- •Захист інформації та інформаційна безпека
- •До вивчення дисципліни
- •6.7. Питання для самоконтролю і співбесіди по темі……….………….….84
- •1. Політика інформаційної безпеки україни.
- •1.1 Інформаційна безпека і її місце в системі національноїбезпеки України
- •1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України.
- •1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність
- •1.4. Питання для самоконтролю і співбесіди по темі:
- •2. Інформація як об’єкт захисту
- •2.1. Поняття інформації. Властивості інформації.
- •2.2. Класифікація інформації.
- •2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти.
- •2.4. Інформація як об'єкт прав.
- •2.5. Режими доступу до інформації.
- •2.6. Інформація як об'єкт права власності.
- •2.7. Відповідальність за порушення законодавства про інформацію.
- •2.8.Інформація як об'єкт захисту.
- •2.9. Питання для самоконтролю і співбесіди по темі:
- •3. Захист інформаційних систем
- •3.1 Джерела інформації
- •3.2. Інформаційна система як об’єкт захисту інформації
- •3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації
- •3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації
- •3.5. Питання для самоконтролю і співбесіди по темі:
- •4. Аналіз захищеності об’єкта захисту інформації
- •4.1 Поняття погрози
- •4.2 Класифікація погроз
- •4.3 Характер походження погроз
- •4.4 Побудова моделі погроз
- •4.5 Методи та види нсд
- •4.6 Методи реалізації нсд
- •4.7 Канали витоку інформації
- •4.8 Побудова моделі порушника
- •4.9 Потенційно можливі злочинні дії
- •4.10. Питання для самоконтролю і співбесіди по темі:
- •5. Огляд причин порушення безпеки
- •5.1 Загальні причини порушення безпеки
- •5.2 Ознаки функціонування іс, які свідчать про наявність уразливих місць в інформаційній безпеці
- •5.3. Питання для самоконтролю і співбесіди по темі:
- •6. Критерії безпеки інформаційних технологій
- •6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони сша. «Жовтогаряча книга». Мета розробки
- •Визначення безпечної системи
- •Загальна структура вимог безпеки
- •Політика безпеки
- •Коректність
- •Таксономія критеріїв Політика безпеки
- •Коректність
- •Документація
- •Класи безпеки комп'ютерних систем
- •Група d. Мінімальний захист
- •Група с. Дискреційний захист
- •Група в. Мандатний захист
- •Група а. Верифікований захист
- •Інтерпретація і розвиток "Жовтогарячої книги"
- •Висновки
- •6.2. Європейські критерії безпеки інформаційних технологій
- •Основні поняття
- •Функціональні критерії
- •Критерії адекватності
- •Критерії ефективності
- •Критерії коректності
- •Висновки
- •Середовище розробки
- •Документування
- •6.5. Нормативні документи технічного захисту інформації (нд тзі) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •Склад документів:
- •Законодавча і нормативна база України
- •Сфера дії нормативних документів
- •Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 1.1-003-99)
- •Керування доступом
- •Довірче керування доступом:
- •Адміністративне керування доступом:
- •Критерії захищеності інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 2.5-004-99)
- •Критерії конфіденційності
- •Критерії цілісності
- •Критерії доступності
- •Критерії спостереженості
- •Критерії гарантій (г-1…7):
- •Класифікація ас і стандартні функціональні профілі захищеності інформації в комп’ютерних системах (нд тзі 2.5-005-99)
- •Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в ас (нд тзі 3.7-001-99)
- •Висновки
- •Обґрунтування функцій захисту
- •Обґрунтування рівня адекватності
- •Обґрунтування відповідності профілю захисту
- •Таксономія вимог Функціональні вимоги Захист інформації
- •Безпека захисту
- •Ідентифікація й автентифікація
- •6.7. Питання для самоконтролю і співбесіди по темі:
- •7. Комплексні системи захисту інформації
- •7.1. Визначення комплексної система захисту інформації
- •Cистема охоронної сигналізації
- •Приймально-контрольні прилади
- •Система контролю доступу
- •Периметрові системи охорони
- •Система охоронної сигнализации
- •Система відео спостереження
- •Типова модель функціонування системи відеоспостереження
- •Система збору і обробки інформації
- •Система протидії економічному шпигунству
- •Система пожежної сигналізації
- •Система автоматичного пожежогасіння
- •7.2. Концепція створення захищених кс
- •7.3. Етапи створення комплексної системи захисту інформації
- •7.4. Науково-дослідна розробка ксзі
- •7.5. Моделювання ксзі
- •7.5.1. Спеціальні методи неформального моделювання
- •7.5.2. Декомпозиція задачі по оцінці ефективності функціонування ксзі
- •7.5.3. Макромоделювання
- •7.6. Вибір показників ефективності і критеріїв оптимальності ксзі
- •7.7. Підходи до оцінки ефективності ксзі
- •7.7.1. Класичний підхід
- •7.7.2. Офіційний підхід
- •7.8. Питання для самоконтролю і співбесіди по темі:
- •8. Термінологія в області захисту інформації
- •Обчислювальна система (ос):
- •Автоматизована система (ас):
- •Об’єкт системи:
- •Доступ:
- •Література
Група с. Дискреційний захист
Група С характеризується наявністю довільного керування доступом і реєстрацією дій суб'єктів.
Клас С1. Дискреційний захист. Системи цього класу задовольняють вимогам забезпечення розділу користувачів і інформації і включають засоби контролю і керування доступом, які дозволяють задавати обмеження для індивідуальних користувачів, що дає їм можливість захищати свою приватну інформацію від інших користувачів. Клас С1 розрахований на багатокористувацькі системи, у яких здійснюється спільна обробка даних одного рівня конфіденційності.
Клас С2. Керування доступом. Системи цього класу здійснюють більш гнучке керування доступом, чим системи класу С1, за допомогою застосування засобів індивідуального контролю за діями користувачів, реєстрації, обліку подій і виділення ресурсів.
Група в. Мандатний захист
Основні вимоги цієї групи – нормативне (мандатне) керування доступом з використанням міток безпеки, підтримка моделі і політики безпеки, а також наявність специфікацій на функції комплексу засобів захисту (в термінології “Жовтогарячої книги” – довіреної обчислювальної бази, trusted computing base). Для систем цієї групи монітор взаємодій повинний контролювати всі події (потоки) у системі.
Клас В1. Захист із застосуванням міток безпеки. Системи класу В1 повинні відповідати усім вимогам, пропонованим до систем класу С2, і, крім того, повинні підтримувати визначену неформально модель безпеки, маркірування даних і нормативне керування доступом. При експорті із системи інформація повинна піддаватися маркіруванню. Виявлені в процесі тестування недоліки повинні бути усунуті.
Клас В2. Структурований захист. Для відповідності класу В2 КЗЗ КС повинен підтримувати формально визначену і чітко документовану модель безпеки, яка передбачає довільне і нормативне керування доступом, що поширюється в порівнянні із системами класу В1 на всі суб'єкти. Крім того, повинен здійснюватися контроль прихованих каналів витоку інформації. У структурі ядра захисту повинні бути виділені елементи, критичні з погляду безпеки. Інтерфейс КЗЗ повинен бути чітко визначеним, а її архітектура і реалізація повинні бути виконані з урахуванням можливості проведення тестових іспитів. У порівнянні з класом В1 повинні бути посилені засоби автентифікації. Керування безпекою здійснюється адміністраторами системи. Повинні бути передбачені засоби керування конфігурацією.
Клас В3. Домени безпеки. Для відповідності цьому класу ядро захисту системи повинне включати монітор взаємодій, що контролює всі типи доступу суб'єктів до об'єктів, що неможливо обійти (тобто потрібно гарантування заданої ПБ). Крім того, ядро захисту повинне бути структуроване з метою виключення з нього підсистем, що не відповідають за реалізацію функцій захисту, і бути досить компактним для ефективного тестування й аналізу. У ході розробки і реалізації ядра захисту повинні застосовуватися методи і засоби, спрямовані на мінімізацію його складності. Засобу аудита повинні включати механізми оповіщення адміністратора при виникненні подій, що мають значення для безпеки системи. Потрібно наявність засобів відновлення працездатності системи.