Законодавча, наукова та нормативно-методологічна база Законодавчі заходи щодо ЗІ-ї полягають у виконанні чинних у державі або у введенні нових законів, положень, постанов та інструкцій, які регулюють юридичну відповідальність посадових осіб, користувачів та обслуговуючого технічного персоналу за витік, втрату або модифікацію довіреної йому інформації, яка підлягає захисту, у тому числі за спроби виконувати аналогічні дії за межами своїх повноважень, а також відповідальність сторонніх осіб за спробу навмисного несанкціонованого доступу до інформації. Мета законодавчих заходів – це попередження правопорушень та покарання порушників Україна намагається не відставати від вимог сьогодення, тому у нашій державі на даний час прийнято ряд законодавчих актів та нормативних документів, які регламентують діяльність у сфері ЗІ. В повній мірі законодавче забезпечення врегульовано лише для державної таємниці. А для інших категорій інформації в чинних актах існують лише декларативні норми. Основними законодавчими актами та нормативними документами, що регламентують діяльність у сфері ЗІ є: Концепція(основи) державної політики національної безпеки України. 18 липня 1995р. Цим документом закладаються основи концептуального змісту державної політики національної безпеки. В концепції визначено головні об’єкти національної безпеки(громадянин, суспільство і держава), також в концепції визначені основні принципи забезпечення НБУ. Закон України про Інформацію. 2 жовтня 1992р. Даний закон встановлює загальні правові основи одержання, використання, поширення та зберігання інформації, закріплює право особи на інформацію у всіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, а також захищає особу та суспільство від неправдивої інформації. Суб’єктами інформаційних відносин є громадяни України, юридичні особи та держава. Згідно даного закону режими доступу до інформації – це передбачена правовими нормами методика одержання, використання, поширення та зберігання інформації. За режимом доступу інформація поділяється на: відкриту та інформацію з обмеженим доступом. З ОД інформація поділяється на конфіденційну і таємну. Конфіденційна інформація – це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і поширюється за їх бажанням відповідно до передбачених ними умов. До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству та державі. Право власності на інформацію – це врегульований законом суспільні відносини, щодо володіння, користування та розпорядження інформації. Закон України …. 21 січня 199?р. Цей закон регулює суспільні відносини, пов’язані із віднесенням інформації до державної таємниці засекречуванням, розсекречуванням їх матеріальних носіїв, та охороною державної таємниці з метою захисту НБУ. Державна таємниця – це вид таємної інформації, що охоплює відомості у сфері охорони, економіки, науки і техніки, зовнішніх відносин державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди НБУ та які визнані у порядку, встановленому цим законом державною таємницею і підлягають охороні держави. Віднесення інформації до державної таємниці – це процедура прийняття(державним експертом з питань таємниць) рішення про віднесення категорії відомостей або окремих відомостей до державної таємниці з встановлення ступеня їх секретності шляхом обґрунтування та визначення можливої шкоди НБУ у разі розголошення цих відомостей. Гриф секретності – це реквізит матеріального носія секретної інформації, що засвідчує ступінь секретності даної інформації Закон України про Захист інформації в автоматизованих системах. 5 травня 1994р. Метою закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання прав власності громадянина України та юридичних осіб на інформацію та права доступу до неї, а також встановлення чинним законодавством обмеження на доступ до інформації. Дія закону поширюється на будь-яку інформацію, що обробляється у автоматизованих системах. Автоматизована система – це система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки, засоби обчислювальної техніки і зв’язку, а також методи і процедури та програмне забезпечення. Інформація в АС – це сукупність усіх даних і програм, які використовуються в АС, незалежно від засобу їх фізичного і логічного представлення. Обробка інформації в АС – це вся сукупність операцій, що здійснюється за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. Захист інформації – це сукупність організаційно-технічних заходів і правових норм для запобігання заподіяння шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією. Несанкціонований доступ – це доступ до інформації, що здійснюється з порушенням встановлених АС правил розмежування доступу. Розпорядник АС – це фізична або юридична особа, яка має право розпоряджання АС за угодою з її власником або за його дорученням Персонал АС – це фізичні особи, яких власник АС або уповноважена ним особа, чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС. Користувач АС – це фізична або юридична особа, яка має право використання АС за угодою з розпорядником АС. Порушник – це фізична або юридична особа, яка навмисно чи ненавмисно здійснює неправомірні дії щодо інформації в АС, або щодо самої АС. Втрата інформації – це дія, в наслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому доступі. Витік інформації – це результат дії порушника в наслідок якої інформація стає відомою суб’єктам, що не мають права доступу до неї. Підробка інформації – це навмисні дії, що призводять до перекручення інформації, яка повинна зберігатися або оброблятись в АС. Блокування інформації – це дії, що призводять до припинення доступу до інформації Порушення роботи АС – це дії або обставини, які приводять до спотворення процесу обробки інформації Закон України про науково-технічну інформацію. 