічнішим і т.д. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розуміє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т.д.), накладають обмеження на сумісність і, як правило, вимагають відмовитися від широко розповсюджених незахищених прикладних ПЗ.
Виробники, у свою чергу, мають потребу в стандартах для порівняння можливостей своїх продуктів і в застосуванні процедури сертифікації для об'єктивної оцінки їхніх властивостей, а також у стандартизації визначеного набору вимог безпеки, що міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого побутового виробника - йому зовсім не хочеться робити всі для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т.д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і технологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний в якості домінуючого, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і технології, а це далеко не завжди можливо здійснити без збитку для безпеки.
Експерти по кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що дозволяє їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір. Виробники в результаті кваліфікації рівня безпеки одержують об'єктивну оцінку можливостей свого продукту. Експерти по кваліфікації виявляються в двоїстому положенні. З одного боку вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам – задовольняє продукт їх потребам чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшли сертифікацію.
Таким чином, перед стандартами ІБ стоїть непроста задача – примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приведе до неможливості взаєморозуміння і взаємодії і, отже, не дозволить вирішити загальну задачу – створення захищеної системи обробки інформації.
Якими узагальненими показниками можна було б охарактеризувати стандарти ІБ?
В якості таких показників, що мають значення для всіх трьох сторін, зручно використовувати універсальність, гнучкість, гарантованість, реалізуємість і актуальність [ ].
Універсальність стандарту визначається множиною типів АС і областю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.
Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвиваються, і час його «застаріння». Гнучкість може бути досягнута винятково через фундаментальність вимог і критеріїв і їхню інваріантість стосовно механізмів реалізації і технологій створення ІТ-продуктів.
Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої висновки, а розроблювачі мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам визначені гарантії.
Реалізуємість – це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на це процес. Реалізуемість багато в чому пов'язана з універсальністю і гнучкістю, але відбиває чисто практичні і технологічні аспекти реалізації положень і вимог стандарту.
Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використовуються ЗЛ. Ця характеристика, поряд з універсальністю є однією з найважливіших, тому що здатність протистояти загрозам і прогнозувати їх розвиток фактично визначають придатність стандарту і є вирішальним чинником при визначенні його придатності.
Необхідність в подібних стандартах була усвідомлена вже давно (звичайно, по мірках розвитку інформаційних технологій), і в цьому напрямку досягнуто істотний прогрес, закріплений у новому поколінні документів розробки 90-х років. Найбільш значимими стандартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ютерних систем міністерства оборони США», «Європейські критерії безпеки інформаційних технологій», «Керуючі документи Держтехкомісії Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем».
Далі ці документи будуть розглянуті з погляду їх структури, вимог і критеріїв, а також оцінки ефективності їх практичного застосування. Тому огляд буде здійснюватися за схемою: ціль розробки, основні положення, таксономія і ранжування вимог і критеріїв.