ОСНОВИ МЕНЕДЖМЕНТУ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЄЮ. Конспект лекцій з Менеджмент. Робота № 500899

ОСНОВИ МЕНЕДЖМЕНТУ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЄЮ

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Не вказано

Факультет:

Не вказано

Кафедра:

Не вказано

Інформація про роботу

Рік:

2025

Тип роботи:

Конспект лекцій

Предмет:

Менеджмент

Завантажити

Частина тексту файла (без зображень, графіків і формул):

ОСНОВИ МЕНЕДЖМЕНТУ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЄЮ (Конспект лекцій) Стандарти менеджменту інформаційної безпеки та їх основні положення Інформаційна безпека являє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку. Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 році цей стандарт був признаний міжнародним під назвою "International Standard ISO/IEC 17799. Information technology — Code of practice for information security management". Стандарт ISO/IEC 17799 — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику і т. ін. в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої — скорочення матеріальних втрат, пов'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними. Структура стандарту дозволяє вибрати ті засоби управління, які мають відношення до конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 1): політика безпеки [security policy]; організація захисту [organizational security]; класифікація ресурсів та контроль [asset classification and control]; ■ безпека персоналу [personnel security]; ■ фізична безпека та безпека навколишнього середовища [physical and environmental security]; адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management]; керування доступом до системи [system access control]; розробка та супроводження інформаційних систем [system development and maintenance]; планування безперервної роботи організації [business continuing planning]; виконання вимог (відповідність законодавству) [compliance]. У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні: політика з інформаційної безпеки; розподіл відповідальності за інформаційну безпеку; освіта та тренінг з інформаційної безпеки; звітність за інциденти з безпеки; захист від вірусів; забезпечення безперервності роботи; контроль копіювання ліцензованого програмного забезпечення; захист архівної документації організації; захист персональних даних; реалізація політики з інформаційної безпеки. Рис. 1. Структура стандарту ISO/IEC 17799 Як видно, поряд з елементами управління для комп'ютерів та комп'ютерних мереж, стандарт приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам. Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке "меню", з якого слід вибрати елементи, що можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується. Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, пов'язані з порушенням наступних властивостей інформаційного ресурсу: конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу; цілісність [integrity] — захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти; доступності [availability] — можливість використання інформації, коли в цьому виникає необхідність, працездатність системи. Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях, з точки зору матеріальних втрат, питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання: Що може загрожувати інформаційним ресурсам? Яка піддатливість цим загрозам, тобто, що може відбутися з тим чи іншим інформаційним ресурсом? Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки? Наскільки часто слід очікувати подібні випадки? Для одержання сертифікату система менеджменту інформаційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менеджменту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи. Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з боку інших секторів державної та комерційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торгівельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т. ін. На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії. 2. Загрози безпеці інформації та інформаційних ресурсів 2.1. Загальні положення На сьогодні вважають, що забезпечення безпеки інформації повинно носити комплексний характер. Усе більше фахівців пропонують свої рішення в галузі забезпечення безпеки інформаційних ресурсів як комплексні. Проте організація забезпечення безпеки інформації повинна носити не просто комплексний характер, але ще й засновуватися на всебічному аналізі можливих негативних наслідків, при якому важливо не упустити будь-які суттєві аспекти. Насамперед заходи забезпечення інформаційної безпеки в організації спрямовуються тільки на те, щоб не допустити збитків від утрати конфіденційної інформації. Відповідно до цього, уже передбачається наявність цінної інформації, в разі втрати якої організація може понести збитки. А якщо є цінна інформація, то звичайно ж є можливість здійснення будь-яких дій, які можуть нанести шкоду цій інформації. Усі шкідливі дії можуть бути здійснені тільки при наявності будь-яких слабких місць (уразливостей) (рис. 2). А якщо є дії, то є найвища загроза їх здійснення, а також наявні джерела, з яких ці загрози можуть виходити. Виникає наступний ланцюжок: джерело загрози— фактор (уразливість) — загроза (дія) — наслідки (атака). Джерело загрози — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці. Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації. Рис. 2. Механізм формування атаки Фактор (уразливість) — це властиві об'єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу функціонування об'єкта інформатизації, властивостями архітектури інформаційно-телекомунікаційної системи, протоколами обміну та інтерфейсами, що застосовуються, програмним забезпеченням і апаратними засобами, умовами експлуатації. Наслідки (атака) — це можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (уразливості). Атака — це завжди пара "джерело-фактор", що реалізує загрозу та приводить до збитків. 2.2. Збитки як категорія класифікації загроз Прояви збитків можуть бути різноманітні: моральні й матеріальні збитки ділової репутації організації; моральні, фізичні або матеріальні збитки, пов'язані з розголошенням персональних даних окремих осіб; матеріальні (фінансові) збитки від розголошення конфіденційної інформації; матеріальні (фінансові) збитки від необхідності відновлення порушених інформаційних ресурсів; матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною; моральні та матеріальні збитки від дезорганізації діяльності організації; ■ матеріальні та моральні збитки від порушення міжнародних відносин. Слід відзначити, що збитки можуть бути спричинені як будь-яким суб'єктом (у цьому випадку відбувається правопорушення), так і бути наслідком незалежного від суб'єкта прояву (наприклад, стихійних випадків, або інших впливів, таких як прояви техногенних властивостей цивілізації). У першому випадку наявна вина суб'єкта, яка визначає спричинену шкоду як склад злочину, що здійснюється із злими намірами (навмисно) або по необережності, і спричинені збитки повинні класифікуватися як склад злочину, відповідно до кримінального права. У другому випадку збитки носять імовірнісний характер і повинні бути співставлені як мінімум із тим ризиком, який обговорюється цивільним, адміністративним або арбітражним правом, як предмет розгляду. Визначення того, хто саме є причиною збитків, є другим за важливістю (після спроби цього не допустити) питанням для потерпілого. В теорії права під збитками розуміють невигідні для власника майнові наслідки, що виникли внаслідок правопорушення. Збитки виражаються у зменшенні майна, або у недоодержанні прибутку, який був би одержаний при відсутності правопорушення (втрачена вигода). Якщо розглядати в якості суб'єкта, що спричинив збитки, будь-яку особистість, то категорія "збитки" є справедливою тільки у тому випадку, коли можна довести, що вони спричинені, тобто діяння особистості необхідно кваліфікувати в термінах правових актів як склад злочину. Тому при класифікації загроз безпеці інформації у цьому випадку доцільно враховувати вимоги діючого кримінального права, які визначають склад злочину. Для прикладу можна розглянути склади злочину, які визначаються кримінальними кодексами в багатьох державах. Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна. Копіювання комп'ютерної інформації— це повторювання та стійке збереження інформації на машинному або іншому носієві. Знищення — це зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищене майно не може бути відновлене шляхом ремонту або реставрації та повністю виводиться з господарського обігу. Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ. Пошкодження — змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання. Модифікація комп'ютерної інформації— внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних. Блокування комп'ютерної інформації— штучне ускладнення доступу користувачів до інформації, не пов'язане з її знищенням. Несанкціоноване знищення, блокування, модифікація, копіювання інформації— будь-які, не дозволені законом, власником або компетентним користувачем указаних дій з інформацією. Обман (заперечення автентичності, нав'язування хибної інформації) — навмисне спотворення або приховування істини з метою введення в оману особи, у веденні якої знаходиться майно, і таким чином домогтися від неї добровільної передачі майна, а також повідомлення з цією метою свідомо неправдивих відомостей. Якщо розглядати в якості суб'єкта, що спричинив збитки, будь-яке природне або техногенне явище, то під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими явищами, які можуть бути компенсовані за рахунок третьої сторони (страхування ризиків настання події) або за рахунок власних засобів власника інформації. Наприклад, страхування являє собою відносини із захисту майнових інтересів фізичних і юридичних осіб при настанні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків. 2.3. Класифікація загроз безпеці інформації Виходячи з попередніх міркувань, можна виділити три основні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 3). Загрози безпеці інформації при забезпеченні конфіденційності: крадіжка (копіювання) інформації та засобів її обробки; втрата (ненавмисна втрата, витік) інформації та засобів її обробки. Загрози безпеці інформації при забезпеченні доступності: блокування інформації; знищення інформації та засобів її обробки. Загрози безпеці інформації при забезпеченні цілісності: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування фальшивої інформації. 2.4. Класифікація джерел загроз Носіями загроз безпеці інформації є джерела загроз. Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. Причому джерела загроз можуть знаходитися як усередині організації — внутрішні джерела, так і ззовні її — зовнішні джерела. Поділ джерел на суб'єктивні та об'єктивні виправдане, виходячи з попередніх міркувань стосовно вини або ризику збитку інформації, а поділ на внутрішні та зовнішні джерела виправданий тому, що для однієї й тієї ж загрози методи відбиття для внутрішніх і зовнішніх загроз можуть бути різними. Рис. 3. Класифікація загроз безпеці інформації Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 4): обумовлені діями суб'єкта (антропогенні джерела загроз); обумовлені технічними засобами (техногенні джерела загроз); обумовлені стихійними джерелами. Антропогенними джерелами загроз виступають суб'єкти, дії яких можуть бути кваліфіковані як навмисні або випадкові злочини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представляє найбільший інтерес з точки зору організації захисту, оскільки дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Методи протидії у цьому випадку керовані й напряму залежать від волі організаторів захисту інформації. Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта, що підлягає захисту. Суб'єкти (джерела), дії яких можуть призвести до порушення безпеки інформації, можуть бути як зовнішніми, так і внутрішніми. Зовнішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації. Внутрішні суб'єкти (джерела), як правило, являють собою висококваліфікованих спеціалістів у галузі розробки та експлуатації програмного забезпечення та технічних засобів, знайомих із специфікою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, які мають можливість використання штатного обладнання та технічних засобів мережі. Рис. 4. Класифікація джерел загрозбезпеці інформації Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою та спеціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але методи протидії загрозам для цієї групи джерел можуть мати свої відмінності. Слід відзначити, що кваліфікація антропогенних джерел загроз безпеці інформації відіграє важливу роль для оцінки їхнього впливу та враховується при ранжируванні джерел загроз. Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації. Проте наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше залежним від техніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Даний клас джерел загроз безпеці інформації є особливо актуальним у сучасних умовах, оскільки очікується різке зростання числа техногенних катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також відсутністю коштів на його оновлення. Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми. Третя група джерел загроз об'єднує обставини, що складають непереборну силу, тобто такі обставини, які носять об'єктивний і абсолютний характер, що розповсюджується на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм запобігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди. Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми. 2.5. Ранжирування джерел загроз Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжирування. При цьому, оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати: можливість виникнення джерела EMBED Equation.3 , що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел); готовність джерела EMBED Equation.3 , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел); фатальність EMBED Equation.3 , що визначає міру непереборності наслідків реалізації загрози. Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому, 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 — максимальній. Коефіцієнт EMBED Equation.3 для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125: EMBED Equation.3 Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою: висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно для внутрішніх антропогенних джерел, що наділені максимальним правом доступу, наприклад, представники служб безпеки інформації, адміністратори); перша середня ступінь доступності — антропогенне джерело загроз має можливість опосередкованого, не визначеного функціональними обов'язками (за рахунок побічних каналів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно); друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість доступу до програмних засобів у силу введених обмежень при використанні технічних засобів, функціональних обов'язків або за видом своєї діяльності (характерно для внутрішніх антропогенних джерел із звичайними правами доступу (наприклад, користувачі) або зовнішніх антропогенних джерел, що мають право доступу до засобів обробки та передачі інформації, що підлягає захисту (наприклад хакери, персонал постачальників телематичних послуг); низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел); відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту. Міру віддаленості від об'єкта захисту можна характеризувати наступними параметрами: співпадаючі об'єкти — об'єкти захисту самі містять джерела техногенних загроз і їхній територіальний поділ неможливий; близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може вчинити суттєвий вплив на об'єкт; середньовіддалені об'єкти — об'єкти захисту розташовуються на віддалені від джерел техногенних загроз, на якому прояв впливу цих загроз може вчинити несуттєвий вплив на об'єкт захисту; віддалено розташовані об'єкти — об'єкт захисту розташовується на віддаленні від джерела техногенних загроз, що виключає його прямий вплив; вельми віддалені об'єкти — об'єкт захисту розташовується на значному віддаленні від джерела техногенних загроз, що повністю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами. Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейсмологічних, гідрографічних та інших умовах. Особливості обстановки можна оцінювати за наступною шкалою: дуже небезпечні умови — об'єкт захисту розташований в зоні дії природних катаклізмів; небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість прояву природних катаклізмів; помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом тривалого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті; слабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті існують передумови виникнення стихійних джерел загроз; ■ безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті відсутні передумови виникнення стихійних джерел загроз. Класифікація антропогенних джерел відіграє важливу роль у визначенні їхніх можливостей щодо здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту: ■ нульовий рівень — визначається відсутністю можливості будь-якого використання програм; ■ перший рівень — обмежується можливістю запуску задач/програм із фіксованого набору, призначеного для обробки інформації, яка підлягає захисту (рівень некваліфікованого користувача); другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з обробки інформації (рівень кваліфікованого користувача, програміста); третій рівень — визначається можливістю керування функціонуванням мережі, тобто впливом на базове програмне забезпечення, його склад і конфігурацію (рівень системного адміністратора); ■ четвертий рівень — визначається повним обсягом можливостей суб'єктів, що здійснюють проектування й ремонт технічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з обробки інформації (рівень розробника та адміністратора). Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня. Привабливість здійснення діяння з боку джерела загроз установлюється наступним чином: особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здійснює захист; привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб; помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особистостям; слабо привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист; непривабливий рівень — інформація не представляє інтересу для джерела загрози. Необхідні умови готовності джерела визначаються, виходячи з можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передбачається: ■ загроза реалізована — тобто умови сприятливі або можуть бути сприятливими для реалізації загрози; загроза помірно реалізована — тобто умови сприятливі для реалізації загрози, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об'єкта захисту; загроза слабо реалізована — тобто існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають реалізації загрози; загроза не реалізована — тобто відсутні передумови для реалізації передбачуваної подій. Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою: непереборні наслідки — результати прояву загрози можуть призвести до повного руйнування (знищення, втрати) об'єкта захисту і, як наслідок, до непоправних втрат і виключення можливості доступу до інформаційних ресурсів, що підлягають захисту; практично непереборні наслідки — результати прояву загрози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т. ін.) на відновлення, які порівнянні з витратами на створення нового об'єкта, та суттєвого обмеження часу доступу до інформаційних ресурсів, що підлягають захисту; частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту; переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його відновлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту; відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту. Результати проведеного ранжирування відносно конкретного об'єкта захисту можна звести в таблицю, яка дозволяє визначити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації. При виборі припустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт EMBED Equation.3 менше 0,1...0,2, можуть у подальшому не враховуватися як малоймовірні. Визначення актуальних (найбільш небезпечних) загроз здійснюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту. 2.6. Класифікація уразливостей безпеці Загрози, як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інформації на конкретному об'єкті інформатизації. Уразливості, властиві об'єкту інформатизації, невіддільні від нього та обумовлюються недоліками процесу функціонування, властивостями архітектури автоматизованих систем, протоколами обміну та інтерфейсами, програмним забезпеченням і апаратною платформою, умовами експлуатації та розташування. Джерела загроз можуть використовувати уразливості для порушення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі не зловмисні дії джерел загроз з активізації тих чи інших уразливостей, що приносять шкоду. Кожній загрозі можуть бути зіставлені різноманітні уразливості. Усунення або суттєве послаблення уразливостей впливає на можливість реалізації загроз безпеці інформації. Для зручності аналізу уразливості поділені на класи (позначаються заголовними літерами), групи (позначаються римськими цифрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, випадковими (рис. 5). Об'єктивні уразливості залежать від особливостей побудови та технічних характеристик обладнання, що застосовується на об'єкті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженерно-технічними методами відбиття загроз безпеці інформації. Суб'єктивні уразливості залежать від дій співробітників і, в основному, вилучаються організаційними та програмно-апаратними методами. Випадкові уразливості залежать від особливостей середовища, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки при проведенні комплексу організаційних та інженерно-технічних заходів із протидії загрозам інформаційній безпеці. 2.7. Ранжирування уразливостей Усі уразливості мають різну міру небезпеки EMBED Equation.3 , яку можна кількісно оцінити на основі ранжирування. При цьому критеріями порівняння (показниками) можна вибрати: фатальність EMBED Equation.3 ,що визначає міру впливу уразливості на непереборність наслідків реалізації загрози; для об'єктивних уразливостей — це інформативність, тобто здатність уразливості повністю (без спотворення) передати корисний інформаційний сигнал; доступність EMBED Equation.3 , що визначає зручність (можливість) використання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використання неспеціалізованої апаратури); кількість EMBED Equation.3 , що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість. Коефіцієнт (Kdan)f для окремої уразливості можна визначити як відношення добутку наведених вище показників до максимального значення 125: EMBED Equation.3 Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою, причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразливості, а 5 — максимальній. Рис. 5. Класифікація уразливостей інформаційної безпеки Для підгрупи дразливостей пг EMBED Equation.3 визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі. Для зручності аналізу г EMBED Equation.3 для групи нормується відносно сукупності всіх коефіцієнтів підгруп у своєму класі, a к EMBED Equation.3 для класу визначається як сукупність коефіцієнтів підгруп класу, нормованих відносно всієї сукупності коефіцієнтів підгруп. Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводиться в таблицю. 2.8. Класифікація актуальних загроз При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу тієї чи іншої загрози, характерні джерела цих загроз і уразливості, що сприяють реалізації загроз. Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому передбачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися з причини малої ймовірності їх здійснення на об'єкті захисту. Така матриця складається окремо для кожної загрози, і вже після виявлення найбільш актуальних загроз приймаються заходи з вибору методів і засобів для їх відбиття. 3. Основні напрями забезпечення безпеки інформації та інформаційних ресурсів 3.1. Основні визначення Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства абo організації, на рівні окремої особистості. З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації: правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі; організаційний захист — це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям; інженерно-технічний захист — це використання різноманітних технічних засобів, що перешкоджають нанесенню збитків. Крім того, заходи захисту, орієнтовані на забезпечення безпеки інформації, можуть бути охарактеризовані цілим рядом параметрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоплення та масштабність. Так, за характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як обєктовий, груповий або індивідуальний захист. 3.2. Правовий захист Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, які встановлені або санкціоновані державою, по відношенню до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особистості). Правовий захист інформації як ресурсу признаний на міждержавному, державному рівні та визначається міждержавними договорами, конвенціями, деклараціями та реалізується патентами, авторським правом та ліцензіями на їхній захист. На державному рівні правовий захист регулюється державними та відомчими актами (рис. 6). У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, кримінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються наказами, керівництвами, положеннями та інструкціями, які видаються відомствами, організаціями та підприємствами, що діють у межах певних структур. Рис. 6. Правовий захист інформації Сучасні умови вимагають і визначають необхідність комплексного підходу до формування законодавства із захисту інформації, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України. Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодавство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відомчі правові акти і т. ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації. Конституційне законодавство — норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи. Загальні закони, кодекси (про власність, про надра, про права громадян, про громадянство, про податки, про антимонопольну діяльність і т. ін.), які включають норми з питань інформатизації та інформаційної безпеки. Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питаннями інформаційного забезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що представляє загальнодержавний інтерес. Спеціальні закони, які відносяться до конкретних сфер відносин, галузей господарства, процесів. До їхнього числа входять Закони України "Про інформацію", "Про захист інформації в автоматизованих системах" і т. ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки. Підзаконні нормативні акти із захисту інформації. Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації. Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце займають Закони "Про інформацію" та "Про захист інформації в автоматизованих системах", які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяльності: інформації та інформаційних систем; суб'єктів — учасників інформаційних процесів; правовідносин виробників та споживачів інформаційної продукції; власників (джерел) інформації — обробників та споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян та держави. Ці закони також визначають основи захисту інформації у системах обробки і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з організації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцензування, сертифікації, експертизи, а також загальні принципи захисту та гарантій прав учасників інформаційного процесу. Питання правового режиму інформації з обмеженим доступом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці. Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем представляє ієрархічну систему від Конституції України до функціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягають охороні, і заходи відповідальності за їх розголошення. Одним із нових напрямків правового захисту є страхове забезпечення. Воно призначене для захисту власної інформації та засобів її обробки як від традиційних загроз (крадіжки, стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несанкціонований доступ до конфіденційної інформації. Метою страхування є забезпечення страхового захисту фізичних та юридичних осіб від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями з боку конкурентів та зловмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події. Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами: ТР ЕОТ-95 "Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок"; ПЕМВН-95 "Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок". Дії із захисту інформації від несанкціонованого доступу регламентують: Закон України "Про захист інформації в автоматизованих системах"; нормативні документи системи технічного захисту інформації в комп'ютерних (автоматизованих системах) від несанкціонованого доступу і т. ін. Правовими документами є й державні та міждержавні стандарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема: ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення"; ДСТУ 3396.1 -96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт"; ДСТУ 3396.2-97 "Захист інформації. Технічний захист інформації. Терміни та визначення"; ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"; ГОСТ 34.310-95 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметрического криптографического алгоритма"; ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования". Опираючись на державні правові акти та враховуючи відомчі інтереси на рівні конкретного підприємства (фірми, організації), розроблюються власні нормативно-правові документи, орієнтовані на забезпечення інформаційної безпеки. До таких документів відносяться: положення про збереження конфіденційної інформації; перелік відомостей, які складають конфіденційну інформацію; інструкція про порядок допуску співробітників до відомостей, які складають конфіденційну інформацію; положення про спеціальне діловодство та документообіг; перелік відомостей, які дозволені до опублікування у відкритому друці; положення про роботу з іноземними фірмами та їхніми представниками; зобов'язання співробітника про збереження конфіденційної інформації; пам'ятка співробітнику про збереження комерційної таємниці. Наведені вище нормативні акти спрямовані на попередження випадків неправомірного оголошення (розголошення) секретів на правовій основі — у випадку їх порушення повинні прийматися відповідні заходи впливу. Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних заходів, можуть бути обрані наступні форми захисту інформації: патентування; авторське право; признання відомостей конфіденційними; товарні знаки; застосування норм зобов'язувального права. Існує певна різниця між авторським правом та комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця відноситься безпосередньо до змісту. Авторське право захищає від копіювання незалежно від конфіденційних відносин із власником. До авторського права вдаються при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що порівняно з патентом та авторським правом комерційна таємниця та виробнича таємниці є найбільш зручними, надійними та гнучкими формами захисту інформації. Окрім вищевикладених форм правового захисту та права належності інформації знаходить широке розповсюдження офіційна передача права на користування нею у вигляді ліцензії. Ліцензія [license] (від лат. licentia — "свобода, право") — це дозвіл, виданий державою на проведення деяких видів господарської діяльності, включаючи зовнішньоторгівельні операції (ввезення та вивезення) та надання права використовувати захищені патентами винаходи, технології, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів. Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, пов'язані з виробництвом, технологією, управлінням, фінансами та іншою діяльністю, розголошення, витік та несанкціонований доступ до якої може призвести до збитків їхнім власникам. До комерційної таємниці не відносяться: відомості, що охороняються державою; відомості, які є загальновідомими на законній підставі; відомості про негативні сторони діяльності; установчі документи та відомості про господарську діяльність. Створюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієнта, конкурента та посадової особи будуть просто безпідставними. Якщо перелік відомостей конфіденційного характеру не доведений своєчасно до кожного співробітника (природно, якщо від допущений до виконання посадових обов'язків) у письмовому вигляді, то співробітник, який викрав важливу інформацію при порушенні встановленого порядку роботи з нею скоріше всього не буде покараний. Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації") відображаються у сукупності установчих, організаційних та функціональних документів. Вимоги забезпечення безпеки та захисту інформації відображаються у Статуті (установчому договорі) у вигляді наступних положень: підприємство має право визначати склад, обсяги та порядок захисту конфіденційних відомостей, вимагати від своїх співробітників забезпечення їх збереження та захисту від внутрішніх та зовнішніх загроз; підприємство зобов'язане забезпечувати збереження конфіденційної інформації. Такі вимоги дають адміністрації підприємства наступні права: створювати організаційні структури із захисту конфіденційної інформації; видавати нормативні та розпорядчі документи, які визначають порядок виділення відомостей конфіденційного характеру та механізми їхнього захисту; включати вимоги із захисту інформації в угоди з усіх видів господарської діяльності; вимагати захисту інтересів підприємства з боку державних та судових інстанцій; розпоряджатися інформацією, що є власністю підприємства, з метою вигоди та недопущення економічних збитків колективу підприємства та власникові засобів виробництва; розробляти "Перелік відомостей конфіденційної інформації". Вимоги правового забезпечення захисту інформації передбачаються у колективному договорі. Колективний договір повинен містити наступні вимоги. ■ Розділ "Предмет договору". Адміністрація підприємства (у тому числі й адміністрація самостійних підрозділів) зобов'язується забезпечити розробку та здійснення заходів із визначення та захисту конфіденційної інформації. Трудовий колектив приймає на себе зобов'язання з дотримання встановлених на підприємстві вимог із захисту конфіденційної інформації. Адміністрація зобов'язана враховувати вимоги захисту конфіденційної інформації у правилах внутрішнього розпорядку. ■ Розділ "Кадри. Забезпечення дисципліни праці". Адміністрація зобов'язується притягати порушників вимог із захисту комерційної таємниці до адміністративної та кримінальної відповідальності відповідно до діючого законодавства. Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити наступними вимогами. ■ Розділ "Порядок прийому та звільнення робітників та службовців". При прийомі робітника або службовця на роботу або переведенні його в установленому порядку на іншу роботу, пов'язану з конфіденційною інформацією підприємства, а також при звільненні його з роботи адміністрація зобов'язана проінструктувати робітника або службовця з правил збереження комерційної таємниці з оформленням письмового зобов'язання про її нерозголошення. Адміністрація підприємства вправі приймати рішення про відсторонення від робіт осіб, які порушують встановлені вимоги із захисту конфіденційної інформації. ■ Розділ "Основні обов'язки робітників та службовців". Робітники та службовці зобов'язані дотримуватися вимог нормативних документів із захисту конфіденційної інформації на підприємстві. ■ Розділ "Основні обов'язки адміністрації"". Адміністрація підприємства, керівники підрозділів зобов'язані: забезпечувати збереження конфіденційної інформації, постійно здійснювати організаторську роботу та виховально-профілактичну роботу, спрямовану на захист секретів підприємства; включати в посадові інструкції та положення обов'язки із зберігання конфіденційної інформації; неухильно виконувати вимоги Статуту, колективного договору, трудових договорів, правил внутрішнього розпорядку та інших організаційних та господарських документів у частині забезпечення економічної та інформаційної безпеки. Обов'язки конкретного співробітника, робітника або службовця стосовно захисту інформації обов'язково повинні бути обмовлені в трудовому договорі (контракті). Відповідно до КЗпП при укладанні трудового договору працівник зобов'язується виконувати певні вимоги, які діють на даному підприємстві. Незалежно від форми укладання договору (усного, чи письмового) підпис працівника на наказі про прийом на роботу підтверджує його згоду з умовами договору. Вимоги із захисту конфіденційної інформації можуть бути обмовлені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги із захисту інформації, які випливають із нормативно-правових документів підприємства. При укладанні трудового договору та оформленні наказу про прийом на роботу нового співробітника робиться відмітка про поінформованість його з порядком захисту інформації підприємства. Це створює необхідний елемент залучення даної особи в механізм забезпечення інформаційної безпеки. Не слід вважати, що після підписання такої угоди з новим співробітником таємниця буде збережена. Це тільки попередження співробітникові, що в справу вступає система заходів із захисту інформації, і правова основа до того, щоб припинити його невірні або протиправні дії. Подальше завдання — не допустити втрати комерційних секретів. Реалізація правових норм і актів, орієнтованих на захист інформації на організаційному рівні, опирається на ті чи інші організаційно-правові норми, до числа яких відносяться дотримання конфіденційності робіт та дій, договори (угоди) та різноманітні форми зобов'язувального права. Конфіденційність [confidentiality, privacy] (від лат. confidentia — "довір'я") у даному випадку — це форма поводження з відомостями, які складають комерційну таємницю, на основі організаційних заходів, які виключають неправомірне оволодіння такими відомостями. Договір — це угода сторін (двох або більше осіб) про встановлення, зміну або припинення взаємний зобов'язань. Зобов'язання — це цивільні правовідносини, у силу яких одна сторона (боржник) зобов'язана здійснювати на

Конспект лекцій Менеджмент

01.01.1970 03:01-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись