Logo GenDocs.ru


Поиск по сайту:  


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

содержание

1.doc

  1   2   3   4   5   6   7   8   9   ...   14
Реклама MarketGid:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Федеральное государственное образовательное учреждение

высшего профессионального образования

«СИБИРСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»


ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебное пособие

Красноярск 2007

Вайнштейн Юлия Владимировна, Демин Сергей Леонидович, Кирко Ирина Николаевна, Кучеров Михаил Михайлович, Сомова Марина Валериевна. Основы информационной безопасности: Учебн. пособие по дисциплине «Основы информационной безопасности» предназначено для студентов направления подготовки дипломированных специалистов 090100 – «Информационная безопасность».
ОГЛАВЛЕНИЕ


ПРЕДИСЛОВИЕ 8

^ ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ 10

1.1. Понятие информационной безопасности 10

1.2. Задача устойчивого развития в информационной сфере 12

1.3. Виды защищаемой информации в сфере государственного
и муниципального управления 14

1.4. Национальные интересы в информационной сфере и обеспечение их безопасности 19

Контрольные вопросы 20

^ ГЛАВА 2. ОСНОВЫ ПОЛЬЗОВАНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ 23

2.1. Перечень сведений конфиденциального характера 23

2.2. Правовые основы предоставления сведений
конфиденциального характера 26

Контрольные вопросы 29

^ ГЛАВА 3. ОСНОВНЫЕ ПОНЯТИЯ И ОБЩЕМЕТОДОЛОГИЧЕСКИЕ ПРИНЦИПЫ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 31

3.1. Управление и защита информации
в информационно-телекоммуникационных сетях 31

