Лекц ія №1 -2
DESCRIPTION
Лекц ія №1 -2. Система нормативно-правового та організаційного управління інформаційною безпекою. План. Основні терміни та визначення в галузі забезпечення інформаційної безпеки Основний закон України Властивості інформаційної системи та її ресурсів як предмета захисту - PowerPoint PPT PresentationTRANSCRIPT
ЛекцЛекція №1ія №1-2-2
Система нормативно-Система нормативно-правового та правового та
організаційного організаційного
управління управління інформаційною безпекоюінформаційною безпекою
ПланПлан
1.1. Основні терміни та визначенняОсновні терміни та визначення в галузі в галузі забезпечення інформаційної безпеки забезпечення інформаційної безпеки
2.2. Основний закон УкраїниОсновний закон України
3.3. Властивості інформаційної системи та її Властивості інформаційної системи та її ресурсів як предмета захистуресурсів як предмета захисту
4.4. Інформаційна безпека. Суб’єкти та об’єкти Інформаційна безпека. Суб’єкти та об’єкти захистузахисту
5.5. Основні напрями забезпечення Основні напрями забезпечення інформаційної безпекиінформаційної безпеки
1. Основні терміни та 1. Основні терміни та визначеннявизначення в галузі в галузі
забезпечення забезпечення інформаційної безпеки інформаційної безпеки
Терміни та визначення понять у галузі Терміни та визначення понять у галузі технічного захисту інформації та захисту технічного захисту інформації та захисту інформації в комп’ютерних системах надані інформації в комп’ютерних системах надані згідно з нормативними документами згідно з нормативними документами
ДСТУ 3396.2–97 ДСТУ 3396.2–97 «Захист інформації. «Захист інформації. Технічний захист інформації. Терміни та Технічний захист інформації. Терміни та визначення», визначення»,
НД ТЗІ 1.1-003–99 НД ТЗІ 1.1-003–99 «Термінологія в галузі «Термінологія в галузі захисту інформації в комп’ютерних системах захисту інформації в комп’ютерних системах від несанкціонованого доступу», від несанкціонованого доступу», законодавчої законодавчої бази України, а також відповідно до бази України, а також відповідно до міжнародних вимог і міжнародних вимог і стандартів серії стандартів серії ISO 27000ISO 27000. .
Сфера технічного захисту Сфера технічного захисту інформаціїінформації
Інформація з обмеженим доступомІнформація з обмеженим доступом (ІзОД)(ІзОД) — інформація, — інформація, право доступу до якої обмежено встановленими право доступу до якої обмежено встановленими правовими нормами і (чи) правилами.правовими нормами і (чи) правилами.
Таємна інформаціяТаємна інформація (ТІ)(ТІ) — інформація з обмеженим — інформація з обмеженим доступом, яка містить відомості, що становлять державну доступом, яка містить відомості, що становлять державну або іншу передбачену законом таємницю.або іншу передбачену законом таємницю.
Конфіденційна інформаціяКонфіденційна інформація (КІ)(КІ) — інформація з обмеженим — інформація з обмеженим дос-тупом, якою володіють, користуються чи дос-тупом, якою володіють, користуються чи розпоряджаються окремі фізичні чи юридичні особи або розпоряджаються окремі фізичні чи юридичні особи або держава і порядок доступу до якої встановлюється ними.держава і порядок доступу до якої встановлюється ними.
Витік інформаціїВитік інформації — неконтрольоване поширення — неконтрольоване поширення інформації, яке призводить до її несанкціонованого інформації, яке призводить до її несанкціонованого отримання.отримання.
Порушення цілісності інформаціїПорушення цілісності інформації —— спотворення спотворення інформації, її руйнування або знищення.інформації, її руйнування або знищення.
Блокування інформаціїБлокування інформації —— унеможливлення унеможливлення санкціонованого доступу до інформації.санкціонованого доступу до інформації.
Загроза для інформаціїЗагроза для інформації —— витік, можливість витік, можливість блокування чи порушення цілісності інформації.блокування чи порушення цілісності інформації.
Модель загроз для інформаціїМодель загроз для інформації —— формалізований опис формалізований опис методів та засобів здійснення загроз для інформації.методів та засобів здійснення загроз для інформації.
Доступ до інформації Доступ до інформації — можливість отримання, — можливість отримання, оброблення інформації, її блокування та (чи) оброблення інформації, її блокування та (чи) порушення цілісності.порушення цілісності.
Несанкціонований доступ до інформації Несанкціонований доступ до інформації ((НСД) НСД) —— доступ до інформації, за якого порушуються доступ до інформації, за якого порушуються встановлений порядок його здійснення та (чи) правові встановлений порядок його здійснення та (чи) правові норми.норми.
Закладний пристрій Закладний пристрій —— потай встановлюваний потай встановлюваний технічний засіб, який створює загрозу для інформації.технічний засіб, який створює загрозу для інформації.
Програмна закладкаПрограмна закладка —— потай впроваджена програма, потай впроваджена програма, яка створює загрозу для інформації, що міститься в яка створює загрозу для інформації, що міститься в комп’ютері.комп’ютері.
Спеціальний вплив Спеціальний вплив —— вплив на технічні засоби, що вплив на технічні засоби, що призводить до здійснення загрози для інформації.призводить до здійснення загрози для інформації.
Носій інформації Носій інформації —— матеріальний об’єкт, що містить матеріальний об’єкт, що містить інформацію з обмеженим доступом.інформацію з обмеженим доступом.
Інформативний сигнал Інформативний сигнал —— фізичне поле та (чи) хімічна фізичне поле та (чи) хімічна речовина, що містять інформацію з обмеженим речовина, що містять інформацію з обмеженим доступом.доступом.
Самочинний (технічний) канал витоку інформаціїСамочинний (технічний) канал витоку інформації —— ненавмисний канал витоку інформації.ненавмисний канал витоку інформації.
