П.І.Б.: Науменко Д. О

Дата народження: 14.03.02

Місце навчання: Одеська гімназія №8

Клас (на 2019-2020 рік) : 11-Б

Улюблені предмети: математика

Захоплення: читання

Основні поняття в області безпеки інформаційних технологій. Місце і роль автоматизованих систем в управлінні бізнес-процесами. Основні причини загострення проблеми забезпечення безпеки інформаційних технологій

Посилання на презентацію до уроку

Інформація та інформаційні відносини. Суб'єкти інформаційних відносин, їх інтереси та безпека, шляхи нанесення їм шкоди. Безпека інформаційних технологій.

Загрози безпеці інформації в автоматизованих системах. Основні джерела і шляхи реалізації загроз безпеки та каналів проникнення і несанкціонованого доступу до відомостей та програмного коду

Автоматизована система (АС)^[1] (англ. automated system) — сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.

Класифікація АС^[2]:

1. За рівнем або сферою діяльності — державні, територіальні (регіональні), галузеві, об'єднань, підприємств або установ, технологічних процесів.
2. За рівнем автоматизації процесів управління — інформаційно-пошукові, інформаційно-довідкові, інформаційно-керівні, системи підтримки прийняття рішень, інтелектуальні АС.
3. За ступенем централізації обробки інформації — централізовані АС, децентралізовані АС, інформаційні системи колективного використання.
4. За ступенем інтеграції функцій — багаторівневі АС з інтеграцією за рівнями управління (підприємство — об'єднання, об'єднання — галузь і т. ін.), багаторівневі АС з інтеграцією за рівнями планування і т. ін.

Комп'ютерний вірус^[3] (англ. computer virus) — комп'ютерна програма, яка має здатність до прихованого самопоширення. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу.

Види комп'ютерних вірусів:

1. Шкідник - робить якусь шкоду користувачу аби зробити процес його роботи незручним.
2. Знищувач - здатний знищувати системні файли, документи, утиліти, тощо.
3. Хробак - саморозповсюджувана програма, яка може подолати всі три етапи розповсюдження самостійно (звичайний хробак), або використовує агента-користувача тільки на 2-му етапі (поштовий черв'як).
4. Жарт - не завдає шкоди комп'ютеру, а просто лякає користувача.
5. Комбінований - це поєднання двох або більше типів вірусів.

Шкідливе програмне забезпечення^[4](англ. malware — скорочення від malicious — зловмисний і software — програмне забезпечення) — програмне забезпечення, яке перешкоджає роботі комп'ютера, збирає конфіденційну інформацію або отримує доступ до приватних комп'ютерних систем. Може проявлятися у вигляді коду, скрипта, активного контенту, і іншого програмного забезпечення. Шкідливий — це загальний термін, який використовується для позначення різних форм ворожого або непроханого програмного забезпечення.

Класифікація шкідливого ПЗ:

1. За наявністю матеріальної вигоди:

- що не приносять пряму матеріальну вигоду тому, хто розробив (встановив) шкідливу програму: хуліганство; жарт; вандалізм, зокрема на релігійному, національному, політичному ґрунті; самоствердження, прагнення довести свою кваліфікацію;

- що приносять пряму матеріальну вигоду зловмисникові: крадіжка конфіденційної інформації, включаючи діставання доступу до систем банк-клієнт, отримання PIN кодів кредитних карток і таке інше; отримання контролю над віддаленими комп'ютерними системами з метою розповсюдження спаму з численних комп'ютерів-зомбі; блокування комп'ютера, шифрування файлів користувача з метою шантажу та вимагання грошових коштів.

2. За метою розробки:

- програмне забезпечення, яке з самого початку розроблялося спеціально для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ з метою спричинення шкоди (збитку) власникові інформації і/або власникові ЕОМ (мережі ЕОМ).

- програмне забезпечення, яке з самого початку не розроблялися спеціально для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ і з самого початку не призначалися для спричинення шкоди (збитку) власникові інформації і/або власникові ЕОМ (мережі ЕОМ).

Інтернет-шахрайство^[5] – заволодіння чужим майном за допомогою введення в оману або зловживання довірою іншої людини.

