Organizacij sistemos i informacijos sauga
This presentation is the property of its rightful owner.
Sponsored Links
1 / 68

Organizacij ų sistemos (I) INFORMACIJOS SAUGA PowerPoint PPT Presentation


  • 76 Views
  • Uploaded on
  • Presentation posted in: General

Organizacij ų sistemos (I) INFORMACIJOS SAUGA. 1 .1 Informacijos saugos sąvokos ir principai. Autoriai. doc. Algimantas Venčkauskas [email protected] Kompiuterių katedra http://www.ifko.ktu.lt/~algvenck/orgsist/. Paskaitos planas. Išnagrinėti: Informacijos saugos problemas.

Download Presentation

Organizacij ų sistemos (I) INFORMACIJOS SAUGA

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Organizacij sistemos i informacijos sauga

Organizacijų sistemos (I)INFORMACIJOS SAUGA

1.1 Informacijos saugos sąvokos ir principai


Autoriai

Autoriai

doc. Algimantas Venčkauskas

[email protected]

Kompiuterių katedra

http://www.ifko.ktu.lt/~algvenck/orgsist/

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Paskaitos planas

Paskaitos planas

Išnagrinėti:

Informacijos saugos problemas.

Pagrindines saugos sąvokas: informacijos konfidencialumą, prieinamumą ir vientisumą.

Informaciją ir informacinius santykius.

Informacinių santykių subjektus ir saugumą.

Šiuolaikinių kompiuterinių sistemų kaip apsaugos objekto ypatumus.

Kompiuterinių sistemų informacijos saugumo grėsmes.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos saugos problemos

Informacijos saugos problemos

  • Bet kuri fundamentali techninė ar technologinė naujovė, suteikdama galimybę išspręsti vienas socialines problemas ir atverdama plačias jų plėtros perspektyvas, visada sukelia kitų (socialinių) problemų paaštrėjimą arba veikia naujas problemas, tampa naujų visuomenės pavojų šaltiniu.

  • Be reikiamo dėmesio saugumo užtikrinimo klausimams perėjimo prie naujų technologijų padariniai visuomenei gali būti katastrofiški.

  • Neteisėto tam tikros informacijos dalies iškraipymo ar falsifikavimo galimi padariniai.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos saugos problemos 2

Informacijos saugos problemos (2)

  • Gyvybiškai svarbūs subjektų interesai – kad tam tikra informacijos dalis, liečianti jų saugumą, ekonomines, politines ir kitas veiklos sritis, konfidenciali komercinė ir asmeninė informacija būtų lengvai prieinama ir kartu patikimai apsaugota nuo neteisėto panaudojimo:

    • nepageidaujamo paviešinimo,

    • falsifikavimo,

    • neteisėto tiražavimo,

    • sunaikinimo.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Saugumo incident kitimas informacija pateikiama cert computer emergency response team

Saugumo incidentų kitimas. Informacija pateikiama CERT (Computer Emergency Response Team)

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Saugumo sprag skai iaus kitimas

Saugumo spragų skaičiaus kitimas

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Su vejot slapta od i atvej skai ius anti phishing darbo grup s apwg duomenys

„Sužvejotų“ slaptažodžių atvejų skaičius „Anti-Phishing“ darbo grupės (APWG) duomenys

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Prane im kiekis apie atakas ar piktnaud iavimo atvejus

Pranešimų kiekis apie atakas ar piktnaudžiavimo atvejus

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Atak arba piktnaud iavimo kategorijos atne usios nuostoli 2006 metais

Atakų arba piktnaudžiavimo kategorijos, atnešusios nuostolių 2006 metais

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Kod l informacijos saugumo u tikrinimo problema vis labiau auga

Kodėl informacijos saugumo užtikrinimo problema vis labiau auga?

  • Pirmiausia – besikeičianti kompiuterinės technikos naudojimo priemonių sfera ir išaugęs pasitikėjimas kompiuterizuotomis valdymo ir informacijos apdorojimo sistemomis.

