Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский гуманитарный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ОІБ.docx
Скачиваний:
1
Добавлен:
12.08.2019
Размер:
81.57 Кб
Скачать
►Содержание►

Основні концептуальні положення захисту інформації

Інформація що підлягає захисту.

Державна таємниця – вид таємної інформації що охоплює відносини у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національні безпеці України, та які визначені у порядку встановленому цим законом державною таємницею і підлягають охороні державою

Інформація

Різні види таємниць

Комерційна таємниця

Інформація з обмеженим доступом

Персональні дані

Службова інформація

Державна таємниця

Рекламна інформація

Інша інформація

Публічна інформація

Відкрита

Сфери розповсюдження державної таємниці на інформацію у сфері оборони:

Документи Боєвого керування,

про напрями розвитку видів озброєння, видів техніки.

Про сили і засоби цивільної оборони.

Про геодезичні картографічні та інші дані які мають значення для оборони країни.

В сфері економіки науки і техніки:

  1. Мобілізаційні плани та запаси стратегічних видів сировини і матеріалів

  2. Розміщення і фактичні запаси державного резерву

  3. Про транспорт зв'язок та інші об’єкти інфраструктури для забезпечення безпеки.

  4. Державні запаси дорогоцінних металів, виготовлення грошових знаків і все що з цим пов’язано

  5. Про наукові, науково досліді роботи які впливають на зовнішньоекономічну діяльність та нац. Безпеку У.

--see on exercise book—

Комерційна таємниця – це відомості що не є державною таємницею. Пов’язані з виробництвом, технологіями, фінансами, процесами управління, та іншою діяльністю організацій чи фірм, розголошення, витік і несанкціонований доступ до яких може завдати шкоди інтересам.

Підприємець самостійно встановлює склад і обсяг відомостей що відносяться до таємниці, строки порядок захисту, доступ до неї , правила її використання та умови передачі іншим особам

Комерційну таємницю не складають: 1) установчі документи та статут. 2) документи що дають право на підприємницьку діяльність. 3) звітності про фінансово-господарську діяльність 4) про оплату податків і обов’язкових платежів 5) про ліквідність підприємства. 6) про чисельність та склад працівників фонд зарплати, умови праці та наявність робочих місць. 7) про забруднення природного середовища, порушення законодавства ітд

Персональні дана – інформація, зафіксована на будь-якому матеріальному носієві про конкретну людину, яка ототожнена з нею.

До персональних даних відносяться-біографічні і пізнавальні дані, обставини народження, усиновлення, розлучення. Відомості про сімейний стан в тому числі про родинні стосунки. Відомості про майновий та фінансовий стан крім випадків прямо встановлених законів. Особисті характеристики. В тому числі звички і схильності. Відомості про стан здоров’я.

Суб’єкти справи: особи, яких стосуються відповідні дані та їх спадкоємці, утримувачі персональних даних: органи державної влади і місцевого самоврядування, юридичні і фізичні особи, що здійснюють на законних підставах збір зберігання, передачу, уточнення, блокування, знеособлення, знищення персональних даних.

Загрози доступності

Відмова користувачів, (Небажання працювати з операційною системою. Неможливість працювати через відсутність навичок, неможливість працювати через відмову технічної підтримки), внутрішня відмова інформаційної системи(порушення правил експлуатації, вихід системи зі штатного режиму експлуатації, помилки при конфігурації системи, відмови програмного та апаратного забезпечення, руйнування даних, руйнування даних, пошкодження апаратури), відмова інфраструктури (порушення роботи систем зв’язку, водопостачання, електропостачання, тощо, руйнування або пошкодження приміщень, проблеми з обслуговуючим персоналом)

Загрози цілісності.

Статична цілісність((підтерти щось в документі), введення невірних даних, зміна даних, знищення даних), динамічна цілісність(порушення даних при передачі…, порушення атомарності(цілісності) транзакцій, переупорядкування повідомлення, крадіжка, дублювання даних або внесення додаткових повідомлень).

Загроза конфіденційності.

Предметна інформація. Службова інформація. -> Розміщення даних у відкритому вигляді, перехоплення даних, крадіжка устаткування, зловживання повноваженнями, методи соціальної інженерії, резервне копіювання, парольна схема захисту.

Шкідливе програмне забезпечення. (Вірус, програмний код, який прописується в інших файлах, або завантажувальних секторах; черв – програма. авторан ; троянська програма – не розмножуються, працюють тільки по запуску(два види – програма видає себе за легальну, ін.. докачують файли); експлойти (exploit) – шукає вразливість системи; бот – сам шось робе; мобільні коди; програми-жарти).

Канали витоку інформації з звичайного офісного приміщення

Канали витоку:

  1. Витік інформації за рахунок структурного звуку в стінках та перекриттях

  2. Знімання інформації по системі вентиляції.

  3. Знімання інформації на диктофон

  4. Знімання інформації на направлений мікрофон.

  5. Витоки по мережах опалення, газу та водопостачання;

  6. Радіо закладки;

  7. Лазерне знімання акустичної інформації з вікон;

  8. Знімання інформації через принтер

  9. Знімання інформації через вінчестер;

  10. Знімання інформації з оперативної пам’яті

  11. Шкідливе програмне забезпечення

  12. Витік інформації через Інтернет.

  13. Витік інформації через бездротові канали зв’язку.

  14. Викрадення носіїв інформації.

  15. Програмно-апаратні закладки в ПК.

  16. Несанкціоноване копіювання

  17. Візуальне знімання з монітору

  18. Знімання інформації з монітору по електор-магнітному каналу

  19. Високочастотні наведення через побутову техніку

  20. Знімання інформації через технологічні відходи.

  21. Знімання інформації за рахунок використання телефонного вуха.

