Київський національний університет імені Тараса Шевченка

Факультет інформаційних технологій

Кафедра кібербезпеки та захисту інформації

Практична робота №4
ОРГАНІЗАЦІЙНІ ЗАХОДИ ЗАХИСТУ ІНФОРМАЦІЇ
З ОБМЕЖЕНИМ ДОСТУПОМ

Виконала:
Федорищева Варвара Олександрівна
Група КБ-21

Викладач:
к.т.н. Яніна ШЕСТАК

Київ 2024
 ПРАКТИЧНЕ ЗАНЯТТЯ № 4

Тема: Організаційні заходи захисту інформації з обмеженим доступом.

Мета: Необхідність захисту інформації в сучасних умовах.

Хід роботи

Запитання для самоконтролю

1. Назвіть конструктивні елементи уніфікованої концепції захисту

інформації.
Уніфікована концепція захисту інформації включає в себе різноманітні
конструктивні елементи, які спрямовані на забезпечення безпеки та
конфіденційності інформації в організації. З позицій системно-концептуального
підходу конструктивними елементами уніфікованої концепції захисту
інформації мають бути:
 Функція захисту – сукупність однорідних у функціональному відношенні
заходів, регулярно здійснюваних з метою створення, підтримки і
забезпечення умов, об’єктивно необхідних для надійної ЗІ;
 Засоби захисту – пристрої, програми і заходи, спеціально призначені для
вирішення завдань захисту інформації;
 Завдання захисту – організовані можливості засобів, методів і заходів з
метою реалізації функцій захисту;
 Система ЗІ – організована сукупність усіх засобів, методів і заходів,
спрямованих на забезпечення необхідного рівня захищеності інформації в
усіх структурних елементах ІС, на всіх ділянках і технологічних маршрутах
її обробки та на всіх етапах її життєвого циклу з урахуванням взаємодії з
зовнішнім середовищем, яка повинна охоплювати весь технологічний
комплекс інформаційної діяльності, бути різноманітною по
використовуваних засобах, багаторівневої з ієрархічною послідовністю
доступу, бути відкритою для зміни й доповнення мер забезпечення безпеки
інформації, бути нестандартною та різноманітною, бути простою для
технічного обслуговування й зручної для експлуатації користувачами, бути
надійною та комплексною, тобто, мати цілісність.
Головними складовими системно-концептуального підходу нині є:
1) Дослідження і розробка єдиних методологічних понять усієї сукупності
питань, зв’язаних із ЗІ;
2) Розгляд у єдиному комплексі усіх видів захисту інформації: забезпечення
фізичної цілісності, попередження несанкціонованої модифікації, попередження
несанкціонованого одержання;
3) Системне врахування всіх факторів, що впливають на захищеність інформації;
4) Комплексне використання всіх наявних засобів ЗІ.

2. Приведіть загальну класифікацію цілей захисту інформації.

Цілі захисту інформації можна класифікувати в різні категорії в залежності від
характеру та обсягу захисту, який необхідний для конкретної інформації.
Загальна класифікація цілей захисту інформації показана на рис. 2.1 та може
включати наступні аспекти:

 Конфіденційність - захист від несанкціонованого доступу та застосування

шифрування для захисту вмісту інформації під час передачі чи зберігання.
 Цілісність - гарантування того, що інформація залишається незмінною та
не піддається несанкціонованим змінам та запобігання втратам даних через
випадкове видалення чи збої в системі.
 Доступність - забезпечення того, що інформація доступна для
авторизованих користувачів у необхідний час та визначення і
підтвердження ідентичності користувачів.
 Невідмовність - забезпечення можливості виявлення і відстеження дій
користувачів та систем з метою визначення відповідальних за інциденти.
Систематичний аналіз та реєстрація подій для підтримки аудиту та
виявлення порушень безпеки.
 Захист від загроз - захист від вірусів та шкідливого програмного
забезпечення. Тренінг користувачів та реалізація заходів для запобігання
обману.
Ці категорії цілей захисту інформації допомагають організаціям створювати
комплексні підходи до забезпечення безпеки своєї інформації від різноманітних
загроз.
Мета захисту інформації

Попередження
Попередження Попередження Попередження
несанкціонова-
знищення або несанкціонова- несанкціонова-
ного
викривлення ної модифікації ного отримання
тиражування
Спеціально

Спеціально

Спеціально

Спеціально
Раптово

Раптово

Раптово

Захист від раптового впливу Захист від раптового впливу

Рис. 2.1. Загальна класифікація цілей захисту інформації

 3. Що таке загроза безпеці інформації.

Загрозами безпеці інформації, що обробляється у ІС і циркулює у зв’язку з цим

у відповідних приміщеннях вважають події, які шляхом потенційно можливого
впливу на інформаційну систему прямо та/або опосередковано завдають збитку
її власникам і користувачам. Спроба реалізації загрози називається атакою, а
той, хто вчиняє таку спробу, – зловмисником.
Потенційні зловмисники називаються джерелами загроз. Усі загрози безпеці
інформації в ІС можуть бути класифіковані за проявом, метою реалізації,
засобами, методами і наслідками, а також за принципами, характером та
способами впливу на певний об’єкт (рис. 2.2). Відповідно до процесу прояву
вони розділяються на природні й техногенні. Природні загрози можуть бути
викликані стихійними природними явищами й об’єктивними фізичними
процесами. Техногенні – є наслідком діяльності людини, технічних засобів і
систем.
КЛАСИФІКАЦІЯ ЗАГРОЗ БЕЗПЕЦІ ІНФОРМАЦІЇ В СІТС

За проявом За впливом на об’єкти За наслідками За метою За засобами

– збір і передача даних – на комп’ютерному – порушення конфіде-

– втручання людини
– накопичення даних обладнанні нційності інформації
– апаратно-технічне
– техногенні – обробка даних – у локальній обчис- – порушення цілісно-
втручання
– природні – форматування даних лювальній системі сті інформації
– інформаційно-про
– пошук даних – у глобальній транс- – порушення доступ-
грамне втручання
– надання даних портній мережі ності інформації

Загрози обладнанню Загрози даним

Крадіжка даних
Електромагнітн

фіденційності

ідентифікація
Втрата даних

Викривлення
Вихід л ладу

Порушення
і наведення

Відмова у
живлення

Перегрів
Відмови

доступі
Волога
Завади

Хибна
Атаки
кон-

Рис. 2.2. Ознакова класифікація загроз безпеці інформації

Загроза безпеці інформації - це потенційна можливість або небезпека, яка може
призвести до порушення конфіденційності, цілісності чи доступності
інформації. Загрози виникають внаслідок дій людей, природних явищ,
технічних збоїв, неправильностей в управлінні та інших чинників, які можуть
впливати на інформаційні ресурси та інфраструктуру. Важливо розпізнавати та
ефективно управляти загрозами безпеки інформації для забезпечення її захисту.

4. Приведіть ознакову класифікацію загроз безпеці інформації.

Поміркуйте над тим, які додаткові класифікаційні ознаки можна
додатково до неї включити.
Ознакова класифікація загроз безпеці інформації може включати різні аспекти,
які допомагають більш детально і систематично розглядати різноманітні загрози.

1. За джерелом виникнення:
 Внутрішні: несанкціоновані дії та помилки персоналу, збої в роботі
програмного забезпечення, технічні несправності.
 Зовнішні: атаки з боку хакерів, промислове шпигунство, витоки
інформації та стихійні лиха

2. За цілями:
 Отримання несанкціонованого доступу до інформації: перехоплення,
розкрадання та внесення несанкціонованих змін в інформацію.
 Руйнування інформації: видалення, пошкодження та блокування
інформації.
 Дезорганізація роботи інформаційних систем: відмова в обслуговуванні,
впровадження вірусів та перевантаження мережі.

3. За способом впливу:
 Активні: атаки з боку хакерів, впровадження вірусів та несанкціоноване
використання програмного забезпечення
 Пасивні: перехоплення інформації, підслуховування телефонних розмов
та викрадення носіїв інформації

4. За масштабом:
 Локальні - загрози, які стосуються одного комп'ютера або локальної
мережі.
 Глобальні - загрози, які стосуються інформаційних систем в масштабах
країни або світу.

