- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Особливості сучасних інформаційних систем з погляду безпеки
Програмно-технічні заходи – це заходи, спрямовані на контроль комп’ютерної сутності устаткування, програм та даних.
Відомо, що основні втрати є наслідком дій легальних користувачів комп’ютерних систем, по відношенню до яких процедурні регулятори малоефективні. Головні вороги – некомпетентність і неакуратність при виконанні службових обов’язків, і лише програмно-технічні заходи здатні їм протистояти.
Комп'ютери допомогли автоматизувати багато галузей людської діяльності. Цілком природним представляється бажання покласти на них і забезпечення власної безпеки. Навіть фізичний захист все частіше доручають не охоронцям, а інтегрованим комп’ютерним системам, що дозволяє одночасно відстежувати переміщення співробітників і по організації, і по інформаційному простору.
Проте, швидкий розвиток інформаційних технологій не тільки надає нові можливості, але й об’єктивно утруднює забезпечення надійного захисту, якщо спиратися виключно на заходи програмно-технічного рівня. Причин тому декілька:
підвищення швидкодії мікросхем, розвиток архітектури з високим ступенем паралелізму дозволяє методом грубої сили долати бар’єри (перш за все криптографічні), що раніше здавалися неприступними;
розвиток мереж і мережевих технологій, збільшення кількості зв’язків між ІС, зростання пропускної спроможності каналів розширюють коло зловмисників, що мають можливість організовувати атаки;
поява нових інформаційних сервісів веде і до утворення нових вразливих місць як “усередині” сервісів, так і на їх стиках;
конкуренція серед виробників програмного забезпечення примушує скорочувати терміни розробки, що призводить до зниження якості тестування і випуску продуктів з дефектами захисту;
нав'язувана споживачам парадигма постійного нарощування потужності апаратного і програмного забезпечення не дозволяє довго залишатися в рамках надійних, апробованих конфігурацій і, крім того, вступає в конфлікт з бюджетними обмеженнями, через що знижується частка асигнувань на безпеку.
Перераховані причини зайвий раз підкреслюють важливість комплексного підходу до інформаційної безпеки, а також необхідність гнучкої позиції при виборі і супроводі програмно-технічних регуляторів.
Центральним для програмно-технічного рівня є поняття сервісу безпеки.
Визначення потрібного набору сервісів безпеки здійснюється виходячи з таких видів заходів безпеки:
заходи, що перешкоджають порушенням ІБ;
заходи виявлення порушень;
заходи, що звужують зону дії порушень;
заходи з виявлення порушника;
заходи відновлення режиму безпеки.
У теперішній час рекомендується застосовувати такий набір сервісів:
ідентифікація і автентифікація;
управління доступом;
протоколювання та аудит;
шифрування;
контроль цілісності;
екранування;
аналіз захищеності;
забезпечення відмовостійкості;
забезпечення безпечного відновлення;
тунелювання;
управління.
Якщо зіставити наведений перелік сервісів з класами функціональних вимог “Загальних критеріїв”, то тут додалися такі сервіси як екранування, аналіз захищеності і тунелювання. Ці сервіси мають важливе значення самі по собі і, крім того, можуть комбінуватися з іншими сервісами для отримання необхідних захисних засобів.
Сукупність перерахованих вище сервісів безпеки називають повним набором. Вважається, що його, в принципі, достатньо для побудови надійного захисту на програмно-технічному рівні, але при дотриманні цілого ряду додаткових умов (відсутність вразливих місць, безпечне адміністрування тощо).
Більшість сервісів безпеки належать до превентивних заходів. Аудит і контроль цілісності здатні допомогти у виявленні порушень; активний аудит, дозволяє запрограмувати реакцію на порушення з метою локалізації та/або дослідження. Спрямованість сервісів відмовостійкості і безпечного відновлення очевидна. Нарешті, управління грає інфраструктурну роль, обслуговуючи всі аспекти ІС.
ІС типової сучасної організації є достатньо складним утворенням, побудованим за багаторівневою архітектурою клієнт/сервер, яке користується численними зовнішніми сервісами і, в свою чергу, надає власні сервіси зовні. Навіть порівняно невеликі магазини, що забезпечують розрахунок з покупцями за пластиковими картками (і, звичайно, мають зовнішній Web-сервер), залежать від своїх інформаційних систем і, зокрема, від захищеності всіх компонентів систем і комунікацій між ними.
З погляду безпеки найбільш істотними є такі аспекти сучасних ІС:
корпоративна мережа має декілька частин, які можуть бути територіально рознесені, зв’язки між якими знаходяться у веденні зовнішнього постачальника мережевих послуг, виходячи за межі зони, контрольованою організацією;
мережа має одне або декілька підключень до Internet;
на кожному з виробничих майданчиків можуть знаходитися критично важливі сервери, в доступі до яких мають потребу співробітники, що працюють на інших майданчиках, мобільні користувачі і, можливо, співробітники інших організацій;
для доступу користувачів можуть застосовуватися не тільки комп’ютери, але й пристрої, що використовують бездротовий зв'язок;
до доступності інформаційних сервісів висуваються жорсткі вимоги, стосовно необхідності цілодобового функціонування з часом простою, який не перевищує декількох хвилин;
ІС є мережею з активними агентами, тобто в процесі роботи програмні компоненти, такі як аплети або сервлети, передаються з однієї машини на іншу і виконуються в цільовому середовищі, підтримуючи зв’язок з віддаленими компонентами;
не всі призначені для користувача системи контролюються мережевими та/або системними адміністраторами організації;
програмне забезпечення, не може вважатися надійним, в ньому можуть бути помилки, що створюють проблеми із захистом;
конфігурація ІС постійно змінюється на рівнях адміністративних даних, програм, апаратури (змінюється склад користувачів, привілеї, версії програм, з’являються нові сервіси, нова апаратура тощо).
Слід враховувати ще два моменти. По-перше, для кожного сервісу основні грані ІБ (доступність, цілісність, конфіденційність) трактуються по-своєму. Цілісність з погляду системи управління базами даних і з погляду поштового сервера – речі принципово різні. Безглуздо говорити про безпеку локальної або іншої мережі, якщо мережа включає різнорідні компоненти. Слід аналізувати захищеність сервісів, що функціонують у мережі. По-друге, основна загроза ІБ організацій як і раніше виходить не від зовнішніх зловмисників, а від власних співробітників.