1 / 66

Лекц ія №1 -2

Лекц ія №1 -2. Система нормативно-правового та організаційного управління інформаційною безпекою. План. Основні терміни та визначення в галузі забезпечення інформаційної безпеки Основний закон України Властивості інформаційної системи та її ресурсів як предмета захисту

lani
Download Presentation

Лекц ія №1 -2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Лекція №1-2 Система нормативно-правового та організаційного управління інформаційною безпекою

  2. План Основні терміни та визначенняв галузі забезпечення інформаційної безпеки Основний закон України Властивості інформаційної системи та її ресурсів як предмета захисту Інформаційна безпека. Суб’єкти та об’єкти захисту Основні напрями забезпечення інформаційної безпеки

  3. 1. Основні терміни та визначенняв галузі забезпечення інформаційної безпеки

  4. Терміни та визначення понять у галузі технічного захисту інформації та захисту інформації в комп’ютерних системах надані згідно з нормативними документами ДСТУ 3396.2–97 «Захист інформації. Технічний захист інформації. Терміни та визначення», НД ТЗІ 1.1-003–99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу», законодавчої бази України, а також відповідно до міжнародних вимог і стандартів серії ISO 27000.

  5. Сфера технічного захисту інформації Інформація з обмеженим доступом(ІзОД)— інформація, право доступу до якої обмежено встановленими правовими нормами і (чи) правилами. Таємна інформація(ТІ)— інформація з обмеженим доступом, яка містить відомості, що становлять державну або іншу передбачену законом таємницю. Конфіденційна інформація(КІ)— інформація з обмеженим дос-тупом, якою володіють, користуються чи розпоряджаються окремі фізичні чи юридичні особи або держава і порядок доступу до якої встановлюється ними. Витік інформації— неконтрольоване поширення інформації, яке призводить до її несанкціонованого отримання.

  6. Порушення цілісності інформації—спотворення інформації, її руйнування або знищення. Блокування інформації—унеможливлення санкціонованого доступу до інформації. Загроза для інформації—витік, можливість блокування чи порушення цілісності інформації. Модель загроз для інформації—формалізований опис методів та засобів здійснення загроз для інформації. Доступ до інформації — можливість отримання, оброблення інформації, її блокування та (чи) порушення цілісності. Несанкціонований доступ до інформації (НСД) —доступ до інформації, за якого порушуються встановлений порядок його здійснення та (чи) правові норми.

  7. Закладний пристрій —потай встановлюваний технічний засіб, який створює загрозу для інформації. Програмна закладка—потай впроваджена програма, яка створює загрозу для інформації, що міститься в комп’ютері. Спеціальний вплив —вплив на технічні засоби, що призводить до здійснення загрози для інформації. Носій інформації —матеріальний об’єкт, що містить інформацію з обмеженим доступом. Інформативний сигнал —фізичне поле та (чи) хімічна речовина, що містять інформацію з обмеженим доступом. Самочинний (технічний) канал витоку інформації—ненавмисний канал витоку інформації. Штучний (технічний) канал витоку інформації—навмисний канал витоку інформації.

  8. Побічне електромагнітне випромінення і наведення (ПЕМВН) — електромагнітне випромінення і наведення, що є побічним результатом функціонування технічного засобу і може бути носієм інформації. Технічний захист інформації (ТЗІ) — діяльність, спрямована на запобігання порушенню цілісності, блокуванню та (чи) витоку інформації технічними каналами. Технічний засіб із захистом; захищений (технічний) засіб; захищена техніка—технічний засіб, у якому додатково до основного призначення передбачено функцію захисту інформації від загроз. Засіб технічного захисту інформації—пристрій та (чи) прог-рамний засіб, основне призначення яких — захист інформації від загроз.

  9. Приховування інформації— спосіб технічного захисту інформації, який полягає в унеможливленні або суттєвому утрудненні несанкціонованого отримання інформації. Пасивне приховування інформації—приховування інформації ослабленням енергетичних характеристик фізичних полів або зниженням концентрації речовин. Активне приховування інформації— приховування інформації створенням таких фізичних полів та речовин, які утруднюють здобування інформації або спричиняють невизначеність її змісту. Дезінформування—спосіб технічного захисту інформації, який полягає у формуванні свідомо хибної інформації для унеможливлення несанкціонованого доступу до істинної інформації.

  10. Система технічного захисту інформації (СТЗІ)—сукупність організаційних структур, нормативно-правових документів та матері-ально-технічної бази. Зона безпеки інформації— простір, за межами якого інформація убезпечена. Рівень (технічного) захисту інформації—сукупність вимог (у тому числі і тих, що нормуються), які визначаються режимом доступу до інформації та загрозами для неї. Ефективність технічного захисту інформації— ступінь відповідності вжитих заходів щодо технічного захисту інформації встановленим вимогам.

  11. Захист інформації в комп’ютерних системах Політика безпеки інформації (informationsecuritypolicy)— сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок оброблення інформації. Безпека інформації (БІ) (informationsecurity)— стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.

  12. Комплексна система захисту інформації (КСЗІ)— сукупність організаційних та інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС. Комплекс засобів захисту (КЗЗ) (trustedcomputingbase)— сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації. Захищена комп’ютерна система (trustedcomputersystem, trustedcomputerproduct)— комп’ютерна система, яка здатна забезпечувати захист оброблюваної інформації від певних загроз. Об’єкт комп’ютерної системи; об’єкт КС (productobject, systemobject)— елемент ресурсу КС, що перебуває під керуванням КЗЗ і характеризується певними атрибутами і поводженням.

  13. Ідентифікатор об’єкта КС (objectidentifier)— унікальний атрибут об’єкта КС, що дозволяє однозначно виділити цей об’єкт серед подібних. Доступ до інформації (access to information)— вид взаємодії двох об’єктів КС, унаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи. Правила розмежування доступу (ПРД) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів. Несанкціонований доступ до інформації (НСД) (unauthorizedaccess to information) — доступ до інформації, здійснюваний з порушенням ПРД. Захист від несанкціонованого доступу (protectionfromunauthorizedaccess)— запобігання або істотне утруднення несанкціонованого доступу до інформації.

  14. Розмежування доступу (accessmediation)— сукупність процедур, що реалізують перевірку запитів на доступ і оцінювання на підставі ПРД можливості надання доступу. Авторизація (authorization)— надання повноважень; установлення відповідності між повідомленням (пасивним об’єктом) і його джерелом (створеним його користувачем або процесом). Авторизований користувач (authorizeduser)— користувач, що володіє певними повноваженнями. Порушник (userviolator)— користувач, який здійснює несанкціонований доступ до інформації. Керування доступом (accesscontrol)— сукупність заходів щодо визначення повноважень і прав доступу, контролю за додержанням ПРД. Право доступу (accessright)— дозвіл або заборона здійснення певного типу доступу.

  15. Конфіденційність інформації (informationconfidentiality)— властивість інформації, яка полягає в унеможливленні її отримання неавторизованим користувачем і/або процесом. Цілісність інформації (informationintegrity)— властивість інформації, яка полягає в унеможливленні її модифікування неавторизованим користувачем і/або процесом. Доступність (availability)— властивість ресурсу системи, яка полягає в тому, що користувач і/або процес, який має відповідні повноваження, може використовувати ресурс відповідно до правил, установлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу. Спостереженість (accountability)— властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів для запобігання порушенню політики безпеки і/або забезпечення відпові-дальності за певні дії.

  16. Атака (attack)— спроба реалізації загрози. Проникнення (penetration)— успішне подолання механізмів захисту системи. Уразливість системи (systemvulnerability)— нездатність системи протистояти реалізації певної загрози або сукупності загроз. Компрометація (compromise)— порушення політики безпеки; несанкціоноване ознайомлення. Утрата інформації (informationleakage)— неконтрольоване поширення інформації, що призводить до її несанкціонованого одержання. Відмова (fault, failure)— втрата здатності КС або її компонента виконувати певну функцію.

  17. Комп’ютерний вірус (computervirus)— програма, що здатна самовідтворюватися і зазвичай здатна здійснювати дії, які можуть порушити функціонування КС і/або зумовити порушення політики безпеки. Програмна закладка (programbug) — впроваджена програма або недокументовані властивості програмного забезпечення, використання яких може призвести до обходу КЗЗ і/або порушення політики безпеки. Люк (trapdoor)— залишені розробником недокументовані функції, використання яких дозволяє обминути механізми захисту. Троянський кінь (trojanhorse)— програма, яка, будучи авторизованим процесом, окрім виконання документованих функцій, здатна виконувати приховані дії від особи авторизованого користувача в інтересах розробника цієї програми.