Серед додаткових класифікаційних ознак можна включити тип інформації,

сфера застосування, методи захисту. Класифікація загроз може бути корисною
для розробки стратегій безпеки, визначення пріоритетів у використанні
ресурсів безпеки та розробки планів відповіді на інциденти.

5. Які ви знаєте типи загроз безпеці інформації?

Загрози безпеці інформації включають різноманітні можливості або небезпеки,
що можуть призвести до порушення конфіденційності, цілісності та доступності
інформації. Ці загрози можуть виникати з різних джерел і мати різні форми
впливу на організаційні інформаційні ресурси.

Кібератаки, такі як віруси, черв'яки, троянські коні та фішинг, є типовими

електронними загрозами. Вони спрямовані на вразливості в комп'ютерних
системах та можуть викликати виток чи порушення конфіденційності даних.

Соціальний інженеринг включає в себе обман користувачів з метою отримання

конфіденційної інформації. Це може бути використано в особистих атаках або
для вторгнення в організаційні системи.

 Фізичні загрози включають в себе вторгнення в приміщення, крадіжку

обладнання чи інший фізичний доступ до інформаційних ресурсів.
 Внутрішні загрози можуть виникати внаслідок недбалості або намагань
внутрішніх працівників шкодити організації. Вони включають недбалість
користувачів та внутрішні зловживання доступом.
 Технічні збої, такі як відмови обладнання або програмного забезпечення,
можуть призвести до втрати доступу до інформації.
 Природні катастрофи, такі як повені, землетруси та пожежі, можуть
викликати фізичні пошкодження інфраструктури та зберігання даних.
 Дефіцит персоналу, а саме відсутність кваліфікованого персоналу, може
створити вразливість у здатності організації ефективно управляти
безпекою інформації.

Розуміння різноманітності цих загроз допомагає розробляти ефективні стратегії

та заходи безпеки для захисту інформації.

6. Опишіть механізм формування причин порушення захисту інформації.

Механізм формування причин порушення захисту інформації складається з
різноманітних факторів, що можуть взаємодіяти та призводити до вразливостей
у системах безпеки. Перш за все, соціальний аспект грає ключову роль, оскільки
люди часто стають слабким ланцюжком у системах захисту. Соціальний
інженеринг та соціальні маніпуляції можуть спонукати користувачів надавати
конфіденційну інформацію атакувальникам або викладати системи ризикам
через необережність або відсутність освіти щодо загроз безпеки.

Технічні аспекти також важливі, оскільки вразливості в програмному чи

апаратному забезпеченні можуть стати точкою входу для кібератак.
Використання застарілих програм, недоліків у коді чи невірно налаштованих
систем може відкривати можливості для несанкціонованого доступу та
порушення захисту.

Внутрішні загрози також відіграють важливу роль у механізмі порушення

захисту інформації. Навіть авторизовані користувачі можуть навмисно чи
несвідомо вчинити дії, які призведуть до витоку конфіденційної інформації чи
порушення цілісності даних. Внутрішні збої та помилки також можуть бути
джерелом вразливостей, які використовуються атакувальниками.

Природні катастрофи та технічні проблеми можуть мати суттєвий вплив на

захист інформації. Пожежі, повені, землетруси або відмови обладнання можуть
призвести до фізичних пошкоджень інфраструктури та знищення даних, що
створює серйозні загрози для доступності інформації.

Важливо розуміти, що механізм порушення захисту інформації є комплексним і

включає в себе взаємодію різноманітних чинників, від людей і технологій до
природних чи технічних небезпек. Це вимагає комплексного підходу до захисту
інформації та управління ризиками.

