- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
План
Вступ
1. Характеристика основних принципів побудови системи захисту інформації.
2. Етапи створення комплексної системи захисту інформації (КСЗІ).
3. Комплекс засобів захисту інформації.
4. Вимоги до організаційних заходів.
5. Склад проектної та експлуатаційної документації.
6. Випробування та дослідна експлуатація КСЗІ
Наявність значної кількості різних методів та технологій захисту у певному сенсі ускладнює вибір оптимального варіанту побудови системи захисту. Це обумовлено їх різними характеристиками та умовами застосування, вартісними показниками та ефектом від їх впровадження. Це обумовлює творчий (продуктивний) характер діяльності людини у сфері захисту інформації у автоматизованих системах (АС).
У підсумку наукового дослідження технологій захисту та кращих практичних рішень напрацьована концепція створення комплексної системи захисту інформації (КСЗІ), що є невід’ємною складовою компонентою АС.
Для побудови КСЗІ використовуються методи, технології та заходи нормативно-правового та організаційного забезпечення, технічного, криптографічного та інженерно-технічного захисту інформації, які забезпечують належний рівень захисту інформації протягом дії експертного висновку на КСЗІ або усього життєвого циклу АС.
До складу КСЗІ включаються заходи та засоби, які реалізують механізми захисту інформації від:
витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші;
несанкціонованого доступу до інформації та несанкціонованих дій (впровадження комп’ютерних вірусів), що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм тощо;
спеціального впливу на інформацію, який може здійснюватися шляхом формування різного роду фізичних полів та сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Створення комплексів технічного захисту інформації від витоку технічними каналами є обов’язковим, якщо в АС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.
Комплекси засобів захисту від несанкціонованого доступу створюються в усіх АС, де обробляється інформація, що власністю держави, до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством, а також в АС, де таке рішення прийнято власником інформації.
Впровадження заходів захисту від спеціальних впливів на інформацію приймається власником інформації у кожному випадку окремо.
Побудова КСЗІ в АС передбачає реалізацію певної послідовності робіт, включаючи такі:
класифікація за правовим режимом доступу інформації, що оброблятиметься в АС;
проведення обстеження об’єкту інформаційної діяльності, аналіз середовищ функціонування АС, у т.ч. інформаційного та технологічного середовищ, середовища користувачів, середовища потенційних порушників;
розроблення моделі загроз для інформації з урахуванням конкретних умов експлуатації АС та моделі потенційного порушника, аналіз та оцінка ризиків;
розроблення політики безпеки інформації на підставі створених моделей, визначення рівнів захисту інформації за окремими послугами (специфікація функціональних послуг захисту від несанкціонованого доступу), а також у відповідних випадках вимог з захисту інформації від витоку технічними каналами;
проектування системи захисту, визначення засобів (механізмів) та заходів захисту, що відповідають встановленим вимогам, їх впровадження в АС;
розробка розпорядчих та нормативно-технічних документів;
проведення попередньої та дослідної експлуатації КСЗІ, організація державної експертизи стану захищеності інформації в АС згідно з нормативними документами системи технічного захисту інформації.
Підставою для створення КСЗІ в АС є належним чином оформлене технічне завдання (ТЗ) на її розробку. ТЗ є вихідним нормативно-технічним документом для проведення робіт у багатьох галузях діяльності людини, у т.ч. під час реалізації заходів із захисту інформації в АС. Зокрема, воно включає розроблені вимоги щодо захисту інформації, в деяких випадках вимоги із захисту включаються окремим розділом до ТЗ на створення АС.
Роботи зі створення КСЗІ виконуються організацією-власником АС з дотриманням вимог законодавства щодо провадження господарської діяльності у сфері захисту інформації.
Залежно від складу КСЗІ можливо, що для її побудови необхідно виконувати декілька різних видів робіт, які підлягають ліцензуванню в межах господарської діяльності з технічного захисту інформації. У цьому випадку виконавець робіт зі створення повинен мати право на провадження хоча б одного з таких видів робіт. Для виконання інших робіт, на провадження яких він не має ліцензії, залучаються співвиконавці, які мають відповідні ліцензії.