- •Захист інформації та інформаційна безпека
- •До вивчення дисципліни
- •6.7. Питання для самоконтролю і співбесіди по темі……….………….….84
- •1. Політика інформаційної безпеки україни.
- •1.1 Інформаційна безпека і її місце в системі національноїбезпеки України
- •1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України.
- •1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність
- •1.4. Питання для самоконтролю і співбесіди по темі:
- •2. Інформація як об’єкт захисту
- •2.1. Поняття інформації. Властивості інформації.
- •2.2. Класифікація інформації.
- •2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти.
- •2.4. Інформація як об'єкт прав.
- •2.5. Режими доступу до інформації.
- •2.6. Інформація як об'єкт права власності.
- •2.7. Відповідальність за порушення законодавства про інформацію.
- •2.8.Інформація як об'єкт захисту.
- •2.9. Питання для самоконтролю і співбесіди по темі:
- •3. Захист інформаційних систем
- •3.1 Джерела інформації
- •3.2. Інформаційна система як об’єкт захисту інформації
- •3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації
- •3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації
- •3.5. Питання для самоконтролю і співбесіди по темі:
- •4. Аналіз захищеності об’єкта захисту інформації
- •4.1 Поняття погрози
- •4.2 Класифікація погроз
- •4.3 Характер походження погроз
- •4.4 Побудова моделі погроз
- •4.5 Методи та види нсд
- •4.6 Методи реалізації нсд
- •4.7 Канали витоку інформації
- •4.8 Побудова моделі порушника
- •4.9 Потенційно можливі злочинні дії
- •4.10. Питання для самоконтролю і співбесіди по темі:
- •5. Огляд причин порушення безпеки
- •5.1 Загальні причини порушення безпеки
- •5.2 Ознаки функціонування іс, які свідчать про наявність уразливих місць в інформаційній безпеці
- •5.3. Питання для самоконтролю і співбесіди по темі:
- •6. Критерії безпеки інформаційних технологій
- •6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони сша. «Жовтогаряча книга». Мета розробки
- •Визначення безпечної системи
- •Загальна структура вимог безпеки
- •Політика безпеки
- •Коректність
- •Таксономія критеріїв Політика безпеки
- •Коректність
- •Документація
- •Класи безпеки комп'ютерних систем
- •Група d. Мінімальний захист
- •Група с. Дискреційний захист
- •Група в. Мандатний захист
- •Група а. Верифікований захист
- •Інтерпретація і розвиток "Жовтогарячої книги"
- •Висновки
- •6.2. Європейські критерії безпеки інформаційних технологій
- •Основні поняття
- •Функціональні критерії
- •Критерії адекватності
- •Критерії ефективності
- •Критерії коректності
- •Висновки
- •Середовище розробки
- •Документування
- •6.5. Нормативні документи технічного захисту інформації (нд тзі) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •Склад документів:
- •Законодавча і нормативна база України
- •Сфера дії нормативних документів
- •Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 1.1-003-99)
- •Керування доступом
- •Довірче керування доступом:
- •Адміністративне керування доступом:
- •Критерії захищеності інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 2.5-004-99)
- •Критерії конфіденційності
- •Критерії цілісності
- •Критерії доступності
- •Критерії спостереженості
- •Критерії гарантій (г-1…7):
- •Класифікація ас і стандартні функціональні профілі захищеності інформації в комп’ютерних системах (нд тзі 2.5-005-99)
- •Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в ас (нд тзі 3.7-001-99)
- •Висновки
- •Обґрунтування функцій захисту
- •Обґрунтування рівня адекватності
- •Обґрунтування відповідності профілю захисту
- •Таксономія вимог Функціональні вимоги Захист інформації
- •Безпека захисту
- •Ідентифікація й автентифікація
- •6.7. Питання для самоконтролю і співбесіди по темі:
- •7. Комплексні системи захисту інформації
- •7.1. Визначення комплексної система захисту інформації
- •Cистема охоронної сигналізації
- •Приймально-контрольні прилади
- •Система контролю доступу
- •Периметрові системи охорони
- •Система охоронної сигнализации
- •Система відео спостереження
- •Типова модель функціонування системи відеоспостереження
- •Система збору і обробки інформації
- •Система протидії економічному шпигунству
- •Система пожежної сигналізації
- •Система автоматичного пожежогасіння
- •7.2. Концепція створення захищених кс
- •7.3. Етапи створення комплексної системи захисту інформації
- •7.4. Науково-дослідна розробка ксзі
- •7.5. Моделювання ксзі
- •7.5.1. Спеціальні методи неформального моделювання
- •7.5.2. Декомпозиція задачі по оцінці ефективності функціонування ксзі
- •7.5.3. Макромоделювання
- •7.6. Вибір показників ефективності і критеріїв оптимальності ксзі
- •7.7. Підходи до оцінки ефективності ксзі
- •7.7.1. Класичний підхід
- •7.7.2. Офіційний підхід
- •7.8. Питання для самоконтролю і співбесіди по темі:
- •8. Термінологія в області захисту інформації
- •Обчислювальна система (ос):
- •Автоматизована система (ас):
- •Об’єкт системи:
- •Доступ:
- •Література
Доступ:
Взаємодія двох об’єктів ОС, в ході якої один з об’єктів (той, що здійснює доступ) виконує дії над іншим об’єктом (тим, до якого здійснюється доступ). Результатом доступу є зміна стану системи (наприклад, запуск програми на виконання) та/або утворення інформаційного потоку від одного з об’єктів до іншого (наприклад, читання або запис інформації). В разі, коли утворюється інформаційний потік, кажуть, що здійснюється доступ до інформації.
Рос.: Доступ, Англ.: Access
Політика безпеки [інформації]:
сукупність законів, правил, обмежень, рекомендацій, інструкцій і т.д., що регламентують порядок обробки інформації.
Рос.: Политика безопасности, Англ.: Information security policy
Правила розмежування доступу (ПРД):
Частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів.
Рос.: Правила разграничения доступа, Англ.: Access mediation rules
Безпека інформації:
стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації
Рос.: Безопасность информации, Англ.: Information security
Властивості інформації:
конфіденційність
цілісність
доступність
Конфіденційність:
тільки уповноважені користувачі можуть ознайомитися з інформацією
Рос.: Конфиденциальность, Англ.: Confidentiality
Цілісність:
тільки уповноважені користувачі можуть модифікувати інформацію
Рос.: Целостность, Англ.: Integrity
Доступність:
уповноважені користувачі можуть одержати доступ до інформації згідно з правилами, що встановлені політикою безпеки, не очікуючи довше заданого (малого) проміжку часу
Рос.: Доступность, Англ.: Availability
Несприятливий вплив:
вплив, що приводить до зниження цінності інформаційних ресурсів.
Рос.: Неблагоприятное воздействие.
Загроза:
будь-які обставини чи події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитку АС.
Загроза – будь-який потенційно можливий несприятливий вплив.
Рос.: Угроза, Англ.: Threat
Атака:
спроба реалізації загрози
Рос.: Атака, Англ.: Attack
Вразливість системи:
нездатність системи протистояти реалізації визначеної загрози чи сукупності загроз.
Рос.: Уязвимость системы, Англ.: System vulnerability
Захищена АС:
АС, що здатна забезпечувати захист оброблюваної інформації від визначених загроз.
Рос.: Защищенная АС, Англ.: Trusted computer system
Захист інформації в АС:
діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації й АС у цілому, що дозволяє запобігти чи утруднити можливість реалізації загроз, а також знизити величину потенційного збитку в результаті реалізації загроз.
Рос.: Защита информации в АС, Англ.: Information protection, information security, computer system security
Захист інформації в АС полягає в створенні і підтримці в працездатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти чи утруднити можливість реалізації загроз, а також знизити потенційний збиток.
Система зазначених заходів називається комплексною системою захисту інформації
Комплексна система захисту інформації (КСЗІ):
сукупність організаційних, інженерних мір, програмно-апаратних засобів, що забезпечують захист інформації в АС
Рос.: Комплексная система защиты информации (КСЗИ)
Комплекс засобів захисту (КЗЗ):
сукупність програмно-апаратних засобів, що забезпечують реалізацію політики безпеки інформації
Рос.: Комплекс средств защиты (КСЗ), Англ.: Trusted computing base (TCB)
Гарантії:
Показник ступеню впевненості в тому, що АС коректно реалізує політику безпеки.
Рос.: Гарантии, Англ.: Assurance
В перекладах зарубіжних стандартів російською мовою замість терміну “гарантії”, як правило, вживається термін “адекватність”.
Адекватність:
Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їхніх відповідностей поставленим задачам.
Рос.: Адекватность, Англ.: Assurance
Кваліфікаційний аналіз:
Аналіз АС (чи ОС) з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки
Рос.: Квалификационный анализ, Англ.: Evaluation
Модель [політики] безпеки:
Абстрактний формалізований чи неформалізований опис політики безпеки
Рос.: Модель политики безопасности, Англ.: Security policy model
Модель загроз:
Абстрактний формалізований чи неформалізований опис методів і засобів здійснення загроз
Рос.: Модель угроз, Англ.: Model of threats
Модель порушника:
Абстрактний формалізований чи неформалізований опис порушника
Рос.: Модель нарушителя, Англ.: User violator model