- •Вступ до інформаційної безпеки
- •Тема 1. Загальні поняття та положення з інформаційної безпеки
- •1.1. Загальні поняття про інформацію: визначення, особливості та властивості інформації
- •1.2. Поняття про інформаційну безпеку
- •Тема 2. Предмет та об’єкт захисту у інформаційній безпеці
- •2.1. Класифікація інформаційних систем, визначення поняття інформаційно-комунікаційної системи
- •2.2. Приклади сучасних систем обробки інформації
- •Тема 3. Загрози безпеці інформації
- •3.1. Поняття загрози інформації
- •3.2.Класифікація загроз інформаційної безпеки
- •3.2.1. Класифікація загроз інформаційної безпеки за її складовими
- •3.2.2. Класифікація загроз інформаційної безпеки за компонентами інформаційних систем, на яки вони націлені
- •3.2.3. Класифікація загроз інформаційної безпеки за характером впливу
- •3.2.3.1. Випадкові загрози
- •3.2.3.2. Навмисні загрози
- •3.2.4. Класифікація загроз інформаційної безпеки за розміщенням їх джерела
- •3.3. Поняття порушника інформаційної безпеки
- •3.4. Поняття про модель загроз та модель порушника
- •На порушення яких властивостей інформації або ас спрямована загроза:
- •Джерела виникнення загрози:
- •Можливі способи здійснення загрози:
- •Категорія осіб, до якої може належати порушник:
- •Тема 4. Основні складові системи інформаційної безпеки. Правове та законодавче регулювання
- •4.1. Характеристика системи регулювання інформаційної безпеки в Україні
- •4.2. Загальна характеристика нормативно-правової бази України з захисту інформації
- •4.3. Визначення поняття про інформаційну безпеку та суміжних понять в законодавстві України
- •4.4. Класифікація інформації та інформаційних систем за законодавством України
- •4.5. Порядок та умови доступу та обробки інформації за визначенням законодавством України
- •Тема 5. Основні методи та засоби захисту інформації
- •5.1. Методи захисту інформації від випадкових загроз
- •5.2. Методи захисту інформації від навмисних загроз
- •5.2.1. Методи та засоби системи охорони об’єктів від несанкціонованого проникнення на територію та заволодіння інформацією не уповноваженими та сторонніми особами
- •5.2.2. Організація збереження конфіденційної інформації від зловмисних дій персоналу та користувачів
- •Тема 6. Основні методи та засоби технічного захисту інформації
- •6.1. Захист інформації від витоку по оптичному каналу
- •6.2. Захист інформації від витоку по акустичному каналу
- •6.2.1. Захист акустичної інформації у приміщеннях
- •6.2.2. Захист акустичної інформації під час передавання її по технічним каналам
- •6.3. Захист інформації від витоку по каналу побічних електромагнітних випромінювань та наведень (пемвн)
- •Тема 7. Основні методи захисту інформації в комп’ютерних системах
- •7.1. Основі теоретичні положення захисту інформації в комп’ютерних системах
- •7.2. Захист від апаратних та програмних закладок, впроваджених на етапах розробки та виробництва
- •7.3. Захист від несанкціонованої зміни структур на рівні апаратних та програмних засобів у процесі експлуатації
- •7.4. Захист комп’ютерних систем від несанкціонованого доступу
- •7.5. Поняття про методи криптографічного захисту інформації
- •7.6. Захист комп’ютерних систем від вірусів та спаму
- •Тема 8. Основні методи захисту інформації в розподілених комп’ютерних (інформаційно-комунікаційних) системах
- •8.1. Архітектура мережі Інтернет
- •8.2. Загрози безпеці в інформаційно-комунікаційних системах
- •8.3. Основні підходи до захисту інформації в інформаційно-комунікаційних системах
- •Тема 9. Основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1. Базові визначення та основні поняття про комплексну систему захисту інформації (ксзі)
- •9.1.1. Вимоги до складу, технічні та організаційні передумови створення ксзі
- •9.1.2. Характеристика інформаційної системи, як об’єкту захисту ксзі
- •9.1.3. Типові вразливості ікс на різних рівнях
- •9.2. Порядок створення, введення в дію, атестації та супроводження ксзі
- •3. На третьому етапі створення ксзі розробляється технічне завдання на створення ксзі.
