- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
1.5. Предмет захисту інформації
Під захистом інформації будемо розуміти комплекс заходів, що проводяться з метою запобігання (зниження до безпечного рівня) можливостей витоку, розкрадання, втрати, поширення, знищення, перекручування, підробки або блокування інформації.
До початку 90-х років до проблеми захисту інформації традиційно відносили методи і принципи безпечної передачі інформації і в більшості випадків розуміли лише криптологію. В даний час відбувається поступовий перехід від поняття захист інформації до поняття інформаційна безпека. Під інформаційною безпекою будемо розуміти дії, що пов'язані з реалізацією задач захисту інформації. До такого роду дій можуть відноситися: створення нормативно-технічних і законодавчих актів і документів, спрямованих на вирішення проблем захисту інформації (закон про авторські права, патентування, ліцензування), а також механізмів реалізації вимог такого роду актів. Таким чином, інформаційна безпека стає одним із пріоритетних напрямків державної політики. Серед задач цього напрямку виділяють наступні: виявлення, оцінка та прогнозування поведінки джерел загроз інформаційної безпеки; створення й експлуатацію систем забезпечення інформаційної безпеки; захист інформаційного ресурсу.
Для вирішення задач першого роду необхідно виявити і класифікувати можливі джерела загроз.
Для вирішення задач другого роду необхідно створювати і впроваджувати системи, що дозволяють розмежувати сфери дії кожної із можливих загроз.
Для вирішення задач третього роду потрібно кожному ресурсу поставити у відповідність можливі навмисні впливи на нього і визначити дії локалізації кожного впливу.
Виходячи з усього вищесказаного, не можна розглядати проблеми захисту ресурсів комп'ютера окремо від комплексу по забезпеченню інформаційної безпеки, що включає як питання організації обчислювального процесу (або процесу опрацювання інформації), використання сукупності конкретного устаткування, так і питання підбору і навчання персоналу.
Зробимо зауваження з приводу термінології. На сьогоднішній день термінологія по ІБ в основному розроблена, хоча цей процес продовжує інтенсивно розвиватися. Найбільш розповсюджені і необхідні терміни зафіксовані в стандарті з технічного захисту інформації.
Тепер підходимо до очевидних основних питань, пов’язаних з організацією захисту інформації.
Хто, від кого чи від чого, як і яку інформацію повинний захищати?
Хто – адміністративні, технічні, силові, юридичні і правоохоронні служби держави чи недержавних організацій в особі служб інформаційної безпеки різних рівнів відповідних відділів міліції, державних контролюючих органів і судів.
Від кого – від іноземних чи вітчизняних, приватних чи державних, юридичних чи фізичних осіб, що не мають права легального доступу до інформації, але прагнуть оволодіти такою інформацією з метою нанесення збитку її власнику або для отримання особистої вигоди для себе. Цікаво відзначити той факт, що досить часто держава виключає себе зі списку можливих зловмисників, ставлячи свою цікавість до чужих секретів вище бажання своїх громадян зберегти ці секрети.
Від чого – конкретна шкідлива дія порушника може бути спрямована проти одної з трьох основних властивостей інформації.
Як – шляхом створення надійних систем збереження самої інформації, грамотного адміністрування готових систем, прийняття охоронно-режимних, слідчо-оперативних і профілактичних заходів до порушників безпеки.
Яку – насамперед акцентуємо той факт, що всілякі законодавчі акти різних країн у сфері захисту інформації спрямовані на захист не будь-якої інформації, а тільки особої інформації, що позначається спеціальним грифом – грифом таємності чи знаком інтелектуальної власності. З юридичної точки зору, ознакою таємності конкретного документа може вважатися не тільки відповідний значок у верхньому правому куті документа, але також і сам значеннєвий зміст документа. Грифи можуть привласнювати державні чиновники компетентних відомств або патентні бюро.