3.2. Контроль качества информации 32

3.3. Управление информационными ресурсами 33

3.3.1. Составляющие информационной базы 35

3.3.2. Элементы информации, требующие защиты 36

3.3.3. Классификационная политика в области информации 38

3.3.4. Организация и ответственность в области управления
информацией 39


3.3.5. Меры безопасности, поддерживающие управление информацией 40

3.3.6. Пример руководящих указаний по информационной безопасности 40

3.4. Качественное проектирование системы 42

3.5. Эффективное управление и контроль 43

3.6. Сети и безопасность рабочих станций 44

Контрольные вопросы 45

^ ГЛАВА 4. МЕХАНИЗМЫ РЕАЛИЗАЦИИ БЕЗОПАСНОСТИ 47

4.1. Источники угроз информационной безопасности 47

4.2. Сертификация: создание защищенной работы 49

Контрольные вопросы 54

^ ГЛАВА 5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ СФЕРЫ ГОСУДАРСТВА
В УСЛОВИЯХ ИНФОРМАЦИОННОЙ ВОЙНЫ 55


5.1. Основные направления обеспечения информационной безопасности 55

5.2. Отличия сети от вычислительного центра 56

5.3. Детали реализации 58

5.3.1. Контролируемый доступ к информационным системам 58

5.3.2. Контролируемая активность на файловом уровне 60

5.3.3. Контролируемая активность на уровне записей 60

5.3.4. Контролируемый доступ к сетевому трафику 61

5.3.5. Установление эффективной идентификации и аутентификации 62

5.3.6. Контролируемый доступ к сетевой инфраструктуре 64

5.3.7. Защита от неавторизованных модемных соединений 66

5.3.8. Контроль над распространением и утечкой информации 68

Контрольные вопросы 70

^ ГЛАВА 6. ОБЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 72

6.1. Характеристика эффективных стандартов по безопасности 72

6.1.1. Стандарты должны быть полными 73

6.1.2. Стандарты должны быть доступными 74

6.1.3. Стандарты должны быть полезными 75

6.1.4. Стандарты должны быть согласованными 76

6.1.5. Стандарты должны быть актуальными 77

6.1.6. Стандарты должны быть представлены в различных формах 78

6.2. Устная форма 79

Контрольные вопросы 79

^ ГЛАВА 7. РИСК РАБОТЫ НА ПЕРСОНАЛЬНОМ КОМПЬЮТЕРЕ 81

7.1. Определение персонального компьютера 81

7.1.1. Программно-аппаратные средства 82

7.2. Мощность персонального компьютера 82

7.3. Опасность для информации 83

7.4. Сетевая защита персонального компьютера 85

7.5. Планирование безопасной работы на персональном компьютере 86

7.5.1. Стандарты предприятия по использованию ПК 86

7.5.2. Практические меры безопасности для ПК 89

7.5.3. Безопасность и соединения 93

Контрольные вопросы 94

^ ГЛАВА 8. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ 95

8.1. Принципы инженерно-технической защиты информации 96

8.2. Основные методы защиты информации техническими средствами 99

8.3. Каналы утечки информации 105

8.4. Средства обеспечения информационной безопасности в компьютерных системах 106

8.4.1. Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-Н» 106

8.4.2. Обнаружитель подключения к LAN (локальной сети) FLUKE 108

8.4.3. Система защиты информации Secret Net 4.0 110

8.4.4. Электронный замок «Соболь-РСI» 113

8.4.5. Система защиты корпоративной информации Secret Disk Server 116

8.4.6. Система защиты конфиденциальной информации Secret Disk 118

8.4.7. Программно-аппаратный комплекс средств защиты «Аккорд-АМДЗ» 120

8.4.8. Аппаратно-программный комплекс IP Safe-PRO 122

8.4.9. Аппаратно-программный комплекс "КОНТИНЕНТ-К" 122

8.4.10. Кейс для транспортировки ноутбуков «ТЕНЬ К1» 124

8.4.11. Аппаратно – программная система криптографической защиты
сообщений «SX-1» 125


8.4.12. Межсетевой экран и шифратор IP-протоков 128

Контрольные вопросы 130

^ ГЛАВА 9. ОБЩАЯ ХАРАКТЕРИСТИКА
КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ 131


9.1. Сущность и задачи комплексной защиты информации 131

9.2. Стратегии комплексной защиты информации 131

9.3. Этапы построения КЗИ для различных стратегий 133

9.4. Структура КЗИ 136

9.5. Основные характеристики КЗИ 136

9.6. Этапы разработки КЗИ 137

Контрольные вопросы 137

^ ГЛАВА 10. ДОКУМЕНТ КОНФИДЕНЦИАЛЬНЫЙ 138

10.1. Безопасность ценных информационных ресурсов 138

10.2. Критерии ценности информации 140

10.3. Выявление конфиденциальных сведений 143

10.4. Перечень конфиденциальных сведений 145

10.5. Документирование конфиденциальных сведений 145

10.6. Носители конфиденциальных сведений 147

10.7. Задачи учета конфиденциальных документов 147

10.8. Конфиденциальные документы: состав и период нахождения
конфиденциальных документов в делах 149

Контрольные вопросы 151

^ ГЛАВА 11. РЕЖИМ  ОСНОВА ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ 152

11.1. Разработка Политики безопасности 152

11.2. Разработка Концепции безопасности информации 157

11.2.1. Определение общих положений Концепции 157

11.2.2. Уяснение основных направлений обеспечения безопасности
информации и описание требований к безопасности информации 158


11.2.3. Разработка специальных глав Концепции 159

11.3. Разработка Регламента обеспечения безопасности информации 159

11.3.1. Подготовка к разработке Регламента 159

11.3.2. Определение общих положений Регламента 159

11.3.3. Определение обязанностей
персонала по обеспечению безопасности информации 159


11.3.4. Определение правил
использования компьютеров и информационных систем 160


11.4. Разработка Профиля защиты 161

11.4.1. Раздел «Описание Объекта Оценки» 164

11.4.2. Раздел «Среда безопасности ОО» 165

11.4.3. Раздел «Цели безопасности» 165

11.4.4. Раздел «Требования безопасности ИТ» 166

11.4.4.5. Раздел «Обоснование» 167

Контрольные вопросы 168

^ ГЛАВА 12. СИСТЕМА ФИЗИЧЕСКОЙ ЗАЩИТЫ 169

12.1. Система физической защиты  типовые задачи и способы
ее реализации. Основные характеристики системы физической защиты 169

