10 клас. Модуль Інформаційна безпека 5 урок. Об'єкти захисту. Види заходів протидії загрозам безпеки. Переваги та недоліки різних видів заходів захисту.

Урок 5. Об'єкти захисту. Види заходів протидії загрозам безпеки. Переваги та недоліки різних видів заходів захисту. Основні принципи побудови системи безпеки інформації в автоматизованій системі.

Цілі:

• навчальна: дати уявлення про об'єкти та види захисту, основні принципи побудови системи безпеки інформації;
• розвивальна: розвивати логічне мислення, пам’ять; формувати вміння узагальнювати;
• виховна: виховувати інформаційну культуру, формування бережливого ставлення до обладнання комп’ютерного кабінету, виховання уміння працювати в групі; формування позитивного ставлення до навчання.

Тип уроку: Комбінований.

Обладнання та наочність: дошка, комп’ютери з підключенням до мережі Інтернет.

Програмне забезпечення: браузер, офісні програми.

Хід уроку

І. Організаційний етап

• привітання
• перевірка присутніх
• перевірка готовності учнів до уроку

ІІ. Актуалізація опорних знань

 Фронтальне опитування

ІІІ. Мотивацій навчальної діяльності

IV. Вивчення нового матеріалу

Підручник В.О. Хорошко, В.С. Чередниченко, М.Є. Шелест. Основи інформаційної безпеки http://www.dut.edu.ua/ua/lib/1/category/729/view/1365

Інформаційна безпека — захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб'єктам інформаційних відносин.

У якості стандартної моделі безпеки використовується модель з трьох категорій:

• конфіденційність (англ. confidentiality) — стан інформації, при якому доступ до неї здійснюють тільки суб'єкти, що мають на неї право;
• цілісність (англ. integrity) — уникнення несанкціонованої модифікації інформації;
• доступність (англ. availability) — уникнення тимчасового або постійного приховування інформації від користувачів, які отримали права доступу.

Виділяють і інші не завжди обов'язкові категорії моделі безпеки:

• аппеліруемость (англ. non-repudiation) — здатність засвідчувати дію чи подію так, щоб ці події або дії не могли бути пізніше відхилені;
• підзвітність (англ. Accountability) — забезпечення ідентифікації суб'єкта доступу та реєстрації його дій;
• достовірність (англ. reliability) — властивість відповідності передбаченій поведінці чи результату;
• аутентичність або справжність (англ. authenticity) — властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим..

Метою реалізації інформаційної безпеки будь-якого об'єкта є побудова Системи забезпечення інформаційної безпеки даного об'єкту. Для побудови та ефективної експлуатації системи забезпечення інформаційної безпеки необхідно:

• виявити вимоги захисту інформації, специфічні для даного об'єкта захисту;
• врахувати вимоги національного та міжнародного Законодавства;
• використовувати напрацьовані практики (стандарти, методології) побудови подібних системи забезпечення інформаційної безпеки;
• визначити підрозділи, відповідальні за реалізацію та підтримку системи забезпечення інформаційної безпеки;
• розподілити між підрозділами області відповідальності у здійсненні вимог системи забезпечення інформаційної безпеки;
• на базі управління ризиками інформаційної безпеки визначити загальні положення, технічні та організаційні вимоги, що становлять Політику інформаційної безпеки об'єкта захисту;
• реалізувати вимоги Політики інформаційної безпеки, впровадивши відповідні програмно-технічні засоби і способи захисту інформації;
• реалізувати Систему менеджменту (управління) інформаційної безпеки (СМІБ);
• використовуючи СМІБ організувати регулярний контроль ефективності системи забезпечення інформаційної безпеки і при необхідності перегляд і коригування системи забезпечення інформаційної безпеки і СМІБ.

Організаційно-технічні і режимні заходи і методи.

Для опису технології захисту інформації конкретної інформаційної системи зазвичай будується так звана Політика інформаційної безпеки або Політика безпеки розглянутої інформаційної системи.

Політика безпеки (інформації в організації) (англ. Organizational security policy) - сукупність документованих правил, процедур, практичних прийомів або керівних принципів у галузі безпеки інформації, якими керується організація у своїй діяльності.

Політика безпеки інформаційно-телекомунікаційних технологій (англ. ІСТsecurity policy) - правила, директиви,практика, що склалася, які визначають, як в межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати і розподіляти активи, в тому числі критичну інформацію.

Для побудови Політики інформаційної безпеки рекомендується окремо розглядати такі напрями захисту інформаційної системи:

• Захист об'єктів інформаційної системи;
• Захист процесів, процедур і програм обробки інформації;
• Захист каналів зв'язку (акустичні, інфрачервоні, провідні оптичні, радіоканали та ін.);
• Придушення побічних електромагнітних випромінювань і наведень;
• Управління системою захисту.

При цьому по кожному з перерахованих вище напрямків Політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:

1. Визначення інформаційних і технічних ресурсів, що підлягають захисту;
2. Виявлення повної безлічі потенційно можливих загроз і каналів витоку інформації;
3. Проведення оцінки вразливості і ризиків інформації за наявної безлічі загроз і каналів витоку;
4. Визначення вимог до системи захисту;
5. Здійснення вибору засобів захисту інформації та їх характеристик;
6. Впровадження та організація використання обраних заходів, способів та засобів захисту;
7. Здійснення контролю цілісності і керування системою захисту.

Політика інформаційної безпеки оформляється у вигляді задокументованих вимог на інформаційну систему. Документи зазвичай поділяють за рівнями опису (деталізації) процесу захисту.

Програмно-технічні засоби і способи забезпечення інформаційної безпеки.

Класифікація засобів захисту інформації.

• Засоби захисту від несанкціонованого доступу (НСД):
  • Засоби авторизації;
  • Мандатне управління доступом;
  • Виборче управління доступом;
  • Управління доступом на основі ролей;
  • Журналювання (так само називається Аудит).
• Системи аналізу та моделювання інформаційних потоків (CASE-системи).
• Системи моніторингу мереж:
  • Системи виявлення й запобігання вторгнень (IDS / IPS).
  • Системи запобігання витоків конфіденційної інформації (DLP-системи).
• Аналізатори протоколів.
• Антивірусні засоби.
• Міжмережеві екрани.
• Криптографічні засоби:
  • Шифрування;
  • Цифровий підпис.
• Системи резервування
  • Резервне копіювання
  • Відмовостійкий кластер
  • Резервний Центр Обробки Даних (ЦОД) для катастрофостійкої ІС
• Системи безперебійного живлення:
  • Джерела безперебійного живлення;
  • Резервні лінії електроживлення;
  • Генератори електроживлення.
• Системи аутентифікації на основі:
  • Пароля;
  • Ключа доступу (фізичного або електронного);
  • Сертифікату;
  • Біометричних даних.
• Засоби запобігання злому корпусів і крадіжок устаткування.
• Засоби контролю та управління доступом в приміщення.
• Інструментальні засоби аналізу систем захисту

V. Засвоєння нових знань, формування вмінь

VI. Підсумки уроку

Рефлексія

1. Під час уроку я

• дізнався…
• зрозумів…
• навчився…

2. Найбільше мені сподобалося…

3. На уроках найкраще в мене виходило…

4. Я мав (-ла) труднощі з…

5. Я хотів би ще дізнатися про…

VІI. Домашнє завдання

Конспект.

VІІI. Оцінювання роботи учнів