25 червня 1993р. Законом регулюються правові та економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, одержанні, використанні та поширенні науково-технічної інформації, а також визначаються правові форми міжнародного співробітництва у цій сфері. Дія закону поширюється на підприємства, установи та організації, незалежно від форм власності, а також громадян, які мають право на одержання, використання та поширення науково-технічної інформації. Дія закону не поширюється на інформацію, що містить державну та іншу таємницю, яка охороняється законом Указ президента України від 10 квітня 2000 року про «Заходи щодо захисту інформаційних ресурсів держави» Концепція технічного захисту інформації України, 8 жовтня 1997р. Положення про технічний захист інформації в Україні, 27 вересня 1999р. Положення про контроль та функціонування системи технічного захисту Інформації Положення про державну експертизу у сфері технічного захисту Інформації Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю в автоматизованих системах Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів, системи технічного ЗІ ДСТУ 3396 0-91 «Захист інформації. Технічний захист інформації. Основні положення» ДСТУ 33961-96 «Захист інформації. Технічний захист інформації. Порядок проведення робіт» ДБМ А.2.2-2-96 «Проектування. Технічний ЗІ. Загальні вимоги до організації, проектування та проектної документації для будівництва» Тимчасове положення про категоріювання об’єктів Загальні положення щодо ЗІ в КС від несанкціонованого доступу, НД ТЗІ 1.1-002-99 НДТЗІ 1.1-003-99, «Термінологія у галузі ЗІ в КС від НСД» НД ТЗІ 1.4-001-2000, «Типове положення про службу ЗІ в АС» НД ТЗІ 1.6-001-96, «Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ» НД ТЗІ 2.1-001-2001, «Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення» НД ТЗІ 2.5-004-99, «Критерії оцінки захищеності інформації в КС від НСД» НД ТЗІ 3.6-001-2000, «Технічний захист інформації. КС. Порядок створення комплексної системи ЗІ в АС» Звід відомостей що становлять державну таємницю Інструкція про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, що здійснюють підприємницьку діяльність у галузі криптографічного захисту, конфіденційної інформації, що є власністю держави, затверджена наказом Департаменту спеціальних телекомунікаційних систем та ЗІ СБУ.
2010-09-15 Практика №1 (3 мала бимсь бути) Інформація – відомості про об’єкти та явища навколишнього середовища, їхні параметри, властивості та стани, які зменшують наявну про них ступінь невизначеності чи неповноту знань Дані можуть розглядатись як ознаки або записані спостереження, які з будь-яких причин не використовуються, а лише запам’ятовуються(?). У випадку, якщо з’являється можливість використати ці дані для зменшення невизначеності будь-чого, тоді дані перетворюються у інформацію. При роботі з інформацією завжди є її джерело і споживач. Шляхи і процеси, що забезпечують передавання повідомлень від джерела інформації до її споживача називається інформаційними комунікаціями. Адекватність інформації – це певний рівень відповідності образу, що створюється за допомогою одержаної інформації реального об’єкту, процесу чи явищу. В житті навряд чи можна розраховувати на повну адекватність інформації, оскільки завжди присутня певна ступінь невизначеності. Від ступеня адекватності інформації до реального стану об’єкта або процесу залежить правильність прийняття рішень людини. Адекватність інформації може виражатись у трьох формах: синтаксичній, семантичній та прагматичній. Синтаксична адекватністьвідображає формальні структурні характеристики інформації і не зачепає її смислового змісту. На синтаксичному рівні враховується тип носія, спосіб передавання інформації, швидкість передавання і обробку, розміри кодів представлення інформації, надійність і точність перетворення цих кодів та інше. Інформацію, що розглядають тільки з синтаксичних позицій звичайно називають даними, оскільки при цьому немає значення її смислова сторона. Семантична (смислова) адекватність визначає ступінь відповідності опису об’єкта і самого об’єкта та передбачає врахування смислового змісту інформації. Ця форма служить для формування понять та уявлень, виявлення суті, змісту інформації та її узагальнення. Прагматична (споживацька) адекватність відображає відносини інформації