Embed Size (px)
DESCRIPTION
Лекц ія № 7. Основи безпеки інформаційних ресурсів. План. Загальні по няття та положення . Класифікація загроз безпеці інформації Класифікація джерел загроз . Класифікація уразливостей безпеці . Основні напрями забезпечення безпеки інформації та інформаційних ресурсів. - PowerPoint PPT Presentation
Citation preview
ЛекцЛекція №ія №77
Основи безпеки Основи безпеки інформаційних ресурсівінформаційних ресурсів
ПланПлан
1.1. Загальні поЗагальні поняття та положенняняття та положення..
2.2. Класифікація загроз безпеці інформаціїКласифікація загроз безпеці інформації
3.3. Класифікація джерел загрозКласифікація джерел загроз..
4.4. Класифікація уразливостей безпеціКласифікація уразливостей безпеці..
5.5. Основні напрями забезпечення безпеки Основні напрями забезпечення безпеки інформації та інформаційних ресурсівінформації та інформаційних ресурсів..
1. 1. Загальні поЗагальні поняття та няття та положенняположення..
Джерело загрози Джерело загрози — це потенційні антропогенні, — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.техногенні або стихійні носії загрози безпеці.
Загроза (дія) Загроза (дія) — це можлива небезпека — це можлива небезпека (потенційна або така, що існує реально) вчинення (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльно сті), будь-якого діяння (дії або бездіяльно сті), спрямованого проти об'єкта захисту спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток (інформаційних ресурсів), яке наносить збиток власнику або користувачу, що проявляється як власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації.небезпека спотворення або втрати інформації.
Фактор (уразливість) Фактор (уразливість) — це властиві об'єкту — це властиві об'єкту інформатизації причини, які призводять до інформатизації причини, які призводять до порушення безпеки інформації на конкретному порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу об'єкті та зумовлені вадами процесу функціонування об'єкта інформатизації, функціонування об'єкта інформатизації, властивостями архітектури інформаційно-властивостями архітектури інформаційно-телекомунікаційної системи, протоколами телекомунікаційної системи, протоколами обміну та інтерфейсами, що застосовуються обміну та інтерфейсами, що застосовуються програмним забезпеченням і апаратними програмним забезпеченням і апаратними засобами, умовами експлуатації.засобами, умовами експлуатації.
Наслідки Наслідки (атака) (атака) — це можливі наслідки — це можливі наслідки реалізації загрози (можливі дії) при взаємодії реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (ура джерела загрози через наявні фактори (ура зливості) .зливості) .
АтакаАтака — це завжди пара "джерело-фактор", — це завжди пара "джерело-фактор", що реалізує загрозу та приводить до збитків.що реалізує загрозу та приводить до збитків.
Механізм формування атакиМеханізм формування атаки
ОБ’ЄКТ ЗАХИСТУobject
ОБ’ЄКТ ЗАХИСТУobject
ДЖЕРЕЛОЗАГРОЗИ
source
ФАКТОР(уразливість)vulnerability
ЗАГРОЗА(дія)threat
НАСЛІДКИ (атака)attack
2. Класифікація загроз безпеці 2. Класифікація загроз безпеці інформаціїінформації
- загрози викрадення, зміни або знищення інформації
Загрози безпеці інформаціїinformation security threats
· блокування інформації· знищення інформації та засобів її оброблення
Загрози доступностіthreats of accessibility
· модифікація (спотворення) інформації· заперечення дійсної інформації· нав’язування фальшивої інформації
Загрози цілісності threats of a integrity
· викрадення (копіювання) інформації та засобів її оброблення· утрата (ненавмисна втрата, витік) інформації та засобів її оброблення
Загрози конфіденційностіthreats of privacy
3. Класифікація джерел загроз3. Класифікація джерел загроз
Носіями загроз безпеці інформації є Носіями загроз безпеці інформації є джерела джерела загроз. загроз.
Джерелами загроз можуть бути як суб'єкти Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. (особистість), так і об'єктивні прояви.
Причому, джерела загроз можуть Причому, джерела загроз можуть знаходитися як усередині організації — знаходитися як усередині організації — внутрішні джерела, так і ззовні її — зовнішні внутрішні джерела, так і ззовні її — зовнішні джерела. джерела.
- носії загроз безпеці інформації
Джерела загроз інформаціїsource of threats
Антропогенні джерелаanthropogenic source of threats
Техногенні джерелаtechnogenic source of threats
Стихійні джерелаnatural source of threats
Антропогенні джерела загрозАнтропогенні джерела загроз
Антропогенними джерелами загроз Антропогенними джерелами загроз виступають суб'єкти, дії яких можуть бути виступають суб'єкти, дії яких можуть бути кваліфіковані як навмисні або випадкові кваліфіковані як навмисні або випадкові злочини. злочини.