12.1.1. Сдерживание 169

12.1.2. Обнаружение 170

12.1.3. Задержка 171

12.1.4. Реагирование 171

12.1.5. Эшелонирование 172

12.1.6. Минимизация последствий отказов 172

12.1.7. Сбалансированная (равнопрочная) защита 172

12.1.8. Количественный и качественный анализ
системы физической защиты 173


12.1.9. Путь нарушителя 173

12.2. Силы реагирования. Общие положения 174

12.2.1. Комплектование охраны 175

12.2.2. Взаимодействие охраны и руководителей объектов 176

12.2.3. Обязанности и права работников ведомственной охраны 177

12.2.4. Организация караульной службы 179

12.2.5. Права и обязанности должностных лиц караула 185

12.2.6. Внутренний порядок в караулах 195

12.2.7. Пропускной режим 197

12.2.8. Работа бюро пропусков 198

12.2.9. Внутриобъектовый режим 200

12.3. Инженерно-технические средства охраны 201

12.3.1. Общие положения 201

12.3.2. Категорирование объектов охраны 201

12.3.3. Требования к ИТСО объекта и их элементам 202

12.3.4. Система сбора и обработки информации 203

12.3.5. Технические средства охраны 204

12.3.7. Электропитание оборудования
комплексной системы безопасности ПС 214


12.3.8. Общие эксплуатационные требования
к оборудованию комплексной системы безопасности 215


Контрольные вопросы 217

^ ГЛАВА 13. МЕЖДУНАРОДНЫЙ
СТАНДАРТ БЕЗОПАСНОСТИ ISO/IEC 17799 218


13.1. Общие положения 218

13.2. Основные направления политики
обеспечения информационной безопасности 219

13.3. Организационные меры по обеспечению безопасности 219

13.4. Задачи руководства организации
по обеспечению информационной безопасности 220

13.5. Координация вопросов,
связанных с информационной безопасностью 220

13.6. Процесс внедрения новой информационной системы 220

13.7. Распределение ответственности за обеспечение безопасности 221

13.8. Классификация и управление ресурсами 221

13.8.1. Инвентаризация ресурсов 221

13.8.2. Классификация информационных ресурсов 222

13.9. Безопасность персонала 222

13.9.1. Безопасность при выборе персонала 222

13.9.2. Безопасность в процессе работы сотрудника 223

13.9.3. Правила увольнения или смены должности сотрудника 223

13.10. Физическая безопасность 223

13.10.1. Безопасное уничтожение оборудования
при выведении из эксплуатации (списании) 223


13.10.2. Безопасность рабочего места 224

13.10.3. Управление коммуникациями и процессами 224

13.11. Защита от вредоносного ПО (вирусов, троянских коней) 225

13.12. Управление внутренними ресурсами 225

13.12.1. Резервное копирование информации 225

13.12.2. Запись действий операторов 226

13.12.3. Безопасность носителей данных 226

13.12.4. Контроль доступа 227

13.13. Мобильные компьютеры и пользователи 230

13.14. Разработка и техническая поддержка вычислительных систем
231

13.15. Соответствие системы основным требованиям 236

13.16. Служебные инструкции и ответственность 238

Контрольные вопросы 240

^ ГЛАВА 14. АНАЛИЗ РИСКОВ
КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 241


14.1. Основные этапы аудита ИБ 241

14.2. Британский стандарт ISO 17799: 243

14.3. Германский стандарт BSI 243

14.4. Сравнение подходов ISO 17799 и BSI 244

14.5. ISO 27001 245

14.6. Стандарт ЦБ РФ  обеспечение ИБ организаций банковской системы РФ 247

14.7. Оценка возможного ущерба (потерь) 255

Контрольные вопросы 260

^ ГЛАВА 15. ПРОВЕДЕНИЕ КОМПЛЕКСНОГО
ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС 261


15.1. Цель проведения обследования (аудита) 262

15.2. Стадии проведения обследования (аудита) 263

15.3. Виды обследования (аудита) 263

15.4. Анализ угроз безопасности информации 265

15.5. Состав работ по проведению аудита 265

15.5.1. Планирование проведения обследования 266

15.5.2. Проведение комплексного обследования 266

15.5.3. Оценка эффективности существующей системы защиты ИС
с применением специализированных инструментариев 266


Контрольные вопросы 267

^ ГЛОССАРИЙ ТЕРМИНОВ 267

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 276

ПРИЛОЖЕНИЕ А 281

ПРИЛОЖЕНИЕ Б 282

ПРИЛОЖЕНИЕ В 286

ПРЕДИСЛОВИЕ



Информация – основополагающий продукт социума. Ее актуальность и достоверность представляют собой основу прогрессивных социальных отношений. Информационные процессы пронизывают все стороны общественной жизни, в них находят свое выражение интересы широкого круга субъектов, функционирующих в среде государственного и муниципального управления (ГМУ).

Право человека и гражданина на информацию – одно из важнейших прав, закрепленных во Всеобщей Декларации прав человека. При этом в общественных отношениях существует такая сфера, имеющая социальную природу, как информация ограниченного доступа (тайна). Тайны, как элемент системы выживания и устойчивого развития, сопровождают человечество на всем пути его истории.

Определяемое государственной информационной политикой информационное взаимодействие является основой установления тех или иных взаимоотношений между властью и обществом. Тайны являются неотъемлемой составляющей общественной жизни, частью правовой системы и могут служить даже своеобразным мерилом для определения вида политического режима в государстве, ибо состояние защиты секретов отражает характер взаимоотношений общества и государства, демократизации государственной власти. Тоталитарному государству свойственно чрезмерное расширение объема сведений, относимых к информации с ограниченным доступом. С другой стороны, для демократического государства характерны акценты на защите прав человека, углублении правового регулирования отношений, связанных с охраной личной и семейной тайны и институтами профессиональных тайн. Особенно ярко это проявляется на уровне государственного и муниципального управления (ГМУ).

Неизбежная интеграция России в структуры европейского и мирового сообщества требует кардинального преобразования технологий управления и пользования информацией на всех уровнях и во всех ветвях власти Российской Федерации. Успех проводимых реформ принципиально будет зависеть от эффективности информатизации процесса ГМУ, эффективного использования информации ограниченного доступа. Когда постсоветский стиль управления станет достоянием истории, на смену руководителям, погруженным в текучку и сверхсекретность, придет менеджмент, инструментом которого станут технологии и системы ГМУ с рациональным разграничением доступа к информации, на основе баланса интересов личности, общества и государства в информационной сфере. Обобщение и систематизация научно-методических материалов для подготовки новой генерации государственных и муниципальных служащих, ориентированных на эффективное использование информационных ресурсов с ограниченным доступом, является задачей настоящего учебного пособия. При этом особое значение приобретает конфиденциальная информация, наиболее широко используемая сейчас, особенно в сфере муниципального управления.

Актуальность рассматриваемой темы обусловлена тем, что создание и развитие информационных технологий и систем является ключевой проблемой обеспечения устойчивого развития регионов и территорий местного самоуправления. Именно наличие необходимой и достаточной информации, качество ее обработки и защиты во многом обусловливают эффективность принятия и реализации управленческих решений в органах государственной и муниципальной власти.

Настоящее пособие предназначено для студентов направления подготовки 090100 – «Информационная безопасность», а также аспирантов и молодых специалистов, интересующихся вопросами защиты информации.

  1   2   3   4   5   6   7   8   9   ...   14

Реклама:





Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru