Лекція №11. ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ. Методи та види НСД

План

1. Поняття НСД.

2. Захист від НСД.

3. Основні способи НСД.

4. Категорії методів захисту від НСД.

5. Канали витоку інформації.

6. Найбільш загальна класифікація каналів витоку інформації.

7. Канал витоку за пам’яттю.

8. Часовий канал витоку інформації.

ЗАХИСТ ІНФОРМАЦІЇ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ

Методи та види НСД

Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу КС, що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затверджену конфiгурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС ЗЛ.

Під захистом від НСД, звичайно, слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному станi системи заходів із захисту інформації.

Згідно до нормативних документів [ ] основними способами НСД є:

· безпосереднє звертання до об'єктів з метою одержання певного виду доступу;

· створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;

· модифікація засобів захисту, що дозволяє здійснити НСД;

· впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дозволяють здійснити НСД.

Можна виділити наступні узагальнені категорії методів захисту від НСД:

* організаційні;

* технологічні;

* правові.

До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями організації. Приклад такого захисту – присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщенні, і контроль доступу до них персоналу. Другу категорію складають механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад, систем ідентифікації і автентифікації або охоронної сигналізації. І остання категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і удосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, сполучують в собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (установка замків і систем сигналізації) способів захисту.