- •4. На четвертому етапі створення ксзі здійснюється розробка проекту ксзі.
- •5. На п’ятому етапі створення ксзі здійснюється введення ксзі в дію.
1.2. Поняття про інформаційну безпеку
Безпека - це стан захищеності (відсутність небезпеки) від внутрішніх і зовнішніх загроз життєво важливим інтересам особистості, установи, держави.
Виходячи з визначення безпеки, це протидія внутрішнім і зовнішнім загрозам життєво важливим інтересам суб’єкта безпеки. В наведеному визначенні було надано перелік суб’єктів, якими оперує поняття безпеки.
Враховуючи це, надамо поняття інформаційної безпеці.
Інформаційна безпека – це стан захищеності інформаційного середовища суспільства, яке забезпечує його формування, використання і розвиток в інтересах громадян, установ, держави. (Закон РФ "Об участі у міжнародному інформаційному обміні).
Система - це набір елементів або частин, які взаємозв’язані між собою та функціонують як єдине ціле й спрямовані на досягнення спільних цілей.
Система інформаційної безпеки - це сукупність установ, засобів, що використовуються, заходів, що здійснюються цими установами у своєї діяльності та методів, яки використовуються, що діють як єдине ціле та націлені на ліквідацію внутрішніх і зовнішніх загроз життєво важливим інтересам суб’єктів безпеки, створення, підтримку і розвиток стану захищеності його інформаційного середовища. (Закон РФ "Об участі у міжнародному інформаційному обміні).
Інформаційна безпека досягається шляхом проведення керівництвом відповідного рівня політики безпеки. Основним документом на основі якого просувається політика безпеки є план захисту.
Тема 2. Предмет та об’єкт захисту у інформаційній безпеці
2.1. Класифікація інформаційних систем, визначення інформаційно-комунікаційної системи
2.2. Приклади сучасних систем обробки інформації
У теорії захисту інформації у якості предмету захисту інформаціїрозглядаютьінформацію,яка циркулює, накопичується та обробляється в сучасних комп’ютерних системах. Ця інформація відрізняється двоїстим поданням, високим ступенем обробки та передачі та концентрації інформації. У якостіоб’єкту захисту інформації, при цьому, розглядається комп’ютерна система. У практиці інформаційної безпеки об’єкт захисту інформації розглядають у більш широкому розумінні, ніж комп’ютерна система. До цієї системи додаються приміщення, будівлі, а також територія, що межує з ними.
2.1. Класифікація інформаційних систем, визначення поняття інформаційно-комунікаційної системи
На поточний час в професійному середовищі циркулює низка термінів, яки визначають поняття систем, в яких інформація накопичується, обробляється та передається. До таких термінів можна віднести:
● комп’ютерні (обчислювальні) системи;
● автоматизовані системи;
● комп’ютерні систем і мережі;
● інформаційно-телекомунікаційні системи;
● інформаційні і комунікаційні системи;
● інформаційно-комунікаційні системи.
Обчислювальна система(рос. –Вычислительная система, ВС, англ.:Computer System). Під обчислювальною системою розуміють сукупність програмних і апаратних засобів, призначених для обробки інформації. Обчислювальна система поєднує в собі технічні засоби обробки і передачі даних (засоби обчислювальної техніки і зв’язку), а також методи і алгоритми обробки даних, що реалізовані у вигляді відповідного програмного забезпечення (ПЗ).
Комп’ютерна система (рос. –Компьютерная система, КС, англ.:Computer System). За логікою, має визначення синоніму обчислювальної системи. Але у вітчизняних нормативних документах його тлумачення досить специфічне. Згідно НД ТЗІ 1.1-003-99 “Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу”, комп’ютерна система – це сукупність програмно-апаратних засобів, яка подана для оцінки. Під оцінкою тут розуміють експертну оцінку захищеності інформації в цій системі, як складову експертизи або сертифікації на відповідність чинним нормативним документам і стандартам.
На практиці цей термін також використовується як синонім для обчислювальних систем, автоматизованих систем та інформаційних систем. Ми будемо використовувати термін “комп’ютерна система” як синонім терміну “обчислювальна система”.
