Презентацію розроблено

у Національному технічному університеті України «КПІ» та у

Харківському національному університеті імені В. Н.Каразіна.
14 вересня 2021 р. Заняття 2-1 з дисципліни
«Системи технічного захисту інформації»
Тема: Загальне підґрунтя для функціонування СТЗІ.
Вступ: Захист інформації.
 1. Основні терміни та
визначення в галузі
забезпечення
інформаційної безпеки
 Терміни та визначення понять у галузі технічного
захисту інформації та захисту інформації в
комп’ютерних системах надані згідно з
нормативними документами
ДСТУ 3396.2–97 «Захист інформації. Технічний
захист інформації. Терміни та визначення»,
НД ТЗІ 1.1-003–99 «Термінологія в галузі захисту
інформації в комп’ютерних системах від
несанкціонованого доступу», законодавчої бази
України, а також відповідно до міжнародних вимог і
стандартів серії ISO 27000.
 Сфера технічного захисту інформації
• Інформація з обмеженим доступом (ІзОД) — інформація, право доступу
до якої обмежено встановленими правовими нормами і (чи) правилами.
• Таємна інформація (ТІ) — інформація з обмеженим доступом, яка
містить відомості, що становлять державну або іншу передбачену
законом таємницю.
• Конфіденційна інформація (КІ) — інформація з обмеженим доступом,
якою володіють, користуються чи розпоряджаються окремі фізичні чи
юридичні особи або держава і порядок доступу до якої встановлюється
ними.
• Витік інформації — неконтрольоване поширення інформації, яке
призводить до її несанкціонованого отримання.
• Порушення цілісності інформації — спотворення інформації, її
руйнування або знищення.
• Блокування інформації — унеможливлення санкціонованого доступу до
інформації.
• Загроза для інформації — витік, можливість блокування чи порушення
цілісності інформації.
• Модель загроз для інформації — формалізований опис методів та
засобів здійснення загроз для інформації.
• Доступ до інформації — можливість отримання, оброблення інформації,
її блокування та (чи) порушення цілісності.
• Несанкціонований доступ до інформації (НСД) — доступ до інформації,
за якого порушуються встановлений порядок його здійснення та (чи)
правові норми.
• Закладний пристрій — потай встановлюваний технічний засіб, який
створює загрозу для інформації.
• Програмна закладка — потай впроваджена програма, яка створює
загрозу для інформації, що міститься в комп’ютері.
• Спеціальний вплив — вплив на технічні засоби, що призводить до
здійснення загрози для інформації.
• Носій інформації — матеріальний об’єкт, що містить інформацію з
обмеженим доступом.
• Інформативний сигнал — фізичне поле та (чи) хімічна речовина, що
містять інформацію з обмеженим доступом.
• Самочинний (технічний) канал витоку інформації — ненавмисний канал
витоку інформації.
• Штучний (технічний) канал витоку інформації — навмисний канал
витоку інформації.
• Побічне електромагнітне випромінення і наведення (ПЕМВН) —
електромагнітне випромінення і наведення, що є побічним результатом
функціонування технічного засобу і може бути носієм інформації.
• Технічний захист інформації (ТЗІ) — діяльність, спрямована на
запобігання порушенню цілісності, блокуванню та (чи) витоку інформації
технічними каналами.
• Технічний засіб із захистом; захищений (технічний) засіб; захищена
техніка — технічний засіб, у якому додатково до основного
призначення передбачено функцію захисту інформації від загроз.
• Засіб технічного захисту інформації — пристрій та (чи) програмний
засіб, основне призначення яких — захист інформації від загроз.
• Приховування інформації — спосіб технічного захисту інформації, який
полягає в унеможливленні або суттєвому утрудненні несанкціонованого
отримання інформації.
• Пасивне приховування інформації — приховування інформації
ослабленням енергетичних характеристик фізичних полів або зниженням
концентрації речовин.
• Активне приховування інформації — приховування інформації
створенням таких фізичних полів та речовин, які утруднюють здобування
інформації або спричиняють невизначеність її змісту.
• Дезінформування — спосіб технічного захисту інформації, який полягає у
формуванні свідомо хибної інформації для унеможливлення
несанкціонованого доступу до істинної інформації.
• Система технічного захисту інформації (СТЗІ) — сукупність
організаційних структур, нормативно-правових документів та
матеріально-технічної бази.
• Зона безпеки інформації — простір, за межами якого інформація
убезпечена.
• Рівень (технічного) захисту інформації — сукупність
вимог (у тому числі і тих, що нормуються), які визначаються режимом
доступу до інформації та загрозами для неї.
• Ефективність технічного захисту інформації — ступінь відповідності
вжитих заходів щодо технічного захисту інформації встановленим
вимогам.
 Захист інформації в комп’ютерних
системах

• Політика безпеки інформації (information security policy) — сукупність

законів, правил, обмежень, рекомендацій, інструкцій тощо, які
регламентують порядок оброблення інформації.

• Безпека інформації (БІ) (information security) — стан інформації, в

якому забезпечується збереження визначених політикою безпеки
властивостей інформації.
• Комплексна система захисту інформації (КСЗІ) — сукупність
організаційних та інженерних заходів, програмно-апаратних засобів, які
забезпечують захист інформації в АС.
• Комплекс засобів захисту (КЗЗ) (trusted computing base) — сукупність
програмно-апаратних засобів, які забезпечують реалізацію політики
безпеки інформації.
• Захищена комп’ютерна система (trusted computer system, trusted
computer product) — комп’ютерна система, яка здатна забезпечувати
захист оброблюваної інформації від певних загроз.
• Об’єкт комп’ютерної системи; об’єкт КС (product object, system object)
— елемент ресурсу КС, що перебуває під керуванням КЗЗ і
характеризується певними атрибутами і поводженням.
• Ідентифікатор об’єкта КС (object identifier) — унікальний атрибут
об’єкта КС, що дозволяє однозначно виділити цей об’єкт серед подібних.
• Доступ до інформації (access to information) — вид взаємодії двох
об’єктів КС, унаслідок якого створюється потік інформації від одного
об’єкта до іншого і/або відбувається зміна стану системи.
• Правила розмежування доступу (ПРД) — частина політики безпеки, що
регламентує правила доступу користувачів і процесів до пасивних
об’єктів.
• Несанкціонований доступ до інформації (НСД) (unauthorized access to
information) — доступ до інформації, здійснюваний з порушенням ПРД.
• Захист від несанкціонованого доступу (protection from unauthorized
access) — запобігання або істотне утруднення несанкціонованого доступу
до інформації.
• Розмежування доступу (access mediation) — сукупність процедур, що
реалізують перевірку запитів на доступ і оцінювання на підставі ПРД
можливості надання доступу.
• Авторизація (authorization) — надання повноважень; установлення
відповідності між повідомленням (пасивним об’єктом) і його джерелом
(створеним його користувачем або процесом).
• Авторизований користувач (authorized user) — користувач, що володіє
певними повноваженнями.
• Порушник (user violator) — користувач, який здійснює несанкціонований
доступ до інформації.
• Керування доступом (access control) — сукупність заходів щодо
визначення повноважень і прав доступу, контролю за додержанням
ПРД.
• Право доступу (access right) — дозвіл або заборона здійснення певного
типу доступу.
• Конфіденційність інформації (information confidentiality) —
властивість інформації, яка полягає в унеможливленні її
отримання неавторизованим користувачем і/або процесом.
• Цілісність інформації (information integrity) — властивість
інформації, яка полягає в унеможливленні її модифікування
неавторизованим користувачем і/або процесом.
• Доступність (availability) — властивість ресурсу системи, яка
полягає в тому, що користувач і/або процес, який має відповідні
повноваження, може використовувати ресурс відповідно до
правил, установлених політикою безпеки, не очікуючи довше
заданого (малого) проміжку часу.
• Спостереженість (accountability) — властивість КС, що дозволяє
