- •Актуальність
- •Розділ 1 теоретична частина.
- •Основні положення теорії інформаційної безпеки
- •Цінність та класифікація інформації
- •Інформація як об’єкт власності
- •Захист інформації в автоматизованих системах
- •Огляд зарубіжного законодавства в області інформаційної безпеки
- •"Помаранчева книга"
- •Законодавчі акти і нормативні документи щодо зі
- •Державний стандарт (Критерії) України з зі
- •Сертифікації автоматизованих систем ( ас)
- •Визначення та загальні властивості інформації
- •Цінність та класифікація інформації
- •Інформація як об’єкт власності
- •Захист інформації в автоматизованих системах
- •Загрози інформаційної безпеки
- •Залежно від джерела загрози прийнято виділяти:
- •За ступенем впливу на ас виділяють
- •За способом доступу до ресурсів ас виділяють:
- •Побудова дерева загроз
- •Технології проникнення вірусів
- •Огляд зарубіжного законодавства в області інформаційної безпеки
- •"Помаранчева книга"
- •Законодавчі акти і нормативні документи щодо зі
- •Державний стандарт (Критерії) України з зі
- •Сертифікації ас
- •Захисту від несанкціонованого доступу(ндс)
- •Використання програмного забезпечення
- •Функції захисту операційної системи
- •Забезпечення фізичної безпеки комп’ютера
- •Особливості захисту інформації від нсд в локальних обчислювальних мережах
- •Захист інформації в базах даних
- •Використання криптографії
- •Безпека електронних платіжних систем
- •Розділ 2 практична частина Лабораторна робота №1
- •1. Основні поняття захисту інформації
- •Система нормативно-правових актів, що регламентують забезпечення іб. Види інформації. Теоретична довідка
- •1.Галузь використання
- •2.Визначення
- •3.Нормативні посилання
- •7.1. Права сзі має право:
- •Лабораторна робота №2
- •2. Структура, задачі служби інформаційної безпеки.
- •Лабораторна робота № 3 Основа побудови систем мандатного розмежування доступу. Модель Белла-Лападули як основа побудови систем мандатного розмежування доступу. Основні положення моделі.
- •Матриця відповідальності[
- •Безпека ос базується на двох ідеях:
- •Лабораторна робота № 5
- •Питання для самоконтроля
- •Література:
Сертифікації ас
Обчислювальна система автоматизованої системи являє собою сукупність апаратних засобів, програмних засобів (у тому числі програм ПЗП), призначених для обробки інформації. Кожний з компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізовувати певні функції захисту інформації, оцінка яких може виконуватись незалежно від процесу експертизи АС і має характер сертифікації. За підсумками сертифікації видається сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему АС або її окремі компоненти може полегшити процес експертизи АС.
Як у процесі експертизи, так і сертифікації оцінка реалізованих функцій захисту інформації виконується відповідно до встановлених критеріїв. Ці критерії встановлюються НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» (далі – Критерії). З метою уніфікації критеріїв і забезпечення можливості їх застосування як у процесі експертизи АС (тобто оцінки функцій захисту інформації, реалізованих ОС автоматизованої системи, що реально функціонують), так і в процесі сертифікації програмно-апаратних засобів поза конкретним середовищем експлуатації, обидві ці категорії об'єднуються поняттям комп'ютерна система. Під КС слід розуміти представлену для оцінки сукупність апаратури, програмно-апаратних засобів, окремих організаційних заходів, що впливають на захищеність інформації.
2.1. Класифікація засобів забезпечення безпеки АС
За способами реалізації всі заходи забезпечення безпеки АС підрозділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні і технічні ( програмні та апаратурні).
До правових заходів захисту відносяться діючі в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов’язки учасників інформаційних відносин в процесі її обробки і використання, а також установлюють відповідальність за порушення цих правил, заважаючи таким чином неправомірному використанню інформації, тобто з’являючись стримуючим фактором для потенційних порушників.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС і інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим положення при роботі з інформацією.
Організаційні (адміністративні) заходи захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб в найбільшому ступені утруднити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисциплини і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.
Як вважають закордонні фахівці, організаційні заходи складають досить значну частину (більш як 50%) всієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно іноді технічні заходи та засоби продублювати організаційними. Це, однак, не означає, систему захисту необхідно будувати виключно на їх основі, як це іноді спробує робити керівництво, далеке від технічного прогресу. Крім того, цим заходам притаманні деякі вади:
низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина завжди є схильною до порушень обмежень та правил аби їх можна було б порушити);
додаткові незручності, які пов’язані з великим об‘ємом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа торкається саме людини.
Фізичні заходи базуються на застосування всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи і інформації, а також технічних засобів візуального назирання, зв’язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту основані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов’язані один з одним, тобто:
організаційні заходи забезпечують виконання нормативних актів і будуються з урахування уже існуючив правил поведінки в організації;
виконання організаційних заходів вимагає створеня нормативних документів;
ефективне використання організаційних заходів досягається обов’язковою підтримкою фізичних та технічних заходів;
використання технічних засобів захисту вимагає відповідної організаційної підтримки.
Виходячи з основних функцій групи режиму, можна визначити основні напрямки її матеріально-технічного забезпечення:
Запобігання несанкціонованого проникнення в виділені приміщення. Воно досягається укріпленням дверей та установкою на них замків різних типів (з ключем, кодовий, з програмним пристроєм тощо).
Забезпечення збереження конфіденційної інформації. Для цього необхідно забезпечити підрозділи, де потрібно, необхідною кількістю сейфів та металевих шафів (бувають вогнестійкі, для магнітних носіїв, зломостійкі, вбудовані).
Системи забезпечення захисту носіїв інформації – документів, справ, фотографій, дискет тощо. Проблема збереження носіїв інформації є традиційною і найбільш відповідальною.