Захист інформації

 

 

Міністерство освіти і науки, молоді та спорту України

Полтавський національний технічний університет

Ім. Юрія Кондратюка

Факультет інформаційних  та телекомунікаційних технологій і  систем

Кафедра інформаційних  технологій та систем

 

 

 

 

 

 

 

 

Розрахунково-графічна робота

з дисципліни

«Захист інформації»

 

 

 

 

 

 

 

 

Виконала:                                                      студентка 301-ТН групи

ааа А.В.

 

 

Викладач:                                                     ааа Г.В.

                                                                     ааа О.Д.

 

Полтава 2012

 

 

Зміст

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Вступ

Захист інформації,основні  поняття

Інформаційна безпека  — стан інформації, в якому забезпечується збереження визначених політикою безпеки  властивостей інформації.

У якості стандартної  моделі безпеки часто призводять модель з трьох категорій:

1. конфіденційність - стан інформації, при якому доступ до неї здійснюють тільки суб'єкти, що мають на неї право;
2. цілісність - уникнення несанкціонованої модифікації інформації;
3. доступність - уникнення тимчасового або постійного заховання інформації від користувачів, що отримали права доступу.

Виділяють і інші не завжди обов'язкові категорії моделі безпеки:

4. неспростовності - неможливість відмови від авторства;
5. підзвітність - забезпечення ідентифікації суб'єкта доступу та реєстрації його дій;
6. достовірність - властивість відповідності передбаченому поводженню чи результату;
7. автентичність або справжність - властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим.

Політика безпеки –  набір, законів, правил, обмежень, яке регламентує порядок обробки інформації спрямований на захист інформації від певних загроз.

Інформаційна  система

Інформаційна система  — сукупність організаційних і технічних  засобів для збереження та обробки  інформації з метою забезпечення інформаційних потреб користувачів.

Таке визначення може бути задовільним тільки при найбільш узагальненій і неформальній точці  зору і підлягає подальшому уточненню. Інформаційні системи діють в  Україні під назвою «автоматизовані системи

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Теоретична  частина:

 «Законодавчі акти та інші нормативні документи

України з інформації та з захисту інформації»

В Україні прийнято цілий  ряд законодавчих актів і нормативних  документів, пов'язаних з інформацією, у тому числі і з її захистом:

• Закон України «Про інформацію»:

Цей Закон закрiплює право громадян України на iнформацiю, закладає правовi основи iнформацiйної дiяльностi.Грунтуючись на Декларацiї про державний суверенiтет України та Актi проголошення її незалежностi, Закон стверджує iнформацiйний суверенiтет України i визначає правовi форми мiжнародного спiвробiтництва в галузi iнформацiї.

• Закон України «Про захист інформації в автоматизованих системах»

Метою цього Закону є  встановлення основ регулювання  правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах. 

• Закон України «Про державну таємницю»;

Цей Закон    регулює   суспільні   відносини,   пов'язані   з  
віднесенням інформації  до  державної  таємниці,  засекречуванням,  
розсекречуванням  її  матеріальних  носіїв  та  охороною державної  
таємниці з метою захисту національної безпеки України.

• Закон України про науково-технічну інформацію, від 25.06.93;

Цей  Закон  визначає  основи  державної  політики  в   галузі  
науково-технічної інформації, порядок її формування і реалізації в  
інтересах науково-технічного, економічного і соціального  прогресу  
країни. Метою Закону є  створення  в  Україні  правової  бази  для  
одержання та використання науково-технічної інформації.

 Законом регулюються  правові і економічні відносини   громадян,  
юридичних осіб, держави, що виникають  при  створенні,  одержанні,  
використанні та поширенні науково-технічної  інформації,  а  також  
визначаються правові  форми  міжнародного  співробітництва  в  цій  
галузі.Дія Закону поширюється на підприємства, установи, організації  
незалежно від форм власності, а також громадян, які мають право на  
одержання, використання та поширення науково-технічної інформації.  
Дія Закону не поширюється на інформацію, що  містить  державну  та  
іншу охоронювану законом таємницю.

• Закон України про Національну програму інформатизації, від

04.02.98;

Цей Закон  визначає загальні засади формування,  виконання та  
коригування Національної програми інформатизації.

• Закон України про Концепцію Національної програми інформатизації, від 04.02.98;

Концепція Національної   програми   інформатизації    включає  
характеристику сучасного стану інформатизації, стратегічні цілі та  
основні принципи інформатизації, очікувані наслідки її реалізації.

• Концепція (основи державної політики) національної безпеки України;
• Концепція технічного захисту інформації в Україні;

Положення про порядок  здійснення криптографічного

• Положення про порядок здійснення криптографічного захисту інформації в Україні;
• НД ТЗІ 1.1-002-98. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;
• Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.-НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998;
• НД ТЗІ 2.2-001-98. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;
• Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.-НД ТЗІ 2.2.-002 -98, ДСТСЗІ СБ України, Київ, 1998.

Основним інформаційним  законом є закон України «Про інформацію» [5], прийнятий 2 листопада 1992 року. Він містить 54 статті в шести  розділах. Цей Закон закріплює  право громадян України на інформацію, закладає правові основи інформаційної діяльності. Він містить багато відомостей про інформацію, які для кожного громадянина України можуть виявитися дуже корисними.

 

 

 

 

1. Аспекти захисту та безпеки інформації

Для успіху будь-якої програми захисту інформації необхідно охопити нею всю діяльність організації. Програмою захисту інформації мають бути охоплені робочі інструкції і посадові обов'язки кожного, хто зайнятий в даному бізнесі, описи робочих процесів, а також методи аудиту і супроводу.

Основною метою розподілу обов'язків по захисту інформації є інтеграція інформаційної безпеки в середу бізнесу. Як один з етапів цієї інтеграції необхідно визначити посади, які забезпечують безпеку всієї роботи. Наприклад, один із способів здійснення цього полягає в розподілі обов'язків і контролю над активами організації шляхом координування роботи кожного, включаючи відповідальних за інформацію і матеріально відповідальних співробітників. При такому підході, не виникне двозначностей відносно того, хто, за що і коли відповідає.

Ще одним аспектом досліджень є питання, яким чином  організовано управління безпекою в  організації. Зазвичай в організації  формується головна група управління інформаційною безпекою. Головна  група відповідає за впровадження і  контролює виконання правил безпеки і процедур. Розглядатимемо підхід, прийнятий для необмежених систем (див. главу 2 "Визначення цілей політики"), коли головна група управління інформаційною безпекою призначає адміністраторів безпеки для розрахованих на багато користувачів систем, в яких є велике число підрозділів. Тоді в кожному підрозділі буде свій власний співробітник безпеки або посередник, який допомагатиме впровадженню програми безпеки підрозділу. Таким чином можна забезпечити тіснішу співпрацю тих, хто стежить за безпекою, з користувачами Це схоже на інститут дільничних міліціонерів, прийнятий в міліції.

Тісна співпраця співробітників служби безпеці з останнім персоналом буде корисною і при управлінні зв'язками в реальному часі із сторонніми організаціями. Але загроза безпеці виходить не лише від власних службовців, але і від клієнтів, постачальників, а також від кожного, хто, підключаючись до інформаційних активів організації, має можливість порушити правила безпеки. Посередники повинні відповідати за вчення перерахованих вище аутсайдерів, а також контролювати їх діяльність і стимулювати її. Так працюють в невеликих організаціях. У багатьох з них, особливо в сторонніх організаціях, нечисленний персонал ділять на "відділи", в яких одна людина призначається посередником із службою безпеці.

Проте, це не краще рішення. Деякі люди, що працюють в організації  чималий період часу, можуть знайти способи розібратися в тонкощах роботи системи і зловжити цим  в якихось своїх цілях. Єдиний спосіб запобігти цьому полягає  в тому, аби не допускати перебування співробітника тривалий час в ролі посередника по безпеці, наприклад, не більше одного-двох років. По завершенню цього терміну вони передають свою роботу кому-небудь іншому. Інший спосіб полягає в тому, аби встановити порядок перевірок і обліку. Система постачання організації є одним з керованих процесів. Навіть не дивлячись на те, що велика частина закупівель проходить етап затвердження керівництвом, часто таке твердження відбувається формально, і оплата проходить без подальших повідомлень. Зате посередник безпеки в бухгалтерії стежитиме за порушеннями в порядку закупівель і відвантаження замовлень.

Один ревізор поділився  враженнями про свою роботу, яку  всі вважають дуже складною. Мало хто  здатний виконувати цю роботу. Ревізор  повинен знати всі тонкощі бізнесу, особливості клієнтів і постачальників, знати старі і нові правила діловодства, а також - грошові потоки організації. Лише знаючи все це, ревізор зможе розібратися в рахунках і заявках на закупівлі і визначити, чи немає в них якихось порушень.

І останнім аспектом, який слід врахувати в процесі реалізації програми захисту інформації, є цикл розвитку програмного забезпечення. Незалежно від того, чи розроблялося програмне забезпечення власними силами або організацією-підрядчиком, або ж були куплені комерційні програмні продукти (COTS - Commercial Off-the-shelf), метою має бути створення безпечних систем, в яких можна б було легко локалізувати помилки або спроби вторгнення. Впровадження стандартів кодування і тестування також сприятиме забезпеченню якісних виробничих процесів. Більш того, використання такої парадигми як живучість, також може стати основою для проектування програмного забезпечення, з яким не буде проблем при розгортанні або в процесі експлуатації.

Конкретні завдання інформаційної безпеки

Єдиним способом, що гарантує, що будь-який з тих, що працюють в  даний час в організації або  що приймається на роботу службовець, або користувач знатиме, що забезпечення безпеки є частиною його або її роботи, є включення відповідних  записів в посадові інструкції. Виклад функціональних обов'язків і вимог безпеки в посадових інструкціях демонструє співробітникові важливість інформаційної безпеки і заставляє усвідомити, що вона є невід'ємною частиною його роботи. Після того, як ці обов'язки і вимоги введені в посадові інструкції, до них починають відноситися з розумінням того, що вони впливають на оцінку професійної придатності працівника.

Сторонні підрядчики, постачальники або інші особи, які  надають послуги безпосередньо  в мережі компанії, повинні включати подібні формулювання в свої робочі розпорядження (SOW). Як і у випадку з власними службовцями, такі записи документально підкріплюють зобов'язання компанії, а також заставляє підрядчиків і постачальників строго слідувати правилам вимог безпеки організації, оскільки за цими показниками оцінюватиметься якість послуг, що надаються ними.

2. Види загроз і атак та їх прояви

Загрози самі по собі не виявляються. Всі загрози можуть бути реалізовані тільки при наявності  яких-небудь слабких місць - вразливостей, властивих об'єкту інформатизації. Уразливість - якась слабкість, яку можна використовувати для порушення інформаційної автоматизованої системи або яка міститься в ній. (ДСТУ ISO 7498-2-99 «Інформаційна технологія. Взаємозв'язок відкритих систем. Базова еталонна модель. Частина 1. Архітектура захисту інформації»). Особливу увагу при розгляді ІБ повинна приділятися джерел загроз, в якості яких можуть виступати як суб'єкти (особа), так і об'єктивні прояви. Причому самі джерела загроз можуть знаходитися як всередині об'єкта інформатизації - внутрішні, так і поза ним - зовнішні.