фіксувати діяльність користувачів і процесів, використання
пасивних об’єктів, а також однозначно установлювати
ідентифікатори причетних до певних подій користувачів і процесів
для запобігання порушенню політики безпеки і/або забезпечення
відпові-дальності за певні дії.
• Атака (attack) — спроба реалізації загрози.
• Проникнення (penetration) — успішне подолання
механізмів захисту системи.
• Уразливість системи (system vulnerability) — нездатність
системи протистояти реалізації певної загрози або
сукупності загроз.
• Компрометація (compromise) — порушення політики
безпеки; несанкціоноване ознайомлення.
• Утрата інформації (information leakage) —
неконтрольоване поширення інформації, що призводить до
її несанкціонованого
одержання.
• Відмова (fault, failure) — втрата здатності КС або її
компонента виконувати певну функцію.
• Комп’ютерний вірус (computer virus) — програма, що здатна
самовідтворюватися і зазвичай здатна здійснювати дії, які можуть
порушити функціонування КС і/або зумовити порушення політики
безпеки.
• Програмна закладка (program bug) — впроваджена програма або
недокументовані властивості програмного забезпечення,
використання яких може призвести до обходу КЗЗ і/або порушення
політики безпеки.
• Люк (trap door) — залишені розробником недокументовані
функції, використання яких дозволяє обминути механізми захисту.
• Троянський кінь (trojan horse) — програма, яка, будучи
авторизованим процесом, окрім виконання документованих
функцій, здатна виконувати приховані дії від особи авторизованого
користувача в інтересах розробника цієї програми.
• Модель загроз (model of threats) — абстрактний
формалізований або неформалізований опис методів і засобів
здійснення загроз.
• Модель порушника (user violator model) — абстрактний
формалізований або неформалізований опис порушника.
• Ризик (risk) — функція ймовірності реалізації певної загрози,
виду і величини завданих збитків.
• Аналіз ризику (risk analysis) — процес визначення загроз
безпеці інформації та їх характеристик, слабких місць КСЗІ
(відомих і припустимих), оцінювання потенційних збитків від
реалізації загроз та ступеня їх прийнятності для експлуатації АС.
• Керування ризиком (risk management) — сукупність заходів, що
реалізуються протягом усього життєвого циклу АС, щодо
оцінювання ризику, вибору, реалізації і впровадження заходів
забезпечення безпеки, спрямована на досягнення прийнятного
рівня за-лишкового ризику.
• Заходи забезпечення безпеки (safeguards) — послуги,
функції, механізми, правила і процедури, призначені для
забезпечення за-хисту інформації.
• Послуга безпеки (security service) — сукупність функцій, що
забезпечують захист від певної загрози або від множини
загроз.
• Механізми захисту (security mechanism) — конкретні
процедури й алгоритми, що використовуються для
реалізації певних функцій і послуг безпеки.
• Засоби захисту (protection facility) — програмні,
програмно-апаратні та апаратні засоби, що реалізують
механізми захисту.
• Політика безпеки послуги (service security policy) —
правила, згідно з якими функціонують механізми, що
реалізують послугу.
• Критерії оцінювання захищеності; критерії (security
evaluation criteria) — сукупність вимог (оцінна шкала), що
використовується для оцінювання ефективності
функціональних послуг безпеки і коректності їх реалізації.
• Функціональний профіль (functionality profile) —
упорядкований перелік рівнів функціональних послуг, який
може використовуватись як формальна специфікація
функціональності КС.
• Ідентифікація (identification) — процедура присвоєння
ідентифікатора об’єкта КС або встановлення відповідності
між об’єктом і його ідентифікатором; упізнання.
• Автентифікація (authentication) — процедура перевірки
відповідності пред’явленого ідентифікатора об’єкта КС на
предмет належності його цьому об’єкту; встановлення або
підтвердження автентичності.
• Журнал реєстрації (audit trail) — упорядкована сукупність
реєстраційних записів, кожен з яких заноситься КЗЗ за фактом
здійснення контрольованої події.
• Криптографічне перетворення — перетворення даних, яке
полягає в їх шифруванні, вироблення імітовставки або
цифрового підпису.
• Шифрування даних — процес зашифрування або
розшифрування.
• Зашифрування даних (data encryption) — процес перетворення
відкритого тексту в шифротекст.
• Розшифрування даних (data decryption) — процес
перетворення шифротексту у відкритий текст.
• Відкритий текст (clear text) — дані з доступним семантичним
змістом.
• Шифротекст (ciphertext) — дані, отримані в результаті
зашифрування відкритого тексту.
• Ключ (key) — конкретний стан деяких параметрів
алгоритму криптографічного перетворення, що забезпечує
вибір одного перетворення із сукупності можливих для
цього алгоритму.
• Імітовставка (data authentication code) — доданий до
даних блок інформації фіксованої довжини, який за
певними правилами отримано з відкритих даних і
секретного ключа.
• Цифровий підпис (digital signature) — дані, отримані в
результаті криптографічного перетворення блоку даних
і/або його параметрів (хеш-функції, довжини, дати
утворення, ідентифікатора відправ-ника і т. ін.), що
дозволяють приймальнику даних упевнитись у цілісності
блоку і справжності джерела даних і забезпечити захист від
підробки і фальшивки.
• Засіб криптографічного захисту інформації —
програмний, апаратно-програмний, апаратний або інший
засіб, призначений для криптографічного захисту
інформації.
• Криптографічна система (криптосистема) — сукупність
засобів криптографічного захисту інформації, необхідної
ключової,
нормативної, експлуатаційної, а також іншої документації
(у тому числі такої, що визначає заходи безпеки),
використання яких забезпечує належний рівень
захищеності інформації, що обробляється, зберігається та
(або) передається.
• Завірення (notarization) — реєстрація даних довіреною
третьою особою для забезпечення надалі впевненості в
правильності таких характеристик, як зміст, джерело даних,
час їх відправлення чи отримання тощо.
2. Основний закон України
 Для повного висвітлення концептуальних засад
інформатизації будь-якої сфери суспільства
необхідно врахувати, що Конституція України —
це Основний закон України, схвалений 1 грудня
1991 р. всенародним голосуванням (Конституцію
України прийнято на п’ятій сесії Верховної Ради
України 28 червня 1996 р.).
 Конституція України як базовий законодавчий
документ українського суспільства визначає
забезпечення інформаційної безпеки України
однією з найважливіших функцій держави і
справою всього Українського народу.
 Стаття 17 Конституції України встановлює:

захист суверенітету і територіальної цілісності

України, забезпечення її економічної та
інформаційної безпеки є найважливішими
функціями держави, справою всього Українського
народу.
 У Розділі II Конституції України «Права, свободи
та обов’язки людини та громадянина» визначено
ряд статей, що конкретизують концептуальний
підхід до таких питань, як таємниця кореспонденції,
збирання, зберігання, використання, поширення
конфіденційної інформації, а також уперше
висвітлюються напрями забезпечення авторського
права і розвитку науково-технічної діяльності
суспільства тощо.
 Стаття 31 Конституції України встановлює, що
кожному гарантується таємниця листування,
телефонних розмов, телеграфної та іншої
кореспонденції.

Винятки можуть бути встановлені лише судом у

випадках, передбачених законом, з метою запобігти
злочинові чи з’ясувати істину під час розслідування
кримінальної справи, якщо іншими способами
одержати інформацію неможливо.
 Стаття 32 Конституції України встановлює, що
ніхто не може зазнавати втручання в його особисте і
сімейне життя, крім випадків, передбачених
Конституцією України.

Не допускається збирання, зберігання,

використання та поширення конфіденційної
інформації про особу без її згоди, крім випадків,
визначених законом, і лише в інтересах
національної безпеки, економічного добробуту та
прав людини.
 Стаття 34 Конституції України встановлює, що
кожному гарантується право на свободу думки і
слова, на вільне вираження своїх поглядів і
переконань.

Кожен має право вільно збирати, зберігати,

використовувати і поширювати інформацію усно,
письмово або в інший спосіб ⎯ на свій вибір.
 Стаття 54 (продовж.) Конституції України
встановлює, що громадянам гарантується свобода
літературної, художньої, наукової і технічної
творчості, захист інтелектуальної власності, їхніх
авторських прав, моральних і матеріальних
інтересів, що виникають у зв’язку з різними видами
інтелектуальної діяльності.
Кожний громадянин має право на результати
своєї інтелектуальної, творчої діяльності; ніхто не
може використовувати або поширювати їх без його
згоди, за винятками, встановленими законом.
3. Властивості
інформаційної системи та її
ресурсів як предмета
захисту
Основні характеристики інформаційної системи як
об’єкта захисту.
Структуру інформа-
ційної системи складає
сукупність окремих її
частин, що називаю-ться
підсистемами.
Підсистема — це
частина системи,
виділена за будь-якою
ознакою.

Загальна структура
інформаційної системи
 Інформаційне забезпечення (dataware) —
сукупність єдиної
системи класифікації й кодування інформації,
уніфікованих систем документації, схем
інформаційних потоків, що циркулюють в
організації, а також методологія побудови баз
даних для їх збереження.
 Технічне забезпечення (hardware) — комплекс
технічних засобів, призначених для роботи
інформаційної системи, а також відповідна
документація на ці засоби й технологічні
процеси.

Математичне і програмне забезпечення —

сукупність математичних методів, моделей,
алгоритмів і програм для реалізації мети та
завдань інформаційної системи, а також
нормального функціонування комплексу
технічних засобів.
 Організаційне забезпечення (organization
support) — сукупність методів і засобів, які
регламентують взаємодію персоналу з тех-
нічними засобами й між собою в процесі
розроблення та експлуатації інформаційної
системи.

Правове забезпечення (legal support) —

сукупність правових норм, що визначають
створення, правовий статус і функціонування
інформаційних систем, регламентують
порядок отримання, перетворення та
використання інформації.
Властивості інформаційної системи як
об’єкта захисту
 Для інформаційної системи властиві такі види
загроз:

1. загрози порушення конфіденційності;

2. загрози порушення цілісності;
3. загрози порушення працездатності (доступності).
 Загрози порушення конфіденційності
спрямовані на розголошення інформації з
обмеженим доступом.

Загрози порушення працездатності

(доступності) спрямовані на створення ситуацій,
коли в результаті навмисних дій понижується
працездатність автоматизованої системи, або її
ресурси стають недоступними.

Загрози порушення цілісності полягають у

спотворенні або зміні неавторизованим
користувачем інформації, що зберігається або
передається.
 Загроза (дія) — це можлива небезпека
(потенційна або така, що існує реально) вчинення
будь-якого діяння (дії або бездіяльності),
спрямованого проти об’єкта захисту
(інформаційних ресурсів), яке завдає збитку
власнику або користувачу, що проявляється як
небезпека спотворення або втрати інформації.

Наслідки (атака) — це можливі наслідки

реалізації загрози (можливі дії) у разі взаємодії
джерела загрози через наявні фактори
(уразливості).
Атака — це завжди пара «джерело-фактор», що
реалізує загрозу та призводить до збитків.

