Проблеми безпечної діяльності

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ ДЕРЖАВНОЇ ПОДАТКОВОЇ СЛУЖБИ УКРАЇНИ

Кафедра інтелектуальних систем прийняття рішень

Затверджую

завідувач кафедри

______________________С.П.Ріппа

«_____»_______________200_ р.

ОПОРНИЙ КОНСПЕКТ ЛЕКЦІЙ З КУРСУ

«ЗАХИСТ ТА БЕЗПЕКА ІНФОРМАЦІЙНИХ РЕСУРСІВ»

Для підготовки бакалаврів

За напрямом 0804 «Комп'ютерні науки»

Спеціальності 6.080400 «Інтелектуальні системи прийняття рішень»

Денної форми навчання

Статус дисципліни: нормативна

Ірпінь – 2009

ЗМІСТ

Лекція №1. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми безпечної діяльності. Визначення та загальні властивості інформації 8

Вступ 8

1. ПРЕДМЕТ ЗАХИСТУ 9

1.1. Проблеми безпечної діяльності 9

1.2. Визначення та загальні властивості інформації 10

Лекція №2. Цінність та класифікація інформації 16

1.3. Цінність та класифікація інформації 16

Лекція №3. Проблеми захисту інформації 20

1.4. Проблеми захисту інформації 20

Лекція №4. Проблеми захисту інформації 26

1.5. Предмет захисту інформації 26

1.6. З історії ЗІ 27

Лекція №5. Проблеми захисту інформації 32

Контрольні запитання 34

Лекція №6. Проблеми захисту інформації 36

6 36

2. НОРМАТИВНО-ЗАКОНОДАВЧА БАЗА ІЗ ЗАХИСТУ ІНФОРМАЦІЇ 36

2.1. Проблеми створення стандартів з ЗІ 36

Лекція №7. Проблеми захисту інформації 39

2.2. Огляд стандартів з захисту інформації 39

Лекція №8. Проблеми захисту інформації 46

Лекція №9. Проблеми захисту інформації 50

2.3. Законодавчі акти і нормативні документи України щодо ЗІ 50

Лекція №10. Проблеми захисту інформації 57

2.4. Державний стандарт (Критерії) України з ЗІ 57

Контрольні запитання 63

Лекція №11. Проблеми захисту інформації 65

11 65

3. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ ЩОДО 65

ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ 65

3.1. Класифікація засобів забезпечення безпеки АС 65

3.2. Організаційні заходи 66

Лекція №12. Проблеми захисту інформації 70

3.3. Служба безпеки 70

Лекція №13. Проблеми захисту інформації 75

3.4. Технічне забезпечення безпеки інформації 75

3.5. Технічні канали витоку інформації 77

Контрольні запитання 80

Лекція №14. Проблеми захисту інформації 81

14 81

4. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ 81

4.1. Методи та види НСД 81

4.2. Канали витоку інформації 82

Лекція №15. Проблеми захисту інформації 86

4.3. Поняття загрози інформації 86

4.4. Моделі загроз та порушника 87

Лекція №16. Проблеми захисту інформації 90

Лекція №17. Проблеми захисту інформації 94

4.5. Причини порушення безпеки 94

4.5. Віруси як засіб атаки на КС 96

Лекція №18. Проблеми захисту інформації 102

Контрольні запитання 109

Лекція №19. Проблеми захисту інформації 111

5. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД 111

5.1. Керування доступом 111

Лекція №20. Проблеми захисту інформації 115

5.2. Ідентифікація та автентифікація 115

Лекція №21. Проблеми захисту інформації 122

Лекція №22. Проблеми захисту інформації 126

5.3. Вступ до криптології 126

Лекція №23. Проблеми захисту інформації 135

Лекція №24. Проблеми захисту інформації 142

Лекція №25. Проблеми захисту інформації 147

Лекція №26. Проблеми захисту інформації 153

Контрольні запитання 161

Лекція №27. Проблеми захисту інформації 163

27 163

6. ОКРЕМІ ПИТАННЯ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД 163

6.1. Особливості ЗІ від НСД в локальних обчислювальних мережах 163

6.2. ЗІ від НСД в базах даних 166

Лекція №28. Проблеми захисту інформації 169

6.3. ЗІ при організації конфіденційного зв’язку 169

6.4. Захист програмного забезпечення 170

Контрольні запитання 173

Лекція №29. Проблеми захисту інформації 174

29 174

7. ПРОБЛЕМИ БЕЗПЕКИ КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ 174

7.1. Підходи щодо вирішення проблеми забезпечення безпеки 175

Лекція №30. Проблеми захисту інформації 178

7.2. Недоліки у сфері захищеності служб і протоколів Internet 178

