- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Принципи Архітектурної безпеки
Сервіси безпеки, якими б потужними вони не були, самі по собі не можуть гарантувати надійність програмно-технічного захисту. Тільки перевірена архітектура здатна зробити ефективним об’єднання сервісів, забезпечити керованість ІС, її здатність розвиватися і протистояти новим загрозам при збереженні таких властивостей, як висока продуктивність, простота і зручність використання.
Основою вирішення проблеми архітектурної безпеки мережевих конфігурацій є такі три принципи:
створення та впровадження єдиної політики безпеки;
забезпечення конфіденційності і цілісності при мережевих взаємодіях;
формування складених сервісів таким чином, щоб кожен компонент мав повний набір захисних засобів і, із зовнішньої точки зору, був єдиним цілим (не повинно бути інформаційних потоків, які йдуть до незахищених сервісів).
З практичної точки зору важливими є такі принципи архітектурної безпеки:
безперервність захисту у просторі та часі, неможливість оминути захисні засоби. Якщо у зловмисника або незадоволеного користувача з’явиться можливість оминути захисні засоби, він, зрозуміло, так і зробить;
дотримання визнаних стандартів, використання апробованих рішеньпідвищує надійність ІС та зменшує вірогідність потрапляння в ситуацію, коли забезпечення безпеки буде вимагати непомірно великих витрат і принципових модифікацій;
ієрархічна організація ІС з невеликою кількістю об’єктів на кожному рівнінеобхідна з технологічних міркувань. При порушенні даного принципу система стане некерованою і, отже, забезпечити її безпеку буде неможливо;
посилення найслабкішої ланки. Надійність будь-якої оборони визначається найслабкішою ланкою. Зловмисник не боротиметься проти сили, він обере легку перемогу над слабкістю. (Часто найслабкішою ланкою виявляється не комп'ютер або програма, а людина, і тоді проблема забезпечення ІБ набуває нетехнічного характеру);
неможливість переходу в небезпечний станозначає, що за будь-яких обставин, зокрема нештатних, захисний засіб або повністю виконує свої функції, або повністю блокує доступ;
мінімізація привілеїв– надання користувачам та адміністраторам тільки тих прав доступу, які необхідні їм для виконання службових обов’язків. Цей принцип дозволяє зменшити збиток від випадкових або навмисних некоректних дій користувачів і адміністраторів;
розділення обов’язківприпускає такий розподіл ролей та відповідальності, щоб одна людина не може порушити критично важливий для організації процес або створити пролом у захисті за замовленням зловмисників. Зокрема, дотримання даного принципу особливо важливо для запобігання зловмисним або некваліфікованим діям системного адміністратора;
ешелонування оборони означає, що не треба покладатися на один захисний рубіж, яким би надійним він не здавався. За засобами фізичного захисту повинні слідувати програмно-технічні засоби, за ідентифікацією і автентифікацією – управління доступом і, як останній рубіж, – протоколювання та аудит. Ешелонована оборона здатна, принаймні, затримати зловмисника, а завдяки наявності такого рубежу, як протоколювання та аудит, його дії не залишаться непоміченими;
різноманітність захисних засобів припускає створення різних за своїм характером оборонних рубежів, щоб від потенційного зловмисника було потрібне оволодіння різноманітними і, по можливості, несумісними між собою навичками;
простота і керованість ІС в ціломуі захисних засобів особливо. Тільки для простого захисного засобу можна формально або неформально довести його коректність. Тільки у простій і керованій системі можна перевірити узгодженість конфігурації різних компонентів і здійснювати централізоване адміністрування.
Для забезпечення високої доступності (безперервності функціонування) необхідно дотримуватися таких принципів архітектурної безпеки:
внесення до конфігурації тієї або іншої форми надмірності (резервне устаткування, запасні канали зв’язку тощо);
використання засобів виявлення нештатних ситуацій;
використання засобів реконфігурації для відновлення, ізоляції та/або заміни компонентів, що відмовили або піддалися атаці на доступність;
розосередженість мережевого управління, відсутність єдиної точки відмови;
виділення підмереж та ізоляція груп користувачів один від одного. Даний принцип, який є узагальненням принципу розділення процесів на рівні операційної системи, обмежує зону ураження в разі порушень ІБ.
Ще один важливий архітектурний принцип – мінімізація обсягу захисних засобів, що виносяться на клієнтські системи. До необхідного мінімуму слід віднести реалізацію сервісів безпеки на мережевому і транспортному рівнях і підтримку механізмів автентифікації, стійких до мережевих загроз.