  • Pasikeitė pačios „informacijos“ samprata. Šis terminas vis dažniau vartojamas apibrėžti ypatingai prekei, kurios kaina dažnai viršija kompiuterinės sistemos, kurioje ji saugoma ir apdorojama, kainą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Kod l informacijos saugumo u tikrinimo problema vis labiau auga 2

Kodėl informacijos saugumo užtikrinimo problema vis labiau auga? (2)

  • Asmeninių kompiuterių ir kompiuterinės technikos priemonių prieinamumas lėmė didesnį gyventojų kompiuterinį raštingumą, kas padidino bandymų kištis į valstybinių ir komercinių kompiuterizuotų sistemų veiklą skaičių

    • piktybiniais tikslais;

    • grynai dėl „sportinio intereso“.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Teisin s apsaugos problemos

Teisinės apsaugos problemos

  • Padėtį sunkina tai, kad iš esmės informacinių santykių subjektų interesai neapsaugoti teisiškai.

  • Atsilikimas teisinių santykių reguliavimo sistemos kūrimo, taip pat informacijos kaupimo ir vartojimo srityje sudaro sąlygas atsirasti ir plisti „kompiuteriniam chuliganizmui“ ir kompiuteriniam nusikalstamumui.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Kenk ji kos programos

“Kenkėjiškos” programos

  • Dar vienas svarus argumentas, kodėl būtina nedelsti sprendžiant kompiuterinių sistemų saugumo klausimus, yra kompiuterinių virusų (“kenkėjiškų” programų), galinčių slaptai egzistuoti sistemoje ir vykdyti bet kokius nesankcionuotus veiksmus, išplitimas.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Programi iai piktavaliai kompiuteri vartotojai

Programišiai, piktavaliai kompiuterių vartotojai

  • Ypatingą pavojų kompiuterinėms sistemoms kelia piktavaliai kompiuterinės technikos ir programavimo srities specialistai profesionalai, puikiai žinantys visas stipriąsias ir silpnąsias kompiuterinių sistemų vietas, disponuojantys smulkiausia dokumentacija, moderniausiomis instrukcijomis ir techninėmis apsaugos mechanizmų analizavimo ir įsilaužimo priemonėmis.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos ir kompiuterini sistem apsaugos tikslas

Informacijos ir kompiuterinių sistemų apsaugos tikslas

  • Ieškant informacijos saugumo problemos sprendimo, reikia vadovautis tuo, kad informacijos ir kompiuterinių sistemų apsauga nėra savitikslė. Kompiuterinės saugos sistemos kūrimo galutinis tikslas yra visų kategorijų subjektų, tiesiogiai arba ne dalyvaujančių informacinės sąveikos procesuose, apsauga nuo galimos materialinės, moralinės ar kitokios žalos, atsitiktinių ar tyčinių poveikių informacijai jos apdorojimo ir perdavimo metu.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Nepageidaujami kompiuterini sistem veiksniai

Nepageidaujami kompiuterinių sistemų veiksniai:

  • piktadarių tyčiniai veiksmai,

  • aptarnaujančio personalo ir sistemos vartotojų klaidingi veiksmai,

  • klaidos jos programinėje apsaugoje,

  • įrangos sutrikimai ir gedimai, avarijos,

  • stichinės nelaimės.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Saugomi objektai

Saugomi objektai

  • Informacija;

  • visi jos nešikliai;

  • informacijos apdorojimo kompiuterizuotoji sistema;

  • atskiri sistemos komponentai.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


K u tikrina kompiuterizuotosios sistemos saugumas

Ką užtikrina kompiuterizuotosios sistemos saugumas?

  • Kompiuterizuotosios sistemos saugumo užtikrinimas numato kliūčių sukūrimą -

    • bet kokiam nesankcionuotam kišimuisi į jos funkcionavimo procesą,

    • mėginimams vogti, modifikuoti, sugadinti jos komponentus,

    • t. y. visų sistemos komponentų: techninės ir programinės įrangos, duomenų (informacijos) ir jos personalo, apsaugą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Apsauga nuo nesankcionuotos prieigos

Apsauga nuo nesankcionuotos prieigos

  • Informacijos apsauga nuo nesankcionuotos prieigos yra tik dalis bendros kompiuterinių sistemų saugumo užtikrinimo ir informacinių santykių subjektų teisėtų interesų apsaugos problemos, o patį „nesankcionuotos prieigos“ terminą būtų teisingiau traktuoti ne kaip ,,nesankcionuotą prieigą“ (prie informacijos), o plačiau – kaip ,,nesankcionuotą, neteisėtą veiksmą“, darantį žalą informacinių santykių subjektams.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Dėl tam tikros srities objektų valdymo veiklos sėkmės informacinių santykių subjektai gali būti suinteresuoti užtikrinti:

  • šiuolaikinę prieigą prie jiems būtinos informacijos (per jiems priimtiną laiką);

  • tam tikros informacijos dalies konfidencialumą (išsaugojimą paslaptyje);

  • informacijos patikimumą (pilnumą, tikslumą, adekvatumą, visuotinumą);

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • apsaugą nuo klaidingos (nepatikimos, iškraipytos) informacijos pateikimo jiems (tai yra nuo dezinformacijos);

  • dalies informacijos apsaugą nuo neteisėto jos tiražavimo (autorių teisų, informacijos savininko teisų apsaugą ir pan.);

  • atsakomybės pasidalijimą už kitų informacinių santykių subjektų teisėtų teisių (interesų) ir nustatytų naudojimosi informacija taisyklių pažeidimus;

  • galimybę įgyvendinti informacijos apdorojimo ir perdavimo procesų nenutrūkstamą kontrolę ir valdymą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Būdamas suinteresuotas užtikrinti nors vieną iš minėtų reikalavimų, informacinių santykių subjektas yra pažeidžiamas, tai yra potencialiai iškyla žalos pavojus (tiesioginės arba netiesioginės, materialinės arba moralinės), kai daroma įtaka kritinei informacijai ir jos laikmenoms arba neteisėtai naudojamasi tokia informacija. Todėl visi informacinių santykių subjektai suinteresuoti užtikrinti savo informacinį saugumą (žinoma, tai iš dalies priklauso nuo žalos, kuri jiems gali būti padaryta, dydžio).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Siekiant užtikrinti įstatymines teises ir apginti išvardytuosius subjektų informacinio saugumo interesus būtina išlaikyti tokias informacijos ir jos apdorojimo sistemų savybes:

  • informacijos prieinamumą,;

  • informacijos vientisumą;

  • informacijos konfidencialumą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos prieinamumas

Informacijos prieinamumas

Informacijos prieinamumas – tai sistemos, kurioje cirkuliuoja informacija, savybė, apibūdinama gebėjimu užtikrinti subjektų prieigą prie informacijos be kliūčių ir laiku, taip pat atitinkamų kompiuterizuotų tarnybų pasiruošimas visada aptarnauti subjektų užklausas, kada iškyla būtinybė kreiptis;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos vientisumas

Informacijos vientisumas

Informacijos vientisumas – tai informacijos savybė egzistuoti neiškreipta forma (būti nekintama, fiksuotos padėties). Tiksliau sakant, subjektams svarbu, kad būtų užtikrinama platesnė savybė – informacijos patikimumas, kuris susideda iš konkrečios srities padėties atvaizdavimo adekvatumo (pilnumo ir tikslumo) ir tiesiog informacijos vientisumo, tai yra jos neiškraipymo. Vis dėlto mes apsiribosime tik informacijos vientisumo užtikrinimo klausimų aptarimu, o atvaizdavimo adekvatumo užtikrinimas išeina toli už informacijos saugumo užtikrinimo ribų.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Informacijos konfidencialum

Informacijos konfidencialumą

Informacijos konfidencialumas – subjektyviai nustatoma (priskiriama) informacijos charakteristika (savybė), nurodanti būtinumą įvesti apribojimus subjektams, turintiems prieigą prie tos informacijos, ir sistemos (aplinkos) užtikrinamą galimybę saugoti nurodytą informaciją paslaptyje nuo subjektų, neturinčių įgaliojimų prie jos prieiti.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Objektai kuriuos reikia apsaugoti

Objektai, kuriuos reikia apsaugoti

  • Objektais, kuriuos reikia apsaugoti siekiant užtikrinti informacinių santykių subjektų saugumą, turi būti laikomi:

    • informacija,

    • jos laikmenos,

    • apdorojimo priemonės,

    • apdorojimo procesai.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Terminas informacijos saugumas

Terminas ,,informacijos saugumas“

Terminą ,,informacijos saugumas“ reikia suprasti kaip:

  • informacijos apsaugą nuo informacinių santykių subjektams nepageidaujamo jos paviešinimo (konfidencialumo pažeidimo),

  • iškraipymo (vientisumo pažeidimo),

  • praradimo ar informacijos prieinamumo lygio sumažėjimo,

  • taip pat neteisėto jos platinimo.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Informacijos apdorojimo kompiuterizuotosios sistemos (kompiuterinės sistemos) saugumą suprasime kaip visų jos komponentų (techninių priemonių, programinės įrangos, duomenų ir personalo) apsaugą nuo informacinių santykių subjektams nepageidaujamų veiksnių.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Bet kurio KS komponento (ištekliaus) saugumas susideda iš trijų jo charakteristikų:

  • konfidencialumo,

  • vientisumo

  • ir prieinamumo, užtikrinimo.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Sistemos komponento konfidencialumas reiškia, kad jis prieinamas tik tiems subjektams (vartotojams, programoms, procesams), kuriems suteikti atitinkami įgaliojimai.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Sistemos komponento vientisumas numato, kad jis gali būti modifikuotas tik subjekto, turinčio atitinkamas teises. Vientisumas yra komponento korektiškumo (nekintamumo, darbingumo) garantija bet kuriuo laiko momentu.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Komponento prieinamumas reiškia, kad subjektas, turintis atitinkamus įgaliojimus, gali bet kuriuo laiku be ypatingų problemų prieiti prie reikiamo sistemos komponento (ištekliaus).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • 1.2 Informacijos saugos grėsmės

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Kaip rodo analizė, dauguma šiuolaikinių informacijos apdorojimo sistemų bendruoju atveju yra geografiškai paskirstytų sistemų, intensyviai sąveikaujančių tarpusavyje, keičiantis vietinių kompiuterių tinklų ir atskirų kompiuterių ištekliais: aparatiniais ir programiniais, duomenimis.

Paskirstytose KS galimi visi tradiciniai, lokaliai išdėstytoms (centralizuotoms) kompiuterių sistemoms būdingi nesankcionuoto kišimosi į jų darbą ir prieigą prie informacijos būdai. Be to, joms būdingi ir nauji specifiniai įsiskverbimo į sistemą ir nesankcionuotos prieigos prie informacijos kanalai, kurių buvimas paaiškinamas toliau išvardytais ypatumais.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Pagrindiniai paskirstyt j ks ypatumai

Pagrindiniai paskirstytųjų KS ypatumai:

  • sistemos komponentų teritorinė sklaida ir intensyvus jų keitimasis informacija;

  • platus informacijos pristatymo, saugojimo ir perdavimo būdų spektras;

  • įvairios paskirties duomenų, priklausančių įvairiems subjektams, įtraukimas į bendrąsias duomenų bazes ir, atvirkščiai, kai kuriems subjektams būtinų duomenų laikymas įvairiuose nutolusiuose tinklo mazguose;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • duomenų valdytojų atsiejimas nuo fizinių struktūrų ir duomenų laikymo vietos;

  • paskirstytojo duomenų apdorojimo režimas;

  • didelio skaičiaus įvairių kategorijų vartotojų ir personalo dalyvavimas kompiuterizuoto informacijos apdorojimo procese;

  • didelio skaičiaus įvairių kategorijų vartotojų (subjektų) prieiga prie išteklių (tarp jų ir informacinių) vienu metu ir tiesiogiai;

  • didelė kompiuterinės technikos ir ryšio priemonių, taip pat programinės įrangos įvairovė;

  • nėra KS įvairių techninių priemonių apsaugai skirtos specialios įrangos.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Ks susideda i toki pagrindini strukt rini funkcini element

KS susideda iš tokių pagrindinių struktūrinių-funkcinių elementų:

  • darbo stočių (worstation) – atskirų kompiuterių arba nutolusių tinklo terminalų, kuriuose realizuojamos vartotojų (abonentų, operatorių) kompiuterizuotosios darbo vietos;

  • serverių, arba tarnybinių stočių, (server, host computer) – didelio našumo kompiuterių, skirtų saugojimo, duomenų spausdinimo, tinklo aptarnavimo darbo stočių funkcijoms ir panašiems veiksmams realizuoti;

  • tarptinklinių tiltų (paketų komutacijos centrų, komunikacinių kompiuterių) – elementų, užtikrinančių keleto duomenų perdavimo tinklų ar keleto to paties tinklo segmentų, turinčių skirtingus sąveikos protokolus sujungimą;

  • ryšio kanalus (vietinius, telefoninius, su komutacijos mazgais ir t. t.).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Darbo stotys yra prieinamiausi tinklo komponentai ir dažniausia būtent nuo jų gali prasidėti bandymai atlikti nesankcionuotus veiksmus.

  • Iš darbo stočių valdomi informacijos apdorojimo procesai, programų paleidimas, duomenų įvedimas ir koregavimas, darbo stočių diskuose gali būti laikomi svarbūs duomenys ir apdorojimo programos.