Особливості інтернет-шахрайства^[6]:

1. Контакт між потерпілим і правопорушником відбувається через інтернет;
2. Жертва не бачить і майже ніколи не знає зловмисника особисто;
3. Передача грошей або майна протікає дистанційно.
   

Спам-розсилки^[7] - масове розсилання кореспонденції рекламного чи іншого характеру людям, які не висловили бажання її одержувати. Передусім термін «спам» стосується рекламних електронних листів.

Різновиди спам-розсилок:

1. Розсилання листів релігійного змісту.
2. Масове розсилання для виведення поштової системи з ладу.
3. Масове розсилання від імені іншої особи, з метою викликати до неї негативне ставлення.
4. Масове розсилання листів, що містять комп'ютерні віруси (для їхнього початкового поширення).

Несанкціонований до́ступ до інформації^[8] — доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації. Також іноді несанкціонованим доступом називають одержання доступу до інформації особою, що має право на доступ до цієї інформації в обсязі, що перевищує необхідний для виконання службових обов'язків.

Бот-мережа або Ботнет^[9] (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера.

Використання:

Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карток та паролів доступу. Кожен комп’ютер в мережі діє як «бот» і управляється шахраєм для передачі шкідливих програм або шкідливого контенту для запуску атаки.

Ботнет деколи називають «армією зомбі», так як комп’ютери контролюються кимось іншим, крім їх власника.

Атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні^[10] (англ. DoS attack, DDoS attack, (Distributed) Denial-of-service attack) — напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними користувачам, для яких комп'ютерна система була призначена.

Одним із найпоширеніших методів нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів (часто безглуздих або неправильно сформульованих) таким чином атаковане устаткування не може відповісти користувачам, або відповідає настільки повільно, що стає фактично недоступним.

Відмова сервісу здійснюється:

• примусом атакованого устаткування до зупинки роботи програмного забезпечення/устаткування або до витрат наявних ресурсів, внаслідок чого устаткування не може продовжувати роботу;
• заняттям комунікаційних каналів між користувачами і атакованим устаткуванням, внаслідок чого якість сполучення перестає відповідати вимогам.

Якщо атака відбувається одночасно з великої кількості IP-адрес, то її називають розподіленою (англ. Distributed Denial-of-Service — DDoS).

Крадіжка^[11] — злочин, що полягає у таємному викраденні чужого майна. Крадіжка є різновидом викрадення, вирізняючись з-поміж інших видів викрадення спосіб вилучення майна — таємністю. Таємність як ознака полягає у тому, що особа, яка вчиняє крадіжку, вважає, що вилучає майно непомітно для потерпілого. Істотним моментом є саме факт усвідомлення таємності злочинцем, навіть коли таку крадіжку помічав потерпілий чи інші особи, а злочинець вважав, що діє непомітно від них — таке діяння залишатиметься саме крадіжкою.

Предметом злочинів проти власності є майно, яке має певну вартість і є чужим для винної особи: речі (рухомі й нерухомі), грошові кошти, цінні метали, цінні папери тощо, а також право на майно та дії майнового характеру, електрична та теплова енергія.

Відповідальність: адміністративна та кримінальна

Крадіжка особистості^[12] (англ. Identity theft) - злочин, при якому незаконно використовуються персональні дані людини для отримання матеріальної вигоди.

Крадіжки особистості набули широкого поширення в США в другій половині XX століття. Це було викликано широким впровадженням послуг, що надаються віддалено, без особистої присутності, зокрема, випуску кредитних карт, отримання кредитів. Також злочину пов'язують з широким розповсюдженням SSN (Social Security number) в якості ідентифікатора особистості. Для підтвердження особи по телефону організації запитують номер SSN. У Британії для «крадіжок особистості» використовують страхові ідентифікатори NINO (National Insurance number) і NHS (National Health Service number).

За інформацією CioWorld, на чорному ринку США набір інформації для крадіжки особистих даних, що включає адресу і SSN, коштує від 16 до 30 доларів. Імовірність стати жертвою крадіжки особистості оцінюється в 2% для середнього жителя США.

