Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

МОСКОВСКАЯ ФИНАНСОВО-ЮРИДИЧЕСКАЯ АКАДЕМИЯ

Основы

информационной

безопасности

Учебное пособие

Москва 2008

ББК Х404.3я7

А86

Учебное пособие рекомендовано кафедрой защиты информации.

Протокол заседания кафедры № 7 от 30 сентября 2007 г.

Рецензенты: зав. кафедрой, к. ф.-м. н. Локтев А.А.;

к. т. н. Гавриленко А.В.

Арутюнов В.В.

А86

Основы информационной безопасности: Учебное посо-

бие. — М.: МФА, 2008. — с.

Учебное пособие по дисциплине «Информационная безопас-

ность» подготовлено в соответствии с Государственным обра-

зовательным стандартом высшего профессионального обра-

зования по специальности “Организация и технология защиты

информации”

Содержание

Введение..............................................................................................................................5

Глава 1. Основные термины и определения

в области ИБ ................................................................................................................... 12

1.1. Содержание основных терминов ........................................................................ 12

1.2. Информация как защищаемый объект

и ценность информации ................................................................................................... 16

1.3. Классификация компьютерных преступлений .......................................... 22

Глава 2. Правовой уровень обеспечения ИБ .................................................... 28

2.1. Концептуальные правовые документы

в области защиты информации ................................................................................... 32

2.2. Основные федеральные законодательные

документы в сфере ИБ ....................................................................................................... 38

Глава 3. Административный уровень

обеспечения ИБ ............................................................................................................. 43

3.1. Концепция безопасности предприятия .......................................................... 43

3.2. Политика информационной безопасности

предприятия............................................................................................................................ 48

3.3. Стандарты в области разработки политики

безопасности и анализа рисков ................................................................................... 65

3.4. Инструментальные средства для анализа рисков

и управления рисками ....................................................................................................... 68

Глава 4. Процедурный уровень обеспечения ИБ ........................................... 75

4.1. Физические средства защиты............................................................................... 78

4.2. Вспомогательные группы процедурных мер

по обеспечению ИБ .............................................................................................................. 86

Глава 5. Программно-технический уровень обеспечения ИБ .................. 89

5.1. Идентификация и аутентификация .................................................................. 89

5.2. Парольная аутентификация .................................................................................. 99

5.3. Управление доступом к информации ............................................................104

5.4. Компьютерные вирусы...........................................................................................110

5.5. Протоколирование и аудит ..................................................................................120

5.6. Криптографические средства защиты

информации ..........................................................................................................................122

5.7. Экранирование ............................................................................................................138

5.8. Классификация автоматизированных систем

в Российской Федерации по уровню безопасности ........................................142

Глава 6. Проблемы информационной безопасности

в сетях ЭВМ ....................................................................................................................147

6.1. Сервисы безопасности сети .................................................................................148

6.2. Международные стандарты Х.800 и Х.509...................................................155

6.3. Основные проблемы разработки системы

защиты сети от НСД ..........................................................................................................160

6.4. Основные стадии работ по созданию системы

защиты информации ........................................................................................................167

Литература ....................................................................................................................171

Основные термины и определения ...................................................................174

Список использованных сокращений ...............................................................178

Введение

По сложившейся международной практике безопасности объектами за-

щиты с учетом их приоритетов являются:

1) личность;

2) информация;

3) материальные ценности.

Понятие «безопасная деятельность» любого предприятия или организа-

ции включает в себя:

1. Физическую безопасность, под которой понимается обеспечение за-

щиты от посягательств на жизнь персонала.

2. Экономическую безопасность.

3. Информационную безопасность.

4. Материальную безопасность, т.е. сохранение материальных ценно-

стей от различного рода посягательств, начиная от их краж и заканчивая

угрозами пожара и других стихийных бедствий.

На современном этапе развития общества все более возрастает роль

информационной сферы, в состав которой входит генерируемая в обществе

информация, информационная инфраструктура, субъекты, осуществляющие

сбор, формирование, распространение и использование информации, а также

системы регулирования возникающих при этом общественных отношений.

Информационная сфера, являясь системообразующим фактором жизни об-

щества, активно влияет на состояние политической, экономической, оборон-

ной и других составляющих безопасности Российской Федерации (РФ). При

этом все составляющие национальной безопасности РФ главным образом за-

висят от обеспечения информационной безопасности (ИБ), и в ходе развития

в стране технического прогресса эта зависимость будет усиливаться.

