Ñ - Sfu-kras
Ñ - Sfu-kras
Ñ - Sfu-kras
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Основы<br />
информационной<br />
безопасности<br />
1
1. ПОНЯТИЕ<br />
ИНФОРМАЦИОННОЙ<br />
БЕЗОПАСНОСТИ<br />
2
1.1. 11 Национальная безопасность<br />
Под<br />
национальной<br />
безопасностью<br />
следует<br />
понимать защищенность национальных интересов<br />
того или иного общества от различных угроз.<br />
Национальная<br />
безопасность – это<br />
сложная,<br />
многоуровневая система. Ее образуют целый ряд<br />
подсистем,<br />
каждая из<br />
которых<br />
имеет<br />
свою<br />
собственную структуру.<br />
Решающую роль в формировании и обеспечении<br />
национальной безопасности играют национальные<br />
ценности, национальные интересы и национальные<br />
цели.<br />
3
Основные<br />
нормативно-правовые<br />
документы в области<br />
национальной безопасности:<br />
- общепризнанные принципы и нормы международного права,<br />
закрепленные в соответствующих актах и конвенциях;<br />
- международные договоры иобязательства<br />
РФ;<br />
- Конституция РФ, Закон РФ “О безопасности”, Федеральный<br />
закон<br />
“Об обороне”,<br />
другие<br />
федеральные законы и иные<br />
нормативно-правовые<br />
р акты РФ;<br />
;<br />
- федеративный Договор и соглашения о разграничении<br />
полномочий между Центром исубъектами<br />
федерации;<br />
- конституции, уставы, законы и иные нормативно-правовые<br />
акты субъектов РФ;<br />
- нормативно-правовые<br />
акты органов местного самоуправления.<br />
Обеспечение<br />
национальной безопасности – это<br />
целенаправленный,<br />
сознательно<br />
регулируемый процесс,<br />
требующий<br />
скоординированных<br />
усилий и действий<br />
й<br />
всех<br />
субъектов безопасности. Поэтому основные направления этого<br />
процесса находят<br />
отражение в концепции<br />
национальной<br />
безопасности.<br />
4
1.2. Виды безопасности и сферы<br />
жизнедеятельности личности, общества и<br />
государства<br />
Безопасность достигается<br />
проведением<br />
единой<br />
государственной политики в области<br />
обеспечения<br />
безопасности, системой мер экономического, политического,<br />
организационного и иного характера, адекватных угрозам<br />
жизненно важным<br />
интересам личности,<br />
общества и<br />
государства.<br />
Основными<br />
являются:<br />
принципами<br />
обеспечения безопасности<br />
- законность;<br />
- соблюдение<br />
баланса жизненно<br />
личности, общества и государства;<br />
важных<br />
интересов<br />
- взаимная<br />
ответственность личности,<br />
государства по обеспечению безопасности;<br />
общества и<br />
- интеграция с международными системами безопасности.<br />
5
Большое внимание привлекают ксебе<br />
теоретические основы<br />
так<br />
называемых<br />
“отраслевыхр безопасностей”<br />
(направлений<br />
р<br />
безопасности). Речь идет об отдельных аспектах национальной<br />
безопасности:<br />
экономическом,<br />
экологическом,<br />
технологическом,<br />
информационном.<br />
При<br />
структуризации<br />
национальной<br />
а ой безопасности ос (т.е. е когда<br />
национальная<br />
а а<br />
безопасность получает<br />
свое выражение в отдельных<br />
направлениях)<br />
также<br />
выделяются военный,<br />
политический,<br />
торговый,<br />
научно-технический<br />
технический,<br />
идеологический<br />
и<br />
дипломатический аспекты. Иногда говорят ио криминогенном<br />
аспекте. Данные направления в свою очередь подвергаются<br />
дроблению на более узкие участки, , которые преимущественно<br />
носят прикладной<br />
характер.<br />
Отдельно<br />
изучаются вопросы<br />
обеспечения личной безопасности вэкстремальных<br />
ситуациях<br />
и в быту,<br />
безопасности в деятельности<br />
коммерческой<br />
организации,<br />
включающей в себя<br />
предупреждение<br />
промышленного<br />
шпионажа и рискованных<br />
сделок.<br />
Непреходящими<br />
остаются вопросы<br />
государственной<br />
безопасности, понимаемой, прежде всего, как безопасность<br />
органов государственной власти и безопасное осуществление<br />
самой деятельности по реализации государственной власти.<br />
6
1.3. 13 Виды защищаемой информации<br />
Информация – сведения (сообщения, данные)<br />
независимо от формы их представления.<br />
К конфиденциальной информации должна быть<br />
отнесена<br />
вся<br />
информация с ограниченным<br />
доступом, составляющая любой вид тайны.<br />
По содержанию защищаемая информация может<br />
быть разделена на политическую, экономическую,<br />
военную,<br />
научную,<br />
технологическую,<br />
личную,<br />
коммерческую ит. п.<br />
7
1.4. Основные понятия и<br />
общеметодологические принципы теории<br />
информационной безопасности<br />
Под информационной безопасностью мы будем<br />
понимать защищенность<br />
информации и<br />
поддерживающей инфраструктуры от случайных<br />
или преднамеренных воздействий естественного<br />
или<br />
искусственного<br />
характера,<br />
которые<br />
могут<br />
нанести<br />
неприемлемый<br />
ущерб субъектам<br />
информационных<br />
отношений, в том числе<br />
владельцам и пользователям<br />
информации и<br />
поддерживающей инфраструктуры.<br />
8
Правильный, с методологической<br />
точки<br />
зрения, подход к проблемам информационной<br />
безопасности<br />
начинается с выявления<br />
субъектов<br />
информационных<br />
отношений<br />
интересов<br />
этих<br />
использованием<br />
субъектов,<br />
информационных<br />
связанных<br />
и<br />
с<br />
систем<br />
(ИС). Угрозы информационной безопасности –<br />
это<br />
оборотная<br />
сторона<br />
информационных о технологий.<br />
о .<br />
использования<br />
9
15 1.5. Роль информационной безопасности в<br />
обеспечении национальной безопасности<br />
государства<br />
На основе национальных интересов Российской<br />
Федерации в информационной сфере<br />
формируются стратегические и текущие задачи<br />
внутренней ивнешней<br />
политики государства по<br />
обеспечению информационной безопасности.<br />
В<br />
Доктрине<br />
информационной безопасности<br />
Российской Федерации<br />
закреплены<br />
четыре<br />
основные составляющие национальных интересов<br />
Российской Федерации в информационной сфере.<br />
10
- Первая составляющая<br />
национальных<br />
интересов<br />
Российской Федерации в информационной сфере включает<br />
в<br />
себя<br />
соблюдение<br />
конституционных<br />
прав и свобод<br />
человека игражданина<br />
вобласти<br />
получения информации фр и<br />
ее использования,<br />
обеспечение духовного<br />
обновления<br />
России, сохранение иукрепление<br />
нравственных ценностей<br />
общества,<br />
традиций<br />
патриотизма и гуманизма,<br />
культурного инаучного<br />
потенциала страны.<br />
- Вторая<br />
составляющая – это<br />
информационное<br />
обеспечение государственной<br />
политики<br />
Российской<br />
Федерации, связанное с доведением до российской и<br />
международной общественности достоверной информации<br />
о государственной политике Российской Федерации, ее<br />
официальной позиции по социально значимым событиям<br />
российской и международной<br />
жизни, с обеспечением<br />
доступа<br />
граждан к открытым<br />
государственным<br />
информационным ресурсам.<br />
11
- Третья<br />
составляющая<br />
интересов<br />
России в<br />
информационной сфере<br />
включает<br />
развитие<br />
современных информационных<br />
технологий,<br />
отечественной индустрии информации, втом<br />
числе<br />
индустрии<br />
средств<br />
рд информатизации,<br />
,<br />
телекоммуникации и связи,<br />
обеспечение<br />
потребностей внутреннего рынка ее продукцией и<br />
выход этой продукции на мировой рынок, а также<br />
обеспечение<br />
накопления,<br />
сохранности и<br />
эффективного использования<br />
отечественных<br />
информационных ресурсов.<br />
- К четвертой<br />
составляющей<br />
национальных<br />
интересов<br />
относятся защита<br />
информационных<br />
ресурсов<br />
от несанкционированного<br />
доступа,<br />
обеспечение безопасности<br />
информационных и<br />
телекоммуникационных<br />
систем,<br />
как<br />
уже<br />
развернутых, так и создаваемых на территории<br />
России.<br />
12
2. НАЦИОНАЛЬНЫЕ<br />
ИНТЕРЕСЫ РОССИЙСКОЙ<br />
С О<br />
ФЕДЕРАЦИИ В<br />
ИНФОРМАЦИОННОЙ СФЕРЕ<br />
И ИХ ОБЕСПЕЧЕНИЕ<br />
13
Современный<br />
этап развития<br />
общества<br />
характеризуется<br />
возрастающей<br />
ролью<br />
информационной<br />
сферы,<br />
представляющей собой<br />
совокупность<br />
информации,<br />
информационной<br />
инфраструктуры, субъектов, осуществляющих сбор,<br />
формирование,<br />
распространение и использование<br />
информации, а также<br />
системы<br />
регулирования<br />
возникающих при этом общественных отношений.<br />
Информационная<br />
сфера,<br />
фр,<br />
являясь<br />
системообразующим<br />
фактором жизни<br />
общества,<br />
активно влияет<br />
на состояние<br />
политической,<br />
экономической, оборонной и других составляющих<br />
безопасности Российской Федерации. Национальная<br />
безопасность Российской Федерации существенным<br />
образом зависит от обеспечения информационной<br />
безопасности, ив ходе технического прогресса эта<br />
зависимость будет возрастать.<br />
14
2.1. Интересы личности в<br />
информационной сфере<br />
Интересы личности в информационной сфере<br />
заключаются в реализации<br />
конституционных<br />
прав человека и гражданина на<br />
доступ к<br />
информации, фр , на использование информации в<br />
интересах<br />
осуществления<br />
не запрещенной<br />
законом деятельности, физического, духовного и<br />
интеллектуального развития, а также взащите<br />
информации,<br />
обеспечивающей<br />
личную<br />
безопасность.<br />
15
Интересы<br />
2.2. Интересы общества в<br />
информационной сфере<br />
общества в информационной<br />
сфере заключаются в обеспечении интересов<br />
личности в этой<br />
сфере,<br />
упрочении<br />
демократии, создании правового социального<br />
государства,<br />
общественного<br />
обновлении России.<br />
достижении и поддержании<br />
согласия, в духовном<br />
16
2.3. Основные составляющие национальных<br />
интересов Российской Федерации в<br />
информационной сфере<br />
Интересы государства в информационной сфере<br />
заключаются в создании условий для гармоничного<br />
развития российской<br />
й информационной<br />
инфраструктуры, для реализации конституционных<br />
прав и свобод человека и гражданина в области<br />
получения информации и пользования ею вцелях<br />
обеспечения<br />
незыблемости<br />
конституционного<br />
строя,<br />
суверенитета и территориальной<br />
целостности России, политической, экономической<br />
и<br />
социальной стабильности, в безусловном<br />
обеспечении законности и правопорядка, развитии<br />
равноправного и взаимовыгодного<br />
международного д сотрудничества.<br />
17
Выделяются четыре основные составляющие<br />
национальных<br />
интересов<br />
Российской<br />
Федерации в информационной сфере.<br />
- Первая составляющая<br />
национальных<br />
интересов<br />
Российской<br />
Федерации в<br />
информационной сфере<br />
включает в себя<br />
соблюдение конституционных прав и свобод<br />
человека и гражданина в области получения<br />
информации и пользования ею, обеспечение<br />
духовного обновления России, сохранение и<br />
укрепление ур<br />
нравственных ценностей общества,<br />
традиций<br />
патриотизма и гуманизма,<br />
культурного ур инаучного<br />
потенциала страны.<br />
18
- Вторая составляющая<br />
национальных<br />
интересов<br />
Российской<br />
й Федерации в<br />
информационной сфере<br />
включает в себя<br />
информационное<br />
обеспечение<br />
государственной<br />
политики<br />
Российской<br />
Федерации,<br />
связанное с доведением<br />
до<br />
российской и международной общественности<br />
достоверной информации о государственной<br />
политике<br />
Российской<br />
Федерации,<br />
ее<br />
официальной позиции по социально значимым<br />
событиям российской и международной<br />
жизни, с обеспечением доступа граждан к<br />
открытым государственным информационным<br />
ресурсам.<br />
19
- Третья составляющая<br />
национальных<br />
интересов<br />
Российской Федерации в информационной сфере<br />
включает в себя развитие<br />
современных<br />
информационных технологий,<br />
отечественной<br />
индустрии<br />
информации, в том числе<br />
индустрии<br />
средств информатизации, телекоммуникации исвязи,<br />
обеспечение<br />
потребностей<br />
внутреннего<br />
рынка<br />
ее<br />
продукцией и выход этой продукции на мировой<br />
рынок, а также<br />
обеспечение накопления,<br />
сохранности и эффективного<br />
использования<br />
отечественных информационных<br />
ресурсов. В<br />
современных условиях только на этой основе можно<br />
решать проблемы создания наукоемких технологий,<br />
технологического перевооружения промышленности,<br />
приумножения достижений отечественной науки и<br />
техники. Россия должна занять достойное место<br />
среди<br />
мировых<br />
лидеров<br />
микроэлектронной<br />
и<br />
компьютерной промышленности.<br />
20
- Четвертая<br />
составляющая<br />
национальных<br />
интересов<br />
Российской<br />
Федерации<br />
в<br />
информационной сфере<br />
включает в себя<br />
защиту информационных<br />
ресурсов<br />
от<br />
несанкционированного доступа, обеспечение<br />
безопасности информационных<br />
и<br />
телекоммуникационных<br />
систем,<br />
как<br />
уже<br />
развернутых,<br />
так и создаваемых<br />
на<br />
территории России.<br />
21
3. ВИДЫ УГРОЗ<br />
ИНФОРМАЦИОННОЙ<br />
БЕЗОПАСНОСТИ<br />
РОССИЙСКОЙ ФЕДЕРАЦИИ<br />
22
3.1. Основные определения и критерии<br />
классификации угроз<br />
Угроза – это<br />
потенциальная<br />
возможность<br />
определенным образом<br />
нарушить<br />
информационную<br />
безопасность.<br />
Угрозы можно классифицировать по нескольким<br />
критериям:<br />
- по<br />
аспекту информационной<br />
безопасности<br />
(доступность, целостность, конфиденциальность), )<br />
против<br />
которого угрозы направлены впервую<br />
очередь;<br />
- по компонентам информационных систем, на которые<br />
угрозы нацелены<br />
(данные,<br />
программы,<br />
аппаратура,<br />
поддерживающая инфраструктура);<br />
- по способу осуществления (случайные/преднамеренные<br />
у р р<br />
действия природного/техногенного / характера); )<br />
- по<br />
расположению источника<br />
угроз<br />
(внутри/вне<br />
рассматриваемой р ИС).<br />
)<br />
23
3.2. Угрозы конституционным правам и<br />
свободам человека и гражданина<br />
Угрозами конституционным правам и свободам человека и<br />
гражданина в области духовной жизни и информационной<br />
деятельности,<br />
индивидуальному,<br />
групповому<br />
и<br />
общественному сознанию, духовному возрождению России<br />
могут являться:<br />
- принятие федеральными органами государственной власти,<br />
органами<br />
государственной власти<br />
субъектов<br />
Российской<br />
Федерации нормативных<br />
правовых актов,<br />
ущемляющих<br />
конституционные<br />
права и свободы<br />
граждан в области<br />
духовной жизни и информационной деятельности;<br />
- создание монополий<br />
на<br />
формирование,<br />
р , получение<br />
и<br />
распространение информации вРоссийской<br />
Федерации, втом<br />
числе с использованием телекоммуникационных систем;<br />
- противодействие, в том числе со стороны криминальных<br />
структур, реализации гражданами своих конституционных<br />
прав<br />
на<br />
личную и семейную тайну,<br />
тайну<br />
переписки,<br />
телефонных переговоров р и иных сообщений;<br />
;<br />
24
- нерациональное,<br />
чрезмерное<br />
ограничение<br />
доступа к<br />
общественно необходимой информации;<br />
;<br />
- противоправное применение<br />
специальных<br />
средств<br />
воздействия на индивидуальное, групповое и общественное<br />
сознание;<br />
- неисполнение федеральными<br />
органами<br />
государственной<br />
власти,<br />
органами<br />
государственной<br />
власти<br />
субъектов<br />
Российской Федерации,<br />
органами<br />
местного<br />
самоуправления, организациями игражданами<br />
требований<br />
федерального<br />
законодательства,<br />
регулирующего<br />
отношения в информационной сфере;<br />
- неправомерное ограничение доступа граждан к открытым<br />
информационным<br />
ресурсам<br />
федеральных<br />
органов<br />
государственной власти, органов государственной власти<br />
субъектов Российской<br />
Федерации,<br />
органов<br />
местного<br />
самоуправления, к открытым архивным материалам, к<br />
другой открытой социально значимой информации;<br />
- дезорганизация и разрушение<br />
системы<br />
накопления<br />
и<br />
сохранения культурных ценностей, включая архивы;<br />
25
- нарушение конституционных прав и свобод человека и<br />
гражданина в области массовой информации;<br />
- вытеснение<br />
российских<br />
информационных<br />
агентств,<br />
средств массовой<br />
информации с внутреннего<br />
информационного рынка и усиление зависимости<br />
духовной,<br />
экономической и политической<br />
сфер<br />
общественной<br />
жизни России<br />
от<br />
зарубежных<br />
информационных структур;<br />
- девальвация духовных ценностей, пропаганда образцов<br />
массовой культуры, основанных на культе насилия, на<br />
духовных и нравственных ценностях, , противоречащих<br />
р<br />
ценностям, принятым в российском обществе;<br />
- снижение духовного,<br />
нравственного и творческого<br />
потенциала оецала<br />
населения России, , что существенно е осложнит<br />
подготовку трудовых<br />
ресурсов для<br />
внедрения и<br />
использования<br />
новейших технологий, в том<br />
числе<br />
информационных;<br />
;<br />
- манипулирование<br />
информацией<br />
(дезинформация,<br />
сокрытие или искажение информации).<br />
26
3.3. Угрозы информационному<br />
обеспечению государственной политики<br />
Российской Федерации<br />
Угрозами<br />
информационному<br />
обеспечению<br />
государственной политики Российской Федерации могут<br />
являться:<br />
- монополизация<br />
информационного<br />
рынка<br />
России,<br />
его<br />
отдельных<br />
секторов<br />
отечественными и зарубежными<br />
информационными структурами;<br />
- блокирование деятельности<br />
государственных<br />
средств<br />
массовой информации по информированию российской и<br />
зарубежной аудитории;<br />
- низкая<br />
эффективность<br />
информационного<br />
обеспечения<br />
государственной<br />
политики<br />
Российской<br />
Федерации<br />
вследствие дефицита<br />
квалифицированных<br />
кадров,<br />
отсутствия<br />
системы<br />
формирования и реализации<br />
государственной информационной политики.<br />
27
3.4. Угрозы развитию отечественной<br />
индустрии информации<br />
Угрозами<br />
развитию отечественной<br />
индустрии<br />
информации,<br />
включая<br />
индустрию<br />
средств<br />
информатизации,<br />
телекоммуникации и связи,<br />
обеспечению потребностей внутреннего рынка в ее<br />
продукции и выходу этой продукции на мировой рынок,<br />
а также<br />
обеспечению<br />
накопления,<br />
сохранности и<br />
эффективного<br />
использования<br />
отечественных<br />
информационных ресурсов могут являться:<br />
- закупка органами государственной власти импортных<br />
средств информатизации, телекоммуникации и связи<br />
при наличии отечественных аналогов, , не уступающих<br />
у по своим характеристикам зарубежным образцам;<br />
28
- противодействие доступу Российской Федерации к<br />
новейшим<br />
информационным<br />
технологиям,<br />
взаимовыгодному и равноправному участию российских<br />
производителей в мировом<br />
разделении<br />
труда<br />
в<br />
индустрии<br />
информационных<br />
услуг,<br />
средств<br />
информатизации,<br />
телекоммуникации и связи,<br />
информационных продуктов, атакже<br />
создание условий<br />
для усиления технологической зависимости России в<br />
области современных информационных технологий;<br />
- вытеснение с отечественного<br />
производителей<br />
средств<br />
телекоммуникации исвязи;<br />
рынка<br />
российских<br />
информатизации,<br />
- увеличение оттока<br />
за рубеж<br />
специалистов<br />
правообладателей интеллектуальной собственности.<br />
29<br />
и
3.5. Угрозы безопасности<br />
информационных систем<br />
Угрозами<br />
безопасности<br />
информационных<br />
и<br />
телекоммуникационных средств исистем,<br />
как уже<br />
развернутых, так и создаваемых на территории<br />
России, могут являться:<br />
- противоправные<br />
р сбор и использование<br />
информации;<br />
- нарушения технологии обработки информации;<br />
- внедрение в аппаратные ипрограммные<br />
изделия<br />
компонентов,<br />
реализующих функции,<br />
не<br />
предусмотренные документацией на эти изделия;<br />
- разработка и распространение программ,<br />
нарушающих<br />
ающ нормальное<br />
ое функционирование<br />
информационных и информационно-<br />
телекоммуникационных систем, втом<br />
числе систем<br />
30<br />
ф
- уничтожение,<br />
повреждение,<br />
радиоэлектронное<br />
подавление или<br />
разрушение<br />
средств и систем<br />
обработки информации, телекоммуникации и связи;<br />
- воздействие на<br />
парольно-ключевые<br />
системы<br />
защиты автоматизированных систем обработки и<br />
передачи информации;<br />
- компрометация<br />
ключей и средств<br />
криптографической защиты информации;<br />
- утечка информации по техническим каналам;<br />
- внедрение электронных устройств для перехвата<br />
информации в технические<br />
средства<br />
обработки,<br />
хранения и передачи информации по каналам связи,<br />
31<br />
а<br />
также в служебные<br />
помещения<br />
органов
- уничтожение,<br />
повреждение,<br />
разрушение или<br />
хищение машинных и других<br />
носителей<br />
информации;<br />
- перехват информации фр всетях<br />
передачи данных и<br />
на линиях связи, дешифрование этой информации<br />
и навязывание ложной информации;<br />
- использование<br />
несертифицированных<br />
отечественных и зарубежных информационных<br />
технологий, средств защиты информации, средств<br />
информатизации, , телекоммуникации и связи при<br />
создании и развитии<br />
российской<br />
32<br />
информационнойинфраструктуры;
4. ИСТОЧНИКИ УГРОЗ<br />
ИНФОРМАЦИОННОЙ<br />
БЕЗОПАСНОСТИ<br />
РОССИЙСКОЙ ФЕДЕРАЦИИ<br />
33
4.1. 41 Внешние источники угроз<br />
- деятельность иностранных<br />
политических,<br />
экономических,<br />
военных,<br />
разведывательных и<br />
информационных структур, направленная против<br />
интересов<br />
Российской<br />
Федерации<br />
дрц в<br />
информационной сфере;<br />
- стремление<br />
ряда<br />
стран к доминированию<br />
и<br />
ущемлению интересов<br />
России в мировом<br />
информационном пространстве, вытеснению ее с<br />
внешнего и внутреннего информационных<br />
рынков;<br />
- обострение<br />
международной<br />
конкуренции<br />
34<br />
за
- деятельность<br />
организаций;<br />
международных<br />
террористических<br />
- увеличение технологического отрыва ведущих держав<br />
мира и наращивание<br />
их<br />
возможностей по<br />
противодействию<br />
созданию<br />
конкурентоспособных<br />
российских информационных технологий;<br />
- деятельность<br />
космических,<br />
воздушных,<br />
морских<br />
и<br />
наземных технических ииныхиных средств (видов) разведки<br />
иностранных государств;<br />
- разработка рядом<br />
государств<br />
концепций<br />
информационных войн, , предусматривающих рду р создание<br />
средств опасного<br />
воздействия<br />
на информационные<br />
35<br />
сферы других стран мира, нарушение нормального
42 4.2. Внутренние источники угроз<br />
- критическое состояние<br />
отечественных отраслей<br />
промышленности;<br />
- неблагоприятная<br />
криминогенная<br />
обстановка,<br />
сопровождающаяся<br />
тенденциями сращивания<br />
государственных и криминальных<br />
структур в<br />
информационной сфере, получения криминальными<br />
структурами доступа к конфиденциальной<br />
информации,<br />
усиления влияния<br />
организованной<br />
преступности на жизнь общества, снижения степени<br />
защищенности законных<br />
интересов<br />
граждан,<br />
общества игосударства<br />
винформационной<br />
сфере;<br />
фр;<br />
- недостаточная координация<br />
деятельности<br />
федеральных органов<br />
государственной власти,<br />
органов<br />
государственной<br />
власти субъектов<br />
Российской<br />
Федерации<br />
по формированию<br />
и<br />
36<br />
реализации единой<br />
государственной<br />
политики<br />
в
- критическое состояние<br />
отечественных отраслей<br />
промышленности;<br />
- неблагоприятная<br />
криминогенная<br />
обстановка,<br />
сопровождающаяся<br />
тенденциями сращивания<br />
государственных и криминальных<br />
структур в<br />
информационной сфере, получения криминальными<br />
структурами доступа к конфиденциальной<br />
информации,<br />
усиления влияния<br />
организованной<br />
преступности на жизнь общества, снижения степени<br />
защищенности законных<br />
интересов<br />
граждан,<br />
общества игосударства<br />
винформационной<br />
сфере;<br />
фр;<br />
- недостаточная координация<br />
деятельности<br />
федеральных органов<br />
государственной власти,<br />
органов<br />
государственной<br />
власти субъектов<br />
Российской<br />
Федерации<br />
по формированию<br />
и<br />
37<br />
реализации единой<br />
государственной<br />
политики<br />
в
- недостаточная экономическая мощь государства;<br />
- снижение эффективности<br />
системы<br />
образования<br />
и<br />
воспитания,<br />
недостаточное<br />
количество<br />
квалифицированных кадров в области обеспечения<br />
информационной безопасности;<br />
- недостаточная<br />
активность<br />
федеральных органов<br />
государственной<br />
власти,<br />
органов<br />
государственной<br />
власти субъектов<br />
Российской Федерации<br />
дрц в<br />
информировании общества о своей деятельности, в<br />
разъяснении принимаемых решений, в формировании<br />
открытых<br />
государственных<br />
ресурсов и развитии<br />
системы доступа к ним граждан;<br />
- отставание России от ведущих стран мира по уровню<br />
информатизации федеральных<br />
органов<br />
государственной<br />
власти,<br />
органов<br />
государственной<br />
38<br />
власти субъектов Российской Федерации и органов
4.3. Направления обеспечения<br />
информационной йб<br />
безопасности<br />
государства<br />
Успешному решению вопросов обеспечения<br />
информационной<br />
безопасности Российской<br />
й<br />
Федерации<br />
способствуют<br />
государственная<br />
система защиты информации, система защиты<br />
государственной<br />
тайны,<br />
системы<br />
лицензирования деятельности в области защиты<br />
государственной<br />
тайны и системы<br />
сертификации средств защиты информации.<br />
39
4.4. Проблемы региональной<br />
информационной безопасности<br />
Анализ состояния информационной безопасности<br />
Российской Федерации показывает, что ее уровень<br />
не в полной<br />
мере<br />
соответствует<br />
потребностям<br />
общества и государства.<br />
Современные<br />
условия<br />
политического<br />
и<br />
социально-экономического<br />
развития<br />
страны<br />
вызывают<br />
обострение противоречий<br />
между<br />
потребностями общества в расширении свободного<br />
обмена информацией и необходимостью сохранения<br />
отдельных регламентированных ограничений на ее<br />
распространение.<br />
Противоречивость и неразвитость правового<br />
регулирования<br />
общественных<br />
отношений<br />
в<br />
информационной<br />
сфере приводят к серьезным<br />
40<br />
негативным последствиям.
5. ИНФОРМАЦИОННАЯ<br />
БЕЗОПАСНОСТЬ И<br />
ИНФОРМАЦИОННОЕ<br />
ПРОТИВОБОРСТВО<br />
41
5.1. Субъекты информационного<br />
противоборства<br />
- государства, их союзы и коалиции;<br />
- международные организации;<br />
- негосударственные незаконные (в том числе –<br />
незаконные<br />
международные)<br />
вооруженные<br />
формирования и организации террористической,<br />
экстремистской,<br />
радикальной<br />
политической,<br />
радикальной религиозной направленности;<br />
- транснациональные корпорации;<br />
- виртуальные ру социальные сообщества;<br />
;<br />
- медиа-корпорации<br />
(СМИ иМК) МК).<br />
- виртуальные ру коалиции.<br />
42
Признаки<br />
субъекта<br />
информационного<br />
противоборства:<br />
-наличие<br />
у субъекта в информационном<br />
пространстве собственных интересов;<br />
-наличие<br />
в составе<br />
субъекта<br />
специальных<br />
структур, предназначенных или уполномоченных<br />
для ведения информационного противоборства;<br />
-обладание<br />
и/или разработка информационного<br />
оружия, средств его доставки и маскировки;<br />
-под<br />
контролем субъекта<br />
находится<br />
сегмент<br />
информационного<br />
пространства, в пределах<br />
которого оорооо<br />
он обладает преимущественным е правом<br />
устанавливать нормы<br />
регулирования<br />
информационных отношений;<br />
43
5.2. Цели информационного<br />
противоборства<br />
Цель информационного<br />
противоборства –<br />
обеспечение национальных<br />
интересов в<br />
информационной сфере, которое включает в себя:<br />
- обеспечение геополитической и информационной<br />
безопасности государства;<br />
- достижение военно-политического<br />
превосходства<br />
всфере<br />
международных отношений;<br />
- обеспечение достижения целей экономической,<br />
идеологической,<br />
культурной и информационной<br />
экспансии;<br />
- обеспечение благоприятных<br />
условий<br />
для<br />
перехода<br />
системы<br />
с социально-политических<br />
о ол<br />
отношений на более высокотехнологичный этап<br />
эволюционного развития.<br />
44
5.3. Составные части и методы<br />
информационного противоборства<br />
Основные способы<br />
достижения<br />
информационно-<br />
психологического<br />
превосходства<br />
Основные способы<br />
достижения целей<br />
Информационное<br />
противоборство<br />
Родовые<br />
объекты<br />
Основные<br />
принципы<br />
Стадии<br />
Психологические<br />
ресурсы<br />
45
5.4. Информационное оружие, его<br />
классификация и возможности<br />
Информационное<br />
оружие – алгоритм,<br />
позволяющий<br />
осуществлять<br />
целенаправленное<br />
управление<br />
одной информационной<br />
системой<br />
в<br />
интересах другой, реализующий процесс управления<br />
данной системой<br />
через<br />
поступающие<br />
или<br />
обрабатываемые б этой системой данные.<br />
Информационное<br />
оружие включает в себя<br />
специальные средства, технологии и информацию,<br />
позволяющие осуществить силовое воздействие на<br />
информационное пространство общества и привести<br />
к значительному ущербу политическим, оборонным,<br />
экономическим и другим<br />
жизненно<br />
важным<br />
интересам государства.<br />
46
6. ОБЕСПЕЧЕНИЕ<br />
ИНФОРМАЦИОННОЙ<br />
БЕЗОПАСНОСТИ ОБЪЕКТОВ<br />
ИНФОРМАЦИОННОЙ<br />
СФЕРЫ ГОСУДАРСТВА В<br />
УСЛОВИЯХ<br />
ИНФОРМАЦИОННОЙ<br />
ВОЙНЫ<br />
47
6.1. Методы нарушения<br />
конфиденциальности, целостности и<br />
доступности информации<br />
Утечка конфиденциальной<br />
информации -<br />
бесконтрольный<br />
выход<br />
конфиденциальной<br />
информации за пределы ИС или круга лиц,<br />
которым она была доверена по службе или стала<br />
известна в процессе работы.<br />
Эта утечка -<br />
следствие:<br />
- разглашения конфиденциальной информации;<br />
- ухода информации по различным, главным<br />
образом техническим, каналам;<br />
- НСД кконфиденциальнойконфиденциальной информации.<br />
48
Наиболее распространенными<br />
путями<br />
несанкционированного<br />
доступа к информации<br />
фр<br />
являются:<br />
-перехват<br />
электронных излучений;<br />
-принудительное<br />
электромагнитное<br />
облучение<br />
(подсветка)<br />
линий<br />
связи с целью<br />
получения<br />
паразитной модуляции несущей;<br />
-применение<br />
(закладок);<br />
подслушивающих устройств<br />
-дистанционное<br />
фотографирование;<br />
-перехват<br />
акустических<br />
восстановление текста принтера;<br />
излучений<br />
и<br />
-копирование<br />
р носителей<br />
преодолением мер защиты<br />
информации<br />
фр<br />
с<br />
-маскировка<br />
под зарегистрированного пользователя;<br />
49
- маскировка под запросы системы;<br />
- использование программных ловушек;<br />
- использование недостатков<br />
языков<br />
программирования и операционных систем;<br />
- незаконное<br />
подключение к аппаратуре<br />
и<br />
линиям связи<br />
специально разработанных<br />
аппаратных средств, обеспечивающих доступ<br />
информации;<br />
- преднамеренный вывод из строя механизмов<br />
защиты;<br />
- расшифровка<br />
специальными<br />
программами<br />
зашифрованной: информации;<br />
- информационные инфекции.<br />
50
6.2. Причины, виды, каналы утечки и<br />
искажения информации<br />
Утечка образуется за счет<br />
неконтролируемых<br />
физических полей<br />
Акустических<br />
Световых<br />
Электромагнитных<br />
Радиационных,<br />
тепловых и др.<br />
51
Технические каналы утечки<br />
информации<br />
Акустические<br />
Материальновещественные<br />
Визуальнооптические<br />
Электро-магнитные<br />
52
Структура канала утечки информации<br />
Источник<br />
Источник<br />
сигнала<br />
Среда Приемник Нарушитель<br />
Канал утечки информации<br />
53
6.3. Основные направления<br />
обеспечения информационной<br />
безопасности<br />
Методы и средства<br />
обеспечения<br />
информационной безопасности являются общими<br />
для различных сфер деятельности государства и<br />
группируются следующим образом:<br />
1) правовые:<br />
разработка комплекса<br />
нормативных правовых актов, регламентирующих<br />
информационные отношения в обществе,<br />
руководящих и нормативно-методическихметодических<br />
документов<br />
по<br />
обеспечению<br />
информационной<br />
фр<br />
безопасности;<br />
54
2) программно-технические:<br />
- предотвращение утечки<br />
за счет<br />
побочных<br />
электромагнитных<br />
излучений и наводок<br />
обрабатываемой информации<br />
путем<br />
исключения<br />
несанкционированного<br />
доступа<br />
или воздействия на нее;<br />
- предотвращение специального<br />
воздействия,<br />
вызывающего<br />
разрушение,<br />
уничтожение,<br />
искажение информации или сбои в работе<br />
средств информатизации;<br />
- выявление<br />
внедренных программных<br />
или<br />
аппаратных закладных устройств;<br />
- специальная<br />
защита технических<br />
средств<br />
обработки информации от средств технической<br />
55
3) организационно экономические:<br />
- обеспечение функционирования<br />
систем защиты<br />
секретной и конфиденциальной информации;<br />
- лицензирование деятельности в сфере<br />
информационной безопасности;<br />
- техническое регулирование и области<br />
информационной безопасности;<br />
- контроль и мотивация<br />
действий<br />
й<br />
персонала в<br />
защищенных информационных<br />
системах<br />
(экономическое стимулирование, психологическая<br />
поддержка и другие);<br />
- обеспечение охраны и режима доступа<br />
к<br />
информационным системам и информационным<br />
ресурсам;<br />
56<br />
- проведение социологических<br />
исследований
Основными направлениями<br />
обеспечения<br />
информационной безопасности являются:<br />
- совершенствование нормативной<br />
правовой<br />
базы, разработка методических итехнических<br />
документов;<br />
- разработка и совершенствование единой<br />
политики в области защиты информации;<br />
- обеспечение<br />
защиты государственных<br />
секретов;<br />
- противодействие техническим разведкам;<br />
- защита от<br />
воздействия<br />
информационного<br />
оружия;<br />
57
- соответствие информационных<br />
систем и<br />
объектов<br />
информатизации требованиям<br />
стандартов и нормативных правовых актов в<br />
области информации изащиты<br />
информации;<br />
- соответствие технических средств требованиям<br />
информационной безопасности;<br />
- выявление,<br />
оценка и прогнозирование<br />
источников угроз<br />
информационной<br />
безопасности,<br />
оперативное принятие<br />
адекватных<br />
мер<br />
противодействия<br />
средствам<br />
технической разведки;<br />
- научно-техническое<br />
обеспечение и научно-<br />
исследовательская деятельность<br />
по<br />
направлениям<br />
защиты информации<br />
и<br />
58<br />
обеспечению информационной безопасности;
7. ОБЩИЕ МЕТОДЫ<br />
ОБЕСПЕЧЕНИЯ<br />
ИНФОРМАЦИОННОЙ<br />
БЕЗОПАСНОСТИ<br />
РОССИЙСКОЙ ФЕДЕРАЦИИ<br />
59
7.1. Вычислительная система как<br />
объект информационной безопасности<br />
Под<br />
вычислительной<br />
системой<br />
(ВС)<br />
подразумевается<br />
совокупность<br />
программно-<br />
аппаратных средств,<br />
предназначенных для<br />
обработки информации.<br />
Программы,<br />
обеспечивающие наблюдаемость<br />
ВС, выполняются с использованием технологии<br />
"клиент-сервер" сервер".<br />
Существует<br />
одна серверная<br />
часть<br />
и<br />
ограниченное множество клиентских частей.<br />
60
Программы,<br />
реализующие<br />
свойство<br />
наблюдаемости ВС, – это<br />
очень<br />
сложные и<br />
дорогостоящие комплексы. Поэтому они должны<br />
обладать соответствующими мерами защиты от<br />
несанкционированного использования. Во-первых,<br />
применяются программные технологии защиты –<br />
проверка р целостности кода и данных, , шифрование<br />
данных, шифрование трафика между клиентскими<br />
и<br />
серверной<br />
частями и т.д. Во-вторых<br />
вторых,<br />
применяются аппаратные<br />
ключи<br />
защиты, в<br />
которые прошивается персональная информация о<br />
заказчике, максимально допустимое количество<br />
клиентов, диапазон IP-адресов<br />
и др.<br />
61
7.2. Общая характеристика методов и<br />
средств защиты информации<br />
Создание систем<br />
информационной<br />
безопасности<br />
(СИБ) в ИС и ИТ<br />
основывается<br />
на<br />
следующих<br />
принципах:<br />
- Системный подход,<br />
д, означающий<br />
оптимальное<br />
сочетание взаимосвязанных<br />
организационных,<br />
программных, аппаратных,<br />
физических и других<br />
свойств<br />
на<br />
всех<br />
этапах<br />
технологического<br />
цикла<br />
обработки информации.<br />
- Принцип<br />
непрерывного<br />
развития<br />
системы.<br />
Обеспечение безопасности заключается в обосновании<br />
и<br />
реализации<br />
наиболее рациональных<br />
методов,<br />
способов и путей<br />
совершенствования<br />
СИБ,<br />
непрерывном контроле, выявлении ее узких ислабых<br />
мест,<br />
потенциальных<br />
каналов<br />
утечки и новых<br />
способов несанкционированного доступа.<br />
62
- Обеспечение надежности системы защиты, т. е.<br />
невозможность снижения уровня надежности при<br />
возникновении в системе<br />
сбоев,<br />
отказов,<br />
преднамеренных действий<br />
взломщика или<br />
непреднамеренных<br />
ошибок<br />
пользователей<br />
и<br />
обслуживающего персонала.<br />
- Обеспечение<br />
контроля<br />
за<br />
функционированием<br />
системы защиты, т. е. создание средств иметодов<br />
контроля работоспособности механизмов защиты.<br />
- Обеспечение различных<br />
средств борьбы<br />
с<br />
вредоносными рд программами.<br />
р<br />
- Обеспечение экономической<br />
целесообразности<br />
63<br />
использования системы. защиты, что выражается
Решения проблем безопасности информации<br />
современные<br />
ИС и ИТ<br />
должны<br />
обладать<br />
следующими основными признаками:<br />
- наличием<br />
информации<br />
различной<br />
степени<br />
конфиденциальности;<br />
- обеспечением<br />
криптографической<br />
защиты<br />
информации различной<br />
степени<br />
конфиденциальности при передаче данных;<br />
- обязательным управлением<br />
потоками<br />
информации, как в локальных сетях, так и при<br />
передаче по каналам связи на далекие расстояния;<br />
- наличием механизма<br />
регистрации и учета<br />
попыток несанкционированного доступа, событий<br />
вИС<br />
и документов, выводимых на печать;<br />
64
- обязательным обеспечением<br />
целостности<br />
программного обеспечения и информации в<br />
ИТ;<br />
- наличием<br />
средств<br />
восстановления<br />
системы<br />
защиты информации;<br />
- обязательным учетом магнитных носителей;<br />
- наличием физической<br />
охраны средств<br />
вычислительной<br />
техники и магнитных<br />
носителей; ;<br />
- наличием<br />
специальной службы<br />
информационной безопасности системы<br />
65
7.3. Правовые, организационно-технические<br />
и экономические методы обеспечения<br />
информационной безопасности<br />
К<br />
правовым<br />
методам<br />
обеспечения<br />
информационной<br />
безопасности<br />
Российской<br />
й<br />
Федерации<br />
относится<br />
разработка<br />
нормативных<br />
правовых актов, регламентирующих отношения в<br />
информационной<br />
методических<br />
обеспечения<br />
Российской Федерации.<br />
сфере, и нормативных<br />
документов<br />
информационной<br />
по<br />
вопросам<br />