1. ↑ Автоматизована система. Вікіпедія (укр.). 18 вересня 2019. Процитовано 13 квітня 2020.
2. ↑ Класифікація автоматизованих систем. web.znu.edu.ua. Процитовано 13 квітня 2020.
3. ↑ Комп'ютерний вірус. Вікіпедія (укр.). 3 грудня 2019. Процитовано 13 квітня 2020.
4. ↑ Шкідливий програмний засіб. Вікіпедія (укр.). 28 вересня 2019. Процитовано 13 квітня 2020.
5. ↑ Шахрайство. Вікіпедія (укр.). 19 березня 2019. Процитовано 13 квітня 2020.
6. ↑ Інтернет-шахрайство: як уникнути і що робити, якщо стали жертвою*. Волинські новини. Процитовано 13 квітня 2020.
7. ↑ Спам. Вікіпедія (укр.). 10 листопада 2019. Процитовано 13 квітня 2020.
8. ↑ Несанкціонований доступ. Вікіпедія (укр.). 29 серпня 2019. Процитовано 13 квітня 2020.
9. ↑ Ботнет. Вікіпедія (укр.). 18 листопада 2019. Процитовано 13 квітня 2020.
10. ↑ DoS-атака. Вікіпедія (укр.). 19 березня 2020. Процитовано 13 квітня 2020.
11. ↑ Крадіжка. Вікіпедія (укр.). 21 січня 2020. Процитовано 13 квітня 2020.
12. ↑ Кража личности. Википедия (рос.). 25 березня 2020. Процитовано 13 квітня 2020.

Основні ненавмисні і навмисні штучні загрози. Технічні засоби добування інформації. Програмні засоби добування інформації.

Карта знань з теми "Штучні загрози та їх види":

• 

Карта знань з теми "Технічні й програмні засоби для добування інформації":

• 

Об'єкти захисту. Види заходів протидії загрозам безпеки. Переваги та недоліки різних видів заходів захисту. Основні принципи побудови системи безпеки інформації в автоматизованій системі.

План уроку:

1. Об'єкти захисту в інформаційних системах (посилання на інтерактивну дошку)
2. Види заходів протидії загрозам безпеки. Методи забезпечення безпеки інформації в ІС (посилання на інтерактивну дошку)
3. Переваги та недоліки різних видів заходів захисту.
4. Основні принципи побудови системи безпеки інформації в автоматизованій системі (Принципи організації захисту інформації в сучасних інфомраційно-комунікаційних системах і мережах)

Правові основи забезпечення безпеки інформаційних технологій.
План уроку:

1. Правові основи забезпечення безпеки інформаційних технологій;
2. Закони України та інші нормативно- правові акти, що регламентують відносини суб'єктів в інформаційній сфері та захист інформації;
3. Відповідальність за порушення у сфері захисту інформації та неправомірного використання автоматизованих систем.

Посилання на веб-мікс

Основні захисні механізми, які реалізуються в рамках різних заходів і засобів захисту. Ідентифікація та аутентифікація користувачів.

План уроку:

1. Ідентифікація користувачів
2. Аутентифікація користувачів
3. Авторизація користувачів

Приклади індентифікації: (натисніть на словосполучення, щоб відкрити пазл)

• номер телефону;
• номер паспорта;
• електронна скринька;
• номер сторінки в соціальній мережі;
• номер банківської картки.

Приклади аутенфікації:^[1] посилання на пазл

• властивість, якою володіє суб'єкт;
• знання — інформація, яку знає суб'єкт;
• володіння — річ, якою володіє суб'єкт.

Способи аутенфікації:

• парольна аутенфікація;
• біометрична аутенфікація:
  1. Параметри голосу;
  2. Візерунок райдужної оболонки ока і карта сітківки ока;
  3. Риси обличчя;
  4. Форма долоні.;
  5. Відбитки пальців;
  6. Форма і спосіб особистого підпису;

1. ↑ Автентифікація. Вікіпедія (укр.). 18 березня 2020. Процитовано 12 травня 2020.