ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

1. Безпека інформаційних систем

Гарантування безпеки системи потребує комплексного підходу. Слід захищати всю систему, а не
лише її окремі елементи. До цього має примушувати політика інформаційної безпеки фірми.
Безпечна система має відповідати наступним вимогам:

• Доступність даних – уповноважені особи мають до них доступ у будь-який час та будь-якому
місці,
• Конфіденційність ресурсів – дані захищені від несанкціонованого доступу,
• Цілісність – ресурси системи завжди повні та правильні.
Систему захисту складають усі організаційні, технічні, процесуальні та фізичні заходи, що
використовуються для її встановлення. Її найважливішою функцією є забезпечення безперервності
діяльності організації, яку вона обслуговує. Система захисту повинна охоплювати не лише
контрольні процедури під час нормальної роботи системи, але також проблемні ситуації та ситуації,
коли необхідно відновити режим правильної роботи системи.
Користування комп'ютерами, особливо комп'ютерами, що працюють у комп'ютерній мережі,
пов'язані з ризиком появи особливих загроз. Це можуть бути:

• Аварія системи – система безпечна настільки, наскільки безпечним є її найслабша ланка,

• Помилки у програмному забезпеченні – немає безпомилкових комп'ютерних програм – є
помилки, про які ми ще не знаємо,
• "Комп'ютерні віруси" – безкоштовні комп'ютерні програми, про наявність яких ми дізнаємося,
коли вже надто пізно
• Електронне підслуховування – один із способів зменшення власних витрат
• Крадіжка або втрата даних – наслідок дій сучасного зломщика або безтурботності
співробітника
• Отримання або зламування пароля для отримання доступу до системи неуповноваженою
особою – спрощує виконання попереднього пункту
• Неправильне або невідповідне використання комп'ютерних програм – чим вище
повноваження, тим дорожче помилка
• Залишити увімкнені комп'ютери без нагляду – можна також залишити записку "Скоро
повернуся. Ключі під килимком."
• Звільнення з роботи користувача з високими повноваженнями – міра за міру
• Хвороба системного адміністратора
• Порушення правил ліцензії – безкоштовно можна отримати лише комп'ютерні віруси
• Зміни у законодавстві – закони змінюються зі швидкістю світла
• Низький рівень обізнаності щодо загроз серед користувачів системи – останній цвях у кришку
труни
Термін "комп'ютерні віруси" – це велике спрощення значення. Мається на увазі різного роду malware
- шкідливе програмне забезпечення, дія якого призводить до виконання непередбачених
користувачем операцій.
Декілька слів пояснення вимагає поняття порушення правил ліцензії. Законом про захист авторських
та суміжних прав чітко регулюються правила захисту інтелектуальної власності. До цього додається
питання ліцензії на наявні комп'ютерні програми, тобто договір про їх використання підписаний між
покупцем та продавцем. Незаконним є використання комп'ютерних програм, на які ми не маємо

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 1

 ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

ліцензії, а також недотримання ліцензійних умов, наприклад одночасне використання програмного

забезпечення на більшій кількості комп'ютерів, ніж зазначено у договорі.
Штрафом за такі дії покараний буде співробітник, у якого буде виявлено таке програмне
забезпечення (якщо він підписав відповідний пункт у трудовому договорі), а також покарано буде
особу, яка в документах фірми зазначена відповідальною за програмне забезпечення та директор чи
власник фірми. Санкції за такі дії зазвичай зводяться до штрафу. Зазвичай штраф накладається на
фірму і становить багаторазовість (10x) вартості виявленого незаконного програмного забезпечення.

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 2

 ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

З метою захисту системи вживаються заходи на багатьох рівнях:

Логічний рівень
• Створення системи авторизації та системи паролів – обмеження кількості функцій, доступних
користувачеві, необхідність зміни паролів у певний час
• Реєстрація всіх подій у системі – автоматично створюється файл, у якому будуть записані
виконувані дії та користувачі, які ці дії виконали
• Використання шифрування та електронного підпису – запобігання читанню даних та їх змін
невповноваженими особами
• Перевірка цілісності даних – дає впевненість у тому, що дані повні та правильні
Фізичний рівень
• Обмеження доступу до приміщень, в яких знаходяться комп'ютери та мережне обладнання
• Дублювання важливих елементів системи – сервера, жорстких дисків, блоків живлення, ліній
зв'язку тощо
• Безпечне зберігання резервної копії
• Поділ локального сервера та зовнішнього середовища – крім зв'язку з іншими локальними
серверами, спеціалізоване програмне забезпечення дозволяє потрапити в наш сервер лише
тій інформації, якої ми потребуємо
Процедурний рівень
• Діяти згідно з правилом, що все, що не дозволено, – заборонено
• Повідомляти особу відповідальну за безпеку системи про всі помилки в її діях
• Введення обмежень для користувачів – у кожного є доступ лише до тих ресурсів, які йому
потрібні під час роботи

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 3

 ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

2. Шкідливі програми
Єдині безкоштовні комп'ютерні програми – що не означає, що ми за них не платимо – це звані
Шкідливі програми (англ. Malware). Під цією назвою криється різноманітне програмне забезпечення,
яке має шкідливий або поганий вплив на вміст комп'ютера. Залежно від способу дії ми можемо
розділити шкідливі програми на кілька основних видів:
Комп'ютерний вірус – програма чи фрагмент виконуваного коду, який приєднується до іншої
програми, переписує чи замінює іншу комп'ютерну програму з метою копіювання себе без дозволу
користувача. Так звані Макровіруси заражають
документи офісних пакетів.
Мережевий
Мережеві черв'яки – шкідливі програми, що черв'як
поширюються тільки через мережу. Це
перший відомий різновид шкідливої
програми. Їм не потрібна програма
"годувальник", як типовим комп'ютерним
Шкідливі
вірусам. Часто поширюються електронною Експлойт Вірус
програми
поштою.
Троянська програма – не поширюється таким
же способом, як комп'ютерний вірус, але її
робота також шкідлива. Переховується під
Троян
назвою або в частині файлу, який здається
користувачеві корисним. Крім правильної
роботи файлу, що відповідає його назві,
маскуючись, троянська програма виконує завдання, що завдають шкоди користувачеві, наприклад,
відкриває порт комп'ютера, через який може статися атака зловмисника. У цій групі ми хочемо
звернути Вашу увагу на три види програм.
Бекдор – дозволяє отримати доступ до керування інфікованим комп'ютером. Програма дає
можливість керувати ураженим комп'ютером, у тому числі видаляти та зберігати дані. Бекдор
маскується під файли та комп'ютерні програми, з якими часто працює користувач. Бекдор дозволяє
проводити системні операції через Інтернет. Програма виконує завдання на зламаному комп'ютері
без відома та всупереч бажанню користувача.
Шпигунське програмне забезпечення (Spyware) – програма, яка збирає інформацію про користувачів
комп'ютера без згоди останніх. Програма збирає інформацію про те, які сайти відвідує користувач, які
у користувача паролі доступу і т.п. Програма часто є додатковою прихованою частиною іншої
програми, яку користувачеві важко видалити і якою не можна керувати. Шпигунське програмне
забезпечення може виконувати дії без відома користувача – змінювати записи у реєстрі операційної
системи та змінювати налаштування користувача. Шпигунське програмне забезпечення може
завантажити файли з мережі та запустити їх.
Руткіт – одне з найнебезпечніших знарядь зломщика. Загальний принцип дії – маскування
присутності запущених програм чи подій у системі, котрі, як правило, дозволяють зломщику керувати
ураженою системою. Руткіт зазвичай вкомпільовано або встановлено зломщиком у важливих
системних процедурах. Як правило, руткіт важко виявити, тому що він не є окремою прикладною
програмою. Установка руткіту є звичайно останньою дією після злому системи, над якою буде
перейнятий контроль або в якій відбудеться прихована крадіжка даних.

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 4

 ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

Експлойт – код, який застосовується для безпосереднього злому комп'ютера жертви. Для введення
змін та захоплення контролю зломщик використовує пролом у програмному забезпеченні,
встановленому на комп'ютері-жертві. Експлойти можуть бути використані в атаці на інтернет сайти, в
яких браузерний двигун заснований мовою сценаріїв (може відбутися зміна змісту сайту або
захоплення адміністративного контролю), операційні системи (сервери та клієнтське ПЗ) або на
прикладне програмне забезпечення (офісні пакети, браузери чи інше програмне забезпечення).
Для запобігання зараженню комп'ютерними вірусами слід користуватися антивірусними програмами.
Насправді не є найважливішим те, яким антивірусним програмним забезпеченням Ви користуєтесь.
Важливо, щоб це програмне забезпечення постійно оновлювалося. Антивірусне програмне
забезпечення з базою вірусів з минулого місяця – це марне програмне забезпечення.
Одне антивірусне програмне забезпечення не допоможе нам захиститися від небезпек, які несуть із
собою шкідливі програми. Необхідно також дотримуватися здорового глузду під час роботи з
комп'ютером. Банки насправді не надсилають інформації електронною поштою з проханням про те,
щоб увійти на сайт. У такій ситуації ніколи не вказуємо нашого імені користувача та пароля і не
переходимо на вказану у гіперпосиланні сторінку. На прохання, щоб вказати наші дані входу на сайт,
завжди реагуємо однаково – ігноруємо. Якщо ми раптово отримаємо інформацію, що Памела
Андерсон або Бред Пітт запалали до нас великою любов'ю, то швидше за все це буде неправда і
перехід по надісланому гіперпосиланню не принесе нічого хорошого. Загрозою для безпеки нашого
комп'ютера може бути також різноманітна флеш-пам'ять. На жаль, звичайні налаштування системи
такі, що вона намагається запустити програмне забезпечення, що знаходиться у флеш-пам'яті. Цим
користуються та встановлюють на USB-флеш-накопичувачах (флешках) файли з функцією автозапуску,
що виконують шкідливі дії. Їхні дії можна дуже легко заблокувати. Потрібно натискати клавішу Shift у
той час, коли ви підключаєте USB-флеш-накопичувач до Вашого комп'ютера. Те саме стосується
дисків CD і DVD, в "нешкідливості" яких Ви не впевнені.

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 5

 ПРАКТИЧНІ ОСНОВИ ДИСТАНЦІЙНОГО НАВЧАННЯ

3. Правила створення безпечних паролів

• мінімальна довжина пароля – як мінімум 8 символів

• використовувати в паролі малі та великі літери
• використовувати в паролі цифри
• не слід запам'ятовувати паролі, слід придумати спосіб їх створення та запам'ятати його.
Приклад пароля:
Як19К128аМеКxI

• використовуються поперемінно малі та великі літери: Як19К128аМеКxI,

• пароль належить Яну Ковальському: Як19К128аМеКxI,
• пароль дійсний у 2019 році: Як19К128аМеКxI,
• Ковальський сидить у кімнаті 128: Як19К128аМеКxI,
• разом із ним у кімнаті сидять: Аня, Матвій, Єва та Катя: Як19К128аМеКxI,
• пароль дійсний у листопаді: Як19К128аМеКxI

Кожен пароль можна безпечно зберігати у письмовій формі. Слід вставити одну літеру, якої немає в
нашому паролі, і написати її малими літерами:

Яск19К128аМеКxсI

Автор: doc. Jacek Rudniewski © Wyższa Szkoła Gospodarki w Bydgoszczy Сторінка 6