1 of 22

Об'єкти захисту. Види заходів протидії загрозам безпеки. Переваги та недоліки різних видів заходів захисту

Інформаційна безпека. Урок 5

2 of 22

  • Які є стратегії захисту інформації від загроз.
  • Що є об'єктами захисту.
  • Які заходи протидії загрозам безпеки.
  • Основні принципи побудови системи безпеки інформації.

Пригадайте:

Ви дізнаєтеся:

  1. Що таке загроза безпеки? Назвіть основні типи загроз.
  2. Поясніть суть ненавмисних штучних загроз.
  3. Поясніть суть навмисних штучних загроз?
  4. Які види шкідливого програмного забезпечення Ви знаєте? 
  5. Що таке захист інформації?

3 of 22

Найслабша ланка інформаційної безпеки - людина

Інформаційна безпека АС залежить не тільки від комп’ютерів, але й від інфраструктури, що її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал.

Для захисту інформаційних систем створюються системи (комплекси) захисту інформації

Система інформаційної безпеки має свої мету, задачі, методи і засоби діяльності, що узгоджуються за місцем і часом, залежно від умов.

Захист інформаційних систем

4 of 22

Стратегія інформаційного захисту

Найважливішою особливістю загальної стратегії інформаційного захисту є дослідження системи безпеки.

Можна виділити два основних напрямки:

  • аналіз засобів захисту;
  • визначення факту вторгнення.

5 of 22

Концепція захисту інформації

Розробку концепції захисту рекомендується проводити в три етапи:

  • І етап – визначення цінності об’єкта захисту інформації.
  • ІІ етап – аналіз потенційних дій зловмисників
  • ІІІ етап – оцінка надійності встановлених засобів захисту інформації на об’єкті.

На основі концепції безпеки інформації розробляються стратегія безпеки інформації та архітектура системи захисту інформації, а далі – політика безпеки інформації

6 of 22

Стратегії захисту

  1. Нікого не впускати. Це повна ізоляція. Вона забезпечує найкращий захист, але перешкоджає використанню інформації або послуг від інших, і передачі їх іншим користувачам. Це непрактично для всіх.
  2. Не впускати порушників. Програми всередині цього захисту можуть бути легковірними. Це дозволяє зробити електронні цифрові підписи програм і міжмережеві екрани (МЕ).
  3. Пустити порушників, але перешкодити їм в заподіянні шкоди. Традиційним способом захисту служить динамічне ПЗ типу sandboxing, що створює в компʼютері захищений простір (sandbox), в якому може виконуватися підозрілий код, і в типовому випадку використовує контроль доступу до ресурсів, щоб визначити порушення.
  4. Захопити порушників і переслідувати їх. Це роблять аудит і силові структури

7 of 22

Види заходів протидії загрозам безпеки

  • законодавчі (правові) заходи забезпечення інформаційної безпеки (нормативні документи, положення, інструкції);
  • адміністративні заходи (реалізація захисту інформації здійснюється певними структурними одиницями – такими, як служба захисту документів; служба режиму, допуску, охорони; служба захисту інформації технічними засобами; інформаційно-аналітична діяльність і ін.);
  • організаційні (процедурні) заходи (заходи безпеки, орієнтовані на людей);
  • інженерно-технічні заходи.

8 of 22

Правові заходи

  • розробка норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства.

Організаційно-адміністративні заходи

Охорона комп'ютерних систем, підбір персоналу, забезпечення того, щоб неперевірені особи не допускалися до інформації, що охороняється; виключення випадків ведення особливо важливих робіт тільки однією людиною, обладнання приміщень системою кодових замків, щоб в цю кімнату міг увійти тільки людина, яка знає код, що відкриває двері.

9 of 22

Інженерно-технічні засоби

  • захист від несанкціонованого доступу до комп'ютерної системи,
  • програмні засоби боротьби з вірусами;
  • резервне копіювання та архівування особливо важливих документів;
  • забезпечення захисту від розкрадань і диверсій,
  • оснащення приміщень системою охоронної сигналізації;
  • установка систем захисту від збоїв в електроживленні;
  • організація локальних обчислювальних мереж з можливістю перерозподілу ресурсів, у разі виходу з ладу окремих ланок.

10 of 22

Засоби захисту

Засоби фізичного захисту: засоби захисту кабельної системи, систем електроживлення, засоби архівації і т. д.

а) забезпечення безпеки приміщень, де встановлені сервери з урахуванням вимог до надійності будівель, температурі і вологості, наявності засобів пожежогасіння;

б) заходи щодо обмеження фізичного доступу до комп'ютерних систем та мережевої інфраструктури сторонніх осіб, які можуть зупинити, перезавантажити і навіть перевстановити сервер, вкрасти жорсткі диски, встановити розвідувальну апаратуру і програмне забезпечення.

До апаратних засобів відносяться прилади, пристрої, пристосування та інші технічні рішення, які використовуються в інтересах забезпечення безпеки.

11 of 22

Засоби захисту

Криптографічні засоби - це спеціальні математичні та алгоритмічні засоби захисту інформації, переданої по мережах зв'язку, збереженої та обробленої на комп'ютерах з використанням методів шифрування.