та її споживача, відповідність інформації меті управління, яка реалізується на її основі. Ця форма адекватності безпосередньо пов’язана з практичним використанням інформації, з відповідністю її цільової функції діяльності системи. Міри інформації Для вимірювання інформації вводяться два поняття: кількість інформації та об’єм даних. Ці параметри мають різні вирази та інтерпретацію, залежно від форм адекватності. Для синтаксичної міри інформації міра кількості інформації оперує із знеособленою інформацією, яка не виражає смислового відношення до об’єкту. Об’єм даних () у повідомлені вимірюється кількістю символів(розрядів) у цьому повідомленні. У різних системах числення один розряд має різну вагу і відповідно міняється одиниця вимірювання даних. У двійковій системі числення це – біт, у десятковій – діт.Кількість інформації(I) на синтаксичному рівні неможливо визначити без розміру поняття невизначеності стану системи(ентропія). Нехай до одержання деякої інформації користувач має попереднє(апріорні) відомості про систему . Мірою його необізнаності є функція , яка в той же час служить і мірою невизначеності стану системи. Після одержання деякого повідомлення одержувач здобув додаткову інформацію , що зменшила його апріорну необізнаність так, що апостеріорна(після одержання повідомлення ) стала рівною . Тоді кількість інформації про систему, одержаної в повідомленні визначається згідно формули:
Тобто кількість інформації вимірюється мірою невизначеності стану системи. Якщо кінцева невизначеність стане рівною 0, то первинне неповне знання заміниться повним і кількість інформації: . Іншими словами ентропія системи може розглядатись як міра відсутності інформації. Ентропія системи , що має Nможливих станів відповідно до формули Шенона обчислюється:
де – ймовірність того, що система знаходиться в i-тому стані. У випадку, якщо всі стани системи є рівно ймовірними, тобто , тоді ентропія визначається так:
Досить часто інформація кодується числовими кодами у тій чи іншій системі числення. Особливо це актуально при передачі інформації в ПК. Одна й та ж кількість розрядів у різних системах числення може передавати різне число станів відображуваного об’єкта, що можна представити у вигляді такого співвідношення: , де N – це кількість можливих станів, m – це основа системи числення(різноманіття символів, що застосовується в алфавіті), n–число розрядів у повідомленні. Коефіцієнт(ступінь) інформативності(лаконічність) повідомлення визначається відношенням кількості інформації до об’єму даних , при чому . Із збільшенням Yзменшується об’єми роботи з перетворення інформації(даних) у системі, тому прагнуть до підвищення інформативності, для чого розробляються спец. методи оптимального кодування інформації. Для вимірювання смислового змісту інформації, тобто її кількості на семантичному рівні, найбільше визнання одержала Тезарусна міра, яка зв’язує семантичні властивості інформації із здатністю користувача сприймати повідомлення що надійшли. Тезарус – це сукупність відомостей, якими володіє користувач або система. Залежно від співвідношення між смисловим змістом інформації і тезаурусом змінюється кількість семантичної інформації (), що сприймається користувачем і включається ним в подальшому у свій тезаурус. Максимальну кількість семантичної інформації користувач здобуває при узгодженні її смислового змісту Sзі своїм тезаурусом Sp, тобто коли інформація, що надходить, є зрозумілою користувачеві, і несе йому раніше невідомі відсутні у його тезарусі відомості. Таким чином кількість семантичної інформації у повідомленні(тобто кількість нових знань, одержаних користувачем) є величиною відносною. Одне і те ж повідомлення може мати смисловий зміст для компетентного користувача і бути безглуздим(семантичний шум) для некомпетентного. При оцінюванні семантичного спектру інформації необхідно прагнути до узгодження величин Sі Sp. Відносною мірою кількості семантичної інформації може правити коефіцієнт змістовності C, який визначається як відношення кількості семантичної інформації до її об’єму.
Лекція 2010-09-21 Ємець прихворів Основи побудови КС санкціонованого доступу Механізми, що забезпечують контроль є подібними з іншими механізмами ІБ, а саме: субєкт для доступу до обє'кта, повинен бути однозначно ідентифікований, автентифікований та авторизований. Людські дії можуть бути розподілені в часі і проконтрольовані людьми у режимі близького до реального часу аж до прибуття СБ до місця події в момент злочину Сучасні системи контролю фізичного доступу як правило мають: 1. Система охорони периметру 2. Контролю та керування доступ 3. Охорона і сигналізація 4. Збереження Якщо бюджет дозволяє, то ці системи можна інтегрувати в єдину систему - систему керування будівлею, призначенням якої буде не лише контроль доступом, а й облік всіх подій та реєстрацію переміщення авторизованих осіб Роботи по впровадженню АССД є складними тому повинні виконуватися лише спецами Основні терміни Найбільш важливі терміни з ІБ у світовій практиці та які стосуються систем