Основи захисту інформації

1. Основи захисту інформації Київський національний університет імені Тараса Шевченка факультет кібернетики

доц. Деревянченко О.В.
2013-2017

2.

Захист інформації
Захист інформації (Data protection) — сукупність методів і
засобів, що забезпечують цілісність, конфіденційність і
доступність інформації за умов впливу на неї загроз
природного або штучного характеру, реалізація яких може
призвести до завдання шкоди власникам і користувачам
інформації.
У 1988 році американська Асоціація комп'ютерного
обладнання оголосила 30 листопада Міжнародним днем
захисту інформації (Computer Security Day). Було зафіксовано
першу масову епідемію хробака, якого назвали за іменем
його творця — Морріса.

3. Властивості інформації, що підлягають захисту

• Цілісність даних — в інформаційній системі — стан при якому дані,
що зберігаються в системі, в точності відповідають даним у вихідних
документах; властивість, що має відношення до набору даних і
означає, що дані не можуть бути змінені або зруйновані без санкції на
доступ. Цілісність даних вважається збереженою, якщо дані не
спотворені і не зруйновані (видалені).
• Конфіденційність — властивість інформації, яка полягає в тому, що
інформація не може бути отримана неавторизованим користувачем
або процесом. Інформація зберігає конфіденційність, якщо
дотримуються встановлені правила ознайомлення з нею.
• Доступність — полягає в тому, що авторизований користувач може
використовувати інформацію відповідно до правил, встановлених
політикою безпеки не очікуючи довше заданого інтервалу часу.
• Спостережність — властивість системи, що дозволяє фіксувати
діяльність користувачів і процесів, використання пасивних об'єктів, а
також однозначно установлювати ідентифікатори причетних до
певних подій користувачів і процесів з метою запобігання порушення
політики безпеки і/або забезпечення відповідальності за певні дії.

4. Загрози інформації

Відповідно до властивостей інформації, виділяють такі
загрози її безпеки:
• загрози цілісності:
– знищення;
– модифікація;
• загрози доступності:
– блокування;
– знищення;
• загрози конфіденційності:
– несанкціонований доступ (НСД);
– витік;
– розголошення.

5. Види захисту інформації

• Технічний — забезпечує обмеження доступу до носія
повідомлення апаратно-технічними засобами (антивіруси,
фаєрволи, маршрутизатори, токени, смарт-картки тощо):
– попередження витоку по технічним каналам;
– попередження блокування ;
• Інженерний — попереджує руйнування носія внаслідок
навмисних дій або природного впливу інженерно-технічними
засобами (сюди відносять обмежуючі конструкції, охороннопожежна сигналізація).
• Криптографічний — попереджує доступ до за допомогою
математичних перетворень повідомлення :
– попередження несанкціонованої модифікації ;
– попередження НС розголошення.
• Організаційний
—
попередження
доступу
на
об'єкт
інформаційної діяльності сторонніх осіб за допомогою
організаційних заходів (правила розмежування доступу).

6. Комплексна система захисту інформації

Комплексна система захисту інформації (КСЗІ) — взаємопов'язана
сукупність організаційних та інженерно-технічних заходів, засобів і
методів захисту інформації(ЗІ).
Одним з напрямків захисту інформації в комп'ютерних системах є технічний
захист інформації (ТЗІ). В свою чергу, питання ТЗІ розбиваються на два
великих класи задач:
– захист інформації від несанкціонованого доступу (НСД), а саме доступ
до інформації, що порушує встановлену в інформаційній системі
політику розмежування доступу.
– захист інформації від витоку технічними каналами (акустичні канали,
оптичні канали та інші.).
Для забезпечення ТЗІ створюється комплекс технічного захисту інформації,
що є складовою КСЗІ.
Захист від НСД може здійснюватися в різних складових інформаційної системи:
• прикладне та системне ПЗ.
• апаратна частина серверів та робочих станцій.
• комунікаційне обладнання та канали зв'язку.
• периметр інформаційної системи.

7. Захист інформації від несанкціонованого доступу

• ТЗІ від НСД на прикладному і
програмному рівні
• ТЗІ від НСД на апаратному рівні
• ТЗІ на мережевому рівні

8. ТЗІ від НСД на прикладному і програмному рівні

Для захисту інформації на
рівні прикладного та системного ПЗ нами
використовуються:
системи розмежування доступу до інформації;
системи ідентифікації;
системи аудиту та моніторингу;
системи антивірусного захисту.

