Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Винницкий национальный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекції ОІБ.docx
Скачиваний:
66
Добавлен:
16.05.2015
Размер:
72.51 Кб
Скачать
►Содержание►

Концепція інформаційної безпеки Основні концептуальні положення системи захисту інформації

Як і будь – який продукт, інформація має споживачів, що мають потребу в ній і тому має певні споживчі якості. Якість інформації, що використовується дозволяє отримувати відповідний економічний або моральний ефект. У зв’язку з цим, зберігання у таємниці комерційно – важливої інформації, дозволяє успішно конкурувати на ринку виробництва та збуту товарів і послуг. Це вимагає певних дій, що спрямовані на захист конфіденційної інформації.

Один із поширених підходів до забезпечення захисту інформації, є побудова системи захисту інформації.

Система захисту інформації – сукупність спеціальних органів, засобів, методів та заходів, що забезпечують захист інформації від внутрішніх та зовнішніх загроз.

Загрози – це потенційно або реально існуючі дії, що призводять до моральних або матеріальних збитків.

Захист інформації повинен бути:

  • безперервним, оскільки зловмисник постійно шукає шляхи, як обійти інформацію, що його цікавить;

  • плановий, повинен здійснюватись кожною службою, згідно детальних планів захисту у сфері компетенції цієї служби, та з урахуванням мети підприємства чи організації;

  • цілеспрямований, захищатись повинна інформація в інтересах певної мети, а не все підряд;

  • активний, захищати інформацією необхідно з достатньою наполегливістю;

  • надійний, методи та форми захисту повинні надійно перекривати можливі шляхи до інформації, що охороняється, незалежно від форми її представлення;

  • універсальний, залежно від каналу витоку інформації, необхідно відбирати необхідні засоби захисту;

  • комплексний, неприпустимо застосовувати лише окремі форми або технічні засоби, необхідно застосовувати усі форми та види захисту у повному обсязі.

Концептуальна модель інформаційної безпеки

Мета моделі:

  • модель показує як проектувати комплексну систему захисту інформації;

  • модель розкриває основні напрямки захисту інформації;

  • модель є повною структурою дисципліни основи інформаційної безпеки.

Три етапи побудови:

І. Аналіз інформації, яку потрібно захищати (джерела інформації, мета доступу, способи доступу).

Мета – ознайомлення, модифікація, знищення.

Способи – розголошення, НСД, неконтрольований витік інформації за неконтрольовані межі.

ІІ. Розробка комплексної системи захисту інформації (напрямки доступу, засоби захисту, способи захисту).

Напрямки – правовий, організаційний, технічний.

Засоби – технічні (фізичні, апаратні, програмні, математичні (криптографічні, стеганографічні)).

ІІІ. Аналіз загроз. Підтримка системи захисту.

Дані заходи проводяться щодо загроз по відношенню до системи захисту.

Детальний розгляд моделі

Джерелами конфіденційної інформації є:

  • люди;

  • документи;

  • публікації;

  • технічні носії інформації;

  • технічні засоби забезпечення виробничої та трудової діяльності;

  • певна продукція, відходи виробництва.

Мета доступу:

Ознайомлення – протиправні дії, що не призводять до змін або руйнування інформації.

Модифікація – випадкові або навмисні дії. Що призводять до часткових змін захисту інформації.

Знищення – протиправні дії, що призводять до значного або повного руйнування інформаційних ресурсів.

Напрямки захисту:

Забезпечують комплексний підхід до інформаційної безпеки.

Приклади засобів захисту до відповідних напрямків захисту:

Правовий захист:

  • щодо міжнародного права (патенти та свідоцтва про авторське право);

  • щодо державного права (конституція, кодекси, закони, підзаконні акти, накази, укази);

  • підзаконні акти на підприємстві (інструкція співробітника про дотриманні державної таємниці, перелік відомостей, що становлять конфіденційну інформацію.

Організаційний захист:

  • режим та охорона підприємства і його об’єктів;

  • підбір кадрів;

  • організація роботи з документами та технічними носіями.

Технічний захист:

  • фізичний, програмний, апаратний, математичний (криптографічний, стеганографічний).

Способи захисту:

  • за цілями дії (попередження, виявлення, присікання, протидія);

  • за напрямками забезпечення (правовий, організаційний, технічний);

  • за видами загроз (втік, розголошення, НСД);

  • за об’єктами (територія, споруда, приміщення, апаратура, елементи);

  • за рівнями охоплення (об’єктивна, групова, індивідуальна);

  • за видами об’єктів (персонал, матеріальні та фінансові цінності, інформація);

  • за активністю (активні, пасивні).

Джерелами загроз виступають:

  • конкуренти, злочинці, корупціонери, адміністративно – управлінські органи.

Загрози інформації відображаються у порушенні її цілісності, конфіденційності, повноти та доступності.

Загрози конфіденційності інформації

Під загрозою розуміють потенційно або реально можливі дії по відношенню до інформаційних ресурсів, що призводять до неправомірного оволодіння відомостей, які охороняються.

Класифікація загроз:

  • зовнішні;

  • внутрішні.

Приклади джерел зовнішніх загроз:

  • недоброзичливі конкуренти;

  • злочинні угрупування;

  • окремі особи та організації адміністративно – управлінського апарату.

Приклади джерел внутрішніх загроз:

  • адміністрація підприємства;

  • персонал;

  • технічні засоби забезпечення виробничої та трудової діяльності.

Дані світової статистики, щодо співвідношення внутрішніх загроз на опосередкованому рівні:

  • 82% здійснюються співробітника фірми або при їх прямій участі (внутрішні загрози);

  • 17% (зовнішні загрози);

  • 1% (випадкові).

Загрози інформації мають прояви у порушенні:

  • конфіденційності інформації (розголошення, витік, НСД);

  • достовірності інформації (фальсифікація, підробка, шахрайство);

  • цілісності інформації (перекручення, помилки, втрати);

  • доступності інформації (порушення зв’язку або заборони отримання інформації).

Рівні таємності інформації:

ІV рівень – для службового користування (ДСК);

ІІІ рівень – таємно (Т);

ІІ рівень – цілком таємно (ЦТ);

І рівень – особливо важливо (ОВ).

Дані грифи таємності збереглися з часів СРСР.

Конфіденційна інформація, що є власністю держави:

  • службова;

  • особиста;

  • відкрита інформація.

НДЛ ТЗІ (науково – технічна лабораторія технічного захисту інформації):

АС – 1 (комп’ютер без будь – якого зв’язку);

АС – 2 (ллокальна мережа в межах контрольованої зони)

АС -3 (зв’язки за межами контрольованої зони;

АС – автоматизовані системи

Сертифікований захит в Україні:

  • ГРИФ;

  • РУБІЖ;

  • ЛОЗА.

ПЕМВіН (побічні електромагнітні випромінювання і наведення).

Загрози також класифікуються на природні та штучні

Природні загрози - це загрози що спричинені діями на систему захисту та її елементи об'єктивних фізичних процесів та стихійних природніх явищ, що не залежить від людини

Штучні загрози - це загрози системи захисту, що спричинені діяльністю людини

Штучні загрози бувають: ненавмисні (викликані помилками в проектуванні системи захисту та її елементів, помилками в програмному забезпеченні, помилками у діях персоналу та ін.) та навмисні (викликані корисливими намаганнями людей - зловмисників).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности