Національні стандарти україни

Міністерство освіти і науки України

Відокремлений структурний підрозділ Золочівський коледж Національного університету «Львівська політехніка»

Циклова комісія природничо-математичних та комп’ютерних дисциплін

ПЛАН-КОНСПЕКТ ПРОВЕДЕННЯ

ЛЕКЦІЙНОГО ЗАНЯТТЯ З НАВЧАЛЬНОЇ ДИСЦИПЛІНИ

ІНФОРМАТИКА

Тема 10. Основи інформаційної безпеки.

Мета: сформувати та визначити поняття типів інформації, які необхідно захищати в комп’ютерних системах та мережах. Конфіденційність, доступність і цілісність інформації. Класифікація загроз безпеки та вразливостей інформації в комп’ютерних системах. Етичні та правові основи захисту інформації. Інтелектуальна власність, авторське право та комерційна таємниця. Стандарти інформаційної безпеки. Поняття про соціальний інжиніринг. Політика безпеки. Загрози, що походять з Інтернету. Правила безпечної роботи в Інтернеті. Призначення й використання брандмауера. Засоби браузера, призначені для гарантування безпеки.

Кількість годин 2 год.

План лекції (навчальні питання):

1. Основні об’єкти та типи інформації, які необхідно захищати в комп’ютерних системах та мережах. Конфіденційність, доступність і цілісність інформації. Класифікація загроз безпеці та вразливостей інформації в комп’ютерних системах.

2. Етичні та правові основи захисту інформації. Інтелектуальна власність, авторське право та комерційна таємниця.

3. Стандарти інформаційної безпеки. Поняття про соціальний інжиніринг. Політика безпеки. Загрози, що походять з Інтернету. Правила безпечної роботи в Інтернеті.

4. Призначення й використання брандмауера. Засоби браузера, призначені для гарантування безпеки.

Література:

1. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей: учеб. Пособие.− М.: ИД «Форум»: Инфра-М, 2008.− 416 с.

2. Брошура-CERT-UA-Інформаційна-безпека

КОНСПЕКТ ЛЕКЦІЇ

Питання 1. Основні об’єкти та типи інформації, які необхідно захищати в комп’ютерних системах та мережах. Конфіденційність, доступність і цілісність інформації. Класифікація загроз безпеці та вразливостей інформації в комп’ютерних системах.

Зважаючи на динаміку розвитку та глобалізацію інформаційних технологій (далі – ІТ), процес впровадження та використання ІТ у більшості сфер сьогоденного суспільного життя набув неабиякої актуальності.

Розвиток засобів інтерактивної комунікації та інформаційного обміну:

· соціальні мережі;

· електронний поштовий обмін;

· обмін миттєвими повідомленнями;

· відеозв’язок та Інтернет-телефонія.

Інформатизація та автоматизація виробничих процесів і більшості сфер суспільного життя:

· побудова локальних (корпоративних) обчислювальних мереж;

· систематизація інформації в базах даних;

· платформи для сумісної роботи користувачів;

· загальний доступ до ресурсів;

· VoIP та відеозв'язок;

· електронний документообіг;

· система управління взаємовідносинами з клієнтами CRM;

· система планування ресурсів підприємства ERP;

· система управління інформаційної безпекою;

· контроль та управління доступом.

Відповідно до статті 1 Закону України «Про інформацію»:

інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді;

захист інформації – сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.

Статтею 10 цього Закону передбачено порядок класифікації інформації за змістом і за порядком доступу.

Слід зазначити, що саме завдяки прийнятому порядку класифікації інформаційних ресурсів існує можливість відсортувати останні за важливістю та висунути конкретні (оптимальні) вимоги до їх захисту. У Законі України «Про доступ до публічної інформації» наводяться такі визначення:

конфіденційна інформація (ст. 7) – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.

службова інформація (ст. 9) – інформація, що:

- міститься в документах суб’єктів владних повноважень, які становлять внутрівідомчу службову;

- кореспонденція, доповідні записки, рекомендації, якщо вони пов’язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень;

- зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.

таємна інформація (ст. 9) – інформація, доступ до якої обмежується в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя, розголошення якої може завдати шкоди особі, суспільству і державі.

Інформація має такі властивості:

конфіденційність – властивість інформації бути захищеною від несанкціонованого ознайомлення;

цілісність – властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;

доступність – властивість інформації бути захищеною від несанкціонованого блокування;

спостережність – властивість інформації, що дозволяє фіксувати діяльність користувачів і процесів, а також встановлювати їх ідентифікатори;

автентичність – властивість інформації, що дозволяє ідентифікувати джерело її походження (встановлювати авторство).

Питання 2. Етичні та правові основи захисту інформації. Інтелектуальна власність, авторське право та комерційна таємниця.

Залежно від можливих порушень у роботі системи та загроз несанкціонованого доступу до інформації численні види захисту можна об’єднати у такі групи: морально-етичні, правові, адміністративні (організаційні), технічні (фізичні), програмні.

Морально-етичні засоби. До цієї групи належать норми поведінки, які традиційно склались або складаються з поширенням ЕОМ, мереж і т. ін. Ці норми здебільшого не є обов’язковими і не затверджені в законодавчому порядку, але їх невиконання часто призводить до падіння авторитету та престижу людини, групи ociб, організації або країни. Морально-етичні норми бувають як неписаними, так і оформленими в деякий статут. Найбільш характерним прикладом є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.

Правові засоби захисту — чинні закони, укази та інші нормативні акти, які регламентують правила користування інформацією і відповідальність за їх порушення, захищають авторські права програмістів та регулюють інші питання використання ІТ.

У самому широкому розумінні інтелектуальна власність - це законодавчо закріплені права на результати інтелектуальної діяльності людини у різних сферах суспільного життя.

Витвір людського генію, наприклад, такий як ідея музичного твору або винаходу, не може, на відміну від матеріальних речей, гарантувати від їх використання сторонніми особами лише через те, що хтось інший вже володіє ними. Після того як щось створене людським інтелектом стало відомо громадськості, творець вже не в змозі самостійно контролювати його використання. Саме це і є головним у законодавстві стосовно інтелектуальної власності.

Інтелектуальна власність поділяється на авторське право та комерційну таємницю.

Авторське право надає авторам та іншим творцям інтелектуальних творів в галузі літератури, музики або мистецтва певні права, що дають останнім право дозволяти або забороняти протягом певного обмеженого у часі періоду ті або інші види використання власних творів.

Комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв'язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.

Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.

Не є комерційною таємницею установчі документи, документи, що дозволяють займатися господарською діяльністю, інформація за всіма встановленими формами державної звітності, дані, потрібні для обчислення й сплати податків (інших обов'язкових платежів) та документи про їх сплату й платоспроможність підконтрольного об'єкта тощо.

Питання 3. Стандарти інформаційної безпеки. Поняття про соціальний інжиніринг. Політика безпеки. Загрози, що походять з Інтернету. Правила безпечної роботи в Інтернеті.

Національні стандарти України

ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та проектної документації для будівництва

ДСТУ 3396 0-96 Технічний захист інформації. Основні положення.

ДСТУ 3396 1-96 Технічний захист інформації. Порядок проведення робіт.

ДСТУ 3396.2-97 Технічний захист інформації. Терміни та визначення.

ДСТУ 4145-2002 Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевірка

Наши рекомендации