- •Кафедра Інформаційних систем та технологій методологія захисту інформації конспект лекцій
- •Тема 1. Захист інформації як головна складова інформаційної безпеки лекція 1.
- •1. Предмет, мета та завдання курсу «Методологія захисту інформації»
- •2. Філософські основи методології
- •3. Проблеми розвитку теорії й практики забезпечення інформаційної безпеки
- •4. Базові поняття й визначення у галузі інформаційної безпеки
- •5. Основні складові інформаційної безпеки
- •Тема 2. Елементи загальної теорії захисту інформації лекція 2.
- •1. Поняття, сутність, цілі захисту інформації
- •2. Концептуальна модель інформаційної безпеки
- •3. Характеристика інформації як об'єкта захисту
- •Тема 3. Загрози інформації лекція 3.
- •1. Сутність потенційних та реальних загроз інформації
- •2. Джерела виникнення загроз та шляхи їх реалізації
- •3. Класифікація та характеристика загроз інформації
- •Тема 4. Модель захисту та модель порушника в автоматизованій системі лекція 4.
- •1. Моделі захисту інформації
- •2. Модель порушника інформаційної безпеки
- •Тема 5. Методи технічного захисту інформації на об'єктах інформаційної діяльності лекції 5,6.
- •1. Поняття та характеристика каналів витоку інформації. Зміст спеціальних досліджень
- •2. Методи захисту інформації від витоку за рахунок пемвн
- •3. Методи захисту від витоку інформації з обмеженим доступом шляхом прослуховування.
- •4. Методи захисту інформації від нсд в автоматизованих системах
- •5. Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем
- •6. Порядок створення системи управління інформаційною безпекою (суіб)
- •Основні етапи створення системи управління інформаційною безпекою
- •Тема 6. Методи криптографічного захисту інформації лекції 7,8.
- •1. Предмет криптографії
- •2. Криптосистеми й загрози їх безпеки
- •3. Симетричні криптографічні системи
- •Алгоритм гост 28147-89. Срср у гонку на просторах відкритої криптографії ввімкнувся пізніше сша, може бути тому алгоритм гост повторює основні ідеї алгоритму des.
- •4. Характеристика криптосистем з відкритими ключами
- •К риптосистема rsa. Rsa - криптосистема з використанням відкритих ключів, названа по перших буквах імен її творців.
- •Цифровий підпис на основі алгоритму rsa. С истема rsa також може застосовуватися для формування цифрового підпису. При цьому ключі використовуються трохи інакше, чому у випадку шифрування.
- •Стандарти цифрового підпису. В 1991 році nist запропонував стандарт цифровому підпису (dss) для урядових систем. Dss використовує алгоритм sha для хешування повідомлень перед підписом.
- •6. Порядок проведення робіт з криптографічного захисту інформації
- •Тема 7. Інженерно-технічні методи захисту інформації лекція 9.
- •1. Методи й засоби контролю, сигналізації, розмежування доступу на об'єкти інформаційної діяльності
- •2. Методи мінімізації збитків від аварій і стихійних лих
- •Тема 8. Методи стеганографічного захисту інформації лекція 10.
- •1. Комп'ютерна і цифрова стеганографія, цифрові водяні знаки
- •2. Модель комп’ютерної стеганографічної системи
- •3. Атаки на стеганографічні системи
- •Тема 9. Методи відновлення та гарантованого знищення інформації лекція 11.
- •1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях
- •2. Знищення інформації, збереженої на нжмд
- •3. Розслідування комп'ютерних інцидентів
- •Тема 10. Особливості методів захисту різних видів інформації з обмеженим доступом лекція 12.
- •1. Основні організаційно-правові заходи щодо охорони державної таємниці
- •2. Особливості захисту конфіденційної інформації, що є власністю держави
- •3. Особливості захисту персональних даних
- •Тема 11. Сучасні методи забезпечення надійності персоналу, як складової інформаційної безпеки лекція 13
- •1. Характеристика психологічного стану персоналу в аспекті іб на різних стадіях розвитку підприємства
- •3. Оптимізація взаємодії користувачів і обслуговуючого персоналу
- •Тема 12. Основи створення комплексних систем захисту інформації в автоматизованих системах лекції 14,15.
- •1. Характеристика основних принципів побудови системи захисту інформації
- •2. Етапи створення комплексної системи захисту інформації
- •3. Комплекс засобів захисту інформації (кззі)
- •4. Вимоги до організаційних заходів
- •5. Склад проектної та експлуатаційної документації
- •6. Випробування та дослідна експлуатація
5. Склад проектної та експлуатаційної документації
Проектна документація на систему повинна включати:
технічний проект інформаційної системи;
робочу документацію;
класифікацію інформації;
класифікацію користувачів за рівнем повноважень та місцем їх розміщення;
загальний опис системи;
модель загроз безпеці інформації та модель потенційних порушників;
опис політики безпеки інформації;
план технічного захисту;
опис технічних засобів захисту.
Експлуатаційна документація на систему повинна включати:
наказ про створення комісії з обстеження АС;
наказ про створення комісії з категоріювання АС;
акт категоріювання АС;
наказ про створення служби захисту, призначення адміністратора безпеки та інших адміністраторів;
наказ про створення комісії з проведення попередніх випробувань КСЗІ;
програма та методика випробувань;
протокол попередніх випробувань КСЗІ;
акт про передачу КСЗІ в дослідну експлуатацію;
наказ про проведення дослідної експлуатації;
журнал навчання користувачів;
акт завершення дослідної експлуатації;
політика безпеки;
положення про службу захисту інформації в АС;
план захисту інформації в АС;
інструкція із забезпечення режиму безпеки при роботі в АС;
інструкція щодо порядку забезпечення антивірусного захисту інформації в АС;
інструкція користувача в АС;
інструкція адміністратора безпеки;
інструкція системного адміністратора;
інструкцію з тестування системи;
інструкцію з виконання регламентних та ремонтних робіт;
інструкція про порядок введення в експлуатацію КСЗІ;
інструкція про порядок модернізації КСЗІ;
паспорт-формуляр на АС.
Положення про службу захисту інформації в АС розробляється замовником під час створення АС. Склад та зміст плану захисту інформації визначається СЗІ згідно з НД ТЗІ 1.4-001-2000.
Інструкція користувача повинна включати короткий опис механізмів захисту та інструкції щодо порядку роботи з ними в процесі взаємодії користувача з АС.
Інструкція адміністратора безпеки призначена для забезпечення виконання функціональних обов’язків адміністратора безпеки (персоналу СЗІ) і повинна включати описи:
дій щодо управління захистом (встановлення атрибутів доступу, прав, порядок надання користувачам особистих ідентифікаторів та паролів тощо;
процедур роботи із засобами реєстрації;
процедур інсталяції засобів захисту інформації;
процедур оперативного відновлення працездатності КСЗІ після збоїв.
Інструкція системного адміністратора повинна описувати дії щодо адміністрування АС, такі як:
процедури супроводження програмного забезпечення компонентів АС, перевірки його цілісності та працездатності;
процедури інсталяції, генерації і запуску засобів адміністрування АС та мережевого обладнання;
процедури перевірки працездатності засобів адміністрування;
опис процедур оперативного відновлення працездатності після збоїв.
Документація техноробочого проекту повинна містити основні проектні і технічні рішення щодо побудови АС та її компонентів. Склад та зміст документації повинен відповідати вимогам стандартів ГОСТ 34.201, ГОСТ 19.101-85, РД 50-34.698, в частині виготовлення конструкторської документації - стандартам ЕСКД, в частині виготовлення експлуатаційної документації - ГОСТ 34.201, РД 50-34.698.
Склад та зміст опису компонентів КСЗІ та інструкцій користувача і адміністратора безпеки повинні відповідати вимогам НД ТЗІ 2.5-004-99.
Остаточний склад експлуатаційної документації Виконавець погоджує з замовником за результатами дослідної експлуатації КСЗІ АС.