Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

включая данные, голос, видео и т. п., между компьютерами по

телефонным линиям связи.

Техническая угроза - угроза безопасности, возникающая в

результате технологической неисправности за пределами ин-

формационной системы.

Тип доступа (access type) - сущность права доступа к опре-

деленному устройству, программе, файлу и т.д. (обычно read, write,

execute, append, modify, delete).

Токен (token) - полнофункциональный аналог смарт-карты,

выполненный в виде брелка. Он напрямую подключается к

компьютеру через USB-порт и не требует наличия дополнительных

устройств (устройств для чтения смарт-карт и пр.).

Троянский конь (Trojan horse) - компьютерная программа,

реализующая полезную функцию и содержащая дополнительные

скрытые функции, которые тайно используют законные полномочия

инициирующего процесса в ущерб безопасности.

Угроза безопасности (threat) - в широком смысле - потен-

циальное нарушение безопасности. Угроза безопасности - в

системах обработки данных - потенциальное действие или со-

бытие, которое может привести к нарушению одного или бо лее

аспектов безопасности информационной системы.

Угроза безопасности компьютерной систе мы - это потенци-

ально возможное происшествие, неважно, преднамеренное или

нет, которое может оказать нежелательное воздействие на саму

систему, а также на информацию, хранящуюся в ней.

Угроза раскрытия - заключается том, что информация

становится известной тому, кому не следовало бы ее знать. В

терминах компьютерной безопасности угроза раскрытия имеет

место всякий раз, когда получен доступ к некоторой конфи-

денциальной информации, хранящейся в вычислительной системе

или передаваемой от одной системы к другой.

Угроза со стороны человека - угроза безопасности, проис-

текающая из действий человека.

Управление безопасностью в сетях - средства, обеспечи-

вающие безопасность данных и защищающие ресурсы сети.

Средства управления безопасностью осуществляют:

- шифрование и управление ключами расшифровки;

- регистрацию паролей;

- идентификацию пользователей;

- обслуживание и анализ файлов безопасности;

- защиту от компьютерных вирусов.

Управление данными (Data management) - процесс, свя-

занный с накоплением, организацией, запоминанием, обнов лением,

хранением данных и поиском информации.

Управление доступом (Access control) см. контроль доступа.

Управление информационным потоком (Information flow

control) - процедуры управления информационным потоком,

удостоверяющие, что информация не может передаваться с

верхних уровней безопасности на нижние (в соответствии с

положениями модели Белла-Лападула, См. также определение

скрытых каналов). Более общее определение контроля

информационных потоков подразумевает процедуры управ ления,

удостоверяющие, что информация не может передаваться по

скрытым каналам (то есть в обход политики безопасности).

Управление рисками (Risk Management) - процесс опреде-

ления контрмер в соответствии с оценкой рисков.

Уровень безопасности (Security level) - комбинация иерар-

хической классификации (уровень доступа) и неиерархичес кой

категории, представляющих уровень критичности информации.

Уровень доступа (Access level) - иерархическая часть метки

уровня безопасности, используемая для идентификации

критичности данных или прозрачности субъектов. Уровень доступа

вместе с неиерархическими категориями составляет уровень

безопасности.

Уровень прозрачности (Clearance) - максимальный уровень

безопасности, доступ к которому разрешен данному субъекту

правилами модели Белла-Лападула. Текущий уровень субъекта

(уровень, на котором он в данный момент вы полняет операции)

может варьироваться от минимального до уровня прозрачности.

Уязвимость (Vulnerability) - слабость в системных сред ствах

защиты, вызванная ошибками или слабостями в процедурах,

проекте, реализации, внутреннем контроле системы, которая может

быть использована для нарушения системной политики

безопасности. Различают:

- человеческую уязвимость;

- техническую уязвимость, возникающая в результате не-

исправности технологического компонента информационной

системы.

Файловый вирус (File infector) - компьютерный вирус,

прикрепляющий себя к файлу или программе, и активизиру ющийся

при каждом использовании файла. Различают вирусы-компаньоны,

макровирусы, полиморфные вирусы, вирусы-невидимки.

Фактор, воздействующий на защищаемую информацию -

явление, действие или процесс, результатом которых могут быть

утечка, искажение, уничтожение защищаемой информации,

блокирование доступа к ней.

Физическая безопасность (Physical iecurity) - реализация

физических барьеров и контрольных процедур, как превен тивная

или контрмера против физических угроз (взлома, кражи,

террористического акта, а также пожара, наводнения и т.д.)

ресурсам системы и критичной информации.

Физическая угроза - угроза безопасности, последствия ко-

торой приводят к физическому повреждению информационной

системы.