7. Назвіть основні дестабілізуючі чинники відповідно до технології і

функціонування інформації.
Дестабілізуючі чинники, що впливають на інформацію, можна розділити на дві
основні категорії:

Технологічні чинники пов'язані з інструментами та системами, що

використовуються для обробки та зберігання інформації. До них належать:
 Збої в роботі програмного забезпечення: помилки в коді, невідповідність
програмного забезпечення апаратному забезпеченню, атаки зловмисного
програмного забезпечення.
 Відмова апаратного забезпечення: поломки компонентів комп'ютера,
перепади напруги, стихійні лиха.
 Несанкціонований доступ: проникнення в інформаційні системи
зловмисників, крадіжка або втрата носіїв інформації.

Функціональні чинники пов'язані з процесами та правилами, що регулюють

роботу з інформацією. До них належать:
 Помилки персоналу: ненавмисне розкриття конфіденційної інформації,
порушення політики безпеки, некомпетентне оброблення інформації.
  Несанкціоноване використання інформації: використання інформації з
метою, не передбаченою правилами, розкриття конфіденційної інформації
третім особам.
 Відсутність контролю: нечітка політика безпеки, недостатній контроль за
доступом до інформації, відсутність резервного копіювання.

Дестабілізуючі чинники можуть призвести до втрати, викривлення, псування або

несанкціонованого використання інформації. Це може мати негативні наслідки
для будь-якої організації, тому важливо вживати заходів для захисту інформації
від цих загроз. Вживання цих заходів допоможе мінімізувати ризики, пов'язані з
дестабілізуючими чинниками, та забезпечити безпеку інформації.

8. Які ви знаєте підходи до виявлення загроз безпеці інформації?

Виявлення загроз безпеці інформації – це важливий етап у забезпеченні
інформаційної безпеки. Існує декілька підходів до виявлення загроз, які можна
використовувати як самостійно, так і в комплексі:

1. Аналіз ризиків: цей підхід ґрунтується на вивченні та оцінці можливих загроз,

а також ймовірних наслідків їх реалізації. Аналіз ризиків допомагає визначити
пріоритетні напрямки для захисту інформації.
2. Моніторинг інформаційних систем: моніторинг передбачає постійне
спостереження за станом інформаційних систем та мереж. Це дозволяє виявити
підозрілу активність, яка може свідчити про наявність загрози.
3. Аналіз даних: аналіз даних журналів, log-файлів та інших джерел інформації
може допомогти виявити аномалії, які можуть бути ознаками атаки.
4. Тестування на проникнення: цей метод передбачає імітацію атаки
зловмисника на інформаційну систему. Це допомагає виявити вразливості, які
можуть бути використані для реалізації загроз
5. Використання систем виявлення вторгнень (IDS) – це програмно-апаратні
комплекси, які автоматично виявляють підозрілу активність в інформаційних
системах.
6. Отримання інформації про нові загрози: важливо постійно оновлювати
інформацію про нові загрози та вразливості. Це допоможе вчасно вжити заходів
для захисту інформації.

Вибір підходу до виявлення загроз безпеці інформації залежить від багатьох

факторів, таких як: розмір та складність інформаційної системи, бюджет,
виділений на інформаційну безпеку, рівень ризиків та вимоги до інформаційної
безпеки.
 9. Що таке загроза конфіденційності інформації?

Загроза конфіденційності інформації – це ймовірність того, що вона стане

доступною особам, які не мають на це права. Це може призвести до втрати
конкурентних переваг, фінансових втрат, пошкодження репутації та порушення
законодавства.
Існує декілька типів загроз конфіденційності:
 Несанкціонований доступ: може бути результатом злому, крадіжки або
ненавмисного розкриття.
 Внутрішні загрози: персонал може ненавмисно або навмисно розкрити
конфіденційну інформацію.
 Технічні загрози: віруси, шпигунське програмне забезпечення та інші
зловмисні програми можуть бути використані для крадіжки інформації.
 Людський фактор: необережне поводження з інформацією, наприклад,
публікація конфіденційних даних в соціальних мережах, може призвести до
її розкриття.

10.Що таке загроза цілісності інформації?