  22. Витік інформації через лінії зв’язку

  23. Витік інформації по мережі заземлення

  24. Витік інформації по охоронно-пожежні сигналізації

  25. Витік інформації по мережі електроживлення

  26. Персонал.

Рівні забезпечення інформаційної безпеки

Законодавчий, адміністративний, процедурний(організаційний), програмно-технічний.

  • Фінансові звіти

  • Персональні дані працівників

  • Договір

  • База даних клієнтів або постачальників

  • Особливості технологічного процесу, технології

  • Бухгалтерські звіти

  • Реклама

Інформаційні потоки…

  1. Підприємство(ст. лиха)

  2. Відділи

  3. Специфічні по інформаційних ресурсах.

Законодавчий рівень інформаційної безпеки

Законодавство США

Закон про інформаційну безпеку. NIST

2001 – закон про комп’ютерну безпеку

Германія. Закон про захист даних(1990).

Великобританія. BS-7799. добровільний стандарт.

Стандарти та специфікації в галузі безпеки інформаційних систем

Оранжева книга. Критерії оцінювання довірених комп’ютерних систем. 1983 році.

Безпечна система – це така система в якій за допомогою відповідних засобів здійснюється керування доступом в такий спосіб, що тільки належним чином авторизовані особи або процеси отримують право читати, записувати, створювати і видаляти інформацію.

Довірена система – це система, що використовує достатні апаратні і програмні засоби для забезпечення для одночасного оброблення інформації різного ступеня секретності групою користувачів без порушення права доступу.

Ступінь довіри визначається за двома критеріями: 1) політика безпеки – це набір законів, правил та норм поведінки, що визначає як організація обробляє, захищає та поширює інформацію. 2) рівень гарантованості – міра довіри, яка може бути надана архітектурі та реалізації інформаційної системи.

Політика безпеки повинна включати такі елементи: 1) довільне управління доступом, дискреційне – це метод розмежування доступу, до об’єктів, заснований на обліку суб’єкта, або групи в яку суб’єкт входить; 2) безпека повторного використання об’єкта – не допускати витягати із сміття; мітки безпеки – мітка суб’єкта описує його благонадійність, а об’єкта – ступінь конфіденційності інформації; 4) примусове управління доступом (мандатне) – метод, розмежування доступу до об’єктів, заснований на зіставленні міток безпеки суб’єкта і об’єкта. Суб’єкт може читати інформацію з об’єкту якщо рівень секретності суб’єкта не нижче ніж у об’єкту. Суб’єкт може записувати інформацію в об’єкт, якщо мітка безпеки об’єкту домінує над міткою суб’єкта. 5) підзвітність – в кожен момент часу необхідно знати хто працює в системі і що робить.

В оранжевій книзі визначені класи безпеки інформаційних систем. Всього розрізняють 4 рівні довіри. А, В, С, D. Д - довіри нема. С - довільне управління доступом. В – примусове управління доступом. А – верифікована безпека. Відповідно до цих рівнів – 6 класів безпеки – А1, В1, В2, В3, С1, С2.

Технічна специфікація Х.800 – продовження розвитку стандартів інформаційної безпеки.

Сервіси безпеки відповідно до Х.800:

  1. Автентифікація - перевірка сторін на достовірність.

  2. Управління доступом – захист від несанкціонованого використання ресурсів доступних по мережі.

  3. Конфіденційність даних.

  4. Цілісність даних.

  5. Неможливість відмови від зобов’язань –

Для реалізації цих сервісів необхідні такі механізми: 1) шифрування, 2) електронний цифровий підпис, 3) механізми керування доступом, 4) механізми контролю цілісності, 5) механізми автентифікації, 6) механізм доповнення трафіку, 7) механізми керування маршрутизацією, 8) механізми нотаризації.

ISO/IEC 15408 – критерії оцінювання безпеки інформаційних технологій або загальні критерії. Загальні критерії містять 2 види вимог безпеки – функціональні вимоги, які висуваються до функції безпеки та механізмів, які їх реалізують,, вимоги довіри, які висуваються до технології, які висуваються до технології, процесу розробки та експлуатації. В загальних критеріях є поняття «профілю захисту». Типовий набір вимог, яким повинні задовольняти продукти та/або системи певного класу.

Функціональні вимоги мають 11 класів, 66 сімейств і 135 компонентів. 11 класів (ідентифікація/автентифікація, захист даних користувача, захист функцій безпеки, управління безпекою, аудит безпеки, доступ до об’єкту оцінювання, приватність(захист користувача від розголошення його ідентифікаційних даних), використання ресурсів, криптографічна підтримка, зв'язок(автентифікація сторін, що беруть участь в обміні даними), довірений маршрут).

Вимоги довіри безпеки містять 10 класів, 44 сімейства, 93 компоненти. Класи (вимоги до розробки(від специфікації до реалізації), підтримка життєвого циклу, тестування, оцінювання вразливості, постачання та експлуатація, управління конфігурацією, вимоги до експлуатаційної документації, підтримка довіри, оцінювання профілю захисту, оцінювання завдання з безпеки).

BS 7799 складається з двох частин: 1ч. – описує 127 механізмів контролю, необхідних для побудови системи управління ІБ організації; 2ч. – специфікація систем управління ІБ.

ISO/IEC 17799:2005 – містить 13 розділів (вступ, терміни, політика безпеки, організаційні методи забезпечення ІБ, управління ресурсами, користувачі ІС, фізична безпека, управління комунікаціями та процесами, контроль доступу, придбання та розробка ІС, управління інцидентами ІБ, управління безперервністю ведення бізнесу, відповідність вимогам)

ISO/IEC 2700x – продовження попереднього стандарту.

ISO/IEC TR 13335 – інформаційна технологія, посібник з керування безпекою інформаційних технологій.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности