- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Лужецький В. А., Кожухівський А. Д., Войтович О. П.
Основи інформаційної безпеки
Міністерство освіти і науки України
Вінницький національний технічний університет
Лужецький В. А., Кожухівський А. Д., Войтович О. П.
ОСНОВИ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Затверджено Вченою радою Вінницького національного технічного університету як навчальний посібник для студентів напрямку підготовки 6.170101 «Інформаційна безпека». Протокол № 3від29жовтня 2008 р.
Вінниця ВНТУ 2009
УДК 681.3.6
Л 83
Рецензенти:
О.Д. Азаров, доктор технічних наук, професор
О.Є. Архипов, доктор технічних наук, професор
О.Г. Корченко, доктор технічних наук, професор
Рекомендовано до видання Вченою радою Вінницького національного технічного університету Міністерства освіти і науки України
Лужецький В.А., Кожухівський А.Д., Войтович О.П.
Л 83 Основи інформаційної безпеки. Навчальний посібник. – Вінниця: ВНТУ, 2009. – 268 с.
У посібнику розглядаються основні поняття інформаційної безпеки і компоненти системи захисту інформації. Описуються заходи та засоби законодавчого, адміністративного, організаційного та інженерно-технічного рівнів забезпечення інформаційної безпеки організацій та установ. Окрему увагу приділено програмно-технічному захисту інформаційних систем.
Для студентів напрямків “Інформаційна безпека”, “Комп‘ютерна інженерія”, “Програмна інженерія” та “Комп'ютерні науки” всіх спеціальностей денної та заочної форм навчання.
УДК 681.3.6
Лужецький В.А., Кожухівський А.Д., Войтович О.П. 2008
ЗМІСТ
1 1 11
ОСНОВНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 11
ОСНОВНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 11
1.1 ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 11
1.2 ОСНОВНІ ЗАДАЧІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 14
1.3 ВАЖЛИВІСТЬ І СКЛАДНІСТЬ ПРОБЛЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 19
1.4 ОБ’ЄКТНО-ОРІЄНТОВАНИЙ ПІДХІД ДО ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 22
1.5 ОСНОВНІ ПОЛОЖЕННЯ СИСТЕМИ зАХИСТУ інформації 28
КОНТРОЛЬНІ ПИТАННЯ 33
Практичне завдання 1 33
2 2 34
КОМПОНЕНТИ МОДЕЛІ БЕЗПЕКИ ІНФОРМАЦІЇ 34
КОМПОНЕНТИ МОДЕЛІ БЕЗПЕКИ ІНФОРМАЦІЇ 34
2.1 ОСНОВНІ ПОНЯТТЯ 34
2.2 ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЇ 39
2.3 ШКІДЛИВЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ 51
2.4 ІНФОРМАЦІЯ, ЩО ПІДЛЯГАЄ ЗАХИСТУ 55
2.5 ДІЇ, ЩО ПРИЗВОДЯТЬ ДО НЕПРАВОМІРНОГО ОВОЛОДІННЯ КОНФІДЕНЦІЙНОЮ ІНФОРМАЦІЄЮ 65
2.6 ПЕРЕХОПЛЕННЯ ДАНИХ ТА КАНАЛИ ВИТОКУ ІНФОРМАЦІЇ 68
2.7 ПОРУШНИКИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 78
2.8 УМОВИ, ЩО СПРИЯЮТЬ НЕПРАВОМІРНОМУ ОВОЛОДІННЮ КОНФІДЕНЦІЙНОЮ ІНФОРМАЦІЄЮ 85
КОНТРОЛЬНІ ПИТАННЯ 86
Практичне завдання 2 87
3 3 88
Законодавчий РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 88
Законодавчий РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 88
3.1 Основні поняття законодавчого рівня інформаційної безпеки 88
3.2 Система забезпечення інформаційної безпеки України 90
3.3 ПРАВОВІ актИ 99
3.4 ПРАВОВІ НОРМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ І ЗАХИСТУ ІНФОРМАЦІЇ НА ПІДПРИЄМСТВІ 105
3.5 українськЕ законодавство в ГАЛУЗІ інформаційної безпеки 109
3.6 зарубіжне законодавство в галузі інформаційної безпеки 115
3.7 Стандарти і специфікації в галузі БЕЗПЕКИ ІНФОРМАЦІЙНих систем 117
КОНТРОЛЬНІ ПИТАННЯ 133
Практичне завдання 3 134
4 4 135
АДМІНІСТРАТИВНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 135
АДМІНІСТРАТИВНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 135
4.1 ПОНЯТТЯ ПОЛІТИКИ БЕЗПЕКИ 135
4.2 РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ 136
4.3 ПРОГРАМА РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ 141
4.4 СИНХРОНІЗАЦІЯ ПРОГРАМИ БЕЗПЕКИ З ЖИТТЄВИМ ЦИКЛОМ СИСТЕМ 142
4.5 УПРАВЛІННЯ РИЗИКАМИ 145
КОНТРОЛЬНІ ПИТАННЯ 152
Практичне завдання 4 152
5 5 153
ОРГАНІЗАЦІЙНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 153
ОРГАНІЗАЦІЙНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 153
5.1 ОСНОВНІ КЛАСИ ЗАХОДІВ ОРГАНІЗАЦІЙНОГО РІВНЯ 153
5.2 УПРАВЛІННЯ ПЕРСОНАЛОМ 154
5.3 ФІЗИЧНИЙ ЗАХИСТ 157
5.4 ЗАХОДИ ЩОДО ЗАХИСТУ ЛОКАЛЬНОЇ РОБОЧОЇ СТАНЦІЇ 160
5.5 ПІДТРИМКА ПРАЦЕЗДАТНОСТІ 166
5.6 РЕАГУВАННЯ НА ПОРУШЕННЯ РЕЖИМУ БЕЗПЕКИ 169
5.7 ПЛАНУВАННЯ ВІДНОВЛЮВАЛЬНИХ РОБІТ 170
5.8 СЛУЖБА БЕЗПЕКИ ПІДПРИЄМСТВА 173
КОНТРОЛЬНІ ПИТАННЯ 177
Практичне завдання 5 178
6 6 178
ІНЖЕНЕРНО-ТЕХНІЧНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 178
ІНЖЕНЕРНО-ТЕХНІЧНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 178
6.1 ПОНЯТТЯ ІНЖЕНЕРНО-ТЕХНІЧНОГО ЗАХИСТУ 179
6.2 ФІЗИЧНІ ЗАСОБИ ЗАХИСТУ 180
6.3 АПАРАТНІ ЗАСОБИ ЗАХИСТУ 193
6.4 ПРОГРАМНІ ЗАСОБИ ЗАХИСТУ 197
6.5 КРИПТОГРАФІЧНІ ЗАСОБИ ЗАХИСТУ 201
6.6 СТЕГАНОГРАФІЧНІ ЗАСОБИ ЗАХИСТУ 213
КОНТРОЛЬНІ ПИТАННЯ 220
Практичне завдання 6 221
7 7 221
програмно-технічний захист інформаційних систем 221
програмно-технічний захист інформаційних систем 221
7.1 Особливості сучасних інформаційних систем з погляду безпеки 221
7.2 Принципи Архітектурної безпеки 226
7.3 Ідентифікація та автентифікація 229
7.4 Логічне управління доступом 234
7.5 Протоколювання та аудит 237
7.6 ЕКРАНУВАННЯ 242
7.7 Аналіз захищеності 246
7.8 Забезпечення високої доступності 248
7.9 Тунелювання 252
7.10 Управління інформаційними системами 253
КОНТРОЛЬНІ ПИТАННЯ 257
Практичне завдання 7 258
АФОРИЗМИ І ПОСТУЛАТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 259
СПИСОК ЛІТЕРАТУРИ 262
Глосарій262
Вступ
Сучасний світ розвивається у напрямку все більшої інформатизації як окремих галузей народного господарства, так і суспільства взагалі. Вже не можна собі уявити світ без інформаційних технологій, персональних комп’ютерів, глобальних комп’ютерних мереж та мобільного зв’язку, хоча ще 20 років тому це здавалось чимось фантастичним або дуже дорогим.
Особливо гостро постає проблема забезпечення інформаційної безпеки в зв’язку із стрімким впровадженням комп’ютерної техніки в такі сфери, як біржова та банківська справа, страхування, медицина тощо. Необхідність вирішення проблем захисту інформації також зумовлена різким зростанням комп’ютерної злочинності, результат діяльності якої призводить до значних матеріальних втрат, незалежно від того чи це вірусна атака, чи шахрайство в електронній комерції.
Інформаційна безпека достатньо молода галузь, яка знаходиться на перетині інформаційних технологій та захисту інформації. Лише комплексний підхід дозволить забезпечити інформаційну безпеку на належному рівні. Це в рівній мірі стосується захисту інформації, що зберігається й оброблюється як в окремому комп’ютері, так і в корпоративній мережі.
