- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
9.4.6. Політика етики
Мета політики етики взагалі – створити культуру відкритості, довірі і цілісності в ділових відносинах. Ефективна етика – це зусилля команди, яке включає участь і підтримку кожного працівника. Всі працівни мають ознайомитися з директивами етики. Жоден працівник не може порушувати правил етикету.
Мета. Наша цель для authoring публикацию на этике должен делать ударение работник и потребительское ожидание лечиться к прекрасным деловым практикам. Эта политика будет обслуживать, чтобы привести деловое поведение, чтобы гарантировать нравственное поведение.
Сфера застосування. Правила ПБ мають виконувати всі працівники організації.
Эта политика обращается к работникам, подрядчикам, консультантам, временным работникам, и другим работникам в <Company Name>, включая весь персонал устанавливаются связи с третьими сторонами.
Зміст політики. Повинні бути сформульовані правила, що містять наступне:
обов’язки адміністрації щодо правил етики;
обов’язки працівників щодо правил етики;
правила моральної та матеріальної підтримки всіх, хто виконує правила етики;
правила відношення до порушників правил етики.
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.
9.4.7. Політика адміністрування
Мета. Ввести правила адміністрування і упровадити правила інформаційної безпеки.
Правила адміністрування. Повинні бути сформульовані наступні основні правила, які містять і регламентують:
інструктаж користувачів;
публікації і повідомлення;
обов'язки керівництва;
обов'язки адміністраторів;
правові санкції і звітність про інциденти;
правило звільнень;
дисциплінарні заходи
Звичайно, крім наведених розділів ПБ, в кожній конкретній організації можуть бути сформульовані додаткові разділи залежно від особливостей організації.
Контрольні запитання
Назвіть приклади розділів політики безпеки.
Яка мета політики пароля?
Яка мета політики антивірусного захисту?
Які основні правила входять до списку правил адміністрування?
Перелік термінів
Безпека інформації (information security) – стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації
Автоматизована система (АС) – це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію
Захист інформації в АС (information protection, information security, computer system security) – діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС у цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз
Комплексна система захисту інформації (КСЗІ) – сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС
Політика безпеки (Security Policy) – сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки
Модель безпеки (Security Model) – формальне представлення політики безпеки.
Дискреційне чи довільне керування доступом (Discretionary Access Control – DAC) – керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу
Мандатне чи нормативне керування доступом (Mandatory Access Control – MAC) – керування доступом, засноване на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад, залежно від грифа таємності інформації і рівня допуску користувача
Ядро безпеки (Trusted Computing Base – TCB) – сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки
Ідентифікація (Identification) – процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів)
Автентифікація (Authentication) – перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів
Адекватність (Assurance) – показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їхніх відповідностей поставленим задачам (у більшості випадків це задача реалізації політики безпеки)
Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation) – аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки; кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації, і завершується присвоєнням КС того чи іншого класу чи рівня безпеки
Таксономія (Taxonomy) – наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, що мають ієрархічну будівлю (від грецького taxis – лад, порядок і nomos – закон); на відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу – нагору), таксономія заснована на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху – вниз)
Прямий вплив (Trusted Path) – принцип організації інформаційної взаємодії (як правило, між користувачем і системою), що гарантує, що передана інформація не піддається перехопленню чи перекручуванню
Конфіденційність інформації (confidentiality)– властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, які не мають на це відповідних повноважень
Цілісність інформації (integrity) – це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень; цілісність інформації може бути фізичною і/або логічною
Доступність інформації (availability)– це властивість, що полягає в можливості її використання за вимогами користувача, який має відповідні повноваження
Спостереженість інформації (accountability) – це властивість інформації, яка полягає в тому, що процес її обробки повинен безупинно знаходитися під контролем деякого керуючого захистом органа
Канал витоку інформації – сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе указану інформацію, і засобу виділення інформації з сигнала або носія
Порушник (user violator) – користувач, який здійснює НСД до інформації
Алфавіт – кінцева множина використовуваних для кодування інформації знаків
Текст – упорядкований набір з елементів алфавіту
Шифрування – процес перетворення: вихідний текст, що носить також назву відкритого тексту, заміняється шифрованим текстом
Дешифрування – зворотний шифруванню процес; на основі ключа шифрований текст перетворюється у вихідний
Ключ – інформація, яка необхідна для безперешкодного шифрування і дешифрування певним методом.