Ця група джерел загроз найбільш численна Ця група джерел загроз найбільш численна та представляє найбільший інтерес із точки та представляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. прийняти адекватні заходи.
Антропогенним джерелом загроз можна Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта, що роботи зі штатними засобами об'єкта, що підлягає захисту. підлягає захисту.
Суб'єкти (джерела), дії яких можуть привести Суб'єкти (джерела), дії яких можуть привести до порушення безпеки інформації, можуть бути до порушення безпеки інформації, можуть бути як як зовнішніми, так і внутрішніми. зовнішніми, так і внутрішніми.
Зовнішні антропогенні джерела:
· кримінальні структури;· потенційні злочинці та
хакери;· недобросовісні партнери;· технічний персонал
телематичних послуг;· представники наглядових
організацій та аварійних служб;
· представники силових структур
Антропогенні джерелаanthropogenic source of threats
Внутрішні антропогенні джерела:
· основний персонал (користувачі, розробники, програмісти);
· представники служби захисту інформації (адміністратори);
· допоміжний склад (прибиральники, охорона)
· технічний персонал (життєзабезпе-чення, експлуатація)
Техногенні джерелаТехногенні джерела
Друга група містить джерела загроз, що Друга група містить джерела загроз, що визначаються технократичною діяльністю визначаються технократичною діяльністю людини та розвитком цивілізації. Проте людини та розвитком цивілізації. Проте наслідки, викликані такою діяльністю, вийшли з-наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. під контролю людини та діють самі по собі.
Технічні засоби, що є джерелами потенційних Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми.зовнішніми та внутрішніми.
Зовнішні техногенні джерела:
· засоби зв’язку;· мережа інженерних комунікацій (водо-постачання, каналізація);
· транспорт
Техногенні джерелаtechnogenic source of threats
Внутрішні техногенні джерела:
· неякісні технічні засоби оброблення інформації;
· неякісні програмні засоби оброблення інформації;
· допоміжні засоби (охоронна сигналі-зація, телефони);
· інші технічні засоби, що застосовуються в організації
Стихійні джерелаСтихійні джерела
Третя група джерел загроз об'єднує Третя група джерел загроз об'єднує обставини, що складають непереборну силу, обставини, що складають непереборну силу, тобто такі обставини, які носять об'єктивний і аб тобто такі обставини, які носять об'єктивний і аб солютний характер, що розповсюджується на солютний характер, що розповсюджується на всіх. всіх.
Стихійні джерела потенційних загроз Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.розуміють, насамперед, природні катаклізми.
Зовнішні стихійні джерела:· пожежі; · землетруси;· повені;· урагани;· магнітні бурі;· радіоактивне випромінювання;· різноманітні непередбачені
обставини;· непояснені явища;· інші форс-мажорні обставини
Стихійні джерелаnatural source of threats
4. Класифікація уразливостей 4. Класифікація уразливостей безпецібезпеці..
Загрози, як можливі небезпечності здійснення Загрози, як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки (фактори), що призводять до порушення безпеки інформації на конкретному об'єкті інформатизації.інформації на конкретному об'єкті інформатизації.
Уразливості безпеці інформації можуть бути: Уразливості безпеці інформації можуть бути: •об'єктивними;об'єктивними;•суб'єктивними; суб'єктивними; •випадковими.випадковими.
Об'єктивні уразливості Об'єктивні уразливості
Об'єктивні уразливості Об'єктивні уразливості залежать від залежать від особливостей побудови та технічних особливостей побудови та технічних характеристик обладнання, що застосовується характеристик обладнання, що застосовується на об'єкті захисту.на об'єкті захисту.
Повне усунення цих уразливостей Повне усунення цих уразливостей неможливе, але вони можуть суттєво неможливе, але вони можуть суттєво послаблятися технічними та інженерно-послаблятися технічними та інженерно-технічними методами відбивання загроз безпеці технічними методами відбивання загроз безпеці інформації.інформації.
