- •Захист інформації та інформаційна безпека
- •До вивчення дисципліни
- •6.7. Питання для самоконтролю і співбесіди по темі……….………….….84
- •1. Політика інформаційної безпеки україни.
- •1.1 Інформаційна безпека і її місце в системі національноїбезпеки України
- •1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України.
- •1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність
- •1.4. Питання для самоконтролю і співбесіди по темі:
- •2. Інформація як об’єкт захисту
- •2.1. Поняття інформації. Властивості інформації.
- •2.2. Класифікація інформації.
- •2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти.
- •2.4. Інформація як об'єкт прав.
- •2.5. Режими доступу до інформації.
- •2.6. Інформація як об'єкт права власності.
- •2.7. Відповідальність за порушення законодавства про інформацію.
- •2.8.Інформація як об'єкт захисту.
- •2.9. Питання для самоконтролю і співбесіди по темі:
- •3. Захист інформаційних систем
- •3.1 Джерела інформації
- •3.2. Інформаційна система як об’єкт захисту інформації
- •3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації
- •3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації
- •3.5. Питання для самоконтролю і співбесіди по темі:
- •4. Аналіз захищеності об’єкта захисту інформації
- •4.1 Поняття погрози
- •4.2 Класифікація погроз
- •4.3 Характер походження погроз
- •4.4 Побудова моделі погроз
- •4.5 Методи та види нсд
- •4.6 Методи реалізації нсд
- •4.7 Канали витоку інформації
- •4.8 Побудова моделі порушника
- •4.9 Потенційно можливі злочинні дії
- •4.10. Питання для самоконтролю і співбесіди по темі:
- •5. Огляд причин порушення безпеки
- •5.1 Загальні причини порушення безпеки
- •5.2 Ознаки функціонування іс, які свідчать про наявність уразливих місць в інформаційній безпеці
- •5.3. Питання для самоконтролю і співбесіди по темі:
- •6. Критерії безпеки інформаційних технологій
- •6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони сша. «Жовтогаряча книга». Мета розробки
- •Визначення безпечної системи
- •Загальна структура вимог безпеки
- •Політика безпеки
- •Коректність
- •Таксономія критеріїв Політика безпеки
- •Коректність
- •Документація
- •Класи безпеки комп'ютерних систем
- •Група d. Мінімальний захист
- •Група с. Дискреційний захист
- •Група в. Мандатний захист
- •Група а. Верифікований захист
- •Інтерпретація і розвиток "Жовтогарячої книги"
- •Висновки
- •6.2. Європейські критерії безпеки інформаційних технологій
- •Основні поняття
- •Функціональні критерії
- •Критерії адекватності
- •Критерії ефективності
- •Критерії коректності
- •Висновки
- •Середовище розробки
- •Документування
- •6.5. Нормативні документи технічного захисту інформації (нд тзі) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •Склад документів:
- •Законодавча і нормативна база України
- •Сфера дії нормативних документів
- •Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 1.1-003-99)
- •Керування доступом
- •Довірче керування доступом:
- •Адміністративне керування доступом:
- •Критерії захищеності інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 2.5-004-99)
- •Критерії конфіденційності
- •Критерії цілісності
- •Критерії доступності
- •Критерії спостереженості
- •Критерії гарантій (г-1…7):
- •Класифікація ас і стандартні функціональні профілі захищеності інформації в комп’ютерних системах (нд тзі 2.5-005-99)
- •Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в ас (нд тзі 3.7-001-99)
- •Висновки
- •Обґрунтування функцій захисту
- •Обґрунтування рівня адекватності
- •Обґрунтування відповідності профілю захисту
- •Таксономія вимог Функціональні вимоги Захист інформації
- •Безпека захисту
- •Ідентифікація й автентифікація
- •6.7. Питання для самоконтролю і співбесіди по темі:
- •7. Комплексні системи захисту інформації
- •7.1. Визначення комплексної система захисту інформації
- •Cистема охоронної сигналізації
- •Приймально-контрольні прилади
- •Система контролю доступу
- •Периметрові системи охорони
- •Система охоронної сигнализации
- •Система відео спостереження
- •Типова модель функціонування системи відеоспостереження
- •Система збору і обробки інформації
- •Система протидії економічному шпигунству
- •Система пожежної сигналізації
- •Система автоматичного пожежогасіння
- •7.2. Концепція створення захищених кс
- •7.3. Етапи створення комплексної системи захисту інформації
- •7.4. Науково-дослідна розробка ксзі
