ПОСІБНИК З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Матеріал з Wiki TNEU
Перейти до: навігація, пошук

Зміст

РОЗДІЛ 1. Теоретичні основи інформаційної безпеки

Тема 1. Вступ до вивчення дисципліни

Предмет і зміст дисципліни;

мета і завдання дисципліни; коротка суть і взаємозв’язок тем та розділів.

Основні поняття та терміни.

Терміни та поняття використовуються відповідно чинного законодавства та нормативними актами України.

Документ (document) – матеріальний носій, що містить інформацію, основними функціями якого є її збереження та передавання у часі та просторі.

Захист інформації – сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.

Інформація (information) – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.

Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.

Публічна інформація (public information) – це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб’єктами владних повноважень своїх обов’язків, передбачених чинним законодавством, або яка знаходиться у володінні суб’єктів владних повноважень, інших розпорядників публічної інформації.

Конфіденційна інформація (confidential information) – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.

Таємна інформація (secret information) – інформація, розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську таємницю, таємницю слідства та іншу передбачену законом таємницю.

Службова інформація (service information) – інформація, що міститься в документах суб’єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов’язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень; а також зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.

База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

Володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Державний реєстр баз персональних даних – єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних. Згода суб’єкта персональних даних – будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Знеособлення персональних даних – вилучення відомостей, які дають змогу ідентифікувати особу.

Обробка персональних даних (processing of personal data) – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Персональні дані (profile) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Суб’єкт персональних даних – фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних

Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

Блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі.

Виток інформації – результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї.

Власник інформації – фізична або юридична особа, якій належить право власності на інформацію.

Власник системи – фізична або юридична особа, якій належить право власності на систему.

Доступ до інформації в системі (access to information in the system) – отримання користувачем можливості обробляти інформацію в системі.

Захист інформації в системі (protection of information in the system) – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі.

Знищення інформації в системі (destruction of information in the system) – дії, внаслідок яких інформація в системі зникає.

Інформаційна (автоматизована) система (information (automated) system) – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів.

Інформаційно-телекомунікаційна система (information and telecommunication system) – сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле.

Комплексна система захисту інформації (integrated data protection) – взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Користувач інформації в системі – фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі.

Криптографічний захист інформації – вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо.

Несанкціоновані дії щодо інформації в системі – дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства.

Обробка інформації в системі – виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів.

Порушення цілісності інформації в системі – несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст.

Порядок доступу до інформації в системі – умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації.

Телекомунікаційна система (telecommunication system) – сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб.

Технічний захист інформації (technical information security) – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Конфіденційність (confidentiality) – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.

Цілісність (integrity) – властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і/або процесом; що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

Доступність (availability) – властивість ресурсу системи, яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і в той час, коли він йому необхідний.

Спостережність (accountability) – властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.

Інформаційна безпека (іnformation security) – стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.

Політика інформаційної безпеки (іnformation security policy) – набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.

Інформаційна діяльність – це множина (чи комплекс) дій, спрямованих на задоволення інформаційних потреб, інтересів людини, громадян, юридичних осіб, суспільства, держави, міжнародного співтовариства.

Cистема управління інформаційною безпекою (information security management system, ISMS) – частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки.

Моніторинг (monitoring) – комплекс наукових, технічних, технологічних, організаційних та інших засобів, які забезпечують систематичний контроль (стеження) за станом та тенденціями розвитку природних та техногенних процесів. Методологічно моніторинг це проведення ряду однотипних замірів при цьому головна інформація полягає навіть не в самих значеннях результатів, а в їх зміні, динаміці від одного заміру до іншого.

Тема 2. Суть і призначення інформаційної безпеки

Поняття і зміст інформаційної безпеки.

Функції інформаційної безпеки.

Завдання інформаційної безпеки

Рівні систем безпеки


Тема 3. Базові елементи інформаційної безпеки

Об’єкти інформаційної безпеки.

Загрози і джерела загроз.

Способи реалізації загроз та канали дії.

Заходи безпеки як елемент системи інформаційної безпеки.


Тема 4. Заходи для забезпечення інформаційної безпеки

Види заходів безпеки: загальні і спеціальні.

Рівні заходів інформаційної безпеки.

Складові елементи заходів забезпечення інформаційної безпеки: технології безпеки, сили безпеки, засоби безпеки, методи безпеки.

Види і порядок застосування засобів інформаційної безпеки.

Методи інформаційної безпеки.


Тема 5. Комплексний підхід до забезпечення інформаційної безпеки

Категорії інформаційної безпеки (доступність, цілісність, конфіденційність).

Грані інформаційної безпеки (законодавчий, адміністративний, процедурний і програмно-технічний).

Типи об’єктів інформаційної безпеки (державні організації; комерційні структури; окремі громадяни. ).


РОЗДІЛ 2. Комплексна система інформаційної безпеки

Тема 6. Побудова комплексної системи інформаційної безпеки

Об’єктний простір інформаційної безпеки

Архітектура комплексної системи інформаційної безпеки

Принципи комплексної системи інформаційної безпеки

Функції комплексної системи інформаційної безпеки

Етапи створення комплексної системи.


Тема 7. Обстеження об'єкта інформаційної безпеки

Зміст робіт при проведенні обстеження об'єкта інформаційної безпеки

Обстеження інформаційного середовища

Обстеження фізичного середовища

Обстеження середовища персоналу

Формування завдання на створення комплексної системи інформаційної безпеки


Тема 8. Законодавче забезпечення інформаційної безпеки

Адміністративна та кримінальна відповідальність за порушення інформаційної безпеки

Види конфіденційної комерційної інформації

Економічні передумови захисту конфіденційної інформації

Суть комерційної таємниці та необхідність її захисту

Нормативне забезпечення захисту комерційної таємниці

Механізм захисту комерційної таємниці

Тема 9. Адміністративне забезпечення інформаційної безпеки

Зміст адміністративного забезпечення інформаційної безпеки

Концепція політики інформаційної безпеки: суть, призначення і структура.

Види моделей інформаційної безпеки: моделі об’єктів і суб’єктів інформаційної безпеки та моделі доступу, матриці конфіденційності, моделі загроз, моделі порушника.


Тема 10. Розробка концепції інформаційної безпеки

Аспекти концепції інформаційної безпеки

Структура концепції інформаційної безпеки

Визначення цілей концепції інформаційної безпеки.


РОЗДІЛ 3. Моделювання систем інформаційної безпеки

Тема 11. Моделювання загроз для інформаційної безпеки

Класифікація ймовірних загроз для інформаційної безпеки.

Внутрішні і зовнішні джерела загроз

Канали дії

Види нанесеної шкоди внаслідок реалізації загроз

Побудова моделі загроз


Тема 12. Способи реалізації загроз для інформаційної безпеки

Характеристика середовища перенесення зловмисної дії

Види способів реалізації загроз для інформаційної безпеки

Види інформації. Канали витоку інформації: види (технічні, режимні, логічні) і причини витоку.

Канали поширення дезінформації.


Тема 13. Моделі доступу як формальний підхід до захисту інформації

Призначення моделей доступу

Види моделей доступу

Векторні і матричні моделі доступу

Структура пятивимірної моделі доступу


Тема 14. Матричні моделі доступу

Дискреційна модель доступу

Мандатна модель доступу

Рольова модель доступу


Тема 15. Моделювання системи запобігання порушення інформаційної безпеки

Системи інтересів, вектори інтересів, зони конфліктів

Визначення множини зацікавлених суб'єктів

Побудова моделі порушника


РОЗДІЛ 4. Аналітичне і організаційно-процедурне забезпечення інформаційної безпеки

Тема 16. Аналітичне забезпечення інформаційної безпеки

Аналіз ризиків: принципи, методи, прийоми.

Аналіз наслідків від втрат інформації.

Визначення вартості системи інформаційної безпеки.


Тема 17. Організаційне забезпечення інформаційної безпеки

Зміст організаційного забезпечення інформаційної безпеки

Розробка порядку інформаційної діяльності об'єкта інформаційної безпеки.

Організація конфіденційного документообігу

Організація режиму інформаційної безпеки

Зони режимності об'єкта безпеки

Організація служби інформаційної безпеки


Тема 18. Менеджмент персоналу з питань інформаційної безпеки

Класифікація внутрішніх порушників – інсайдерів

Види порушень інформаційної безпеки персоналом

Промислове шпигунство: суть і способи дії через персонал

Методи соціальної інженерії: претекстінг, фішинг, троянський кінь, дорожнє яблуко, кві про кво.

Робота з персоналом, який має доступ до конфіденційної інформації: договір, методи перевірки кандидатів, організація службового розслідування за фактами втрати конфіденційної інформації, порядок звільнення.


Тема 19. Процедурне забезпечення інформаційної безпеки

Фізичний захист об’єктів інформаційної безпеки

Підтримка безперебійності роботи організації.

Реагування на порушення режиму безпеки.

Планування відновлювальних робіт.


РОЗДІЛ 5. Технічне забезпечення інформаційної безпеки

Тема 20. Програмно-технічне забезпечення інформаційної безпеки

Захист інформації в комп'ютерних системах

Методи забезпечення інформаційної безпеки в комп'ютерних системах

Керування доступом, ідентифікація і перевірка дійсності користувачів.

Моніторинг дій користувача.

Екранування об’єктів інформаційної безпеки


Тема 21. Комплексна система захисту інформації (КСЗІ) комп'ютерних технологій

Компоненти КСЗІ.

Інформаційні об'єкти захисту: активні та пасивні.

Захист інформації в базах даних.

Керування доступом користувачів до інформації, атрибути доступу, протоколювання дій користувачів.

Створення довірчих процедур інформаційної безпеки.


Термінологічний словник

Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяль¬ності вимогам нормативних документів з питань ТЗІ.

Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяль¬ності.

Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.

Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.

Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.


Скорочення

ІТС – інформаційно-телекомунікаційна система;

ІзОД – інформація з обмеженим доступом;

ОІД – об'єкт інформаційної діяльності;

ТЗІ – технічний захист інформації

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти