- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Фізичний захист
Безпека ІС залежить від оточення, в якому ця ІС функціонує. Необхідно вжити заходів для захисту будівель і прилеглої території, інфраструктури, обчислювальної техніки, носіїв даних.
Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як “безперервність захисту у просторі та часі”.
Фізичний захист здійснюється за такими напрямками:
фізичне управління доступом;
протипожежні заходи;
захист інфраструктури;
захист від перехоплення даних;
захист мобільних систем.
Заходи фізичного управління доступомдозволяють:
контролювати і, в разі необхідності, обмежувати вхід і вихід співробітників і відвідувачів;
виключити можливості таємного проникнення на територію та у приміщення сторонніх осіб;
забезпечити зручність контролю проходу і переміщення співробітників і відвідувачів;контролювати і, в разі необхідності, обмежувати вхід і вихід співробітників і відвідувачів;
створити окремі виробничі зони за типом конфіденційних робіт із самостійними системами доступу;
контролювати дотримання часового режиму праці і перебування на території персоналу фірми;
організувати і підтримувати надійний пропускний режим.
При проектуванні і реалізації заходів фізичного управління доступом доцільно застосовувати об'єктний підхід.
По-перше, визначається периметр безпеки, що обмежує контрольовану територію. На цьому рівні деталізації важливо продумати зовнішній інтерфейс організації – порядок входу/виходу штатних співробітників і відвідувачів, внесення/винесення техніки. Все, що не входить в зовнішній інтерфейс, повинно бути інкапсульовано, тобто захищено від нелегальних проникнень.
По-друге, здійснюється декомпозиція контрольованої території, виділяються об’єкти і зв’язки (проходи) між ними. При такій, глибшій деталізації слід виділити серед об'єктів найбільш критичні з погляду безпеки і забезпечити їм підвищену увагу. Декомпозиція повинна бути семантично виправданою, що забезпечує розмежування різнорідної суті, таких як устаткування різних власників або персонал, що працює з даними різного ступеня критичності. Важливо зробити так, щоб відвідувачі, по можливості, не мали безпосереднього доступу до комп’ютерів або, в крайньому випадку, потурбуватися про те, щоб від вікон і дверей не були видимими екрани моніторів і принтери. Необхідно, щоб відвідувачів на вигляд можна було відрізнити від співробітників.
Засоби фізичного управління доступом відомі давно. Це охорона, двері із замками, перегородки, телекамери, датчики руху і багато іншого. Для вибору оптимального (за критерієм вартість/ефективність) засобу доцільно провести аналіз ризиків. Крім того, є сенс періодично відстежувати появу технічних новинок у даній галузі, прагнучи максимально автоматизувати фізичний захист.
Протипожежні заходимають розробляти і реалізовувати професіонали пожежники. Однак, у будь-якому разі, основним заходом є встановлення протипожежної сигналізації і автоматичних засобів пожежогасіння.
До підтримуючої інфраструктуривідносять системи електро-, водо- і теплопостачання, кондиціонери і засоби комунікацій. До них застосовні ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для забезпечення цілісності потрібно захищати устаткування від крадіжок і пошкоджень. Для підтримки доступності слід вибирати устаткування з максимальним часом напрацювання на відмову, дублювати важливі вузли і завжди мати під рукою запчастини.
Перехоплення данихможе здійснюватися найрізноманітнішими способами. Зловмисник може підглядати за екраном монітора, читати пакети, передані по мережі, здійснювати аналіз побічних електромагнітних випромінювань і наведень тощо. Захист від перехоплення даних можна забезпечити використанням криптографії, максимальним розширенням контрольованої території, контролем лінії в’язку (наприклад, укладати їх в надувну оболонку з виявленням проколювання). Однак найрозумніше – усвідомити, що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.
Основна загроза мобільним і портативним комп’ютерам– це їхнє викрадення. Тому важливо не залишати їх без нагляду в автомобілі або на роботі.
Сумна статистика останніх інцидентів показую всю ненадійність захисту мобільних систем.
- В 2008 р. мобільний комп’ютер з секретними даними було вкрадено з автомобіля однієї з перших осіб Пентагону.
- З липня по жовтень 2007 р. Bank of Ireland, другий за величиною банк в Ірландії, втратив чотири ноутбуки з іменами громадян країни, їх адресами, відомостями про банківські рахунки та медичною інформацією.
- У вересні 2008 р. з Національного банку Канади серед робочого дня грабіжник виніс ноутбук з даними тисяч клієнтів іпотечної програми.
- За статистикою в аеропортах США губиться близько 20 тис. ноутбуків та мобільних телефонів, причому лише за половиною з них повертаються.
Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, ухвалюючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, займаній організацією, характер і тривалість збоїв електроживлення, вартість доступних джерел і можливі втрати від аварій (поломка техніки, припинення роботи організації тощо). В той же час, у багатьох випадках рішення очевидні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох заходів (наприклад, установлення звичайного замка на двері серверної кімнати) мала або явно менша, ніж можливий збиток.