Лекція №31. Проблеми захисту інформації 182

7.3. Модель корпоративної мережі 182

7.4. Принципи побудови підсистеми інформаційної безпеки 183

Контрольні запитання 188

Лекція №32. Проблеми захисту інформації 190

32 190

8. ОСОБЛИВОСТІ ПРОЦЕСІВ ОБРОБКИ ІНФОРМАЦІЇ В ІС ДПС 190

8.1. Особливості інформаційних об'єктів ДПС 190

Лекція №33. Проблеми захисту інформації 194

8.2. Розвиток інформаційної інфраструктури 194

Лекція №34. Проблеми захисту інформації 202

8.3. Особливості податкової інформації 202

Лекція №35. Проблеми захисту інформації 205

8.4. Підсистема інтегрованого електронного документообігу 205

8.5. Електронна пошта 209

Контрольні запитання 210

Лекція №36. Проблеми захисту інформації 211

36 211

9. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 211

9.1. Поняття політики безпеки 211

Лекція №37. Проблеми захисту інформації 216

9.2. Види політик безпеки 216

Лекція №38. Проблеми захисту інформації 223

9.3. Загальний зміст політики інформаційної безпеки 223

Лекція №39. Проблеми захисту інформації 229

9.4. Внутрішня політика безпеки організації ДПС 229

Лекція №40. Проблеми захисту інформації 233

Контрольні запитання 235

8. ВСТУП ДО ТЕОРІЇ ЗАХИСТУ ІНФОРМАЦІЇ 237

8.1. Проблеми теорії захисту інформації 237

8.2. Допоміжні поняття 239

8.3. Ієрархічний метод 243

8.4. Потоки і цінність інформації 243

8.5. Доказовий підхід 246

8.6. Приклад гарантовано захищеної АС 247

8.7. Моделі безпеки систем 254

8.8. Загальні моделі 259

Перелік термінів 265

ЛІТЕРАТУРА 268

Лекція №1. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми безпечної діяльності. Визначення та загальні властивості інформації

План

1. Основні об'єкти захисту.

2. Безпечна діяльність підприємства і організації.

3. Поняття інформації.

4. Канал передачі інформації.

5. Знання та дані.

6. Основні форми використання інформації.

7. Процеси обробки інформації в комп’ютерній системі.

8. Якісні зміни ролі інформації, яку вона стала грати в житті сучасного суспільства.

Вступ

Бурхливий розвиток інформаційних технологій в останні десятиріччя вимагає видповідного розвитку загальноосвітньої інформаційної культури, зокрема, створення цілої системи навчання у навчальних установах всіх рівней. Захист інформації завжди був необхідним атрибутом інформаційних технологій, що означає, що її необхідно також вивчати – сучасний фахівець з комп’ютерних наук повинен бути знайомий з основами захисту інформації. Як відомо, зараз в більшості країн світу в вищих навчальних установах введено підготовку зі спеціальності з захисту інформації. Саме для вступу до захисту інформації і призначено курс лекцій «Захист та безпека інформаційних ресурсів». Для оволодіння матеріалом курсу достатньо знань з загальних курсів математики, інформатики та початкових знань з методів проєктування та розробки інформаційних систем. Курс включає десять розділів.

У першому розділі введено основні поняття в галузі інформаційної безпеки, сформульовані основні проблеми сучасної інформаційної безпеки та подані деякі відомості з її історії.

Другій розділ присвячено історичному огляду міжнародних стандартів з інформаційної безпеки, а також нормативно-законодавча база України з інформаційної безпеки.

У третьому, четвертому та п’ятому розділах подано відповідно огляд організаційно-технічних заходів із захисту інформації, поняття несанкціонованого доступу до інформації – найбільш важливої складової сучасної інформаційної безпеки та деякі найбільш важливі механізми захисту інформації, зокрема, ідентифікації/автентифікації та криптології.

Шостий розділ присвячено деяким проблемам захисту інформації, що виникають в різних середовищах (мережах, базах даних, при захисті програмного забезпечення і т.д.).

Сьомий розділ розглядає проблеми сучасних корпоративних мереж та принципи побудови їх захисту.

У восьмому розглянуто особливості процесів обробки інформації в організаціях державної податкової служби України.