  • Būtent todėl darbo stotys turi būti patikimai apsaugotos nuo pašalinių asmenų prieigos ir turėti teisėtų vartotojų, turinčių įvairius įgaliojimus, prieigos prie išteklių apribojimo priemones.

  • Be to, apsaugos priemonės turi neleisti nepatyrusiems (neatidiems) vartotojams netyčia pažeisti darbo stočių normalios konfigūracijos ir jų funkcionavimo režimų.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Ypatingos apsaugos reikia tokiems piktadariams patraukliems tinklų elementams kaip serveriai ir tiltai.

  • Pirmiesiems – nes juose saugomi ir apdorojami dideli informacijos kiekiai;

  • antriesiems, nes juose transformuojami (galbūt atvira, nešifruota forma) duomenys, derinant apsikeitimo protokolus, įvairiose tinklo dalyse.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • Kadangi serveriai ir tiltai yra lokalizuoti, juos patikimai apsaugoti galima fizinėmis ir organizacinėmis priemonėmis, iki minimumo sumažinant asmenų iš kompiuterinės sistemos personalo, turinčių tiesioginę prieigą prie jų, skaičių.

  • Tuo pat metu reikia laukti masinės atakos prieš serverius ir tiltus naudojant nuotolinės prieigos priemones.

  • Gali būti naudojamos visos galimybės ir priemonės – nuo standartinių (be komponentų modifikavimo) iki specialių įrangos priemonių prijungimo (kanalai yra silpnai apsaugoti nuo prijungimo) ir aukštos klasės programų apsaugos sistemai įveikti.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Kanalams ir ryšio priemonėms taip pat reikalinga apsauga.

  • Kadangi ryšio linijos paskirstytos erdvėje (nekontroliuojamoje ar silpnai kontroliuojamoje teritorijoje), visada yra galimybė prie jų prisijungti arba įsikišti į duomenų perdavimo procesą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Gr sm

Grėsmė

  • Grėsmė apskritai suprantama kaip potencialiai įmanomas įvykis, veiksmas (poveikis), procesas ar reiškinys, kuris gali padaryti žalos kieno nors interesams.

  • Grėsme informacinių santykių subjektų interesams vadinsime potencialiai įmanomą įvykį, procesą ar reiškinį, kuris paveikęs informaciją ar kitus KS komponentus gali tiesiogiai arba netiesiogiai padaryti žalos tų subjektų interesams.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Saugumo pa eidimas

Saugumo pažeidimas

  • Saugumo pažeidimu (arba tiesiog pažeidimu) vadinsime saugumo grėsmės realizavimą.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Pagrindin s ks ir informacijos saugumo gr sm s informacini santyki subjektams yra

Pagrindinės KS ir informacijos saugumo grėsmės informacinių santykių subjektams yra:

  • stichinės nelaimės ir avarijos (potvynis, uraganas, žemės drebėjimas, gaisras ir pan.);

  • KS įrangos sutrikimai ir gedimai (techninių priemonių);

  • KS projektavimo ir realizavimo klaidų padariniai (įrangos priemonių, informacijos apdorojimo technologijų, programų, duomenų struktūrų ir pan.);

  • eksploatavimo klaidos (vartotojų, operatorių ir kito personalo);

  • pažeidėjų ir piktadarių tyčiniai veiksmai (įžeistų asmenų iš personalo tarpo, nusikaltėlių, šnipų, diversantų ir pan.).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Saugumo gr smi klasifikavimas

Saugumo grėsmių klasifikavimas

Daugybė potencialių grėsmių pagal jų prigimtį skirstoma į dvi klases:

  • natūraliosios (objektyviosios) grėsmės;

  • dirbtinės (subjektyviosios) grėsmės

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Gr smi skirstymas pagal j prigimt

Grėsmių skirstymas pagal jų prigimtį

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Natūraliosios (objektyviosios) grėsmės – tai grėsmės kompiuterinei sistemai ir jos elementams, sukeliamos objektyvių fizinių procesų ar stichinių gamtos reiškinių, nepriklausančių nuo žmogaus.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Dirbtinės (subjektyviosios) grėsmės – tai grėsmės kompiuterinei sistemai ir jos elementams, sukeliamos žmogaus veiklos. Iš jų, remiantis veiksmų motyvacija, galima išskirti:

