Лекція № 17(4.3)
З дисципліни „ Прикладна криптологія ”
Тема лекції „ Вимоги та методи захисту від НСД »
Навчальні питання.
17. 1 Основні поняття та визначення в частині захисту від НСД
17. 2 ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: БАЛАНС ІНТЕРЕСІВ ОСОБИ, БІЗНЕСУ ТА ДЕРЖАВИ
17. 3 Методи захисту від НСД
17. 4 Загальні положення моделі загроз
Основна література:
1.Конспект лекцій з ОТЗІ 2006. Лекція № 17.1..
2. Нормативно – правові акти:
-
Закон України „ Про інформацію ”;
-
Закон України „Про захист інформації в автоматизованих системах ”;
-
Закон України „ Про електронний цифровий підпис ”;
-
Концепція технічного захисту інформації в Україні, затверджена Постановою Кабінету Міністрів України від 8.10.97 №1126;
-
Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 № 1229/99;
-
ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення;
-
ДСТУ 33917.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт;
-
ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення;
-
ДСТУ 3918-99. Інформаційні технології. Процеси життєвого циклу програмного забезпечення;
-
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;
-
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;
-
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (із змінами, затвердженими наказом ДСТСЗІ СБУ №37 від 18.06.2002 р.);
-
НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;
-
НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;
-
НД ТЗІ 2.5–008-2002. Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 затверджений наказом ДСТСЗІ СБУ від 13 грудня 2002 р. № 84;
-
НД ТЗІ 2.5-010. Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу затверджений наказом ДСТСЗІ СБУ від 2 квітня 2003 року №33;
-
НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБУ від 20 грудня 2000 року №60;
-
НД ТЗІ 2.1-001-2001. Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення;
-
Положення про державну експертизу в сфері технічного захисту інформації. Затверджено наказом ДСТСЗІ СБУ від 29 грудня 1999 року №62. Зареєстровано в Міністерстві Юстиції України 24 січня 2000 року за №40/4261;
-
Положення про державну експертизу у сфері криптографічного захисту інформації (введеного в дію Наказом ДСТСЗІ СБ України від 25.12.2000 р. № 62);
-
Правила посиленої сертифікації (введено в дію наказом ДСТСЗІ СБ України від 13 січня 2005 р № 3).
17. 1 Основні поняття та визначення в частині захисту від нсд
Інформаційна безпека – це стан захищеності інформаційного середовища та інформаційних ресурсів суспільства, у якому забезпечується їх формування, використання та розвиток в інтересах юридичних та фізичних осіб та держави.
Інформація – це задокументовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі [Закон України „ Про інформацію ”].
Інформація в інформаційно-телекомунікаційній системі – сукупність даних, програм, команд, повідомлень, які використовуються в системі, незалежно від засобу їх фізичного або логічного представлення.
Інформація, як і інший продукт, має споживачів, яким вона необхідна, і тому володіє споживчими якостями, має свої виробників, власників та споживачів.
На початку XХI століття обсяг інформації та знань, якими володіє людство, подвоювалось кожні п’ять років. На сьогодні термін подвоєння суттєво скоротився.
З точки зору споживачів інформація, що використовується, має деяку якість, тому при її використанні з’являється можливість отримати певний економічний, моральний тощо ефекти. Наприклад, збереження інформації у таємниці та з забезпеченням її цілісності, справжності та доступності дозволяє її власнику успішно конкурувати на ринках виробництва і збуту товарів і послуг. Але це вимагає певних дій, що спрямовані на захист інформації, особливо конфіденційної, з метою забезпечення її конфіденційності, цілісності, доступності та спостережливості.
В результаті реалізації внутрішніх та зовнішніх загроз власникам та/або користувачам можуть наноситись втрати. Для мінімізації цих втрат створюються та безперервно функціонують системи захисту інформації (СЗІ). СЗІ можна визначити як організовану сукупність спеціальних органів, засобів, методів та заходів, які забезпечують, з метою мінімізації втрат, захист інформації від внутрішніх та зовнішніх загроз
.
Загроза – будь-які обставини або події, що можуть бути причиною порушення Політики безпеки інформації і/або нанесення втрат ІТС (ІС), власникам або користувачам інформацією.
Політика безпеки інформації – сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
Безпека системи – властивість системи, яка полягає у тому, що ризик одержання наслідків у процесі функціонування системи мінімальний. Поняття безпеки пов’язане з поняття цілісності та захисту.
У залежності від місця дії порушника, загрози можуть бути внутрішніми або зовнішніми.
Порушник – суб’єкт, що робить спробу або здійснює НСД до інформації або інформаційних ресурсів.
Введено чотири рівня моделі порушника:
-
нульовий рівень – випадкове або навмисне ознайомлення зі змістом інформації (випадкове прослуховування в каналі);
-
перший рівень – порушник має обмежені кошти та самостійно створює засоби та методи атак на засоби КЗІ, а також ІТС із застосуванням широко розповсюджених програмних засобів на ЕОТ;
-
другий рівень – порушник корпоративного типу має змогу створення спеціальних технічних засобів, вартість яких співвідноситься з можливими фінансовими збитками при втраті, спотворенні та знищенні інформації, що захищається. Для обчислень при проведенні атак можуть застосовуватись локальні обчислювальні мережі.
-
-
Третій рівень – порушник має науково-технічний ресурс, який прирівнюється до науково-технічного ресурсу спеціальної служби економічно розвинутої держави.
Безпека інформації – стан інформації, в якому забезпечується збереження визначених Політикою безпеки властивостей інформації.
Несанкціонований доступ (НСД) – доступ до інформації, що здійснюється з порушенням правил розмежування доступу.
Ідентифікація – процеси присвоєння суб’єкту чи об’єкту унікального позначення – імені чи коду, характерної ознак, наявність якої дозволяє виділити даний об’єкт (суб’єкт серед множини інших, а також процес пред’явлення суб’єктом чи об’єктом цього ідентифікатора.
Встановлення справжності (авторизація) – перевіряння того, чи є об’єкт/суб’єкт, що перевіряється, тим за кого він себе видає.
Визначення повноважень – встановлення чи надано об’єкту/суб’єкту прав доступу до інформації (ресурсу), що захищається.
Інформаційна безпека
