10 клас

МІЖНАРОДНІ СТАНДАРТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Опрацюйте поданий матеріал:

Міжнародні стандарти інформаційної безпеки:

ISO/IEC 17799

ISO/IEC 17799 2005 призначений для використання будь-якою організацією, котра планує встановити систему ефективного інформаційного захисту або покращувати існуючі методи інформаційного захисту.

Однак, це не свідчить, що всі рекомендації стандарту повинні бути обов’язково прийняті. Все залежить від конкретних місцевих інформаційних ризиків та вимог.

Стандарт складається з 13 розділів:

1. Загальна частина

2. Терміни та визначення

3. Політика безпеки

4. Організовані методи забезпечення інформаційної безпеки

5. Управління ресурсами

6. Користувачі інформаційної системи

7. Фізична безпека

8. Управління комунікаціями та процесами

9. Контроль доступу

10. Придбання та розробка інформаційних систем

11. Управління інцидентами інформаційної безпеки

12. Управління безперервністю ведення бізнесу

13. Відповідність вимогам

Кожен із розділів має таку структуру:

Мета – вказує, яка мета повинна бути досягнута

Управління – вказує, як цілі можуть бути досягнуті

Керівництво – вказує, як управління може бути реалізовано та Додатки.

Зокрема в термінах і визначеннях позиціонуються такі поняття, як:

інформаційна безпека (збереження конфіденційності, цілісності й доступності інформації), конфіденційність (забезпечення доступу до інформації тільки для авторизованих користувачів, що мають право на доступ до неї), цілісність (захист точності й повноти інформації й методів її обробки), доступність (забезпечення доступності інформації й пов’язаних з нею ресурсів авторизованим користувачам за необхідності) тощо.

Також визначається політика безпеки. Опис політики інформаційної безпеки – документ, що містить опис політики інформаційної безпеки, повинен бути схвалений керівництвом, опублікований й відповідно до необхідності розповсюджений серед всіх співробітників.

ISO/IES 27001

ISO/IEC 27001 – міжнародний стандарт по інформаційної безпеки розроблений спільно Міжнародною Організацією по Стандартизації (ISO) і Міжнародної електротехнічної комісією (IEC). Підготовлено до випуску підкомітетом SC27 Об’єднаного технічного комітету JTC 1.

Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку і підтримки Системи менеджменту інформаційної безпеки.

Кращі світові практики в галузі управління інформаційною безпекою описані в міжнародному стандарті на системи менеджменту інформаційної безпеки ISO / IEC 27001 (ISO 27001). ISO 27001 встановлює вимоги до системи менеджменту інформаційної безпеки (СМІБ) для демонстрації здатності організації захищати свої інформаційні ресурси.

Поняття “захисту інформації” трактується міжнародним стандартом як забезпечення конфіденційності, цілісності та доступності інформації.

Основа стандарту ІСО 27001 – система управління ризиками, пов’язаними з інформацією. Система управління ризиками дозволяє отримувати відповіді на наступні питання: – На якому напрямку інформаційної безпеки потрібно зосередити увагу? – Скільки часу і коштів можна витратити на дане технічне рішення для захисту інформації?

ISO/IES 15408

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп’ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред’являються до технології та процесу розробки та експлуатації.

Механізми захисту інформації

Однією з умов безпечної роботи в інформаційній системі є дотримання користувачем ряду правил, які перевірені на практиці і показали свою високу ефективність. Їх декілька:

1. Використання програмних продуктів, отриманих законним офіційним шляхом. Імовірність наявності вірусу в піратської копії у багато разів вище, ніж в офіційно отриманому програмному забезпеченні.

2. Дублювання інформації. Перш за все, необхідно зберігати дистрибутивні носії програмного забезпечення. При цьому запис на носії, що допускають виконання цієї операції, повинна бути, по можливості, заблокована. Слід особливо подбати про збереження робочої інформації. Переважно регулярно створювати копії робочих файлів на знімних машинних носіях інформації із захистом від запису. Копіюється або весь файл, або тільки що вносяться зміни. Останній варіант застосуємо, наприклад, при роботі з базами даних.

3. Регулярне оновлення системного ПЗ. Операційну систему необхідно регулярно оновлювати і встановлювати все виправлення безпеки від Microsoft та інших виробників, щоб усунути існуючі уразливості програмного забезпечення.

4. Обмеження доступу користувачів до налаштувань операційної системи і системним даними. Для забезпечення стабільної роботи системи досить часто потрібно обмежувати можливості користувачів, що можна зробити або за допомогою вбудованих засобів Windows, або за допомогою спеціалізованих програм, призначених для управління доступом до комп'ютера.

У корпоративних мережах можливе застосування групових політик в мережі домену Windows.

5. Для максимально ефективного використання мережевих ресурсів необхідно вводити обмеження доступу авторизованих користувачів до внутрішніх і зовнішніх мережевих ресурсів і блокувати доступ неавторизованих користувачів.

6. Регулярне використання антивірусних засобів. Перед початком роботи доцільно виконувати програми-сканери та програми-ревізори. Антивірусні бази повинні регулярно оновлюватися. Крім того, необхідно проводити антивірусний контроль мережевого трафіку.

7. Захист від мережевих вторгнень забезпечується застосуванням програмно-апаратних засобів, в тому числі: використанням міжмережевих екранів, систем виявлення / запобігання вторгнень IDS / IPS (Intrusion Detection / Prevention System), реалізацією технологій VPN (Virtual Private Network).

8. Застосування засобів аутентифікації і криптографії - використання паролів (простих / складних / неповторяющихся) і методів шифрування. Не рекомендується використовувати один і той же пароль на різних ресурсах і розголошувати відомості про паролі. При написанні пароля на сайтах слід бути особливо уважним, щоб не допустити введення свого пароля на шахрайському сайті-двійника.

9. Особливу обережність слід проявляти при використанні нових (невідомих) знімних носіїв інформації і нових файлів. Нові знімні носії обов'язково повинні бути перевірені на відсутність завантажувальних і файлових вірусів, а отримані файли - на наявність файлових вірусів. При роботі в розподілених системах або в системах колективного користування нові змінні носії інформації і вводяться в систему файли доцільно перевіряти на спеціально виділених для цієї мети комп'ютерах, не підключених до локальної мережі. Тільки після всебічної антивірусної перевірки дисків і файлів вони можуть передаватися користувачам системи.

10. При роботі з отриманими (наприклад, за допомогою електронної пошти) документами і таблицями доцільно заборонити виконання макрокоманд засобами, вбудованими в текстові і табличні редактори (MS Word, MS Excel), до завершення повної перевірки цих файлів.

11. Якщо не передбачається здійснювати запис інформації на зовнішні носії, то необхідно заблокувати виконання цієї операції, наприклад, програмно відключивши USB-порти.

12. При роботі з загальними ресурсами в відкритих мережах (наприклад, Інтернет) використовувати тільки перевірені мережеві ресурси, які не мають шкідливого контенту. Не слід довіряти всієї що надходить на комп'ютер інформації - електронних листів, посилань на Web-сайти, повідомленнями на Інтернет-пейджери. Категорично не рекомендується відкривати файли і посилання, що приходять з невідомого джерела.

Постійне дотримання наведених рекомендацій дозволяє значно зменшити ймовірність зараження програмними вірусами і захищає користувача від безповоротних втрат інформації. Однак навіть при скрупульозному виконанні всіх правил профілактики можливість зараження ПК комп'ютерними вірусами повністю виключити не можна, тому методи і засоби захисту від шкідливого ПО необхідно постійно вдосконалювати і підтримувати в працездатному стані.

Дайте відповіді на запитання:

1.     Що таке інформаційна безпека?

2.     Які механізми захисту?