  18. Модель загроз (modelofthreats) — абстрактний формалізований або неформалізований опис методів і засобів здійснення загроз. Модель порушника (userviolatormodel)— абстрактний формалізований або неформалізований опис порушника. Ризик (risk)— функція ймовірності реалізації певної загрози, виду і величини завданих збитків. Аналіз ризику (riskanalysis)— процес визначення загроз безпеці інформації та їх характеристик, слабких місць КСЗІ (відомих і припустимих), оцінювання потенційних збитків від реалізації загроз та ступеня їх прийнятності для експлуатації АС. Керування ризиком (riskmanagement)— сукупність заходів, що реалізуються протягом усього життєвого циклу АС, щодо оцінювання ризику, вибору, реалізації і впровадження заходів забезпечення безпеки, спрямована на досягнення прийнятного рівня за-лишкового ризику.

  19. Заходи забезпечення безпеки (safeguards)— послуги, функції, механізми, правила і процедури, призначені для забезпечення за-хисту інформації. Послуга безпеки (securityservice)— сукупність функцій, що забезпечують захист від певної загрози або від множини загроз. Механізми захисту (securitymechanism)— конкретні процедури й алгоритми, що використовуються для реалізації певних функцій і послуг безпеки. Засоби захисту (protectionfacility)— програмні, програмно-апаратні та апаратні засоби, що реалізують механізми захисту. Політика безпеки послуги (servicesecuritypolicy)— правила, згідно з якими функціонують механізми, що реалізують послугу.

  20. Критерії оцінювання захищеності; критерії (securityevaluationcriteria)— сукупність вимог (оцінна шкала), що використовується для оцінювання ефективності функціональних послуг безпеки і коректності їх реалізації. Функціональний профіль (functionalityprofile)— упорядкований перелік рівнів функціональних послуг, який може використовуватись як формальна специфікація функціональності КС. Ідентифікація (identification)— процедура присвоєння ідентифікатора об’єкта КС або встановлення відповідності між об’єктом і його ідентифікатором; упізнання. Автентифікація (authentication)— процедура перевірки відповідності пред’явленого ідентифікатора об’єкта КС на предмет належності його цьому об’єкту; встановлення або підтвердження автентичності.

  21. Журнал реєстрації (audittrail)— упорядкована сукупність реєстраційних записів, кожен з яких заноситься КЗЗ за фактом здійснення контрольованої події. Криптографічне перетворення— перетворення даних, яке полягає в їх шифруванні, вироблення імітовставки або цифрового підпису. Шифрування даних— процес зашифрування або розшифрування. Зашифрування даних (dataencryption) — процес перетворення відкритого тексту в шифротекст. Розшифрування даних (datadecryption)— процес перетворення шифротексту у відкритий текст. Відкритий текст (cleartext) — дані з доступним семантичним змістом. Шифротекст (ciphertext)— дані, отримані в результаті зашифрування відкритого тексту.

  22. Ключ (key) — конкретний стан деяких параметрів алгоритму криптографічного перетворення, що забезпечує вибір одного перетворення із сукупності можливих для цього алгоритму. Імітовставка (dataauthenticationcode) — доданий до даних блок інформації фіксованої довжини, який за певними правилами отримано з відкритих даних і секретного ключа. Цифровий підпис (digitalsignature) — дані, отримані в результаті криптографічного перетворення блоку даних і/або його параметрів (хеш-функції, довжини, дати утворення, ідентифікатора відправ-ника і т. ін.), що дозволяють приймальнику даних упевнитись у цілісності блоку і справжності джерела даних і забезпечити захист від підробки і фальшивки.

  23. Засіб криптографічного захисту інформації— програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації. Криптографічна система (криптосистема)— сукупність засобів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається. Завірення (notarization) — реєстрація даних довіреною третьою особою для забезпечення надалі впевненості в правильності таких характеристик, як зміст, джерело даних, час їх відправлення чи отримання тощо.

  24. 2. Основний закон України

  25. Для повного висвітлення концептуальних засад інформатизації будь-якої сфери суспільства необхідно врахувати, що Конституція України — це Основний закон України, схвалений 1 грудня 1991 р. всенародним голосуванням (Конституцію України прийнято на п’ятій сесії Верховної Ради України 28 червня 1996 р.).

  26. Конституція Українияк базовий законодавчий документ українського суспільства визначає забезпечення інформаційної безпеки України однією з найважливіших функцій держави і справою всього Українського народу.

  27. Стаття 17 Конституції Українивстановлює: захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього Українського народу.

  28. УРозділі II Конституції України «Права, свободи та обов’язки людини та громадянина» визначено ряд статей, що конкретизують концептуальний підхід до таких питань, як таємниця кореспонденції, збирання, зберігання, використання, поширення конфіденційної інформації, а також уперше висвітлюються напрями забезпечення авторського права і розвитку науково-технічної діяльності сус-пільства тощо.

