- •Вступ до інформаційної безпеки
- •Тема 1. Загальні поняття та положення з інформаційної безпеки
- •1.1. Загальні поняття про інформацію: визначення, особливості та властивості інформації
- •1.2. Поняття про інформаційну безпеку
- •Тема 2. Предмет та об’єкт захисту у інформаційній безпеці
- •2.1. Класифікація інформаційних систем, визначення поняття інформаційно-комунікаційної системи
- •2.2. Приклади сучасних систем обробки інформації
- •Тема 3. Загрози безпеці інформації
- •3.1. Поняття загрози інформації
- •3.2.Класифікація загроз інформаційної безпеки
- •3.2.1. Класифікація загроз інформаційної безпеки за її складовими
- •3.2.2. Класифікація загроз інформаційної безпеки за компонентами інформаційних систем, на яки вони націлені
- •3.2.3. Класифікація загроз інформаційної безпеки за характером впливу
- •3.2.3.1. Випадкові загрози
- •3.2.3.2. Навмисні загрози
- •3.2.4. Класифікація загроз інформаційної безпеки за розміщенням їх джерела
- •3.3. Поняття порушника інформаційної безпеки
- •3.4. Поняття про модель загроз та модель порушника
- •На порушення яких властивостей інформації або ас спрямована загроза:
- •Джерела виникнення загрози:
- •Можливі способи здійснення загрози:
- •Категорія осіб, до якої може належати порушник:
- •Тема 4. Основні складові системи інформаційної безпеки. Правове та законодавче регулювання
- •4.1. Характеристика системи регулювання інформаційної безпеки в Україні
- •4.2. Загальна характеристика нормативно-правової бази України з захисту інформації
- •4.3. Визначення поняття про інформаційну безпеку та суміжних понять в законодавстві України
- •4.4. Класифікація інформації та інформаційних систем за законодавством України
- •4.5. Порядок та умови доступу та обробки інформації за визначенням законодавством України
- •Тема 5. Основні методи та засоби захисту інформації
- •5.1. Методи захисту інформації від випадкових загроз
- •5.2. Методи захисту інформації від навмисних загроз
- •5.2.1. Методи та засоби системи охорони об’єктів від несанкціонованого проникнення на територію та заволодіння інформацією не уповноваженими та сторонніми особами
- •5.2.2. Організація збереження конфіденційної інформації від зловмисних дій персоналу та користувачів
- •Тема 6. Основні методи та засоби технічного захисту інформації
- •6.1. Захист інформації від витоку по оптичному каналу
- •6.2. Захист інформації від витоку по акустичному каналу
- •6.2.1. Захист акустичної інформації у приміщеннях
- •6.2.2. Захист акустичної інформації під час передавання її по технічним каналам
- •6.3. Захист інформації від витоку по каналу побічних електромагнітних випромінювань та наведень (пемвн)
- •Тема 7. Основні методи захисту інформації в комп’ютерних системах
- •7.1. Основі теоретичні положення захисту інформації в комп’ютерних системах
- •7.2. Захист від апаратних та програмних закладок, впроваджених на етапах розробки та виробництва
- •7.3. Захист від несанкціонованої зміни структур на рівні апаратних та програмних засобів у процесі експлуатації
- •7.4. Захист комп’ютерних систем від несанкціонованого доступу
- •7.5. Поняття про методи криптографічного захисту інформації
- •7.6. Захист комп’ютерних систем від вірусів та спаму
- •Тема 8. Основні методи захисту інформації в розподілених комп’ютерних (інформаційно-комунікаційних) системах
- •8.1. Архітектура мережі Інтернет
- •8.2. Загрози безпеці в інформаційно-комунікаційних системах
- •8.3. Основні підходи до захисту інформації в інформаційно-комунікаційних системах
- •Тема 9. Основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1. Базові визначення та основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1.1. Вимоги до складу, технічні та організаційні передумови створення ксзі
- •9.1.2. Характеристика інформаційної системи, як об’єкту захисту ксзі
- •9.1.3. Типові вразливості ікс на різних рівнях
- •9.2. Порядок створення, введення в дію, атестації та супроводження ксзі
- •3. На третьому етапі створення ксзі розробляється технічне завдання на створення ксзі.
- •4. На четвертому етапі створення ксзі здійснюється розробка проекту ксзі.
- •5. На п’ятому етапі створення ксзі здійснюється введення ксзі в дію.