Загроза цілісності інформації – це ймовірність того, що інформація буде

змінена, видалена або пошкоджена без авторизації. Це може призвести до:

 Втрати даних: видалення або пошкодження інформації може призвести

до втрати важливих даних.
 Спотворення інформації: зміна інформації може призвести до прийняття
неправильних рішень.
 Втрати довіри: порушення цілісності інформації може призвести до
втрати довіри з боку клієнтів, партнерів або акціонерів.
 Фінансових втрат: втрата або пошкодження даних може призвести до
фінансових втрат.

11.Що таке загроза доступності інформації?

Загроза доступності інформації – це ймовірність того, що інформація стане

недоступною для авторизованих користувачів. Це може призвести до:

 Втрати продуктивності: неможливість доступу до інформації може

призвести до зупинки роботи або зниження продуктивності.
 Фінансових втрат: втрата доступу до інформації може призвести до
фінансових втрат.
 Пошкодження репутації: нездатність надати інформацію клієнтам або
партнерам може призвести до пошкодження репутації.

12.Як у вигляді схеми описати потенційні дії порушника?

Рис. 2.3. Схема потенційних дій порушника

Потенційні дії порушника можна узагальнити схемою, яка починається з
розвідки, де збирається інформація про ціль та виявляються вразливості. Далі,
вектор атакиможе включати соціальну інженерію, атаки на програмне
забезпечення або мережу. Після отримання доступу, підвищення привілеїв може
дати зловмиснику більше контролю. Викрадення даних може бути метою, а
способи приховування допомагають зловмиснику залишатися непоміченим.

13.Як визначається ймовірність подолання засобів захисту

неавторизованим користувачем?
Ймовірність подолання засобів захисту неавторизованим користувачем – це
комплексна величина, що залежить від множини факторів. До них належать:

 Складність та надійність засобів захисту: сильні паролі, багатофакторна

аутентифікація, шифрування даних та інші складні заходи роблять
проникнення складнішим.
 Навички та ресурси зловмисника: досвідчені зловмисники з доступом до
потужних ресурсів можуть мати більше шансів на успішне подолання
захисту.
 Тип атаки: атаки грубої сили, атаки нульового дня, соціальна інженерія та
інші типи атак мають різну ймовірність успіху.
 Мотивація зловмисника: рівень мотивації та наполегливості зловмисника
може впливати на його дії та шанси на успіх.

Для кількісної оцінки ймовірності використовуються різні методи:

 Аналіз ризиків: визначаються ймовірні сценарії атак, оцінюється їх вплив

та ймовірність успіху.
 Моделювання атак: використовуються спеціальні інструменти для
моделювання та тестування різних типів атак.
 Оцінка вразливості: виявляються та оцінюються вразливості в системах
захисту.

14.Як описується ймовірність подолання неавторизованим користувачем

засобів криптографічного захисту інформації?

Ймовірність подолання несанкціонованим користувачем (НСК)

криптографічного захисту інформації (КЗІ) описується комплексно, з
урахуванням множини факторів.
Стійкість криптоалгоритму, навички та ресурси НСК, тип атаки, наявність
вразливостей та використання додаткових заходів – все це впливає на
ймовірність успішного злому.

Оцінка ймовірності ґрунтується на аналізі криптостійкості, моделюванні атак та

оцінці вразливостей. Важливо пам'ятати, що жодна система КЗІ не є абсолютно
стійкою.

Для зниження ймовірності злому рекомендується використовувати стійкі

криптоалгоритми, забезпечити захист ключів, впровадити додаткові заходи
безпеки, регулярно оновлювати програмне забезпечення КЗІ та проводити
моніторинг та аудит КЗІ.

15.Запишіть вираз для оцінювання ймовірності порушення доступності

інформації та опишіть фізичний зміст його складових.

P(D) = T (1 - P(S)) E V

P(D) - ймовірність порушення доступності інформації.

T - час, протягом якого система доступна. Цей параметр описує, протягом якого
часу система може бути доступна. Чим довше система доступна, тим вище
ймовірність того, що станеться порушення.

P(S) - ймовірність успішного захисту. Цей параметр описує ймовірність того, що

система успішно відіб'є атаку. Чим вище ймовірність успішного захисту, тим
менше ймовірність порушення.

E - ступінь впливу порушення. Цей параметр описує ступінь впливу, який

матиме порушення на конфіденційність, цілісність або доступність інформації.
Чим більший вплив, тим вище ймовірність того, що порушення буде вважатися
значним.

V - уразливість системи. Цей параметр описує ступінь вразливості системи до

атак. Чим більш вразлива система, тим вище ймовірність порушення. Чим вище
значення P(D), тим більша ймовірність порушення доступності інформації.
 16.Якого вигляду набувають рівняння, що описують функціонування
інформаційних систем в умовах загроз системам обробки інформації з
обмеженим доступом?
Рівняння, що описують функціонування інформаційних систем (ІС) в умовах
загроз, мають складний нелінійний характер, адже враховують множину
факторів, пов'язаних як з самою системою, так і з навколишнім середовищем.

F(S, T, A, R) = 0, де:

F - Функція, що описує функціонування ІС.

S - Стан ІС (доступність, цілісність, конфіденційність). Стан ІС описується

сукупністю параметрів, що характеризують доступність, цілісність та
конфіденційність інформації.

T - Час, який впливає на динаміку змін стану ІС під впливом загроз.

A - Вплив загроз - описується ймовірністю та наслідками успішної атаки на ІС.

R - Заходи реагування на загрози включають превентивні, детектирующие та

коректувальні дії.

Рішення цих рівнянь дозволяє оцінити ймовірність та наслідки порушення

безпеки ІС, а також ефективність різних заходів реагування на загрози.
Наведені рівняння є узагальненими і можуть бути модифіковані для конкретних
ІС та загроз. Функціонування ІС є стохастичним процесом, тому рівняння
описують його ймовірнісні характеристики. Для точного моделювання
необхідно враховувати специфічні особливості ІС та середовища, в якому вона
експлуатується.

17.Опишіть основні етапи оцінювання дій загроз безпеці інформації в

інформаційних системах обробки інформації з обмеженим доступом.

Основні етапи оцінювання дій загроз безпеці інформації в ІС з обмеженим

доступом:

1. Ідентифікація загроз - визначення актуальних загроз для ІС з обмеженим

доступом. Аналіз типових сценаріїв атак, характерних для таких систем.
Виявлення вразливостей, які можуть бути використані зловмисниками.
 2. Аналіз ризиків - оцінка ймовірності успішної реалізації кожної загрози.
Визначення потенційних наслідків для доступності, цілісності та
конфіденційності інформації. Розрахунок ризику, пов'язаного з кожною
загрозою.

3. Прийняття рішень - порівняння ризиків, пов'язаних з різними загрозами.

Визначення пріоритетів для реагування на загрози. Вибір та впровадження
відповідних заходів захисту.

4. Моніторинг та оновлення - постійне спостереження за актуальними

загрозами та вразливостями. Регулярне оновлення оцінки ризиків.
Вдосконалення та адаптація заходів захисту.

Застосування цих етапів дозволяє отримати системне уявлення про стан безпеки
ІС з обмеженим доступом. Визначити пріоритетні напрямки для вдосконалення
системи захисту. Ефективно використовувати ресурси для забезпечення
інформаційної безпеки.

Оцінка дій загроз – це постійний процес, який потребує регулярного оновлення

та адаптації до мінливих умов середовища.

Висновок

У ході виконання цієї практичної роботи, ми дослідили, що організаційні заходи

є важливою складовою захисту інформації з обмеженим доступом. Їх
комплексне та системне впровадження дозволяє значно підвищити рівень
безпеки інформації та мінімізувати ризики несанкціонованого доступу.

У звіті було розглянуто комплекс організаційних заходів, спрямованих на захист

інформації з обмеженим доступом. Акцентовано на важливості чіткої
регламентації обробки інформації, розмежування доступу та контролю за
діяльністю користувачів. Підкреслено роль кадрової безпеки та необхідності
постійного навчання персоналу. Розглянуто питання захисту інформації при
передачі та зберіганні, а також заходи протидії технічним каналам витоку.