Керування механізмами захисту. Міжнародні стандарти інформаційної безпеки.

Про матеріал
інформатика навчальна програма вибірково-обов’язкового предмету для учнів 10-11 класів загальноосвітніх навчальних закладів (рівень стандарту)
Перегляд файлу

Автор: Суворова Олександра Радіонівна

Назва програми: інформатика  навчальна програма вибірково-обов’язкового предмету для учнів 10-11 класів загальноосвітніх навчальних закладів  (рівень стандарту)

Клас: 10-11

Урок №12: Керування механізмами захисту. Міжнародні стандарти інформаційної безпеки.

Цілі:

  • навчальна: сформувати уявлення про міжнародні стандарти інформаційної безпеки, та керування механізмами захисту; формувати звичку використовувати засоби і методи безпечного використання Інтернету;
  • розвивальна: розвивати логічне мислення, пам’ять; формувати вміння узагальнювати; розвивати критичне ставлення до інтернет-безпеки;
  • виховна: виховувати інформаційну культуру, формування бережливого ставлення до обладнання комп’ютерного кабінету, виховання уміння працювати в групі; формування позитивного ставлення до навчання.

Тип уроку: Комбінований.

Обладнання та наочність: дошка, комп’ютери з підключенням до мережі Інтернет, навчальна презентація.

Програмне забезпечення: браузер, офісні програми.

Хід уроку

І. Організаційний етап

  • привітання
  • перевірка присутніх
  • перевірка готовності учнів до уроку

ІІ. Актуалізація опорних знань

Тестове опитування «Методи захисту інформації»

ІІІ. Мотивацій навчальної діяльності

Ми з вами вже визначили основні захисні механізми, розмежування доступу та багато цікавого з інформаційної безпеки. Сьогодні ми з вами дізнаємось які існують міжнародні стандарти інформаційної безпеки та які є засоби керування механізмами захисту.

IV. Вивчення нового матеріалу

Міжнародні стандарти інформаційної безпеки:

ISO/IEC 17799

ISO/IEC 17799 2005 призначений для використання будь-якою організацією, котра планує встановити систему ефективного інформаційного захисту або покращувати існуючі методи інформаційного захисту.

Однак, це не свідчить, що всі рекомендації стандарту повинні бути обов’язково прийняті. Все залежить від конкретних місцевих інформаційних ризиків та вимог.

Стандарт складається з 13 розділів:

1. Загальна частина

2. Терміни та визначення

3. Політика безпеки

4. Організовані методи забезпечення інформаційної безпеки

5. Управління ресурсами

6. Користувачі інформаційної системи

7. Фізична безпека

8. Управління комунікаціями та процесами

9. Контроль доступу

10. Придбання та розробка інформаційних систем

11. Управління інцидентами інформаційної безпеки

12. Управління безперервністю ведення бізнесу

13. Відповідність вимогам

Кожен із розділів має таку структуру:

Мета – вказує, яка мета повинна бути досягнута

Управління – вказує, як цілі можуть бути досягнуті

Керівництво – вказує, як управління може бути реалізовано та Додатки.

Зокрема в термінах і визначеннях позиціонуються такі поняття, як:

інформаційна безпека (збереження конфіденційності, цілісності й доступності інформації), конфіденційність (забезпечення доступу до інформації тільки для авторизованих користувачів, що мають право на доступ до неї), цілісність (захист точності й повноти інформації й методів її обробки), доступність (забезпечення доступності інформації й пов’язаних з нею ресурсів авторизованим користувачам за необхідності) тощо.

Також визначається політика безпеки. Опис політики інформаційної безпеки – документ, що містить опис політики інформаційної безпеки, повинен бути схвалений керівництвом, опублікований й відповідно до необхідності розповсюджений серед всіх співробітників.

