- •Основи інформаційної безпеки
- •Основні поняття………………......…………………... 61
- •Поняття інформаційної безпеки. Основні складові. Важливість проблеми
- •1.1. Поняття інформаційної безпеки
- •1.2. Основні складові інформаційної безпеки
- •1.3. Важливість і складність проблеми інформаційної безпеки
- •Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку
- •2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки
- •2.2. Основні поняття об'єктно-орієнтованого підходу
- •2.3. Застосування об'єктно-орієнтованого підходудо розгляду систем, що захищають
- •Іс організації
- •Internet
- •2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору
- •3.1. Основні визначення і критерії класифікації загроз
- •3.2. Найпоширеніші загрози доступності
- •3.3. Деякі приклади загроз доступності
- •3.4. Шкідливе програмне забезпечення
- •3.5. Основні загрози цілісності
- •3.6. Основні загрози конфіденційності
- •Розділ 4. Адміністративний рівень інформаційної безпеки
- •4.1. Основні поняття
- •4.2. Політика безпеки
- •4.3. Програма безпеки
- •4.4. Синхронізація програми безпеки з життєвим циклом систем
- •Розділ 5. Керування ризиками
- •5.1. Основні поняття
- •5.2. Підготовчі етапи керування ризиками
- •5.3. Основні етапи керування ризиками
- •Розділ 6. Процедурний рівень інформаційної безпеки
- •6.1. Основні класи заходів процедурного рівня
- •6.2. Керування персоналом
- •6.3. Фізичний захист
- •6.4. Підтримка працездатності
- •6.5. Реагування на порушення режиму безпеки
- •6.6. Планування відновлювальних робіт
- •Розділ 7. Основні програмно-технічні заходи
- •7.1. Основні поняття програмно - технічного рівня інформаційної безпеки
- •7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •7.3. Архітектурна безпека
- •Розділ 8. Ідентифікація й аутентифікація, керування доступом
- •8.1. Ідентифікація й аутентифікація
- •8.2. Парольна аутентифікація
- •8.3. Одноразові паролі
- •8.4. Ідентифікація/аутентифікація за допомогою біометричних даних
- •8.5. Керування доступом. Основні поняття
- •8.6. Рольове керування доступом
- •8.7. Керування доступом в Java-середовищі
- •8.8. Можливий підхід до керування доступом у розподіленому об'єктному середовищі
- •9.1. Протоколювання й аудит. Основні поняття
- •9.2. Активний аудит. Основні поняття
- •9.3. Функціональні компоненти й архітектура
- •9.5. Контроль цілісності
- •9.6. Цифрові сертифікати
- •Розділ 10. Екранування, аналіз захищеності
- •10.1. Екранування. Основні поняття
- •10.2. Архітектурні аспекти
- •10.3. Класифікація міжмережевих екранів
- •11.2. Основи заходів забезпечення високої доступності
- •11.3. Відмовостійкість і зона ризику
- •11.4. Забезпечення відмовостійкості
- •11.5. Програмне забезпечення проміжного шару
- •11.6. Забезпечення обслуговування
- •12.1. Тунелювання
- •12.2. Керування. Основні поняття
- •12.3.Можливості типових систем
- •Додаток з
- •Додаток 4
- •1. Політика безпеки:
- •Додаток 7
- •Додаток 8
- •Додаток 9
- •Додаток 10
- •Додаток 12
ПІс організації
ри погляді з нульовим
рівнем деталізації ми побачимо лише
те, що ворганізації є інформаційна
система (див. Рис. 2.1).
Рис. 2.1. ІС при розгляді з рівнем деталізації 0.Подібна точка зору може здатися неспроможною, але це не так. Уже тут необхідно врахувати закони, які застосовуються до організацій, що упорядковують інформаційні системи. Можливо, яку-небудь інформацію не можна зберігати й обробляти на комп'ютерах, якщо ІС не була атестована на відповідність певним вимогам. На адміністративному рівні може бути задекларована мета, заради якої створювалася ІС. Загальні правила закупівель, впровадження нових компонентів,експлуатації й т.п. На процедурному рівні потрібно визначити вимога до фізичної безпеки ІС і шляхи їхнього виконання, правила протипожежної безпеки й т.п. На програмно-технічному рівні можуть бути визначені кращі апаратно-програмніплатформи й т.п.
За якими критеріями проводити декомпозицію ІС - у значній мірі справа смаку. Будемо вважати, що на першому рівні деталізації робляться прозорими сервіси й користувачі, точніше, поділ на клієнтську й серверну частину (Рис. 2.2).
ІС
організації:
Сервіси
(без конкретизації)
Користувачі
(без конкретизації)
Рис. 2.2. ІС при розгляді з рівнем деталізації 1.
На цьому рівні варто сформулювати вимоги до сервісів (до самої їхньоїнаявності, до доступності, цілісності й конфіденційності надаваних інформаційних послуг), викласти способи виконання цих вимог, визначити загальні правила поведінки користувачів, необхідний рівень їхньої попередньої підготовки, методи контролю їхньої поведінки, порядок заохочення й покарання й т.п. Можуть бути сформульовані вимоги й переваги стосовно серверних і клієнтських платформ.
Н
Сервіси,
які використовуються організацією(без
конкретизації)
Користувачі
сервісів організації(без конкретизації)Internet
ІС
організації
Сервіси,
що надаються(без конкретизації)
Внутрішні
сервіси(без конкретизації)
Користувачі
зовнішніх сервісів(без конкретизації)
Користувачі
внутрішніх сервісів(без конкретизації)
Рис. 2.3. ІС при розгляді з рівнем деталізації 2
На цьому рівні нас усе ще не цікавить внутрішня структура ІС організації, так само як і деталі Internet. Констатується тільки існування зв'язку між цими мережами, наявність у них користувачів, а також надаваних і внутрішніх сервісів. Що це за сервіси, поки неважливо.
Перебуваючи на рівні деталізації 2, ми повинні враховувати закони, які застосовуються до організацій, ІС які забезпечені зовнішніми підключеннями. Мова йде про допустимість такого підключення, про його захист, про відповідальність користувачів, що звертаються до зовнішніх сервісів, і про відповідальність організацій, що відкривають свої сервіси для зовнішньогодоступу. Конкретизація аналогічної спрямованості, з урахуванням наявності зовнішнього підключення, повинна бути виконана на адміністративному, процедурному й програмно-технічному рівнях.
Звернемо увагу на те, що контейнер (у змісті компонентного об'єктного середовища) "ІС організації" задає межі контрольованої зони, у межах яких організація проводить певну політику. Internet існує за іншими правилами, якіорганізація повинна приймати, як щось уже існуюче.
Збільшуючи рівень деталізації, можна розглянути два рознесенених виробничих майданчика й канали зв'язку між ними, розподіл сервісів і користувачів по цих майданчиках і засоби забезпечення безпеки внутрішніх комунікацій, специфіку окремих сервісів, різні категорії користувачів і т.п. Ми,однак, на цьому зупинимося.