Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Федеральное государственное образовательное учреждение

высшего профессионального образования

«СИБИРСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Учебное пособие

Красноярск 2007

Вайнштейн Юлия Владимировна, Демин Сергей Леонидович, Кирко Ирина Ни-

колаевна, Кучеров Михаил Михайлович, Сомова Марина Валериевна. Основы

информационной безопасности: Учебн. пособие по дисциплине «Основы ин-

формационной безопасности» предназначено для студентов направления подго-

товки дипломированных специалистов 090100 – «Информационная безопас-

ность».

ОГЛАВЛЕНИЕ

ПРЕДИСЛОВИЕ ................................................................................................. 10

ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ

НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ ......... 12

1.1. Понятие информационной безопасности ................................................ 12

1.2. Задача устойчивого развития в информационной сфере ........................ 14

1.3. Виды защищаемой информации в сфере государственного и

муниципального управления........................................................................... 17

1.4. Национальные интересы в информационной сфере и обеспечение их

безопасности .................................................................................................... 22

Контрольные вопросы ..................................................................................... 23

ГЛАВА 2. ОСНОВЫ ПОЛЬЗОВАНИЯ КОНФИДЕНЦИАЛЬНОЙ

ИНФОРМАЦИЕЙ ............................................................................................... 26

2.1. Перечень сведений конфиденциального характера ................................ 26

2.2. Правовые основы предоставления сведений конфиденциального

характера .......................................................................................................... 29

Контрольные вопросы ..................................................................................... 33

ГЛАВА 3. ОСНОВНЫЕ ПОНЯТИЯ И ОБЩЕМЕТОДОЛОГИЧЕСКИЕ

ПРИНЦИПЫ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............... 34

3.1. Управление и защита информации в информационно-

телекоммуникационных сетях ........................................................................ 34

3.2. Контроль качества информации .............................................................. 35

3.3. Управление информационными ресурсами ............................................ 37

3.3.1. Составляющие информационной базы .............................................. 38

3.3.2. Элементы информации, требующие защиты .................................... 39

3.3.3. Классификационная политика в области информации ..................... 41

3.3.4. Организация и ответственность в области управления информацией

....................................................................................................................... 42

3.3.5. Меры безопасности, поддерживающие управление информацией . 43

3.3.6. Пример руководящих указаний по информационной

безопасности ................................................................................................. 44

3.4. Качественное проектирование системы .................................................. 46

3.5. Эффективное управление и контроль ...................................................... 47

3.6. Сети и безопасность рабочих станций .................................................... 48

Контрольные вопросы ..................................................................................... 48

ГЛАВА 4. МЕХАНИЗМЫ РЕАЛИЗАЦИИ БЕЗОПАСНОСТИ ....................... 50

4.1. Источники угроз информационной безопасности .................................. 50

4.2. Сертификация: создание защищенной работы ....................................... 52

Контрольные вопросы ..................................................................................... 57

ГЛАВА 5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОБЪЕКТОВ ИНФОРМАЦИОННОЙ СФЕРЫ ГОСУДАРСТВА В

УСЛОВИЯХ ИНФОРМАЦИОННОЙ ВОЙНЫ ............................................... 59

5.1. Основные направления обеспечения информационной безопасности .. 59

5.2. Отличия сети от вычислительного центра .............................................. 60

5.3. Детали реализации ................................................................................... 62

5.3.1. Контролируемый доступ к информационным системам .................. 62

5.3.2. Контролируемая активность на файловом уровне ............................ 64

5.3.3. Контролируемая активность на уровне записей ................................ 65

5.3.4. Контролируемый доступ к сетевому трафику ................................... 65

5.3.5. Установление эффективной идентификации и аутентификации ..... 66

5.3.6. Контролируемый доступ к сетевой инфраструктуре ........................ 69

5.3.7. Защита от неавторизованных модемных соединений ....................... 71

5.3.8. Контроль над распространением и утечкой информации ................ 73

Контрольные вопросы ..................................................................................... 74

ГЛАВА 6. ОБЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ .............................................................................................. 77

6.1. Характеристика эффективных стандартов по безопасности .................. 77

6.1.1. Стандарты должны быть полными .................................................... 78

6.1.2. Стандарты должны быть доступными ............................................... 79

6.1.3. Стандарты должны быть полезными ................................................. 80

6.1.4. Стандарты должны быть согласованными ........................................ 81

6.1.5. Стандарты должны быть актуальными .............................................. 82

