Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 780 Опорний конспект лекцій з курсу Захист та безпека інформаційних ресурсів для спеціальності Комп'ютерні науки, НУДПСУ

Опорний конспект лекцій з курсу Захист та безпека інформаційних ресурсів для спеціальності Комп'ютерні науки, НУДПСУ

« Назад

780 Опорний конспект лекцій з курсу Захист та безпека інформаційних ресурсів для спеціальності Комп'ютерні науки, НУДПСУ

ДЕРЖАВНА ПОДАТКОВА АДМІНІСТРАЦІЯ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ ДЕРЖАВНОЇ ПОДАТКОВОЇ СЛУЖБИ УКРАЇНИ

Кафедра інтелектуальних систем прийняття рішень

ОПОРНИЙ КОНСПЕКТ ЛЕКЦІЙ З КУРСУ

«ЗАХИСТ ТА БЕЗПЕКА ІНФОРМАЦІЙНИХ РЕСУРСІВ»

для підготовки бакалаврів

за напрямом 0804 «Комп'ютерні науки»

спеціальності 6.080400 «Інтелектуальні системи прийняття рішень»

денної форми навчання

статус дисципліни: нормативна

Ірпінь – 2009

 

ЗМІСТ

Лекція №1. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми безпечної діяльності. Визначення та загальні властивості інформації

Вступ

1. ПРЕДМЕТ ЗАХИСТУ

1.1. Проблеми безпечної діяльності

1.2. Визначення та загальні властивості інформації

Лекція №2. Цінність та класифікація інформації

1.3. Цінність та класифікація інформації

Лекція №3. Проблеми захисту інформації

1.4. Проблеми захисту інформації

Лекція №4. Проблеми захисту інформації

1.5. Предмет захисту інформації

1.6. З історії ЗІ

Лекція №5. Проблеми захисту інформації

Контрольні запитання

Лекція №6. Проблеми захисту інформації

2. НОРМАТИВНО-ЗАКОНОДАВЧА БАЗА ІЗ ЗАХИСТУ ІНФОРМАЦІЇ

2.1. Проблеми створення стандартів з ЗІ

Лекція №7. Проблеми захисту інформації

2.2. Огляд стандартів з захисту інформації

Лекція №8. Проблеми захисту інформації

Лекція №9. Проблеми захисту інформації

2.3. Законодавчі акти і нормативні документи України щодо ЗІ

Лекція №10. Проблеми захисту інформації

2.4. Державний стандарт (Критерії) України з ЗІ

Контрольні запитання

Лекція №11. Проблеми захисту інформаціЇ

3. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ ЩОДО ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ

3.1. Класифікація засобів забезпечення безпеки АС

3.2. Організаційні заходи

Лекція №12. Проблеми захисту інформації

3.3. Служба безпеки

Лекція №13. Проблеми захисту інформації

3.4. Технічне забезпечення безпеки інформації

3.5. Технічні канали витоку інформації

Контрольні запитання

Лекція №14. Проблеми захисту інформації

4. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ

4.1. Методи та види НСД

4.2. Канали витоку інформації

Лекція №15. Проблеми захисту інформації

4.3. Поняття загрози інформації

4.4. Моделі загроз та порушника

Лекція №16. Проблеми захисту інформації

Лекція №17. Проблеми захисту інформації

4.5. Причини порушення безпеки

4.5. Віруси як засіб атаки на КС

Лекція №18. Проблеми захисту інформації

Контрольні запитання

Лекція №19. Проблеми захисту інформації

5. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД

5.1. Керування доступом

Лекція №20. Проблеми захисту інформації

5.2. Ідентифікація та автентифікація

Лекція №21. Проблеми захисту інформації

Лекція №22. Проблеми захисту інформації

5.3. Вступ до криптології

Лекція №23. Проблеми захисту інформації

Лекція №24. Проблеми захисту інформації

Лекція №25. Проблеми захисту інформації

Лекція №26. Проблеми захисту інформації

Контрольні запитання

Лекція №27. Проблеми захисту інформації

6. ОКРЕМІ ПИТАННЯ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД

6.1. Особливості ЗІ від НСД в локальних обчислювальних мережах

6.2. ЗІ від НСД в базах даних

Лекція №28. Проблеми захисту інформації

6.3. ЗІ при організації конфіденційного зв’язку

6.4. Захист програмного забезпечення

Контрольні запитання

Лекція №29. Проблеми захисту інформації

7. ПРОБЛЕМИ БЕЗПЕКИ КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ

7.1. Підходи щодо вирішення проблеми забезпечення безпеки

Лекція №30. Проблеми захисту інформації

7.2. Недоліки у сфері захищеності служб і протоколів Internet

Лекція №31. Проблеми захисту інформації

7.3. Модель корпоративної мережі

7.4. Принципи побудови підсистеми інформаційної безпеки

Контрольні запитання

Лекція №32. Проблеми захисту інформації

8. ОСОБЛИВОСТІ ПРОЦЕСІВ ОБРОБКИ ІНФОРМАЦІЇ В ІС ДПС

8.1. Особливості інформаційних об'єктів ДПС

Лекція №33. Проблеми захисту інформації

8.2. Розвиток інформаційної інфраструктури

Лекція №34. Проблеми захисту інформації

8.3. Особливості податкової інформації

Лекція №35. Проблеми захисту інформації

8.4. Підсистема інтегрованого електронного документообігу

8.5. Електронна пошта

Контрольні запитання

Лекція №36. Проблеми захисту інформації

9. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

9.1. Поняття політики безпеки

Лекція №37. Проблеми захисту інформації

9.2. Види політик безпеки

Лекція №38. Проблеми захисту інформації

9.3. Загальний зміст політики інформаційної безпеки

Лекція №39. Проблеми захисту інформації

9.4. Внутрішня політика безпеки організації ДПС

Лекція №40. Проблеми захисту інформації

Контрольні запитання

8. ВСТУП ДО ТЕОРІЇ ЗАХИСТУ ІНФОРМАЦІЇ

8.1. Проблеми теорії захисту інформації

8.2. Допоміжні поняття

8.3. Ієрархічний метод

8.4. Потоки і цінність інформації

8.5. Доказовий підхід

8.6. Приклад гарантовано захищеної АС

8.7. Моделі безпеки систем

8.8. Загальні моделі

Перелік термінів

ЛІТЕРАТУРА

Перелік термінів

Безпека інформації (information security) – стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації

Автоматизована система (АС) – це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію

Захист інформації в АС (information protection, information security, computer system security) – діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС у цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз

Комплексна система захисту інформації (КСЗІ) – сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС

Політика безпеки (Security Policy) – сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки

Модель безпеки (Security Model) – формальне представлення політики безпеки.

Дискреційне чи довільне керування доступом (Discretionary Access Control – DAC) – керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу

Мандатне чи нормативне керування доступом (Mandatory Access Control – MAC) – керування доступом, засноване на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад, залежно від грифа таємності інформації і рівня допуску користувача

Ядро безпеки (Trusted Computing Base – TCB) – сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки

Ідентифікація (Identification) – процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів)

Автентифікація (Authentication) – перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів

Адекватність (Assurance) – показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їхніх відповідностей поставленим задачам (у більшості випадків це задача реалізації політики безпеки)

Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation) – аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки; кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації, і завершується присвоєнням КС того чи іншого класу чи рівня безпеки

Таксономія (Taxonomy) – наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, що мають ієрархічну будівлю (від грецького taxis – лад, порядок і nomos – закон); на відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу – нагору), таксономія заснована на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху – вниз)

Прямий вплив (Trusted Path) – принцип організації інформаційної взаємодії (як правило, між користувачем і системою), що гарантує, що передана інформація не піддається перехопленню чи перекручуванню

Конфіденційність інформації (confidentiality)– властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, які не мають на це відповідних повноважень

Цілісність інформації (integrity) – це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень; цілісність інформації може бути фізичною і/або логічною

Доступність інформації (availability)– це властивість, що полягає в можливості її використання за вимогами користувача, який має відповідні повноваження

Спостереженість інформації (accountability) – це властивість інформації, яка полягає в тому, що процес її обробки повинен безупинно знаходитися під контролем деякого керуючого захистом органа

Канал витоку інформації – сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе указану інформацію, і засобу виділення інформації з сигнала або носія

Порушник (user violator) – користувач, який здійснює НСД до інформації

Алфавіт – кінцева множина використовуваних для кодування інформації знаків

Текст – упорядкований набір з елементів алфавіту

Шифрування – процес перетворення: вихідний текст, що носить також назву відкритого тексту, заміняється шифрованим текстом

Дешифрування – зворотний шифруванню процес; на основі ключа шифрований текст перетворюється у вихідний

Ключ – інформація, яка необхідна для безперешкодного шифрування і дешифрування певним методом.

ЛІТЕРАТУРА

1. Закон України «Про інформацію», від 02.10.92.

2. Закон України «Про науково-технічну інформацію», від 25.06.93.

3. Закон України «Про захист інформації в автоматизованих системах», від 05.07.94.

4. Закон України «Про державну таємницю», від 21.01.94.

5. Закон України «Про Національну програму інформатизації», від 04.02.98.

6. Закон України «Про Концепцію Національної програми інформатизації», від 04.02.98.

7. Закон України «Про державну податкову службу України» (від 04.12.1990 р., № 509-ХІІ).

8. Указ Президента «Про Положення про Державний центр страхового фонду документації України», від 19.06.1998, № 668/98.

9. Указ Президента України «Про Стратегію реформування системи державної служби в Україні», від 14.04.2000 р., № 599/2000.

10. Указ Президента «Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні», від 31.07.2000, № 928/2000.

11. Про перелік відомостей, що не становлять комерційної таємниці (Постанова Кабінету Міністрів України від 09.08.1993 р., № 611).

12. Положення про технічний захист інформації в Україні (Затверджено Постановою Кабінету Міністрів України № 632 від 09.09.1994р.).

13. Концепція технічного захисту інформації в Україні (Затверджено Постановою Кабінету Міністрів України від 08.10.1997 р., № 1126).

14. Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (Постанова Кабінету Міністрів України від 27.11.1998 р., № 1893).

15. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.-НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998.

16. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.-НД ТЗІ 1.1-002-98, ДСТСЗІ СБ України, Київ, 1998.

17. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.-НД ТЗІ 2.2-001-98, ДСТСЗІ СБ України, Київ, 1998.

18. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.-НД ТЗІ 2.2.-002 -98, ДСТСЗІ СБ України, Київ, 1998.

19. Мельников В.В. Защита информации в компьютерных системах. – М.: «Финансы и статистика», 1997.

20. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.). – М.: Концерн «Банковский деловой Центр», 1988, 472 с.

21. Герасименко В.А. Защита иформации в автоматизированых системах обработки даных. – М.: Энергоатомиздат, 1994, в 2-х томах.

22. Корченко А.Г. Несанкционированный доступ в компьютерные системы и методы защиты. – Киев, КМУГА, 1998.

23. Хоффман Л.Дж. Современные методы защиты информации. Пер. с англ., М.: «Советское радио», 1980.

Додаткова література

  1. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. – НПО, «Мир и семья - 95», Санкт-Петербург, 1997.

  2. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: Изд. «ДиаСофт», 1999.-480 с.

  3. Галатенко В.А. Информационная безопасность: практический подход. – М.: Наука, 1998.-301 с.

  4. Баричев С. Криптография без секретов. – М.: 1998.

  5. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах».-М.: ДМК Пресс, 2002,656 с.

  6. «Конфидент. Защита информации». Информационно-методический журнал, СПб.

  7. «Безопасность информации». Научно-технический журнал, Киев.

  8. Антонюк А.А., Заславская Е.А., Лащевский В.И. Некоторые вопросы разработки политики безопасности информации // Защита информации: Сб. науч. тр. – К.: КМУГА, 1999. – 188 с.

  9. Антонюк А.А., Волощук А.Г., Суслов В.Ю., Ткач А.В. Что такое Оранжевая книга? (Из истории компьютерной безопасности) // Безопасность информации, №2, 1996.

  10. Антонюк А.О. Політика безпеки в захищених автоматизованих системах // Наукові записки НаУКМА.-Київ: НаУКМА, 2003, т. 21, с.19-22.

  11. Антонюк А.О., Шилін В.П. Підготовка та обіг документів в електронному вигляді // V міжнародна науково-практична конференція «Проблеми впровадження інформаційних технологій в економіці», 13-14 травня 2004 р., м. Ірпінь.

З повагою ІЦ “KURSOVIKS”!