- Учебное пособие для ВУЗов - Белов Е.Б. , Лось В.П. , Мещеряков Р.В. , Шелупанов А.А. - 2006
Изложены вопросы теории и практики обеспечения информационной безопасности личности, общества и государства . Большое внимание уделено проблеме безопасности автоматизированных систем , включая вопросы определения модели нарушителя и требований к защите информации. Анализируются современные способы и средства защиты информации и архитектура систем защиты информации. В приложениях приведен справочный материал по ряду нормативных правовых документов и вариант рабочей программы по дисциплине «Основы информационной безопасности».
Для студентов высших учебных заведений , обучающихся по специальностям в области информационной безопасности , может быть полезной для широкого круга читателей, интересующихся вопросами обеспечения информационной безопасности.
Основы информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. -М.: Горячая линия - Телеком, 2006. - 544 с: ил.
ISBN 5-93517-292-5
ББК 32.97
УДК 681.3
0-75
Предисловие
Введение
Часть 1. ОСНОВЫ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ ПОЛИТИКИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Понятие национальной безопасности
1.1. Интересы и угрозы в области национальной безопасности
1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание
2. Информационная безопасность в системе национальной безопасности Российской Федерации
2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности
2.2. Национальные интересы в информационной сфере
2.3. Источники и содержание угроз в информационной сфере
3. Государственная информационная политика
3.1. Основные положения государственной информационной политики Российской Федерации
3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности
4. Информация - наиболее ценный ресурс современного общества
4.1. Понятие «информационный ресурс»
4.2. Классы информационных ресурсов
5. Проблемы информационной войны
5.1. Информационное оружие и его классификация
5.2. Информационная война
6. Проблемы информационной безопасности в сфере государственного и муниципального управления
6.1. Информационные процессы в сфере государственного и муниципального управления
6.2. Виды информации и информационных ресурсов в сфере ГМУ
6.3. Состояние и перспективы информатизации сферы ГМУ
7. Система подготовки кадров в области информационной безопасности в Российской Федерации
7.1. Структура системы подготовки кадров в области информационной безопасности
7.2. Состав учебно-методического обеспечения системы и ее подсистема управления
7.3. Основные направления учебной деятельности
Литература
Часть 2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
1. Современная постановка задачи защиты информации
2. Организационно-правовое обеспечение, информационной безопасности
2.1.Информация как объект юридической защиты. Основные принципы засекречивания информации
2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
3. Информационные системы
3.1. Общие положения
3.2. Информация как продукт
3.3. Информационные услуги
3.4. Источники конфиденциальной информации в информационных системах
3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах
3.6. Виды технических средств информационных систем
4. Угрозы информации
4.1. Классы каналов несанкционированного получения информации
4.2. Причины нарушения целостности информации
4.3. Виды угроз информационным системам
4.4. Виды потерь
4.5. Информационные инфекции
4.6. Убытки, связанные с информационным обменом
4.7. Модель нарушителя информационных систем
5. Методы и модели оценки уязвимости информации
5.1. Эмпирический подход к оценке уязвимости информации
5.2. Система с полным перекрытием
5.3. Практическая реализация модели «угроза - защита»
6. Рекомендации по использованию моделей оценки уязвимости информации
7. Методы определения требований к защите информации
8. Анализ существующих методик определения требований к защите информации
8.1. Требования к безопасности информационных систем в США
8.2. Требования к безопасности информационных систем в России
8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
8.4. Оценка состояния безопасности ИС Франции
8.5. Факторы, влияющие на требуемый уровень защиты информации
8.6. Критерии оценки безопасности информационных технологий
9. Функции и задачи защиты информации
9.1. Общие положения
9.2. Методы формирования функций защиты
9.3. Классы задач защиты информации
9.4. Функции защиты
9.5. Состояния и функции системы защиты информации
10. Стратегии защиты информации
11. Способы и средства защиты информации
12. Криптографические методы защиты информации
12.1. Требования к криптосистемам
12.2. Основные алгоритмы шифрования
12.3. Цифровые подписи
12.4. Криптографические хеш-функции
12.5. Криптографические генераторы случайных чисел
12.6. Обеспечиваемая шифром степень защиты
12.7. Криптоанализ и атаки на криптосистемы
13. Архитектура систем защиты информации
13.1. Требования к архитектуре СЗИ
13.2. Построение СЗИ
13.3. Ядро системы защиты информации
13.4. Ресурсы системы защиты информации
13.5. Организационное построение
Литература
Приложение 1. РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ «ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
I. Цели и задачи дисциплины, ее место в учебном процессе. Цели преподавания дисциплины
Задачи изучения дисциплины
Общие указания к выполнению практических занятий
Перечень дисциплин, усвоение которых необходимо для изучения данного курса
II. Содержание дисциплины
1. Теоретические занятия (18 ч)
2. Практические занятия (18 ч)
3. Самостоятельная работа (28 ч)
III. Учебно-методические материалы по дисциплине
Основная литература
Дополнительная литература
Законодательство
Приложение 2. ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ.