Штучний (технічний) канал витоку інформаціїШтучний (технічний) канал витоку інформації —— навмисний канал витоку інформації.навмисний канал витоку інформації.
Побічне електромагнітне випромінення і наведення Побічне електромагнітне випромінення і наведення (ПЕМВН) (ПЕМВН) — електромагнітне випромінення і — електромагнітне випромінення і наведення, що є побічним результатом функціонування наведення, що є побічним результатом функціонування технічного засобу і може бути носієм інформації.технічного засобу і може бути носієм інформації.
Технічний захист інформації (ТЗІ) Технічний захист інформації (ТЗІ) — діяльність, — діяльність, спрямована на запобігання порушенню цілісності, спрямована на запобігання порушенню цілісності, блокуванню та (чи) витоку інформації технічними блокуванню та (чи) витоку інформації технічними каналами.каналами.
Технічний засіб із захистом; захищений (технічний) Технічний засіб із захистом; захищений (технічний) засіб; захищена техніказасіб; захищена техніка —— технічний засіб, у якому технічний засіб, у якому додатково до основного призначення передбачено додатково до основного призначення передбачено функцію захисту інформації від загроз.функцію захисту інформації від загроз.
Засіб технічного захисту інформаціїЗасіб технічного захисту інформації —— пристрій та пристрій та (чи) прог-рамний засіб, основне призначення яких — (чи) прог-рамний засіб, основне призначення яких — захист інформації від загроз.захист інформації від загроз.
Приховування інформаціїПриховування інформації — спосіб технічного захисту — спосіб технічного захисту інформації, який полягає в унеможливленні або інформації, який полягає в унеможливленні або суттєвому утрудненні несанкціонованого отримання суттєвому утрудненні несанкціонованого отримання інформації.інформації.
Пасивне приховування інформаціїПасивне приховування інформації —— приховування приховування інформації ослабленням енергетичних характеристик інформації ослабленням енергетичних характеристик фізичних полів або зниженням концентрації речовин.фізичних полів або зниженням концентрації речовин.
Активне приховування інформаціїАктивне приховування інформації — приховування — приховування інформації створенням таких фізичних полів та інформації створенням таких фізичних полів та речовин, які утруднюють здобування інформації або речовин, які утруднюють здобування інформації або спричиняють невизначеність її змісту.спричиняють невизначеність її змісту.
Дезінформування Дезінформування —— спосіб технічного захисту спосіб технічного захисту інформації, який полягає у формуванні свідомо інформації, який полягає у формуванні свідомо хибної інформації для унеможливлення хибної інформації для унеможливлення несанкціонованого доступу до істинної інформації.несанкціонованого доступу до істинної інформації.
Система технічного захисту інформації (СТЗІСистема технічного захисту інформації (СТЗІ)) —— сукупність організаційних структур, нормативно-сукупність організаційних структур, нормативно-правових документів та матері-ально-технічної бази.правових документів та матері-ально-технічної бази.
Зона безпеки інформаціїЗона безпеки інформації — простір, за межами якого — простір, за межами якого інформація убезпечена.інформація убезпечена.
Рівень (технічного) захисту інформаціїРівень (технічного) захисту інформації —— сукупністьсукупність
вимог (у тому числі і тих, що нормуються), які вимог (у тому числі і тих, що нормуються), які визначаються режимом доступу до інформації та визначаються режимом доступу до інформації та загрозами для неї.загрозами для неї.
Ефективність технічного захисту інформаціїЕфективність технічного захисту інформації — — ступінь відповідності вжитих заходів щодо технічного ступінь відповідності вжитих заходів щодо технічного захисту інформації встановленим вимогам.захисту інформації встановленим вимогам.
Захист інформації в Захист інформації в комп’ютерних системах комп’ютерних системах
Політика безпеки інформації (information security Політика безпеки інформації (information security policy)policy) — сукупність законів, правил, обмежень, — сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують рекомендацій, інструкцій тощо, які регламентують порядок оброблення інформації.порядок оброблення інформації.
Безпека інформації (БІ) (information security)Безпека інформації (БІ) (information security) — стан — стан інформації, в якому забезпечується збереження інформації, в якому забезпечується збереження визначених політикою безпеки властивостей визначених політикою безпеки властивостей інформації.інформації.
Комплексна система захисту інформації (КСЗІ)Комплексна система захисту інформації (КСЗІ) — — сукупність організаційних та інженерних заходів, сукупність організаційних та інженерних заходів, програмно-апаратних засобів, які забезпечують захист програмно-апаратних засобів, які забезпечують захист інформації в АС. інформації в АС.
Комплекс засобів захисту (КЗЗ) (trusted computing Комплекс засобів захисту (КЗЗ) (trusted computing base)base) — сукупність програмно-апаратних засобів, які — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.забезпечують реалізацію політики безпеки інформації.
Захищена комп’ютерна система (trusted computer Захищена комп’ютерна система (trusted computer system, trusted computer product)system, trusted computer product) — комп’ютерна — комп’ютерна система, яка здатна забезпечувати захист система, яка здатна забезпечувати захист оброблюваної інформації від певних загроз. оброблюваної інформації від певних загроз.
Об’єкт комп’ютерної системи; об’єкт КС (product Об’єкт комп’ютерної системи; об’єкт КС (product object, system object)object, system object) — елемент ресурсу КС, що — елемент ресурсу КС, що перебуває під керуванням КЗЗ і характеризується перебуває під керуванням КЗЗ і характеризується певними атрибутами і поводженням. певними атрибутами і поводженням.
Ідентифікатор об’єкта КС (object identifier)Ідентифікатор об’єкта КС (object identifier) — — унікальний атрибут об’єкта КС, що дозволяє унікальний атрибут об’єкта КС, що дозволяє однозначно виділити цей об’єкт серед подібних.однозначно виділити цей об’єкт серед подібних.
Доступ до інформації (access to information)Доступ до інформації (access to information) — вид — вид взаємодії двох об’єктів КС, унаслідок якого створюється взаємодії двох об’єктів КС, унаслідок якого створюється потік інформації від одного об’єкта до іншого і/або потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи. відбувається зміна стану системи.
