- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
5. Основні складові інформаційної безпеки
Інформаційна безпека багатомірна галузь науково-практичної діяльності, у якій успіх може принести тільки системний, комплексний підхід.
З методологічної точки зору підхід до проблем інформаційної безпеки повинен починатися з виявлення суб'єктів інформаційних відносин і інтересів цих суб'єктів.
У забезпеченні інформаційної безпеки зацікавлені різні суб'єкти інформаційних відносин:
• держава в цілому або окремі державні органі й організації;
• суспільні або комерційні організації (об'єднання), підприємства ( юридичні особи);
• окремі громадяни ( фізичні особи).
Спектр інтересів суб'єктів, пов'язаних з накопиченням і обробкою інформації, сфокусований на наступних трьох категоріях: забезпечення доступності, цілісності й конфіденційності ресурсів інформаційного середовища й підтримуючої інфраструктури.
Пояснимо суть понять доступність, цілісність і конфіденційність інформації.
Доступність – це властивість інформації, що характеризує можливість за прийнятний час одержати на законних підставах потрібний інформаційний ресурс (послугу).
Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування й несанкціонованої зміни.
Конфіденційність – це властивість інформації з обмеженим доступом, яка характеризує її захищеність від ознайомлення з нею осіб, яки не уповноважені на ці дії.
У якості основних інформаційних ресурсів надалі будемо розглядати оброблюються у автоматизованих інформаційних системах й засобами комунікації.
Інформаційні системи створюються для реалізації певних інформаційних послуг. Якщо по тим або іншім причинам надати ці послуги користувачам стає неможливо, це, очевидно завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність іншим аспектам, прийнято виділяти її як найважливіший елемент інформаційної безпеки.
Цілісність можна розглядати як статичну, що розуміється як незмінність інформаційних об'єктів, так і динамічну (стосовну до коректного виконання складних дій). Засоби контролю динамічної цілісності застосовуються зокрема при аналізі потоку фінансових повідомлень із метою виявлення крадіжки, переупорядкування або дублювання окремих повідомлень.
Забезпечення конфіденційності – нормативно найбільш пророблений аспект інформаційної безпеки. Але у практичній реалізації заходів із забезпечення конфіденційності сучасних інформаційних систем є серйозні труднощі.
По-перше, встановлена законом вимога захисту персональних даних нормативно-правовими актами нижчого рівня й технологічно поки ще не забезпечена.
По-друге, відсутні відкриті критерії щодо захисту від витоку конфіденційної інформації по технічних каналах, що ускладнює задачу значної частини власників інформаційно-телекомунікаційних систем по оцінці можливих ризиків від реалізації відповідних загроз.
В-третіх, слабке пророблення поняття «конфіденційна інформація, що належить державі» не дозволяє диференційовано підходити до її різновидів, При цьому очевидно, що службова (конфіденційна) інформація Міністерства оборони й службова (конфіденційна) інформація Міносвіти мають різну цінову вагу. Це досить часто створює передумови для надмірних фінансових витрат на придбання апаратних засобів криптографічного захисту інформації, на шкоду більш дешевим (хоча й менш безпечним) програмним засобам.
Можливо звернути увагу, що значення кожної зі складових інформаційної безпеки для різних категорій суб'єктів інформаційних відносин різне.
Наприклад, у більшості випадків, у державних структурах (крім сфери банківської діяльності) пріоритет віддається конфіденційності.
Дві інших складових ІБ ‑ доступність і цілісність інформації ‑ для державних структур мають менший пріоритет.
Навпаки, у банківській сфери порядок пріоритетів при здійсненні обробки даних в електронній формі іншій: цілісність, доступність, конфіденційність.
Для комерційних організацій провідну роль відіграє доступність інформації. Особливо яскраво це проявляється в різного роду системах керування – торгівлі, виробництва, транспорту й ін.
Для користувачів менш драматичні, але також досить неприємні матеріальні і моральні наслідки, може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних і авіаквитків, банківські послуги й т.п.).
Цілісність також найважливіший аспект ІБ комерційних структур. Набір і характеристики комплектуючих виробів, хід технологічного процесу – усе це приклади інформації, порушення цілісності якої може виявитися в буквальнім значенні смертельним. У той же час конфіденційність у випадку комерційної інформації відіграє помітно меншу роль.
Для громадян на перше місце можна поставити цілісність і доступність інформації, володіння якої необхідно для здійснення нормальної життєдіяльності. Наприклад, зростання кількості випадків викривлення інформації під час виборів створює певну напругу у суспільстві. Конфіденційність для фізичних осіб відіграє вторинну роль, хоча, як уже відзначене, що фізичні особи на сьогоднішній день є самими незахищеними суб'єктами інформаційних відносин.
Підсумовуючі викладене можливо зробити наступні висновки:
сучасний етап розвитку суспільства характеризується зростанням ролі інформаційної сфери, що уявляє собою сукупність інформації, відповідної інфраструктури, суб'єктів, які збирають, накопичують, обробляють формують, поширюють інформацію;
інформаційна сфера як системотворчий фактор життя суспільства активно впливає на стан політичної, економічної, національної, оборонної й інших складових безпеки України. Це потребує адекватного стану інформаційної безпеки та її важливої складової захисту інформації.
Література.
1. Філософський енциклопедичний словник. ‑М.: Сов. Енциклопедія, 1983.
2. Новиков А.М., Новиков Д.А. Методологія. ‑М.: СИНТЕГ. 2007, ‑ 668 с.
3. Богуш В.М., Юдін О.К., Інформаційна безпека держави. –К.: «МК-Прес», 2005. – 432с.
4. Цимбалюк В.С.Інформаційне право (теорія і практика). Монографія. – К.:2009. ‑ 364 с.
Контрольні запитання.
1. Дайте філософське визначення методології.
2. Перерахуйте причини актуальності проблем інформаційної безпеки.
3. У чому полягає сутність репродуктивної діяльності?
4. Дайте визначення продуктивної діяльності.
5. Наведіть приклади репродуктивної та продуктивної діяльності.
6. Якій зміст терміну організація в методології захисту інформації?
7. Перерахуйте компоненти логічної структури діяльності.
8. Що є зовнішні по відношенню до логічної структури характеристиками діяльності?
9. Що включає часова структура діяльності?
10. Які існують компоненти процесної моделі діяльності?
11. Перерахуйте групи умов здійснення діяльності.
12. Які терміни визначають предметну область інформаційної безпеки?
13. Які складові проблеми інформаційної безпеки?
14. Які існують суб’єкти інформаційних відносин?
15. Які властивості інформації підлягають захисту?