Первое задание
Второе задание
Приложение 3. ВОПРОСЫ К ЭКЗАМЕНУ
Приложение 4. ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ.
I. Информационная безопасность Российской Федерации
1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение
2. Виды угроз информационной безопасности Российской Федерации
3. Источники угроз информационной безопасности Российской Федерации
4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
II. Методы обеспечения информационной безопасности Российской Федерации
5. Общие методы обеспечения информационной безопасности Российской Федерации
6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации
8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации
10. Основные функции системы обеспечения информационной безопасности Российской Федерации
11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
Приложение 5. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ»
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
Статья 2. Термины, используемые в настоящем Федеральном законе, их определения.
Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации
Глава 2. Информационные ресурсы
Статья 4. Основы правового режима информационных ресурсов
Статья 5. Документирование информации
Статья 6. Информационные ресурсы как элемент состава имущества и объект права собственности
Статья 7. Государственные информационные ресурсы
Статья 8. Обязательное представление документированной информации для формирования государственных информационных ресурсов.
Статья 9. Отнесение информационных ресурсов к общероссийскому национальному достоянию
Статья 10. Информационные ресурсы по категориям доступа
Статья 11. Информация о гражданах (персональные данные)
Глава 3. Пользование информационными ресурсами
Статья 12. Реализация права на доступ к информации из информационных ресурсов
Статья 13. Гарантии предоставления информации
Статья 14. Доступ граждан и организаций к информации о них
Статья 15. Обязанности и ответственность владельца информационных ресурсов
Глава 4. Информатизация. Информационные системы, технологии и средства их обеспечения
Статья 16. Разработка и производство информационных систем, технологий и средств их обеспечения
Статья 17. Право собственности на информационные системы, технологии и средства их обеспечения..
Статья 18. Право авторства и право собственности на информационные системы, технологии и средства их обеспечения
Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов
Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации
Статья 20. Цели защиты
Статья 21. Защита информации
Статья 22. Права и обязанности субъектов в области защиты информации
Статья 23. Защита прав субъектов в сфере информационных процессов и информатизации
Статья 24. Защита права на доступ к информации
Статья 25. Вступление в силу настоящего Федерального закона
Приложение 6. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
Глава 1. Общие положения
Статья 1. Цель и сфера применения настоящего Федерального закона
Статья 2. Правовое регулирование отношений в области использования электронной цифровой подписи
Глава 2. Условия использования электронной цифровой подписи
Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи
Статья 5. Использование средств электронной цифровой подписи
Статья 6. Сертификат ключа подписи
Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре
Глава 3. Удостоверяющие центры
Статья 8. Статус удостоверяющего центра
Статья 9. Деятельность удостоверяющего центра
Статья 10. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти
Статья 11. Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи
Статья 12. Обязательства владельца сертификата ключа подписи
Статья 13. Приостановление действия сертификата ключа подписи
Статья 14. Аннулирование сертификата ключа подписи