Правила розмежування доступу (ПРД) Правила розмежування доступу (ПРД) — частина — частина політики безпеки, що регламентує правила доступу політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів. користувачів і процесів до пасивних об’єктів.
Несанкціонований доступ до інформації (НСД) Несанкціонований доступ до інформації (НСД) (unauthorized access to information)(unauthorized access to information) — доступ до — доступ до інформації, здійснюваний з порушенням ПРД. інформації, здійснюваний з порушенням ПРД.
Захист від несанкціонованого доступу (protection from Захист від несанкціонованого доступу (protection from unauthorized access)unauthorized access) — запобігання або істотне — запобігання або істотне утруднення несанкціонованого доступу до інформації. утруднення несанкціонованого доступу до інформації.
Розмежування доступу (access mediation)Розмежування доступу (access mediation) — сукупність — сукупність процедур, що реалізують перевірку запитів на доступ і процедур, що реалізують перевірку запитів на доступ і оцінювання на підставі ПРД можливості надання доступу. оцінювання на підставі ПРД можливості надання доступу.
Авторизація (authorization)Авторизація (authorization) — надання повноважень; — надання повноважень; установлення відповідності між повідомленням (пасивним установлення відповідності між повідомленням (пасивним об’єктом) і його джерелом (створеним його користувачем об’єктом) і його джерелом (створеним його користувачем або процесом).або процесом).
Авторизований користувач (authorized user)Авторизований користувач (authorized user) — — користувач, що володіє певними повноваженнями. користувач, що володіє певними повноваженнями.
Порушник (user violator)Порушник (user violator) — користувач, який здійснює — користувач, який здійснює несанкціонований доступ до інформації.несанкціонований доступ до інформації.
Керування доступом (access control)Керування доступом (access control) — сукупність заходів — сукупність заходів щодо визначення повноважень і прав доступу, контролю щодо визначення повноважень і прав доступу, контролю за додержанням ПРД.за додержанням ПРД.
Право доступу (access right)Право доступу (access right) — дозвіл або заборона — дозвіл або заборона здійснення певного типу доступу. здійснення певного типу доступу.
Конфіденційність інформації (information confidentiality)Конфіденційність інформації (information confidentiality) — — властивість інформації, яка полягає в унеможливленні її властивість інформації, яка полягає в унеможливленні її отримання неавторизованим користувачем і/або процесом.отримання неавторизованим користувачем і/або процесом.
Цілісність інформації (information integrity)Цілісність інформації (information integrity) — властивість — властивість інформації, яка полягає в унеможливленні її модифікування інформації, яка полягає в унеможливленні її модифікування неавторизованим користувачем і/або процесом.неавторизованим користувачем і/або процесом.
Доступність (availability)Доступність (availability) — властивість ресурсу системи, — властивість ресурсу системи, яка полягає в тому, що користувач і/або процес, який має яка полягає в тому, що користувач і/або процес, який має відповідні повноваження, може використовувати ресурс відповідні повноваження, може використовувати ресурс відповідно до правил, установлених політикою безпеки, не відповідно до правил, установлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу. очікуючи довше заданого (малого) проміжку часу.
Спостереженість (accountability)Спостереженість (accountability) — властивість КС, що — властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій установлювати ідентифікатори причетних до певних подій користувачів і процесів для запобігання порушенню політики користувачів і процесів для запобігання порушенню політики безпеки і/або забезпечення відпові-дальності за певні дії. безпеки і/або забезпечення відпові-дальності за певні дії.
Атака (attack)Атака (attack) — спроба реалізації загрози. — спроба реалізації загрози.
Проникнення (penetration)Проникнення (penetration) — успішне подолання — успішне подолання механізмів захисту системи. механізмів захисту системи.
Уразливість системи (system vulnerability)Уразливість системи (system vulnerability) — — нездатність системи протистояти реалізації певної нездатність системи протистояти реалізації певної загрози або сукупності загроз. загрози або сукупності загроз.
Компрометація (compromise)Компрометація (compromise) — порушення політики — порушення політики безпеки; несанкціоноване ознайомлення. безпеки; несанкціоноване ознайомлення.
Утрата інформації (information leakage)Утрата інформації (information leakage) — — неконтрольоване поширення інформації, що неконтрольоване поширення інформації, що призводить до її несанкціонованого призводить до її несанкціонованого одержання.одержання.
Відмова (fault, failure)Відмова (fault, failure) — втрата здатності КС або її — втрата здатності КС або її компонента виконувати певну функцію. компонента виконувати певну функцію.
Комп’ютерний вірус (computer virus)Комп’ютерний вірус (computer virus) — програма, що — програма, що здатна самовідтворюватися і зазвичай здатна здійснювати здатна самовідтворюватися і зазвичай здатна здійснювати дії, які можуть порушити функціонування КС і/або дії, які можуть порушити функціонування КС і/або зумовити порушення політики безпеки. зумовити порушення політики безпеки.
Програмна закладка (program bugПрограмна закладка (program bug) ) — впроваджена — впроваджена програма або недокументовані властивості програмного програма або недокументовані властивості програмного забезпечення, використання яких може призвести до забезпечення, використання яких може призвести до обходу КЗЗ і/або порушення політики безпеки. обходу КЗЗ і/або порушення політики безпеки.
Люк (trap door)Люк (trap door) — залишені розробником недокументовані — залишені розробником недокументовані функції, використання яких дозволяє обминути механізми функції, використання яких дозволяє обминути механізми захисту.захисту.
Троянський кінь (Троянський кінь (ttrojan horse)rojan horse) — програма, яка, будучи — програма, яка, будучи авторизованим процесом, окрім виконання авторизованим процесом, окрім виконання документованих функцій, документованих функцій, здатна виконувати приховані дії від особи авторизованого здатна виконувати приховані дії від особи авторизованого користувача в інтересах розробника цієї програми. користувача в інтересах розробника цієї програми.
