- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
7.1. Підходи щодо вирішення проблеми забезпечення безпеки
Корпоративні системи (КС) відносяться до розподілених комп'ютерних систем, що здійснюють автоматизовану обробку інформації. Проблема забезпечення інформаційної безпеки є центральною для таких комп'ютерних систем. Забезпечення безпеки КС передбачає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування КС, а також спробам модифікації, викрадення, виходу з ладу або руйнування її компонентів, тобто захист всіх компонентів КС – апаратних засобів, програмного забезпечення, даних і персоналу.
Існують два підходи до проблеми забезпечення безпеки КС: фрагментарний і комплексний.
Фрагментарний підхід направлений на протидію чітко певним загрозам в заданих умовах. Як приклади реалізації такого підходу можна вказати окремі засоби управління доступом, автономні засоби шифрування, спеціалізовані антивірусні програми і т.п.
Достоїнство цього підходу полягає у високій вибірковості до конкретної загрози. Істотним недоліком його є відсутність єдиного захищеного середовища обробки інформації. Фрагментарні заходи захисту інформації забезпечують захист конкретних об'єктів КС тільки від конкретної загрози. Навіть невелика видозміна загрози веде до втрати ефективності захисту.
Комплексний підхід орієнтований на створення захищеного середовища обробки інформації в КС, що зводить воєдино різнорідні заходи протидії загрозам. Організація захищеного середовища обробки інформації дозволяє гарантувати певний рівень безпеки КС, що можна віднести до безперечних достоїнств комплексного підходу. До його недоліків відносяться обмеження на свободу дій користувачів КС, чутливість до помилок установки і настройки засобів захисту, складність управління.
Комплексний підхід до проблеми забезпечення безпеки заснований на розробленій для конкретної КС ПБ.
Оскільки ПБ є набором норм, правил і практичних рекомендацій, на яких будуються управління, захист і розподіл інформації в КС, саме вона регламентує ефективну роботу засобів захисту КС. Вона охоплює всі особливості процесу обробки інформації, визначаючи поведінку системи в різних ситуаціях.
ПБ реалізується за допомогою комплексного застосування адміністративно-організаційних заходів, фізичних заходів і програмно-апаратних засобів і визначає архітектуру системи захисту. Для конкретної організації ПБ повинна носити індивідуальний характер і залежати від конкретної технології обробки інформації і використовуваних програмних і технічних засобів.
Крім управління доступом суб'єктів до об'єктів системи проблема захисту інформації має ще один аспект. Для отримання інформації про який-небудь об'єкт системи зовсім необов'язково шукати шляхи НСД до нього. Необхідні відомості можна зібрати, спостерігаючи за обробкою необхідного об'єкту, тобто використовуючи канали просочування інформації. У системі завжди існують інформаційні потоки. Тому адміністратору необхідно визначити, які інформаційні потоки в системі є «легальними», тобто не ведуть до просочування інформації, а які ведуть. Як наслідок, виникає необхідність розробки правил, що регламентують управління інформаційними потоками в системі. Звичайно воно застосовується в рамках виборчої або повноважної ПБ, доповнюючи її та сприяючи підвищенню надійності системи захисту.
Комплексний підхід до вирішення проблеми забезпечення безпеки при раціональному поєднанні виборчого і повноважного управління доступом, а також управління інформаційними потоками служить тим фундаментом, на якому будується вся система захисту.