Програмні засоби - це спеціальні програми, програмні комплекси і системи захисту інформації в інформаційних системах різного призначення і засобах обробки даних (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу)

12 of 22

Система захисту інформації

Система захисту інформації – це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.

Система технічного захисту інформації - сукупність організаційних структур, нормативно-правових документів та матеріально-технічної бази (МТБ).

13 of 22

Система захисту інформації повинна задовольняти такі умови:

  • охоплювати весь технологічний комплекс інформаційної діяльності;
  • бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;
  • бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
  • бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;
  • бути простою для технічного обслуговування і зручною для експлуатації користувачами;
  • бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;
  • бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієї системи.

14 of 22

Вимоги до системи безпеки

інформації

  • чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;
  • надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;
  • зведення до мінімуму кількості спільних для декількох користувачів засобів захисту;
  • облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;
  • забезпечення оцінювання ступеня конфіденційної інформації;
  • забезпечення контролю цілісності засобів захисту і негайне реагування на вихід їх з ладу.

15 of 22

Приципи побудови системи �безпеки інформації

  • безперервність захисту інформації. Характеризується постійною готовністю системи захисту до відбиття загроз інформаційній безпеці в будь-який час;
  • активність, яка передбачає прогнозування дій зловмисника, розробку і реалізацію випереджаючих захисних заходів;
  • скритність, що виключає ознайомлення сторонніх осіб із засобами і технологією захисту інформації;
  • цілеспрямованість, яка передбачає зосередження зусиль щодо запобігання загроз найбільш цінної інформації
  • комплексне використання різних способів і засобів захисту інформації, що дозволяє компенсувати недоліки одних перевагами інших.

16 of 22

Приципи побудови системи �безпеки інформації

- мінімізація додаткових завдань і вимог до співробітників організації, викликаних заходами щодо захисту інформації;

- надійність в роботі технічних засобів системи, що виключає як не реагування на погрози (пропуски загроз) інформаційної безпеки, так і помилкові реакції при їх відсутності;

- обмежений і контрольований доступ до елементів системи забезпечення інформаційної безпеки;

- безперервність роботи системи в будь-яких умовах функціонування обʼєкта захисту, в тому числі, наприклад, короткочасному відключенні електроенергії;

- адаптованість (пристосовність) системи до змін навколишнього середовища.

17 of 22

  • Для запобігання несанкціонованому доступу до даних, що зберігаються на комп’ютері, використовують облікові записи.

Для кожного диска, папки та файлу на ПК для захисту від несанкціонованого доступу встановлюються певні права доступу (повний, тільки читання, доступ за паролем), причому права можуть бути різними для різних користувачів.

Також використовуються біометричні системи авторизації та ідентифікації користувачів (системи розпізнавання мови, ідентифікація за відбитками пальців, за райдужною оболонкою ока)

18 of 22

Захист даних в Інтернеті.

Є різні механізми проникнення з Інтернету на локальний комп’ютер і в локальну мережу:

  • веб-сторінки, що завантажуються в браузер, можуть містити активні елементи, здатні виконувати деструктивні дії на локальному комп’ютері;
  • деякі веб-сервери розміщують на локальному комп’ютері текстові файли cookie, використовуючи які, можна отримати конфіденційну інформацію про користувача локального комп’ютера;
  • електронні листи або дописи в соціальних мережах можуть містити шкідливі посилання;
  • за допомогою спеціальних програм можна отримати доступ до дисків і файлів локального комп’ютера тощо.

19 of 22

Працюємо за комп’ютером

Завдання 1

Виконайте інтерактивну вправу “Організаційні принципи” https://learningapps.org/3944154

Завдання 2

Створіть текстовий документ, що містить відомості про систему інформаційної безпеки. Подайте знайдені відомості в текстовому документі у зручному вигляді (таблиці, схеми тощо). Розмісіть роботу на Google-диску, наддайте доступ, для перегляду і редагування учителю і 2 однокласникам. Перегляньте проектну роботу своїх друзів.

20 of 22

Обговорюємо

Принципи на яких грунтується система інформаційної безпеки? (обговоріть у парах).

Розгляньте переваги і недоліки різних видів заходів безпеки.

Працюємо в парах

  • Перелічіть види заходів протидії загрозам безпеки.

21 of 22

Домашнє завдання:

  • Опрацювати конспект
  • Підготувати повідомлення про порушення і відповідальність у сфері захисту інформації (на конкретних прикладах)

22 of 22

Джерела

1. Н. В. Морзе, О. В. Барна, Інформатика 10 (11) клас

2. Ривкінд Й. Я., Лисенко Т. І., Чернікова Л. А., Шакотько В. В., Інформатика 10 (11) клас

3. О. О. Бондаренко, В. В. Ластовецький, О. П. Пилипчук, Є. А. Шестопалов, Інформатика 10 (11) клас

4. В. Д. Руденко, Н. В. Речич, В. О. Потієнко. Інформатика 10 (11) клас

5

6. http://it-science.com.ua/