3.   Які є міжнародні стандарти Інформаційної безпеки?

9 клас

ЦИФРОВЕ ГРОМАДЯНСТВО

Завдання:

1. Створіть інфографіку, ключовим елементом якої буде ЦИФРОВИЙ ГРОМАДЯНИН: який він?

Для прикладу ознайомтеся з матеріалом за посиланням:
https://oksanapasichnyk.wordpress.com/2019/05/08/2888/

2. Придумайте ідею та створіть меми на цю ж тему.
Для прикладу:
https://digitalcitizenship9b.wordpress.com/ 

10 клас

Тест

1.     Анкета  «Безпечний інтернет»

1.     Інтернет-це..

А) Стійка інтернет –мережа, яка базується на комплексі Інтернет-протоколів;

Б) мережа в якій можна відвідувати сайти для знайомства і розваг;

2. Пам΄ятай ,що спілкування в мережі з іншими користувачами

А) нічим не відрізняється від спілкування в реальному житті будь чемним і вічливим;

Б)  дає можливість сказати все ,що хочеться;

В) має бути на власний розсуд;

3.  Зберігай свої особисті дані(адреса,номер телефону,відомості про батьків)

А) в соціальних мережах;

Б)  у відкритому доступі;

В) в таємниці,бо в інтернеті є безліч шахраїв;

4. Якщо виникли проблеми в Інтернеті

А) зберігай таємниці;

Б) поділись з батьками,вони тобі допоможуть розв΄язти проблеми ;

В) поділись з друзями і  виріши свої проблеми;

5.  Якщо потрапив в інтернет –магазин і маєш нагоду здійснити свою мрію

А) нічого не купуй в інтернеті без дозволу  батьків, адже ти неповнолітній,тому не можеш розпоряджатися грошима;

Б) якщо велика скидка,то купи

В) купуй терміново,поки продається продукція про яку ти мріяв;

6.Якщо тебе ображають в соціальних мережах

А) на образу відповідай образою;

Б) порадься з другом;

В) повідомлення про це батькам. Вони допоможуть заблокувати цього користувача;

7. Якщо отримав сумнівний електронний лист

А) прочитай його можливо,там щось цікаве;

Б)  не відкривай його,адже він може нести небезпеку,порадься з батьками;

В) відкрий з другом;

8  Якщо зайшов на невідомий  і неперевірений сайт

А) не довіряй інформації з таких сайтів більшість з них є носіями вірусів;

Б) скачай з нього те що подобається;

В) пошукай  цікавенького;

9 Якщо став призером інтернет- розіграшу, то

А) швидко розкажи друзям,можливої вдастся стати переможцями;

Б) вітаю ти переможець

В) не довіряй,ти можеш лише програти і витратити гроші

10. В інтернеті час летить швидко. Саме тому

А) користуйся інтернетом і радій;

Б) обмежуй час проведений в мережі;

В) слідкуй за часом,щоб не засмучуватись;

10 клас

ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ (VPN)

VPN –(Virtual Private Network)

Віртуальна приватна мережа  створюється на базі загальнодоступної мережі Інтернет. І якщо зв’язок через Інтернет має свої недоліки, головним з яких є те, що вона схильна потенційним порушень захисту та конфіденційності, то VPN можуть гарантувати, що направляється через Інтернет трафік так само захищений, як і передача всередині локальної мережі. У теж час віртуальні мережі забезпечують істотну економію витрат у порівнянні з вмістом власної мережі глобального масштабу.

VPN – це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією. VPN дозволяє об’єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв’язку між ними непідконтрольних каналів.

Технологія VPN створює віртуальні канали зв’язку через загальнодоступні мережі, так звані «VPN—тунелі». Трафік, що проходить через тунелі, що зв’язують віддалені філії, шифрується. Зловмисник, що перехопив шифровану інформацію, не зможе переглянути її, так як не має ключа для розшифровки.

Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP в який—небудь інший протокол – IP (такий спосіб використовує реалізація PPTP – Point—to—Point Tunneling Protocol) або Ethernet (PPPoE). Технологія VPN останнім часом використовується не тільки для створення власне приватних мереж, але і деякими провайдерами для надання виходу в Інтернет.состоіт з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути кілька, і «зовнішня» мережа, по якій проходить інкапсульоване з’єднання (зазвичай використовується Інтернет). Можливо також підключення до віртуальної мережі окремого комп’ютера. Підключення віддаленого користувача до VPN проводиться за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступної) мережі. При підключенні віддаленого користувача (або при установці з’єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач (дистанційна мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації. Класифікувати VPN рішення можна за кількома основними параметрами.

       За типом використовуваної середовища:

• Захищені . Найбільш поширений варіант приватних приватних мереж. C його допомогою можливо створити надійну і захищену підмережа на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
• Довірчі. Використовуються у випадках, коли передавальну середу можна вважати надійною і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN—рішень є: Multi—protocol label switching (MPLS) і L2TP (Layer 2 Tunneling Protocol). (Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec)

  За способом реалізації:

• У вигляді спеціального програмно—апаратного забезпечення . Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно—апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
• У вигляді програмного рішення. Використовують персональний комп’ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
• Інтегроване рішення. Функціональність VPN забезпечує комплекс, вирішальний також завдання фільтрації зв’язку, організації мережевого екрану і забезпечення якості обслуговування.

За призначенням:

• Intranet VPN . Використовують для об’єднання в єдину захищену мережу декількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв’язку.
• Remote Access VPN . Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним будівлею або філією) та одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп’ютера або, перебуваючи у відрядженні, підключається до корпоративних ресурсів за допомогою ноутбука.
• Extranet VPN. Використовують для мереж, до яких підключаються «зовнішні» кор истувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників ВНЗ, тому потрібно забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо цінної, конфіденційної інформації.

 Переваги VPN очевидні. Надавши користувачам можливість з’єднуватися через Інтернет, масштабованість досягається в основному збільшенням пропускної здатності каналу зв’язку, коли мережа стає перевантаженої. VPN допомагає заощадити на телефонних витратах, оскільки вам не потрібно мати справу з пулом модемів. Крім того, VPN дозволяють отримати доступ до мережевих ресурсів, які в звичайній ситуації адміністратори змушені виносити на зовнішнє з’єднання.

•          Отже, VPN забезпечує:
  • захищені канали зв’язку за ціною доступу в Інтернет, що в кілька разів дешевше виділених ліній;
  • при установці VPN не потрібно змінювати топологію мереж, переписувати програми, навчати користувачів – все це значна економія;
  • забезпечується масштабування, оскільки VPN не створює проблем росту і зберігає зроблені інвестиції;
  • незалежність від криптографії і можете використовувати модулі криптографії будь—яких виробників у відповідності з національними стандартами тієї чи іншої країни;
  • відкриті інтерфейси дозволяють інтегрувати вашу мережу з іншими програмними продуктами та бізнес—додатками.
  До недоліків VPN можна віднести порівняно низьку надійність. У порівнянні з виділеними лініями та мережами на основі Frame relay віртуальні приватні мережі менш надійні, проте в 5—10, а іноді і в 20 разів дешевше. На думку аналітиків, це не зупинить VPN, це не суттєво для більшості користувачів.

10 клас

Пройдіть тест на визначення креативності за наступним посиланням:
https://mycreativetype.com/

10 клас

Тема Призначення, можливості і основні захисні механізми міжмережевих екранів.

Завдання
Опрацювати відомості за посиланням: 
https://studfiles.net/preview/5043913/page:2/

Дати відповіді на запитання:
1. Що таке брандмауер?
2. Які існують види брандмауерів?
3. Протокол TCP/IP. Для чого він використовується?
4.Що таке міжмережевий екран?

Відповіді подати у текстовому редакторі з назвою Брандмауери на робочому столі.