У посібнику розглядаються основні поняття інформаційної безпеки і компоненти системи захисту інформації. Значну увагу приділено заходам та засобам законодавчого, адміністративного, організаційного та інженерно-технічного рівнів. Наводяться відомості про українське та зарубіжне законодавство, основні стандарти щодо інформаційної безпеки. Для адміністративного рівня розглядаються правила побудови політики та програми безпеки. Для процедурного рівня описуються заходи, що стосуються роботи з персоналом, та організації служби безпеки підприємства чи установи. Для інженерно-технічного рівня описуються заходи та засоби фізичного, апаратного, програмного, криптографічного та стеганографічного видів захисту інформації та інформаційних ресурсів. Окрему увагу приділено програмно-технічному захисту інформаційних систем.
Наприкінці кожного розділу наведено контрольні питання, які призначені для перевірки студентами рівня засвоєння матеріалу в процесі самостійної роботи.
Також в кінці кожного розділу запропоновані теми практичних занять, які призначені для закріплення теоретичних знань та застосування їх для розв’язку задач інформаційної безпеки на підприємстві.
У посібнику викладено методично опрацьований матеріал ряду літературних джерел, перелік яких наведено в кінці посібника. Методику викладення матеріалу апробовано під час читання лекцій і проведення практичних занять.
Автори висловлюють подяку рецензентам: доктору технічних наук, професору Азарову О.Д., доктору технічних наук, професору Архипову О.Є. і доктору технічних наук, професору Корченко О.Г. за корисні зауваження, що сприяли покращенню матеріалу посібника.
|
ОСНОВНІ ПОЛОЖЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ |
Поняття інформаційної безпеки
Перш ніж говорити про інформаційну безпеку необхідно визначитися з поняттям “інформація”. Це поняття сьогодні вживається дуже широко і різнобічно. Важко знайти таку галузь знань, де б воно не використовувалося. Повсякденно під час здійснення різних видів діяльності користуються таким поняттям:
Інформація – нові дані про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.
У галузі інформаційних систем рекомендується таке означення інформації:
Інформація – це відомості, які є об’єктом зберігання, передавання і оброблення.
Відомо, що інформація може мати різну форму, зокрема, дані в комп’ютерах, листи, пам'ятні записи, досьє, формули, креслення, діаграми, моделі продукції, дисертації, судові документи й ін.
Як і всякий продукт, інформація має споживачів, що потребують її, і тому володіє певними споживчими якостями, а також має і своїх власників або виробників.
Відповідно до різноманітності поняття інформації, словосполучення “інформаційна безпека” в різних контекстах може мати різний сенс. Так, у Законі України “Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки” наводиться таке поняття інформаційної безпеки:
Інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.
Спеціальне законодавство в галузі безпеки інформаційної діяльності представлено низкою законів. У їхньому складі особливе місце належить базовому Закону “Про інформацію, інформатизацію і захист інформації”, що закладає основи правового визначення всіх найважливіших компонентів інформаційної діяльності:
інформації та інформаційних систем;
суб’єктів – учасників інформаційних процесів;
правовідносин виробників – споживачів інформаційної продукції;
власників інформації – обробників і споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян і держави.
У даному посібнику увагу буде зосереджено на процесах зберігання, оброблення і передавання інформації. Тому термін “інформаційна безпека” використовуватиметься у вузькому сенсі, як це прийнято, наприклад, в англомовній літературі.
Інформаційна безпека (ІБ) – це стан захищеності інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб’єктам інформаційних відносин, зокрема, власникам і користувачам інформації та інфраструктури.
Таким чином, правильний з методологічної точки зору підхід до проблем ІБ починається з виявлення суб’єктів інформаційних відносин та інтересів цих суб'єктів, пов’язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці – це зворотна сторона використання інформаційних технологій.
Тут необхідно зауважити, що трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і навчальні заклади. У першому випадку “хай краще все зламається, ніж ворог дізнається хоч один секретний біт”, у другому – “немає у нас жодних секретів, аби все працювало”. Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це поняття принципово ширше.
Суб’єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій власне захист від несанкціонованого доступу до інформації стоїть за важливістю зовсім не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін “комп’ютерна безпека”(як еквівалент або замінник ІБ) є дуже вузьким. Комп'ютери – тільки одна із складових інформаційних систем, і хоч наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабкішою ланкою, якою в переважній більшості випадків виявляється людина.
Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп’ютерів, але й від інфраструктури, що її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою своїх функцій.
Звернемо увагу, що у визначенні ІБ перед іменником “втрати” знаходиться прикметник “неприйнятний”. Очевидно, застрахуватися від усіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді такими неприпустимими витратами є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до припустимих значень.