- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
1. Основні організаційно-правові заходи щодо охорони державної таємниці
Вихідні вимоги щодо захисту державної таємниці встановлені Законом України «Про державну таємницю», яким передбачено (стаття 18), що з метою охорони державної таємниці впроваджуються:
єдині вимоги до виготовлення, користування, збереження, передачі, транспортування та обліку матеріальних носіїв секретної інформації;
дозвільний порядок провадження органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями (далі – організації) діяльності, пов'язаної з державною таємницею;
обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації;
обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування і переміщення об'єктів і технічних засобів, що їм належать;
особливості здійснення органами державної влади їх функцій щодо організацій, діяльність яких пов'язана з державною таємницею; \
режим секретності організацій, що провадять діяльність, пов'язану з державною таємницею;
спеціальний порядок допуску та доступу громадян до державної таємниці;
технічний та криптографічний захист секретної інформації, порядок якого визначається Президентом України.
Єдині вимоги до виготовлення, обліку, користування, зберігання, схоронності, передачі та транспортування матеріальних носіїв секретної інформації встановлені Постановами Кабінету Міністрів України.
Дозвільний порядок провадження діяльності, пов'язаної з державною таємницею, та режим секретності передбачає, що організації мають право провадити діяльність, пов'язану з державною таємницею, після надання їм Службою безпеки України спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею.
Надання дозволу здійснюється на підставі заявок організацій та результатів спеціальної експертизи щодо наявності умов для провадження діяльності, пов'язаної з державною таємницею.
З метою визначення наявності умов для провадження діяльності, пов'язаної з державною таємницею, Служба безпеки може створювати спеціальні експертні комісії, із залученням фахівців органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій за погодженням з їх керівниками. Результати спеціальної експертизи щодо наявності умов для провадження діяльності, що пов'язана з державною таємницею, оформляються відповідним актом.
Дозвіл на провадження діяльності, пов'язаної з державною таємницею, надається організаціям за результатами спеціальної експертизи за умови, що вони:
відповідно до компетенції, державних завдань, програм, замовлень, договорів або контрактів беруть участь у діяльності, пов'язаній з державною таємницею;
мають приміщення для проведення робіт, пов'язаних з державною таємницею, сховища для зберігання засекречених документів та інших матеріальних носіїв секретної інформації, що відповідають вимогам щодо забезпечення секретності зазначених робіт, виключають можливість доступу до них сторонніх осіб, гарантують збереження носіїв секретної інформації;
додержуються передбачених законодавством вимог режиму секретності робіт та інших заходів, пов'язаних з використанням секретної інформації, порядку допуску осіб до державної таємниці, прийому іноземних громадян, використання державних шифрів та криптографічних засобів тощо;
мають режимно-секретний орган, якщо інше не передбачено законом.
Керівники організацій, що провадять діяльність, пов'язану з державною таємницею, мають бути обізнані з чинним законодавством про державну таємницю.
Термін дії дозволу на провадження діяльності, пов'язаної з державною таємницею, встановлюється Службою безпеки і не може перевищувати 5 років. Його тривалість залежить від обсягу робіт , що здійснюються організацією, ступеня секретності та обсягу пов'язаних з цими роботами відомостей, що становлять державну таємницю.
Дозвіл на провадження діяльності, пов'язаної з державною таємницею, може бути скасований Службою безпеки на підставі акта проведеної нею перевірки, висновки якого містять дані про недодержання організацією умов, передбачених законом.
Організаціям, що провадять діяльність, пов'язану з державною таємницею, за результатами спеціальної експертизи надаються відповідні категорії режиму секретності, що вказуються у дозволах на провадження діяльності, пов'язаної з державною таємницею.
Порядок надання, переоформлення, зупинення дії або скасування дозволу на провадження діяльності, пов'язаної з державною таємницею, форма акта спеціальної експертизи щодо наявності умов для провадження діяльності, пов'язаної з державною таємницею, форма дозволу на провадження діяльності, пов'язаної з державною таємницею, та категорії режиму секретності встановлюються Кабінетом Міністрів України.
Захист державної таємниці, обробляється в інформаційно-телекомунікаційних системах характеризується рядом особливостей на відміну від інших видів інформації з обмеженим доступом.
По-перше, слід зазначити, що відповідно до Закону до державної таємниці віднесені відомості про порядок та методи захисту секретної інформації, у т.ч.:
- про організацію, зміст, стан і плани розвитку криптографічного захисту секретної інформації, зміст і результати наукових досліджень у сфері криптографії;
- про системи та засоби криптографічного захисту секретної інформації, їх розроблення, виробництво, технологію виготовлення та використання;
- про державні шифри, їх розроблення, виробництво, технологію виготовлення та використання;
- про організацію, зміст, стан і плани розвитку технічного захисту секретної інформації;
- про інші засоби, форми і методи охорони державної таємниці.
Такім чином можливо говорити, що обмеження доступу до відповідних відомостей створює перший рубіж захисту на шляху реалізації загроз державної таємниці.
Другою особливістю захисту державної таємниці є суттєво підвищені вимоги щодо убезпечення автоматизованих систем у яких обробляється державна таємниця, як у частині криптографічного так і технічного захисту інформації.
Зокрема, під час досліджень та випробувань відповідних засобів захисту секретної інформації висуваються більш жорсткі вимоги, ніж до засобів захисту службової або конфіденційної інформації.