6.1.6. Стандарты должны быть представлены в различных формах ......... 83

6.2. Устная форма ............................................................................................ 84

Контрольные вопросы ..................................................................................... 84

ГЛАВА 7. РИСК РАБОТЫ НА ПЕРСОНАЛЬНОМ КОМПЬЮТЕРЕ ............. 86

7.1. Определение персонального компьютера ............................................... 86

7.1.1. Программно-аппаратные средства ..................................................... 87

7.2. Мощность персонального компьютера ................................................... 87

7.3. Опасность для информации ..................................................................... 89

7.4. Сетевая защита персонального компьютера ........................................... 90

7.5. Планирование безопасной работы на персональном компьютере ......... 91

7.5.1. Стандарты предприятия по использованию ПК ................................ 91

7.5.2. Практические меры безопасности для ПК......................................... 95

7.5.3. Безопасность и соединения ................................................................ 98

Контрольные вопросы ..................................................................................... 99

ГЛАВА 8. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ...................................... 101

8.1. Принципы инженерно-технической защиты информации ................... 102

8.2. Основные методы защиты информации техническими средствами ... 106

8.3. Каналы утечки информации................................................................... 111

8.4. Средства обеспечения информационной безопасности в компьютерных

системах ......................................................................................................... 113

8.4.1. Устройство для быстрого уничтожения информации на жестких

магнитных дисках «Стек-Н» ...................................................................... 113

8.4.2. Обнаружитель подключения к LAN (локальной сети) FLUKE ...... 115

8.4.3. Система защиты информации Secret Net 4.0 ................................... 117

8.4.4. Электронный замок «Соболь-РСI»................................................... 120

8.4.5. Система защиты корпоративной информации Secret Disk Server .. 123

8.4.6. Система защиты конфиденциальной информации Secret Disk ...... 125

8.4.7. Программно-аппаратный комплекс средств защиты

«Аккорд-АМДЗ» ......................................................................................... 127

8.4.8. Аппаратно-программный комплекс IP Safe-PRO ............................ 129

8.4.9. Аппаратно-программный комплекс "КОНТИНЕНТ-К" .................. 130

8.4.10. Кейс для транспортировки ноутбуков «ТЕНЬ К1»........................ 131

8.4.11. Аппаратно – программная система криптографической защиты

сообщений «SX-1» ...................................................................................... 133

8.4.12. Межсетевой экран и шифратор IP-протоков ................................. 135

Контрольные вопросы ................................................................................... 137

ГЛАВА 9. ОБЩАЯ ХАРАКТЕРИСТИКА КОМПЛЕКСНОЙ ЗАЩИТЫ

ИНФОРМАЦИИ ............................................................................................... 138

9.1. Сущность и задачи комплексной защиты информации ....................... 138

9.2. Стратегии комплексной защиты информации ...................................... 138

9.3. Этапы построения КЗИ для различных стратегий ................................ 140

9.4. Структура КЗИ ........................................................................................ 143

9.5. Основные характеристики КЗИ ............................................................. 143

9.6. Этапы разработки КЗИ ........................................................................... 144

Контрольные вопросы ................................................................................... 144

ГЛАВА 10. ДОКУМЕНТ КОНФИДЕНЦИАЛЬНЫЙ ..................................... 146

10.1. Безопасность ценных информационных ресурсов .............................. 146

10.2. Критерии ценности информации ......................................................... 148

10.3. Выявление конфиденциальных сведений............................................ 151

10.4. Перечень конфиденциальных сведений .............................................. 153

10.5. Документирование конфиденциальных сведений .............................. 153

10.6. Носители конфиденциальных сведений .............................................. 155

10.7. Задачи учета конфиденциальных документов .................................... 155

10.8. Конфиденциальные документы: состав и период нахождения

конфиденциальных документов в делах ...................................................... 157

Контрольные вопросы ................................................................................... 159

ГЛАВА 11. РЕЖИМ − ОСНОВА ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ

ЗАЩИТЫ ИНФОРМАЦИИ ............................................................................. 160

11.1. Разработка Политики безопасности..................................................... 160

11.2. Разработка Концепции безопасности информации ............................ 165

11.2.1. Определение общих положений Концепции ................................. 165

11.2.2. Уяснение основных направлений обеспечения безопасности

информации и описание требований к безопасности информации ......... 166

11.2.3. Разработка специальных глав Концепции ..................................... 167

11.3. Разработка Регламента обеспечения безопасности информации ...... 167

11.3.1. Подготовка к разработке Регламента ............................................. 167

11.3.2. Определение общих положений Регламента ................................. 167

11.3.3. Определение обязанностей персонала по обеспечению

безопасности информации ......................................................................... 168

11.3.4. Определение правил использования компьютеров и

информационных систем ............................................................................ 168

11.4. Разработка Профиля защиты................................................................ 169

11.4.1. Раздел «Описание Объекта Оценки» ............................................. 172

11.4.2. Раздел «Среда безопасности ОО» .................................................. 173

11.4.3. Раздел «Цели безопасности» .......................................................... 173

11.4.4. Раздел «Требования безопасности ИТ» ......................................... 175

11.4.4.5. Раздел «Обоснование» ................................................................. 175

Контрольные вопросы ................................................................................... 176

ГЛАВА 12. СИСТЕМА ФИЗИЧЕСКОЙ ЗАЩИТЫ ....................................... 177

12.1. Система физической защиты − типовые задачи и способы ее

реализации. Основные характеристики системы физической защиты....... 177

12.1.1. Сдерживание ................................................................................... 177

12.1.2. Обнаружение ................................................................................... 178

12.1.3. Задержка .......................................................................................... 179

12.1.4. Реагирование ................................................................................... 179

12.1.5. Эшелонирование ............................................................................. 180

12.1.6. Минимизация последствий отказов ............................................... 180

12.1.7. Сбалансированная (равнопрочная) защита.................................... 181

12.1.8. Количественный и качественный анализ системы физической

защиты ......................................................................................................... 181

12.1.9. Путь нарушителя ............................................................................. 182

12.2. Силы реагирования. Общие положения .............................................. 183

12.2.1. Комплектование охраны ................................................................. 183

12.2.2. Взаимодействие охраны и руководителей объектов ..................... 184

12.2.3. Обязанности и права работников ведомственной охраны ............ 185

12.2.4. Организация караульной службы ................................................... 187

12.2.5. Права и обязанности должностных лиц караула ........................... 194

12.2.6. Внутренний порядок в караулах ..................................................... 204

12.2.7. Пропускной режим .......................................................................... 206

12.2.8. Работа бюро пропусков................................................................... 207

12.2.9. Внутриобъектовый режим .............................................................. 209

12.3. Инженерно-технические средства охраны .......................................... 209

12.3.1. Общие положения ........................................................................... 210

12.3.2. Категорирование объектов охраны ................................................ 210

12.3.3. Требования к ИТСО объекта и их элементам................................ 211

12.3.4. Система сбора и обработки информации ...................................... 212

12.3.5. Технические средства охраны ........................................................ 213

12.3.7. Электропитание оборудования комплексной системы

безопасности ПС ......................................................................................... 223

12.3.8. Общие эксплуатационные требования к оборудованию

комплексной системы безопасности.......................................................... 224

Контрольные вопросы ................................................................................... 226

ГЛАВА 13. МЕЖДУНАРОДНЫЙ СТАНДАРТ БЕЗОПАСНОСТИ ISO/IEC

17799 ................................................................................................................. 227

13.1. Общие положения................................................................................. 227

13.2. Основные направления политики обеспечения информационной

безопасности .................................................................................................. 228

13.3. Организационные меры по обеспечению безопасности..................... 228

13.4. Задачи руководства организации по обеспечению информационной

безопасности .................................................................................................. 229

13.5. Координация вопросов, связанных с информационной

безопасностью ............................................................................................... 229

13.6. Процесс внедрения новой информационной системы........................ 230

13.7. Распределение ответственности за обеспечение безопасности ......... 230

13.8. Классификация и управление ресурсами ............................................ 230

13.8.1. Инвентаризация ресурсов ............................................................... 230

13.8.2. Классификация информационных ресурсов .................................. 231

13.9. Безопасность персонала ....................................................................... 231

13.9.1. Безопасность при выборе персонала .............................................. 231

13.9.2. Безопасность в процессе работы сотрудника ................................ 232

13.9.3. Правила увольнения или смены должности сотрудника .............. 232

13.10. Физическая безопасность ................................................................... 232

13.10.1. Безопасное уничтожение оборудования при выведении из

эксплуатации (списании) ............................................................................ 233

13.10.2. Безопасность рабочего места........................................................ 233

13.10.3. Управление коммуникациями и процессами ............................... 234

13.11. Защита от вредоносного ПО (вирусов, троянских коней) ................ 234

13.12. Управление внутренними ресурсами ................................................. 235

13.12.1. Резервное копирование информации ........................................... 235

13.12.2. Запись действий операторов ......................................................... 235

13.12.3. Безопасность носителей данных .................................................. 236

13.12.4. Контроль доступа .......................................................................... 236

13.13. Мобильные компьютеры и пользователи .......................................... 239

13.14. Разработка и техническая поддержка вычислительных систем ....... 240

13.15. Соответствие системы основным требованиям ................................ 245

13.16. Служебные инструкции и ответственность ....................................... 247

Контрольные вопросы ................................................................................... 250

ГЛАВА 14. АНАЛИЗ РИСКОВ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ

СИСТЕМ ........................................................................................................... 251

14.1. Основные этапы аудита ИБ .................................................................. 251

14.2. Британский стандарт ISO 17799:.......................................................... 253

14.3. Германский стандарт BSI ..................................................................... 253

14.4. Сравнение подходов ISO 17799 и BSI ................................................. 254

14.5. ISO 27001 .............................................................................................. 255

14.6. Стандарт ЦБ РФ − обеспечение ИБ организаций банковской

системы РФ .................................................................................................... 257

14.7. Оценка возможного ущерба (потерь) .................................................. 265

Контрольные вопросы ................................................................................... 270

ГЛАВА 15. ПРОВЕДЕНИЕ КОМПЛЕКСНОГО ОБСЛЕДОВАНИЯ

ЗАЩИЩЕННОСТИ ИС ................................................................................... 271

15.1. Цель проведения обследования (аудита) ............................................. 272

15.2. Стадии проведения обследования (аудита) ......................................... 273

15.3. Виды обследования (аудита) ................................................................ 274

15.4. Анализ угроз безопасности информации ............................................ 275

15.5. Состав работ по проведению аудита ................................................... 276

15.5.1. Планирование проведения обследования ...................................... 276

15.5.2. Проведение комплексного обследования ...................................... 276

15.5.3. Оценка эффективности существующей системы защиты ИС

с применением специализированных инструментариев ........................... 277

Контрольные вопросы ................................................................................... 277

ГЛОССАРИЙ ТЕРМИНОВ .............................................................................. 278

БИБЛИОГРАФИЧЕСКИЙ СПИСОК .............................................................. 287

ПРИЛОЖЕНИЕ А ............................................................................................. 293

ПРИЛОЖЕНИЕ Б ............................................................................................. 294

ПРИЛОЖЕНИЕ В ............................................................................................. 298

ПРЕДИСЛОВИЕ

Информация – основополагающий продукт социума. Ее актуальность и

достоверность представляют собой основу прогрессивных социальных отно-

шений. Информационные процессы пронизывают все стороны общественной

жизни, в них находят свое выражение интересы широкого круга субъектов,

функционирующих в среде государственного и муниципального управления

(ГМУ).

Право человека и гражданина на информацию – одно из важнейших

прав, закрепленных во Всеобщей Декларации прав человека. При этом в об-

щественных отношениях существует такая сфера, имеющая социальную при-

роду, как информация ограниченного доступа (тайна). Тайны, как элемент

системы выживания и устойчивого развития, сопровождают человечество на

всем пути его истории.

Определяемое государственной информационной политикой информа-

ционное взаимодействие является основой установления тех или иных взаи-

моотношений между властью и обществом. Тайны являются неотъемлемой

составляющей общественной жизни, частью правовой системы и могут слу-

жить даже своеобразным мерилом для определения вида политического ре-

жима в государстве, ибо состояние защиты секретов отражает характер взаи-

моотношений общества и государства, демократизации государственной вла-

сти. Тоталитарному государству свойственно чрезмерное расширение объема

сведений, относимых к информации с ограниченным доступом. С другой

стороны, для демократического государства характерны акценты на защите

прав человека, углублении правового регулирования отношений, связанных с

охраной личной и семейной тайны и институтами профессиональных тайн.

Особенно ярко это проявляется на уровне государственного и муниципально-

го управления (ГМУ).

Неизбежная интеграция России в структуры европейского и мирового

сообщества требует кардинального преобразования технологий управления и

пользования информацией на всех уровнях и во всех ветвях власти Россий-

ской Федерации. Успех проводимых реформ принципиально будет зависеть

от эффективности информатизации процесса ГМУ, эффективного использо-

вания информации ограниченного доступа. Когда постсоветский стиль