9. ТЗІ від НСД на апаратному рівні

Для захисту інформації на рівні апаратного
забезпечення використовуються:
• апаратні ключі;
• системи сигналізації;
• засоби блокування пристроїв та інтерфейс вводувиводу інформації.

10. ТЗІ на мережевому рівні

В комунікаційних системах використовуються такі засоби мережевого захисту інформації:
• міжмережеві екрани (Firewall) — для блокування атак з зовнішнього середовища (Cisco
PIX Firewall, Symantec Enterprise FirewallTM,Contivity Secure Gateway та Alteon Switched
Firewall від компанії Nortel Networks). Вони керують проходженням мережевого трафіку
відповідно до правил (policies) захисту. Як правило, міжмережеві екрани встановлюються
на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу)
мережі.
• системи виявлення втручаннь (Intrusion Detection System) — для виявлення спроб
несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак
типу «відмова в обслуговуванні» (Cisco Secure IDS, Intruder Alert та NetProwler від
компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень
здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок
атаки і витрати на підтримку працездатності мережі.
• засоби створення віртуальних приватних мереж (Virtual Private Network) — для організації
захищених каналів передачі даних через незахищене середовище (Symantec Enterprise
VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують
прозоре для користувача сполучення локальних мереж, зберігаючи при
цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування.
• засоби аналізу захищеності — для аналізу захищеності корпоративної мережі та
виявлення можливих каналів реалізації загроз інформації (Symantec Enterprise Security
Manager, Symantec NetRecon). Їх застосування дозволяє попередити можливі атаки на
корпоративну мережу, оптимізувати витрати на захист інформації та контролювати
поточний стан захищеності мережі.

11. Захист інформації від витоку технічними каналами

Засоби та заходи ТЗІ
Захист інформації від її витоку технічними каналами
зв'язку забезпечується такими засобами та заходами:
• використанням екранованого кабелю та
прокладка проводів та кабелів в екранованих
конструкціях;
• встановленням на лініях зв'язку високочастотних
фільтрів;
• побудовою екранованих приміщень ;
• використанням екранованого обладнання;
• встановленням активних систем зашумлення;
• створенням контрольованої зони.

12. Системи розмежування та контролю доступу до інформації

Система розмежування доступу до програм і даних повинна містити 4-ри
функціональні блоки:
– блок ідентифікації і аутентифікації суб'єктів доступу;
– диспетчер доступу, реалізується у вигляді апаратно-програмних
механізмів і забезпечує необхідну дисципліну розмежування доступу
суб'єктів до об'єктів доступу (у тому числі і до апаратних блоків, вузлів,
пристроїв);
– блок криптографічного перетворення інформації при її зберіганні і
передачі;
– блок очищення пам'яті.
Для введення ідентифікаторів користувача в системі контролю доступу
застосовуються такі основні види периферійного обладнання:
- кодонабірні термінали;
- зчитувальні пристрої;
- біометричні термінали.
Сучасні автоматичні та автоматизовані СКД в залежності від способу
управління поділяються на автономні, централізовані та розподілені.

13. Інформацíйна безпека

Інформацíйна безпека (Information Security) — стан інформації, в якому
забезпечується збереження визначених політикою безпеки властивостей інформації.
Інформаційні системи можна розділити на три частини: програмне
забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як
механізму захисту і попередження) стандартів інформаційної безпеки.
Інформаційна безпека держави — стан захищеності життєво важливих інтересів
людини, суспільства і держави, при якому запобігається нанесення шкоди через:
неповноту, невчасність та невірогідність інформації, що використовується; негативний
інформаційний вплив; негативні наслідки застосування інформаційних технологій;
несанкціоноване
розповсюдження,
використання
і
порушення
цілісності,
конфіденційності та доступності інформації.
Інформаційна безпека організації — цілеспрямована діяльність її органів та
посадових осіб з використанням дозволених сил і засобів по досягненню стану
захищеності інформаційного середовища організації, що забезпечує її нормальне
функціонування і динамічний розвиток.
Інформаційна безпеки особистості характеризується як стан захищеності особистості,
різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої
волі та бажання змінювати психічні стани і психологічні характеристики людини,
модифікувати її поведінку та обмежувати свободу вибору.

14. Історія інформаційної безпеки

Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку
засобів інформаційних комунікацій можна виділити декілька етапів:
• I етап — до 1816 року — характеризується використанням природно
виникаючих засобів інформаційних комунікацій. В цей період основне
завдання інформаційної безпеки полягало в захисті відомостей про події,
факти, майно, місцезнаходження і інші дані, що мають для людини особисто
або співтовариства, до якого вона належала, життєве значення.
• II етап — починаючи з 1816 року — пов'язаний з початком використання
штучно створюваних технічних засобів електро-радіозв'язку. Для забезпечення
скритності і перешкодостійкості радіозв'язку необхідно було використовувати
досвід першого періоду інформаційної безпеки на вищому технологічному
рівні, а саме застосування перешкодостійкого кодування повідомлення
(сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).
• III етап — починаючи з 1935 року — пов'язаний з появою
засобів радіолокацій і гідроакустики. Основним способом забезпечення
інформаційної безпеки в цей період було поєднання організаційних і технічних
заходів, направлених на підвищення захищеності засобів радіолокацій від дії
на їхні приймальні пристрої активними маскуючими і пасивними
імітуючими радіоелектронними перешкодами.
• IV етап — починаючи з 1946 року — пов'язаний з винаходом і впровадженням
в практичну діяльність електронно-обчислювальних машин (комп'ютерів).
Завдання інформаційної безпеки вирішувалися, в основному, методами і
способами обмеження фізичного доступу до устаткування засобів добування,
переробки і передачі інформації.

15. Історія інформаційної безпеки

• V етап — починаючи з 1965 року — обумовлений створенням і
розвитком локальних інформаційно-комунікаційних мереж. Завдання
інформаційної безпеки також вирішувалися, в основному, методами і
способами фізичного захисту засобів добування, переробки і передачі
інформації, об'єднаних в локальну мережу шляхом адміністрування і
управління доступом до мережевих ресурсів.
• VI етап — починаючи з 1973 року — пов'язаний з використанням
надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози
інформаційній безпеці стали набагато серйознішими. Для забезпечення
інформаційної безпеки в комп'ютерних системах з безпровідними мережами
передачі даних потрібно було розробити нові критерії безпеки. Утворилися
співтовариства людей — хакерів, що ставлять собі за мету нанесення збитку
інформаційній безпеці окремих користувачів, організацій та країн.
Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення
його безпеки –найважливішою, обов'язковою складовою національної безпеки.
Формується інформаційне право — нова галузь міжнародної правової системи.
• VII етап — починаючи з 1985 року — пов'язаний із створенням і розвитком
глобальних інформаційно-комунікаційних мереж з використанням космічних
засобів забезпечення. Можна припустити що черговий етап розвитку
інформаційної безпеки, буде пов'язаний з широким використанням
надмобільних комунікаційних пристроїв з широким спектром завдань і
глобальним охопленням у просторі та часі, забезпечуваним космічними
інформаційно-комунікаційними
системами.
Для
вирішення
завдань
інформаційної безпеки на цьому етапі необхідним є створення макросистеми
інформаційної безпеки людства під егідою ведучих міжнародних форумів.

16. Список нормативних документів щодо інформаційної безпеки в Україні

Актуальні зміни на сайті Державної служби спецзв'язку та захисту інформації: http://www.dstszi.gov.ua
Закони України:
–
Закон України «Про інформацію» від 02.10.1992 № 2657-XII — zakon.rada.gov.ua
–
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР — zakon.rada.gov.ua
–
Закон України «Про державну таємницю» від 21.01.1994 № 3855-XII — zakon.rada.gov.ua
–
Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI — zakon.rada.gov.ua
Постанови КМУ:
–
Постанова Кабінету міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах» від 29.03.2006 №373 — zakon.rada.gov.ua
–
Постанова Кабінету міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших
матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави» від 27 листопада 1998 р. №1893 — zakon.rada.gov.ua
Нормативні документи в галузі технічного захисту інформації (НД ТЗІ) та державні стандарти України (ДСТУ) стосовно створення і
функціонування КСЗІ:
–
НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі
–
Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96
–
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі
–
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу
–
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від
несанкціонованого доступу
–
НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2
–
НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу
–
НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій
системі
–
НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів
технічного захисту інформації від несанкціонованого доступу
–
Автоматизированные системы. Требования к содержанию документов РД 50-34.698
–
Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89
–
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу
Галузеві стандарти:
–
Національний банк України
ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги. (ISO/IEC 27001:2005, MOD)
ГСТУ СУІБ 2.0/ISO/IEC 27002:2010 Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою. (ISO/IEC 27002:2005, MOD)