9.1.2. Характеристика інформаційної системи, як об’єкту захисту ксзі
Сучасні інформаційні системи різного призначення, розміру, форми власності можуть мати спільні риси і, навидь, схожу структуру. Наведемо приклад організації (компанії) з позиції обробки інформації (наприклад, страхової компанії, виробничого об’єднання, органа державної влади, тощо) (рис). Інформація такої організації обробляється з використанням інформаційно-комунікаційної системи, приклад структурної схеми якої наведемо на наступному рисунки.
Рис. Приклад організації (компанії) з позиції обробки інформації
Рис. Структурна схема ІКС
При детальному порівнянні різних систем можна виділити спільні риси. В будь-якій ІКС можна виділити типові рівні, на яких вирішуються задачі, спільні для всіх систем. Як правило, виділяють 4 рівня (рис. 2.1).
Рис. Типові рівні ІКС
Розглянемо типові рівні ІКС знизу вверх:
Рівень мережі– відповідає за взаємодію вузлів ІКС. Елементами ІКС, що відносяться до цього рівня, є модулі, які реалізують стеки протоколів мережевої взаємодії, наприклад, ТСР/ІР. Також на цьому рівні функціонує специфічна апаратура – мережеве обладнання.
Рівень операційних систем(ОС) – відповідає за обслуговування програмного забезпечення, яке реалізує більш високі рівні, і його взаємодію з обладнанням. В якості типових елементів цього рівня можна назвати такі поширені ОС, якMicrosoftWindows,SunSolaris,Linux.
Рівень систем керування базами даних(СКБД) – відповідає за зберігання та обробку даних. В якості типових елементів цього рівня можна назвати СКБДOracleіMSSQLServer. Іноді СКБД є центральним елементом ІС (наприклад, облік товарів на складі), а іноді СКБД функціонує прозоро для користувачів і виконує допоміжні функції, зокрема для зберігання технологічної інформації самої ІС. Так, наприклад, система підтримки конфіденційного документообігуOPTiMAWorkFlowбазується на СКБДMSSQLServer.
Рівень прикладного ПЗ(застосувань) - найвищий рівень. Розрізняють прикладний компонент і компонент подання (рос. –представления), які є складовими прикладного рівня. Прикладний компонент забезпечує виконання специфічних функцій ІС. Компонент подання відповідає за взаємодію з користувачем і подання даних у необхідній формі. На рівні прикладного ПЗ функціонують, наприклад, офісні застосування, такі як популярніMicrosoftOffice,StarOfficeабоOpenOffice, бухгалтерські програми, спеціально розроблені для кожної окремої ІС програмні засоби, що реалізують специфічні для неї функції, і будь-які інші прикладні програми.
Кожному рівню ІКС притомні типові вразливості.
9.1.3. Типові вразливості ікс на різних рівнях
Несанкціонований доступ на рівні мережі.Рівень мережі – потенційно може надати доступ користувачеві, який не лише не має повноважень у системі, але й знаходиться поза її межами. На цьому рівні можлива атака на дані, які передаються у мережі, а також вплив через мережеві засоби на вузли системи – сервери і робочі станції, внаслідок чого можуть бути створені передумови для доступу на більш високих рівнях, наприклад, створений обліковий запис користувача-порушника з правами адміністратора.
Несанкціонований доступ на рівні ОС.Порушник може спробувати здійснити доступ на рівні ОС. Зокрема, такий доступ може полягати у несанкціонованому копіюванні файлів бази даних засобами файлової системи сервера.
Несанкціонований доступ на рівні СКБД.Інший шлях – доступ на рівні СКБД. Такий доступ порушник здійснює в обхід прикладного ПЗ безпосередньо до бази даних. Для цього він може згенерувати специфічнийSQL-запит або скористатись засобами самої СКБД для перегляду таблиць даних.
Вразливості на рівні прикладного ПЗ.Порушник може спробувати здійснити доступ до захищених даних на рівні прикладного ПЗ. Наприклад, для цього він може спробувати підібрати пароль іншого користувача, якому доступ до цієї інформації дозволений. Або отримати доступ з правами адміністратора і змінити права доступу до захищених об’єктів чи свої повноваження. Нарешті, він може спробувати знайти вразливість у прикладному ПЗ або використати відому вразливість. Як правило, для цього він має створити якийсь специфічний запит, не передбачений розробниками ПЗ (у найпростішому випадку включити у текстовий рядок спеціальні керуючі символи, або ввести числові значення, що виходить за межі дозволеного діапазону), у відповідь на який система може надати порушнику несанкціонований доступ.