- •Захист інформації та інформаційна безпека
- •До вивчення дисципліни
- •6.7. Питання для самоконтролю і співбесіди по темі……….………….….84
- •1. Політика інформаційної безпеки україни.
- •1.1 Інформаційна безпека і її місце в системі національноїбезпеки України
- •1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України.
- •1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність
- •1.4. Питання для самоконтролю і співбесіди по темі:
- •2. Інформація як об’єкт захисту
- •2.1. Поняття інформації. Властивості інформації.
- •2.2. Класифікація інформації.
- •2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти.
- •2.4. Інформація як об'єкт прав.
- •2.5. Режими доступу до інформації.
- •2.6. Інформація як об'єкт права власності.
- •2.7. Відповідальність за порушення законодавства про інформацію.
- •2.8.Інформація як об'єкт захисту.
- •2.9. Питання для самоконтролю і співбесіди по темі:
- •3. Захист інформаційних систем
- •3.1 Джерела інформації
- •3.2. Інформаційна система як об’єкт захисту інформації
- •3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації
- •3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації
- •3.5. Питання для самоконтролю і співбесіди по темі:
- •4. Аналіз захищеності об’єкта захисту інформації
- •4.1 Поняття погрози
- •4.2 Класифікація погроз
- •4.3 Характер походження погроз
- •4.4 Побудова моделі погроз
- •4.5 Методи та види нсд
- •4.6 Методи реалізації нсд
- •4.7 Канали витоку інформації
- •4.8 Побудова моделі порушника
- •4.9 Потенційно можливі злочинні дії
- •4.10. Питання для самоконтролю і співбесіди по темі:
- •5. Огляд причин порушення безпеки
- •5.1 Загальні причини порушення безпеки
- •5.2 Ознаки функціонування іс, які свідчать про наявність уразливих місць в інформаційній безпеці
- •5.3. Питання для самоконтролю і співбесіди по темі:
- •6. Критерії безпеки інформаційних технологій
- •6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони сша. «Жовтогаряча книга». Мета розробки
- •Визначення безпечної системи
- •Загальна структура вимог безпеки
- •Політика безпеки
- •Коректність
- •Таксономія критеріїв Політика безпеки
- •Коректність
- •Документація
- •Класи безпеки комп'ютерних систем
- •Група d. Мінімальний захист
- •Група с. Дискреційний захист
- •Група в. Мандатний захист
- •Група а. Верифікований захист
- •Інтерпретація і розвиток "Жовтогарячої книги"
- •Висновки
- •6.2. Європейські критерії безпеки інформаційних технологій
- •Основні поняття
- •Функціональні критерії
- •Критерії адекватності
- •Критерії ефективності
- •Критерії коректності
- •Висновки
- •Середовище розробки
- •Документування
- •6.5. Нормативні документи технічного захисту інформації (нд тзі) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •Склад документів:
- •Законодавча і нормативна база України
- •Сфера дії нормативних документів
- •Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 1.1-003-99)
- •Керування доступом
- •Довірче керування доступом:
- •Адміністративне керування доступом:
- •Критерії захищеності інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 2.5-004-99)
- •Критерії конфіденційності
- •Критерії цілісності
- •Критерії доступності
- •Критерії спостереженості
- •Критерії гарантій (г-1…7):
- •Класифікація ас і стандартні функціональні профілі захищеності інформації в комп’ютерних системах (нд тзі 2.5-005-99)
- •Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в ас (нд тзі 3.7-001-99)
- •Висновки
- •Обґрунтування функцій захисту
- •Обґрунтування рівня адекватності
- •Обґрунтування відповідності профілю захисту
- •Таксономія вимог Функціональні вимоги Захист інформації
- •Безпека захисту
- •Ідентифікація й автентифікація
- •6.7. Питання для самоконтролю і співбесіди по темі:
- •7. Комплексні системи захисту інформації
- •7.1. Визначення комплексної система захисту інформації
- •Cистема охоронної сигналізації
- •Приймально-контрольні прилади
- •Система контролю доступу
- •Периметрові системи охорони
- •Система охоронної сигнализации
- •Система відео спостереження
- •Типова модель функціонування системи відеоспостереження
- •Система збору і обробки інформації
- •Система протидії економічному шпигунству
- •Система пожежної сигналізації
- •Система автоматичного пожежогасіння
- •7.2. Концепція створення захищених кс
- •7.3. Етапи створення комплексної системи захисту інформації
- •7.4. Науково-дослідна розробка ксзі
- •7.5. Моделювання ксзі
- •7.5.1. Спеціальні методи неформального моделювання
- •7.5.2. Декомпозиція задачі по оцінці ефективності функціонування ксзі
- •7.5.3. Макромоделювання
- •7.6. Вибір показників ефективності і критеріїв оптимальності ксзі
- •7.7. Підходи до оцінки ефективності ксзі
- •7.7.1. Класичний підхід
- •7.7.2. Офіційний підхід
- •7.8. Питання для самоконтролю і співбесіди по темі:
- •8. Термінологія в області захисту інформації
- •Обчислювальна система (ос):
- •Автоматизована система (ас):
- •Об’єкт системи:
- •Доступ:
- •Література
7.5.2. Декомпозиція задачі по оцінці ефективності функціонування ксзі
Складність виконуваних функцій, значна частка нечітко певних початкових даних, велика кількість механізмів захисту, складність їх взаємних зв'язків і багато інших чинників роблять практично нерозв'язною проблему оцінки ефективності системи в цілому за допомогою одного якого-небудь методу моделювання.
