- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
3.2. Організаційні заходи
Застосування організаційно-технічних заходів запобігає і блокує значну частину загроз безпеці інформації та поєднує в єдину систему усі заходи захисту.
Організаційні заходи повинні включати:
визначення технологічних процесів обробки інформації;
обгрунтування та вибір задач захисту;
розробку та впровадження правил реалізації заходів ЗІ;
визначення та встановлення обов’язків підрозділів та осіб, що приймають участь в обробці інформації;
вибір засобів забезпечення ЗІ;
оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;
встановлення порядку впровадження засобів обробки інформації, програмних та технічних засобів захисту інформації та контролю його ефективності;
визначення зон безпеки інформації;
обгрунтування структури та технології функціонування СЗІ;
розробку правил та порядку контролю функціонування СЗІ;
встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв’язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також всієї АС в цілому на відповідність вимогам по безпеці інформації.
Організаційні заходи щодо ЗІ в АС полягають в розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.
Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації – користувачем системи. Хоча деякі з них можуть визначатися зовнішними факторами, наприклад законами або урядовими постановами, більшість проблем розв’язується в самій організації в конкретних умовах.
Складовою частиною будь-якого плану заходів щодо захисту має бути чітка вказівка цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій по реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.
Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.
Відповідно до вимог технічного завдання організація – проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, що проводяться організацією-проектувальником, розробником та виготовлювачем в процесі створення системи і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.
До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:
проведення на необхідних ділянках робіт з режимом секретності;
розробка посадових інструкцій по забезпеченню режиму секретності відповідно до діючого законодавства;
виділення при необхідності окремих приміщень з охоронною сигналізацією та пропускною системою;
розмежування задач по виконавцям та випуску документації;
присвоєння грифів секретності матеріалам та документації і збереження їх під охороною в виділених приміщеннях з урахуванням та контролем доступу виконавців;
постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;
встановлення і розподіл відповідальних осіб за витік інформації;
інші заходи, що встановлюються в конкретних системах.
В процесі підготовки системи до експлуатації з метою ЗІ необхідно:
при виділенні території, будинків та приміщень визначить контрольовану зону навколо об’єктів АС;
встановити та устаткувати охоронну сигналізацію по границях контрольованої зони;
створити контрольно-пропускну систму;
перевірити схеми розміщення та місця установки об’єктів АС;
перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;
підібрати кадри для обслуговування об’єктів АС, її захисту, і створити централізовану службу безпеки (СБ) при керівництві;
провести навчання кадрів;
організувати розподіл функціональних обов’язків і відповідальності посадових осіб;
встановити повноваження посадових осіб щодо доступу до об’єктів та інформації АС;
розробити посадові інструкції по виконанню функціональних обов’язків персоналу всіх категорій, включаючи СБ.
З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:
разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та іе.);
заходи, що проводяться при виникненні певних змін у самій АС, яка захищається або зовнішньому середовищі (за необхідністю) (ремонти, модифікації АС, кадрові зміни та ін.);
періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів і т.д.);
постійні заходи (контроль за роботою персоналу, підтримка функціонування СЗІ, забезпечення фізичного захисту і т.д.).
В процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.