Випромінювання технічних засобів:·електромагнітні;·електричні;·звукові
Об’єктивні уразливостіobjective a vulnerability
Такі, що активізуються:·апаратні закладки;·програмні закладки
Такі, що визначаються особливостями елементів:·елементи, здатні до електроакустичного перетворення;·елементи, що піддаються пливу електромагнітного поля
Такі, що визначаються особливостями об’єкта захисту:·місцезнаходженням об’єкта;·організацією каналів обміну інформацією
Суб'єктивні уразливості Суб'єктивні уразливості
Суб'єктивні уразливості Суб'єктивні уразливості залежать від залежать від дій співробітників і, в основному, дій співробітників і, в основному, вилучаються організаційними та вилучаються організаційними та програмно-апаратними методами.програмно-апаратними методами.
Помилки (халатність):·при підготовці та використанні прог-рамного забезпечення;·при експлуатації технічних засобів;·некомпетентні дії;·ненавмисні дії
Суб’єктивні уразливостіsubjective a vulnerability
Порушення:·режиму захисту і оборони;·режиму експлуатації технічних засобів та програмного забезпечення;·використання інформації
Психогенні:·психологічні;·психічні;·фізіологічні
Випадкові уразливості Випадкові уразливості
Випадкові уразливості Випадкові уразливості залежать від залежать від особливостей середовища, яке оточує об'єкт особливостей середовища, яке оточує об'єкт захисту, та непередбачених обставин. захисту, та непередбачених обставин.
Ці фактори, як правило, мало передбачувані і Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки приїх усунення можливе тільки при проведення проведення комплексу організаційних та інженерно-комплексу організаційних та інженерно-технічних захо дів із протидії загрозам технічних захо дів із протидії загрозам інформаційній безпеці.інформаційній безпеці.
Збої та відмови:·відмови та несправності технічних засобів; ·старіння та розмагнічування носіїв інформації;·збої програмного забезпечення;·збої електроживлення
Випадкові уразливостіrandom a vulnerability
5. Основні напрями 5. Основні напрями забезпечення безпеки забезпечення безпеки
інформації та інформаційних інформації та інформаційних ресурсівресурсів..
Напрями забезпечення безпеки інформації Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або державному рівні, на рівні підприємства або організації, на рівні окремої особистості.організації, на рівні окремої особистості.
З урахуванням практики, що склалася на теперішній час, З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації:виділяють наступні напрями захисту інформації:
правовий захист правовий захист — це спеціальні закони, інші — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;забезпечують захист інформації на правовій основі;
організаційний захист організаційний захист — це регламентація — це регламентація виробничої діяльності та взаємовідносин виконавців виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям;послаблює нанесення будь-яких збитків виконавцям;
інженерно-технічний захист інженерно-технічний захист — це використання — це використання різноманітних технічних засобів, що перешкоджають різноманітних технічних засобів, що перешкоджають нанесенню збитків.нанесенню збитків.
- регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі
ОРГАНІЗАЦІЙНИЙ ЗАХИСТ ІНФОРМАЦІЇ
Організація режиму та охорони
Організація роботи із співробітниками
Організація роботи з документами та документованою інформацією
Організація використання технічних заходів
Організація роботи з аналізу загроз
Організація роботи з проведення систематичного контролю
Складові захисту інформаціїСкладові захисту інформації
- сукупність спеціальних органів, технічних засобів для їх використання в інтересах захисту конфіденційної інформації
ІНЖЕНЕРНО-ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
- різноманітні пристрої, конструкції, апарати, вироби, призначені для створення перепон на шляху руху зловмисників
Фізичні засоби захисту
- різноманітні технічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступу до джерел конфіденційної інформації:
Апаратні засоби захисту
- система спеціальних програм, які входять до складу програмного забезпечення
Програмні засоби захисту
- апаратні, програмні та програмно-апаратні засоби, що реалізують захист інформації за допомогою криптографічних перетворень
Криптографічні засоби захисту
- спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі
ПРАВОВИЙ ЗАХИСТ ІНФОРМАЦІЇ
- норми, що стосуються питань інформатизації та захисту інформації, які входять до конституційного законодавства як складові елементи
Конституційне законодавство
- норми з питань інформатизації та захисту інформації
Загальні закони та кодекси
- закони стосовно окремих структур господарства, економіки, системи державних органів та визначення їх статусу, які включають окремі норми з питань захисту інформації
Закони про організацію управління
- сукупність законів, які закладають основи правового забезпечення інформаційної безпеки (Закони України “Про інформацію”, “Про захист інформації в автоматизованих системах” і т.ін.)
Спеціальні закони
- стандарти, загальнодержавні та відомчі нормативні документи, що орієнтовані на забезпечення захисту інформації
Підзаконні нормативні акти
- норми про відповідальність за правопорушення в інформаційній сфері
Правоохоронне законодавство
