Захист інформації

Захист інформації 1 лекція
захист інформації – комплекс засобів спрямованих на забезпечення інформаційної безпеки.
3 основоположні поняття інформаційної безпеки (доступність ) – можливість за прийнятний час отримати необхідну інформаційну послугу (цілісність) це  актуальність і незаперечність інформації, її захищеність від руйнування і несанкціонованої зміни
(конфіденційність )– захист від несанкціонованого доступу до інформації.
Загроза – потенційна можливість певним чином порушити інформаційну безпеку, атака це реалізація загрози при введенні її в дію. проміжок часу від моменту коли являється можливіть ліквідується називається вінком небезпеки. Для більшості вразливих місць вікно небезпеки існує порівняно довго кілька днів іноді тижнів , оскільки в цей час повинні відбутися наступні події, має стати відомо про засоби використання слабкого місця в сисмемі, повинні бути випущені засоби боротьби зі слабким місцем. 3 усі користувачі повинні отримати такі засоби засоби використання слабкого місця в системі
методи пошуку критичних помилок та атак:
1) активний пошук методів взлому і в ітернеті  
2 опитування користувачів
3 внутрішнє тестування,запрошення спеціалістів
загрози , по аспекту інформаційної безпеки доступність, конфіденційність, цілісність, проти якого загрози
по компонентах інформаційної безпеки на які загрози націлені, дані програми, апарратура,, інфраструктура в цілому, за способом здійснення: випадкові або навмисні
по розбашуванню загроз поза інформаційною системою або в середині

Най частішими і най небезпесчнішими  з точки зору збитків є не навмисні помилки штатних користуваців, операторів і системних адміністраторів, так як вони можуть отримати доступ до елементів обходячи багато захисних систем.
боротьби з не невмисними помилками це максимальна авторизація і строгий контроль інші загрози доступності, класифікуються за компонентами інформаційної системи, відмова на рівні користувача, відмова на рівні користувача, по відношенню до підтримуючої інфораструуктури наступні загрози, порушення роботи систем зв’язку електроживлення, водо та тепло постачання, кондиціонування, руйнування або пошкодження приміщень, неможливість або не бажання обслуговуючого персонал у та або користувачів виконуват свої обовязки(Цивільний безлад)
аварії на транспорті, страйк терорестичний акт або його загроза )

Програмні атаки на доступність
являє собою спробу переповнити таблицю tcp з’днань серверу які є напів відкритими, система не буде їх закривати рівно до того моменту доки буде отримувати постійний запит. При цьому ніхто зовні не може підключитись до серверу
Канали проникнення та методи створення захисту
Сучасні методи перехоплення інформації дозволяють на відстані в 10 і сотні метрів розпізнавати і отримувати інформацію із захищених серидовищь, методи таких перехоплень різноманітні і можуть використовувати все – від магнітних хвиль до використання лазерів, але найбільш небезпечні засоби отримання інформації до якої у нас не повинно бути доступу, базуються на 3 основних критичних елементах компютерних системи : 1 джерело, 2 інтерфейс, 3 отримувачь
класифікація каналів проникнення в сиситему:
1) за способом прямі
1.2 не прямі (не потребують безпосереднього доступу до критичних елементів ) за способом реалізації основного
2. Перехоплення
2.1 людина
2.2 апаратура
2.3 програма
за способом отримання інформації
3.1 фізичний
3.2 радіо електро магнітний
інформаційний
правові та юридичні засоби пк – закони укази нормативні акти що регламентують правила погодження з інформацією і визначають відповідальність за порушення цих правил.
морально етичні заходи – це норми поведінки які традиційно склалися у суспільстві у міру розповсюдження техніки для виконання цих норм, веде до падіння авторитету престижу організації країни і людей
адміністративні заходи
заходи організаційного характеру укладені в середині організації що регламентують норми безпеки, достатній для рівня організації.
організація явного або прихованого контролю над роботою користувачів
організація обліку зберігання, використання та знищення документів або носіїв інформації
3.3 організація охорони та надійного пропускного режиму
заходи здійснювані персоналу засоби при проектуванні розробці та модифікації коспютерних систем
фізичні застосування різного роду тзо і споруд призначених для сворен фызичних перешкод на шляхах проникнення в систему технічні засновані на використанні технічних пристроїв і програм що входять до складу компютерної системи і виконують функцію аутефікації та авторизації
принципи побудови систем захисту
1 принцип системності припускає необхідність обліку всіх взаємо повязаних елементів, умов і чинників, важливих для розуміння і рішення проблеми забезпечення безпеки
принцип комплексності – припускає побудову системи із різнорідних засобів щоб в теорії перекривають всі існуючі канали реалізації зпгрози безпеки 1 що не містять слабких місць
принцип безперервного захисту що організація захисту не повинна містити ремонтні роботи, обслуговування, час на відновлення після критичної помилки. Принцип розумної достатності
вкладення у систему уже спроектовано мінімальну кількість даних що будуть не критичними і можуть бути вкрадені
принцип гнучкості управління і застосування ремонт системи не впливатиме на її роботу

В загальному випадку стандарти захисту інформації прийняті на міжнародному рівні  
Світові стандарти захисту даних в компютерних системах:
- першим в світі стандартом безпеки на загальнодержавному рівні була американська розробка з критеріїв безпеки комп’ютених систем яка отримала секретну назву оранжева книга, була розроблена у 1983 з метою визначення вимог безпеки які висуваються до програмного, апаратного, і спеціального забезпечення до комп’ютерних систем. Запропонована назва в оранжевий книзі безпечна комп’ютерна система, це система яка підтримує керування доступом до опроблюваної в ній інформації, що лише відповідні, авторизовані користувачі або процеси що діють від їх імені отримують можливість читати, писати і створювати інформацію у компютерній системі.
Вимоги до безпечних систем:
1) Політика безпеки -  уся система та незалежні її частини мають підтримувати єдину точно визначену політику безпеки можливість доступів до об’єктів повинна визначатися, на основі їх аунтефікацією та керуванням доступу.
2) Мітки – кожен об’єкт повинен мати мітку що використовуєсться як атрибути контролю доступу
3) ідентифікація та аунтентифікація – всі суб’єкти повинні мати унікальний ідентифікатор, контроль з доступу здійснюється на основі проведеної ідентифікації та аунтефікації суб’єкта з ос
4) реєстрація та облік – всі події що мають відношення до безпеки повинні бути відстежені та зареєстровані у захищеному протоколі.
5) Контроль коректності функціонування засобів захисту – засоби захисту перебувають під контролем засобів перевірки коректності , засоби захисту незалежні від засобів контролю коректності, засоби контролю коректності захищені іншими засобами коректності.
6) безперевний занист – повинен бути постійним і безперервним, у будь якому режимі функціонування системи захисту і всієї системи в цілому  

НАСТУПНИМ ПІСЛЯ ОРАНЖЕВОЇ КНИГИ БУВ РОЗРОБЛЕНИЙ
Критерії безпеки інформаційних технологій, розроблені в 91 році
Всі критерії розглядають всі основні завдання інформаційної безпеки
основні завдання інформаційної безпеки :
1) захист інформації від не санкціонованих дій, з метобю забезмепення конфіденційності
2) забезпечення цілісності інформації шляхом захисту її від не санкціонованої захисту або модефікації
3) забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні

ЗАГАЛЬНА ОЦІНКА РІВНЯ БЕЗПЕКИ СИСТЕМИ СКЛАДАЄТЬСЯ З ФУНКЦІОНАЛЬНОЇ ПОДУЖНОСТІ ЗАСОБІВ ТА РІВНЯ АДЕКВАТНОСТІ ЇХ ОРГАНІЗАЦІЇ

функціональні вимоги ренгламентують, функціоннування продукту що забезпечують безпеку і визначають можливості засобів захисту.
Функціональні вимоги представляються у вигляді вимоги, формальної ієрархічної структури що сткаладається з класів розбитих на розділів.
Адекватність – являє собою характреистику ІТ продукту що показує на скільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту

ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ ІЗ ЗАХИСТУ ІНФОРМАЦіЇ
у 1997 департаментом спеціальних телефомукіційних систем була розроблена перша версія системи нормативних документів :
1) загальні положення щодо захисту інформації в комп’ютерних системах від не санкціонованого доступу
2) класифікація автоматизованих систем і стандортні функціональні профілі захищеності оброблюваної інформації.
3) Критерії оцінки захищеності інформації у копп’ютерних системах. Термінологія в галузі захисті інформації .
У документі про класифікації автоматизованих систем… Форумулює такі класи для розподілу компютерних систем за важливістю і складністю організації захисту
1) одномашинний однокористувацький комплекс, обробляє інформацію однієї або кількох категорій конфіденційності. Істотні особливості – у кожний момент часу з комплексом може працювати тільки 1 користувачь хоча у загальному випадку осіб може бути декілька(усі вони повинні мати однакові права) приклад автономна персональна ЕОМ доступ до якої контролюється за допомогою організаційних заходів
2) Локалізований багатомашинний комплекс з багатьма користувачами якій обробляє інформацію різних  категорій конфіденційності.
приклад – розподілений сервер
3) розподілений багатомашинний комплекс що працює з інфою різних категорій конфіденційності і використовує не захищене середовище приклад глобальна мережа
4) багатофакторна ідентифікація – метод сворення захисту системи де у не зазначеному порядку використовуються попередні 3 методи ідентифіікації
переваги багатофакторної ідентифікації- значне підвищення
недоліки :
1 незручність з погляду користувача
2 час розробки та її ціна підвищена кількістю вибраних технологій
аунтефікація -  процес перевірки методів ідентифікації користувача здійснюється на основі аунтифакатора який є у розпорядженні як у суб’єкта так і інформаційної системи

...