- •Возненко а д.
- •Стасюк о. І. Основи захисту інформації
- •1. Основні поняття 5
- •2. Національні стандарти щодо захисту інформації 16
- •3. Організаційно-технічні заходи щодо захисту інформації 62
- •1 Основні поняття
- •1.1 Інформація як об’єкт захисту
- •1.2. Визначення, мета, завдання та види захисту інформації
- •2 Національні стандарти щодо захисту інформації
- •2.1. Загальні властивості інформації
- •2.2. Цінність та класифікація інформації
- •2.3. Інформація як об'єкт власності
- •2.4. Інформація як комерційна таємниця
- •2.5. Проблеми захисту інформації
- •2.6. Державна політика забезпечення інформаційної безпеки
- •2.7. Законодавчі акти і нормативні документи щодо зі
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •3.6. Охоронні системи
- •3.7. Захист машинних носіїв інформації
- •4 Політика безпеки
- •4.1. Поняття політики безпеки
- •4.2. Види політик безпеки
- •5 Механізми захисту інформації від несанкціонованого доступу
- •5.1. Керування доступом
- •5.2. Ідентифікація та автентифікація
- •6. Системи криптографічного захисту інформації
- •6.1. Історичні відомості
- •6.2. Базові поняття криптографії
- •6.3. Шифрування в каналах зв'язку
- •6.4. Цифровий підпис
- •7 Стандарти із захисту інформації
- •7.1. Проблеми створення стандартів із зі
- •9.2. Огляд стандартів із захисту інформації
- •7.3. Державний стандарт (Критерії) України із зі
- •. Література
1.2. Визначення, мета, завдання та види захисту інформації
Політика безпеки – це сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок оброблення інформації в ІТС та на ОІД.
Безпека інформації – це стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.
Захист інформації – це діяльність по забезпеченню безпеки інформації на протязі її життєвого циклу (виготовлення, зберігання, обробки, передачі та знищення).
Метою захисту інформації є збереження ціннісних характеристик інформації до загроз її несанкціонованого витоку (розголошення), нав’язування фальшивої інформації (дезінформації), блокування та знищення.
Слід зазначити, що під нав’язуванням фальшивої інформації розуміється процес негласного порушення цілісності інформації або зміни її авторства (імітація та підміна).
Завданнями захисту інформації є забезпечення конфіденційності, цілісності, ідентифікації, автентифікації та доступності інформації.
Конфіденційність – це властивість інформації бути захищеною від загрози несанкціонованого витоку, тобто ознайомлення особами, для яких вона не призначена.
Цілісність – це властивість інформації бути захищеною від несанкціонованого спотворення або знищення.
Ідентифікація – це процес однозначного розпізнавання суб’єкта інформаційних відносин серед інших суб’єктів. Ідентифікатор – це інформація, що дозволяє однозначно розпізнавати даний суб’єкт серед інших суб’єктів.
Автентифікація – це процес підтвердження того, що суб’єкт є тим, за кого він себе заявив. Тобто дійсно є тим, чий ідентифікатор він пред’явив.
Доступність – це властивість інформації бути захищеною від несанкціонованого блокування.
Таким чином, захисту підлягає як інформація з обмеженим доступом, так і відкрита інформація.
На сьогоднішній день існує декілька видів захисту інформації, що обумовлені різними принципами та технологічними можливостями. Це організаційно-правовий, технічний, криптографічний та стеганографічний захист інформації, а також голографічний захист носіїв інформації, біометрія та інженерно-технічний захист ОІД.
Організаційно-правовий захист інформації – це вид захисту, який передбачає протидію несанкціонованому витоку, нав’язуванню, блокуванню знищенню інформації шляхом законодавчого регулювання порядку її виготовлення, зберігання, обробки, передачі та знищення. Тобто мова йде про вимоги до організації роботи з інформацією з обмеженим доступом та відповідальність за правопорушення у цій сфері.
Під технічним захистом інформації розуміється вид захисту, що передбачає протидію:
-
витоку, нав’язуванню, знищенню і блокуванню інформації;
-
порушенням режиму доступу до інформації;
шляхом використання інженерно-технічних та/або програмних заходів безпеки.
Тобто, передбачається, що порушник не має змоги отримати доступ до інформації.
Під криптографічним захистом інформації прийнято розуміти вид захисту, який передбачає протидію витоку і нав’язуванню інформації шляхом використання математичних перетворень із секретним параметром, який отримав назву ключа. Тобто, передбачається, що порушник має змогу отримати інформацію, але не може нею скористатись.
Під стеганографічним захистом інформації прийнято розуміти вид захисту, що передбачає використання методів приховування необхідної інформації в деякому інформаційному середовищі (контейнері), тобто приховування самого факту передачі або зберігання інформації. Методи стеганографічного захисту представляють інтерес, насамперед, як методи формування технічних каналів витоку інформації.
Біометричний захист, а точніше біометричні методи автентифікації – це способи використання біологічних ознак людини у якості ідентифікатора, наприклад, образи відбитків пальців, долоні, обличчя та інші.
Під голографічним захистом інформації розуміється вид захисту носіїв інформації шляхом використання голографічних захисних елементів, що має на меті підтвердження їх справжності та авторства тощо.
Інженерно-технічний захист ОІД (або інженерно-технічний захист інформації) – це фізичний захист джерел інформації, що включає в себе методи інженерного захисту та технічної охорони об’єктів.
Комплексний підхід до захисту інформації (або комплексний захист інформації) – це взаємопов’язана сукупність різних видів та методів захисту інформації, що обираються в залежності від можливих загроз для конкретного об’єкту захисту.
Різні по виконанню реалізації загроз витоку, нав’язування, блокування та знищення інформації прийнято називати атаками на ІТС або ОІД.
В основі комплексного підходу до захисту інформації лежать три базових поняття у сфері технічного та криптографічного захисту інформації, а саме «комплексна система захисту інформації», «комплекс технічного захисту інформації» та «криптографічна система».
Комплексна система захисту інформації (або КСЗІ) — це сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в ІТС (персональні комп’ютери, локальні та глобальні комп’ютерні мережі).
Комплекс технічного захисту інформації (або комплекс ТЗІ) – це сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку мовної інформації з обмеженим доступом технічними каналами на ОІД (насамперед, приміщення, автомобілі).
Криптографічною системою (або криптосистемою) називається сукупність засобів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає організаційно-технічні заходи безпеки), використання яких забезпечує належний рівень захищеності інформації в телекомунікаційних та інформаційно-телекомунікаційних системах, що обробляється, зберігається та (або) передається.
Криптографічна система може бути окремою системою захисту інформації в телекомунікаційних системах або складовою частиною КСЗІ в ІТС.