- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
2. Особливості захисту конфіденційної інформації, що є власністю держави
Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та дає рекомендації з питань запобігання такій загрозі.
Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
3. Особливості захисту персональних даних
Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу.
Основними даними про особу (персональними даними) є: прізвище, ім’я, по батькові, адреса, номер телефону, національність, освіта, професія, сімейний та соціальний стан, релігійність, стан здоров'я, дата і місце народження і т.ін.
Джерелами документованої інформації про особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.
Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом.
Кожна особа має право на ознайомлення з інформацією, зібраною про неї.
Персональні дані охороняються Законом. (Закон України «Про захист персональних даних»).
Суб’єктами відносин, пов’язаних з персональними даними, є: фізичні особи; юридичні особи; органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форм власності; уповноважений з питань захисту персональних даних; спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних.
Суб’єктами відносин, пов’язаних з персональними даними, можуть бути інші держави та міжнародні організації.
Об’єктами захисту є персональні дані, які обробляються за допомогою систем автоматизованої обробки чи за допомогою систем щодо оброблення картотек персональних даних.
Персональні дані за режимом доступу є інформацією з обмеженим доступом.
Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством (Закон України «Про захист інформації в ІТС»).
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи (Закон України «Про захист інформації в ІТС»).
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним. Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Вимоги до забезпечення захисту інформації в системі (Постанова № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах)
Під час обробки конфіденційної і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці персональних даних (ПД) також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.
Деталізація профілів захищеності. Беручи до уваги вищенаведені тези, комплекс технічних засобів інформації, яка обробляється та передається в системі обробки ПД повинен реалізовувати наступний профіль захищеності відповідно до нормативних документів НД ТЗІ 2.5-005-99 та НД ТЗІ 2.5-004-99:
Для автоматизованої системи класу «1»
АС-1 { КА-1, КО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
АС-1 розподілена (однокористувацький АРМ підключений до ЗТМ)
{ КА-1, КО-1, КВ-1, ЦА-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
Для автоматизованої системи класу «2»
АС-2 { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }
Для автоматизованої системи класу «3»
АС-3 {КА-2, КО-1, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДС-1, НР-2, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1}
Реалізація профілів захищеності може бути забезпечена системами ЗІ, які продемонстровані на рис. 10.1.
Рис.10.1 Система забезпечення захисту персональних даних
Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці ПД також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.
Етапи захисту персональних даних:
Визначити всі ситуації, коли необхідно виконувати збір, зберігання, передачу чи обробку.
Виділити процеси (або бізнес процеси), пов’язані з такими ситуаціями. Доцільно вибрати обмежене число процесів і проаналізувати їх. У рамках такого обстеження формується перелік підрозділів та співробітників компанії, що приймають участь у обробці персональних даних у рамках функціональних обов’язків.
Віднести персональні дані до певної категорії та класифікувати інформаційну систему.
Вибір та обґрунтування по зниженню категорій персональних даних, що обробляються інформаційною системою. Після чого формується актуальна модель загроз для відповідного типу інформаційної системи.
Розробити технічне завдання на створення відповідної системи захисту.
Провести уточнення класів інформаційної системи та підготувати рекомендації щодо використання технічних засобів захисту персональних даних.
Література
1. Закон України «Про інформацію»
2. Закон України «Про захист інформації в інформаційно-телекомунікаційній мережі»
3. Закон України «Про державну таємницю»
4.Постанова Кабінету Міністрів № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах
5. НД ТЗІ 2.5-004-99
6. НД ТЗІ 2.5-005-99
Контрольні запитання.
1. Яка інформація згідно із Законом може належати до службової?
2. За яких умов надається організаціям дозвіл на провадження діяльності, пов'язаної з державною таємницею?
3. Кім визначається порядок криптографічного та технічного захисту інформації в державі?
4. Які особливості захисту державної таємниці?
5. Які особливості захисту службової інформації?
6. Який державний орган визначає особливості захисту інформації в системах, які забезпечують банківську діяльність?
7. Які особливості захисту персональних даних?
8. Які права та свободи людини повинні враховуватися при обробці персональних даних?
9. Які існують етапи захисту персональних даних?