  29. Стаття 31Конституції України встановлює, що кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з’ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.

  30. Стаття 32Конституції України встановлює, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

  31. Стаття 34Конституції України встановлює, що кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань. Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб  на свій вибір.

  32. Стаття 54Конституції України встановлює, що громадянам гарантується свобода літературної, художньої, наукової і технічної творчості, захист інтелектуальної власності, їхніх авторських прав, моральних і матеріальних інтересів, що виникають у зв’язку з різними видами інтелектуальної діяльності. Кожний громадянин має право на результати своєї інтелектуальної, творчої діяльності; ніхто не може використовувати або поширювати їх без його згоди, за винятками, встановленими законом.

  33. 3. Властивості інформаційної системи та її ресурсів як предмета захисту

  34. Основні характеристики інформаційної системи як об’єкта захисту. Загальна структура інформаційної системи Структуру інформа-ційної системи складає сукупність окремих її частин, що називаю-ться підсистемами. Підсистема— це частина системи, виділена за будь-якою ознакою.

  35. Інформаційне забезпечення (dataware) — сукупність єдиної системи класифікації й кодування інформації, уніфікованих систем документації, схем інформаційних потоків, що циркулюють в організації, а також методологія побудови баз даних для їх збереження.

  36. Технічне забезпечення (hardware) — комплекс технічних засобів, призначених для роботи інформаційної системи, а також відповідна документація на ці засоби й технологічні процеси. Математичне і програмне забезпечення — сукупність математичних методів, моделей, алгоритмів і програм для реалізації мети та завдань інформаційної системи, а також нормального функціонування комплексу технічних засобів.

  37. Організаційне забезпечення (organizationsupport) — сукупність методів і засобів, які регламентують взаємодію персоналу з тех-нічними засобами й між собою в процесі розроблення та експлуатації інформаційної системи. Правове забезпечення (legalsupport) — сукупність правових норм, що визначають створення, правовий статус і функціонування інформаційних систем, регламентують порядок отримання, перетворення та використання інформації.

  38. Властивості інформаційної системи як об’єкта захисту

  39. Для інформаційної системи властиві такі види загроз: загрози порушення конфіденційності; загрози порушення цілісності; загрози порушення працездатності (доступності).

  40. Загрози порушення конфіденційності спрямовані на розголошення інформації з обмеженим доступом. Загрози порушення працездатності (доступності) спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність автоматизованої системи, або її ресурси стають недоступними. Загрози порушення цілісності полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігається або передається.

  41. Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об’єкта захисту (інформаційних ресурсів), яке завдає збитку власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації. Наслідки (атака)— це можливі наслідки реалізації загрози (можливі дії) у разі взаємодії джерела загрози через наявні фактори (уразливості).

  42. Атака — це завжди пара «джерело-фактор», що реалізує загрозу та призводить до збитків. Прояви збитків як категорії класифікації загроз можуть бути різноманітними: моральні й матеріальні збитки від ділової репутації організації; моральні, фізичні або матеріальні збитки, зумовлені розголошенням персональних даних окремих осіб;

  43. матеріальні (фінансові) збитки від розголошення конфіденційної інформації; матеріальні (фінансові) збитки від необхідності відновлення порушених інформаційних ресурсів; матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов’язань перед третьою стороною; моральні та матеріальні збитки від дезорганізації діяльності організації; матеріальні та моральні збитки від порушення міжнародних відносин.

  44. За характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат.

  45. Заходи захисту можуть охоплювати територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як об’єктовий, груповий або індивідуальний захист.

  46. 4. Інформаційна безпека. Суб’єкти та об’єкти захисту

  47. Інформаційна безпека — стан захищеності інформаційного середовища держави, суспільства та особистості, який забезпечує його формування, збереження, використання і розвиток в інтересах громадян, організацій чи держави.

  48. Інформаційне середовище (informationenvironment)— сфера діяльності суб’єктів, пов’язана зі створенням, перетворенням і використанням інформації.

  49. Інформаційне середовище умовно поділяють на три основні предметні частини: 1) створення і поширення інформації; 2) формування інформаційних ресурсів, підготовка інформаційних продуктів, надання інформаційних послуг; 3) споживання інформації та дві забезпечувальні предметні частини: а) створення і застосування інформаційних систем, інформаційних технологій і засобів їхнього забезпечення; б) створення і застосування засобів та механізмів інформаційної безпеки.

More Related