Дев’ятий розділ присвячено фундаментальному поняттю інформаційної безпеки – політиці безпеки і, зокрема, питанням побудови політики безпеки в організаціях податкової служби.

В останньому десятому розділі розглянуто основні поняття теорії захисту інформації.

Кожний з розділів завершується контрольними запитаннями.

Метою курсу «Захист та безпека інформаційних ресурсів» є ознайомлення студентів з основними питаннями сучасної теорії та практики захисту інформації: основні поняття захисту, методи і засоби захисту, основи проєктування систем захисту, основи нормативно-правових знань з захисту інформації, особливості захисту інформації в органах ДПС України.

ПРЕДМЕТ ЗАХИСТУ

В цьому розділі розглянуті основні властивості предмета обговорення – інформації, а також проблеми її захисту та деякі відомості з історії інформаційної безпеки.

Проблеми безпечної діяльності

Забезпечення безпечної діяльності необхідно для будь-яких підприємств і установ, починаючи від державних організацій і закінчуючи маленьким наметом, що займається роздрібною торгівлею. Розходження буде складатися лише в тому, які засоби і методи й у якому обсязі будуть потрібні для забезпечення їх безпеки.

Перш, ніж приступити до аналізу сучасного стану проблеми інформаційної безпеки, розглянемо проблеми безпеки взагалі. Спочатку необхідно визначити, що підлягає захисту і яким основним принципам варто користатися при організації захисту. За сформованою історичною та міжнародною практикою безпеки об'єктами захисту з урахуванням їх пріоритетів є:

1) особистість;

2) інформація;

3) матеріальні цінності.

Якщо пріоритет збереження безпеки особистості є природним, то пріоритет інформації над матеріальними цінностями вимагає більш докладного розгляду. Це стосується не тільки інформації, що складає державну чи комерційну таємницю, але і відкритої інформації.

Ринкові відносини з їх невід'ємною частиною – конкуренцією обов'язково вимагають протидії зовнішнім і внутрішнім впливам. Об'єкти захисту в більшому чи меншому ступені, залежно від цілей зловмисника (ЗЛ) і від конкретних умов, можуть піддаватися різним нападам чи загрозам знаходитися в ситуації, в якій вони за об'єктивними причинами піддаються небезпеці.

Поняття «безпечна діяльність» будь-якого підприємства чи організації містить у собі:

1. Фізичну безпеку, під якою розуміється забезпечення захисту від загроз на життя людей.

2. Економічну безпеку.

3. Інформаційну безпеку (ІБ).

4. Матеріальну безпеку, тобто збереження матеріальних цінностей від усякого роду загроз, починаючи від їх крадіжок і закінчуючи загрозами пожежі та інших стихійних лих.

Не зупиняючись детально на загрозах фізичної і матеріальної безпеки, відзначимо тісний зв'язок між економічною та інформаційною безпекою.

Як вважають західні фахівці, витік 20% комерційної інформації в 60 випадках з 100 призводить до банкрутства фірми. Жодна, навіть процвітаюча фірма, не проіснує більш трьох діб, якщо її інформація, що складає комерційну таємницю, стане відомої. Таким чином, економічна та інформаційна безпека виявляються тісно взаємозалежними.

Зменшення загрози економічної діяльності будь-якої організації передбачає одержання інформації про конкурентів. Тому, цілком природно, зменшення даної загрози для одних організацій спричиняє збільшення загрози економічної діяльності для інших організацій. Це стало можливим через наявність промислового і, зокрема, економічного шпигунства.

Збитки від діяльності конкурентів, що використовують методи шпигунства, складають у світі до 30% усього збитку, а це мільярди доларів. Точну цифру збитків указати не можна в принципі внаслідок того, що ні ЗЛ ні потерпілі не прагнуть віддавати гласності зроблені дії. Перші, мабуть, через страх відповідальності за вчинене, а другі через страх втратити імідж. Цим пояснюється високий рівень латентности правопорушень і відсутність інформації про них в засобах масової інформації. Тому до публіки доходить менш 1% від усіх випадків порушень, що мають карний характер і які приховати неможливо.

Таким чином, задачі безпеки будь-яких видів доводиться вирішувати щораз при розгляді всіляких аспектів людської діяльності. Але, як бачимо, всі види безпеки тісно пов’язані з ІБ і, більш того, їх неможливо забезпечити без забезпечення ІБ. Отже, предметом нашого подальшого розгляду буде саме ІБ.