Все процессы в обществе, в том числе и в предпринимательской дея-

тельности, неразрывно связаны с их информационным обеспечением, роль

которого в наши дни стала определяющей. Поэтому решение прооблемы

безопасности как отдельных предприятий, так и страны в целом неотдели-

мо от ключевой задачи — решения проблемы ИБ.

В современных условиях развития страны, которые характеризуются пере-

ходом на рыночные отношения, появлением различных форм собственности,

расширением научно-технического и торгово-экономического сотрудничества

между различными предприятиями актуальное значение приобретают вопро-

сы оценки новых возникающих источников угроз безопасности коммерческой

информации. В настоящее время в рыночной экономике информация явля-

ется наиболее ценным товаром, подчиняющимся законам товарно-денежных

отношений. Неправомерное овладение чужими информационными ресурсами

с целью использования их в конкурентной борьбе — наиболее опасная форма

недобросовестной конкуренции, зачастую способная нанести предприятию

непоправимый ущерб и даже привести к его банкротству.

Так как любые процессы в обществе, в том числе и в предприниматель-

ской деятельности, связаны с их информационным обеспечением, решение

проблемы безопасности предприятия как хозяйствующего субъекта неот-

делимо от решения проблемы ИБ.

Кроме того, вопросы обеспечения ИБ и защиты информации приобре-

тают все большее значение в связи с широким применением информаци-

онных технологий практически во всех областях знаний, в том числе и при

разработке и использовании автоматизированных систем (АС) различного

назначения.

Анализ федерального законодательства, указов Президента РФ позво-

ляет констатировать юридическое закрепление на сегодняшний день сле-

дующих видов безопасности:

– государственной (включая федеральную, конституционную, между-

народную);

– общественной;

– экономической (включая продовольственную и энергетическую);

– экологической;

– оборонной;

– информационной;

– пожарной;

– безопасности движения (воздушного, морского, автодорожного, же-

лезнодорожного);

– безопасности при использовании атомной энергии (защите отдель-

ных лиц, населения и окружающей среды от радиационной опасности);

– радиационной безопасности населения;

– ядерной, радиационной, технической, пожарной безопасности объек-

тов (ядерно-радиационных);

– промышленной безопасности опасных производственных объектов;

– безопасности гидротехнических сооружений.

Совокупность вышеназванных категорий безопасности можно объеди-

нить в одно целое понятие — безопасность государства.

Безопасность государства — это совокупность общественных отно-

шений, которая выражается в защищенности жизненно важных интере-

сов основного института политиеской системы современного российского

общества от внешних и внутренних угроз, позволяющая ему функциониро-

вать и развиваться. Безопасность государства — один из важнейших эле-

ментов системы безопасности Российской Федерации.

По своему содержанию ИБ включает:

– компьютерную безопасность;

– безопасность информационных систем и процессов;

– безопасность среды для реализации информационных процессов.

К основным аспектам проблемы обеспечения ИБ относятся:

– защита государственной тайны, т.е. секретной и другой конфиденци-

альной информации, являющейся собственностью государства, от всех ви-

дов несанкционированного доступа, манипулирования и уничтожения;

– защита прав граждан на владение, распоряжение и управление при-

надлежащей им информацией;

– защита прав предпринимателей при осуществлении ими коммерче-

ской деятельности;

– защита конституционных прав граждан на тайну переписки, перего-

воров, личную тайну;

– защита технических и программных средств от ошибочных действий

персонала и техногенных воздействий, а также стихийных бедствий и иных

обстоятельств с целью сохранения возможности управления процессом об-

работки.

Как уже отмечалось, в настоящее время в проблеме защиты информаци-

онного ресурса существует два направления, различающихся по характеру

общественных отношений и форме организации. Это, во-первых, защита

государственного информационного ресурса и, во-вторых, защита инфор-

мации независимого сектора экономики (обеспечение информационной

безопасности в организациях).

Функционально государственная система ИБ должна в полной мере

обеспечивать решение следующих задач:

– разработку общей технической политики и концепций обеспечения

безопасности информации;

– разработку нормативно-правового обеспечения проблемы, участие в

подготовке законодательных актов в смежных областях;

– координацию деятельности органов государственного управления по

отдельным направлениям защиты информации;

– разработку нормативно-технических и организационно-

распорядительных документов;

– сертификацию технических и программных средств по требованиям

безопасности;

– лицензирование деятельности по оказанию услуг в сфере безопасно-

сти информации;

– надзор (контроль);

– подготовку кадров;

– финансирование важнейших научно-исследовательских и опытно-

конструкторских работ;

– страхование;

– информационное обеспечение системы ИБ.

Все мероприятия по обеспечению ИБ должны привести к достижению

следующих целей:

– предупреждение появления угроз информации;

– выявление возможных направлений и степени нарастания опасности

нарушения ИБ;

– обнаружение реальных фактов нарушения ИБ;

– пресечение разглашения, утечки и несанкционированного доступа к

информации, нарушения ее целостности;

– ликвидация или снижение уровня ущерба от нарушения ИБ и ее ис-

пользования злоумышленниками.

Рассмотренные выше понятия информации и ее ценности в совокуп-

ности с другими определениями позволяют обобщенно описать ИБ в узком

смысле и саму суть защиты средств вычислительной техники (СВТ) и АС.

Под ней понимается комплекс мер, направленных на сохранение ценности

циркулирующей в СВТ и/или АС информации.

Таким образом, информация, а также СВТ, АС и их компоненты, выполня-

ющие роль носителя информационных процессов и самой информации, вы-

ступают в качестве объекта защиты, поэтому в первую очередь необходи-

мо выявить те нежелательные воздействия, которым может подвергнуться

этот объект. Выявление, предотвращение и ликвидация последствий этих

воздействий, согласно общим определениям теории безопасности, и состав-

ляет суть функционирования средств защиты информации от несанкцио-

нированного доступа (НСД).

Исходя из этих рассуждений, можно говорить, что ИБ в узком смыс-

ле — это совокупность свойств информации, связанной с обеспечением за-

прещения несанкционированного доступа, а также любых других действий

с личной, конфиденциальной или секретной информацией, представлен-

ной в любом физическом виде.

В свою очередь, компьютерная безопасность — это направление ин-

формационной безопасности, связанное с обеспечением ИБ при создании

и эксплуатации различных систем электронной обработки данных (СВТ и

АС). Она определяется степенью защищенности (охраны) информации, тех-

нических и программных средств вычислительной техники от нанесения

им ущерба в результатте сознательных либо случайных противоправных

действий или стихийных бедствий. При этом можно рассматривать две сто-

роны (аспекта) компьютерной безопасности:

– безопасность вычислительных (компьютерных) систем;

– безопасность данных.

Безопасность ВС — совокупность свойств, связанных с достижением

компьютерной безопасности при эксплуатации вычислительных систем.

Безопасность данных — совокупность свойств данных, связанных с

достижением компьютерной безопасности и определяемых защищенно-

стью данных от случайного или преднамеренного доступа к ним лиц не

имеющих на это права.

С приведенными выше терминами неразрывно связаны понятия защи-

ты информации и данных, определяющие мероприятия, методы и средства,

направленные на обеспечение ИБ. Наиболее целостная и современная ме-

тодология деятельности в данной сфере изложена в «Общих критериях без-

опасности информационных технологий», утвержденных Международной

организацией по стандартизации (ISO) в 1999 г. в качестве международного

стандарта ИБ ISO/IEC. В России этот документ прият в качестве государ-

ственного стандарта ГОСТ Р ИСО/МЭК 15408-2002.

Согласно указанному документу, ИБ связана с защитой неких активов от

угроз, где угрозы классифицированы на основе потенциала злоупотребле-

ния защищаемыми активами. Во внимание следует принимать все разно-

видности угроз, но в сфере безопасности наибольшее внимание уделяется

тем из них, которые связаны с действиями человека — злонамеренными

или иными.

