- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
Контрольні запитання
1. Що таке автоматизована система?
2. В яких нормативних документах сформульовані основні поняття та напрямки розвитку захисту інформації в Україні?
3. Подайте стислий зміст нормативного документа України «Загальні положення щодо захисту інформації ...».
4. Подайте стислий зміст нормативного документа України «Класифікація автоматизованих систем ...».
5. Подайте стислий зміст нормативного документа України «Критерії оцінки захищеності ...».
6. Чому стандарти з інформаційної безпеки носять назву «Критерії …»?
7. Що таке критерії гарантій (з відповідного нормативного документу України)?
8. Яким нормативним документом регламентуються основні терміни із захисту інформації в України?
Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
План
Класифікація заходів забезпечення безпеки АС за способами реалізації.
Суть правових заходів забезпечення безпеки в АС.
Суть морально-етичних заходів забезпечення безпеки в АС.
Суть організаційних заходів забезпечення безпеки в АС.
Суть фізичних та технічних заходів забезпечення безпеки в АС.
Основні задачі служби безпеки організації.
Рубіжна модель системи захисту інформації.
Основні функції служби безпеки організації.
Підрозділи, що входять до складу служби безпеки організації.
3. Організаційно-технічні заходи щодо забезпечення захисту інформації
Цей розділ присвячено організаційно-технічним заходам щодо ЗІ в АС, а саме, організації служби безпеки, її технічному забезпеченню, охоронним системам.
3.1. Класифікація засобів забезпечення безпеки ас
За способами реалізації всі заходи забезпечення безпеки АС підрозділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні і технічні ( програмні та апаратурні).
До правових заходів захисту відносяться діючі в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов’язки учасників інформаційних відносин в процесі її обробки і використання, а також установлюють відповідальність за порушення цих правил, заважаючи таким чином неправомірному використанню інформації, тобто з’являючись стримуючим фактором для потенційних порушників.
До морально-етичних заходів протидії відносяться норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ в країні або суспільстві. Більшою частиною ці норми не є обов’язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т.д.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС і інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим положення при роботі з інформацією.
Організаційні (адміністративні) заходи захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб в найбільшому ступені утруднити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.
Як вважають закордонні фахівці, організаційні заходи складають досить значну частину (більш як 50%) всієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно іноді технічні заходи та засоби продублювати організаційними. Це, однак, не означає, систему захисту необхідно будувати виключно на їх основі, як це іноді спробує робити керівництво, далеке від технічного прогресу. Крім того, цим заходам притаманні деякі вади:
низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина завжди є схильною до порушень обмежень та правил аби їх можна було б порушити);
додаткові незручності, які пов’язані з великим об‘ємом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа торкається саме людини.
Фізичні заходи базуються на застосування всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи і інформації, а також технічних засобів візуального спостереження, зв’язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту основані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов’язані один з одним, тобто:
організаційні заходи забезпечують виконання нормативних актів і будуються з урахування уже існуючих правил поведінки в організації;
виконання організаційних заходів вимагає створення нормативних документів;
ефективне використання організаційних заходів досягається обов’язковою підтримкою фізичних та технічних заходів;
використання технічних засобів захисту вимагає відповідної організаційної підтримки.
В подальшому для означення цілої групи заходів буде використовуватися термін організаційно-технічні заходи.