Формальная модель политики безопасности (Formal

security policy model) - математически строгое описание политики

безопасности. Подразумевает описание начального состояния

системы, способы перехода системы из одного со стояния в другое,

а также определение безопасного состояния. Чтобы быть принятой

как основа ДВБ (ТСВ), модель должна содержать формальное

доказательство следующих положений:

- начальное состояние системы является безопасным;

- если все условия безопасности, определяемые моделью,

выполнены, то все последующие состояния системы также будут

безопасными.

Примером формальной модели является модель Белла -

Лападула.

Функциональная совместимость (Interoperability) - возмож-

ность взаимодействия программных и аппаратных средств разных

поставщиков.

Хакер (Hacker) - лицо, совершающее различного рода не-

законные действия в сфере информатики:

- несанкционированное проникновение в чужие компью терные

сети и получение из них информации;

- незаконные снятие защиты с программных продуктов и их

копирование;

- создание и распространения компьютерных вирусов и т.п.

Действия хакера образуют различные составы уголовных

преступлений и гражданских правонарушений.

Хранение данных (Data holding) - процесс обеспечения це-

лостности, доступности и защищенности данных. Различают три

режима хранения данных:

- хранение в оперативном режиме, основанное на исполь-

зовании постоянно доступных запоминающих устройств;

- хранение в почти оперативном режиме, основанное на

использовании устройств, которые могут стать доступными

автоматически;

- хранение в автономном режиме, основанное на использова-

нии устройств, носители данных в которые вставляются вручную.

Целостность данных (Data Integrity) - свойство, при вы-

полнении которого данные сохраняют заранее определенный вид и

качество.

Ценностность (Integrity) - см. Целостность данных.

Цифровая подпись - числовое значение, вычисляемое по-

тексту сообщения с помощью секретного ключа отправите ля и

проверяемое открытым ключом, соответствующим сек ретному

ключу отправителя. Удостоверяет, что документ исходит от того

лица, чья цифровая подпись приложена, а так же отсутствие с

момента подписания изменений в документе, пересылаемом в

цифровом виде.

Частично за щищенная операционная систе ма - операци-

онная система, в которой предусмотрена защита не от всех

основных классов угроз, а только от некоторых. Например,

операциойная система MS-DOS с установленным антивирусным

пакетом является частично защищенной системой - она защищена

от компьютерных вирусов.

Червь (worm) - независимая программа, которая размножа-

ется путем копирования самой себя из одного сетевого компью тера

в другой. Обычно червь не портит данные или программы и не

вызывает непредсказуемого поведения, однако может выз вать

неоправданную загрузку каналов связи и памяти.

Чувствительная информация (Sensitive information) -

информация, несанкционированное раскрытие, модификация или

сокрытие которой может привести к ощутимому убытку или

(денежному) ущербу.

Шифрование с открытым ключом - класс криптографичес-

ких методов, использующих двуключевые шифры. Сообщения,

зашифрованные открытым ключом, можно расшифровать толь ко с

помощью связанного с ним секретного ключа. И наоборот,

подлинность сообщений, подписанных секретным ключом, можно

проверить с помощью открытого ключа.

Эксплоит - любое средство, предназначенное для проник-

новения в чужую компьютерную сеть.

Электронное устройство защиты (Dongle) - электронное

устройство в составе компьютера, предназначенное для защиты

программ и данных от несанкционированного доступа. Электронное

устройство защиты выполняет функции замка, ответчика и т.п.

Ядро безопасности (Security kernel) - программные и ап-

паратные элементы ДВБ (ТСВ), реализующие концепцию мо нитора

ссылок. Они должны разделять все попытки доступа субъектов к

объектам, быть защищенным от модификации и проверены на

корректное выполнение своих функций.

Приложение 2 Список нормативных актов в

сфере информационной безопасности

1. ФЕДЕРАЛЬНЫЙ ЗАКОН от 29.12.1994 N 77-ФЗ (ред. от

23.12.2003) «ОБ ОБЯЗАТЕЛЬНОМ ЭКЗЕМПЛЯРЕ ДОКУ МЕНТОВ»

(принят ГД ФС РФ 23.11.1994).

2. ФЕДЕРАЛЬНЫЙ ЗАКОН от 29.07.2004 N 98-ФЗ «О

КОММЕРЧЕСКОЙ ТАЙНЕ» (принят ГД ФС РФ 09.07.2004).

3. ФЕДЕРАЛЬНЫЙ ЗАКОН от 07.07.2003 N 126-ФЗ (с изм. от

23.12.2003) «О СВЯЗИ» (принят ГД ФС РФ 18.06.2003).

4. ФЕДЕРАЛЬНЫЙ ЗАКОН от 10.01.2002 N 1-ФЗ «ОБ

ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» (принят ГД ФС РФ

13.12.2001).

5. ФЕДЕРАЛЬНЫЙ ЗАКОН от 04.07.1996 N 85-ФЗ (ред. от

29.06.2004) «ОБ УЧАСТИИ В МЕЖДУНАРОДНОМ ИН-

ФОРМАЦИОННОМ ОБМЕНЕ» (принят ГД ФС РФ 05.06.1996).

6. ФЕДЕРАЛЬНЫЙ ЗАКОН от 12.08.1995 N 144-ФЗ (ред. от

29.06.2004) «ОБ ОПЕРАТИВНО-РОЗЫСКНОЙ ДЕЯТЕЛЬНОСТИ»

(принят ГД ФС РФ 05.07.1995).

7. ФЕДЕРАЛЬНЫЙ ЗАКОН от 18.07.1995 N 108-ФЗ (ред. от

20.08.2004) «О РЕКЛАМЕ» (принят ГД ФС РФ 14.06.1995).

8. ФЕДЕРАЛЬНЫЙ ЗАКОН от 20.02.1995 N 24-ФЗ (ред. от

10.01.2003) «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ

ИНФОРМАЦИИ» (принят ГД ФС РФ 25.01.1995).

9. ЗАКОН РФ от 21.07.1993 N 5485-1 (ред. от 29.06.2004) «О

ГОСУДАРСТВЕННОЙ ТАЙНЕ».

10.ЗАКОН РФ от 09.07.1993 N 5351-1 (ред. от 20.07.2004) «ОБ

АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ».

11.ЗАКОН РФ от 23.09.1992 N 3523-1 (ред. от 24.12.2002) ' «О

ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ

ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ».

12.ЗАКОН РФ от 27.12.1991 N 2124-1 (ред. от 29.06.2004) «О

СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИИ».

13.УКАЗ Президента РФ от 17.12.1997 N 1300 (ред. от

10.01.2000) «ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ НАЦИОНАЛЬНОЙ

БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ».

14.УКАЗ Президента РФ от 06.03.1997 N 188 «ОБ УТ-

ВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО

ХАРАКТЕРА».

15.УКАЗ Президента РФ от 30.11.1995 N 1203 (ред. от

29.05.2002) «ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ,

ОТНЕСЕННЫХ К ГОСУДАРСТВЕННОЙ ТАЙНЕ».

16.ПОСТАНОВЛЕНИЕ ВС РФ от 22.11.1991 N 1920-1 «О

ДЕКЛАРАЦИИ ПРАВ И СВОБОД ЧЕЛОВЕКА И ГРАЖДА НИНА».

17.ПОСТАНОВЛЕНИЕ Правительства РФ от 30.04.2002 N 290

(ред. от 06.02.2003) «О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО

ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ».

18.ПОСТАНОВЛЕНИЕ Правительства РФ от 26.06.1995 N 608

(ред. от 29.03.1999) «О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ

ИНФОРМАЦИИ».

19.ПОСТАНОВЛЕНИЕ Правительства РСФСР от 05.12.1991 N

35 (ред. от 03.10.2002) «О ПЕРЕЧНЕ СВЕДЕНИЙ, КОТОРЫЕ НЕ

МОГУТ СОСТАВЛЯТЬ КОММЕРЧЕСКУЮ ТАЙНУ».

20.«ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РОССИЙСКОЙ ФЕДЕРАЦИИ» (утв. Президентом РФ 09.09.2000 N

Пр-1895).

21.«ОСНОВНЫЕ НАПРАВЛЕНИЯ НОРМАТИВНОГО

ПРАВОВОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗО-

ПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ». Одобрены на

заседании Межведомственной комиссии Совета Безопасности

Российской Федерации по информационной безопасности (Ре-

шение № 5.4 от 27 ноября 2001 г.).

22.ГОСТ 28147-89. Системы обработки информации. Защита

криптографическая. Алгоритмы криптографического алгоритма.

23.ГОСТ 34.10-94. Информационная технология. Крип-

тографическая защита информации. Процедуры выработки и

проверки электронной цифровой подписи на базе асимметричного

криптографического алгоритма.

24.ГОСТ РВ 50600-93. Защита секретной информации от

технической разведки. Система документов. Общие положе ния.

25.ГОСТ Р 50922-96 Защита информации. Основные термины

и определения.

26.ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная

технология. Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий. Часть

1. Введение и общая модель.

27.ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная

технология. Методы и средства обеспечения безопаснос ти.

Критерии оценки безопасности информационных техно логий. Часть

2. Функци ональные требования безопасности.

28.ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная

технология. Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий. Часть

3. Требования доверия к безопасности.

Приложение 3 Список сокращений

АС — автоматизированная система.

ИБ — информационная безопасность.

ИС — информационная система.

ИТ — информационные технологии.

КИС — корпоративная информационная система.

ЛВС — локальная вычислительная сеть.

НИИОКР — научно-исследовательские и опытно конст-

рукторские работы.

НСД — несанкционированный доступ.

НСИ — несанкционированный съем информации.

ПО — программное обеспечение.

ПЭМИН — побочные электромагнитные излучения и наводки.

РЭС — радиоэлектронные средства.

СБ — служба безопасности.

СЗИ — системами защиты информации.

СИ А — система идентификации и аутентификации.

СО А — система обнаружения атак.

СОИБ — система обеспечения информационной

безопасности.

СУИР — система управления рисками.

TCP — технические средства разведки.

BISO — Business Information Security Officer (менеджер/

специалист службы информационной безопасности, который

занимается практической реализацией политики ИБ на уров не

подразделения, например планово-экономического отдела, службы

маркетинга или автоматизации).

CIO — Chief Information Officer (директор по информационным

технологиям/автоматизации).

CISA — Chief Information Security Administrator (старший

администратор по вопросам обеспечения информацион ной

безопасности).

CISO — Chief Information Security Officer (директор по

информационной безопасности, который отвечает, главным

образом, за разработку и реализацию политики безопасности

компании, адекватной происходящим в ней бизнес-процессам).

СРО — Chief Privacy Officer (русский аналог: заместитель

директора по безопасности).

CSI — Computer Security Institute (институт компьютерной

безопасности).

CSIRT — Computer Security Incident Response Team (группа

реагирования на инциденты нарушения информационной

безопасности).

DDoS — Distributed Denial of Service (распределенная атака

типа «отказ в обслуживании»).

DoS — Denial of Service (атака по типу «отказ в обслужи-

вании»).

IASC — Information Assurance and Certification Services

(стандарт, на соответствие которому тестируются брандмау эры).

IDS — Intrusion Detection Systems (средства обнаружения атак).

ITSEC — Information Technology Security Evaluation and

Certification Scheme (стандарт, на соответствие которому те-

стируются брандмауэры).

VPN — Virtual Private Network (виртуальные частные сети).

Библиографический список

1. Алтухов Л.Г. Безопасность информационных систем,

http://www.infoforum.ru/, 2004.

2. Анапский Е.В. Защита информации основа безопаснос ти

бизнеса, http://www.bezpeka.com/.

3. Антимонов С.Г, Борьба с вирусными и троянскими про-

граммами - элемент противостояния компьютерному терро-

ризму, http://www.infoforum.ru/, 2003.

4. Астахов А. Аудит безопасности информационных систем,

http://www.globaltrust.ru/security, 2002.

5. Варичев С. Защита корпоративной информации: с чего начать?

http://www.cio-world.ru/bsolutions, 2004.

6. Баричев С. Сделано в России. Для защиты, http:// www.cio-

world.ru/, 2004.

7. Безмалый В.Ф., Безмалая Е.В. Создание отдела инфор-

мационной безопасности, или с троим забор своими руками,

http://www.zahist.narod.ru/.

8. Белопушкин В.И., Кириллычев АН. Правовые аспекты

обеспечения информационной безопасности. - М.: МГТУ, 2003.

9. Белоусов А. Безопасность информационных ресурсов,

http://www.crime-research.ru/, 2003.

10. Бешков A BLUETOOTH + LINUX, или синий зуб на службе

системного администратора//Сис темный администратор. -

2004. - № 10(23).

11. Василевский И.В., Болдырев АИ. Облава на «жучков»? Мы

знаем, как это сделать! http://www.nelk.ru/, 2000.

12. Василевский И.В., Болдырев А.И. Одолели «жучки»? Пора

проводить «дезинсекцию», http://www.nelk.ru/, 2000.

13. Васильков А. Профессия защита информации, http:// crime-

research.ru/, 2003.

14. Велигура АН, Страхование и информационная безо пасность,

http://www.infoforum.ru/detail, 2004.

15. Волчинская Е.К. О стратегии и проблемах развития

законодательства в сфере обеспечения информационной

безопасности, http://www.infoforum.ru/, 2004.

16. Гайкович В., Ершов Д. Организованные меры обеспечения

защиты информации, http://www.itsecurity.ru/.

17. Горловой А Эволюция и перспективы резервного ко пирования

данных//Экспресс-Электроника. - 2003* - № 06.

18. Галатенко В Л. Основы информационной безопаснос ти: Курс

лекций,- М.: Интернет- Университет Информационных

технологий, 2003. - 239 с.