- •7.5. Моделювання ксзі
- •7.5.1. Спеціальні методи неформального моделювання
- •7.5.2. Декомпозиція задачі по оцінці ефективності функціонування ксзі
- •7.5.3. Макромоделювання
- •7.6. Вибір показників ефективності і критеріїв оптимальності ксзі
- •7.7. Підходи до оцінки ефективності ксзі
- •7.7.1. Класичний підхід
- •7.7.2. Офіційний підхід
- •7.8. Питання для самоконтролю і співбесіди по темі:
- •8. Термінологія в області захисту інформації
- •Обчислювальна система (ос):
- •Автоматизована система (ас):
- •Об’єкт системи:
- •Доступ:
- •Література
Висновки
"Критерії оцінки захищених комп'ютерних систем" Міністерства оборони США являють собою першу спробу створити єдиний стандарт безпеки, що розрахований на проектувальників, розроблювачів, споживачів і фахівців із сертифікації систем безпеки комп'ютерних систем. У свій час цей документ став значним кроком в області безпеки інформаційних технологій і послужив відправною точкою для численних досліджень і розробок. Основною рисою цього документа, як уже відзначалося, є його орієнтація на системи військового застосування, причому в основному на операційні системи. Це визначило домінування вимог, спрямованих на забезпечення конфіденційності оброблюваної інформації і виключення можливостей її розголошення. Велика увага приділена міткам конфіденційності (грифам таємності) і правилам експорту секретної інформації.
Вимоги по гарантуванню політики безпеки відображені досить поверхово, відповідний розділ фактично обмежується вимогами контролю цілісності засобів захисту і підтримки їхньої працездатності, чого згідно сучасних поглядів явно недостатньо.
Вищий клас безпеки (А1) побудований на доказі відповідності ПЗ його специфікаціям , однак цей доказ не підтверджує коректність і адекватність реалізації політики безпеки.
"Жовтогаряча книга" послужила основою для розробників всіх інших стандартів інформаційної безпеки і до останнього часу використовувалась в США як керівний документ при сертифікації комп'ютерних систем обробки інформації.
6.2. Європейські критерії безпеки інформаційних технологій
Слідом за виходом "Жовтогарячої книги" країни Європи розробили погоджені "Критерії безпеки інформаційних технологій" (Information Technology Security Evaluation Criteria, далі – "Європейські критерії"). Даний огляд ґрунтується на версії 1.2 цього документа, опублікованої в червні 1991 року від імені відповідних органів чотирьох країн: Франції, Німеччини, Нідерландів і Великобританії [ ].
Основні поняття
"Європейські критерії" розглядають такі задачі засобів інформаційної безпеки:
захист інформації від несанкціонованого доступу з метою забезпечення її конфіденційності (підтримка конфіденційності);
забезпечення цілісності інформації за допомогою захисту від її несанкціонованої модифікації чи знищення (підтримка цілісності);
забезпечення працездатності систем за допомогою протидії загрозам відмовлення в обслуговуванні (підтримка приступності).
Для того щоб задовольнити вимогам конфіденційності, цілісності і доступності, необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, відновлення після збоїв і т.д. Щоб засоби захисту можна було визнати ефективними, потрібен високий ступінь впевненості в правильності їхнього вибору і надійності функціонування. Для рішення цієї проблеми в "Європейських критеріях" уперше вводиться поняття адекватності (assurance) засобів захисту.
Адекватність містить у собі два аспекти: ефективність, що відбиває відповідність засобів безпеки розв'язуваним задачам, і коректність, що характеризує процес їхньої розробки і функціонування. Ефективність визначається відповідністю між задачами, поставленими перед засобами безпеки, і реалізованим набором функцій захисту – їхньою функціональною повнотою і погодженістю, простотою використання, а також можливими наслідками використання зловмисниками слабких місць захисту. Під коректністю розуміється правильність і надійність реалізації функцій безпеки (у прийнятій термінології – гарантування обраної ПБ).
У "Європейських критеріях" засоби, що мають відношення до інформаційної безпеки, розглядаються на трьох рівнях деталізації. На першому рівні розглядаються цілі, які переслідує забезпечення безпеки, другий рівень містить специфікації функцій захисту, а третій – механізми, що їх реалізують.
Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їхньої реалізації.