УРОК 5
ТЕМА: "Види заходів протидії загрозам безпеки. Правові основи забезпечення безпеки інформаційних технологій"
ТЕМА: "Види заходів протидії загрозам безпеки. Правові основи забезпечення безпеки інформаційних технологій"
МОДУЛЬ "ІНФОРМАЦІЙНА БЕЗПЕКА" Урок 5.pptx".pptxПЛАН ОПРАЦЮВАННЯ ТЕМИ УРОКУ
ПЛАН ОПРАЦЮВАННЯ ТЕМИ УРОКУ
- Переглянути навчальну презентацію до уроку.
2. Опрацювати опорний конспект з теми на даній сторінці.
2. Опрацювати опорний конспект з теми на даній сторінці.
3. Практичне завдання.
3. Практичне завдання.
ОПОРНИЙ КОНСПЕКТ
ОПОРНИЙ КОНСПЕКТ
В основі комплексу заходів щодо інформаційної безпеки повинна бути стратегія захисту інформації. У ній визначаються мета, критерії, принцип і процедури, необхідні для побудови надійної системи захисту. Найважливішою особливістю загальної стратегії інформаційного захисту є дослідження системи безпеки. Можна виділити два основних напрямки:
В основі комплексу заходів щодо інформаційної безпеки повинна бути стратегія захисту інформації. У ній визначаються мета, критерії, принцип і процедури, необхідні для побудови надійної системи захисту. Найважливішою особливістю загальної стратегії інформаційного захисту є дослідження системи безпеки. Можна виділити два основних напрямки:
• аналіз засобів захисту;
• аналіз засобів захисту;
• визначення факту вторгнення.
• визначення факту вторгнення.
На основі концепції безпеки інформації розробляються стратегія безпеки інформації та архітектура системи захисту інформації, а далі – політика безпеки інформації
На основі концепції безпеки інформації розробляються стратегія безпеки інформації та архітектура системи захисту інформації, а далі – політика безпеки інформації
Розробку концепції захисту рекомендується проводити в три етапи:
Розробку концепції захисту рекомендується проводити в три етапи:
І етап – визначення цінності об’єкта захисту інформації.
І етап – визначення цінності об’єкта захисту інформації.
ІІ етап – аналіз потенційних дій зловмисників
ІІ етап – аналіз потенційних дій зловмисників
ІІІ етап – оцінка надійності встановлених засобів захисту інформації на об’єкті.
ІІІ етап – оцінка надійності встановлених засобів захисту інформації на об’єкті.
На першому етапі повинна бути чітко визначена цільова установка захисту, тобто які реальні цінності, виробничі процеси, програми, масиви даних необхідно захищати. На цьому етапі доцільною диференціювати за значимістю окремі об'єкти, що вимагають захисту, та, у відповідності до цього, встановлення ступенів захисту об’єктів і елементів технічного і програмного забезпечення ІАС (файлів, програм, пакетів дисків, ПЕОМ в цілому).
На першому етапі повинна бути чітко визначена цільова установка захисту, тобто які реальні цінності, виробничі процеси, програми, масиви даних необхідно захищати. На цьому етапі доцільною диференціювати за значимістю окремі об'єкти, що вимагають захисту, та, у відповідності до цього, встановлення ступенів захисту об’єктів і елементів технічного і програмного забезпечення ІАС (файлів, програм, пакетів дисків, ПЕОМ в цілому).
Об’єктом спільного використання є пам’ять, пристрої введення-виведення (наприклад, диски, принтери), програми, дані.
Об’єктом спільного використання є пам’ять, пристрої введення-виведення (наприклад, диски, принтери), програми, дані.
На другому етапі повинен бути проведений аналіз злочинних дій, що потенційно можуть бути зроблені стосовно об'єкта, що захищається, визначення усіх можливих загроз та каналів витоку інформації. Важливо визначити ступінь реальної небезпеки таких найбільш широко розповсюджених злочинів, як економічне шпигунство, саботаж, крадіжки зі зломом. Потім потрібно проаналізувати найбільш ймовірні дії зловмисників стосовно основних об'єктів, що потребують захисту.
На другому етапі повинен бути проведений аналіз злочинних дій, що потенційно можуть бути зроблені стосовно об'єкта, що захищається, визначення усіх можливих загроз та каналів витоку інформації. Важливо визначити ступінь реальної небезпеки таких найбільш широко розповсюджених злочинів, як економічне шпигунство, саботаж, крадіжки зі зломом. Потім потрібно проаналізувати найбільш ймовірні дії зловмисників стосовно основних об'єктів, що потребують захисту.
Головною метою третього етапу є аналіз обставин, у тому числі місцевих специфічних умов, виробничих процесів, уже встановлених технічних засобів захисту. Визначаються вимоги до системи захисту, здійснюється вибір заходів, методів і засобів захисту інформації та їх впровадження і організація використання.
Головною метою третього етапу є аналіз обставин, у тому числі місцевих специфічних умов, виробничих процесів, уже встановлених технічних засобів захисту. Визначаються вимоги до системи захисту, здійснюється вибір заходів, методів і засобів захисту інформації та їх впровадження і організація використання.
У загальному випадку існують чотири стратегії захисту.
У загальному випадку існують чотири стратегії захисту.
1. Нікого не впускати. Це повна ізоляція. Вона забезпечує найкращий захист, але перешкоджає використанню інформації або послуг від інших, і передачі їх іншим користувачам. Це непрактично для всіх.
1. Нікого не впускати. Це повна ізоляція. Вона забезпечує найкращий захист, але перешкоджає використанню інформації або послуг від інших, і передачі їх іншим користувачам. Це непрактично для всіх.
2. Не впускати порушників. Програми всередині цього захисту можуть бути легковірними. Це дозволяє зробити електронні цифрові підписи програм і міжмережеві екрани (МЕ).
2. Не впускати порушників. Програми всередині цього захисту можуть бути легковірними. Це дозволяє зробити електронні цифрові підписи програм і міжмережеві екрани (МЕ).
3. Пустити порушників, але перешкодити їм в заподіянні шкоди. Традиційним способом захисту служить динамічне ПЗ типу sandboxing, що створює в компʼютері захищений простір (sandbox), в якому може виконуватися підозрілий код, і в типовому випадку використовує контроль доступу до ресурсів, щоб визначити порушення.
3. Пустити порушників, але перешкодити їм в заподіянні шкоди. Традиційним способом захисту служить динамічне ПЗ типу sandboxing, що створює в компʼютері захищений простір (sandbox), в якому може виконуватися підозрілий код, і в типовому випадку використовує контроль доступу до ресурсів, щоб визначити порушення.
4. Захопити порушників і переслідувати їх. Це роблять аудит і силові структури
4. Захопити порушників і переслідувати їх. Це роблять аудит і силові структури
Види заходів протидії загрозам безпеки
Види заходів протидії загрозам безпеки
Всі заходи протидії комп'ютерним злочинам, що безпосередньо забезпечують безпеку інформації, можна підрозділити на:
Всі заходи протидії комп'ютерним злочинам, що безпосередньо забезпечують безпеку інформації, можна підрозділити на:
- правові;
- організаційно-адміністративні;
- інженерно-технічні.
До правових заходів варто віднести розробку норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства.
До правових заходів варто віднести розробку норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства.
До організаційно-адміністративних заходів відносяться: охорона комп'ютерних систем, підбір персоналу, виключення випадків ведення особливо важливих робіт тільки однією людиною, наявність плану відновлення працездатності центру після виходу його з ладу, обслуговування обчислювального центру сторонньою організацією або особами, незацікавленими в приховуванні фактів порушення роботи центру, універсальність засобів захисту від усіх користувачів (включаючи вище керівництво), покладання відповідальності на осіб, що повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.
До організаційно-адміністративних заходів відносяться: охорона комп'ютерних систем, підбір персоналу, виключення випадків ведення особливо важливих робіт тільки однією людиною, наявність плану відновлення працездатності центру після виходу його з ладу, обслуговування обчислювального центру сторонньою організацією або особами, незацікавленими в приховуванні фактів порушення роботи центру, універсальність засобів захисту від усіх користувачів (включаючи вище керівництво), покладання відповідальності на осіб, що повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.
До інженерно-технічних заходів можна віднести:
До інженерно-технічних заходів можна віднести:
- захист від несанкціонованого доступу до комп'ютерної системи,
- резервування важливих комп'ютерних систем,
- забезпечення захисту від розкрадань і диверсій,
- резервне електроживлення, розробку і реалізацію спеціальних програмних і апаратних комплексів безпеки тощо.
Вправа "Організаційні принципи"
Вправа "Організаційні принципи"
Виконати вправу. фотозвіт надіслати в Гугл -Клас.
Виконати вправу. фотозвіт надіслати в Гугл -Клас.
ПРАКТИЧНА РОБОТА
ПРАКТИЧНА РОБОТА
Завдання:
Завдання:
Створіть текстовий документ, що містить відомості про систему інформаційної безпеки.
Створіть текстовий документ, що містить відомості про систему інформаційної безпеки.
Подайте знайдені відомості в текстовому документі у зручному вигляді (таблиці, схеми тощо).
Подайте знайдені відомості в текстовому документі у зручному вигляді (таблиці, схеми тощо).
Роботу надіслати в ГУГЛ-КЛАС.
Роботу надіслати в ГУГЛ-КЛАС.
УСПІХІВ!
УСПІХІВ!
