Безпека та захист інформації

інформаційних систем
Принципи побудови систем захисту інформації
Криптографічні методи захисту інформації

інформацією
Розрізняють доступ:
санкціонований
несанкціонований

для запобігання шкоди інтересам власника інформації та осіб, які користуються

інформацією

Інформаційна безпека – це стан захищеності інформації

галузі інформаційної безпеки
Популяризація етичних норм користування інформацією
Боротьба зі спробами технічного

впливу на інформацію
Програмний та криптографічний захист інформації
Антивірусна боротьба
Розвиток системи адміністрування заходами щодо захисту інформації
Підвищення надійності систем опрацювання інформації

безпеці розуміють потенційно можливі події, дії, процеси чи явища, які

можуть негативно вплинути на систему та інформацію, яка у ній зберігається і опрацьовується

властивостей елемента системи, наслідком чого може бути невірне виконання ним

своїх функцій
відмова – незворотна втрата працездатності елемента системи, яка робить неможливою виконання ним відповідних функцій
Диверсії – навмисні дії, спрямовані на пошкодження певного ресурсу:
фізичні (підпал, пошкодження живлення, розкомплектація)
логічні (зміна назв файлів, дисків, підміна програм, даних)
Віруси – навмисно створена програма, яка після проникнення у систему може приєднуватися до інших програм чи даних (інфікувати їх), самостійно поширюватись шляхом створення власних копій, а у випадку виконання певних умов здійснює негативну дію

інформації загрожує незаконним доступом до інформації
електромагнітне наведення – вплив електромагнітного

поля на обладнання і канали зв'язку
Крадіжка – викрадення інформації, обладнання послуг
Крекери – вузькоспрямовані програми, які дають змогу безперешкодно входити в систему чи використовувати захищені програми
Логічні бомби – потенційні дії, які активізуються у випадку виникнення певної події
Необережність – дії суб'єктивного характеру, пов'язані з помилками людини, випадковостями, некомпетентністю
Хибна маршрутизація – навмисний чи випадковий неправильний вибір шляху передавання інформації
Помилки програмування – дії програміста під час програмування, які можуть спричинити збій у системі захисту
Перехоплення – несанкціоноване зняття інформації

підробка та пошкодження даних – дії, що спрямовані на знищення

цілісності даних
Стихійні лиха – об'єктивні природні явища спрямовані на знищення чи пошкодження ресурсів
Суперзаппінг – несанкціоноване використання утиліт для модифікування, знищення, копіювання, розкриття, використання чи заборони на використання даних
Таємний вхід – спеціально створений розробником чи випадково відкритий люк у системі захисту
Троянський кінь – спеціальна програма, яка дає змогу діяти програмному забезпеченню у спосіб непередбачений його специфікацією
Самозванство – використання чужого ідентифікатора для проникнення у систему

називають управління ризиком
У програму управління ризиком входять такі головні елементи:
аналіз

небезпек (спрямований на визначення потенційних небезпек та наслідків реалізації небезпек)
вибір заходів безпеки (звернути особливу увагу на найбільш потенційні втрати від реалізації загроз)
сертифікація (технічне підтвердження того, що заходи безпеки і контролю відповідають встановленим вимогам і вживаються нормально) і акредитація заходів безпеки (це офіційний дозвіл державних органів на вживання, зміну чи відмову від відповідних заходів безпеки )
планування випадковостей (заходи, які спрямовані на забезпечення нормальної роботи найбільш важливих частин систем, у випадку виникнення непередбачуваних подій)

– це система, яка забезпечує використання комплексу процедурних, логічних та

фізичних заходів, спрямованих на зменшення чи усунення загроз для інформації

захисту не повинна вимагати від персоналу спеціальних знань, а також

виконання ним складних і трудомістких операцій
Постійність захисту – механізми захисту повинні бути захищені від несанкціонованого доступу
Тотальний контроль – перевірка повноважень будь-якого суб'єкта (програми чи користувача) щодо прав доступу до будь-якого елемента ІС

повинна надійно функціонувати навіть у випадку, коли загально відома її

структура
Ідентифікація – кожний об'єкт і кожний суб'єкт повинні бути однозначно ідентифіковані у системі захисту
Розподіл повноважень – повноваження щодо використання ресурсів повинні розподілені за кількома рівнями, для кожного з яких повинен застосовуватися свій ключ доступу

суб'єкта надають мінімальний обсяг повноважень, необхідний для нормальної роботи
Надійність –

система захисту повинна мати механізм оцінки рівня захисту
Відокремлення механізмів захисту – механізми захисту повинні бути відокремлені від функцій управління даними

забезпечують захист повинні розміщуватись у захищеній ділянці пам'яті
Зручність – система

захисту повинна бути зручною для користувачів
Контроль доступу – необхідне існування механізму блокування доступу для неаудентифікованих суб'єктів

володіти механізмами документування подій
Вибірковість виконання – дозвіл на виконання лише

тих команд, які не шкодять операційному середовищу
Системний підхід – система захисту повинна враховувати усю сукупність чинників, які впливають на рівень захищеності

захисту повинні узгоджуватись між собою усі заходи захисту інформації
Нарощення –

система захисту повинна передбачати, що кількісні та якісні показники загроз будуть зростати
Адекватність – заходи безпеки повинні бути адекватними до визначеного рівня захисту

повинна передбачати процедури покарання зловмисників
Гнучкість – система захисту повинна давати

можливість коригувати рівень захисту
Неперервність захисту – захист інформації є постійно триваючим процесом

державну таємницю”
Закон України “Про захист інформації в автоматизованих системах”
Закон України

“Про науково-технічну інформацію”

для криптографічного перетворення інформації (шифрування, дешифрування)
Стеганографічні засоби – засоби, які

забезпечують приховування факту існування інформації

практичних рекомендацій, які покладені в основу управління, захисту і розподілу

інформації в ІС

Розрізняють два основні види політики безпеки:
вибіркова політика безпеки (передбачає використання матриці доступу)
повноважна політика безпеки (мітки конфіденційності та рівні допуску)

про математичні методи забезпечення конфіденційності і автентичності інформації
Криптоаналіз – наука

про математичні методи порушення конфіденційності і цілісності інформації без знання ключа
Шифрування – перетворення відкритого (явного) тексту у шифрограму (криптограму)
Дешифрування – зворотне перетворення шифрограми у відкритий текст
Ключ – таємний параметр, який використовують для шифрування і (чи) дешифрування інформації

дешифрування використовують той самий ключ



Асиметричний (з публічним ключем) – для

шифрування і дешифрування використовують окремі ключі

– номер літери в явному тексті,
n – крок,
Z

– кількість літер алфавіту

04(e), ... 25(z) → 02(c)
imperium → lpshulxp

C=P+5(mod 26)
imperium → nrujwnzr

C=P-2(mod

26)
imperium → gkncpgsk

удпл

р

п o р ф я
криптографія → к и т г a i → рпорфякитгаі

h=3
и o a я
р т р і
криптографія → к п г ф → иоаяртрікпгф

Для розглянутих прикладів довжина перестановки й висота частоколу є
ключем шифрування й дешифрування

тут → 52 45 41 45 46 45
У випадку в’язниці

вистукують кожну цифру криптограми, роблячи паузи між окремими цифрами:
••••• •• •••• ••••• •••• • •••• ••••• •••• •••••• •••• •••••

→ б, л → с, х → д, т →

ж

Зустріч відмінено → аглжбцп єцхоцфґфм