Модель загроз (model of threatsМодель загроз (model of threats)) — абстрактний — абстрактний формалізований або неформалізований опис методів і формалізований або неформалізований опис методів і засобів здійснення загроз. засобів здійснення загроз.
Модель порушника (user violator model)Модель порушника (user violator model) — абстрактний — абстрактний формалізований або неформалізований опис порушника. формалізований або неформалізований опис порушника.
Ризик (risk)Ризик (risk) — функція ймовірності реалізації певної — функція ймовірності реалізації певної загрози, виду і величини завданих збитків.загрози, виду і величини завданих збитків.
Аналіз ризику (risk analysis)Аналіз ризику (risk analysis) — процес визначення загроз — процес визначення загроз безпеці інформації та їх характеристик, слабких місць КСЗІ безпеці інформації та їх характеристик, слабких місць КСЗІ (відомих і припустимих), оцінювання потенційних збитків від (відомих і припустимих), оцінювання потенційних збитків від реалізації загроз та ступеня їх прийнятності для реалізації загроз та ступеня їх прийнятності для експлуатації АС.експлуатації АС.
Керування ризиком (risk management)Керування ризиком (risk management) — сукупність заходів, — сукупність заходів, що реалізуються протягом усього життєвого циклу АС, що реалізуються протягом усього життєвого циклу АС, щодо оцінювання ризику, вибору, реалізації і впровадження щодо оцінювання ризику, вибору, реалізації і впровадження заходів забезпечення безпеки, спрямована на досягнення заходів забезпечення безпеки, спрямована на досягнення прийнятного рівня за-лишкового ризику. прийнятного рівня за-лишкового ризику.
Заходи забезпечення безпеки (safeguards)Заходи забезпечення безпеки (safeguards) — — послуги, функції, механізми, правила і процедури, послуги, функції, механізми, правила і процедури, призначені для забезпечення за-хисту інформації.призначені для забезпечення за-хисту інформації.
Послуга безпеки (security service)Послуга безпеки (security service) — сукупність — сукупність функцій, що забезпечують захист від певної загрози функцій, що забезпечують захист від певної загрози або від множини загроз.або від множини загроз.
Механізми захисту (security mechanism)Механізми захисту (security mechanism) — конкретні — конкретні процедури й алгоритми, що використовуються для процедури й алгоритми, що використовуються для реалізації певних функцій і послуг безпеки. реалізації певних функцій і послуг безпеки.
Засоби захисту (protection facility)Засоби захисту (protection facility) — програмні, — програмні, програмно-апаратні та апаратні засоби, що програмно-апаратні та апаратні засоби, що реалізують механізми захисту.реалізують механізми захисту.
Політика безпеки послуги (service security policy)Політика безпеки послуги (service security policy) — — правила, згідно з якими функціонують механізми, що правила, згідно з якими функціонують механізми, що реалізують послугу.реалізують послугу.
Критерії оцінювання захищеності; критерії (security Критерії оцінювання захищеності; критерії (security evaluation criteria)evaluation criteria) — сукупність вимог (оцінна шкала), що — сукупність вимог (оцінна шкала), що використовується для оцінювання ефективності використовується для оцінювання ефективності функціональних послуг безпеки і коректності їх реалізації.функціональних послуг безпеки і коректності їх реалізації.
Функціональний профіль (functionality profile)Функціональний профіль (functionality profile) — — упорядкований перелік рівнів функціональних послуг, упорядкований перелік рівнів функціональних послуг, який може використовуватись як формальна який може використовуватись як формальна специфікація функціональності КС.специфікація функціональності КС.
Ідентифікація (identification)Ідентифікація (identification) — процедура присвоєння — процедура присвоєння ідентифікатора об’єкта КС або встановлення ідентифікатора об’єкта КС або встановлення відповідності між об’єктом і його ідентифікатором; відповідності між об’єктом і його ідентифікатором; упізнання.упізнання.
Автентифікація (authentication)Автентифікація (authentication) — процедура перевірки — процедура перевірки відповідності пред’явленого ідентифікатора об’єкта КС на відповідності пред’явленого ідентифікатора об’єкта КС на предмет належності його цьому об’єкту; встановлення предмет належності його цьому об’єкту; встановлення або підтвердження автентичності.або підтвердження автентичності.
Журнал реєстрації (audit trail)Журнал реєстрації (audit trail) — упорядкована сукупність — упорядкована сукупність реєстраційних записів, кожен з яких заноситься КЗЗ за реєстраційних записів, кожен з яких заноситься КЗЗ за фактом здійснення контрольованої події.фактом здійснення контрольованої події.
Криптографічне перетворенняКриптографічне перетворення — перетворення даних, — перетворення даних, яке полягає в їх шифруванні, вироблення імітовставки або яке полягає в їх шифруванні, вироблення імітовставки або цифрового підпису.цифрового підпису.
Шифрування данихШифрування даних — процес зашифрування або — процес зашифрування або розшифрування.розшифрування.
Зашифрування даних (data encryption) Зашифрування даних (data encryption) — процес — процес перетворення відкритого тексту в шифротекст.перетворення відкритого тексту в шифротекст.
Розшифрування даних (data decryption)Розшифрування даних (data decryption) — процес — процес перетворення шифротексту у відкритий текст.перетворення шифротексту у відкритий текст.
Відкритий текст (clear text) Відкритий текст (clear text) — дані з доступним — дані з доступним семантичним змістом.семантичним змістом.
Шифротекст (ciphertext)Шифротекст (ciphertext) — дані, отримані в результаті — дані, отримані в результаті зашифрування відкритого тексту.зашифрування відкритого тексту.
Ключ (key) Ключ (key) — конкретний стан деяких параметрів — конкретний стан деяких параметрів алгоритму криптографічного перетворення, що алгоритму криптографічного перетворення, що забезпечує вибір одного перетворення із сукупності забезпечує вибір одного перетворення із сукупності можливих для цього алгоритму.можливих для цього алгоритму.
Імітовставка (data authentication codeІмітовставка (data authentication code) ) — доданий — доданий до даних блок інформації фіксованої довжини, який до даних блок інформації фіксованої довжини, який за певними правилами отримано з відкритих даних і за певними правилами отримано з відкритих даних і секретного ключа.секретного ключа.
Цифровий підпис (digital signature) Цифровий підпис (digital signature) — дані, отримані в — дані, отримані в результаті криптографічного перетворення блоку результаті криптографічного перетворення блоку даних і/або його параметрів (хеш-функції, довжини, даних і/або його параметрів (хеш-функції, довжини, дати утворення, ідентифікатора відправ-ника і т. ін.), дати утворення, ідентифікатора відправ-ника і т. ін.), що дозволяють приймальнику даних упевнитись у що дозволяють приймальнику даних упевнитись у цілісності блоку і справжності джерела даних і цілісності блоку і справжності джерела даних і забезпечити захист від підробки і фальшивки.забезпечити захист від підробки і фальшивки.
Засіб криптографічного захисту інформаціїЗасіб криптографічного захисту інформації — — програмний, апаратно-програмний, апаратний або інший програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту засіб, призначений для криптографічного захисту інформації.інформації.
Криптографічна система (криптосистема)Криптографічна система (криптосистема) — — сукупність засобів криптографічного захисту інформації, сукупність засобів криптографічного захисту інформації, необхідної ключової, необхідної ключової, нормативної, експлуатаційної, а також іншої нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, рівень захищеності інформації, що обробляється, зберігається та (або) передається.зберігається та (або) передається.
Завірення (notarization) Завірення (notarization) — реєстрація даних довіреною — реєстрація даних довіреною третьою особою для забезпечення надалі впевненості в третьою особою для забезпечення надалі впевненості в правильності таких характеристик, як зміст, джерело правильності таких характеристик, як зміст, джерело даних, час їх відправлення чи отримання тощо.даних, час їх відправлення чи отримання тощо.
2. Основний закон 2. Основний закон УкраїниУкраїни
Для повного висвітлення Для повного висвітлення концептуальних засад інформатизації концептуальних засад інформатизації будь-якої сфери суспільства необхідно будь-якої сфери суспільства необхідно врахувати, що врахувати, що Конституція України — Конституція України — це Основний закон України,це Основний закон України, схвалений схвалений 1 грудня 1991 р. всенародним 1 грудня 1991 р. всенародним голосуванням (Конституцію України голосуванням (Конституцію України прийнято на п’ятій сесії Верховної Ради прийнято на п’ятій сесії Верховної Ради України 28 червня 1996 р.).України 28 червня 1996 р.).
Конституція УкраїниКонституція України як базовий як базовий законодавчий документ українського законодавчий документ українського суспільства визначає суспільства визначає забезпечення забезпечення інформаційної безпеки України однією інформаційної безпеки України однією з найважливіших функцій держави і з найважливіших функцій держави і справою всього Українського народу.справою всього Українського народу.
Стаття 17 Стаття 17 Конституції УкраїниКонституції України встановлює:встановлює:
захист суверенітету і територіальної захист суверенітету і територіальної цілісності України, забезпечення її цілісності України, забезпечення її економічної та економічної та інформаційної безпекиінформаційної безпеки є є найважливішими функціями держави, найважливішими функціями держави, справою всього Українського народу. справою всього Українського народу.
УУ Розділі II Конституції України Розділі II Конституції України «Права, свободи та обов’язки людини «Права, свободи та обов’язки людини та громадянина» та громадянина» визначено ряд статей, визначено ряд статей, що конкретизують концептуальний підхід що конкретизують концептуальний підхід до таких питань, як таємниця до таких питань, як таємниця кореспонденції, збирання, зберігання, кореспонденції, збирання, зберігання, використання, поширення конфіденційної використання, поширення конфіденційної інформації, а також уперше інформації, а також уперше висвітлюються напрями забезпечення висвітлюються напрями забезпечення авторського права і розвитку науково-авторського права і розвитку науково-технічної діяльності сус-пільства тощо. технічної діяльності сус-пільства тощо.
Стаття 31Стаття 31 Конституції України Конституції України встановлює, що кожному гарантується встановлює, що кожному гарантується таємниця листування, телефонних розмов, таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. телеграфної та іншої кореспонденції.
Винятки можуть бути встановлені лише Винятки можуть бути встановлені лише судом у випадках, передбачених законом, судом у випадках, передбачених законом, з метою запобігти злочинові чи з’ясувати з метою запобігти злочинові чи з’ясувати істину під час розслідування кримінальної істину під час розслідування кримінальної справи, якщо іншими способами одержати справи, якщо іншими способами одержати інформацію неможливо.інформацію неможливо.
Стаття 32Стаття 32 Конституції України Конституції України встановлює, що ніхто не може зазнавати встановлює, що ніхто не може зазнавати втручання в його особисте і сімейне втручання в його особисте і сімейне життя, крім випадків, передбачених життя, крім випадків, передбачених Конституцією України.Конституцією України.
Не допускається збирання, зберігання, Не допускається збирання, зберігання, використання та поширення використання та поширення конфіденційної інформації про особу без її конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, і лише в інтересах національної безпеки, економічного добробуту та прав людини.економічного добробуту та прав людини.
Стаття 34Стаття 34 Конституції України Конституції України встановлює, що кожному гарантується встановлює, що кожному гарантується право на свободу думки і слова, на вільне право на свободу думки і слова, на вільне вираження своїх поглядів і переконань. вираження своїх поглядів і переконань.
Кожен має право вільно збирати, Кожен має право вільно збирати, зберігати, використовувати і поширювати зберігати, використовувати і поширювати інформацію усно, письмово або в інший інформацію усно, письмово або в інший спосіб спосіб на свій вибір. на свій вибір.
