Кафедра « I нформац I йн o ї та к I бернетичної безпеки»

                                                                            

 

«ЗАТВЕРДЖУЮ»      Завідувач кафедри «I нформац i йн o ї та                              к i бернетичної безпеки»  _________________________В.Л.Буряч ок               (підпис, ініціали, прізвище)   "_ 29 __" ____ лютого _____2016 року

 

_______________ ____________ Довбешко С.В.____________________________

(прізвище та ініціали автора)

 

ЛЕКЦІЯ № 11

з навчальної дисципліни

Комплекснi системи захисту iнформацi ї: проектування, впровадження, супровiд

 

Тема 4 Етапи створення КСЗІ. Введення КСЗІ в дію

Заняття: Лекцiя №11: Порядок створення Комплекс у засобів захисту від несанкціонованого доступу (КЗЗ).

Навчальний час – 2 години.

                                          

Для студентів Навчально-наукового iнституту Захисту iнформацiї

Навчальна та виховна мета: 1. З’ясувати порядок створення  комплексу засобів захисту від несанкціонованого доступу (КЗЗ).

Навчальнi питання:

1. Несанкціоновані дії та несанкціонований доступ до інформації.

2. Основні принципи забезпечення захисту інформації.

3. Порядок створення, впровадження, супроводження та модернізації засобів ТЗІ від НСД

                     

Обговорено та схвалено на засіданні кафедри “_ 31 _” серпня 2015 року. Протокол №_ 1 ___

 

Київ – 2016

 

Навчальна література:

· НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБ України від 08.11.2005 № 125.

· Постанова КМУ.Про затвердження Правил забезпечення захисту   

інформації в інформаційних, телекомунікаційних інформаційно-

     телекомунікаційних системах від 29 березня 2006 р № 373.

· НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів ТЗІ від НСД;

· НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від НСД;

·   НД ТЗІ 2.5-008-2002 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.

· ДСТУ 1.3-98 Порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов;

· ДСТУ 3918-99 Інформаційні технології. Процеси життєвого циклу програмного забезпечення;

· ГОСТ 2.114-95 ЕСКД. Технические условия;

· ГОСТ 19.101-77 Единая система программной документации. Виды программ и программных документов;

· ГОСТ 19.501-78 Единая система программной документации. Формуляр. Требования к содержанию и оформлению;

· Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 р. № 1229;

· НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в компютерних системах він несанкціонованого доступу;

· НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу;

· НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;

· НД ТЗІ 3.7- 001- 99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі;

· Положення про державну експертизу в сфері технічного захисту

інформації, затверджене наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62, зареєстровано в Міністерстві юстиції України від 24.01.2000р. № 40/4261.

 

Порядок викладення учбового матерiалу

 

Викладення першого питання лекції: Несанкціоновані дії та несанкціонований доступ до інформації.

Згідно НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в компютерних системах він несанкціонованого доступу;

 

Концепція забезпечення захисту інформації

Основні загрози інформації

Інформація в КС існує у вигляді даних, тобто представляється в формалiзованому вигляді, придатному для обробки. Тут і далі під обробкою слід розуміти як власне обробку, так і введення, виведення, зберігання, передачу і т. ін. (ДСТУ 2226-93). Далі терміни «інформація» і «дані«використовуються як синоніми.

Інформація для свого існування завжди вимагає наявності носiя. Як носiй інформації може виступати поле або речовина. В деяких випадках у вигляді носiя інформації може розглядатися людина. Втрата інформацією своєї цінності (порушення безпеки інформації) може статися внаслідок переміщення інформації або зміни фізичних властивостей носiя.

При аналізі проблеми захисту від НСД інформації, яка може циркулювати в КС, як правило, розглядаються лише інформаційні об'єкти, що служать приймальниками/джерелами інформації, і інформаційні потоки (порції інформації, що пересилаються між об'єктами) безвідносно до фізичних характеристик їх носiїв.

Загрози оброблюваної в АС інформації залежать від характеристик ОС, фізичного середовища, персоналу і оброблюваної інформації. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т. і.) чи відмова елементів ОС, або суб'єктивну, наприклад, помилки персоналу чи дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними. Спроба реалізації загрози називається атакою.

Із всієї множини способів класифікації загроз найпридатнішою для аналізу є класифікація загроз за результатом їх впливу на інформацію, тобто порушення конфіденційності, цілісності і доступності інформації.

Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею. Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікацiї (видалення). Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікацiї відповідно до встановлених правил упродовж будь-якого певного (малого) проміжку часу. Загрози, реалізація яких призводить до втрати інформацією якої-небудь з названих властивостей, відповідно є загрозами конфіденційності, цілісності або доступності інформації.

Загрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата КС керованостi може призвести до нездатностi КС забезпечувати захист інформації і, як результат, до втрати певних властивостей оброблюваної інформації.

 

Політика безпеки інформації

Під політикою безпеки інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін "політика безпеки" може бути застосовано щодо організації, АС, ОС, послуги, що реалізується системою (набору функцій), і т. ін. Чим дрібніше об'єкт, відносно якого застосовується даний термін, тим конкретнішими і формальніше стають правила. Далі для скорочення замість словосполучення "політика безпеки інформації" може використовуватись словосполучення "політика безпеки", а замість словосполучення "політика безпеки інформації, що реалізується послугою" — "політика послуги" і т. ін.

Політика безпеки інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС політика безпеки інформації може бути індивідуальною і може залежати від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і від багатьох інших чинників. Тим більше, одна й та ж сама АС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і політика безпеки інформації в такій АС буде складеною і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.

Політика безпеки повинна визначати ресурси АС, що потребують захисту, зокрема установлювати категорії інформації, оброблюваної в АС. Мають бути сформульовані основні загрози для ОС, персоналу, інформації різних категорій і вимоги до захисту від цих загроз. Як складові частини загальної політики безпеки інформації в АС мають існувати політики забезпечення конфіденційності, цілісності і доступності оброблюваної інформації. Відповідальність персоналу за виконання положень політики безпеки має бути персонiфікована.

Політика безпеки інформації, що реалізуються різними КС будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, але і в зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.

Частина політики безпеки, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу.