Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)
Доступные файлы (1):
1.doc | 2145kb. | 06.12.2011 11:19 | ![]() |
1.doc
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮФедеральное государственное образовательное учреждение
высшего профессионального образования
«СИБИРСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебное пособие
Красноярск 2007
Вайнштейн Юлия Владимировна, Демин Сергей Леонидович, Кирко Ирина Николаевна, Кучеров Михаил Михайлович, Сомова Марина Валериевна. Основы информационной безопасности: Учебн. пособие по дисциплине «Основы информационной безопасности» предназначено для студентов направления подготовки дипломированных специалистов 090100 – «Информационная безопасность».
ОГЛАВЛЕНИЕ
ПРЕДИСЛОВИЕ 8
^
1.1. Понятие информационной безопасности 10
1.2. Задача устойчивого развития в информационной сфере 12
1.3. Виды защищаемой информации в сфере государственного
и муниципального управления 14
1.4. Национальные интересы в информационной сфере и обеспечение их безопасности 19
Контрольные вопросы 20
^
2.1. Перечень сведений конфиденциального характера 23
2.2. Правовые основы предоставления сведений
конфиденциального характера 26
Контрольные вопросы 29
^
3.1. Управление и защита информации
в информационно-телекоммуникационных сетях 31
3.2. Контроль качества информации 32
3.3. Управление информационными ресурсами 33
3.3.1. Составляющие информационной базы 35
3.3.2. Элементы информации, требующие защиты 36
3.3.3. Классификационная политика в области информации 38
3.3.4. Организация и ответственность в области управления
информацией 39
3.3.5. Меры безопасности, поддерживающие управление информацией 40
3.3.6. Пример руководящих указаний по информационной безопасности 40
3.4. Качественное проектирование системы 42
3.5. Эффективное управление и контроль 43
3.6. Сети и безопасность рабочих станций 44
Контрольные вопросы 45
^
4.1. Источники угроз информационной безопасности 47
4.2. Сертификация: создание защищенной работы 49
Контрольные вопросы 54
^
В УСЛОВИЯХ ИНФОРМАЦИОННОЙ ВОЙНЫ 55
5.1. Основные направления обеспечения информационной безопасности 55
5.2. Отличия сети от вычислительного центра 56
5.3. Детали реализации 58
5.3.1. Контролируемый доступ к информационным системам 58
5.3.2. Контролируемая активность на файловом уровне 60
5.3.3. Контролируемая активность на уровне записей 60
5.3.4. Контролируемый доступ к сетевому трафику 61
5.3.5. Установление эффективной идентификации и аутентификации 62
5.3.6. Контролируемый доступ к сетевой инфраструктуре 64
5.3.7. Защита от неавторизованных модемных соединений 66
5.3.8. Контроль над распространением и утечкой информации 68
Контрольные вопросы 70
^
6.1. Характеристика эффективных стандартов по безопасности 72
6.1.1. Стандарты должны быть полными 73
6.1.2. Стандарты должны быть доступными 74
6.1.3. Стандарты должны быть полезными 75
6.1.4. Стандарты должны быть согласованными 76
6.1.5. Стандарты должны быть актуальными 77
6.1.6. Стандарты должны быть представлены в различных формах 78
6.2. Устная форма 79
Контрольные вопросы 79
^
7.1. Определение персонального компьютера 81
7.1.1. Программно-аппаратные средства 82
7.2. Мощность персонального компьютера 82
7.3. Опасность для информации 83
7.4. Сетевая защита персонального компьютера 85
7.5. Планирование безопасной работы на персональном компьютере 86
7.5.1. Стандарты предприятия по использованию ПК 86
7.5.2. Практические меры безопасности для ПК 89
7.5.3. Безопасность и соединения 93
Контрольные вопросы 94
^
8.1. Принципы инженерно-технической защиты информации 96
8.2. Основные методы защиты информации техническими средствами 99
8.3. Каналы утечки информации 105
8.4. Средства обеспечения информационной безопасности в компьютерных системах 106
8.4.1. Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-Н» 106
8.4.2. Обнаружитель подключения к LAN (локальной сети) FLUKE 108
8.4.3. Система защиты информации Secret Net 4.0 110
8.4.4. Электронный замок «Соболь-РСI» 113
8.4.5. Система защиты корпоративной информации Secret Disk Server 116
8.4.6. Система защиты конфиденциальной информации Secret Disk 118
8.4.7. Программно-аппаратный комплекс средств защиты «Аккорд-АМДЗ» 120
8.4.8. Аппаратно-программный комплекс IP Safe-PRO 122
8.4.9. Аппаратно-программный комплекс "КОНТИНЕНТ-К" 122
8.4.10. Кейс для транспортировки ноутбуков «ТЕНЬ К1» 124
8.4.11. Аппаратно – программная система криптографической защиты
сообщений «SX-1» 125
8.4.12. Межсетевой экран и шифратор IP-протоков 128
Контрольные вопросы 130
^
КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ 131
9.1. Сущность и задачи комплексной защиты информации 131
9.2. Стратегии комплексной защиты информации 131
9.3. Этапы построения КЗИ для различных стратегий 133
9.4. Структура КЗИ 136
9.5. Основные характеристики КЗИ 136
9.6. Этапы разработки КЗИ 137
Контрольные вопросы 137
^
10.1. Безопасность ценных информационных ресурсов 138
10.2. Критерии ценности информации 140
10.3. Выявление конфиденциальных сведений 143
10.4. Перечень конфиденциальных сведений 145
10.5. Документирование конфиденциальных сведений 145
10.6. Носители конфиденциальных сведений 147
10.7. Задачи учета конфиденциальных документов 147
10.8. Конфиденциальные документы: состав и период нахождения
конфиденциальных документов в делах 149
Контрольные вопросы 151
^
11.1. Разработка Политики безопасности 152
11.2. Разработка Концепции безопасности информации 157
11.2.1. Определение общих положений Концепции 157
11.2.2. Уяснение основных направлений обеспечения безопасности
информации и описание требований к безопасности информации 158
11.2.3. Разработка специальных глав Концепции 159
11.3. Разработка Регламента обеспечения безопасности информации 159
11.3.1. Подготовка к разработке Регламента 159
11.3.2. Определение общих положений Регламента 159
11.3.3. Определение обязанностей
персонала по обеспечению безопасности информации 159
11.3.4. Определение правил
использования компьютеров и информационных систем 160
11.4. Разработка Профиля защиты 161
11.4.1. Раздел «Описание Объекта Оценки» 164
11.4.2. Раздел «Среда безопасности ОО» 165
11.4.3. Раздел «Цели безопасности» 165
11.4.4. Раздел «Требования безопасности ИТ» 166
11.4.4.5. Раздел «Обоснование» 167
Контрольные вопросы 168
^
12.1. Система физической защиты типовые задачи и способы
ее реализации. Основные характеристики системы физической защиты 169
12.1.1. Сдерживание 169
12.1.2. Обнаружение 170
12.1.3. Задержка 171
12.1.4. Реагирование 171
12.1.5. Эшелонирование 172
12.1.6. Минимизация последствий отказов 172
12.1.7. Сбалансированная (равнопрочная) защита 172
12.1.8. Количественный и качественный анализ
системы физической защиты 173
12.1.9. Путь нарушителя 173
12.2. Силы реагирования. Общие положения 174
12.2.1. Комплектование охраны 175
12.2.2. Взаимодействие охраны и руководителей объектов 176
12.2.3. Обязанности и права работников ведомственной охраны 177
12.2.4. Организация караульной службы 179
12.2.5. Права и обязанности должностных лиц караула 185
12.2.6. Внутренний порядок в караулах 195
12.2.7. Пропускной режим 197
12.2.8. Работа бюро пропусков 198
12.2.9. Внутриобъектовый режим 200
12.3. Инженерно-технические средства охраны 201
12.3.1. Общие положения 201
12.3.2. Категорирование объектов охраны 201
12.3.3. Требования к ИТСО объекта и их элементам 202
12.3.4. Система сбора и обработки информации 203
12.3.5. Технические средства охраны 204
12.3.7. Электропитание оборудования
комплексной системы безопасности ПС 214
12.3.8. Общие эксплуатационные требования
к оборудованию комплексной системы безопасности 215
Контрольные вопросы 217
^
СТАНДАРТ БЕЗОПАСНОСТИ ISO/IEC 17799 218
13.1. Общие положения 218
13.2. Основные направления политики
обеспечения информационной безопасности 219
13.3. Организационные меры по обеспечению безопасности 219
13.4. Задачи руководства организации
по обеспечению информационной безопасности 220
13.5. Координация вопросов,
связанных с информационной безопасностью 220
13.6. Процесс внедрения новой информационной системы 220
13.7. Распределение ответственности за обеспечение безопасности 221
13.8. Классификация и управление ресурсами 221
13.8.1. Инвентаризация ресурсов 221
13.8.2. Классификация информационных ресурсов 222
13.9. Безопасность персонала 222
13.9.1. Безопасность при выборе персонала 222
13.9.2. Безопасность в процессе работы сотрудника 223
13.9.3. Правила увольнения или смены должности сотрудника 223
13.10. Физическая безопасность 223
13.10.1. Безопасное уничтожение оборудования
при выведении из эксплуатации (списании) 223
13.10.2. Безопасность рабочего места 224
13.10.3. Управление коммуникациями и процессами 224
13.11. Защита от вредоносного ПО (вирусов, троянских коней) 225
13.12. Управление внутренними ресурсами 225
13.12.1. Резервное копирование информации 225
13.12.2. Запись действий операторов 226
13.12.3. Безопасность носителей данных 226
13.12.4. Контроль доступа 227
13.13. Мобильные компьютеры и пользователи 230
13.14. Разработка и техническая поддержка вычислительных систем
231
13.15. Соответствие системы основным требованиям 236
13.16. Служебные инструкции и ответственность 238
Контрольные вопросы 240
^
КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 241
14.1. Основные этапы аудита ИБ 241
14.2. Британский стандарт ISO 17799: 243
14.3. Германский стандарт BSI 243
14.4. Сравнение подходов ISO 17799 и BSI 244
14.5. ISO 27001 245
14.6. Стандарт ЦБ РФ обеспечение ИБ организаций банковской системы РФ 247
14.7. Оценка возможного ущерба (потерь) 255
Контрольные вопросы 260
^
ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС 261
15.1. Цель проведения обследования (аудита) 262
15.2. Стадии проведения обследования (аудита) 263
15.3. Виды обследования (аудита) 263
15.4. Анализ угроз безопасности информации 265
15.5. Состав работ по проведению аудита 265
15.5.1. Планирование проведения обследования 266
15.5.2. Проведение комплексного обследования 266
15.5.3. Оценка эффективности существующей системы защиты ИС
с применением специализированных инструментариев 266
Контрольные вопросы 267
^
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 276
ПРИЛОЖЕНИЕ А 281
ПРИЛОЖЕНИЕ Б 282
ПРИЛОЖЕНИЕ В 286
ПРЕДИСЛОВИЕ
Информация – основополагающий продукт социума. Ее актуальность и достоверность представляют собой основу прогрессивных социальных отношений. Информационные процессы пронизывают все стороны общественной жизни, в них находят свое выражение интересы широкого круга субъектов, функционирующих в среде государственного и муниципального управления (ГМУ).
Право человека и гражданина на информацию – одно из важнейших прав, закрепленных во Всеобщей Декларации прав человека. При этом в общественных отношениях существует такая сфера, имеющая социальную природу, как информация ограниченного доступа (тайна). Тайны, как элемент системы выживания и устойчивого развития, сопровождают человечество на всем пути его истории.
Определяемое государственной информационной политикой информационное взаимодействие является основой установления тех или иных взаимоотношений между властью и обществом. Тайны являются неотъемлемой составляющей общественной жизни, частью правовой системы и могут служить даже своеобразным мерилом для определения вида политического режима в государстве, ибо состояние защиты секретов отражает характер взаимоотношений общества и государства, демократизации государственной власти. Тоталитарному государству свойственно чрезмерное расширение объема сведений, относимых к информации с ограниченным доступом. С другой стороны, для демократического государства характерны акценты на защите прав человека, углублении правового регулирования отношений, связанных с охраной личной и семейной тайны и институтами профессиональных тайн. Особенно ярко это проявляется на уровне государственного и муниципального управления (ГМУ).
Неизбежная интеграция России в структуры европейского и мирового сообщества требует кардинального преобразования технологий управления и пользования информацией на всех уровнях и во всех ветвях власти Российской Федерации. Успех проводимых реформ принципиально будет зависеть от эффективности информатизации процесса ГМУ, эффективного использования информации ограниченного доступа. Когда постсоветский стиль управления станет достоянием истории, на смену руководителям, погруженным в текучку и сверхсекретность, придет менеджмент, инструментом которого станут технологии и системы ГМУ с рациональным разграничением доступа к информации, на основе баланса интересов личности, общества и государства в информационной сфере. Обобщение и систематизация научно-методических материалов для подготовки новой генерации государственных и муниципальных служащих, ориентированных на эффективное использование информационных ресурсов с ограниченным доступом, является задачей настоящего учебного пособия. При этом особое значение приобретает конфиденциальная информация, наиболее широко используемая сейчас, особенно в сфере муниципального управления.
Актуальность рассматриваемой темы обусловлена тем, что создание и развитие информационных технологий и систем является ключевой проблемой обеспечения устойчивого развития регионов и территорий местного самоуправления. Именно наличие необходимой и достаточной информации, качество ее обработки и защиты во многом обусловливают эффективность принятия и реализации управленческих решений в органах государственной и муниципальной власти.
Настоящее пособие предназначено для студентов направления подготовки 090100 – «Информационная безопасность», а также аспирантов и молодых специалистов, интересующихся вопросами защиты информации.
Скачать файл (2145 kb.)