Для вирішення цієї проблеми застосовується метод декомпозиції (розділення) загального завдання оцінки ефективності на ряд окремих завдань.
Досить просто вирішується окреме завдання оцінки ефективності методу шифрування за умови, що атака на шифр можлива тільки шляхом перебору ключів, і відомий метод шифрування.
Головна складність методу декомпозиції при оцінці систем полягає в обліку взаємозв'язку і взаємного впливу окремих завдань оцінювання і оптимізації. Цей вплив враховується як при рішенні задачі декомпозиції, так і в процесі отримання інтегральних оцінок. Наприклад, при рішенні задачі захисту інформації від електромагнітних випромінювань використовується екранування металевими екранами, а для підвищення надійності функціонування системи необхідне резервування блоків, у тому числі і блоків, що забезпечують безперебійне живлення. Вирішення цих двох окремих завдань взаємозв'язане, наприклад, при створенні КСЗІ на літаючих апаратах, де існують строгі обмеження на вагу. При декомпозиції завдання оптимізації комплексної системи захисту доводиться всякий раз враховувати загальний ліміт ваги устаткування.
7.5.3. Макромоделювання
При оцінці складних систем використовується також макромоделювання. Таке моделювання здійснюється для загальної оцінки системи. Завдання при цьому спрощується за рахунок використання при побудові моделі тільки основних характеристик. До макромоделювання вдаються в основному для отримання попередніх оцінок систем.
На макрорівні можна, наприклад, досліджувати необхідне число рівнів захисту, їх ефективність по відношенню до передбачуваної моделі порушника з урахуванням особливостей КС і фінансових можливостей проектування і побудови КСЗІ.
7.6. Вибір показників ефективності і критеріїв оптимальності ксзі
Ефективність систем оцінюється за допомогою показників ефективності. Іноді використовується термін – показник якості. Показниками якості, як правило, характеризують ступінь досконалості якого-небудь товару, пристрою, машини. Відносно складних людино машинних систем переважно використання терміну показник ефективності функціонування, який характеризує ступінь відповідності оцінюваної системи своєму призначенню.
Прикладом показника ефективності є криптостійкість шифру, яка виражається часом або вартістю злому шифру. Цей показник для шифру DES, наприклад, залежить від однієї характеристики – розрядності ключа. Для методів заміни кріптостійкість залежить від кількості використовуваних алфавітів заміни, а для методів перестановок – від розмірності таблиці і кількості використовуваних маршрутів Гамільтона.
Для того, щоб оцінити ефективність системи захисту інформації або порівняти системи по їх ефективності, необхідно задати деяке правило переваги. Таке правило або співвідношення, засноване на використанні показників ефективності, називають критерієм ефективності. Для отримання критерію ефективності при використанні деякої множини до показників використовують ряд підходів.
Методи, засновані на ранжируванні показників поважливості. При порівнянні систем однойменні показники ефективності зіставляються в порядку убування їх важливості за визначеними алгоритмами.
Прикладами таких методів можуть служити лексикографічний метод і метод послідовних поступок.
Лексикографічний метод доцільний, якщо ступінь відмінності показників по важливості великий. Дві системи порівнюються спочатку по найбільш важливому показнику. За оптимальну вважається така система, у якої краще цей показник. При рівності найважливіших показників порівнюються показники, які займають по рангу другу позицію. При рівності і цих показників порівняння триває до отримання переваги в i-м показнику
Оцінка ефективності СЗІ може здійснюватися також методом Парето. Суть методу полягає в наступному. При використанні п показників ефективності системі відповідає крапка в n-мерном просторі. У n-мірному просторі будується область парето-оптимальных рішень. У цій області розташовуються незрівняні рішення, для яких поліпшення якого-небудь показника неможливе без погіршення інших показників ефективності. Вибір якнайкращого рішення з числа парето-оптимальных може здійснюватися по різних правилах