- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Технічна специфікація X.800
Основний зміст цього стандарту трактує питання інформаційної безпеки розподілених систем, зокрема, специфічні мережеві функції (сервіси) безпеки, а також необхідні для їх реалізації захисні механізми.
Виділяються такі сервіси безпеки і виконувані ними ролі.
Автентифікація.Даний сервіс забезпечує перевірку достовірності партнерів по спілкуванню і перевірку достовірності джерела даних.Автентифікація партнерів використовується при встановленні з’єднання і періодично під час сеансу. Вона служить для запобігання таким загрозам, як маскарад і повторення попереднього сеансу зв’язку.
Управління доступом.Забезпечує захист від несанкціонованого використання ресурсів, доступних по мережі.
Конфіденційність даних.Забезпечує захист від несанкціонованого отримання інформації. Окремо виділяєтьсяконфіденційність трафіку(це захист інформації, яку можна одержати, аналізуючи мережеві потоки даних).
Цілісність даних поділяється на підвиди залежно від того, який тип спілкування використовують партнери – з встановленням з’єднання або без нього, чи захищаються всі дані або тільки окремі поля, чи забезпечується відновлення у разі порушення цілісності.
Безвідмовність(неможливість відмовитися від виконаних дій) забезпечує два види послуг: безвідмовність з підтвердженням достовірності джерела даних і безвідмовність з підтвердженням доставки.
Для реалізації сервісів (функцій) безпеки можуть використовуватися такі механізми та їх комбінації:
шифрування;
електронний цифровий підпис;
механізми управління доступом. Можуть розташовуватися на будь-якій із сторін, що беруть участь у спілкуванні, або в проміжній точці;
механізми контролю цілісності даних. Для перевірки цілісності потоку повідомлень (тобто для захисту від крадіжки, переупорядковування, дублювання і вставки повідомлень) використовуються порядкові номери, часові штампи, криптографічне скріплення або інші аналогічні прийоми;
механізми автентифікації. Згідно з рекомендаціями X.800, автентифікація може досягатися за рахунок використання паролів, особистих карток або інших пристроїв аналогічного призначення, криптографічних методів, пристроїв вимірювання і аналізу біометричних характеристик;
механізми доповнення трафіку;
механізми управління маршрутизацією. Маршрути можуть вибиратися статично або динамічно. Вузлова система, зафіксувавши неодноразові атаки на певному маршруті, може відмовитися від його використання. На вибір маршруту здатна вплинути мітка безпеки, асоційована з даними;
механізми нотарізаії. Служать для завірення таких комунікаційних характеристик, як цілісність, час, особи відправника і одержувача. Завірення забезпечується надійною третьою стороною. Звичайно нотарізація спирається на механізм електронного підпису.
Адміністрування засобів безпеки включає розповсюдження інформації, необхідної для роботи сервісів і механізмів безпеки, а також збирання і аналіз інформації про їх функціонування. Прикладами можуть служити розповсюдження криптографічнихключів, установка значень параметрів захисту, ведення реєстраційного журналу і т.п.
Концептуальною основою адміністрування є інформаційна база управління безпекою. Ця база може не існувати як єдине (розподілене) сховище, але кожна з вузлових систем повинна мати в своєму розпорядженні інформацію, необхідну для реалізації вибраної політики безпеки.
Згідно з рекомендаціями X.800, зусилля адміністратора засобів безпеки повинні розподілятися за трьома напрямами:
адміністрування ІС в цілому. Воно полягає у забезпеченні політики безпеки, взаємодії з іншими адміністративними службами, реагуванні на події, в аудиті і безпечному відновленні;
адміністрування сервісів безпеки. Дії адміністратора спрямовані на визначення об’єктів, що захищаються, та правил підбору механізмів безпеки, комбінування механізмів для реалізації сервісів, взаємодію з іншими адміністраторами для забезпечення узгодженої роботи;
адміністрування механізмів безпеки. Дії за даним напрямом визначаються переліком задіяних механізмів.