СД: Автоматизована система - це система, що об'єднує обчислювальну систему, фізичне середовище, персонал, інформацію, що обробляється Безпека інформації - це стан інформації, при якому виключається можливість ознайомлення з інформацією. Ознайомлення з даною інформацією, її модифікація чи знищення корист., які не мають певних повноважень, за рахунок ЕМ наведень, спецзасобів перехоплення чи знищення при передачі цієї і. Безпека продукції - відсутність недопустимого ризику, пов'язаного з можливістю нанесення збитків Власник - особа чи організація, яка відповідає за певні інф. ресурсів та за реалізацію необх засобів захисту ЗІ - сукупність захисту, направлений на забезпечення цілісності І а також доступність І, для користувачів, які мають відповідні повноваження Комерційна таємниця - відомості конфіденційного хру, розголошення яких може нанести матеріальний чи моральний збиток її власникам чи користувачам Організація - група людей, які спільно відповідають за виконання робіт та обов'язків Мета ЗІ: зведення до мінімуму втрат у керуванні, які м.б. викликані порушенням цілісності даних, їх конфіденційності або недоступності інформації, для користувачів і-або процесів, які мають на це відповідні повноваження. Цінність - властивість І-ї, яка х-зує можливі збитки власника, в наслідок отримання цієї І конкурентами Уразливість - це можливість виявлення х-рної особливості та недоліків об'єкта захисту, які можуть полегшити проникнення зл. до ресурсів АС Конфіденційна І - це І-я, яка являє собою комерційну або особисту таємницю та охороняється власником Нетаємна - не є державною, службовою чи комерційною, особистою таємницею, яка м.б. опублікована у вільному друці. Загрози І-ї - це потенційно несприятливі впливи на І-ю, які приводять до порушення фундаментальних властивостей захищеної І-ї Ефективність - степінь досягнутого рівня захищеності ін-ї поставленій меті Система - комплекс ОТЗ, спрямованих на виявлення, підбиття та ліквідації загроз б.я. виду. Об'єкт - це сукупність будівель чи приміщень, з розміщеними у них ТЗ обробки, передачі І, об'єднана єдиними інформаційними потоками Одинарний об'єкт захисту - конкретний носій І-ї, що являє собою єдине ціле та призначений до виконання визначених ф-й. До них відносять людей, що володіють секретами, технічні засоби обробки І, виділені будівлі та приміщення, а також допоміжні ТЗ та системи, які піддаються впливу І фізичних полів Груповий об'єкт захисту - це структурне об'єднання одинарних об'єктів, які потребують захисту, а також і таких, що не потребують призначених для сумісного виконання визначених функцій Режимне підприємство - це ГрОбЗахисту, який являє собою підприємство, І-ю про діяльність якого потребують З. від технічних розладів Охоронна зона об'єкту - це територія, на якій приймаються міри попередженню, проникненню на об'єкт порушників, які здатні спричинити шкоду АС Рубежі захисту - ств. на об'єкті за допомогою правових, організаційних та техзасобів процедури які попереджують НСД Засоби контролю керуванням доступом - це механічні, ел-мех, електричні, електронні пристрої, конструкції та ПЗасоби, які забезпечують реалізацію контролю доступом Доступ - переміщення осіб, транспорту чи інших об'єктів в/з приміщення, зони, території Розмежування доступу - це порядок використання ресурсів системи при якому суб'єкти отримують доступ до об'єктів у строгій відповідності до правил Рівень доступу - сукупність часових інтервалів доступу(вікон часу та точок) які призначаються визначеній особі або групі осіб, що мають доступ заданої точки доступу в задані часові інтервали Точка доступу - місце де безпосередньо здійснюється контроль доступу Зона доступу - це сукупність точок доступу, пов'язаних спілб…batterylow =) 2010-09-28 Лекція Віва Надія Любов = ВНЛ.. Бодько поправляє: «Яка Віва?!». Я поправляюсь: «Віра)))» Перш за все при організації комплексної системи безпеки підприємства необхідна чітка та цілеспрямована організація діяльності та дотримання цілого ряду напрацьованих фахівцями принципів. Найбільш важливим таким принципом є принцип неперервності вдосконалення та розвитку систем інформаційної безпеки. Сутність даного принципу полягає у постійному контролі функціонування комплексної системи захисту АС, виявлення її слабких місць усіх найбільш можливих каналів витоку інформації, можливих каналів несанкціонованого доступу та в разі потреби постійне оновлення, модифікація та доповнення механізмів захисту в залежності від зміни характеру зовнішніх та внутрішніх загроз та реалізація на цій основі найбільш раціональних принципів, методів, способів та шляхів вирішення питання комплексного захисту інформації. Отже згідно цього принципу забезпечення комплексної системи безпеки підприємства не є одноразовим актом. Також важливе значення має принцип комплексного використання всіх наявних методів, органів, засобів та заходів щодо забезпечення захисту інформації від розголошення, витоку, модифікації, втрати та несанкціонованого доступу. Якщо підходити з позиції системності, то для реалізації