ПОСІБНИК З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
РОЗДІЛ 1. Теоретичні основи інформаційної безпеки
Тема 1. Вступ до вивчення дисципліни
Предмет і зміст дисципліни;
мета і завдання дисципліни; коротка суть і взаємозв’язок тем та розділів.
Основні поняття та терміни.
Тема 2. Суть і призначення інформаційної безпеки
Поняття і зміст інформаційної безпеки.
Функції інформаційної безпеки.
Завдання інформаційної безпеки
Рівні систем безпеки
Тема 3. Базові елементи інформаційної безпеки
Об’єкти інформаційної безпеки.
Загрози і джерела загроз.
Способи реалізації загроз та канали дії.
Заходи безпеки як елемент системи інформаційної безпеки.
Тема 4. Заходи для забезпечення інформаційної безпеки
Види заходів безпеки: загальні і спеціальні.
Рівні заходів інформаційної безпеки.
Складові елементи заходів забезпечення інформаційної безпеки: технології безпеки, сили безпеки, засоби безпеки, методи безпеки.
Види і порядок застосування засобів інформаційної безпеки.
Методи інформаційної безпеки.
Тема 5. Комплексний підхід до забезпечення інформаційної безпеки
Категорії інформаційної безпеки (доступність, цілісність, конфіденційність).
Грані інформаційної безпеки (законодавчий, адміністративний, процедурний і програмно-технічний).
Типи об’єктів інформаційної безпеки (державні організації; комерційні структури; окремі громадяни. ).
РОЗДІЛ 2. Комплексна система інформаційної безпеки
Тема 6. Побудова комплексної системи інформаційної безпеки
Об’єктний простір інформаційної безпеки
Архітектура комплексної системи інформаційної безпеки
Принципи комплексної системи інформаційної безпеки
Функції комплексної системи інформаційної безпеки
Етапи створення комплексної системи.
Тема 7. Обстеження об'єкта інформаційної безпеки
Зміст робіт при проведенні обстеження об'єкта інформаційної безпеки
Обстеження інформаційного середовища
Обстеження фізичного середовища
Обстеження середовища персоналу
Формування завдання на створення комплексної системи інформаційної безпеки
Тема 8. Законодавче забезпечення інформаційної безпеки
Адміністративна та кримінальна відповідальність за порушення інформаційної безпеки
Рівні конфіденційності інформації
Економічні передумови захисту конфіденційної інформації
Суть комерційної таємниці та необхідність її захисту
Нормативне забезпечення захисту комерційної таємниці
Механізм захисту комерційної таємниці
Тема 9. Адміністративне забезпечення інформаційної безпеки
Зміст адміністративного забезпечення інформаційної безпеки
Концепція політики інформаційної безпеки: суть, призначення і структура.
Види моделей інформаційної безпеки: моделі об’єктів і суб’єктів інформаційної безпеки та моделі доступу, матриці конфіденційності, моделі загроз, моделі порушника.
Тема 10. Розробка концепції інформаційної безпеки
Аспекти концепції інформаційної безпеки
Структура концепції інформаційної безпеки
Визначення цілей концепції інформаційної безпеки.
РОЗДІЛ 3. Моделювання систем інформаційної безпеки
Тема 11. Моделювання загроз для інформаційної безпеки
Класифікація ймовірних загроз для інформаційної безпеки.
Внутрішні і зовнішні джерела загроз
Канали дії
Види нанесеної шкоди внаслідок реалізації загроз
Побудова моделі загроз
Тема 12. Способи реалізації загроз для інформаційної безпеки
Характеристика середовища перенесення зловмисної дії
Види способів реалізації загроз для інформаційної безпеки
Види інформації. Канали витоку інформації: види (технічні, режимні, логічні) і причини витоку.
Канали поширення дезінформації.
Тема 13. Моделі доступу як формальний підхід до захисту інформації
Призначення моделей доступу
Види моделей доступу
Векторні і матричні моделі доступу
Структура пятивимірної моделі доступу
Тема 14. Матричні моделі доступу
Дискреційна модель доступу
Мандатна модель доступу
Рольова модель доступу
Тема 15. Моделювання системи запобігання порушення інформаційної безпеки
Системи інтересів, вектори інтересів, зони конфліктів
Визначення множини зацікавлених суб'єктів
Побудова моделі порушника
РОЗДІЛ 4. Аналітичне і організаційно-процедурне забезпечення інформаційної безпеки
Тема 16. Аналітичне забезпечення інформаційної безпеки
Аналіз ризиків: принципи, методи, прийоми.
Аналіз наслідків від втрат інформації.
Визначення вартості системи інформаційної безпеки.
Тема 17. Організаційне забезпечення інформаційної безпеки
Зміст організаційного забезпечення інформаційної безпеки.
Розробка порядку інформаційної діяльності об'єкта інформаційної безпеки.
Організація конфіденційного документообігу
Організація режиму, зони режимності об'єкта безпеки
Організація служби інформаційної безпеки.
Тема 18. Менеджмент персоналу з питань інформаційної безпеки
Класифікація внутрішніх порушників – інсайдерів
Види порушень інформаційної безпеки персоналом
Промислове шпигунство: суть і способи дії через персонал
Методи соціальної інженерії: претекстінг, фішинг, троянський кінь, дорожнє яблуко, кві про кво.
Робота з персоналом, який має доступ до конфіденційної інформації: договір, методи перевірки кандидатів, організація службового розслідування за фактами втрати конфіденційної інформації, порядок звільнення.
Тема 19. Процедурне забезпечення інформаційної безпеки
Фізичний захист об’єктів інформаційної безпеки
Підтримка безперебійності роботи організації.
Реагування на порушення режиму безпеки.
Планування відновлювальних робіт.
РОЗДІЛ 5. Технічне забезпечення інформаційної безпеки
Тема 20. Програмно-технічне забезпечення інформаційної безпеки
Захист інформації в комп'ютерних системах
Методи забезпечення інформаційної безпеки в комп'ютерних системах
Керування доступом, ідентифікація і перевірка дійсності користувачів.
Моніторинг дій користувача.
Екранування об’єктів інформаційної безпеки
Тема 21. Комплексна система захисту інформації (КСЗІ) комп'ютерних технологій
Компоненти КСЗІ.
Інформаційні об'єкти захисту: активні та пасивні.
Захист інформації в базах даних.
Керування доступом користувачів до інформації, атрибути доступу, протоколювання дій користувачів.
Створення довірчих процедур інформаційної безпеки.
Термінологічний словник
Атестація – визначення відповідності виконаних робіт зі створення комплексу ТЗІ на об'єкті інформаційної діяль¬ності вимогам нормативних документів з питань ТЗІ.
Випробування (комплексу ТЗІ) – сукупність аналітичних, експериментальних та вимірювальних робіт, які проводяться з метою визначення повноти виконання вимог щодо захисту від витоку інформації з обмеженим доступом технічними каналами, а також перевірки (контролю) повноти та достатності реалізованих заходів із захисту інформації на об'єктах інформаційної діяль¬ності.
Інформація з обмеженим доступом – інформація, що становить державну або іншу передбачену законом таємницю, а також конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законом.
Комплекс ТЗІ – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку інформації з обмеженим доступом технічними каналами на об’єктах інформаційної діяльності.
Об’єкт інформаційної діяльності – будівлі, приміщення, транспортні засоби чи інші інженерно-технічні споруди, функціональне призначення яких передбачає обіг інформації з обмеженим доступом.