- •Основи інформаційної безпеки
- •Основні поняття………………......…………………... 61
- •Поняття інформаційної безпеки. Основні складові. Важливість проблеми
- •1.1. Поняття інформаційної безпеки
- •1.2. Основні складові інформаційної безпеки
- •1.3. Важливість і складність проблеми інформаційної безпеки
- •Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку
- •2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки
- •2.2. Основні поняття об'єктно-орієнтованого підходу
- •2.3. Застосування об'єктно-орієнтованого підходудо розгляду систем, що захищають
- •Іс організації
- •Internet
- •2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору
- •3.1. Основні визначення і критерії класифікації загроз
- •3.2. Найпоширеніші загрози доступності
- •3.3. Деякі приклади загроз доступності
- •3.4. Шкідливе програмне забезпечення
- •3.5. Основні загрози цілісності
- •3.6. Основні загрози конфіденційності
- •Розділ 4. Адміністративний рівень інформаційної безпеки
- •4.1. Основні поняття
- •4.2. Політика безпеки
- •4.3. Програма безпеки
- •4.4. Синхронізація програми безпеки з життєвим циклом систем
- •Розділ 5. Керування ризиками
- •5.1. Основні поняття
- •5.2. Підготовчі етапи керування ризиками
- •5.3. Основні етапи керування ризиками
- •Розділ 6. Процедурний рівень інформаційної безпеки
- •6.1. Основні класи заходів процедурного рівня
- •6.2. Керування персоналом
- •6.3. Фізичний захист
- •6.4. Підтримка працездатності
- •6.5. Реагування на порушення режиму безпеки
- •6.6. Планування відновлювальних робіт
- •Розділ 7. Основні програмно-технічні заходи
- •7.1. Основні поняття програмно - технічного рівня інформаційної безпеки
- •7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки
- •7.3. Архітектурна безпека
- •Розділ 8. Ідентифікація й аутентифікація, керування доступом
- •8.1. Ідентифікація й аутентифікація
- •8.2. Парольна аутентифікація
- •8.3. Одноразові паролі
- •8.4. Ідентифікація/аутентифікація за допомогою біометричних даних
- •8.5. Керування доступом. Основні поняття
- •8.6. Рольове керування доступом
- •8.7. Керування доступом в Java-середовищі
- •8.8. Можливий підхід до керування доступом у розподіленому об'єктному середовищі
- •9.1. Протоколювання й аудит. Основні поняття
- •9.2. Активний аудит. Основні поняття
- •9.3. Функціональні компоненти й архітектура
- •9.5. Контроль цілісності
- •9.6. Цифрові сертифікати
- •Розділ 10. Екранування, аналіз захищеності
- •10.1. Екранування. Основні поняття
- •10.2. Архітектурні аспекти
- •10.3. Класифікація міжмережевих екранів
- •11.2. Основи заходів забезпечення високої доступності
- •11.3. Відмовостійкість і зона ризику
- •11.4. Забезпечення відмовостійкості
- •11.5. Програмне забезпечення проміжного шару
- •11.6. Забезпечення обслуговування
- •12.1. Тунелювання
- •12.2. Керування. Основні поняття
- •12.3.Можливості типових систем
- •Додаток з
- •Додаток 4
- •1. Політика безпеки:
- •Додаток 7
- •Додаток 8
- •Додаток 9
- •Додаток 10
- •Додаток 12
1.2. Основні складові інформаційної безпеки
Інформаційна безпека - багатогранна, можна навіть сказати, багатомірнаобласть діяльності, у якій успіх може принести лише систематичний,комплексний підхід.
Спектр інтересів суб'єктів, пов'язаних з використанням інформаційнихсистем, можна розділити на наступні категорії: забезпечення доступності,цілісності й конфіденційності інформаційних ресурсів і підтримуючоїінфраструктури.
Іноді в сукупність основних складових ІБ включають захист віднесанкціонованого копіювання інформації, але, на наш погляд, це занадтоспецифічний аспект із сумнівними шансами на успіх, тому ми не будемо йоговиділяти.
Пояснимо поняття доступності, цілісності й конфіденційності.
Доступність - це можливість за прийнятний час одержати необхіднуінформаційну послугу.
Під цілісністю мається на увазі актуальність і несуперечність інформації, їїзахищеність від руйнування й несанкціонованої зміни.
Нарешті, конфіденційність - це захист від несанкціонованого доступу доінформації.
Інформаційні системи створюються (купуються) для одержання певнихінформаційних послуг. Якщо з тих або інших причин надати ці послугикористувачам стає неможливо, це, мабуть, завдає шкоди всім суб'єктамінформаційних відносин. Тому, не протиставляючи доступність іншимаспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки.
Особливо яскраво провідна роль доступності виявляється в різного родусистемах керування - виробництвом, транспортом і т.п. Зовні меншдраматичні, але також досить неприємні наслідки - і матеріальні, і моральні -може бути тривала недоступність інформаційних послуг, якими користуєтьсявелика кількість людей (продаж залізничних та авіаквитків, банківськіпослуги й т.п.).
Цілісність можна підрозділити на статичну (що розуміється як незмінністьінформаційних об'єктів) і динамічну (яка стосується коректного виконанняскладних дій (транзакцій)). Засоби контролю динамічної цілісностізастосовуються, зокрема, при аналізі потоку фінансових повідомлень із метоювиявлення крадіжки, перевпорядкування або дублювання окремих повідомлень.
Цілісність виявляється є найважливішим аспектом ІБ у тих випадках, колиінформація слугує "керівництвом до дії". Рецептура ліків, запропонованімедичні процедури, набір і характеристики комплектуючих виробів, хідтехнологічного процесу - все це приклади інформації, порушення цілісностіякої може виявитися в буквальному значенні смертельним. Неприємно йперекручування офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь урядової організації.
Конфіденційність - найпроблемніший у нас у країні аспект інформаційноїбезпеки. На жаль, практична реалізація засобів по забезпеченнюконфіденційності сучасних інформаційних систем натрапляє в Україні насерйозні труднощі. По-перше, відомості про технічні канали витоку інформації єзакритими, так що більшість користувачів позбавлені можливості скластиуявлення про потенційні ризики. По-друге, на шляху використовуваноїкриптографії як основного засобу забезпечення конфіденційності стоятьчисленні законодавчі перепони й технічні проблеми.
Якщо повернутися до аналізу інтересів різних категорій суб'єктівінформаційних відносин, то майже для всіх, хто реально використовує ІС, напершому місці стоїть доступність. Практично не поступається їй по важливостіцілісність - який сенс в інформаційній послузі, якщо вона містить перекрученівідомості?
Нарешті, конфіденційні моменти є також у багатьох організацій (навіть узгадуваних вище навчальних інститутах намагаються не розголошувативідомості про зарплату співробітників) і окремих користувачів (наприклад,паролі).