4. Класифікація уразливостей безпеці.

Download Report

Transcript 4. Класифікація уразливостей безпеці.

Лекція №7 Основи безпеки інформаційних ресурсів

План 1.

Загальні поняття та положення.

Класифікація загроз безпеці інформації

Класифікація джерел загроз.

Класифікація уразливостей безпеці.

Основні напрями забезпечення безпеки інформації та інформаційних ресурсів.

1. Загальні поняття та положення.

Джерело загрози

— це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.

Загроза

будь-якого користувачу,

(дія)

(потенційна або така, що існує реально) вчинення діяння що — це (дії можлива або проявляється як небезпека бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток власнику або небезпека спотворення або втрати інформації.

Фактор (уразливість)

об'єкті та зумовлені — це властиві об'єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному вадами процесу функціонування об'єкта інформатизації, властивостями архітектури інформаційно телекомунікаційної програмним системи, обміну та інтерфейсами, що застосовуються забезпеченням і протоколами апаратними засобами, умовами експлуатації.

Наслідки

реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (ура зливості) .

(атака) — це можливі наслідки

Атака

— це завжди пара "джерело-фактор", що реалізує загрозу та приводить до збитків.

Механізм формування атаки

ДЖЕРЕЛО ЗАГРОЗИ source ФАКТОР ( уразливість) vulnerability ОБ’ЄКТ ЗАХИСТУ object ЗАГРОЗА ( дія) threat НАСЛІДКИ ( атака) attack ОБ’ЄКТ ЗАХИСТУ object

2. Класифікація загроз безпеці інформації

Загрози безпеці інформації

information security threats - загрози викрадення, зміни або знищення інформації

Загрози доступності

threats of accessibility · блокування інформації · знищення інформації та засобів її оброблення

Загрози цілісності

threats of a integrity · модифікація (спотворення) інформації · заперечення дійсної інформації · нав’язування фальшивої інформації

Загрози конфіденційності

threats of privacy · викрадення (копіювання) інформації та засобів її оброблення · утрата (ненавмисна втрата, витік) інформації та засобів її оброблення

3. Класифікація джерел загроз

Носіями загроз безпеці інформації є

загроз.

джерела

Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви.

Причому, джерела загроз можуть знаходитися джерела.

як усередині організації — внутрішні джерела, так і ззовні її — зовнішні

Джерела загроз інформації

source of threats - носії загроз безпеці інформації

Антропогенні джерела

anthropogenic source of threats

Стихійні джерела

natural source of threats

Техногенні джерела

technogenic source of threats

Антропогенні джерела загроз

Антропогенними

кваліфіковані як

джерелами

виступають суб'єкти, дії яких можуть бути навмисні або

загроз

випадкові злочини.

Ця група джерел загроз найбільш численна та представляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи.

Антропогенним вважати джерелом суб'єкта, що загроз має можна доступ (санкціонований роботи зі штатними засобами об'єкта, що підлягає захисту.

або несанкціонований) до як Суб'єкти (джерела), дії яких можуть привести до порушення безпеки інформації, можуть бути

зовнішніми, так і внутрішніми.

Антропогенні джерела

anthropogenic source of threats

Зовнішні антропогенні джерела:

· кримінальні структури; · потенційні злочинці та хакери; · недобросовісні партнери; · технічний персонал телематичних послуг; · представники організацій та аварійних служб; наглядових · представники силових структур

Внутрішні антропогенні джерела:

· основний персонал ( користувачі, програмісти); · представники захисту ( адміністратори); · допоміжний розробники, служби інформації склад ( прибиральники, охорона) · технічний персонал ( життєзабезпе-чення, експлуатація)

Техногенні джерела

Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації.

наслідки, викликані такою діяльністю, вийшли з під контролю людини та діють самі по собі.

Проте Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути

зовнішніми та внутрішніми.

Техногенні джерела

technogenic source of threats

Зовнішні техногенні джерела:

· засоби зв’язку; · мережа інженерних комунікацій ( водо постачання, каналізація); · транспорт ·

Внутрішні техногенні джерела:

неякісні технічні засоби оброблення інформації; · неякісні програмні засоби оброблення інформації; · допоміжні засоби (охоронна сигналі-зація, телефони); · інші технічні засоби, що застосовуються в організації

Стихійні джерела

Третя обставини, що складають непереборну силу, тобто такі обставини, які носять об'єктивний і абсолютний характер, що розповсюджується на всіх.

група джерел загроз об'єднує Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.

Стихійні джерела

natural source of threats

Зовнішні стихійні джерела:

· пожежі; · землетруси; · повені; · урагани; · магнітні бурі; · радіоактивне випромінювання; · різноманітні непередбачені обставини; · непояснені явища; · інші форс-мажорні обставини

4. Класифікація уразливостей безпеці.

Загрози, як можливі небезпечності здійснення будь-якої дії, спрямованої об'єкті інформатизації.

проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інформації на конкретному • • • Уразливості безпеці інформації можуть бути: об'єктивними; суб'єктивними; випадковими.

Об'єктивні уразливості

Об'єктивні уразливості

залежать від особливостей характеристик обладнання, що застосовується на об'єкті захисту.