Прояви збитків як категорії класифікації

загроз можуть бути різноманітними:
• моральні й матеріальні збитки від ділової
репутації організації;
• моральні, фізичні або матеріальні збитки,
зумовлені розголошенням персональних даних
окремих осіб;
• матеріальні (фінансові) збитки від
розголошення конфіденційної інформації;
• матеріальні (фінансові) збитки від необхідності
відновлення порушених інформаційних
ресурсів;
• матеріальні збитки (втрати) від неможливості
виконання взятих на себе зобов’язань перед
третьою стороною;
• моральні та матеріальні збитки від
дезорганізації діяльності організації;
• матеріальні та моральні збитки від порушення
міжнародних відносин.
 За характером загроз заходи захисту орієнтовані
на захист інформації від розголошення, витоку та
несанкціонованого доступу.

За способом дії їх можна поділити на

попередження, виявлення, припинення та
відновлення збитків або інших утрат.
 Заходи захисту можуть охоплювати територію,
будівлю, приміщення, апаратуру або окремі
елементи апаратури.

Масштабність заходів захисту характеризується як

об’єктовий, груповий або індивідуальний захист.
4. Інформаційна безпека. Суб’єкти
та об’єкти захисту
 Інформаційна безпека — стан захищеності
інформаційного середовища держави, суспільства
та особистості, який забезпечує його формування,
збереження, використання і розвиток в інтересах
громадян, організацій чи держави.
 Інформаційне середовище (information
environment) — сфера діяльності суб’єктів, пов’язана
зі створенням, перетворенням і використанням
інформації.
 Інформаційне середовище умовно поділяють
на три основні предметні частини:
1) створення і поширення інформації;
2) формування інформаційних ресурсів,
підготовка інформаційних продуктів, надання
інформаційних послуг;
3) споживання інформації та дві забезпечувальні
предметні частини:
а) створення і застосування інформаційних
систем, інформаційних технологій і засобів
їхнього забезпечення;
б) створення і застосування засобів та
механізмів інформаційної безпеки.
 Більш розгорнуте визначення інформаційної
безпеки таке.

Інформаційна безпека — це стан захищеності

властивостей інформації (інформаційних
ресурсів), що належить державі, суспільству і
особистості, за якого забезпечується її
оброблення, зберігання, поширення і прогресивний
розвиток незалежно від (або в умовах) наявності
чи реалізації внутрішніх і зовнішніх інформаційних
загроз.
 Об’єктами інформаційної безпеки (information
security object) є свідомість, психіка людей;
інформаційні ресурси, інформаційні системи та
мережі різного масштабу і різного призначення.

До соціальних об’єктів інформаційної безпеки

зазвичай відносять особистість, колектив,
суспільство, державу, світове товариство.
 Суб’єкти інформаційної безпеки (information
security subject) — держава, що здійснює свої
функції через відповідні органи; громадяни;
суспільні або інші організації і об’єднання, наділені
повноваженнями із забезпечення інформаційної
безпеки відповідно до законодавства.
5. Основні напрями
забезпечення інформаційної
безпеки
 Напрями забезпечення інформаційної безпеки
— це нормативно-правові категорії, орієнтовані на
забезпечення комплексного захисту інформації від
внутрішніх та зовнішніх загроз на державному рівні,
на рівні підприємства або організації, на рівні
окремої особистості.
З урахуванням практики, що склалася натепер,
відокремлюють такі напрями захисту інформації:

• правовий захист — це спеціальні закони, інші

нормативні акти, правила, процедури та заходи,
що забезпечують захист інформа­ції на правовій
основі;
• організаційний захист — це регламентація
виробничої діяльності та взаємовідносин
виконавців на нормативній основі, що
виключає або суттєво утруднює неправомірне
оволодіння конфіденційною інформацією та
прояву внутрішніх та зовнішніх загроз;

• інженерно-технічний захист — це
використання різноманітних технічних засобів,
що перешкоджають реалізації загроз та
завданню збитків.
Організаційний захист
(Інженерно-)Технічний захист інформації
Правовий захист