Автоматизована система (АС)(рос. –Автоматизированная система, АС, англ. –Automated System). Термін “Автоматизована система” вживається по відношенню до систем автоматизованої обробки інформації, що побудовані на основі обчислювальної техніки. Цей термін використовується не лише в контексті захисту оброблюваної інформації, з ним пов’язані численні стандарти, як, наприклад, ГОСТ серії 34 (Інформаційна технологія. Комплекс стандартів на автоматизовані системи).
Існують різні тлумачення терміну “Автоматизована система”. В подальшому ми будемо дотримуватись визначення з НД ТЗІ 1.1-003-99: автоматизована система– це організаційно-технічна система, що реалізує інформаційну технологію і об’єднує (див. рис.):
обчислювальну систему;
фізичне середовище;
персонал;
інформацію, яка обробляється.
Рис. Автоматизована система
Для АС обчислювальна система, персонал, інформація з технологією її обробки і фізичне середовище розглядаються як складові. Також їх часто згадують як середовища функціонування системи.
Інформаційно-телекомунікаційна система (ІТС).Інформаційно-телекомунікаційною системою називають організаційно-технічну систему, яка включає функціїінформаційної системи, тобто організаційно-технічної системи, що реалізує певну технологію (або сукупність технологій) обробки інформації, та/аботелекомунікаційної системи, тобто технічної системи, що реалізує певну технологію (або сукупність технологій) передачі даних шляхом їх кодування у формі фізичних сигналів.
Закон «Про захист інформації в інформаційно-телекомунікаційних системах» від 31.05.05 (вступив у дію 1.01.06 р.) визначає інформаційно-телекомунікаційну систему як сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле.
В документі НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі» підтверджується наведене вище визначення інформаційно-телекомунікаційної системи, але введено новий вид автоматизованої системи - інтегрованої системи.
Інтегрована система – це сукупність двох або кількох взаємопов’язаних інформаційних та (або) телекомунікаційних систем, в якій функціонування однієї (кількох) з них залежить від результатів функціонування іншої (інших) таким чином, що цю сукупність у процесі взаємодії можна розглядати як єдину систему. Ця система вважається також інформаційно-телекомунікаційною системою.
Інформаційно – комунікаційні системи (ІКС) - це системи, яки побудовано з використанням сучасних інформаційно – комунікаційних технологій (ІКТ).
Наведемо як приклад визначення терміну “Інформаційно-комунікаційні технології” у Документах ООН:
United Nations E/2000/52
Economic and Social Council Distr.: General
18 May 2000
Original: English
00-43729 (E) 080600
Substantive session of 2000
New York, 5 July-1 August 2000
High-level segment
Item 2 of the provisional agenda*
Report of the Secretary-General
Development and international cooperation in the twenty-first century: the role of information technology in the context of a knowledge-based global economy
«…Information and communication technologies (ICT) are usually understood as pertaining to computers, networking and electronic data processing, as well as rapidly improving communications technologies, including mobile telephony, satellite communications, multifold expansion in bandwidths for voice and data-carrying capacity by the use of new materials, such as fiber-optics, as well as the software for new, more efficient and more widespread applications of these new technologies and capacities.»
Інформаційно–комунікаційні технології (ІКТ) – це сукупність обчислювальної техніки та обчислювальних мереж разом, що накопичують, обробляють та передають інформацію, подану у формі даних, голосових повідомлень та відео зображень, яки базуються на сучасних комунікаційних технологіях (мобільний та супутниковий широкосмуговий зв’язок), новітніх сучасних матеріалах (оптоволокно) та програмному забезпеченні для нових, більш ефективних і розповсюджених видів застосування цих новітніх технологій і можливостей.
Треба зазичити, що загальноприйнятим терміном в Україні в галузі захисту інформації до поточного часу є «інформаційно-телекомунікаційні системи», саме він переважно використовується у законодавстві України щодо захисту інформації.
Терміни «інформаційно-телекомунікаційна система», «інтегрована система», «інформаційна і комунікаційна система», «інформаційно-комунікаційна система», «автоматизована система» у подальшому будемо використовувати як синоніми.