Статья 15. Прекращение деятельности удостоверяющего центра
Глава 4. Особенности использования электронной цифровой подписи
Статья 16. Использование электронной цифровой подписи в сфере государственного управления
Статья 17. Использование электронной цифровой подписи в корпоративной информационной системе
Статья 18. Признание иностранного сертификата ключа подписи
Статья 19. Случаи замещения печатей
Глава 5. Заключительные и переходные положения
Статья 20. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом
Статья 21. Переходные положения
Приложение 7. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ»
Глава 1. Общие положения
Статья 2. Основные понятия
Статья 3. Принципы технического регулирования
Статья 4. Законодательство Российской Федерации о техническом регулировании
Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну
Глава 2. Технические регламенты
Статья 6. Цели принятия технических регламентов
Статья 7. Содержание и применение технических регламентов
Статья 8. Виды технических регламентов
Статья 9. Порядок разработки, принятия, изменения и отмены технического регламента
Статья 10. Особый порядок разработки и принятия технических регламентов
Глава 3. Стандартизация
Статья 11. Цели стандартизации
Статья 12. Принципы стандартизации
Статья 13. Документы в области стандартизации
Статья 14. Национальный орган Российской Федерации по стандартизации, технические комитеты по стандартизации
Статья 15. Национальные стандарты, общероссийские классификаторы технико-экономической и социальной информации
Статья 16. Правила разработки и утверждения национальных стандартов
Статья 17. Стандарты организаций
Глава 4. Подтверждение соответствия
Статья 18. Цели подтверждения соответствия
Статья 19. Принципы подтверждения соответствия
Статья 20. Формы подтверждения соответствия
Статья 21. Добровольное подтверждение соответствия
Статья 22. Знаки соответствия
Статья 23. Обязательное подтверждение соответствия
Статья 24. Декларирование соответствия
Статья 25. Обязательная сертификация
Статья 26. Организация обязательной сертификации
Статья 27. Знак обращения на рынке
Статья 28. Права и обязанности заявителя в области обязательного подтверждения соответствия
Статья 29. Условия ввоза на территорию Российской Федерации продукции, подлежащей обязательному подтверждению соответствия
Статья 30. Признание результатов подтверждения соответствия
Глава 5. Аккредитация органов по сертификации и испытательных лабораторий (центров)
Статья 31. Аккредитация органов по сертификации и испытательных лабораторий (центров)
Глава 6. Государственный контроль (надзор) за соблюдением требований технических регламентов
Статья 32. Органы государственного контроля (надзора) за соблюдением требований технических регламентов
Статья 33. Объекты государственного контроля (надзора) за соблюдением требований технических регламентов
Статья 34. Полномочия органов государственного контроля (надзора).
Статья 35. Ответственность органов государственного контроля (надзора) и их должностных лиц при осуществлении государственного контроля (надзора) за соблюдением требований технических регламентов.
Глава 7. Информация о нарушении требований технических регламентов и отзыв продукции
Статья 36. Ответственность за несоответствие продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации требованиям технических регламентов
Статья 37. Информация о несоответствии продукции требованиям технических регламентов
Статья 38. Обязанности изготовителя (продавца, лица, выполняющего функции иностранного изготовителя) в случае получения информации о несоответствии продукции требованиям технических регламентов
Статья 39. Права органов государственного контроля (надзора) в случае получения информации о несоответствии продукции требованиям технических регламентов.