  • netyčines (neapgalvotas, atsitiktines) grėsmes, sukeltas KS ir jos elementų projektavimo klaidų, programinės įrangos klaidų, personalo veiklos klaidų ir pan.;

  • tyčines (apgalvotas) grėsmes, sukeltas savanaudiškų žmonių (piktadarių) siekių.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Grėsmių šaltiniai pagal santykį su KS gali būti:

  • išoriniai;

  • vidiniai (pačios KS komponentai – jos aparatūra, programos, personalas).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Pagrindin s nety in s subjektyviosios gr sm s

Pagrindinės netyčinės subjektyviosios grėsmės

Pagrindinės netyčinės subjektyviosios KS grėsmės (žmonių atsitiktinai atlikti veiksmai iš nežinojimo, neatidumo ar apsileidimo, iš smalsumo, bet be piktų kėslų):

  • netyčiniai veiksmai, sukėlę dalinį ar visišką sistemos gedimą arba aparatūros, programinių, informacinių sistemos išteklių sunaikinimą (netyčinis įrangos sugadinimas, failų su svarbia informacija ar programų, tarp jų sisteminių, pašalinimas, iškraipymas ir pan.);

  • įrangos neteisėtas atjungimas ir / arba įrenginių ir programų darbo režimų pakeitimas;

  • netyčinis informacijos laikmenų sugadinimas;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • technologinių programų, galinčių nekompetentingai jomis naudojantis sukelti sistemos darbingumo praradimą („pakibimą“ ar „užsiciklinimą“) ar negrįžtamus reiškinius sistemoje (informacijos laikmenų formatavimą ar restruktūrizavimą, duomenų pašalinimą ir pan.), paleidimas;

  • nelegalus neregistruotų programų (mokomųjų, technologinių ir kt., nebūtinų tarnybinėms pareigoms vykdyti) įdiegimas ir vartojimas, nepagrįstai naudojant išteklius (procesoriaus apkrovimas, operatyviosios atminties ir atminties išoriniuose įrenginiuose užėmimas);

  • kompiuterio užkrėtimas virusais;

  • neatsargūs veiksmai, paviešinantys konfidencialią informaciją ar darantys ją visiems prieinamą;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • prieigos apribojimo atributų atskleidimas, perdavimas ar praradimas (slaptažodžių, šifravimo raktų, identifikacinių kortelių, leidimų ir pan.);

  • sistemos architektūros, duomenų apdorojimo technologijos projektavimas, taikomųjų programų su sistemos darbingumui ir informacijos saugumui pavojų keliančiomis galimybėmis sukūrimas;

  • organizacinių apribojimų (nustatytų taisyklių) dirbant sistemoje ignoravimas;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • įėjimas į sistemą aplenkiant apsaugos priemones (svetimos operacinės sistemos įkėlimas iš keičiamų magnetinių laikmenų ir pan.);

  • nekompetentingas saugumo tarnybos personalo apsaugos priemonių naudojimas, įjungimas ar neteisėtas išjungimas;

  • duomenų siuntimas klaidingu abonento (įrangos) adresu;

  • klaidingų duomenų įvedimas;

  • netyčinis ryšio kanalų pažeidimas.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Pagrindin s ty in s subjektyviosios gr sm s

Pagrindinės tyčinės subjektyviosios grėsmės

Pagrindiniai tyčinio darbo dezorganizavimo, sistemos sugadinimo, prasiskverbimo į sistemą ir nesankcionuotos prieigos prie informacijos būdai:

  • fizinis sistemos sunaikinimas (sprogdinimas, padegimas ir pan.) arba visų ar pavienių svarbiausių kompiuterinės sistemos komponentų (įrangos, svarbios sisteminės informacijos nešiklių, ir pan.) sugadinimas, asmenų iš personalo tarpo darbo sustabdymas;

  • kompiuterinių sistemų funkcionavimo užtikrinimo posistemių atjungimas arba sugadinimas (elektros maitinimo, vėdinimo ir ventiliacijos, ryšio linijų ir pan.);

  • sistemos funkcionavimo dezorganizavimas (įrenginių darbo režimų arba programų pakeitimas, personalo streikas, sabotažas, galingų aktyvių radijo trikdžių įrengimas sistemos įrenginių darbo dažniais ir pan.);

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • agentų tarp sistemos personalo infiltravimas (tarp jų , įmanoma ir į administracinę grupę, atsakančią už saugumą);

  • personalo arba pavienių vartotojų, turinčių tam tikrus įgaliojimus, verbavimas (papirkimas, šantažas ir pan.);