С другой стороны, за сохранность рассматриваемых активов отвечают

их владельцы, для которых эти активы имеют ценность. Существующие или

предполагаемые нарушители — агенты угроз — также могут придавать зна-

чение этим активам и стремиться использовать их вопреки интересам их

владельца. Владельцы будут воспринимать подобные угрозы как потенци-

ал воздействия на активы, приводящего к понижению их ценности для вла-

дельца. К специфическим нарушениям безопасности обычно относят (но не

обязательно ими ограничиваются): наносящее ущерб раскрытие актива не-

санкционированным получателем (потеря конфиденциальности), ущерб ак-

тиву вследствие несанкционированной модификации (потеря целостности)

или несанкционированное лишение доступа к активу (потеря доступности).

Владельцы активов должны в этой связи анализировать возможные

угрозы, чтобы решить, какие из них действительно присущи их среде. В ре-

зультате анализа определяются риски. Анализ может помочь при выборе

контрмер для противостояния угрозам и уменьшения рисков до приемле-

мого уровня. Контрмеры предпринимаются для уменьшения уязвимостей

и выполенния политики безопасности владельцев активов. Но и после вве-

дения этих контрмер могут сохраняться отстаточные уязвимости. Такие

уязвимости могут использоваться нарушителями, представляя уровень

остаточного риска для активов. Владельцы должны стремиться минимизи-

ровать и этот риск, задавая дополнительные ограничения.

ИБ сегодня является одним из важнейших аспектов интегральной безо-

пасности, на каком бы уровне не рассматривалась последняя — националь-

ном, отраслевом, корпоративном или персональном, и какой обрабатываю-

щих информацию объект не рассматривался бы — глобальная или локальная

сеть, вычислительная система (ВС), АС или персональный компьютер.

Интерес к вопросам ИБ и защиты информации в последнее десятилетие

значительно вырос, что объясняется возрастанием роли информационных

ресурсов в конкурентной борьбе, масштаба использования локальных и

глобальных сетей, а следовательно, и возможностью несанкционирован-

ного доступа к хранимой и передаваемой информации. Развитие средств,

методов и форм автоматизации процессов сбора, хранения и обработки ин-

формации и массовое применение персональных компьютеров, а также все

более массовое использование вычислительных сетей делают информацию

гораздо более уязвимой, чем 10-15 лет тому назад. При этом информация,

хранимая или обрабатываемая в этих объектах, может быть незаконно из-

менена, похищена или уничтожена.

С переходом на использование для обработки и передачи информации

технических средств информация подвергается воздействию различных

неблагоприятных факторов: неисправностей и сбоев аппаратуры, ошибок

операторов и т.п., которые могут привести к ее разрушению, изменению,

потере, а также создать предпосылки для доступа к ней посторонних лиц.

С появлением АС и информационно-вычислительных сетей проблема за-

щиты информации приобретает еще большее значение. Это обусловлено

следующими факторами:

– повышением важности и общественной значимости информации, уси-

лением влияния на все без исключения стороны общественной жизни;

– увеличением объемов информации, накапливаемой, хранимой и об-

рабатываемой с помощью средств вычислительной техники;

– сосредоточением в единых банках данных информации различного

назначения принадлежности;

– расширением круга пользователей, имеющих доступ к ресурсам АС, в

том числе к находящимся в них массивам данных;

– усложнением режимов функционирования технических средств, ши-

роким внедрением многопрограммного режима, режима разделения време-

ни и реального времени;

– автоматизацией межмашинного обмена информацией;

– появлением персональных ЭВМ, расширяющих возможности не толь-

ко пользователя, но и нарушителя;

– расширением и усложнением телекоммуникационных сетей.

К настоящему времени как в обществе в целом, так и в сфере технологий

обработки данных произошли большие изменения, которые повлияли на

саму суть проблемы защиты информации. Индустрия переработки информа-

ции достигла невиданного ранее масштаба. Появилась возможность доста-

точно свободного выхода в глобальные информационно-вычислительные

сети (например, Интернет) с персонального компьютера. Развитие систем

электронной коммерции создало предпосылки для хищений крупных

сумм денег. Широко распространились разнообразные программы-вирусы.

Появилось большое количество компьютерных злоумышленников, как

профессионалов, так и дилетантов, занимающихся несанкционированных

доступом к данным, нарушением целостности информационных ресурсов

и срывом функционирования различных АС и информационных сетей с са-

мыми разнообразными целями.

Сегодня наблюдается всплеск интереса к информационной безопасно-

сти, который объясняется главным образом интенсификацией процессов

информатизации государственных органов, в том числе вооруженных сил,