Статья 40. Принудительный отзыв продукции
Статья 41. Ответственность за нарушение правил выполнения работ по сертификации
Статья 42. Ответственность аккредитованной испытательной лаборатории (центра)
Глава 8. Информация о технических регламентах и документах по стандартизации
Статья 43. Информация о документах по стандартизации
Статья 44. Федеральный информационный фонд технических регламентов и стандартов
Глава 9. Финансирование в области технического регулирования
Статья 45. Порядок финансирования за счет средств федерального бюджета расходов в области технического регулирования
Глава 10. Заключительные и переходные положения
Статья 46. Переходные положения
Статья 47. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом
Статья 48. Вступление в силу настоящего Федерального закона
Приложение 8. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ»
Статья 1. Сфера применения настоящего Федерального закона
Статья 2. Основные понятия
Статья 3. Основные принципы осуществления лицензирования
Статья 4. Критерии определения лицензируемых видов деятельности
Статья 5. Определение полномочий Правительства Российской Федерации при осуществлении лицензирования
Статья 6. Полномочия лицензирующих органов
Статья 7. Действие лицензии
Статья 8. Срок действия лицензии
Статья 9. Принятие решения о предоставлении лицензии
Статья 10. Содержание подтверждающего наличие лицензии документа и решения о предоставлении лицензии
Статья 11. Переоформление документа, подтверждающего наличие лицензии
Статья 12. Осуществление контроля
Статья 13. Приостановление действия лицензии и аннулирование лицензии
Статья 14 Ведение реестров лицензий
Статья 15. Лицензионные сборы
Статья 16. Финансирование лицензирования
Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии
Статья 18. Переходные положения
Статья 19. Признание утратившими силу некоторых законодательных актов в связи с принятием настоящего Федерального закона
Статья 20. Вступление в силу настоящего Федерального закона
Приложение 9. ФЕДЕРАЛЬНЫЙ ЗАКОН «О КОММЕРЧЕСКОЙ ТАЙНЕ»
Статья 1. Цели и сфера действия настоящего Федерального закона
Статья 2. Законодательство Российской Федерации о коммерческой тайне
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Статья 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации
Статья 5, Сведения, которые не могут составлять коммерческую тайну
Статья 6. Предоставление информации, составляющей коммерческую тайну
Статья 7. Права обладателя информации, составляющей коммерческую тайну
Статья 8. Обладатель информации, составляющей коммерческую тайну, полученной в рамках трудовых отношений
Статья 9. Порядок установления режима коммерческой тайны при выполнении государственного контракта для государственных нужд
Статья 10. Охрана конфиденциальности информации
Статья 11. Охрана конфиденциальности информации в рамках трудовых отношений
Статья 12, Охрана конфиденциальности информации в рамках гражданско-правовых отношений
Статья 13. Охрана конфиденциальности информации при ее предоставлении
Статья 14. Ответственность за нарушение настоящего Федерального закона
Статья 15. Ответственность за непредоставление органам государственной власти, иным государственным органам, органам местного самоуправления информации, составляющей коммерческую тайну
Статья 16. Переходные положения
Приложение 10. ГЛОССАРИЙ
Приложение 11. ТЕРМИНЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ.
Обсуждено отделением Методологии и моделирования безопасного развития системы процессов» Российской Академии
естественных наук и одобрено к публикации Президиумом РАЕН
Рецензенты:
Начальник факультета информационной безо пасности ИКСИ кандидат технических наук С.Н.Смирнов
Действительный член Международной академии информатизации доктор технических нау к профессор А. В. Петраков
Действительный член Международной академии информатизации доктор социологических наук профессор Г. А. Кабакович
Отв. редактор - кандидат военных наук Л.И. Филиппенко
Ярочкин В.И.
Информационная безопасность: Учебник для сту дентов вузов. - М.: Академический Проект; Гаудеамус, 2 -е изд.-
2004. - 544 с. (Gaudeamus).
ISBN 5-8291-0408-3 (Академический Проект) ISBN 5-98426-008-5 (Гаудеамус)
В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и без опасности. Кто и как угрожает информационной безопасности и как э тим угрозам противодействовать, вы узнаете, прочитав эту книгу. Учебник рассчитан на сту дентов высших учебных заведений, институ тов повышения квалификации и школ подготовки специалистов, изучающих проблемы защи ты конфиденциальной информации.
УДК 002-004 ББК
© Ярочкин В.И., 2003
ISBN 5-829I-0408-3 ©Академический Проект, оригиналмакет, оформление, 2004
Вве дение Глава 1 КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1. Основные концептуальные положения системы защиты информации
1.2. Концептуальная модель информационной безопасности
1.3. Угрозы конфиденциальной информации
1.4. Действия, приводящие к неправомерному овладении
конфиденциальной информацией
Глава 2 НА ПРА ВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗ ОПА СНОСТИ
2.1. Правовая защита
2.2. Организационная защита
2.3. Инженерно техническая защита
2.3.1. Общие положения
2.3.2. Физические средства защиты
2.3.3. Аппаратные средства защиты
2.3.4. Программные средства защиты
2.3.5. Криптографические средства защиты
Глава 3 СПОСОБЫ ЗА ЩИТЫ ИНФОРМАЦИИ
3.1. Общие положения
3.2. Характеристика защитных действий
Глава 4 ПРЕСЕЧЕНИЕ РАЗГЛАШЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
4.1. Общие положения
4.2. Способы пресечения разглашения
Глава 5 ЗА ЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КА НАЛАМ
5.1. Общие положения
5.2. Защита информации от утечки по визуально оптическим каналам
5.2.1. Общие положения
5.2.2. Средства и способы защиты
5.3. Защита информации от утечки по акустическим каналам
5.3.1. Общие положения
5.3.2. Способы и средства защиты
5.4. Защита информации от утечки по электромагнитным каналам
5.4.1. Защита о т у течки за счет микрофонного эффекта
5.4.2. Защита о т у течки за счет электромагнитного излучения
5.4.4. Защита о т у течки по цепям питания
5.4.5. Защита о т у течки по цепям заземления
5.4.6. Защита о т у течки за счет взаимного влияния проводов и линий связи
5.4.7. Защита о т у течки за счет высокочастотного навязывания
5.4.8. Защита о т у течки в во локонно-оптическим линиях и системах связи
5.5. Защита информации от утечки по материально - вещественным каналам
Глава 6 ПРОТИВОДЕЙСТВИЕ НЕСА НКЦИОНИРОВАННОМ У ДОСТУПУ К ИСТОЧНИКАМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
6.1. Способы несанкционированного доступа
6.2. Технические средства несанкционированного доступа к информации
6.3. Защита о т наб лю дения и фотографирования
6.4. Защита о т по дслушивания
6.4.1. Противодействие подслушиванию посредством
микрофонных систем
6.4.2. Противодействие радиосистемам акустического подслушивания
6.4.3. Обеспечение безопасности телефонных переговоров
6.4.4. Противодействие лазерному подслушиванию
6.5. Противодействие незаконному подключению к линиям связи
6.5.1. Противодействие контактному подключению
6.5.2. Противодействие бесконтактному подключению
6.6. Защита о т перехвата
Глава 7 . КОНФИДЕНЦИАЛЬНОСТЬ ПРИ РАБОТЕ С ЗАРУБЕЖ НЫМ И ПАРТНЕРАМИ
7.1. Направления взаимодействия с зарубежными партнерами
7.1.1. Научно-техническое со трудничество с зарубежными партнерами
7.1.2. Научно-техническое со трудничество. Технологически и обмен и его регулирование.
7.1.3. Виды коммерческих международных операций
7.1.4. Научно-техническая до кументация - источник конфиденциальной информации
7.1.5. Возможные условия разглашения сведений, составляю щих коммерческую тайну
7.1.6. Э кспертиза ценности передаваемой научно -технической
документации
7.2. Организация работы с зарубежными партнерами
7.2.1. Оценка по тенциальных партнеров
7.2.2. Прием иностранных представителей и проведение коммерческих переговоров
7.2.3. Порядок работы с зарубежными партнерами
7.2.4. Порядок защиты конфиденциальной информации при работе с зарубежными партнерами
Глава 8 АДУДИТ ИНФОРМАЦИОННОЙ БЕЗОПА СНОСТИ [^]
Послесловие
Приложения
1. Гостехкомиссия России. Руководящий документ Защита от несанкционированного Доступа к информации. Термины и Определения
2. До ктрина информационной безопасности Российской Федерации
3. Перечень сведений, отнесенных к государственной тайне. Указ президента российской федерации о перечне сведений, о тнесенных к государственной тайне. 24 января 1998 года № 61
4. Указ президента российской федерации. Об утверждении перечня сведений конфиденциального характера
5. Положение о лицензировании деятельности по технической
защите конфиденциальной информации. Постановление Правительства Российской Федерации от 30 апреля 200 2 г. № 290 г. Москва
6. ИНСТРУКЦИЯ по защите конфиденциальной информации при работе с зарубежными партнерами
7. ОБЕСПЕЧЕНИЕ СОХРАНЕНИЯ КОММ ЕРЧЕСКОЙ ТАЙНЫ
ПРЕДПРИЯТИЯ 8.КАТАЛОГ обобщенных мероприятий по защите
конфиденциальной информации
Список литературы
Введение [ ^ ]
Примечательная особенность нынешнего перио да - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергети ческие ресурсы. Ресурсами, как известно, называю т э лементы экономического потенциала, которыми располагает общество и которые при необхо димости мо - гут быть использованы для достижения конкретных целей хо зяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаю тся в хо зяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хо тя оно узаконено, но осознано пока еще недостаточно. В при водимой литературе так излагается э то понятие: «Информационные ресурсы
Отдельные документы и о тдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, ар хивах, фондах, банках данных, других информационных системах)». Информационные ресурсы являются собственностью, нахо дятся в ведении соо тветствующих органов и организаций, подлежат учету и защите, так как информацию можно использо вать не только для произво дства товаров и услуг, но и превратить ее в наличность, продав кому -нибудь, или, что еще ху же, унич тожить.
Собственная информация для производителя представляет значительную ценность, так как неред ко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми до хо дами.
Особое место отводится информационным ресурсам в условиях рыночной экономики.
Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, каче ственнее, дешевле и оперативнее (время - деньги!) производит и про дает. В сущности, это универсальное правило рынка. И в этих условиях основным выступа ет правило: кто владеет информацией, тот владеет миром.
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной инфор мации самыми
различными способами, вплоть до пря мого промышленного шпионажа с использованием современных технических средств разведки. Установлено, ч то 47% о храняемых сведений добывается
с помощью технических средств промышленного шпионажа.
В этих условиях защите информации от неправомерного овладения ею отво дится весьма значительное место. При этом
«целями защиты информации явля ются: предо твращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на со хранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; со хранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, техно логий и средств их обеспечения».
Как видно из этого определения целей защиты,
информационная безопасность - довольно емкая имногогранная проблема, охватывающая не только определение необ хо димости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Автор вполне осознает и отдает себе отчет в слож ности проблемы защиты информации вообще, и с по мощью технических средств в частности. Тем не менее свой взгляд на э ту проблему он излагает в э той книге, считая, что э тим он о хватывает не все аспекты сложной проблемы, а лишь определенные ее части.
* * *
Грядущий XXI век будет веком торжества теории и практики информации - информационным веком.
Глава 1 КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ [^]
Что храним, то и имеем
«ИНФОРМАЦИОННАЯ БЕЗ ОПА СНОСТЬ -
это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств».
(Закон РФ «Об участии в международном информационном обмене»)
Постулаты
1. Информация - это всеобщее свойство материи.
2. Любое взаимодействие в природе и обществе ос новано на информации.
3. Всякий процесс совершения работы есть процесс информационного взаимодействия.
4. Информация-продукт о тражения действительности.
5. Действительность отражается в пространстве и времени.
6. Ничего не происхо дит из ничего.
7. Информация сохраняет свое значение в неизмен ном виде до тех пор, пока остается в неизменном виде носитель информации - ПАМЯТЬ.
8. Ничто не исчезает просто так.
Понятие «информация» сегодня употребляется весьма широко
и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огром ные информационные потоки буквально
захлестываю т лю дей. Объем научных знаний, например, по оцен ке специалистов, удваивается каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМА ЦИИ - информационным веком.
Правомерно задать вопрос: что же такое инфор мация? В литературе дается такое определение: инфор мация - сведения о лицах, предметах, фактах, собы тиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в
компьютерах, «синьки», кальки, письма или памят ные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судеб ные документы и другое.
Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и по тому обладает определенными потребительскими качествами, а также имеет и своих обладателей или произво дителей.
С точки зрения по требителя, качество используемой информации позволяет получать дополнительный экономический или моральный эффект.
С точки зрения обладателя - со хранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
Понимая под безопасностью состояние защищен ности жизненно важных интересов личности, предприятия, государства от вну тренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.
1.1. Основные концептуальные положения системы защиты информации [^]
Анализ состояния дел в сфере защиты информации показывает, ч то уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляю т:
весьма развитый арсенал технических средств за щиты информации, производимых на промышлен ной основе;
значительное число фирм, специализирующихся на решении вопросов защиты информации;
достаточно четко очерченная система взглядов на э ту проблему;
наличие значительного практического опыта и другое.
И тем не менее, как свидетельствует отечествен ная и зарубежная печать, злоумышленные действия над информа цией не только не уменьшаю тся, но и имеют достаточно устойчивую тенденцию к росту.
Опыт показывает, ч то для борьбы с этой тенден цией необхо дима стройная и целенаправленная орга низация процесса защиты информационных ресурсов. Причем в этом должны
активно участвовать профессиональные специалисты, администрация, сотрудни ки и пользователи, ч то и определяет повышенную зна чимость организационной стороны вопроса.
Опыт также показывает, что:
обеспечение безопасности информации не может быть
одноразовым актом. Это непрерывный про цесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправ ных действий;
безопасность информации может быть обеспечена лишь
при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах произво дственной системы и на всех этапах технологического цикла обработки ин формации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При э том функционирование системы должно контролироваться, обновляться и дополняться в зависимости о т изме нения внешних и вну тренних условий;
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки
пользователей и соблюдения ими всех установленных правил, направленных на ее защиту (рис.
Представлены основные положения, понятия и определения обеспечения информационной безопасности деятельности общества, его различных структурных образований, организационно-правового, технического, методического, программно-аппаратного сопровождения. Особое внимание уделено проблемам методологического обеспечения деятельности как общества, так и конкретных фирм и систем (ОС, СУБД, вычислительных сетей), функционирующих в организациях и фирмах. Описаны криптографические методы и программно-аппаратные средства обеспечения информационной безопасности, защиты процессов переработки информации от вирусного заражения, разрушающих программных действий и изменений.
Для студентов учреждений высшего профессионального образования.
Основные положения информатизации общества и обеспечение безопасности его деятельности.
Современный этап развития общества характеризуется возрастающей ролью информационных взаимодействий, представляющих собой совокупность информационных инфраструктур и субъектов, осуществляющих сбор, формирование, распространение и использование информации. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.
Массовая компьютеризация, внедрение и развитие новейших информационных технологий привели к прорыву в сферах образования, бизнеса, промышленного производства, научных исследований и социальной жизни.
Информация превратилась в глобальный неистощимый ресурс человечества, вступившего в новую эпоху развития цивилизации - эпоху интенсивного освоения этого информационного ресурса.
Идея, что информацию можно рассматривать как нечто самостоятельное, возникла вместе с новой наукой - кибернетикой, доказавшей, что информация имеет непосредственное отношение к процессам управления и развития, обеспечивающим устойчивость и выживаемость любых систем.
ОГЛАВЛЕНИЕ
Предисловие 3
Список сокращений 7
Глава 1. Информационная безопасность деятельности общества и ее основные положения
1.1. Информационные геополитические и экономические процессы современного общества
1.1.1. Основные положения информатизации общества и обеспечение безопасности его деятельности 10
1.1.2. Составляющие национальных интересов Российской Федерации в информационной сфере 18
1.1.3. Основные свойства и характеристики информационного обеспечения безопасности функционирования информационных систем управления предприятий и фирм...20
1.2. Комплексное обеспечение ИБ государства и организационных структур 29
1.2.1. Основные положения государственной политики обеспечения ИБ РФ 29
1.2.2. Система обеспечения ИБ РФ, ее основные функции и организационные основы 33
1.2.3. Общие методы обеспечения ИБ РФ 34
1.2.4. Особенности обеспечения ИБ РФ в различных сферах жизни общества 35
