- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
9.4.2. Внутрішня політика безпеки організації дпс
На всіх рівнях в кожній ІС ДПС має бути розроблена та впроваджена внутрішня ПБ.
Мета. ПБ створює вимоги інформаційної безпеки організації, щоб гарантувати, що конфіденційна інформація і технології не компрометуються, і що виробничі послуги і інші інтереси організації захищені.
Сфера застосування. Правила ПБ мають виконувати всі працівники організації.
Зміст політики. Повинні бути сформульовані обов’язки власників інформації, визначені відповідальні за всі технологічні процеси в організації, за контроль доступу, за оцінку ризику, за зовнішній зв’язок, за антивірусний захист, за парольну систему. Має бути встановлено, що будь-який працівник, що порушує ці правилам, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. Повинні бути встановлені правила перегляду ПБ.
9.4.3. Політика оцінки ризику
Мета. Виконувати періодичні оцінки ризику інформаційної безпеки з метою визначення областей уразливості і ініціювати відповідні заходию.
Сфера застосування. Правила ПБ мають виконувати всі працівники організації.
Зміст політики. Повинні бути сформульовані правила виконання, розробки і виконання програм оцінювання ризику.
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.
9.4.4. Політика пароля
Мета. Створити в організації ДПС стандарт для створення паролів, їх захисту, а також частоти їхзміни.
Сфера застосування. Ця політика включає весь персонал, форма доступу якого до інформації організації ДПС вимагає парольного захисту.
Зміст політики. Загальна частина – встановлює загальні правила користування паролями, правила складання пароля – встановлюють способи та вимоги до складання паролів, список обмежень, правила зміни паролів
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.
9.4.5. Політика антивірусного захисту
Мета. Створення вимог, які повинні зустрічатися всіма комп'ютерами, сполученими з мережею комп’ютерів <Company Name>, щоб гарантувати ефективний захист від вірусів.
Сфера застосування. Правила ПБ мають виконувати всі працівники організації.
Зміст політики. Загальна частина – встановлює наступні загальні правила, які слід виконувати для вирішення проблемі вірусу:
завжди підтримуйте корпоративні вимоги, підтримка антивірусного ПЗ є необхідною для корпоративного вузла. Завантажте і підтримуйте поточну версію; завантажте і встановіть модифікації антивірусного програмного забезпечення, як тільки вони стають доступними;
НІКОЛИ не відкривайте будь-які файли або макрокоманду, що торкається електронної пошти від невідомого, підозрілого або ненадійного джерела. Видаліть ці повідомлення негайно, потім видаліть їх за допомогою спорожнення вашого сміття;
видаліть Spam, ланцюг і іншу електронну пошту, які не мають атрибутів Вашої кампанії відповідно до політики безпеки;
ніколи не завантажуйте файли від невідомих або підозрілих джерел;
уникайте прямого дискового доступу (читання/запис), за винятком того, що відповідає необхідним діловим вимогам;
перед використанням завжди скануйте дискету від невідомого джерела на предмет вірусів;
регулярно дублюйте критичні дані і системні конфігурації зберігайте їх в безпечному місці;
якщо лабораторна перевірка встановлює конфлікт з антивірусним ПЗ, запустить антивірусну утиліту, що гарантує незабрудненість машини, блокуйте ПЗ, потім двинути лабораторну перевірку. Тільки після лабораторної перевірки дозволяйте використовувати антивірусне ПЗ. Під час блокування антивірусного ПЗ блоковано, ні в якому разі не завантажуйте будь-які додатки, які могли б перенести вірус.
нові віруси відкриваються майже щодня. Періодично перевіряйте Антивірусну політику відділу і ці рекомендації для внесення змін.
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.