Стаття 54Стаття 54 Конституції України Конституції України встановлює, що громадянам гарантується встановлює, що громадянам гарантується свобода літературної, художньої, наукової і свобода літературної, художньої, наукової і технічної творчості, захист інтелектуальної технічної творчості, захист інтелектуальної власності, їхніх авторських прав, моральних і власності, їхніх авторських прав, моральних і матеріальних інтересів, що виникають у матеріальних інтересів, що виникають у зв’язку з різними видами інтелектуальної зв’язку з різними видами інтелектуальної діяльності. діяльності.
Кожний громадянин має право на Кожний громадянин має право на результати своєї інтелектуальної, творчої результати своєї інтелектуальної, творчої діяльності; ніхто не може використовувати діяльності; ніхто не може використовувати або поширювати їх без його згоди, за або поширювати їх без його згоди, за винятками, встановленими законом. винятками, встановленими законом.
3. Властивості 3. Властивості інформаційної системи інформаційної системи
та її ресурсів як та її ресурсів як предмета захиступредмета захисту
Захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти
Відомості про об’єкти та явища навколишнього середовища, їх параметри, властивості й стани, які зменшують ступінь їх невизначеності, неповноти знань
ІНФОРМАЦІЯ(information)
Можливість використання інформації, коли в цьому виникає потреба
Доступність інформації(availability of information)
Цілісність інформації(integrity of information)
Властивість інформації не підлягати розголошенню; довірa, секретність, суто приватність
Конфіденційність інформації(privacy of information)
Основні характеристики Основні характеристики інформаційної системи як об’єкта інформаційної системи як об’єкта
захисту.захисту.
Структуру інформа-Структуру інформа-ційної системи складає ційної системи складає сукупність окремих її сукупність окремих її частин, що називаю-частин, що називаю-ться підсистемами.ться підсистемами.
ПідсистемаПідсистема — — це це частина системи, частина системи, виділена за будь-якою виділена за будь-якою ознакоюознакою..
Технічне забезпечення
Інформаційна система
Математичне забезпечення
Програмне забезпечення
Інформаційне забезпечення
Організаційне забезпечення
Правове забезпечення
Загальна структура інформаційної системи
Інформаційне забезпечення Інформаційне забезпечення (dataware) — сукупність єдиної (dataware) — сукупність єдиної системи класифікації й кодування системи класифікації й кодування інформації, уніфікованих систем інформації, уніфікованих систем документації, схем інформаційних документації, схем інформаційних потоків, що циркулюють в організації, а потоків, що циркулюють в організації, а також методологія побудови баз даних також методологія побудови баз даних для їх збереження.для їх збереження.
Технічне забезпечення Технічне забезпечення (hardware) (hardware) — — комплекс технічних засобів, призначених для комплекс технічних засобів, призначених для роботи інформаційної системи, а також роботи інформаційної системи, а також відповідна документація на ці засоби й відповідна документація на ці засоби й технологічні процеси.технологічні процеси.
Математичне і програмне Математичне і програмне забезпечення забезпечення — сукупність математичних — сукупність математичних методів, моделей, алгоритмів і програм для методів, моделей, алгоритмів і програм для реалізації мети та завдань інформаційної реалізації мети та завдань інформаційної системи, а також нормального системи, а також нормального функціонування комплексу технічних засобів.функціонування комплексу технічних засобів.
Організаційне забезпечення Організаційне забезпечення (organization (organization support) support) — сукупність методів і засобів, які — сукупність методів і засобів, які регламентують взаємодію персоналу з тех-регламентують взаємодію персоналу з тех-нічними засобами й між собою в процесі нічними засобами й між собою в процесі розроблення та експлуатації інформаційної розроблення та експлуатації інформаційної системи.системи.
Правове забезпечення Правове забезпечення (legal support) (legal support) — — сукупність правових норм, що визначають сукупність правових норм, що визначають створення, правовий статус і функціонування створення, правовий статус і функціонування інформаційних систем, регламентують інформаційних систем, регламентують порядок отримання, перетворення та порядок отримання, перетворення та використання інформації.використання інформації.
Властивості інформаційної системи Властивості інформаційної системи як об’єкта захистуяк об’єкта захисту
Властивість інформації не бути модифікованою неавторизованим користувачем та зберігати цілісність, якщо дотримуються встановлені
правила її модифікації
Взаємопов'язана сукупність засобів, що використовується для зберігання, оброблення й видавання інформації для досягнення поставленої мети
ІНФОРМАЦІЙНА СИСТЕМА
Можливість використання інформації її користувачем або програмою відповідно до встановлених правил
Доступність інформації в інформаційній системі
Цілісність інформації в інформаційній системі
Властивість інформації не бути отриманою неавторизованим користувачем або процесом та зберігати свою конфіденційність, коли
виконуються певні правила ознайомлення з нею
Конфіденційність інформації в інформаційній системі
Для інформаційної системи Для інформаційної системи властиві такі види загроз: властиві такі види загроз:
1.1.загрози порушення конфіденційності;загрози порушення конфіденційності;
2.2.загрози порушення цілісності; загрози порушення цілісності;
3.3.загрози порушення працездатності загрози порушення працездатності (доступності).(доступності).
Загрози порушення конфіденційності Загрози порушення конфіденційності спрямовані на розголошення інформації з спрямовані на розголошення інформації з обмеженим доступом.обмеженим доступом.
Загрози порушення працездатності Загрози порушення працездатності (доступності) (доступності) спрямовані на створення спрямовані на створення ситуацій, коли в результаті навмисних дій ситуацій, коли в результаті навмисних дій понижується працездатність автоматизованої понижується працездатність автоматизованої системи, або її ресурси стають недоступними.системи, або її ресурси стають недоступними.
Загрози порушення цілісності Загрози порушення цілісності полягають у полягають у спотворенні або зміні неавторизованим спотворенні або зміні неавторизованим користувачем інформації, що зберігається або користувачем інформації, що зберігається або передається. передається.
Загроза (дія) Загроза (дія) — це можлива небезпека — це можлива небезпека (потенційна або така, що існує реально) (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об’єкта бездіяльності), спрямованого проти об’єкта захисту (інформаційних ресурсів), яке завдає захисту (інформаційних ресурсів), яке завдає збитку власнику або користувачу, що збитку власнику або користувачу, що проявляється як небезпека спотворення або проявляється як небезпека спотворення або втрати інформації.втрати інформації.
Наслідки (атака)Наслідки (атака) — це можливі наслідки — це можливі наслідки реалізації загрози (можливі дії) у разі взаємодії реалізації загрози (можливі дії) у разі взаємодії джерела загрози через наявні фактори джерела загрози через наявні фактори (уразливості).(уразливості).
АтакаАтака — це завжди пара «джерело- — це завжди пара «джерело-фактор», що реалізує загрозу та фактор», що реалізує загрозу та призводить до збитків. призводить до збитків.
Прояви збитків як категорії класифікації Прояви збитків як категорії класифікації загроз можуть бути різноманітними:загроз можуть бути різноманітними:
моральні й матеріальні збитки від ділової моральні й матеріальні збитки від ділової репутації організації;репутації організації;
моральні, фізичні або матеріальні збитки, моральні, фізичні або матеріальні збитки, зумовлені розголошенням персональних зумовлені розголошенням персональних даних окремих осіб;даних окремих осіб;
матеріальні (фінансові) збитки від матеріальні (фінансові) збитки від розголошення конфіденційної інформації;розголошення конфіденційної інформації;
матеріальні (фінансові) збитки від матеріальні (фінансові) збитки від необхідності відновлення порушених необхідності відновлення порушених інформаційних ресурсів;інформаційних ресурсів;
матеріальні збитки (втрати) від матеріальні збитки (втрати) від неможливості виконання взятих на себе неможливості виконання взятих на себе зобов’язань перед третьою стороною;зобов’язань перед третьою стороною;
моральні та матеріальні збитки від моральні та матеріальні збитки від дезорганізації діяльності організації;дезорганізації діяльності організації;
матеріальні та моральні збитки від матеріальні та моральні збитки від порушення міжнародних відносин.порушення міжнародних відносин.
За характером загроз заходи захисту За характером загроз заходи захисту орієнтовані на захист інформації від орієнтовані на захист інформації від розголошення, витоку та розголошення, витоку та несанкціонованого доступу. несанкціонованого доступу.
За способом дії їх можна поділити на За способом дії їх можна поділити на попередження, виявлення, припинення попередження, виявлення, припинення та відновлення збитків або інших та відновлення збитків або інших утрат. утрат.
Заходи захисту можуть охоплювати Заходи захисту можуть охоплювати територію, будівлю, приміщення, територію, будівлю, приміщення, апаратуру або окремі елементи апаратуру або окремі елементи апаратури. апаратури.
Масштабність заходів захисту Масштабність заходів захисту характеризується як характеризується як об’єктовий, об’єктовий, груповий або індивідуальний захист.груповий або індивідуальний захист.
4. Інформаційна безпека. 4. Інформаційна безпека. Суб’єкти та об’єкти Суб’єкти та об’єкти
захистузахисту
Інформаційна безпека Інформаційна безпека — стан — стан захищеності інформаційного захищеності інформаційного середовища держави, суспільства та середовища держави, суспільства та особистості, який забезпечує його особистості, який забезпечує його формування, збереження, використання і формування, збереження, використання і розвиток в інтересах громадян, розвиток в інтересах громадян, організацій чи держави.організацій чи держави.
Інформаційне середовищеІнформаційне середовище (information (information environment)environment) — сфера діяльності — сфера діяльності суб’єктів, пов’язана зі створенням, суб’єктів, пов’язана зі створенням, перетворенням і використанням перетворенням і використанням інформації. інформації.
Інформаційне середовище умовно Інформаційне середовище умовно поділяють на три основні предметні частини: поділяють на три основні предметні частини:
1) створення і поширення інформації; 1) створення і поширення інформації;
2) формування інформаційних ресурсів, 2) формування інформаційних ресурсів, підготовка інформаційних продуктів, надання підготовка інформаційних продуктів, надання інформаційних послуг; інформаційних послуг;
3) споживання інформації та дві забезпечувальні 3) споживання інформації та дві забезпечувальні предметні частини: предметні частини:
а) створення і застосування інформаційних а) створення і застосування інформаційних систем, інформаційних технологій і засобів їхнього систем, інформаційних технологій і засобів їхнього забезпечення; забезпечення;
б) створення і застосування засобів та механізмів б) створення і застосування засобів та механізмів інформаційної безпеки.інформаційної безпеки.
Більш розгорнуте визначення Більш розгорнуте визначення інформаційної безпеки таке.інформаційної безпеки таке.
Інформаційна безпекаІнформаційна безпека — — це стан це стан захищеності властивостей інформації захищеності властивостей інформації (інформаційних ресурсів), що належить (інформаційних ресурсів), що належить державі, суспільству і особистості, за державі, суспільству і особистості, за якого забезпечується її оброблення, якого забезпечується її оброблення, зберігання, поширення і прогресивний зберігання, поширення і прогресивний розвиток незалежно від (або в умовах) розвиток незалежно від (або в умовах) наявності чи реалізації внутрішніх і наявності чи реалізації внутрішніх і зовнішніх інформаційних загроззовнішніх інформаційних загроз..
Об’єктами інформаційної безпеки Об’єктами інформаційної безпеки (information security object) (information security object) є свідомість, є свідомість, психіка людей; інформаційні ресурси, психіка людей; інформаційні ресурси, інформаційні системи та мережі різного інформаційні системи та мережі різного масштабу і різного призначення. масштабу і різного призначення.
До соціальних об’єктів інформаційної До соціальних об’єктів інформаційної безпеки зазвичай відносять особистість, безпеки зазвичай відносять особистість, колектив, суспільство, державу, світове колектив, суспільство, державу, світове товариство.товариство.