1.3. Организационные, физико-технические, информационные и программно-математические угрозы 43
1.3.1. Комплексные и глобальные угрозы ИБ деятельности человечества и обществ 43
1.3.2. Источники угроз ИБ РФ 46
Глава 2. Организационное и правовое обеспечение ИБ 52
2.1. Правовое регулирование информационных потоков в различных видах деятельности общества 52
2.2. Международные и отечественные правовые и нормативные акты обеспечения ИБ процессов переработки информации 57
2.2.1. Международные правовые и нормативные акты обеспечения ИБ 58
2.2.2. Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ 61
2.3. Организационное регулирование защиты процессов переработки информации 63
2.3.1. Категорирование объектов и защита информационной собственности 64
2.3.2. Ответственность за нарушение законодательства в информационной сфере 71
Глава 3. Методологические основы обеспечения информационной безопасности жизнедеятельности общества и его структур 75
3.1. Современные подходы к обеспечению решения проблем ИБ деятельности общества 75
3.2. Методология информационного противоборства 81
3.2.1. Цели, задачи, признаки и содержание геополитического информационного противоборства 81
3.2.2. Информационно-манипулятивные технологии 85
3.2.3. Технологии информационного противоборства в Интернете и их анализ 96
3.3. Области и объекты защиты информационной деятельности на предприятиях и в организациях 100
3.3.1. Области и сферы обеспечения ИБ предприятий и организаций 100
3.3.2. Производственные и социальные объекты защиты информационной деятельности и обеспечения ИБ 102
3.4. Технологии обеспечения безопасности обработки информации в управлении информационными объектами 107
3.4.1. Современные подходы к технологиям и методам обеспечения ИБ на предприятиях 107
3.4.2. Технологии предотвращения угроз ИБ деятельности предприятий 117
3.4.3. Методы и средства парирования угроз 143
3.4.4. Методы и средства нейтрализации угроз 149
Глава 4. Методологическое и техническое обеспечение ИБ функционирования предприятий
4.1. Методологические основы технического обеспечения защиты процессов переработки информации и контроля ее эффективности 158
4.1.1. Системы оповещения о попытках вторжения 158
4.1.2. Системы опознавания нарушителей 163
4.1.3. Механическая защита объекта 166
4.1.4. Автоматизация технического контроля защиты потоков информации 169
4.2. Комплексный и системный подходы к обеспечению ИБ объектов, технических средств и физических лиц 176
4.2.1. Методология и содержание обеспечения ИБ при комплексном и системном подходах
4.2.2. Системная реализация защиты процессов переработки информации на отдельных объектах информационных систем управления 180
4.3. Общие вопросы организации противодействия информационной и технической агрессии. Защита технических средств и объектов предприятий от утечки информации и несанкционированного доступа 189
4.4. Эффективность защиты процессов переработки информации и методология ее расчета 194
Глава 5. Программно-аппаратные средства обеспечения ИБ функционирования организаций 202
5.1. Методы и средства ограничения доступа к компонентам ЭВМ. Программно-аппаратные средства защиты ПЭВМ 202
5.1.1. Методы и средства ограничения доступа к компонентам ЭВМ 202
5.1.2. Программно-аппаратные средства защиты ПЭВМ 211
5.2. Методы и средства организации обеспечения хранения и переработки информации в КС 220
5.3. Защита программного обеспечения от изучения, вирусного заражения, разрушающих программных действий и изменений 223
5.3.1. Основные классификационные признаки компьютерных вирусов 223
5.3.2. Некоторые компьютерные вирусы 227
5.3.3. Методы и технологии борьбы с компьютерными вирусами 231
5.3.4. Условия безопасной работы КС и технология обнаружения заражения вирусами 235
5.3.5. Контроль целостности и системные вопросы защиты программ и данных 238
5.4. Программно-аппаратные средства обеспечения ИБ в типовых ОС, СУБД и вычислительных сетях 244
5.4.1. Основные положения программно-аппаратного и организационного обеспечения ИБ в операционных системах 244
5.4.2. Защита процессов переработки информации в СУБД 245
5.4.3. Обеспечение ИБ в ОС DOS и WINDOWS 248
5.4.4. Обеспечение ИБ в ОС Linux и UNIX 256
5.4.5. Программно-аппаратные средства обеспечения ИБ в вычислительных сетях 277
5.4.6. Методы и средства защиты процессов переработки информации в локальном и внешнем сегментах КС 286
5.4.7. Защита процессов переработки информации в Интернете и Интранете 298
Список литературы 327.