безопасности<br />
66
Организационно-техническими<br />
методами<br />
обеспечения<br />
информационной<br />
безопасности<br />
Российской Федерации являются:<br />
- создание исовершенствование<br />
системы обеспечения<br />
информационной безопасности Российской Федерации;<br />
- усиление правовой<br />
деятельности<br />
исполнительной<br />
власти,<br />
включая предупреждение и пресечение<br />
правонарушений в информационной сфере, а также<br />
выявление,<br />
изобличение и привлечение<br />
к<br />
ответственности лиц,<br />
совершивших<br />
преступления и<br />
другие правонарушения ру вэтой<br />
сфере;<br />
фр;<br />
- разработка,<br />
использование и совершенствование<br />
средств защиты<br />
информации и методов<br />
контроля<br />
эффективности<br />
этих<br />
средств,<br />
развитие<br />
защищенных<br />
телекоммуникационных систем, повышение надежности<br />
специального программного обеспечения;<br />
67
- создание систем и средств предотвращения<br />
несанкционированного доступа к обрабатываемой<br />
информации и специальных воздействий,<br />
вызывающих разрушение, ру , уничтожение, ,<br />
искажение<br />
информации, атакже<br />
изменение штатных режимов<br />
функционирования<br />
систем и средств<br />
информатизации исвязи;<br />
- сертификация<br />
средств защиты<br />
информации,<br />
лицензирование<br />
деятельности в области<br />
защиты<br />
государственной тайны, стандартизация способов и<br />
средств защиты информации;<br />
- сертификация<br />
телекоммуникационного<br />
оборудования и программного обеспечения<br />
АС<br />
обработки информации<br />
по<br />
требованиям<br />
информационной безопасности;<br />
68
- выявление технических устройств и программ,<br />
представляющих опасность<br />
для<br />
функционирования<br />
ИТС,<br />
предотвращение<br />
перехвата информации по техническим каналам,<br />
применение криптографических средств защиты<br />
информации,<br />
контроль за<br />
выполнением<br />
специальных требований по защите информации;<br />
- контроль за действиями персонала в защищенных<br />
информационных системах, подготовка кадров в<br />
области<br />
обеспечения информационной<br />
безопасности Российской Федерации;<br />
69<br />
- формирование системы мониторинга показателей
Экономические<br />
себя:<br />
методы<br />
- разработку<br />
программ<br />
информационной<br />
безопасности<br />
Федерации и определение<br />
финансирования;<br />
включают<br />
в<br />
обеспечения<br />
Российской<br />
порядка их<br />
- совершенствование<br />
системы<br />
финансирования<br />
работ,<br />
связанных с<br />
реализацией<br />
правовых и организационно-<br />
технических методов защиты информации,<br />
70
7.4. Модели, стратегии и системы<br />
обеспечения информационной<br />
безопасности<br />
71
Процесс обеспечения<br />
информационной<br />
безопасности начинается с оценки имущества:<br />
определения<br />
информационных<br />
активов<br />
организации,<br />
факторов,<br />
угрожающих<br />
этой<br />
информации, иее<br />
уязвимости, значимости общего<br />
риска для организации. Это важно потому, что без<br />
понимания текущего состояния риска невозможно<br />
эффективно выполнить программу защиты этих<br />
активов.<br />
Данный процесс выполняется при соблюдении<br />
метода<br />
управления риском.<br />
Сразу после<br />
выявления риска и его количественной оценки<br />
можно<br />
выбрать рентабельную<br />
контрмеру<br />
для<br />
уменьшения этого риска.<br />
72
При проведении оценки изучают следующие<br />
моменты:<br />
-сетевое<br />
окружение;<br />
-физические<br />
меры безопасности;<br />
-существующие<br />
политики и процедуры;<br />
-меры<br />
предосторожности, принятые на местах;<br />
-осведомленность<br />
работников в вопросах<br />
безопасности;<br />
ос ;<br />
-персонал;<br />
-загруженность<br />
персонала;<br />
-взаимоотношения<br />
работников;<br />
-строгое<br />
соблюдение работниками установленной<br />
политики и мероприятий;<br />
-специфику<br />
ф<br />
деятельности.<br />
73
7.4.1. Абстрактные модели защиты<br />
информации<br />
Одной<br />
из<br />
первых моделей<br />
была<br />
опубликованная в 1977 модель Биба (Biba).<br />
Согласно<br />
ей все<br />
субъекты и объекты<br />
предварительно<br />
рд р разделяются<br />
по<br />
нескольким<br />
уровням доступа, азатем<br />
на их взаимодействия<br />
накладываются следующие ограничения:<br />
1)субъект<br />
не может вызывать на исполнение<br />
субъекты с более низким уровнем доступа;<br />
2)субъект<br />
не может модифицировать объекты с<br />
более высоким уровнем доступа.<br />
74
Модель Гогена-Мезигера<br />
(Goguen-Meseguer),<br />
представленная ими в 1982 году, основана на теории<br />
автоматов. Согласно ей система может при каждом<br />
действии<br />
переходить<br />
из<br />
одного<br />
разрешенного<br />
состояния только в несколько других. Субъекты и<br />
объекты в данной модели защиты разбиваются на<br />
группы – домены, и переход системы из одного<br />
состояния в другое выполняется<br />
только<br />
в<br />
соответствии с так<br />
называемой таблицей<br />
разрешений, в которой указано какие операции<br />
может выполнять субъект, скажем, из домена C над<br />
объектом из домена D. В данной модели при<br />
75
Сазерлендская<br />
(от<br />
англ.<br />
Sutherland)<br />
модель защиты, опубликованная в 1986 году,<br />
делает акцент на взаимодействии субъектов и<br />
потоков<br />
информации.<br />
Так же<br />
как и в<br />
предыдущей модели,<br />
здесь используется<br />
машина состояний<br />
со<br />
множеством<br />
разрешенных<br />
комбинаций<br />
состояний<br />
и<br />
некоторым набором начальных позиций. В<br />
данной модели<br />
исследуется<br />
поведение<br />
76<br />
множественных<br />
композиций<br />
функций
Важную роль в теории защиты информации играет<br />
модель<br />
защиты<br />
Кларка-Вильсона<br />
(Clark-Wilson),<br />
опубликованная в 1987 году и модифицированная в 1989.<br />
Основана данная модель на повсеместном использовании<br />
транзакций и тщательном оформлении<br />
прав<br />
доступа<br />
субъектов к объектам. Но в данной модели впервые<br />
исследована защищенность третьей стороны в данной<br />
проблеме – стороны,<br />
поддерживающей<br />
всю<br />
систему<br />
безопасности.<br />
Эту роль в информационных<br />
системах<br />
обычно играет<br />
программа-супервизор<br />
супервизор.<br />
Кроме<br />
того, в<br />
модели<br />
Кларка-Вильсона<br />
транзакции<br />
впервые<br />
были<br />
построены<br />
по методу<br />
верификации,<br />
то есть<br />
идентификация субъекта производилась не только перед<br />
выполнением команды от него, но и повторно после<br />
77<br />
выполнения. Это позволило снять проблему подмены<br />
ф й б
7.5. Критерии и классы защищенности<br />
средств вычислительной техники и авто-<br />
матизированных информационных систем<br />
В 1992 году Гостехкомиссия<br />
(ГТК)<br />
при<br />
Президенте Российской Федерации разработала и<br />
опубликовала<br />
пять руководящих<br />
документов,<br />
посвященных вопросам защиты информации в<br />
автоматизированных системах и ее обработки.<br />
Основой этих<br />
документов<br />
является<br />
концепция<br />
защиты средств вычислительной техники (СВТ) и<br />
автоматизированных систем<br />
(АС)<br />
от<br />
несанкционированного<br />
доступа<br />
(НСД)<br />
к<br />
информации, содержащая систему взглядов ГТК<br />
на<br />
проблему<br />
информационной безопасности<br />
и<br />
основные<br />
принципы защиты<br />
компьютерных<br />
систем.<br />
78
7.5.1. Руководящие документы<br />
Государственной технической комиссии<br />
России<br />
Показатели защищенности содержат требования<br />
защищенности<br />
СВТ<br />
от<br />
НСД к информации<br />
и<br />
применяются к общесистемным<br />
программным<br />
средствам и операционным системам (с учетом<br />
архитектуры<br />
компьютера).<br />
Конкретные<br />
перечни<br />
показателей определяют классы защищенности СВТ<br />
и<br />
описываются<br />
совокупностью<br />
требований.<br />
Совокупность<br />
всех<br />
средств защиты<br />
составляет<br />
комплекс средств защиты (КСЗ).<br />
Установлено семь классов защищенности СВТ от<br />
НСД к информации. Самый низкий класс – седьмой,<br />
самый высокий – первый.<br />
79
Документы ГТК устанавливают девять классов защищенности<br />
АС от НСД, распределенных по трем группам. В пределах<br />
каждой группы соблюдается иерархия классов защищенности<br />
АС. Класс, соответствующий высшей степени защищенности для<br />
данной группы, обозначается индексом NA, где N – номер<br />
группы (от 1 до 3). Следующий класс обозначается NБит.д.<br />
Третья<br />
группа<br />
включает АС, в которых работает<br />
один<br />
пользователь,<br />
допущенный<br />
ко<br />
всей<br />
информации в АС,<br />
размещенной на носителях одного уровня конфиденциальности.<br />
Группа содержит 2 класса –3Би 3А.<br />
Вторая группа включает АС, в которых пользователи имеют<br />
одинаковые полномочия<br />
доступа ко<br />
всей<br />
информации,<br />
обрабатываемой и хранимой в АС на носителях различного<br />
уровня конфиденциальности. Группа содержит два класса – 2Б и<br />
2А.<br />
Первая<br />
группа<br />
включает много<br />
пользовательские<br />
АС, в<br />
которых одновременно обрабатывается и хранится информация<br />
разных уровней<br />
конфиденциальности.<br />
Не<br />
все пользователи<br />
имеют равные права доступа. Группа содержит пять классов –<br />
1Д, Д,1Г,<br />
1В,<br />
1Би 1А.<br />
80
7.5.2. Критерии оценки безопасности<br />
компьютерных систем министерства<br />
обороны США («Оранжевая книга»)<br />
С 1983 по 1988 год Министерство обороны США и<br />
Национальный комитет компьютерной безопасности<br />
разработали систему<br />
стандартов в области<br />
компьютерной безопасности, которая включает более<br />
десяти документов.<br />
Этот<br />
список возглавляют<br />
"Критерии оценки<br />
безопасности компьютерных<br />
систем"<br />
, которые по цвету обложки чаще называют<br />
"Оранжевой книгой". В 1995 году Национальный центр<br />
компьютерной<br />
безопасности<br />
США<br />
опубликовал<br />
"Пояснения к критериям безопасности компьютерных<br />
систем", , объединившие все имеющиеся на тот момент<br />
дополнения и разъяснения к "Оранжевой книге".<br />
81
Надежность систем оценивается по двум<br />
основным критериям:<br />
-Политика<br />
безопасности – набор<br />
законов,<br />
правил и норм поведения, , определяющих, рд ,<br />
как<br />
организация обрабатывает,<br />
защищает и<br />
распространяет информацию. В частности,<br />
правила определяют, в каких случаях<br />
пользователь имеет<br />
право оперировать<br />
с<br />
определенными наборами данных. Чем надежнее<br />
система, тем строже и многообразнее должна<br />
быть политика безопасности. Взависимости<br />
от<br />
сформулированной<br />
политики<br />
можно<br />
выбирать<br />
конкретные механизмы,<br />
обеспечивающие<br />
безопасность системы. Политика безопасности –<br />
это активный компонент защиты, включающий в<br />
себя<br />
анализ<br />
возможных<br />
угроз и выбор<br />
мер<br />
противодействия.<br />
82
- Гарантированность – мера доверия, которая может<br />
быть<br />
оказана архитектуре и реализации системы.<br />
Гарантированность р можно определить тестированием<br />
системы вцелом<br />
иее<br />
компонентов. Гарантированность<br />
показывает,<br />
насколько корректны<br />
механизмы,<br />
отвечающие<br />
за<br />
проведение в жизнь<br />
политики<br />
безопасности.<br />
Гарантированность можно<br />
считать<br />
пассивным компонентом<br />
защиты,<br />
надзирающим за<br />
самими защитниками.<br />
Согласно<br />
"Оранжевой<br />
книге",<br />
политика<br />
безопасности должна включать в себя по крайней<br />
мере следующие элементы:<br />
- произвольное управление доступом;<br />
83<br />
- безопасность повторного использования объектов;
В<br />
"Критериях оценки<br />
безопасности<br />
компьютерных систем" определяется четыре уровня<br />
надежности (безопасности) – D, C, B и A. Уровень D<br />
предназначен для<br />
систем,<br />
признанных<br />
неудовлетворительными.<br />
По мере<br />
перехода<br />
от<br />
уровня C к A к надежности систем предъявляются<br />
все более жесткие требования. Уровни C и B<br />
подразделяются на классы (C1, C2, B1, B2, B3) с<br />
постепенным<br />
возрастанием надежности.<br />
Таким<br />
образом, всего имеется шесть классов безопасности<br />
– C1, C2, B1, B2, B3, A1. Чтобы<br />
система в<br />
результате процедуры сертификации могла быть<br />
84
7.6. Перспективы и проблемы<br />
повышения защищенности систем<br />
Подписанная в 2000 году<br />
Президентом<br />
Российской Федерации В.В. Путиным «Доктрина<br />
информационной<br />
фр<br />
безопасности<br />
Российской<br />
Федерации»<br />
определяет<br />
основные<br />
жизненно<br />
важные<br />
интересы<br />
страны в информационной<br />
сфере, наиболее опасные угрозы этим интересам,<br />
основные направления государственной политики<br />
по противодействию этим угрозам. Важнейшей<br />
задачей<br />
органов государственной<br />
власти<br />
всех<br />
уровней является разработка и принятие мер по<br />
практической реализации положений Доктрины<br />
информационной йб<br />
безопасности.<br />
85
8. СРЕДСТВА ЗАЩИТЫ<br />
ИНФОРМАЦИИ<br />
86
8.1. Аппаратно-программная программная система<br />
криптографической защиты сообщений<br />
"SX-1"<br />
Система обеспечивает:<br />
1. криптографическое<br />
преобразование передаваемых<br />
(принимаемых) или<br />
сформированных текстовых и<br />
(или) графических рф сообщений, , оформленных в<br />
виде файлов, и запись их на жесткий или гибкий<br />
диски;
2. высокую стойкость ключевых данных к их<br />
компрометации при любых действиях<br />
злоумышленников и обслуживающего<br />
персонала;<br />
3. гарантированное выполнение заданных<br />
функций не менее 2 лет без смены<br />
системного ключа.<br />
88
8.2. Аппаратно-программные программные системы<br />
криптографической защиты информации<br />
серии «КРИПТОН»<br />
Выполняемые функции:<br />
1. КРИПТОН-4 –<br />
- Аппаратное шифрование по ГОСТ 28147-89. 89.<br />
- Аппаратная генерация случайных чисел.<br />
- Загрузка мастер-ключа с дискеты, смарт-карты<br />
или электронной таблетки Touch Memory.<br />
- Возможность использования в режиме защиты<br />
от несанкционированного доступа (НСД).<br />
89
- Возможность прямой загрузки ключей (минуя<br />
шину данных компьютера) со смарт-карты или<br />
Touch Memory.<br />
- Наличие системной области для хранения<br />
ключей (без возможности их считывания из<br />
системной области).<br />
)<br />
- Скорость шифрования - 200 Кбайт/сек.<br />
Шина ISA.<br />
2. КРИПТОН-4К/8<br />
–<br />
- Функции УКЗД КРИПТОН-4.<br />
- Более современная, чем в КРИПТОН-4,<br />
отечественная элементная база.<br />
- Скорость шифрования – до 560 Кбайт/сек.<br />
90
3. КРИПТОН-7 –<br />
- Функции УКЗД КРИПТОН-4К/16 4К/16, кроме того:<br />
- Скорость шифрования - до 1,3 Мбайт/сек.<br />
- Шина PCI<br />
4. КРИПТОН-8 –<br />
- Функции УКЗД КРИПТОН-7, кроме того:<br />
- Наличие энергонезависимой памяти для<br />
хранения сетевых наборов ключей.<br />
- Скорость шифрования - до 6 Мбайт/сек.<br />
91
5. КРИПТОН-4К/16<br />
–<br />
- Функции УКЗД КРИПТОН-4К/8, кроме того:<br />
- Функции электронного замка персонального<br />
компьютера.<br />
- Наличие энергонезависимой памяти для<br />
хранения журнала операций и файла-списка.<br />
- Скорость шифрования - до 1 Мбайт/сек.<br />
92
8.3. ФАЗА-1-10 10 фильтр сетевой для<br />
защиты от утечки информации от ПЭВМ<br />
и других средств передачи информации<br />
Технические характеристики:<br />
- Эффективность подавления наводок в сети в<br />
диапазоне частот от 10 кГц до 1 МГц 40...150 дБ.<br />
- Эффективность подавления наводок в сети в<br />
диапазоне частот от 1 МГц до 1000 МГц не менее<br />
55 дБ.<br />
- Напряжение сети с частотой 50...60 Гц 100...240 В.<br />
- Нагрузочная способность до 2000 ВА.<br />
- Количество подключаемых потребителей 3.<br />
- Ток утечки 6...10 мА.<br />
- Масса 1,4 кг<br />
93
8.4. Аппаратные средства защиты<br />
К<br />
относятся<br />
аппаратным<br />
различные<br />
электронно-<br />
электронно-механические,<br />
оптические устройства.<br />
средствам<br />
рд<br />
защиты<br />
электронные,<br />
К<br />
настоящему<br />
времени разработано<br />
значительное число<br />
аппаратных средств<br />
различного назначения, однако наибольшее<br />
распространение р р получили следующие:<br />
94
- специальные<br />
регистры<br />
для<br />
хранения<br />
реквизитов защиты:<br />
пароли,<br />
идентифицирующие коды, грифы или уровни<br />
секретности;<br />
- устройства<br />
измерения<br />
индивидуальных<br />
характеристик человека (голоса, отпечатков) с<br />
целью его идентификации;<br />
- схемы прерывания передачи информации в<br />
линии связи сцелью<br />
периодической проверки<br />
адреса выдачи данных.<br />
- устройства<br />
для шифрования<br />
информации<br />
(криптографические методы).<br />
95
8.5. Программные средства защиты<br />
Программные<br />
средства<br />
включают<br />
программы для идентификации пользователей,<br />
контроля<br />
удаления<br />
доступа,<br />
остаточной<br />
шифрования<br />
(рабочей)<br />
информации,<br />
информации<br />
типа временных файлов, тестового контроля<br />
системы защиты и др.<br />
96
Преимущества<br />
программных<br />
средств –<br />
универсальность,<br />
гибкость,<br />
надежность,<br />
простота<br />
установки,<br />
способность<br />
к<br />
модификации иразвитию.<br />
Недостатки – ограниченная<br />
функциональность сети, использование части<br />
ресурсов файл-сервера<br />
р и рабочих станций,<br />
,<br />
высокая чувствительность к случайным или<br />
преднамеренным<br />
изменениям,<br />
возможная<br />
зависимость<br />
от<br />
типов<br />
компьютеров<br />
(их<br />
аппаратных средств).<br />
97
Смешанные<br />
аппаратно-программныепрограммные<br />
средства реализуют<br />
те<br />
же<br />
функции,<br />
что<br />
аппаратные и программные средства<br />
в<br />
отдельности, иимеютимеют промежуточные свойства.<br />
Организационные средства складываются<br />
из<br />
организационно-технических<br />
(подготовка<br />
помещений с компьютерами,<br />
прокладка<br />
кабельной системы с учетом<br />
требований<br />
ограничения доступа к ней и др.) и<br />
организационно-правовых<br />
р (национальные<br />
ц<br />
законодательства и правила работы,<br />
устанавливаемые<br />
руководством<br />
конкретного<br />
предприятия).<br />
98
8.6. Каналы утечки информации<br />
Возможные каналы<br />
утечки<br />
информации<br />
можно разбить на четыре группы:<br />
1-я группа – каналы,<br />
связанные с<br />
доступом к элементам<br />
системы<br />
обработки<br />
данных,<br />
но не<br />
требующие<br />
изменения<br />
компонентов<br />
системы. К этой<br />
группе<br />
относятся каналы образующиеся за счет:<br />
- дистанционного скрытого видеонаблюдения<br />
или фотографирования;<br />
- применения подслушивающих устройств;<br />
- перехвата электромагнитных излучений и<br />
наводок и т.д.<br />
99
2-я группа – каналы, связанные с доступом к<br />
элементам системы и изменением структуры ее<br />
компонентов. Ко второй группе относятся:<br />
- наблюдение<br />
за<br />
информацией с целью<br />
ее<br />
запоминания в процессе обработки;<br />
хищение<br />
носителей информации;<br />
- сбор производственных<br />
отходов,<br />
содержащих<br />
обрабатываемую б информацию;<br />
преднамеренное<br />
считывание<br />
данных<br />
из<br />
файлов<br />
других<br />
пользователей;<br />
- чтение остаточной<br />
информации, т.е. данных,<br />
остающихся на<br />
магнитных носителях<br />
после<br />
выполнения заданий;<br />
- копирование носителей информации;<br />
100
- маскировка под<br />
зарегистрированного<br />
пользователя путем похищения паролей и других<br />
реквизитов<br />
разграничения доступа<br />
к<br />
информации,<br />
используемой в системах<br />
обработки;<br />
- использование для доступа к информации так<br />
называемых<br />
"люков",<br />
дыр и "лазеек", т.е.<br />
возможностей обхода механизма разграничения<br />
доступа,<br />
возникающих вследствие<br />
несовершенства<br />
общесистемных<br />
компонентов<br />
программного обеспечения<br />
(операционных<br />
систем, систем управления базами данных и др.)<br />
и неоднозначностями языков программирования<br />
применяемых е в автоматизированных а а системах<br />
с обработки данных;<br />
101
- преднамеренное рд р использование для доступа к<br />
информации терминалов<br />
зарегистрированных<br />
пользователей;<br />
3-я группа – кэтой<br />
группе относятся:<br />
- незаконное подключение<br />
специальной<br />
регистрирующей аппаратуры к устройствам<br />
системы или линиям связи (перехват модемной и<br />
факсимильной связи);<br />
- злоумышленное<br />
изменение<br />
программ таким<br />
образом,<br />
чтобы<br />
эти<br />
программы наряду<br />
с<br />
основными функциями обработки б информации<br />
осуществляли также несанкционированный сбор<br />
и регистрацию защищаемой информации;<br />
102
- злоумышленный вывод из строя механизмов<br />
защиты.<br />
4-я группа – кэтой<br />
группе относятся:<br />
- несанкционированное получение информации<br />
путем подкупа или шантажа должностных лиц<br />
соответствующих служб;<br />
- получение<br />
информации<br />
путем<br />
подкупа<br />
и<br />
шантажа<br />
сотрудников,<br />
знакомых,<br />
обслуживающего<br />
персонала<br />
или<br />
родственников, знающих о роде деятельности.<br />
103
8.7. Обнаружитель подключения к LAN<br />
(локальной сети) FLUKE<br />
Меры<br />
противодействия<br />
на<br />
компьютерных сетях – очень<br />
специфичная задача,<br />
которая<br />
требует<br />
навыков наблюдения<br />
и<br />
работы в фоновом режиме. Вэтом<br />
виде сервиса применяется несколько<br />
приборов:<br />
- ручной осциллограф;<br />
- кабельный<br />
категория);<br />
сканер (100<br />
МГц, 5<br />
104
- рефлектометр временных интервалов с<br />
анализом переходных связей для работы на<br />
«свободной линии»;<br />
- анализатор сетевого трафика;<br />
- компьютер со специальным пакетом<br />
обнаруживающего программного обеспечения;<br />
- портативный спектральный анализатор.<br />
Эти приборы используются в дополнение к<br />
осциллографам,<br />
спектральным анализаторам,<br />
мультиметрам,<br />
поисковым<br />
приемникам,<br />
рентгеновским установкам,<br />
NLJD и другим<br />
приборам противодействия (TSCM).<br />
105
FLUKE<br />
является прибором<br />
р для<br />
команд<br />
противодействия наблюдению.<br />
«Базовый<br />
инструмент»<br />
предоставляет<br />
все<br />
функции<br />
кабельного сканера,<br />
включая<br />
функции<br />
высококачественного рефлектометра временных<br />
интервалов (TDR).<br />
Возможности анализа трафика бесценны при<br />
идентификации и отслеживании нарушений в<br />
функционировании сети, , вторжений хакеров аеро и<br />
регистрации<br />
наличия замаскированных<br />
устройств наблюдения в локальной сети.<br />
106
ЛАНметр<br />
также<br />
неоценим<br />
проведении сетевых аудитов и проверок.<br />
при<br />
Кабельный<br />
DSP-<br />
анализатор<br />
2000\DSP-4000<br />
и измеритель<br />
FLUKE<br />
параметров<br />
FLUKE 105B также необходимые приборы<br />
для<br />
проведения<br />
TSCM-инспекций<br />
противодействия и дополняют ЛАНметр.<br />
107
Во<br />
время<br />
проведения<br />
инспекций<br />
осциллограф,<br />
подключаемый<br />
для<br />
общей<br />
оценки к сети, обычно позволяет наблюдать<br />
за формой сигналов иихих наличием. В случае<br />
наличия в сети<br />
устройств<br />
несанкционированного<br />
наблюдения<br />
с<br />
распределенным<br />
спектром<br />
осциллограф<br />
обеспечит быстрое определение этого факта,<br />
а также индикацию напряжений,<br />
наличия<br />
радиочастотного шума и ограниченной<br />
информации о переходных связях.<br />
108
8.8. Система защиты информации<br />
Secret Net 40<br />
4.0<br />
Предназначена<br />
для<br />
обеспечения<br />
информационной безопасности в локальной<br />
вычислительной сети, , рабочие станции исервера<br />
р<br />
которой работают под управлением следующих<br />
операционных систем:<br />
Windows 95, Windows 98<br />
иихих модификаций;<br />
Windows NT версии 4.0;<br />
UNIX MP-RAS<br />
версии<br />
3.02<br />
02.00<br />
00.<br />
109
Основные сферыприменения<br />
применения:<br />
е :<br />
- защита информационных ресурсов;<br />
- централизованное управление информационной<br />
безопасностью;<br />
- контроль<br />
состояния<br />
информационной<br />
безопасности.<br />
Для безопасности<br />
рабочих<br />
станций и<br />
серверов<br />
сети<br />
используются<br />
всевозможные<br />
механизмы защиты:<br />
- усиленная идентификация и аутентификация;<br />
- полномочное и избирательное<br />
разграничение<br />
доступа;<br />
110
- замкнутая программная среда;<br />
- криптографическая защита данных;<br />
- другие механизмы защиты.<br />
Администратору<br />
ру<br />
безопасности<br />
предоставляется единое средство управления<br />
всеми<br />
защитными<br />
механизмами,<br />
позволяющее централизованно управлять и<br />
контролировать<br />
политики безопасности.<br />
исполнение<br />
требований<br />
111
8.9. Электронный замок «Соболь-РСI»<br />
Предназначен для<br />
защиты<br />
ресурсов<br />
компьютера от несанкционированного доступа.<br />
Электронный замок<br />
(ЭЗ)<br />
«Соболь-PCI»<br />
сертифицирован<br />
р Гостехкомиссией<br />
России.<br />
Сертификат № 457 от 14.05.2000<br />
г. подтверждает<br />
соответствие изделия требованиям Руководящего<br />
документа Гостехкомиссии<br />
России<br />
«Авто-<br />
матизированные системы.<br />
Классификация<br />
автоматизированных систем и требования<br />
по<br />
защите информации» и позволяет использовать<br />
его<br />
при разработке<br />
систем<br />
защиты для<br />
автоматизированных систем с классом<br />
защищенности до 1В включительно.<br />
112
Электронный замок<br />
«Соболь»<br />
может<br />
применяться<br />
как<br />
устройство,<br />
обеспечивающее<br />
защиту<br />
автономного<br />
компьютера, а также<br />
рабочей станции или сервера, входящих в состав<br />
локальной вычислительной сети.<br />
При<br />
этом<br />
используются<br />
следующие<br />
механизмы защиты:<br />
идентификация и<br />
аутентификация<br />
пользователей;<br />
регистрация<br />
попыток доступа к ПЭВМ; запрет загрузки ОС со<br />
съемных<br />
носителей;<br />
контроль<br />
целостности<br />
программной среды.<br />
Возможности<br />
по<br />
идентификации<br />
и<br />
аутентификации пользователей, а также<br />
регистрация попыток доступа к ПЭВМ не зависят<br />
от типа использующейся ОС.<br />
113
8.10. Система защиты корпоративной<br />
информации Secret Disk kS<br />
Server<br />
Предназначена<br />
для<br />
циальной<br />
информации,<br />
данных.<br />
защиты<br />
конфиден-<br />
корпоративных<br />
баз<br />
Система<br />
предназначена<br />
для<br />
работы<br />
в<br />
Windows NT 4.0 Server/ Workstation,<br />
поддерживает работу с IDE- и SCSI-дисками,<br />
со всеми типами RAID-массивов.<br />
Защищаемые разделы<br />
могут<br />
файловую систему FAT или NTFS.<br />
содержать<br />
114
Система не<br />
конфиденциальные<br />
наличие.<br />
только<br />
данные,<br />
надежно<br />
защищает<br />
но и скрывает<br />
их<br />
Защита<br />
информации осуществляется<br />
путем<br />
«прозрачного»<br />
р р («на<br />
лету»)<br />
)<br />
шифрования<br />
содержимого разделов<br />
жесткого<br />
диска<br />
(логических дисков).<br />
При установке Secret Disk Server выбранные<br />
логические<br />
диски<br />
зашифровываются.<br />
Права<br />
доступа к ним<br />
для<br />
пользователей<br />
сети<br />
устанавливаются средствами<br />
Windows<br />
NT.<br />
Шифрование осуществляется<br />
программно<br />
системным драйвером ядра (kernel-mode<br />
driver).<br />
115
Помимо встроенного<br />
алгоритма<br />
преобразования данных с длиной ключа 128<br />
бит, Secret Disk Server позволяет подключать<br />
внешние модули криптографической защиты,<br />
например входящий в Windows RC-4 или<br />
эмулятор известной<br />
платы<br />
«Криптон»,<br />
реализующей<br />
мощнейший российский<br />
алгоритм<br />
шифрования<br />
ГОСТ 28147-89<br />
89 с<br />
длиной ключа 256 бит. Скорость шифрования<br />
очень высока,<br />
поэтому мало<br />
кто сможет<br />
заметить небольшое замедление при работе.<br />
116
Ключи шифрования вводятся в драйвер<br />
Secret Disk Server перед началом работы с<br />
защищенными разделами (или при загрузке<br />
сервера).<br />
ера) Для<br />
эоо этого используются<br />
с<br />
микропроцессорные р р карточки (смарткарты),<br />
р р защищенные<br />
воспользоваться<br />
попытки<br />
PIN-кодом.<br />
ввода<br />
заблокируют карту.<br />
ру<br />
карточкой<br />
Не<br />
зная<br />
нельзя.<br />
неправильного<br />
код,<br />
Три<br />
кода<br />
117
8.11. Программно-аппаратный аппаратный комплекс<br />
средств защиты информации от НСД<br />
«Аккорд-АМДЗ» АМДЗ»<br />
совместимых ПЭВМ (рабочих станциях ЛВС)<br />
вцелях<br />
их защиты от несанкционированного<br />
доступа. В комплексе реализованы механизмы:<br />
пользова-<br />
- идентификации,<br />
аутентификации<br />
телей, регистрации их действий;<br />
Предназначен для применения на IBM-<br />
118
- контроля целостности<br />
технических и<br />
программных средств<br />
(файлов<br />
общего,<br />
прикладного ПО и данных) ) ПЭВМ (PC<br />
PC);<br />
- обеспечения<br />
режима<br />
доверенной<br />
загрузки в<br />
различных<br />
операционных средах<br />
(MS<br />
DOS,<br />
Windows 9x, Windows Millenium, Windows NT,<br />
Windows 2000, OS/2,<br />
UNIX),<br />
а также<br />
любых<br />
других<br />
ОС,<br />
использующих<br />
файловые<br />
системы<br />
FAT 12, FAT 16, FAT 32, NTFS, HPFS, FreeBSD,<br />
Linux<br />
EXT2FS<br />
FS,<br />
при<br />
многопользовательском<br />
режиме эксплуатации ПЭВМ (рабочих станций<br />
ЛВС).<br />
119
Комплекс представляет собой совокупность<br />
технических и программных средств,<br />
обеспечивающих выполнение основных функций<br />
защиты<br />
от<br />
НСД ПЭВМ<br />
(PC)<br />
на основе<br />
применения<br />
персональных<br />
идентификаторов<br />
пользователей;<br />
парольного механизма;<br />
блокировки загрузки операционной рц системы со<br />
съемных<br />
носителей<br />
информации;<br />
контроля<br />
целостности технических средств и программных<br />
средств<br />
(файлов<br />
общего,<br />
прикладного<br />
ПО и<br />
данных)<br />
ПЭВМ<br />
(PC<br />
PC);<br />
обеспечения<br />
режима<br />
доверенной загрузки<br />
установленных в ПЭВМ<br />
(PC<br />
PC) операционных систем.<br />
120
Программная часть<br />
комплекса,<br />
включая<br />
средства<br />
идентификации и аутентификации,<br />
средства контроля целостности технических и<br />
программных<br />
средств<br />
ПЭВМ<br />
(PC<br />
PC),<br />
средства<br />
регистрации<br />
действий пользователей, а также<br />
средства<br />
администрирования<br />
(настройки<br />
встроенного<br />
ПО) и аудита<br />
(работы с<br />
регистрационным<br />
журналом)<br />
размещается<br />
в<br />
энергонезависимой памяти (ЭНП) контроллера<br />
при изготовлении комплекса.<br />
Доступ к средствам<br />
администрирования<br />
и<br />
аудита комплекса<br />
предоставляется<br />
только<br />
администратору БИ.<br />
121
8.12. Устройство для быстрого<br />
уничтожения информации на жестких<br />
магнитных дисках «Стек-Н»<br />
Основные характеристики Стек-НС1(2):<br />
1. Максимальная продолжительность рд перехода<br />
устройства в режим «Готовность» – 7...10 с.<br />
2. Длительность стирания информации на одном диске –<br />
300 мс.<br />
3. Электропитание изделия – 220 В, 50 Гц.<br />
4. Максимальная а а отводимая о тепловая мощность ос – 8 Вт.<br />
5. Допустимая продолжительность непрерывной работы<br />
изделия:<br />
- в режиме «Готовность» – не ограничена;<br />
- цикле «Заряд»/«Стирание» – не менее 0,5 ч.<br />
6. Габариты – 235x215x105 мм.<br />
122
Основные характеристики Стек-НA1:<br />
1. Максимальная продолжительность перехода<br />
устройства в режим «Готовность» – не<br />
более 15...30 с.<br />
2. Длительность стирания информации на одном<br />
диске – 300 мс.<br />
3. Электропитание изделия – 220 В, 50 Гц или<br />
внешний аккумулятор 12 В.<br />
4. Допустимая продолжительность непрерывной<br />
работы изделия:<br />
5. в режиме «Готовность» – не ограничена;<br />
- в цикле «Заряд»/«Стирание» – не менее 30 раз<br />
по 0,5 ч.<br />
6. Габариты – 235x215x105 мм.<br />
123
9. ОБЩАЯ<br />
ХАРАКТЕРИСТИКА<br />
КОМПЛЕКСНОЙ<br />
ЗАЩИТЫ ИНФОРМАЦИИ<br />
124
9.1. Сущность и задачи КЗИ<br />
Комплексная защита информации (КЗИ) –<br />
совокупность людей, процедур и оборудования,<br />
защищающих информацию от несанкционированного<br />
доступа, модификации либо отказа доступа.<br />
ЗАДАЧИ КЗИ:<br />
1. Регламентация действий пользователей;<br />
2. Установление юридической ответственности за<br />
выполнение правил ИБ;<br />
3. Явный и скрытый контроль за порядком<br />
информационного обмена;<br />
125
4. Блокирование каналов утечки информации;<br />
5. Выявление закладных устройств в ТС и ПО;<br />
6. Непрерывный контроль и управление КЗИ.<br />
7. Обнаружение зондирований, , навязываний<br />
и излучений;<br />
8. Санкционированный доступ в физическое и<br />
информационное пространство;<br />
9. Обнаружение возгораний, затоплений и иных ЧС;<br />
10. Обеспечение резервирования информации;<br />
11. Организация оборота физических носителей<br />
защищаемой информации;<br />
126
12. Обеспечение достоверности электронного<br />
документооборота, ЭЦП;<br />
13. Шифрование информации на любых этапах<br />
обработки;<br />
14. Восстановление ключевых структур<br />
при компрометации;<br />
15. Генерация, распределение и хранение ключей<br />
и паролей;<br />
16. Регистрация событий и обнаружение<br />
нарушений;<br />
;<br />
17. Расследование во взаимодействии с ПОО<br />
нарушений политики безопасности;<br />
18. Непрерывный контроль и управление КЗИ.<br />
127
9.2. Стратегии комплексной защиты<br />
информации<br />
Стратегия – общая направленность в организации<br />
деятельности с учетом объективных потребностей,<br />
возможных условий осуществления и возможностей<br />
предприятия.<br />
Виды стратегий<br />
Оборонительная Наступательная Упреждающая<br />
защита от уже защита от всего создание<br />
известных угроз, ур ,<br />
множества<br />
информационной<br />
фр<br />
осуществляемая<br />
потенциальных<br />
среды, в которой<br />
автономно, без<br />
угрозы не имеют<br />
влияния на<br />
угроз<br />
условий для<br />
существующую ИС<br />
возникновения<br />
128
Основные характеристики стратегий<br />
комплексной защиты информации<br />
Наименование<br />
Стратегии комплексной защиты информации<br />
характеристики Оборонительная Наступательная Упреждающая<br />
Возможный Достаточно высок, но Очень высок, но только в пределах Уровень защиты<br />
уровень защиты только в<br />
отношении<br />
известных угроз<br />
существующих представлений о<br />
природе угроз и возможностях их<br />
проявления<br />
гарантированно очень<br />
высок<br />
Необходимые Наличие методов и 1. Наличие перечня и характеристик Наличие защищенных<br />
условия<br />
реализации<br />
средств реализации полного множества<br />
потенциально возможных угроз<br />
информационных<br />
технологий<br />
2. Развитый арсенал методов и<br />
средств защиты<br />
3. Возможность влиять на<br />
архитектуру ИС и технологию<br />
обработки информации<br />
Ресурсоемкость<br />
Рекомендации по<br />
применению<br />
Незначительная по<br />
сравнению с<br />
другими<br />
стратегиями<br />
Невысокая степень<br />
секретности<br />
защищаемой<br />
информации и не<br />
очень большие<br />
ожидаемые потери<br />
Значительная (с ростом требований<br />
по защите растет по экспоненте)<br />
Достаточно высокая степень<br />
секретности защищаемой<br />
информации и возможность<br />
значительных потерь при<br />
нарушении защиты<br />
1. Высокая в плане<br />
капитальных затрат<br />
2. Незначительная в каждом<br />
конкретном случае<br />
при наличии<br />
унифицированной<br />
защищенной ИТ<br />
Перспективная<br />
129
9.3. Этапы построения КЗИ<br />
для различных стратегий<br />
Наименование<br />
этапов<br />
построения<br />
Стратегии комплексной защиты информации<br />
Оборонительная Наступательная Упреждающая<br />
Формирование р<br />
1. Структурированная ур р<br />
Защищенная щ информационная<br />
среды<br />
защиты<br />
Анализ средств<br />
защиты<br />
архитектура ИС<br />
2. Структурированная<br />
технология обработки<br />
ЗИ<br />
3. Четкая организация работ<br />
по защите<br />
1. Представление организационной структуры ИС в виде<br />
графа, узлы – типовые структурные компоненты, а дуги –<br />
взаимосвязи между компонентами<br />
технология в<br />
унифицированном<br />
исполнении<br />
2. Представление технологии обработки б ЗИ в виде строго<br />
определенной схемы<br />
3. Определение параметров ЗИ и условий ее обработки<br />
Оценка<br />
уязвимости<br />
1. Определение значений вероятности нарушения защиты<br />
информации в условиях ее обработки<br />
информации 2. Оценка размеров возможного ущерба при нарушении<br />
защиты<br />
Определение<br />
требований к<br />
Определение вероятности нарушения защиты информации, которая должна быть обеспечена<br />
при обработке защищаемой информации<br />
защите<br />
Построение<br />
системы<br />
комплексной<br />
защиты<br />
Определение технических<br />
средств, которые должны<br />
быть использованы при<br />
обработке ЗИ Выбор типового варианта или<br />
проектирование<br />
индивидуальной системы<br />
КЗИ<br />
Определение механизмов<br />
защиты, которые должны<br />
быть задействованы при<br />
создании КЗИ<br />
Требования<br />
к среде<br />
Определяется в зависимости от<br />
требований к защите<br />
Реализуется на базе<br />
унифицированной<br />
защиты<br />
информации<br />
защищенной ИТ<br />
130
Принципы построения КЗИ<br />
1. Простота механизма защиты<br />
2. Постоянство защиты<br />
3. Полнота контроля<br />
4. Открытость проектирования<br />
5. Идентификация<br />
6. Разделение полномочий<br />
7. Минимизация полномочий<br />
131
8. Надежность<br />
9. Максимальная обособленность<br />
10. Защита памяти<br />
11. Непрерывность<br />
12. Гибкость<br />
13. Неизбежность наказания нарушений<br />
14. Экономичность<br />
15. Специализированность<br />
132
9.4. Структура КЗИ<br />
Информация<br />
Документ<br />
Режим<br />
Программа<br />
Аппарат<br />
Охрана<br />
Техника<br />
Инженерные<br />
сооружения<br />
133
9.5. Основные характеристики КЗИ<br />
<br />
<br />
<br />
Надежность<br />
эшелонированность, многоуровневость<br />
Отказоустойчивость<br />
минимизация последствий отказов рубежей<br />
защиты<br />
Равнопрочность<br />
нарушитель должен преодолевать рубежи<br />
защиты с одинаковой трудностью, независимо<br />
от направления атаки<br />
134
9.6. Этапы разработки КЗИ<br />
1. Анализ<br />
конфиденциальности<br />
10. Проверка и оценка<br />
принятых решений по ЗИ<br />
2. Анализ<br />
уязвимости<br />
9. Создание условий<br />
необходимых для ЗИ<br />
3. Анализ ресурсов<br />
защиты<br />
Анализ состояния<br />
уточнение<br />
8. Реализация<br />
требований<br />
4. Оценка<br />
выборки мер защиты<br />
возможности<br />
технической защиты<br />
7. Распределение<br />
ответственности за защиту<br />
6. Оценка возможности<br />
организационной защиты<br />
5. Оценка<br />
возможности<br />
программной<br />
защиты<br />
135
Этапы разработки КЗИ<br />
VII.<br />
осуществление<br />
контроля<br />
целостности и<br />
управление<br />
системой защиты<br />
VI. Внедрение и<br />
организация<br />
использования<br />
выбранных мер,<br />
способов и<br />
средств<br />
V.<br />
защиты<br />
I. Определение е е е информации,<br />
подлежащей защите<br />
II.<br />
Выявление<br />
полного<br />
множества угроз и<br />
Постоянный<br />
критериев утечки<br />
анализ и<br />
информации<br />
уточнение<br />
требований к III. Проведение оценки<br />
КЗИ уязвимости и рисков<br />
информации по<br />
имеющимся<br />
угрозам<br />
Осуществление<br />
выбора средств защиты<br />
информации и их<br />
характеристик<br />
IV.<br />
Определение<br />
требований к<br />
комплексной<br />
защите<br />
и каналам<br />
утечки<br />
136
10. ДОКУМЕНТ<br />
КОНФИДЕНЦИАЛЬНЫЙ<br />
137
10.1. Безопасность<br />
ценных информационных ресурсов<br />
Цель ИБ – безопасность информационных<br />
ресурсов в любой момент времени<br />
в любой обстановке.<br />
Первоначально всегда необходимо решить<br />
следующие вопросы:<br />
Что защищать?<br />
Почему защищать?<br />
От кого защищать?<br />
Как защищать?<br />
138
Ранее главные опасности:<br />
– утрата конфиденциального документа;<br />
– разглашение конфиденциальных сведений;<br />
– утечка по техническим каналам.<br />
В настоящее время главные опасности:<br />
– незаконное тайное оперирование<br />
электронными документами без кражи из<br />
БД;<br />
незаконное использование<br />
информационных ресурсов для извлечения<br />
материальной выгоды.<br />
139
Архитектура систем защиты информации<br />
– Электронные информационные системы;<br />
– Весь комплекс управления предприятием<br />
в единстве его функциональных и структурных<br />
систем;<br />
– Традиционные документационные процессы.<br />
Обязательные элементы СЗИ:<br />
правовые;<br />
организационные;<br />
инженерно-технические;<br />
программно-аппаратные;<br />
аппаратные;<br />
криптографические.<br />
140
10.2. Критерии ценности информации<br />
Виды ценной информации:<br />
1. Техническая и технологическая:<br />
– химическая формула;<br />
– рецепт;<br />
– результат испытаний;<br />
– данные контроля качества;<br />
– методы изготовления продукции;<br />
– производственные показатели.<br />
141
2. Деловая:<br />
управленческие решения;<br />
методы реализации функций;<br />
стоимостные показатели;<br />
результаты исследования рынка;<br />
списки клиентов;<br />
экономические прогнозы.<br />
142
Основные направления формирования<br />
ценной информации<br />
1. Управление предприятием<br />
2. Прогнозирование и планирование<br />
3. Финансовая деятельность<br />
4. Производственная деятельность<br />
5. Торговая деятельность<br />
6. Переговоры и совещания по направлениям<br />
деятельности<br />
143
7. Формирование ценовой политики<br />
8. Формирование состава клиентов,<br />
компаньонов и т.д.<br />
9. Изучение направлений интересов конкурентов<br />
10. Участие в торгах и аукционах<br />
11. Научная и исследовательская деятельность<br />
12. Использование новых технологий<br />
13. Управление персоналом<br />
14. Организация безопасности предприятия<br />
144
10.3. Выявление<br />
конфиденциальных сведений<br />
Основополагающая часть системы комплексной<br />
защиты информации – процесс выявления и<br />
регламентации состава конфиденциальной<br />
информации.<br />
Критерии анализа информационных ресурсов:<br />
степень заинтересованности конкурентов;<br />
степень ценности (стоимостной, правовой<br />
аспект).<br />
145
Предпосылки отнесения информации к<br />
конфиденциальным сведениям<br />
1. Не отражает негативные стороны<br />
деятельности фирмы (нарушение<br />
законодательства и фальсификацию<br />
финансовой деятельности с целью неуплаты<br />
налогов);<br />
2. Не общедоступна и не общеизвестна;<br />
146
3. Возникновение или получение информации<br />
законно и связано с расходованием<br />
материального, финансового<br />
и интеллектуального потенциала;<br />
4. Персонал знает о ценности информации<br />
и обучен правилам работы с ней;<br />
5. Предприниматель выполняет реальные<br />
действия по защите конфиденциальной<br />
информации.<br />
147
10.4. Перечень<br />
конфиденциальных сведений<br />
Перечень – классифицированный список<br />
типовой и конкретно ценной информации о<br />
выполняемых работах, производимой<br />
продукции, научных и деловых идеях,<br />
технологических новшествах.<br />
148
Перечень конфиденциальных сведений:<br />
закрепляет факт отнесения сведений<br />
к защищаемой информации;<br />
;<br />
определяет срок, период недоступности<br />
этих сведений,<br />
уровень конфиденциальности ос (гриф);<br />
р список должностей, которым дано право<br />
использовать эти сведения в работе.<br />
149
10.5. Документирование<br />
конфиденциальных сведений<br />
Основные отличия документированных<br />
конфиденциальных сведений:<br />
1. обязательность получения разрешения на<br />
документирование конфиденциальной<br />
информации от полномочного руководителя; ;<br />
2. установления грифа (уровня)<br />
конфиденциальности сведений, подлежащих<br />
включению в документ;<br />
150
3. оформление и учет носителя для<br />
документирования, выделенного комплекса<br />
конфиденциальных сведений;<br />
;<br />
4. учет подготовленного черновика документа;<br />
5. составление черновика и вариантов текста<br />
документа;<br />
6. получение разрешения на изготовление<br />
документа от полномочного руководителя;<br />
7. изготовление проекта конфиденциального<br />
документа;<br />
8. издание конфиденциального документа.<br />
151
Угрозы<br />
конфиденциальным документам<br />
1. Документирование на случайном носителе;<br />
2. Подготовка к изданию документа, не обоснованная<br />
деловой необходимостью<br />
или не разрешенного документирования;<br />
3. Включение в документ избыточной информации;<br />
4. Случайное (умышленное) занижение грифа<br />
конфиденциальности;<br />
152
5. Изготовление документа в условиях, не<br />
гарантирующих конфиденциальности<br />
обрабатываемой информации;<br />
6. Утеря оригинала, черновика, варианта<br />
или редакции документа;<br />
7. Попытка подмены утраченного материала;<br />
8. Сообщение содержимого проекта документа<br />
постороннему лицу;<br />
9. Несанкционированное копирование;<br />
10.Утечка информации по техническим каналам;<br />
11.Ошибочные действия пользователей.<br />
153
10.6. Носители<br />
конфиденциальных сведений<br />
Носители<br />
конфиденциальных<br />
сведений<br />
Традиционные текстовые<br />
Чертежно-графические<br />
Машиночитаемые документы<br />
Аудио и видео документы<br />
Фотодокументы<br />
154
10.7. Задачи учета<br />
конфиденциальных документов<br />
1. Закрепление факта присвоения носителю<br />
категории ограничения доступа;<br />
2. Присвоение носителю учетного номера<br />
и включение его в справочно-<br />
информационный банк для обеспечения<br />
контроля за использованием и проверки<br />
наличия;<br />
155
3. Документирование фактов перемещения<br />
носителей между руководителями<br />
и сотрудниками;<br />
4. Закрепление персональной<br />
ответственности за сохранность<br />
носителя;<br />
5. Контроль работы исполнителей<br />
над документами и соере своевременноее уничтожение при потере практической<br />
ценности.<br />
156
10.8. Конфиденциальные документы:<br />
состав и период нахождения документов в<br />
делах<br />
Конфиденциальный документ – необходимым образом<br />
оформленный носитель документированной<br />
информации, содержащий сведения ограниченного<br />
доступа или использования, которые составляют<br />
интеллектуальную собственность юридического<br />
(физического) лица.<br />
Периоды нахождения<br />
конфиденциальных документов в делах:<br />
При сроке от 1 до 3 лет кратковременныйко ре е При сроке более 3 лет долговременный<br />
157
10.9. Жизненный цикл<br />
конфиденциального документа<br />
замысел<br />
черно овик<br />
белов<br />
ик вик<br />
белови<br />
беловик<br />
№<br />
Д<br />
под.,<br />
пакет<br />
Д№ 2<br />
Дрез зол.<br />
рук.<br />
Дотм м. об<br />
испо л.<br />
анения<br />
Дела<br />
срок хр<br />
архив<br />
уничтож жение<br />
сжигание<br />
Перечень<br />
размнож.<br />
замысел<br />
Письменное<br />
распоряжение<br />
руководства<br />
№<br />
чернов вик<br />
№<br />
???????<br />
????????<br />
уничтожение<br />
белови ик<br />
беловик<br />
беловик<br />
Спец.урна 1квар.<br />
Сопроводительное письмо<br />
№<br />
Д<br />
под., №<br />
размнож.<br />
пакет<br />
Д № 2<br />
размнож.<br />
ук.<br />
Д №,<br />
резол. р<br />
Письменное<br />
разрешение<br />
Дотм. об<br />
испол.<br />
ения<br />
Дела<br />
срок хране<br />
?????????<br />
?????????<br />
уничтожение<br />
сжигание<br />
архив<br />
ПДЭК<br />
уничтоже ение<br />
ПДЭК<br />
сжигание<br />
Проверка наличия: ежедневный учет; квартальное движение; годовое наличие<br />
Проверка вне плана: отпуск, болезнь, командирован, смена исполнителя<br />
158<br />
(ответственного лица), утрата или повреждение оттисков печати.
Документированная система защиты<br />
Гражданский кодекс<br />
ФЗ «Об информации, информатизации и<br />
защите информации»<br />
Уголовный кодекс<br />
Положение о СФЗ<br />
Концепция ИБ<br />
ФЗ «О гостайне» «О комм. тайне»<br />
Должностные<br />
инструкции<br />
План работы<br />
СФЗ<br />
Инструкция по<br />
пропускному и<br />
внутри<br />
объектовому<br />
режиму<br />
Положение об ОЗИ<br />
Должностные<br />
инструкции<br />
План работы<br />
ОЗИ<br />
Инструкция по<br />
вскрытию ОЗИ<br />
Инструкция по<br />
пожару и ЧС<br />
Регламент ????? ИБ<br />
Профиль защиты<br />
Инструкция по Инструкция по Инструкция по<br />
пользованию обработке и оформлению<br />
междугородной хранению КИ допуска к КТ<br />
Инструкция по<br />
пользованию<br />
сотовой связью<br />
Инструкция по<br />
работе в К-сети<br />
и в Интернет<br />
Инструкция по<br />
использованию<br />
ПВЭМ<br />
Инструкция<br />
№0126<br />
Номенклатура<br />
должностей на<br />
допуск к КТ<br />
Номенклатура<br />
должностей на<br />
допуск к ГТ<br />
Инструкция<br />
№1050<br />
Номенклатура<br />
дел и<br />
документов КТ<br />
Номенклатура<br />
дел и<br />
документов ГТ<br />
Инструкция по<br />
приему<br />
иноделегаций<br />
Инструкция по<br />
выезду за<br />
границу<br />
Положение о ПДЭК<br />
Перечень<br />
должностных<br />
лиц,<br />
наделяемых<br />
полномочиями<br />
Перечень<br />
конфиденциаль<br />
ных сведений<br />
Справка о<br />
допуске<br />
Предписание<br />
Договор<br />
Регистр.<br />
анкета<br />
Анкета<br />
Список<br />
Карточка<br />
Порядок<br />
определения<br />
размеров<br />
ущерба<br />
Порядок<br />
определения<br />
сроков<br />
хранения<br />
Журналы и книги учета и контроля<br />
159
11. РЕЖИМ <br />
ОСНОВА<br />
О ОБЕСПЕЧЕНИЯ<br />
КОМПЛЕКСНОЙ<br />
ЗАЩИТЫ<br />
ИНФОРМАЦИИ<br />
160
11.1. Разработка<br />
Политики безопасности<br />
«Политика безопасности информации» <br />
совокупность нормативных документов,<br />
определяющих (или устанавливающих) ) порядок<br />
обеспечения безопасности информации фр<br />
на<br />
конкретном предприятии, а также выдвигающих<br />
требования по поддержанию подобного порядка.<br />
161
Цели Политики безопасности:<br />
формирование системы взглядов на проблему<br />
обеспечения е е безопасности ос информации и пути<br />
ее решения с учетом современных тенденций<br />
развития технологий и методов защиты<br />
информации;<br />
формулирование рекомендаций к повышению<br />
степени защищенности информационной<br />
системы;<br />
выработка общих требований к средствам<br />
защиты информации.<br />
162
Уровни Политики<br />
безопасности информации<br />
Концепция информационной безопасности<br />
Определяет цели и задачи защиты<br />
информации<br />
1 уровень<br />
стратегический<br />
Регламент обеспечения безопасности<br />
информации<br />
Определяет организационные меры<br />
по обеспечению безопасности информации<br />
Профиль защиты<br />
Определяет требования<br />
к средствам защиты<br />
2 уровень<br />
оперативный<br />
Инструкция<br />
Руково- Техниче- Задания по Техничедство<br />
ские безопасности<br />
ское<br />
Регламенты<br />
задание<br />
3 уровень<br />
тактический<br />
163
11.2. Разработка<br />
Концепции безопасности информации<br />
1. Определение общих положений Концепции<br />
2. Уяснение основных направлений<br />
обеспечения безопасности информации и<br />
описание требований к безопасности<br />
информации<br />
3. Разработка специальных глав Концепции<br />
164
11.3. Разработка Регламента<br />
обеспечения безопасности информации<br />
1. Подготовка к разработке Регламента<br />
2. Определение общих положений Регламента<br />
3. Определение обязанностей персонала по<br />
обеспечению безопасности информации<br />
4. Определение правил использования<br />
компьютеров и информационных систем<br />
165
Разделы Профиля защиты:<br />
«Введение ПЗ»;<br />
«Описание О Объекта Оценки»;<br />
«Среда безопасности ОО».<br />
«Цели безопасности»;<br />
«Требования р безопасности ИТ»; ;<br />
«Обоснование».<br />
166
11.4. Разработка Профиля защиты<br />
Профиль защиты включает:<br />
формулировку р у необходимости ИБ; ;<br />
описание среды, в которой находится КИС;<br />
описание предположений о существующем<br />
состоянии безопасности;<br />
описание политики безопасности, которая<br />
должна выполняться;<br />
описание целей безопасности;<br />
функциональные требования к безопасности<br />
и требования доверия к безопасности;<br />
обоснование достаточности функциональных<br />
требований и требований доверия к безопасности.<br />
167
Роль и место целей безопасности<br />
АСПЕКТЫ СРЕДЫ БЕЗОПАСНОСТИ КИС<br />
Угрозы<br />
Политика<br />
безопасности<br />
Предположения<br />
безопасности<br />
Цели безопасности<br />
Для АИС<br />
Для среды<br />
функционирования<br />
Для АИС<br />
Для среды<br />
функционирования<br />
Не ИТ-требования<br />
безопасности<br />
Требования безопасности к СОБИ<br />
168
Взаимосвязь основных и дополнительных ФТБ<br />
Цели безопасности для АИС РСА<br />
Основные ФТБ<br />
удовлетворяют<br />
косвенно<br />
способствует<br />
удовлетворению<br />
способствует<br />
выполнению<br />
Поддерживающие ФТБ<br />
169
12. СИСТЕМА<br />
ФИЗИЧЕСКОЙ<br />
ЗАЩИТЫ<br />
170
12.1. 1 Система физической защиты <br />
типовые задачи и способы ее реализации<br />
Система физической защиты (СФЗ) –<br />
совокупность людей, процедур и<br />
оборудования защищающих щ щ имущество<br />
(объекты) от хищений, диверсий и иных<br />
неправомерных действий.<br />
171
Типовые задачи СФЗ:<br />
предотвращение диверсий, направленных<br />
на вывод из строя оборудования;<br />
предотвращение хищений материальных<br />
средств, имущества либо информации;<br />
защита сотрудников объекта.<br />
Способы организации СФЗ:<br />
сдерживание;<br />
др ;<br />
обнаружение, задержка, реагирование –<br />
триединая задача эффективной СФЗ.<br />
172
Подсистемы СФЗ<br />
СФЗ<br />
Функции<br />
Обнаружение Задержание Реагирование<br />
Восприятие<br />
признаков<br />
вторжения<br />
Прерывание<br />
D – датчик<br />
Получение<br />
сигнала<br />
тревоги от D<br />
Препятствия<br />
Развертывание<br />
сил<br />
реагирования<br />
Подсистемы<br />
Оценка<br />
сигнала<br />
тревоги<br />
Связь<br />
с силами<br />
реагирования<br />
Силы охраны<br />
173
Связь между функциями СФЗ<br />
Время решения задачи нарушителем<br />
Время выполнения ОЗР<br />
Нач чало акц ции<br />
Обнаружение<br />
Задержка<br />
Сигна ал тревог ги<br />
оценка<br />
Реагирование<br />
Пр рерывани ие<br />
дей йствий<br />
нар рушител ля<br />
Выполнен<br />
ние задач чи<br />
н арушите елем<br />
Т о Т А Т прер Т с<br />
Время<br />
Т о – время срабатывания датчика<br />
Т А – время принятия решения об отражении акции атаки<br />
Т прер – время прерывания вторжения<br />
Т с – время совершения акции нарушителем<br />
174
Сдерживание<br />
др<br />
Сдерживание – реализация мер,<br />
воспринимаемых потенциальным нарушителем<br />
как труднопреодолимые, устрашающие<br />
(предупреждающие) и превращающие объект в<br />
непривлекательную цель.<br />
Результат сдерживания – нарушитель<br />
прекращает нападение, лучше если не<br />
предпринимает вовсе.<br />
175
Обнаружение<br />
Обнаружение – выявление скрытой или<br />
открытой акции нарушителя по проникновению<br />
в пространство объекта.<br />
Показатели эффективности обнаружения:<br />
вероятность выявления акции;<br />
время оценивания акции;<br />
время передачи сообщения об акции;<br />
частота ложных тревог.<br />
176
Подсистемы обнаружения<br />
Срабатывание<br />
датчика<br />
Инициализация<br />
сигнала тревоги<br />
Получение<br />
сигнала от<br />
датчика<br />
Оценка<br />
сигнала<br />
тревоги<br />
Связь времени оценки и вероятности обнаружения:<br />
Вероят тность обнаруж<br />
жения<br />
Ро<br />
1<br />
Рсрабат. ≠ 1<br />
177<br />
Время оценки<br />
to t1 t2 t3 t оцен
Задержка<br />
Задержка – замедление продвижения<br />
нарушителя к цели.<br />
Путями (способами) являются:<br />
Физические барьеры, препятствия;<br />
Замки;<br />
Персонал охраны (постоянной<br />
готовности, ждущий режим)<br />
Показатель эффективности задержки –<br />
общее время преодоления каждого<br />
элемента задержки после обнаружения.<br />
178
Реагирование<br />
Реагирование – действия сил защиты по<br />
воспрепятствованию успеху нарушителя,<br />
прерывание действий нарушителя.<br />
Показатели эффективности реагирования:<br />
Время между получением информации об<br />
обнаружении и прерывание акции<br />
нарушителя;<br />
Вероятность своевременного<br />
развертывания сил реагирования.<br />
179
Подсистемы реагирования<br />
Передача<br />
сообщения о<br />
нападении<br />
Развертывание<br />
сил<br />
реагирования<br />
Прерывание<br />
попытки<br />
нападения<br />
1<br />
спешной<br />
щения<br />
тность ус<br />
ачи сообщ<br />
Вероят<br />
переда<br />
Вторая передача<br />
Уточнение<br />
Первая передача<br />
180
Улучшение эффективности СФЗ<br />
Действия T min (c) P ND (P D )<br />
Преодолеть забор 6 1,0(0,0) P 1 =1- (1*<br />
Пройти наружную дверь 84 0,9(0,1)<br />
0,9*0,7*<br />
0,2)=<br />
Пройти стену 120 0,7(0,3) 1-0,63= 0,3<br />
Пройти внутреннюю дверь 84 0,2(0,8) T R =114 c.<br />
Сломать сервер 30 1,0(0,0) T G=90 c.<br />
Действия T min (c) P ND (P D )<br />
Преодолеть забор 6 1,0(0,0)<br />
Пройти наружную дверь 84 02(08) 0,2(0,8)<br />
Пройти стену 120 0,7(0,3)<br />
Пройти внутреннюю дверь 84 09(01) 0,9(0,1)<br />
Сломать сервер 30 1,0(0,0)<br />
P 1 =1- (1*<br />
0,2*0,7*0,9)<br />
=1-0,13<br />
= 0,874<br />
T R =50 c.<br />
T G =40 c.<br />
181
T<br />
R<br />
m<br />
T<br />
ik<br />
i<br />
<br />
T<br />
G<br />
P 1<br />
1<br />
k 1<br />
1<br />
<br />
ik<br />
<br />
P N Di<br />
m – общее число элементов задержки по пути<br />
k – точки, где T R >T G<br />
T i – время задержки i-го элемента<br />
P NDi - вероятность, того, что i-ый элемент не обнаружил<br />
D i<br />
нарушителя<br />
182
Диаграмма последовательности действий<br />
нарушителя<br />
Внешняя<br />
зона<br />
Зона ограниченного допуска<br />
Защищенная зона<br />
Контролируемое ру здание<br />
Контролируемая комната<br />
Ограничение цели<br />
Цель<br />
вторж жение<br />
поб бег<br />
Внешняя зона<br />
Зона ограниченного доступа<br />
Защищенная зона<br />
Контролируемое ру здание<br />
Контролируемая комната<br />
Контролируемое помещение<br />
Цель<br />
Физические<br />
зоны<br />
Уровень<br />
защиты<br />
Сегмент<br />
пути<br />
Элемент защиты<br />
183<br />
(пути) датчик
12.2. 2 Силы реагирования<br />
Комплектование охраны<br />
Организационная структура и численность<br />
подразделений ведомственной охраны,<br />
осуществляющих защиту объектов, определяются в<br />
зависимости от:<br />
особенностей охраняемого объекта,<br />
степени оборудования их инженерно-<br />
техническими средствами защиты,<br />
а также иных условий, связанных с обеспечением<br />
надежной защиты объектов.<br />
184
Организация<br />
караульной службы<br />
Караул вооруженное подразделение,<br />
назначенное для выполнения боевой задачи по<br />
охране и обороне объектов, их зданий, строений,<br />
сооружений, , прилегающих к ним территорий р и<br />
акваторий, транспортных средств, грузов, в том<br />
числе при их транспортировке, денежных средств<br />
и иного имущества, а также для обеспечения<br />
установленного на объектах пропускного и<br />
внутриобъектового режима.<br />
185
Пост все порученное для охраны и обороны<br />
постовому, а также место или участок местности,<br />
на котором он выполняет свои обязанности.<br />
Посты подразделяются:<br />
по месту расположения <br />
внутренние<br />
наружные<br />
по характеру несения службы <br />
подвижные<br />
стационарные<br />
по времени действия <br />
постоянные<br />
временные<br />
186
12.3. Инженерно-технические<br />
средства охраны<br />
К техническим средствам охраны относятся:<br />
системы охранной сигнализации (СОС)<br />
периметра;<br />
системы охранной сигнализации зданий<br />
и сооружений;<br />
системы контроля и управления доступом<br />
(СКУД);<br />
системы телевизионного наблюдения<br />
(СТН);<br />
системы охранного освещения (СОО);<br />
системы связи и оповещения (ССО).<br />
187
К инженерным средствам охраны относятся:<br />
ограждение периметра объекта охраны<br />
и внутренних зон ограниченного доступа;<br />
контрольно-пропускные пункты (КПП)<br />
с соответствующим досмотровым<br />
оборудованием;<br />
въездные ворота, калитки, шлагбаумы.<br />
188
13. МЕЖДУНАРОДНЫЙ<br />
СТАНДАРТ<br />
БЕЗОПАСНОСТИ<br />
ISO/IEC 17799<br />
189
Основные цели и задачи<br />
стандарта ISO 17799<br />
Формирование в мире единого подхода<br />
к системам управления ИБ уровня<br />
корпорации;<br />
Структура общих требований ИБ;<br />
Внедрение принципов ИБ в<br />
организационную<br />
структуру уру компании; ;<br />
Разработка и внедрение эффективной<br />
политики безопасности.<br />
190
Преимущества ISO 17799<br />
Международное признание;<br />
Отношение бизнес-партнеров;<br />
Управление информационной<br />
безопасностью корпорации;<br />
Повышение защищенности<br />
информационной<br />
системы;<br />
Эффективная политика информационной<br />
безопасности.<br />
191
Содержание стандарта<br />
1. Политика безопасности;<br />
2. Организационные меры<br />
по обеспечению безопасности;<br />
3. Классификация и управление ресурсами;<br />
4. Безопасность персонала;<br />
192
5. Физическая безопасность;<br />
6. Управление коммуникациями и процессами;<br />
7. Контроль доступа;<br />
8. Разработка и техническая поддержка<br />
вычислительных систем;<br />
9. Управление инцидентами информационной<br />
безопасности;<br />
10. Управление непрерывностью рр бизнеса; ;<br />
11. Соответствие системы основным<br />
требованиям.<br />
193
14. АНАЛИЗ РИСКОВ<br />
КОРПОРАТИВНЫХ<br />
ИНФОРМАЦИОННЫХ<br />
СИСТЕМ<br />
194
14.1. 1 Основные этапы аудита ИБ<br />
Технологический аудит<br />
Аудит системы управления ИБ (ISO 17799)<br />
Анализ информационных рисков<br />
195
Анализ информационных рисков<br />
Целью анализа информационных рисков<br />
является разработка р экономически эффективной<br />
и обоснованной системы обеспечения<br />
информационной безопасности.<br />
Задачами являются:<br />
Комплексная оценка защищенности ИС;<br />
Оценка стоимости информации<br />
(потенциального ущерба);<br />
Оценка риска (вероятного р ущерба);<br />
)<br />
Разработка комплексной системы обеспечения<br />
ИБ в соответствии с оценками<br />
информационных рисков.<br />
196
14.2. Британский стандарт ISO 17799<br />
Организационные меры по обеспечению<br />
безопасности<br />
Классификация и управление ресурсами<br />
Безопасность персонала<br />
Физическая безопасность<br />
Управление коммуникациями и процессами<br />
Контроль доступа<br />
Разработка и техническая поддержка<br />
вычислительных систем<br />
Управление непрерывностью бизнеса<br />
Соответствие системы основным<br />
требованиям<br />
197
14.3. Германский стандарт BSI<br />
Методология управления ИБ<br />
Компоненты информационных<br />
технологий<br />
Каталоги угроз безопасности и контрмер<br />
198
14.4. ISO 27001<br />
Система управления информационной<br />
безопасностью (СУИБ)<br />
Обязанности руководства компании<br />
Внутренний аудит СУИБ<br />
Проверки СУИБ руководством компании<br />
Совершенствование СУИБ<br />
199
14.5. Стандарт ЦБ РФ обеспечение ИБ<br />
организаций банковской системы РФ<br />
Особенности стандарта:<br />
Бизнес ориентация стандарта;<br />
Ориентация на лучшие западные стандарты;<br />
Конфиденциальность, целостность,<br />
доступность;<br />
Анализ и управление рисками;<br />
Аудит безопасности;<br />
Модели зрелости процессов менеджмента<br />
ИБ;<br />
Менеджмент информационной<br />
безопасности.<br />
200
15. ПРОВЕДЕНИЕ<br />
КОМПЛЕКСНОГО<br />
ОБСЛЕДОВАНИЯ<br />
ЗАЩИЩЕННОСТИ ИС<br />
201
15.1. Цель проведения обследования<br />
(аудита)<br />
Методологическое обследование процессов,<br />
методов и средств обеспечения безопасности<br />
информации при выполнении информационной<br />
системой своего главного предназначения <br />
информационное обеспечение бизнеса.<br />
202
15.2. Стадии проведения обследования<br />
Сбор необходимых исходных данных и их<br />
предварительный анализ (стадия планирования);<br />
Оценка соответствия состояния защищенности<br />
ИС предъявляемым требованиям и стандартам<br />
(стадии моделирования, тестирования и анализа<br />
результатов);<br />
Формулирование рекомендаций по повышению<br />
безопасности информации в обследуемой ИС<br />
(стадии д разработки р предложений рд и<br />
документирования полученных результатов).<br />
203
15.3. Виды обследования<br />
Периоды жизненного цикла обследуемого объекта<br />
П ервичный<br />
Виды обследования<br />
(аудита)<br />
Тех хнический<br />
Ат ттестация<br />
Сюрвей<br />
Кон нтрольный<br />
Принятие решения о создании корпоративной ИС<br />
Определение требований к создаваемой корпоративной ИС<br />
Проектирование и ввод в эксплуатацию корпоративной ИС x x<br />
Штатная эксплуатация средств корпоративной ИС<br />
Ремонт (плановый и внеплановый), устранение неисправностей x x<br />
Нештатные ситуации, приводящие к ущербу x x<br />
Устранение последствий нештатных ситуаций<br />
Принятие решений о модернизации корпоративной ИС x x x<br />
Модернизация корпоративной ИС<br />
Эксплуатация модернизированной ИС<br />
Вывод из эксплуатации и замена корпоративной ИС<br />
x<br />
x<br />
x<br />
204<br />
x<br />
x<br />
x<br />
x
15.4. Анализ угроз безопасности<br />
информации<br />
ОБЪЕКТ ЗАЩИТЫ<br />
информационные ресурсы, содержащие сведения ограниченного доступа<br />
ЦЕЛЬ ИБ<br />
исключение нанесения материального, морального и иного<br />
ущерба собственникам информации в результате нарушения:<br />
конфиденциальности доступности целостности<br />
Хищение<br />
Блокирование<br />
Модификация<br />
Утрата<br />
Уничтожение<br />
Отрицание подлинности<br />
Угрозы информационной безопасности<br />
Навязывание ложной<br />
205
15.5. Состав работ<br />
по проведению аудита<br />
Планирование проведения обследования<br />
Проведение комплексного обследования<br />
Оценка эффективности существующей<br />
системы защиты ИС с применением<br />
специализированных инструментариев<br />
206