Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Комплексні системи захисту інформації: проектування, впровадження, супровід

Комплексні системи захисту інформації: проектування, впровадження, супровід




Сторінка1/9
Дата конвертації28.04.2017
Розмір1.19 Mb.
  1   2   3   4   5   6   7   8   9


МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

ДВНЗ «Ужгородський національний університет»

Фізичний факультет

Кафедра твердотільної електроніки з/с інформаційної безпеки


КОМПЛЕКСНІ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ:

проектування, впровадження, супровід
Старший викладач: Гребенніков Вадим Вікторович
ЗБІРНИК ЛЕКЦІЙ - 1
Семестр 7 Модуль 1
Змістовий модуль 1.
Твердоті́льна електро́ніка- спеціальність, предметом якої є використання фізичних явищ у твердих тілах для побудови приладів, пристроїв і систем напівпровідникової та діелектричної електроніки, включаючи інтегральну напівпровідникову мікроелектроніку, акустоелектроніку, оптоелектроніку, мікроелектроніку, кріоелектроніку, молекулярну електроніку тощо.
Інформаці́йна безпе́ка - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»).
Комплексна система захисту інформації Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).
Формування вимог до КСЗІ та її завдань

1. Головні принципи та етапи захисту від загроз. Номативно-правове забезпечення захисту інформації

2. Номативно-правові акти України та етапи створення КСЗІ

3. 1-й етап - формування вимог до КСЗІ

4. Положення про службу захисту інформації в ІКС


1.5. Складання моделі порушника безпеки інформації в ІКС

2.6. Складання моделі загроз для інформації в ІКС


Тема 1. Головні принципи та етапи захисту від загроз.

Номативно-правове забезпечення захисту інформації
Загальний аналіз проблем організовування захисту від будь-яких загроз дає можливість визначити 4 головні принципи та етапи заходів:

1) організація зовнішніх рубежів безпеки з метою своєчасного виявлення загроз;

2) організація протидії загрозам та їх блокування, тобто зупинення та локалізації загроз під час їх реалізації;

3) забезпечення нейтралізації та ліквідації загроз, а також подолання наслідків загроз, які не вдалося блокувати;

4) попередження загроз, тобто аналіз відомих загроз та впровадження відповідних запобіжних заходів.

Стосовно автоматизованих (комп’ютерних) систем (далі - АС) ці принципи та етапи дають можливість також визначити 4 етапи та види захисту від загроз для електронних інформаційних ресурсів АС, які циклічно повторюються з метою постійного оновлення та підвищення ефективності заходів і засобів захисту.

Запобіжні заходи - це заходи забезпечення кримінального провадження, що полягають в тимчасовому обмеженні прав людини згідно кримінального процесуального законодавства, що мають на меті припинити та запобігти новим кримінальним правопорушенням, забезпечити виконання покладених на особу обов'язків та її належну поведінку.
Інформаці́йні ресу́рси (Information resources) - документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних сховищах і т.і.). Розрізняють інформаційні ресурси державні та недержавні.


Виявлення Зупинення Нейтралізація Попередження
1. Етап виявлення

На організаційному рівні – це забезпечення пропускного режиму, цілодобової охорони та контролю периметра безпеки, а також контррозвідувальних заходів служби безпеки установи.

На інженерно-технічному рівні – це використання інженерних споруд і технічних засобів пропускного режиму, охоронної сигналізації та відеоспостереження.
Інжене́рні спору́ди - це об'ємні, площинні або лінійні наземні, надземні або підземні будівельні системи, що складаються з несучих та в окремих випадках огороджувальних конструкцій і призначені для виконання виробничих процесів різних видів, розміщення устаткування, матеріалів та виробів, для тимчасового перебування і пересування людей, транспортних засобів, вантажів, переміщення рідких та газоподібних продуктів тощо.


2. Етап зупинення

Ці заходи забезпечують апаратно-програмне блокування спроб несанкціонованого доступу (далі - НСД) порушника (хакера) до інформації в АС або ураження системи вірусами за допомогою спеціальних апаратних комплексів та програмних засобів захисту інформації.

Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.
Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.
Для цього в АС встановлюються міжмережові екрани, файерволи (брандмауери), антивірусні програмні засоби та спеціальні комплекси засобів захисту інформації від НСД.

Зазначимо, що ці заходи можуть бути спрямовані на документування методів НСД до АС для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі необхідності) з державними правоохоронними органами щодо виявлення та розкриття правопорушення (в тому числі за готування до злочину і за замах на злочин);

Правоохоро́нні о́ргани - державні органи, що на підставі законодавства держави здійснюють правоохоронну (правозастосовну та правозахисну) діяльність.
сприяння притягненню винних до відповідної відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).

3. Етап нейтралізації

На організаційно-правовому рівні – це дисциплінарне або адміністративне (кримінальне) розслідування правопорушення (злочину) та притягнення винних до відповідальності.

На апаратно-програмному рівні – це подолання наслідків реалізації загроз у разі порушень:

- технологічих процесів - їх відновлення за допомогою плану аварійного відновлення та проведення ремонтних заходів;

- операційної системи та програмних засобів - їх відновлення за допомогою інсталяційних файлів (дисків);

Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.

- інформаійних ресурсів - їх відновлення за допомогою резервних і архівних копій, які зберігаються на зовнішніх носіях.



4. Етап попередження

На організаційному рівні – це проведення аналізу відомих загроз, прогнозування нових загроз і пошук відповідних запобіжних заходів, дезінформаційне легендування об’єктів захисту, розширення периметру безпеки, періодичне оновлення політики безпеки та плану захисту, постійне навчання та тренування персоналу.

На інженерно-технічному рівні – це застосування пасивних засобів захисту: закриття вікон та встановлення на них грат і штор (жалюзі), закриття та опечатування дверей, пломбування системних блоків, роз’ємів технічних засобів АС тощо, використання систем екранування, заземлення та зашумлення, а також модернізація наявної системи захисту та впровадження нових засобів ТЗІ.
Системний блок (англ. computer case) - корпус комп'ютера, функціональний елемент, який захищає внутрішні компоненти комп'ютера від зовнішнього впливу та механічних пошкоджень, підтримує необхідний температурний режим в середині системного блоку, екранує створені внутрішніми компонентами електромагнітні випромінення та є основою для подальшого розширення системи.

Номативно-правові акти України, які визначають

необхідність створення КСЗІ в ІТС
Історія захисту інформації в Україні розпочалася з Закону України «Про захист інформації в автоматизованих системах», прийнятого постановою Верховної Ради України № 81/94-ВР від 5 липня 1994 року.

У тому же році постановою Кабінету Міністрів України (далі - ПКМУ) від 9 вересня 1994 року № 632 було затверджене «Положення про технічний захист інформації в Україні» (далі - ТЗІ), згідно якого була створена Державна служба України з питань ТЗІ.

Держа́вна слу́жба - професійна діяльність щодо практичного виконання завдань і функцій держави особами, які мають посади в державних органах та одержують заробітну плату за рахунок державних коштів.
Зако́н (англ. law, англ. act, нім. Gesetz n) - нормативно-правовий акт вищої юридичної сили, що регулює найважливіші суспільні відносини шляхом встановлення загальнообов'язкових правил, прийнятий в особливому порядку (законодавчим), або безпосередньо народом.
Техні́чний за́хист інформа́ції (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Постанова Верховної Ради України Постанова Верховної Ради України - нормативно-правовий акт, що приймається Верховною Радою України.
Постанова Кабінету Міністрів України Постанова Кабінету Міністрів України - нормативно-правовий акт Уряду України - Кабінету Міністрів.

Через 3 роки постановою КМУ від 8 жовтня 1997 року № 1126 була затверджена «Концепція ТЗІ в Україні». Вона визначає поняття ТЗІ таким чином: це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності інформації з обмеженим доступом, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. 

А вже через 2 роки з’явилося нове «Положення про ТЗІ в Україні», затверджене Указом Президента України від 27 вересня 1999 року № 1229. Пов’язане це було з тим, що питання ТЗІ були покладені на Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (скорочено - ДСТСЗІ СБУ), до складу якого і увійшла Державна служба з питань ТЗІ.

Указ( у рос. Імперії під цю назву підпадали держ. акти, дуже різноманітні за своєю природою, звичайно підписувані царем чи уповноваженими від нього особами в СРСР) - назва законодавчого акту, що видає голова уряду або його парламент . У.
Украї́на (МФА: [ukrɑˈjinɑ]опис файлу) - держава у Східній Європі та частково в Центральній Європі, у південно-західній частині Східноєвропейської рівнини. Площа становить 603 628 км². Найбільша за площею країна з тих, чия територія повністю лежить у Європі, друга на європейському континенті, якщо враховувати Росію.
Старе положення втратило чинність згідно постанови КМУ від 13 березня 2002 року № 281.

«Положення про ТЗІ в Україні» визначає поняття ТЗІ таким чином: це діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності важливої для держави, суспільства і особи інформації.

Воно визначає також такі терміни:

- конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;

- цілісність - властивість інформації бути захищеною від несанкціонованого руйнування або знищення;

- доступність - властивість інформації бути захищеною від несанкціонованого блокування;

- інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку.

Інформацíйна систéма (англ. Information system) - сукупність організаційних і технічних засобів для збереження та обробки інформації з метою забезпечення інформаційних потреб користувачів.
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.


Тепер з'ясуємо, яку інформацію треба захищати:

Закон України «Про інформацію» (1992)



Стаття 20. Доступ до інформації

1. За порядком доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом.

2. Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом.

Стаття 21. Інформація з обмеженим доступом

1. Інформацією з обмеженим доступом (далі - ІзОД) є конфіденційна, таємна та службова інформація.

2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень.

Юриди́чна осо́ба - організація, суб'єкт права, здатний від свого імені набувати майнових і особистих немайнових прав і нести обов'язки та самостійно брати участь у правовідносинах, бути позивачем та відповідачем у суді.
Фізи́чна осо́ба - у цивільному та інших галузях права термінологія, що використовується для позначення людини (громадянина, особи без громадянства) як учасника правових відносин. Фізична особа також підпорядковується певним нормам та правилам поведінки.


Закон України «Про доступ до публічної інформації» (2011)

Стаття 7. Конфіденційна інформація

1. Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.

2. Розпорядники інформації, які володіють конфіденційною інформацією, можуть поширювати її лише за згодою осіб, які обмежили доступ до інформації, а за відсутності такої згоди - лише в інтересах національної безпеки, економічного добробуту та прав людини.

Конфіденці́йна інформ́ація - інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть.
Державна безпека - стан захищеності державної влади, суверенітету, територіальної цілісності, обороноздатності, спокою людей (народу), громадської злагоди, довкілля, національної і релігійної рівності.
Права людини - це комплекс природних і непорушних свобод і юридичних можливостей, обумовлених фактом існування людини в цивілізованому суспільстві.

Стаття 8. Таємна інформація

1. Таємна інформація - інформація, розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську таємницю, таємницю досудового розслідування та іншу передбачену законом таємницю.

Ба́нківська таємни́ця - інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третіми особами при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту.

Стаття 9. Службова інформація

1. До службової може належати така інформація:

1) що міститься в документах суб'єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень;

Досудове розслідування - діяльність компетентних правоохоронних органів, що полягає у збиранні, дослідженні, оцінці, перевірці та використанні доказів з метою попередження, запобігання та розкриття злочинів, встановлення об'єктивної істини, забезпечення правильного застосування закону, та закінчується винесенням правозастосовного акту за її наслідками.
Органи державної влади - це ланка (елемент) механізму держави, що бере участь у виконанні функцій держави й наділений при цьому владними повноваженнями.

2) зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.

Держа́вна таємни́ця - інформація у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення якої може завдати шкоди національній безпеці держави і яка спеціально охороняється державою.

2. Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф «для службового користування».

Закон України «Про захист персональних даних» (2010)



Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані.

Особо́ві да́ні, також персональні дані - це інформація, яка може бути використана для ідентифікації, контакту або знаходження конкретної людини, або може бути використана разом з іншими джерелами, щоб однозначно ідентифікувати окрему конкретну людину.

2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Закон України «Про електронні документи та електронний документообіг» (2003)



Стаття 15.
Електро́нний докуме́нт - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму.
Обіг електронних документів, що містять інформацію з обмеженим доступом

В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, або ІзОД, повинен забезпечуватися захист цієї інформації відповідно до законодавства.


Таким чином, потрібно захищати ІзОД та інформацію, що є власністю держави та циркулює в інформаційно-телекомунікаційних системах.
Види захисту інформації

1. Організаційний - попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (охорона, пропускний режим, регламентація доступу тощо).

2. Інженерний - попередження доступу на об'єкт інформаційної діяльності сторонніх осіб та руйнування об’єкту захисту внаслідок навмисних дій або природного впливу інженерно-технічними засобами (обмежуючі конструкції доступу, відеоспостереження, охоронно-пожежна сигналізація тощо).

3. Технічний (ТЗІ) - забезпечення обмеження доступу до інформації апаратно-технічними засобами (зашумлення, маршрутизатори, антивіруси, фаєрволи, смарт-карти тощо):

- захист від витоку технічними каналами;

- захист від НСД.

4. Криптографічний (КЗІ) - попередження доступу до інформації за допомогою математичних перетворень:

- попередження несанкціонованої модифікації;

- попередження несанкціонованого розголошення.
Закон України «Про захист інформації в автоматизованих системах» визначив термін захист інформації: це сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією. Разом з тим, у законі ще не застосовувалось таке поняття як комплексна система захисту інформації.

Також він визначив термін автоматизована система (далі - АС): це система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки та зв'язку), а також методи і процедури, програмне забезпечення.

Но́рма пра́ва (правова́ норма) - загальнообов'язкове, формально-визначене правило поведінки (зразок, масштаб, еталон), встановлене або санкціоноване державою як регулятор суспільних відносин, яке офіційно закріплює міру свободи і справедливості відповідно до суспільних, групових та індивідуальних інтересів (волі) населення країни, забезпечується всіма заходами державного впливу, аж до примусу.
Електро́нна обчи́слювальна маши́на (ЕОМ) - загальна назва для обчислювальних машин, що є електронними (починаючи з перших лампових машин, включаючи напівпровідникові тощо) на відміну від електромеханічних (на електричних реле тощо) та механічних обчислювальних машин.



Згідно ДСТУ 2226-93 «Автоматизовані системи. Терміни та визначення»:

АС - організаційно-технічна система, що складається із засобів автоматизації певного виду (чи кількох видів) діяльності людей та персоналу, що здійснює цю діяльність.

Згідно НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу»:

- АС - організаційно-технічна система, що реалізує інформаційну технологію та поєднує у собі: обчислювальну систему, фізичне середовище, персонал та інформацію, яка обробляється.

Обчи́слювальна систе́ма (англ. computer system) - сукупність ЕОМ та їх програмного забезпечення, що призначені для організації ефективного обчислювального процесу;

- захист інформації в АС - діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації та системи у цілому, що дає змогу запобігти реалізації загроз або унеможливити її, та зменшити ймовірність завдання збитків від реалізації загроз.

- комплексна система захисту інформації (далі - КСЗІ) - це сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.

Наступним етапним документом став Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», який був прийнятий у 2005 році на заміну Закону «Про захист інформації в АС». Він визначив багато нових термінів, зокрема, такі:

- КСЗІ - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

  1   2   3   4   5   6   7   8   9



  • 1. 5. Складання моделі порушника безпеки інформації в ІКС