Суб’єкти інформаційної безпеки Суб’єкти інформаційної безпеки (information security subject) (information security subject) —— держава, що здійснює свої функції через держава, що здійснює свої функції через відповідні органи; громадяни; суспільні відповідні органи; громадяни; суспільні або інші організації і об’єднання, наділені або інші організації і об’єднання, наділені повноваженнями із забезпечення повноваженнями із забезпечення інформаційної безпеки відповідно до інформаційної безпеки відповідно до законодавства.законодавства.
5. Основні напрями 5. Основні напрями забезпечення забезпечення
інформаційної безпекиінформаційної безпеки
Напрями забезпечення Напрями забезпечення інформаційної безпеки інформаційної безпеки — це — це нормативно-правові категорії, орієнтовані нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні загроз на державному рівні, на рівні підприємства або організації, на рівні підприємства або організації, на рівні окремої осо-бистості.окремої осо-бистості.
З урахуванням практики, що склалася З урахуванням практики, що склалася натепер, виокремлюють такі напрями натепер, виокремлюють такі напрями захисту інформації:захисту інформації:
правовий захистправовий захист — це спеціальні — це спеціальні закони, інші нормативні акти, правила, закони, інші нормативні акти, правила, процедури та заходи, що забезпечують процедури та заходи, що забезпечують захист інформа ції на правовій основі;захист інформа ції на правовій основі;
організаційний захисторганізаційний захист — це — це регламентація виробничої діяльності та регламентація виробничої діяльності та взаємовідносин виконавців на нормативній взаємовідносин виконавців на нормативній основі, що виключає або суттєво утруднює основі, що виключає або суттєво утруднює неправомірне оволодіння конфіденційною неправомірне оволодіння конфіденційною інформацією та прояву внутрішніх та інформацією та прояву внутрішніх та зовнішніх загроз;зовнішніх загроз;
інженерно-технічний захистінженерно-технічний захист — це — це використання різноманітних технічних використання різноманітних технічних засобів, що перешкоджають реалізації засобів, що перешкоджають реалізації загроз та завданню збитків.загроз та завданню збитків.
Організаційний захистОрганізаційний захист
Організація режиму та охорони
Організація роботи зі співробітниками
Організація роботи з документами та документованою інформацією
Організація використання технічних заходів
Організація роботи з аналізу загроз
Організація роботи з проведення систематичного контролю
Унеможливлення таємного проникнення на територію та у приміщення сторонніх осіб
Забезпечення зручності проходу та переміщення співробітників і відвідувачівСтворення окремих виробничих зон за типом конфіденційних робіт із
самостійними системами доступуКонтроль за дотриманням часового режиму праці та перебування на території
персоналуОрганізація та підтримання надійного пропускного режиму і контролю за
співробітниками та відвідувачами
Організація режиму та охорони
Підбір і розстановка персоналу, навчання правил роботи з конфіденційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації
Організація роботи зі співробітниками
Порядок і правила розроблення та використання документів і носіїв конфіденційної інформації, їх обліку, користування, повернення, зберігання та знищення
Організація роботи з документами та документованою інформацією
Порядок і правила використання технічних засобів збирання, оброблення, нагромадження та зберігання конфіденційної інформації
Організація використання технічних заходів
Порядок і правила виявлення, прогнозування зовнішніх та внутрішніх загроз конфіденційній інформації і розроблення заходів щодо забезпечення її захисту
Організація роботи з аналізу загроз
Контроль за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів і технічних носіїв
Організація роботи з проведення систематичного контролю
Інженерно-технічний Інженерно-технічний захистзахист
Фізичні засоби захисту
Апаратні засоби захисту
Програмні засоби захисту
Криптографічні засоби захисту
Різноманітні пристрої, конструкції, апарати, вироби, призначені для створення перепон на шляху руху зловмисників:
охоронні та охоронно-пожежні системи;охоронне телебачення;охоронне освітлення;засоби фізичного захисту
Фізичні засоби захисту
Система спеціальних програм, які входять до складу програмного забезпечення:програми для захисту інформації від несанкціонованого доступу;програми для захисту інформації від копіювання;програмні засоби програм від вірусів;програмні засоби для захисту інформації від вірусів;засоби програмного захисту каналів зв’язку
Програмні засоби захисту
Різноманітні технічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступу до джерел конфіденційної інформації:
апаратура для проведення спеціальних досліджень технічних засобів забезпечення виробничої діяльності на наявність можливого витоку інформації;
засоби виявлення каналів витоку інформації на об’єктах та у приміщеннях;засоби локалізації каналів витоку;апаратура для пошуку та виявлення засобів промислового шпіонажу;засоби протидії несанкціонованому доступу до джерел конфіденційної
інформації
Апаратні засоби захисту
Апаратні, програмні та програмно-апаратні засоби, що реалізують захист інформації за допомогою криптографічних перетворень
Криптографічні засоби захисту
Правовий захистПравовий захистКонституційне законодавство
Загальні закони та кодекси
Закони про організацію управління
Спеціальні закони
Підзаконні нормативні акти
Правоохоронне законодавство
Норми, що стосуються питань інформатизації та захисту інформації, які входять до конституційного законодавства як складові елементи
Конституційне законодавство
Норми з питань інформатизації та захисту інформації
Загальні закони та кодекси
Закони про окремі структури господарства, економіки, системи державних органів та визначення їх статусу, які включають окремі норми з питань
захисту інформації
Закони про організацію управління
Сукупність законів, які закладають основи правового забезпечення інформаційної безпеки (Закони України «Про інформацію», «Про
захист інформації в автоматизованих системах» і т.ін.)
Спеціальні закони
Стандарти, загальнодержавні та відомчі нормативні документи, що орієнтовані на забезпечення захисту інформації
Підзаконні нормативні акти
Норми про відповідальність за правопорушення в інформаційній сфері
Правоохоронне законодавство