побудови та технічних Повне неможливе, усунення але вони цих уразливостей можуть суттєво послаблятися технічними методами відбивання загроз безпеці інформації.

технічними та інженерно-

Об’єктивні уразливості

objective a vulnerability

Випромінювання технічних засобів:

· електромагнітні; · електричні; · звукові

Такі, що активізуються:

· апаратні закладки; · програмні закладки

Такі, що елементів:

· елементи,

визначаються

здатні до

особливостями

електроакустичного перетворення; · елементи, що піддаються пливу електромагнітного поля

Такі, що визначаються особливостями об’єкта захисту:

· місцезнаходженням об’єкта; · організацією каналів обміну інформацією

Суб'єктивні уразливості

дій співробітників вилучаються і, в залежать від основному, організаційними програмно-апаратними методами.

та

Суб’єктивні уразливості

subjective a vulnerability

Помилки (халатність):

· при підготовці та використанні прог-рамного забезпечення; · при експлуатації технічних засобів; · некомпетентні дії; · ненавмисні дії

Порушення:

· режиму захисту і оборони; · режиму експлуатації технічних засобів та програмного забезпечення; · використання інформації

Психогенні:

· психологічні; · психічні; · фізіологічні

Випадкові уразливості

Випадкові уразливості

залежать захисту, та непередбачених обставин.

від особливостей середовища, яке оточує об'єкт Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки при проведення комплексу організаційних та інженерно технічних заходів із протидії загрозам інформаційній безпеці.

Випадкові уразливості

random a vulnerability

Збої та відмови:

відмови та несправності технічних засобів;

старіння та розмагнічування носіїв

інформації; збої програмного забезпечення;

збої електроживлення

5. Основні напрями забезпечення безпеки інформації та інформаційних ресурсів.

на

Напрями забезпечення безпеки інформації

— це нормативно-правові категорії, орієнтовані забезпечення комплексного організації, на рівні окремої особистості.

захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або

З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації:

правовий захист

— це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;

організаційний захист

— це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям;

інженерно-технічний захист

різноманітних технічних засобів, що перешкоджають нанесенню збитків.

— це використання

Складові захисту інформації

ОРГАНІЗАЦІЙНИЙ ЗАХИСТ ІНФОРМАЦІЇ

- регламентація виробничої діяльності та взаємовідносин виконавців на нормативно правовій основі

Організація режиму та охорони Організація роботи із співробітниками Організація роботи з документами та документованою інформацією Організація використання технічних заходів Організація роботи з аналізу загроз Організація роботи з проведення систематичного контролю

ІНЖЕНЕРНО-ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ

- сукупність спеціальних органів, технічних засобів для їх використання в інтересах захисту конфіденційної інформації

Фізичні засоби захисту

- різноманітні пристрої, конструкції, апарати, вироби, призначені для створення перепон на шляху руху зловмисників

Апаратні засоби захисту

різноманітні технічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступу до джерел конфіденційної інформації:

Програмні засоби захисту

система спеціальних програм, які входять до складу програмного забезпечення

Криптографічні засоби захисту

апаратні, програмні та програмно-апаратні засоби, що реалізують захист інформації за допомогою криптографічних перетворень

ПРАВОВИЙ ЗАХИСТ ІНФОРМАЦІЇ

- спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі

Конституційне законодавство

- норми, що стосуються питань інформатизації та захисту інформації, які входять до конституційного законодавства як складові елементи

Загальні закони та кодекси

- норми з питань інформатизації та захисту інформації

Закони про організацію управління

- закони стосовно окремих структур господарства, економіки, системи державних органів та визначення їх статусу, які включають окремі норми з питань захисту інформації

Спеціальні закони

- сукупність законів, які закладають основи правового забезпечення інформаційної безпеки (Закони України “Про інформацію”, “Про захист інформації в автоматизованих системах” і т.ін.)

Підзаконні нормативні акти

- стандарти, загальнодержавні та відомчі нормативні документи, що орієнтовані на забезпечення захисту інформації

Правоохоронне законодавство

- норми про відповідальність за правопорушення в інформаційній сфері

4. Класифікація уразливостей безпеці.

Transcript 4. Класифікація уразливостей безпеці.

Лекція №7 Основи безпеки інформаційних ресурсів

Загальні поняття та положення.

Класифікація джерел загроз.

Класифікація уразливостей безпеці.

Основні напрями забезпечення безпеки інформації та інформаційних ресурсів.

1. Загальні поняття та положення.

Механізм формування атаки

2. Класифікація загроз безпеці інформації

3. Класифікація джерел загроз

Антропогенні джерела загроз

Техногенні джерела

Стихійні джерела

4. Класифікація уразливостей безпеці.

Об'єктивні уразливості

Суб'єктивні уразливості

Суб'єктивні уразливості

дій співробітників вилучаються і, в залежать від основному, організаційними програмно-апаратними методами.

та

Випадкові уразливості

Випадкові уразливості

random a vulnerability

Збої та відмови:

відмови та несправності технічних засобів;

старіння та розмагнічування носіїв

інформації; збої програмного забезпечення;

збої електроживлення

5. Основні напрями забезпечення безпеки інформації та інформаційних ресурсів.

Складові захисту інформації

Directory