 

ISO/IES 27001

ISO/IEC 27001 – міжнародний стандарт по інформаційної безпеки розроблений спільно Міжнародною Організацією по Стандартизації (ISO) і Міжнародної електротехнічної комісією (IEC). Підготовлено до випуску підкомітетом SC27 Об’єднаного технічного комітету JTC 1.

Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку і підтримки Системи менеджменту інформаційної безпеки.

Кращі світові практики в галузі управління інформаційною безпекою описані в міжнародному стандарті на системи менеджменту інформаційної безпеки ISO / IEC 27001 (ISO 27001). ISO 27001 встановлює вимоги до системи менеджменту інформаційної безпеки (СМІБ) для демонстрації здатності організації захищати свої інформаційні ресурси.

Поняття “захисту інформації” трактується міжнародним стандартом як забезпечення конфіденційності, цілісності та доступності інформації.

Основа стандарту ІСО 27001 – система управління ризиками, пов’язаними з інформацією. Система управління ризиками дозволяє отримувати відповіді на наступні питання: – На якому напрямку інформаційної безпеки потрібно зосередити увагу? – Скільки часу і коштів можна витратити на дане технічне рішення для захисту інформації?

 

ISO/IES 15408

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп’ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред’являються до технології та процесу розробки та експлуатації.

 

Механізми захисту інформації

 

Однією з умов безпечної роботи в інформаційній системі є дотримання користувачем ряду правил, які перевірені на практиці і показали свою високу ефективність. Їх декілька:

1. Використання програмних продуктів, отриманих законним офіційним шляхом. Імовірність наявності вірусу в піратської копії у багато разів вище, ніж в офіційно отриманому програмному забезпеченні.

2. Дублювання інформації. Перш за все, необхідно зберігати дистрибутивні носії програмного забезпечення. При цьому запис на носії, що допускають виконання цієї операції, повинна бути, по можливості, заблокована. Слід особливо подбати про збереження робочої інформації. Переважно регулярно створювати копії робочих файлів на знімних машинних носіях інформації із захистом від запису. Копіюється або весь файл, або тільки що вносяться зміни. Останній варіант застосуємо, наприклад, при роботі з базами даних.

3. Регулярне оновлення системного ПЗ. Операційну систему необхідно регулярно оновлювати і встановлювати все виправлення безпеки від Microsoft та інших виробників, щоб усунути існуючі уразливості програмного забезпечення.

4. Обмеження доступу користувачів до налаштувань операційної системи і системним даними. Для забезпечення стабільної роботи системи досить часто потрібно обмежувати можливості користувачів, що можна зробити або за допомогою вбудованих засобів Windows, або за допомогою спеціалізованих програм, призначених для управління доступом до комп'ютера.

У корпоративних мережах можливе застосування групових політик в мережі домену Windows.

5. Для максимально ефективного використання мережевих ресурсів необхідно вводити обмеження доступу авторизованих користувачів до внутрішніх і зовнішніх мережевих ресурсів і блокувати доступ неавторизованих користувачів.

6. Регулярне використання антивірусних засобів. Перед початком роботи доцільно виконувати програми-сканери та програми-ревізори. Антивірусні бази повинні регулярно оновлюватися. Крім того, необхідно проводити антивірусний контроль мережевого трафіку.

7. Захист від мережевих вторгнень забезпечується застосуванням програмно-апаратних засобів, в тому числі: використанням міжмережевих екранів, систем виявлення / запобігання вторгнень IDS / IPS (Intrusion Detection / Prevention System), реалізацією технологій VPN (Virtual Private Network).

8. Застосування засобів аутентифікації і криптографії - використання паролів (простих / складних / неповторяющихся) і методів шифрування. Не рекомендується використовувати один і той же пароль на різних ресурсах і розголошувати відомості про паролі. При написанні пароля на сайтах слід бути особливо уважним, щоб не допустити введення свого пароля на шахрайському сайті-двійника.

9. Особливу обережність слід проявляти при використанні нових (невідомих) знімних носіїв інформації і нових файлів. Нові знімні носії обов'язково повинні бути перевірені на відсутність завантажувальних і файлових вірусів, а отримані файли - на наявність файлових вірусів. При роботі в розподілених системах або в системах колективного користування нові змінні носії інформації і вводяться в систему файли доцільно перевіряти на спеціально виділених для цієї мети комп'ютерах, не підключених до локальної мережі. Тільки після всебічної антивірусної перевірки дисків і файлів вони можуть передаватися користувачам системи.

10. При роботі з отриманими (наприклад, за допомогою електронної пошти) документами і таблицями доцільно заборонити виконання макрокоманд засобами, вбудованими в текстові і табличні редактори (MS Word, MS Excel), до завершення повної перевірки цих файлів.

11. Якщо не передбачається здійснювати запис інформації на зовнішні носії, то необхідно заблокувати виконання цієї операції, наприклад, програмно відключивши USB-порти.

12. При роботі з загальними ресурсами в відкритих мережах (наприклад, Інтернет) використовувати тільки перевірені мережеві ресурси, які не мають шкідливого контенту. Не слід довіряти всієї що надходить на комп'ютер інформації - електронних листів, посилань на Web-сайти, повідомленнями на Інтернет-пейджери. Категорично не рекомендується відкривати файли і посилання, що приходять з невідомого джерела.

 

Постійне дотримання наведених рекомендацій дозволяє значно зменшити ймовірність зараження програмними вірусами і захищає користувача від безповоротних втрат інформації. Однак навіть при скрупульозному виконанні всіх правил профілактики можливість зараження ПК комп'ютерними вірусами повністю виключити не можна, тому методи і засоби захисту від шкідливого ПО необхідно постійно вдосконалювати і підтримувати в працездатному стані.

 

Advertisements

   Пояснення вчителя з елементами демонстрування презентації

(використовуються можливості локальної мережі кабінету або проектор)

V. Засвоєння нових знань, формування вмінь

Практичне завдання.

Створіть таблицю «Розуміння міжнародних стандартів інформаційної безпеки»

Знайдіть недоліки та переваги цих стандартів, та запропонуйте свої зміни або як можна їх покращити.  

Робота за комп’ютером

  1. Повторення правил безпечної поведінки за комп’ютером.
  2. Інструктаж учителя.
  3. Вправи для очей.

VI. Підсумки уроку

Фронтальне опитування

  1. Що таке інформаційна безпека?
  2. Які механізми захисту?
  3. Які є міжнародні стандарти Інформаційної безпеки?

 

Рефлексія

1. Під час уроку я

  • дізнався…
  • зрозумів…
  • навчився…

2. Найбільше мені сподобалося…

3. На уроках найкраще в мене виходило…

4. Я мав (-ла) труднощі з…

5. Я хотів би ще дізнатися про…

VІІ. Домашнє завдання

VІІI. Оцінювання роботи учнів

 

Джерело:

  1. Міжнародні стандарти забезпечення інформаційної безпеки підприємста (СР№1) [Електронний ресурс]. – 2311. – Режим доступу до ресурсу: https://nikitenko11.wordpress.com/2012/11/23/%D0%BC%D1%96%D0%B6%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%96-%D1%81%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82%D0%B8-%D0%B7%D0%B0%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%BD%D1%8F-%D1%96/.     (дата звернення: 15.03.2019)
  2. Лекция 2: Механизмы защиты информации [Електронний ресурс] / А. В.Пролетарский,, А. М. Суровов, Е. В. Смирнова, Н. А. Руденков // Технологии защиты информации в компьютерных сетях – Режим доступу до ресурсу: https://www.intuit.ru/studies/courses/16655/1300/lecture/25505.

(дата звернення: 15.03.2019)

docx
Додано
28 березня 2019
Переглядів
6602
Оцінка розробки
Відгуки відсутні
Безкоштовний сертифікат
про публікацію авторської розробки
Щоб отримати, додайте розробку

Додати розробку