наведених принципів система безпеки підприємства повинна бути: Комплексною – для реалізації захисту повинні використовуватися всі види та форми захисту у повному об’ємі. Недопустимо використовувати лише окремі форми або технічні засоби, оскільки захист – це специфічне явище, яке являє собою складну систему нерозривно взаємозв’язаних та взаємозалежних процесів Централізованою – тобто сам процес керування завжди повинен бути централізованим, а структура системи, яка реалізує цей процес повинна відповідати структурі об’єкта, що захищається Плановою – планування здійснюється для організації взаємодії всіх підрозділів об’єкту з метою реалізації зрозумілої політики безпеки, тобто кожне відділення, підрозділ чи напрямок повинні мати детально розроблені плани захисту інформації у сфері своєї компетенції з врахуванням загальної мети підприємства Конкретною та цілеспрямованою – захисту підлягають абсолютно всі конкретні інформаційні ресурси. які можуть викликати інтерес для зловмисників чи конкурентів Активною – захист інформації повинен відбуватися з достатньою наполегливістю та цілеспрямованістю, тому в системі інформаційної безпеки необхідно передбачити наявність засобів прогнозування , експертних систем та інших інструментаріїв, які дозволяють поряд з виявленням та усуненням вже реальної загрози передбачати можливу загрозу та її попереджувати Надійною та універсальною, що охоплює весь технологічний комплекс інформаційної діяльності об’єкта, тобто всі методи, засоби та заходи захисту повинні по максимуму перекривати всі можливі канали витоку інформації та протидіяти спробам несанкціонованого доступу Нестандартною у порівнянні з іншими організаціями, тобто система захисту повинна бути різноплановою по підходах, засобах та заходах, що використовуються Відкритою для модифікації та доповнення мір забезпечення безпеки інформації Економічно-ефективною, тобто витрати на систему захисту не повинні перевищувати розміри від можливих втрат від зловмисників Засоби захисту повинні бути простими для технічного обслуговування та зрозумілими для користувачів Кожен користувач повинен мати мінімальний набір привілеїв, які необхідні для виконання ним своїх функціональних обов’язків. Можливість відключення захисту у особливих випадках, наприклад коли механізми захисту реально заважають виконанню нормальної роботи організації, її окремих підрозділів, чи співробітників і коли це відключення не призведе до загроз втрати чи модифікації інформації Зловіще!!!Незалежність системи захисту від суб’єктів захисту При побудові системи захисту розробники повинні вважати, що користувачі мають найбільш погані наміри та що вони будуть створювати серйозні помилки, та шукати різні можливі способи обходу механізмів захисту Етапи створення комплексної системи санкціонованого доступу Згідно міжнародної практики, при побудові КССД в першу чергу необхідно визначити що є інтелектуальною власністю. З точки зору біології людини, інтелектуальною власністю є інформаційні ресурси, знання, які допомагають йому ефективно розробляти та виготовляти нову продукцію, вигідно продавати товар, або яким-небудь іншим способом збільшувати свій прибуток. Спосіб керування виробництвом, технологічний процес, список клієнтів, аналіз конкурентоздатності, – це лише деякі приклади з цього. Отже, якщо розробник КССД не володіє відомостями, що складають інтелектуальну власність, – це вже перший крок до фінансових, матеріальних та моральних втрат, тому саме з цього необхідно починати створення КССД. Незалежно від форми організації напрямки її діяльності, специфіки її АС, подальшими етапами для розробника повинні бути: Визначення границь керування ІБ об’єкта Аналіз уразливостей, тобто визначення можливих каналів витоку інформації, шляхів та способів несанкціонованого доступу, ймовірність реалізації загрози, модель можливих дій зловмисника, оцінка можливих втрат та наслідків Вибір оптимальних заходів, які забезпечують ІБ. Визначення політики ІБ Перевірка реалізованої системи захисту, а саме оцінка ефективності варіантів побудови та тестування системи Складання плану захисту Реалізації складеного плану захисту, тобто керування системою захисту Отже основним і найбільш відповідальним завданням, яке ставиться перед спеціалістом, що буде реалізовувати комплексний захист є найбільш повний аналіз можливих загроз, аналіз слабких місць підприємства з точки зору несанкціонованого доступу та їх ефективне усунення. Кожен етап створення КС захисту можна подати у вигляді наступної таблиці Мета, задачі, принципи побудови та основні вимоги до КССЗ Основні етапи побудови КС безпеки Результати дій на етапах побудови КС безпеки
Визначеня інформації, яка є інтелектуальною власністю інформації Список відомостей, що становлять комерційну таємницю та список організацій чи осіб, яких ці відомості можуть цікавити
Визначення границь керування ІБ Деталізована модель об’єкта, яка відображала б усі можливі точки атаки
Аналіз уразливостей Можливі варіанти протиправних послідовностей, ранжирування джерел загроз та уразливостей, прийняття стратегії керування ризиками
Вибір оптимальних заходів забезпечення безпеки визначення політики безпеки Правові, морально-етичні, організаційні та інженерно-технічні заходи захисту
Перевірка ефективності реалізованої системи Формування системи ІБ на основі результатів оцінювання ефективності та тестування
Складання плану захисту Пакет документів по побудові системи ІБ та реалізації політики безпеки
Реалізація плану захисту Монтаж та налагодження комплексної системи захисту та керування нею
При побудові реальних КССД максимального ефекту можна досягнути поєднавши усі доступні методи та засоби захисту в єдину систему з оптимальною взаємодією між ними. Також повинен здійснюватися постійний контроль та аналіз реалізованої системи захисту на відповідність поставленим вимогам, а також в разі потреби і її модифікація чи доповнення. Отже перед початком побудови КССД визначаються всі можливі точки. Тобто спочатку треба виконати інвентаризацію, збір даних об’єкта в цілому про інформаційні потоки, які існують на підприємстві, добре знати структуру АС. Для цього на даному етапі необхідно зібрати наступні відомості: Перелік відомостей, які складають інформаційну та службову таємницю Організаційно-штатна структура підприємства чи організації Характеристика та план об’єкта, розміщення засобів обчислювальної техніки та інфраструктури, яка їх підтримує Розробникам КССД необхідно мати план підприємства, з розташуванням адміністративних будівель, виробничих та допоміжних приміщень, площадок, складів, стендів. Також на плані додатково необхідно вказати структуру та склад АС; приміщення, в яких розташовані технічні засоби обробки критичної інформації з детальним вказанням їх розташування. Максимальне знання елементів системи дозволяє виділити критичні ресурси та визначити степінь локалізації майбутньої системи санкціонованого доступу. Така інвентаризація ресурсів АС повинна проводитись з подальшим урахуванням їх уразливостей. Чим вища якість робіт на даному етапі, тим більша буде ефективність на наступних етапах. В результаті виконавчої роботи повинен бути складений документ, в якому зафіксовані границі системи, зафіксовані ресурси, що підлягають захисту, подана система критеріїв. В ідеалі для таких умов повинна містити інформаційно-логічна модель захисту, яка б ілюструвала технологію обробки критичної інформації з виділенням критичних точок вразливостей та поданням детальної характеристики кожної такої точки. Така модель буде базовою для успішної реалізації КССД
Практика 2010-09-29 Задача 1.
Задача 3. Спочатку ентропія = 10, а апостеріорна невизначеність = 6. Після одержання деякого повідомлення.
,
Задача 4. Спочатку ентропія = 22 біти, апостеріорна = 10, в результаті отримання деякого повідомлення об’єм даних, якого = 20 біт, апостеріорна невизначеність зменшилась в 2 рази. Чому дорівнює коефіцієнт інформативності отриманого повідомлення.
Задача 5.
Як змінилась кількість інформації?
Задача 6. Спочатку ентропія системи = 17 біт. В результаті отримання повідомлення об’єм даних, який = 20 біт, первинне неповне знання замінилось повним. Чому дорівнює коефіцієнт інформативності в такому повідомленні?
2010-10-05 Лекція Кожне підприємство прагне захистити від різноманітних загроз, які можуть призвести до значної шкоди або повного припинення діяльності підприємства шляхом створення відповідної комплексної системи безпеки. Безпека підприємства – це створення таких умов діяльності, які надійно захищають від можливого впливу від загроз різноманітного характеру. Спеціаліст, який має намір виконувати побудову КССД повинен пам’ятати, що всі ланки повинні бути ефективно захищені. Якщо в системі хоча б 1 з ланок буде мати дирочки, то інші ланки не зможуть ефективно протидіяти загрозам, навіть якщо ця протидія для цих ланок буде організована належним чином. Задача побудови КССД на кожному підприємстві вирішується по різному, оскільки в діяльності кожного підприємства існує своя специфіка, а відповідно є різні об’єкти захисту. Перш за все шляхи створення такої системи залежать від того, яким саме видом діяльності займається підприємства, а також від стану, в якому знаходяться об’єкти, що підлягатимуть захисту: обговорення намірів, розроблення проектів, будівництво чи експлуатація. Як свідчить практика, основою побудови КССД найкраще закладати при проектуванні, будівництві чи капітальному ремонті об’єктів підприємства. На цих етапах є найкращі можливості для повноцінного врахування поставлених задач захисту. Сучасних вимог безпечної діяльності підприємства, ефективного захисту працівників, комерційної таємниці, та матеріальної цінності. Також на даному етапі роботи можуть бути більш дешевими та ефективними. На підприємствах, що експлуатуються, здійснювати побудову КССД набагато складніше, оскільки це може заважати повноцінній виробничій діяльності, в такому випадку побудова системи захисту повинна виконуватися поступово, починаючи з найбільш важливих ділянок, та з врахуванням того, що така діяльність не заважала функціонувати підприємству. Процес аналізу джерела загроз включає в себе перш за все визначення того, що необхідно захищати, від кого чи чого захищати та як саме такий захист здійснювати. Виконуючи такий аналіз необхідно розглянути всі можливі джерела загроз та провести їх ранжирування. Перш за все всі заходи захисту, котрі виконуються на підприємстві спрямовуються на те, щоб не допустити втрати інформаційних ресурсів. Можливе зацікавлення з боку конкурентів чи зловмисників. Всі шкідливі дії можуть бути здійснені лише при наявності так званих уразливостей, якщо є можливими такі дії, то отже є велика ймовірність їх здійснення зловмисником, а також є можливість джерела їх витоку, тобто виникає такий ланцюжок:
Фактор (уразливість) – властиві об’єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об’єкті та зумовлені вадами процесу функціонування об’єкту інформатизації, властивостями архітектури, інформаціно-телекомунікаційної системи, протоколами обміну, інтерфейсами, що застосовуються, програмним забезпеченням, апаратними засобами та умовами експлуатації Загроза – небезпека (потенційна, або така, що існує реально), вчиненням будь-якого діяння або бездіяльності, спрямованого проти об’єкта захисту, яке наносить збиток власнику або користувачу АС, що проявляється як небезпека спотворення або втрати інформації Наслідки – це можливі наслідки реалізації загрози(можливі дії при взаємодії джерела загрози через наявні фактори), що приводить до можливих загроз або збитків. Маючи формальний набір джерел конфіденційної інформації та способів реалізації несанкціонованого доступу можна побудувати формальну модель взаємозв’язку джерел та способів на якісному рівні з певним степенем умовності. Таку модель прийнято вважати узагальненою моделлю до джерел конфіденційної інформації. Сама степінь небезпеки оцінюється не кількістю можливих джерел, а нанесеним збитком. До основних видів загроз підприємства можна віднести наступні: Розкриття конфіденційної інформації, прослуховування каналів локальної мережі і т.д. Викрадення матеріальних ресурсів та носіїв інформації Компроментація інформації – це внесення несанкціонованих змін у бази даних, що приводить до відмови користувача до інформації або витрачання додаткових зусиль для виявлення таких змін Несанкціоноване використання ресурсів обчислювальної мережі Несанкціонований облік інформації Відмова у обслуговуванні, яка проявляється в затримці з наданням ресурсів в мережі абоненту Аналіз можливих збитків від дій зловмисників Зловмисник – суб’єкт який здійснює злочинні дії, виходячи зі своїх корисних мотивів. Збитки – це майнові чи інші наслідки для власника, які виникли в наслідок правопорушення або інших дій та проявляються у вигляді знищення ресурсів, недоодержання прибутку, який би міг одержати власник, якщо дане правопорушення не відбулося.
2010-10-19 Загальні положення про автоматизовані системи управління доступом У сучасному розвинутому інтелектуальному та (Бодя питав мене не вчасно про те, на чому він завершив минулу лекцію))) для контролю та обмеження захисту на об’єкти широко використовується автоматизовані системи управління доступом(АСУД). Такі системи призначені для забезпечення санкціонованого проходу в приміщення та зони, які охороняються. Головним напрямком розвитку АСУД є їх інтелектуалізація, передача максимально можливої кількості функцій, по збору, обробці інформації і ухваленню рішень апаратним засобам та АСУД та комп’ютерам. Звільнення людини від рутинної праці, особливо важливе в процесі забезпечення безпеки об’єктів, де ціна помилки , а самом елементарної неуважності – є досить великою. З іншого боку важливо забезпечити працівника служби безпеки повною і точною інформацією про події, що відбуваються на об’єкті і зручними засобами для безпомилкового та своєчасного ухвалення оперативних рішень. Сучасні АСУД реалізують множину функцій: контроль доступу контроль присутності регулювання потоку відвідувачів облік часу перебування контроль в’їзду керування дверима Системою управління доступом(СУД) називається сукупність програмно-технічних засобів і організаційно-методичних заходів, за допомогою яких вирішуються завдання контролю та керування відвідинами окремих приміщень, а також оперативний контроль за персоналом і часом його знаходження на території об’єкту. СУД прийшли тривалий еволюційний шлях – від простих кодонаборних пристроїв, що керували дверним замком, до складних комп’ютерних систем, що охоплюють комплекси будівель віддалених одна від одної. Для спрощення входу господарів у приміщення, що охороняється бажано певним чином ідентифікувати кожну особу, для цього кожному користувачеві видають деякий ідентифікатор. В загальному випадку управління доступом можна поділити на 2 умовні частини: Управління первинним проходом на територію, що охороняється Управління переміщенням по території, що охороняється Якщо всередині однієї території, що охороняється, знаходиться інша, що охороняється більш строго, то кількість поділів відповідно подвоюється. Задача первинного контролю полягає у відсіканні тих, до кого не можуть бути застосовані методи вогнепальної зброї або кусачкиавторизаційні правила, тобто тих, у кого на території немає жодних прав доступу, а також забезпечити, щоб на територію не були пронесені заборонені предмети, а також ряд інших функцій. Наприклад, про прийняття рішення, при підозрі, що дана перепустка належить іншій особі. Найбільш відомі механізми у даному випадку: Турнікети та металеві ворота, що забезпечують розділення людського потоку на окремі персони Шлюзові кабінки, що забезпечують прохід строго по особі, без можливості супроводжуючого змусити авторизованого співробітника до сумісного проходу через контрольовані ворота Металошукачі, бажано з можливістю налаштування на габарити металевих предметів, що проносяться, щоб відсіяти небажані предмети та однозначно їх ідентифікувати Пристрої для просвітлення. Необхідно лише визначити – чи будуть дані пристрої безпечними для світло та магніточутливих матеріалів, чи навпаки – зможуть вивести ці предмети з ладу (у такому випадку необхідно попередити про повідомлення про наявність таких матеріалів та здачу їх на збереження чи аналіз) Переговорні пристрої. Використовуються, якщо … … Задача контролю переміщення полягаю в тому, щоб ідентифікувати, автентифікувати суб’єкта, що робить запит на прохід та використати для нього авторизаційні права, в результаті яких пропустити його, чи заборонити йому прохід на територію чи в приміщення. При проектування систем контролю переміщення варто враховувати необхідність застосування до об’єкта єдиної політики доступу, не залежно від того якій частині робиться запит на доступ. Це означає, що по-перше, політика повинна бути створена та збережена в одному місці для забезпечення єдиного образу використання, а по-друге єдина політика повинна бути розприділена по кількох пристроях для забезпечення продовження роботи при виході з ладу центрального сервера політики. Додатково необхідно передбачити формат реєстрації переміщень, суб’єктів по території об’єкту, що охороняється, в єдиному електронному журналі, можливості аналізу цього журналу, а також його інтеграцію з іншими журналами, наприклад з журналом доступу в комп’ютерну мережу. Авторизаційна політика повинна не лише визначати, чи доступ суб’єкту є дозволений або заборонений, але й фіксувати дату, день часу та доби, а також напрямок проходу(наприклад, заборона виходу, якщо не фіксувався вхід). Крім того в системі необхідно передбачити сповіщення на екран чергового співробітника(або якісь інакші варіанти) у випадку, якщо прохідні двері залишаються відкритими на протязі проміжку часу, більшого чи необхідного для проходу. Можливо ще варто врахувати зміни політики для масових явищ: ігнорування заборон та відкривання дверей у випадку пожежі, або ігнорування дозволів на закривання дверей, у випадку виявлення зловмисника. Також важливим моментом є забезпечення відповідальної особи так званими майстр-ключами(ключами безумовного проходу) на випадок збоїв системи, та вести жорсткий контроль за цими ключами, їх зберігання та використання. Для приміщень, в яких обмежений лише є вхід, а вихід дозволений усім, хто зайшов, необхідно мати на виході не зчитувач, а лише код до відривальних дверей. Ідентифікатор – це пристрій, який визначає, чи користувач має право проходу, чи ні. Ідентифікаторами можуть бути магнітні картки , безконтактні проксіміки, вилки контактної …, радіовилки, відбиток пальця, долоні, зображення райдужної оболонки та інші фізичні ознаки. Кожен маркер характеризується певним унікальним двійковим кодом. У системі кожному коду ставиться у відповідність інформація про права і привілеї власника ідентифікатора. Типовий об’єкт – це будівля чи група приміщень будівель, які мають спільний вхід(вхідні двері), прохідна, тамбор і т.д., які знаходяться під контролем(спостереженням) служби охорони. КССД використовуються для контролю коду на об’єкт, об’єктів контролю, а саме групи приміщень, суб’єктів контролю Об’єктами контролю є: Спеціальні приміщення – це приміщення, доступ до яких є обмеженим, та для яких необхідно ввести протокол контролю проходження персоналу. Такими приміщеннями є кабінети керівника, зал для проведення переговорів, приміщення з матеріальними та інформаційними цінностями і обладнанням, архіви, АТС Виділення приміщення – це приміщення, для яких введення протоколу контролю проходження персоналу не є обов’язковим. Це можуть бути робочі та технологічні приміщення; приміщення з рівнем доступу, які можуть змінюватись протягом для Приміщення рівного доступу Суб’єктами контролю є: Співробітники підприємства Відвідувачі Зловмисники До складу АСУД входять серваки АСУД, які як правило є звичайними комп’ютерами, контролерами, які керуються АСУДом, та сукупність різноманітних виконавчих механізмів. Якщо розглядати АСУД в цілому, то її робота зводиться до зчитування інформації про користувача. Such information is saving accordingly and is being passed to the controller, which analyses it and accepts decisions about controlling of the executive decision.