  • pasiklausymo įrenginių panaudojimas, nuotolinis fotografavimas ir videofilmavimas ir pan.;

  • įrenginių ir ryšio linijų elektromagnetinės, akustinės ir kitokios spinduliuotės perėmimas;

  • duomenų, perduodamų ryšio kanalais, perėmimas ir jų analizė siekiant išsiaiškinti apsikeitimo protokolus, vartotojo prisijungimo ir autorizacijos taisykles ir bandymai juos imituoti prasiskverbiant į sistemą;

  • informacijos laikmenų vagystė (magnetinių diskų, juostų, atminties mikroschemų);

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • nesankcionuotas informacijos laikmenų kopijavimas;

  • gamybinių atliekų vagystė (spausdintų dokumentų, užrašų, nurašytų informacijos laikmenų ir pan.);

  • likutinės informacijos iš operatyviosios atminties ir išorinių įsimenančių įrenginių skaitymas;

  • neteisėtas slaptažodžių ir kitų prieigos atribojimo rekvizitų (agentūriniu būdu, naudojantis vartotojų aplaidumu, parinkimo būdu, sistemos vartotojo sąsajos imitacijos būdu ir pan.) gavimas apsimetant registruotuoju vartotoju;

  • nesankcionuotas vartotojų terminalų, turinčių unikalias fizines charakteristikas, tokias kaip darbinės stoties numerį tinkle, fizinį adresą, adresą ryšio sistemoje, aparatinį kodavimo bloką ir pan., naudojimas;

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • informacijos kriptografinės apsaugos šifrų atskleidimas;

  • specialių įrangos įterptinių priemonių, programinių ,,intarpų“ ir virusų (,,trojos arklių“ ir ,,blakių“), tai yra tokių programinių komponentų, kurie leidžia įveikti apsaugos sistemą, slaptai ir neteisėtai prieiti prie sisteminių išteklių, siekiant registruoti ir perduoti svarbią informaciją arba dezorganizuoti sistemos funkcionavimą, įdiegimas;

  • neteisėtas prisijungimas prie ryšio linijų tam, kad, dirbant „tarp eilučių“, naudojantis pauzėmis teisėto vartotojo veiksmuose, jo vardu būtų galima įvesti neteisingus duomenis arba modifikuoti perduodamus pranešimus;

  • neteisėtas prisijungimas prie ryšio linijų tam, kad tiesiogiai būtų galima pakeisti teisėtą vartotoją jį fiziškai atjungiant po jo įėjimo į sistemą ir sėkmingos autentifikacijos, įvedant dezinformaciją ir primetant melagingus pranešimus.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Prasiskverbimo sistem ir informacijos nutekinimo kanal klasifikavimas

Prasiskverbimo į sistemą ir informacijos nutekinimo kanalų klasifikavimas

Visi prasiskverbimo į sistemą ir informacijos nutekinimo kanalai skirstomi į

  • tiesioginius

  • ir netiesioginius.

    Netiesioginiai kanalai yra tokie, kurių naudojimui nereikia patekti į patalpas, kur išdėstyti sistemos komponentai. Tiesioginių kanalų naudojimui toks patekimas (į patalpas) būtinas. Tiesioginiai kanalai gali būti naudojami nemodifikuojant sistemos komponentų arba modifikuojant juos.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Pagal pagrindinės pavojaus realizavimui naudojamos priemonės tipą visus įmanomus kanalus galima sąlygiškai suskirstyti į tris grupes:

  • žmogus,

  • programa

  • arba aparatūra.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Pagal informacijos gavimo būdą potencialius prieigos kanalus galima suskirstyti į:

  • fizinius;

  • elektromagnetinius (spinduliuotės perėmimas);

  • informacinius (programinius).

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

  • Kontaktinės nesankcionuotos prieigos metu galimos informacijos saugos grėsmės realizuojamos gaunant prieigą prie KS elementų, prie informacijos laikmenų, prie pačios įvedamos ar išvedamos informacijos (ir rezultatų), prie programinės įrangos (kartu prie operacinių sistemų), taip pat prisijungiant prie ryšio linijų.

  • Nekontaktinės prieigos metu (Pvz., elektromagnetiniu kanalu) galimos grėsmės realizuojamos perimant KS aparatūros radijo spinduliuotę, kartu generuojamą ryšio ir maitinimo grandinėse, perimant informaciją ryšio linijose, įvedant į ryšio linijas melagingą informaciją, vizualiai stebint (fotografuojant) informacijos atvaizdavimo įrenginius, pasiklausant KS personalo ir vartotojų pokalbius.

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Mokymosi med iaga

Mokymosi medžiaga

http://www.ifko.ktu.lt/~algvenck/orgsist/:

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Literat ra

Literatūra

1. Alberts, Christopher. Managing information security risks : the OCTAVE approach / Christopher Alberts, Audrey Dorofee. - Boston [Mass.] [etc.] : Addison-Wesley, 2007. - xxxii, 471 p. : iliustr.. - (SEI series in software engineering). - ISBN 0-321-11886-3

2. Handbook of information security / Hossein Bidgoli, editor-in-chief. - Hoboken [N.J.] : John Wiley & Sons, 2006. - 3 t.. - ISBN 0-471-22201-1

3. Information security management handbook / edited by Harold F. Tipton, Micki Krause. - 5th ed.. - Boca Raton [Fla.] New York [N.Y.] : Auerbach Publications, 2006. - t.. - ISBN 0-8493-9561-5

4. LeVeque, Vincent. Information Security : a strategic approach / Vincent LeVeque. - Hoboken [N.J.] : John Wiley & Sons, 2006. - xiv, 272 p. : iliustr.. - Bibliogr.: p. 259-263. - ISBN 0-471-73612-0

5. [LST ISO/IEC 17799:2006]. Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 17799:2005) : tarptautinis standartas ISO/IEC 17799:2005 turi Lietuvos standarto statusą = Information technology - Security techniques - Code of practice for information security management / Lietuvos standartizacijos departamentas. - Vilnius : Lietuvos standartizacijos departamentas, 2006. - 109 p..

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Literat ra 2

Literatūra (2)

6. [LST ISO/IEC 27001:2006]. Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2005) : tarptautinis standartas ISO/IEC 27001:2005 turi Lietuvos standarto statusÄ… = Information technology - Security techniques - Information security management systems - Requirements / Lietuvos standartizacijos departamentas. - Vilnius : Lietuvos standartizacijos departamentas, 2006. - 33 p..

7. Stamp, Mark. Information security : principles and practice / Mark Stamp. - Hoboken (N.J.) : Wiley Interscience, 2006. - xxi, 390 : iliustr.. - Bibliogr.: p. 359-379. - ISBN 0-471-73848-4

8. Calder, Alan. A business guide to information security : how to protect your company's IT assets, reduce risks and understand the law / Alan Calder. - London : Kogan Page, 2005. - viii 182 p.. - Bibliogr.: p. 167-168. - ISBN 0-7494-4395-2

9. Egan, Mark. The executive guide to information security : threats, challenges, and solutions / Mark Egan ; with Tim Mather. - Indianapolis [Ind.] : Addison-Wesley, 2005. - xix, 268 p. : iliustr.. - R-klÄ—: p. 261-268. - ISBN 0-321-30451-9

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Literat ra 3

Literatūra (3)

10. Peltier, Thomas R. Information security fundamentals / Thomas R. Peltier, Justin Peltier, John Blackley. - Boca Raton [Fla.] [etc.] : Auerbach Publications, 2005. - xv, 262 p. : iliustr.. - Bibliogr.: p. 245-248. - ISBN 0-8493-1957-9

11. Purser, Steve. A practical guide to managing information security / Steve Purser. - Boston [Mass.] London : Artech House, 2004. - xvii, 259 p. : iliustr.. - (Artech House technology management library). - Bibliogr. sk. gale. - ISBN 1-58053-702-2

12. Peltier, Thomas R. Information security policies, procedures, and standards : guidelines for effective information security management / Thomas R. Peltier. - Boca Raton [Fla.] [etc.] : Auerbach Publications, 2002. - xiv, 297 p. : iliustr.. - Bibliogr.: p. 285-286. - ISBN 0-8493-1137-3

13. Pipkin, Donald L. nformation security : protecting the global enterprise / Donald L. Pipkin. - Upper Saddle River : Prentice Hall, 2000. - xxiv, 364 p. : iliustr.. - R-klÄ—: p. 361-364. - ISBN 0-13-017323-1

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


Organizacij sistemos i informacijos sauga

Ačiū už dėmesį

Klausimai...

A. Venčkauskas, 2007 Organizacijų sistemos | Informacijos saugos sąvokos, principai


  • Login