Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 781 Лекція 1 на тему Вступ та предмет захисту, Проблеми безпечної діяльності з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція 1 на тему Вступ та предмет захисту, Проблеми безпечної діяльності з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

« Назад

781 Лекція 1 на тему Вступ та предмет захисту, Проблеми безпечної діяльності з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція №1. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми безпечної діяльності. Визначення та загальні властивості інформації

План

1. Основні об'єкти захисту.

2. Безпечна діяльність підприємства і організації.

3. Поняття інформації.

4. Канал передачі інформації.

5. Знання та дані.

6. Основні форми використання інформації.

7. Процеси обробки інформації в комп’ютерній системі.

8. Якісні зміни ролі інформації, яку вона стала грати в житті сучасного суспільства.

Вступ

Бурхливий розвиток інформаційних технологій в останні десятиріччя вимагає видповідного розвитку загальноосвітньої інформаційної культури, зокрема, створення цілої системи навчання у навчальних установах всіх рівней. Захист інформації завжди був необхідним атрибутом інформаційних технологій, що означає, що її необхідно також вивчати – сучасний фахівець з комп’ютерних наук повинен бути знайомий з основами захисту інформації. Як відомо, зараз в більшості країн світу в вищих навчальних установах введено підготовку зі спеціальності з захисту інформації. Саме для вступу до захисту інформації і призначено курс лекцій «Захист та безпека інформаційних ресурсів». Для оволодіння матеріалом курсу достатньо знань з загальних курсів математики, інформатики та початкових знань з методів проєктування та розробки інформаційних систем. Курс включає десять розділів.

У першому розділі введено основні поняття в галузі інформаційної безпеки, сформульовані основні проблеми сучасної інформаційної безпеки та подані деякі відомості з її історії.

Другій розділ присвячено історичному огляду міжнародних стандартів з інформаційної безпеки, а також нормативно-законодавча база України з інформаційної безпеки.

У третьому, четвертому та п’ятому розділах подано відповідно огляд організаційно-технічних заходів із захисту інформації, поняття несанкціонованого доступу до інформації – найбільш важливої складової сучасної інформаційної безпеки та деякі найбільш важливі механізми захисту інформації, зокрема, ідентифікації/автентифікації та криптології.

Шостий розділ присвячено деяким проблемам захисту інформації, що виникають в різних середовищах (мережах, базах даних, при захисті програмного забезпечення і т.д.).

Сьомий розділ розглядає проблеми сучасних корпоративних мереж та принципи побудови їх захисту.

У восьмому розглянуто особливості процесів обробки інформації в організаціях державної податкової служби України.

Дев’ятий розділ присвячено фундаментальному поняттю інформаційної безпеки – політиці безпеки і, зокрема, питанням побудови політики безпеки в організаціях податкової служби.

В останньому десятому розділі розглянуто основні поняття теорії захисту інформації.

Кожний з розділів завершується контрольними запитаннями.

Метою курсу «Захист та безпека інформаційних ресурсів» є ознайомлення студентів з основними питаннями сучасної теорії та практики захисту інформації: основні поняття захисту, методи і засоби захисту, основи проєктування систем захисту, основи нормативно-правових знань з захисту інформації, особливості захисту інформації в органах ДПС України.

1. ПРЕДМЕТ ЗАХИСТУ

В цьому розділі розглянуті основні властивості предмета обговорення – інформації, а також проблеми її захисту та деякі відомості з історії інформаційної безпеки.

1.1. Проблеми безпечної діяльності

Забезпечення безпечної діяльності необхідно для будь-яких підприємств і установ, починаючи від державних організацій і закінчуючи маленьким наметом, що займається роздрібною торгівлею. Розходження буде складатися лише в тому, які засоби і методи й у якому обсязі будуть потрібні для забезпечення їх безпеки.

Перш, ніж приступити до аналізу сучасного стану проблеми інформаційної безпеки, розглянемо проблеми безпеки взагалі. Спочатку необхідно визначити, що підлягає захисту і яким основним принципам варто користатися при організації захисту. За сформованою історичною та міжнародною практикою безпеки об'єктами захисту з урахуванням їх пріоритетів є:

1)  особистість;

2)  інформація;

3)  матеріальні цінності.

Якщо пріоритет збереження безпеки особистості є природним, то пріоритет інформації над матеріальними цінностями вимагає більш докладного розгляду. Це стосується не тільки інформації, що складає державну чи комерційну таємницю, але і відкритої інформації.

Ринкові відносини з їх невід'ємною частиною – конкуренцією обов'язково вимагають протидії зовнішнім і внутрішнім впливам. Об'єкти захисту в більшому чи меншому ступені, залежно від цілей зловмисника (ЗЛ) і від конкретних умов, можуть піддаватися різним нападам чи загрозам знаходитися в ситуації, в якій вони за об'єктивними причинами піддаються небезпеці.

Поняття «безпечна діяльність» будь-якого підприємства чи організації містить у собі:

1. Фізичну безпеку, під якою розуміється забезпечення захисту від загроз на життя людей.
2. Економічну безпеку.
3. Інформаційну безпеку (ІБ).
4. Матеріальну безпеку, тобто збереження матеріальних цінностей від усякого роду загроз, починаючи від їх крадіжок і закінчуючи загрозами пожежі та інших стихійних лих.

Не зупиняючись детально на загрозах фізичної і матеріальної безпеки, відзначимо тісний зв'язок між економічною та інформаційною безпекою.

Як вважають західні фахівці, витік 20% комерційної інформації в 60 випадках з 100 призводить до банкрутства фірми. Жодна, навіть процвітаюча фірма, не проіснує більш трьох діб, якщо її інформація, що складає комерційну таємницю, стане відомої. Таким чином, економічна та інформаційна безпека виявляються тісно взаємозалежними.

Зменшення загрози економічної діяльності будь-якої організації передбачає одержання інформації про конкурентів. Тому, цілком природно, зменшення даної загрози для одних організацій спричиняє збільшення загрози економічної діяльності для інших організацій. Це стало можливим через наявність промислового і, зокрема, економічного шпигунства.

Збитки від діяльності конкурентів, що використовують методи шпигунства, складають у світі до 30% усього збитку, а це мільярди доларів. Точну цифру збитків указати не можна в принципі внаслідок того, що ні ЗЛ ні потерпілі не прагнуть віддавати гласності зроблені дії. Перші, мабуть, через страх відповідальності за вчинене, а другі через страх втратити імідж. Цим пояснюється високий рівень латентности правопорушень і відсутність інформації про них в засобах масової інформації. Тому до публіки доходить менш 1% від усіх випадків порушень, що мають карний характер і які приховати неможливо.

Таким чином, задачі безпеки будь-яких видів доводиться вирішувати щораз при розгляді всіляких аспектів людської діяльності. Але, як бачимо, всі види безпеки тісно пов’язані з ІБ і, більш того, їх неможливо забезпечити без забезпечення ІБ. Отже, предметом нашого подальшого розгляду буде саме ІБ.

1.2. Визначення та загальні властивості інформації

Вивчення будь-якої дисципліни так чи інакше починається з формулювання визначень її фундаментальних термінів і категорій. Особливістю терміна «інформація» є те, що, з одного боку, він є інтуїтивно зрозумілим практично для всіх, а з іншого боку – загальновизнаного його трактування в науковій літературі не існує. Одночасно слід особливо зазначити, що як наукова категорія «інформація» складає предмет вивчення для всіляких областей знання: філософії, інформатики, теорії систем, кібернетики і т.д.

Як відомо, термін «інформація» походить від латинського слова «informatio», що споконвічно означав виклад чи роз'яснення. Як приклад приведемо наступне його визначення.

Інформація – це результат відображення та обробки в людській свідомості різноманіття навколишнього світу, відомостей про предмети, що оточують людину, явища природи, діяльність інших людей і т.д.

З такого означення випливає, що будь-яка інформація може бути важливої. Очевидно також, що дане означення носить винятково «пояснювальний» характер і ніяким чином не претендує на наукову строгість, тому що базується на досить нечітких і розпливчастих категоріях: «сигнали», «об'єкти», «дійсність», «сприйняття» і т.п.

Інший підхід до визначення інформації відштовхується від схематичного представлення процесу її передачі. Або більш точно, інформація це сукупність сигналів, сприйманих нашою свідомістю, що відбивають ті чи інші властивості об'єктів і явищ навколишньої нас дійсності. Природа даних сигналів має на увазі наявність принципових можливостей по їхньому збереженню, передачі і трансформації (обробці). Тоді виникає поняття каналу передачі інформації. Тобто канал передачі інформації – це сукупність трьох фундаментальних елементів:

• джерело (передавач);

• середовище розповсюдження;

• приймач (споживач, клієнт).

При їхній взаємодії, власне кажучи, і виникає інформація – деяке повідомлення, що тим чи іншим способом зменшує незнання споживача (приймача) про деякий об'єкт, факт чи явище. Ґрунтуючись на даному підході, один з основоположників теорії інформації Клод Шеннон визначив інформацію як зняту невизначеність. В одному термінологічному ряді з інформацією знаходяться поняття «дані» і «знання».

Під даними звичайно розуміють інформацію, представлену в конкретних формах, що адекватні можливим (очікуваним) процесам її обробки.

Знання це інформація, на підставі якої шляхом логічних міркувань можуть бути тримані визначені висновки. Також під знаннями іноді розуміють дані, що мають складну організацію, що володіють як фактографічною, так і семантичною складовими. Під фактографічною складовою розуміється інформація, зв'язана з реєстрацією подій і явищ, а під семантичною – інформація, що стосується змістовного тлумачення зареєстрованих фактів.

Якщо обмежитися поняттям комп'ютерної системи (КС), що зараз дуже актуально, то можна дати більш приземлене і просте визначення інформації – це усе, що може бути представлене в КС. Тоді виникає питання про форми та види представлення інформації в КС.

Звичайно виділяють такі види представлення інформації як букви, символи, цифри, слова, тексти, малюнки, схеми, формули, графіки, таблиці, плани, креслення, алгоритми і т.д. З цих видів можуть створюватися більш складні види та структури представлення інформації: команди, повідомлення, довідки, рішення, інструкції, масиви, файли, томи і т.д.

Інформація, що втілена і зафіксована в деякій матеріальній формі, називається повідомленням. Повідомлення можуть бути безперевними (аналоговими) і дискретними (цифровими).

Безперервне повідомлення представляється деякою фізичною величиною (електричною напругою, струмом і т.д.), зміни якої відображають протікання деякого процесу. Фізична величина, що передає безперевне повідомлення, може приймати будь-як значення і змінюватися в довільні моменти часу. Таким чином, в безперервному повідомленні кінцевої довжини може міститися велика кількість інформації.

Для дискретних повідомлень характерна наявність фіксованого набору окремих елементів, з яких у дискретні моменти часу формуються різні послідовності елементів. Важливим є не фізична природа елементів, а та обставина, що набір елементів кінцевий і тому будь-яке дискретне повідомлення кінцевої довжини передає кінцеве число значень деякої величини, а отже, кількість інформації в такому повідомленні кінцева. При дискретній формі представлення інформації окремим елементам її можуть бути привласнені числові (цифрові) значення. У таких випадках маємо цифрову інформацію.

Елементи, з яких складається дискретне повідомлення, називають буквами чи символами. Набір цих букв (символів) утворює алфавіт. Число символів в алфавіті називається об’ємом алфавіту. Дискретне повідомлення можна розбити на групи символів, що називаються словами. Зі слів можуть формуватися більш складні структури (записи, файли, томи і т.д.), але тут ці поняття не розглядаються, тому що не є істотними для подальшого розгляду. Помітимо тільки те, що найбільш простим є двоїчний алфавіт.

Звичайно в КС інформація представляється двоїчним алфавітом, що фізично реалізується сигналом, здатним приймати два добре помітних значення, наприклад, електрична напруга високого і низького рівня, протилежні значення напруженості магнітного поля і т.д. Найважливішою вимогою до фізичних аналогів двоїчного алфавіту є можливість надійного розпізнавання двох різних значень сигналу, що при описі функціонування схем позначають символами 0 (нуль) і 1 (одиниця).

Таким чином, серед основних форм використання інформації можуть бути названі:

• символьно-текстова (інформація, представлена сукупністю букв, цифр, знаків і т.п.);

• графічна (зображення і т.п.);

звукова.

Важливою характеристикою інформації також є її структура. Структура інформації – це те, що визначає взаємозв'язок між її складовими елементами. Фундаментальною властивістю інформації є властивість системності. Як відомо, системою називають таку сукупність, що має такі властивості, якими не володіє жоден із вхідних до неї елементів окремо. Без особливих затруднень можна привести масу прикладів, які демонструють, що об'єднання розрізнених інформаційних сигналів породжує систему з якісно більш високою змістовною цінністю.

Практичне значення наукових підходів до визначення терміна «інформація» зв'язано з рішенням проблеми виміру інформації. Відповідно до положень загальної теорії інформації як еталон міри для неї вибирається деякий абстрактний об'єкт, що може знаходитися в одному з двох станів (наприклад, включений/виключений, так/ні, 0/1 і т.п.), чи, як ще говорять, бінарний об'єкт. Говорять, що такий об'єкт містить інформацію в 1 біт. Безумовно, даний метод виміру інформації багато в чому був визначений можливостями її збереження в різних технічних пристроях, де на елементарному рівні інформація запам'ятовується за допомогою магнітно-електричних пристроїв, що можуть знаходитися або в намагніченому, або в розмагніченому станах. Від біта як найменшої міри кількості інформації створюються похідні одиниці:

  • 1 байт = 8 біт;

  • 1 кілобайт (Кбайт) = 1024 байт = 210 байт;

  • 1 мегабайт (Мбайт) = 1024 кілобайт = 220 байт;

  • 1 гігабайт (Гбайт) = 1024 мегабайт = 230 байт і т.д.

Як можна помітити, префікси кіло-, мега- і т.п. тут вживаються в відмінному від традиційного змісту, означаючи множення на 1024 = 210, а не на тисячу. Дане рішення дозволяє гармонійно зв'язати методи виміру інформації з бінарною (двійковою) організацією системи її збереження.

Інформація в КС піддається різним процесам: введення, збереження, обробка, вивід.

Введення інформації у КС може здійснюватися з перфокарт, перфострічок, магнітних стрічок, барабанів, дисків, дискет, клавіатури, спеціальних пультів і т.д. Збереження інформації здійснюється на запам'ятовуючих пристроях – оперативних запам’ятовуючих пристроях, різних регістрах пам'яті, магнітних стрічках, барабанах, дисках, дискетах і т.д. Обробляється у КС інформація відповідно до прийнятого в даній системі порядку (ОС, ПЗ) і т.д.). Для виводу інформації є багато каналів (візуальний, звуковий, друк та ін.).

Найбільш загальними інформаційними процесами, що відбуваються в АСОД, є наступні:

  • інформаційно-довідкове забезпечення;

  • інформаційне забезпечення задач;

  • обслуговування інформаційних баз.

Усі вони реалізуються персоналом за допомогою апаратних засобів, ПЗ та інформаційних баз АСОД.

Міркування про якісну зміну тієї ролі, яку інформація стала грати як у житті суспільства в цілому, так і в житті окремих особистостей, можна зустріти на сторінках наукової, публіцистичної і навіть художньої літератури. Постараємося в стиснутому виді узагальнити, у чому найбільш яскраво виразилися ці зміни:

•по-перше, протягом останніх десятиліть спостерігається незмінне прискорення темпів росту обсягу інформації. Коротко і ємко дана ситуація була сформульована у виді тези: «Інформація – це єдиний неубутний ресурс суспільства». Наслідком такого положення справ став кількісний бар'єр у процесах обробки інформації: грубо кажучи, іноді інформацію нема рації збирати і зберігати, тому що все рівно відсутні можливості її обробки і раціонального використання;

•по-друге, зросла питома вага комунікативних проблем (перекручування і втрати інформації в процесі обробки та передачі);

•по-третє, серйозні труднощі породжує наявність міжмовних, географічних, адміністративних, термінологічних і інших бар'єрів;

•по-четверте, практичне застосування інформації найчастіше стає неможливим через її хаотичне розосередження по різних джерелах (так зване розсіювання інформації).

Робота з вирішення перерахованих проблем у кінцевому рахунку привела до виділення самостійної наукової дисципліни – інформатики, предметом якої стали властивості інформації, її поводження в техногенних, соціальних і біологічних системах, а також методи і технології, орієнтовані на збір, обробку, збереження, передачу і поширення інформації, чи, коротко, інформаційні технології (ІТ).

Контрольні запитання

1. Які основні об'єкти захисту вам відомі?

2. Що таке безпечна діяльність підприємства чи організації?

3. Що таке інформація?

4. Що таке канал передачі інформації?

5. Яка різниця між знаннями та даними?

6. Назвіть основні форми використання інформації.

7. Якім процесам піддається інформація в комп’ютерній системі?

8. Сформулюйте якісні зміни тієї ролі інформації, яку вона стала грати в житті сучасного суспільства.

З повагою ІЦ “KURSOVIKS”!