Види заходів протидії загрозам безпеки. Правові основи забезпечення безпеки інформаційних технологій
За навчальною програмою 2018 року
Урок 40-41
10
(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Основні об’єкти захисту інформації
Інформація з обмеженим доступом, тобто інформаційні ресурси, зокрема, ті, що містять відомості, які належать або до таємної, або до конфіденційної інформації
Технічні засоби приймання, обробки, зберігання та передання інформації: системи та засоби інформатизації; програмні засоби; автоматизовані системи керування тощо
Допоміжні технічні засоби і системи
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Важливими методами аналізу стану забезпечення інформаційної безпеки є методи описи і класифікації. Для здійснення ефективного захисту системи управління безпеки слід:
по-перше, описати
а лише потім класифікувати різні види загроз і небезпек, ризиків та викликів
і, відповідно, сформулювати систему заходів зі здійснення управління ними
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Як розповсюджені методи аналізу рівня забезпечення інформаційної безпеки використовуються методи дослідження причинних зв’язків.
За допомогою даних методів:
виявляються причинні зв’язки між загрозами та небезпеками;
здійснюється пошук причин, які стали джерелом і спричинили актуалізацію тих чи інших чинників небезпеки;
розробляються заходи щодо їх нейтралізації.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Серед методів причинних зв’язків можна назвати такі:
метод схожості,
метод розбіжності,
метод сполучення схожості й розбіжності,
метод супроводжувальних змін,
метод залишків.
10�(11)
Типи методів забезпечення інформаційної безпеки.
Розділ 2 § 5
Виділяють декілька типів методів забезпечення інформаційної безпеки:
однорівневі методи будуються на підставі одного принципу управління інформаційною безпекою;
багаторівневі методи будуються на основі декількох принципів управління інформаційною безпекою, кожний з яких слугує вирішенню власного завдання;
10�(11)
Типи методів забезпечення інформаційної безпеки.
Розділ 2 § 5
Продовження…
комплексні методи — багаторівневі технології, об’єднані у єдину систему координуючими функціями на організаційному рівні з метою забезпечення інформаційної безпеки, виходячи з аналізу сукупності чинників небезпеки, які мають семантичний зв’язок або генеруються з єдиного інформаційного центру інформаційного впливу;
інтегровані високоінтелектуальні методи — багаторівневі, багатокомпонентні технології, побудовані на підставі могутніх автоматизованих інтелектуальних засобів з організаційним управлінням
10�(11)
Концепція захисту інформації
Розділ 2 § 5
Розробку концепції захисту рекомендується проводити в три етапи:
І етап – визначення цінності об’єкта захисту інформації.
ІІ етап – аналіз потенційних дій зловмисників
ІІІ етап – оцінка надійності встановлених засобів захисту інформації на об’єкті.
На основі концепції безпеки інформації розробляються стратегія безпеки інформації та архітектура системи захисту інформації, а далі – політика безпеки інформації
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Види заходів протидії загрозам безпеки:
законодавчі (правові);
адміністративні;
організаційні (процедурні);
інженерно-технічні;
правові.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Правові заходи – розробка норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Інженерно-технічні засоби
установка систем захисту від збоїв в електроживленні
програмні засоби боротьби з вірусами
забезпечення захисту від розкрадань і диверсій
резервне копіювання та архівування особливо важливих документів
оснащення приміщень системою охоронної сигналізації
захист від несанкціонованого доступу до комп'ютерної системи
організація локальних обчислювальних мереж з можливістю перерозподілу ресурсів, у разі виходу з ладу окремих ланок
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Програмні засоби
Криптографічні засоби
спеціальні програми, програмні комплекси і системи захисту інформації в інформаційних системах різного призначення і засобах обробки даних (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу)
спеціальні математичні та алгоритмічні засоби захисту інформації, переданої по мережах зв'язку, збереженої та обробленої на комп'ютерах з використанням методів шифрування.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Система захисту інформації – це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Система захисту інформації повинна задовольняти такі умови:
бути надійною
бути нестандартною, різноманітною
бути комплексною, мати цілісність
бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу
бути простою для технічного обслуговування і зручною для експлуатації користувачами
охоплювати весь технологічний комплекс інформаційної діяльності
бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Принципи побудови системи безпеки інформації
безперервність захисту інформації;
активність, яка передбачає прогнозування дій зловмисника, розробку і реалізацію випереджаючих захисних заходів;
скритність, що виключає ознайомлення сторонніх осіб із засобами і технологією захисту інформації;
цілеспрямованість, яка передбачає зосередження зусиль щодо запобігання загроз найбільш цінної інформації;
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Продовження…
комплексне використання;
мінімізація додаткових завдань і вимог до співробітників організації, викликаних заходами щодо захисту інформації;
надійність;
обмежений і контрольований доступ;
безперервність роботи системи;
адаптованість (пристосовність) системи до змін навколишнього середовища.
10�(11)
Види заходів протидії�загрозам безпеки
Розділ 2 § 5
Розрізняють три шляхи захисту даних
Шляхи захисту даних
Захист доступу до комп’ютера
Захист даних на дисках
Захист даних в Інтернеті
10�(11)
Правові основи забезпечення безпеки інформаційних технологій
Розділ 2 § 5
На законодавчому рівні в Україні прийнято декілька законів і видано постанови Кабінету Міністрів щодо забезпечення інформаційної безпеки. Серед них можна назвати:
Закон України «Про інформацію»;
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
Закон України «Про державну таємницю»;
Закон України «Про захист персональних даних»,
Постанову Кабінету міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах».
9
Правові основи забезпечення безпеки інформаційних технологій
Розділ 2 § 5
Доктрина інформаційної безпеки України затверджена у лютому 2017 року
9
Правові основи забезпечення безпеки інформаційних технологій
Розділ 2 § 5
У прийнятих в Україні законодавчих нормах, вказується, зокрема, що захисту підлягає:
відкрита інформація, яка передається телекомунікаційними мережами;
конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених Законом України «Про доступ до публічної інформації»;
службова інформація;
інформація, яка становить державну або іншу передбачену законом таємницю;
інформація, вимога щодо захисту якої встановлена законом.
9
Правові основи забезпечення безпеки інформаційних технологій
Розділ 2 § 5
Незаконне втручання в роботу комп'ютерів, комп'ютерних мереж та розповсюдження вірусів тягне за собою кримінальну відповідальність
(Ст. 361 Кримінального кодексу України).
10�(11)