- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
6. Порядок створення системи управління інформаційною безпекою (суіб)
Серед міжнародних стандартів про інформаційну безпеку широко відомим є стандарти серії ISO/IEC 27000, розроблені на базі британського стандарту BS 7799.
Стандарт призначені для уніфікації процедур ефективного управління безпекою. Засновані на кращих світових практиках, вони висувають вимоги до процесів, що забезпечують функціонування системи керування ІБ, їхній постійний моніторинг і поліпшення. Стандарти чітко визначають ключові процеси, якими необхідно управляти при забезпеченні ІБ в організації.
Керівні принципи стандартів охоплюють три головні аспекти: стратегічний, оперативний і дотримання.
Зокрема, ISO/IEC 27002 — стандарт інформаційної безпеки, що опублікований організаціями ISO и IEC. Він має назву Інформаційні технології ‑ Технології безпеки ‑ Практичні правила менеджменту інформаційної безпеки.
Стандарт дає кращі практичні поради з менеджменту інформаційної безпеки для фахівців, що відповідають за створення, реалізацію або обслуговування систем управління інформаційною безпекою. Інформаційна безпека у стандарті визначається як збереження конфіденційності (впевненості у тому, що інформація доступна лише тим, хто уповноважений мати такій доступ), цілісності (гарантії точності та повноти інформації, а також методів її оброблення) та доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та зв’язаним з нею ресурсам).
Поточна версія стандарту складається з наступних основних розділів:
Політика безпеки (Security policy)
Організація інформаційної безпеки (Organization of information security)
Управління ресурсами (Asset management)
Безпека, що обумовлена кадровими ресурсами (Human resources security)
Фізична безпека й безпека оточення (Physical and environmental security)
Управління комунікаціями й процесами (Communications and operations management)
Контроль доступу (Access control)
Придбання, розробка й установлення систем (Information systems acquisition, development and maintenance)
Управління інцидентами інформаційної безпеки (Information security incident management)
Управління безперебійною роботою організації (Business continuity management)
Відповідність правовим і нормативним вимогам (Compliance)
Основні етапи створення системи управління інформаційною безпекою
Планування. Перший крок побудови системи управління інформаційною безпекою (СУІБ) – це визначення області її дії. СУИБ може охоплювати всю організацію, єдиний офіс або виділений сервіс, наприклад розробку програмного забезпечення або супровід інформаційної системи.
Політика інформаційної безпеки. Другим кроком є формування відповідей на запитання:
Чому інформаційна безпека важлива для організації? Які загрози викликають занепокоєння?
Яких цілей у термінах цілісності, конфіденційності й доступності необхідно досягти?
Який рівень ризику є прийнятним для організації?
Які обов'язкові вимоги законодавства повинні враховуватися при побудові СУІБ?
Оцінка ризику. Третій крок ‑ вибір методу оцінки ризиків, прийнятного для організації й області дії СУІБ. Необхідно ідентифікувати ризики, включаючи:
визначення ресурсів і їх власників;
загрози для ресурсів, вразливості, через які реалізуються загрози.
А також оцінити ризики шляхом:
визначення наслідків реалізації загроз для цілісності, конфіденційності і доступності ресурсів;
оцінки імовірність настання ризиків та їх рівню.
Управління ризиком. Після отримання оцінки ризиків необхідно ухвалити рішення щодо подальших дій відносно виявлених ризиків. Можливі варіанти рішень: прийняти ризики, відповідно до визначеного в СУІБ припустимого рівня, впровадити механізми контролю для їхньої мінімізації або адресувати ризики третій стороні (наприклад, за допомогою страхування).
Впровадження. Цей етап створення СУІБ передбачає керування механізмами контролю. Крім інших заходів, мають бути впроваджені:
процедури керування інцидентами безпеки (виявлення, оповіщення, відповідальності, аналізу й усунення);
процедури навчання й «поінформованості» співробітників;
процедур впровадження, планування й управління необхідними ресурсами.
Далі здійснюються перевірка досягнення мети, моніторинг вразливостей і недоліків, періодичні оцінки, актуалізація.
Впровадження СУІБ на підприємстві дозволяє підвищити ефективність витрачання коштів на захист інформації.
Література
1. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том I. Несанкционированное получение информации, – 464 с.
2. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том II. Информационная безопасность, – 344 с.
3. Богуш В.М., Юдін О.К., Інформаційна безпека держави. –К.: «МК-Прес», 2005. – 432с.
4. Мельников В.П., Клейменов С.А., Петраков В.М., Информационная безопасность и защита информации: учебное пособие для студентов высших учебных заведений / под. ред. С.А.Клейменова. – М.: Изд. центр «Академия», 2009. – 336 с.
5. Гатчин Ю.А., Климова Е.В., Ожиганов А.А. Основы информационной безопасности компьютерных систем и защиты государственной тайны: учебное пособие. –СПб.: СПбГУ ИТМО, 2001. – 60 с.
Контрольні запитання.
1. Розкрийте поняття об’єкт інформаційної діяльності.
2. Перерахуйте канали витоку інформації з обмеженим доступом.
3. Які існують види спеціальних досліджень?
4. Яке призначення та які існують види пасивних методів захисту від ПЕМВН?
5. Розкрийте сутність методів зниження потужності ПЕМВН.
6. Розкрийте сутність методів зашумлення, просторове та лінійне зашумлення.
7. На яки класи поділяють методи протидії витоку акустичних сигналів?
8. Надайте характеристику методам захисту акустичної інформації у виділених приміщеннях.
9. Які фактори сприяють реалізації НСД?
10. Які Методи захисту від НСД?
11. Які існують види операцій з файлами?
12. Перерахуйте компоненти системи розмежування доступу.
13. Яка сутність підвищення рівня безпеки інформації шляхом підвищення надійності систем?
14. Перерахуйте етапи життєвого циклу системи, на яких впроваджуються заходи підвищення її надійності.
15. Які існують методи та засоби підвищення надійності систем?
16. Перерахуйте етапи створення системи управління інформаційною безпекою.