Информационная безопасность и методология защиты информации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Государственное образовательное учреждение высшего профессионального образования Алтайский государственный технический университет им. И.И. Ползунова Загинайлов Ю.Н. ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ Курс визуальных лекций Специальность 090104 «Комплексная защита объектов информатизации» Барнаул 2010 УДК 621.38.067 (075.8) Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: курс визуальных лекций / Ю.Н. Загинайлов; Барнаул: АлтГТУ.-2010- -104с. Изложены теоретические основы информационной безопасности на уровне Российской Федерации, организации, технической системы. Приведены объекты обеспечения информационной безопасности, угрозы объектам, политики и структуры систем обеспечения информационной безопасности. Рассмотрены понятия и классификации защищаемой информации, угроз безопасности информации, объектов, способов, средств и систем защиты информации. Предназначены для студентов специальности 090104 «Комплексная защита объектов информатизации». © Загинайлов Ю.Н., текст, 2010 © Загинайлов Ю.Н., оформление и дизайн, 2010 ©Алтайский государственный технический университет им. И.И. Ползунова, 2010 2 СОДЕРЖАНИЕ ЧАСТЬ I ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Лекция 1 Лекция 2 Лекция 3 Лекция 4 Информационная безопасность и её составляющие………………... Место информационной безопасности в системе национальной безопасности России………………………………………………… Теоретические основы информационной безопасности Российской Федерации……………………………………………………………… Теоретические основы информационной безопасности организации……………………………………………………………. Стр. 4 11 18 27 Часть II МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ Лекция 5. Лекция 6 Лекция 7 Лекция 8 Понятие, сущность и цели защиты информации…………………… Теоретические основы и методологический базис защиты информации……………………………………………………………. Состав и основные свойства защищаемой информации…………… Лекция 15 Классификация информации ограниченного доступа по видам тайны и степеням конфиденциальности……………………………... Понятие, классификация и оценка угроз безопасности информации……………………………………………………………. Источники и способы реализации угроз безопасности информации. Уязвимости систем обработки информации………… Каналы утечки информации и методы несанкционированного доступа к информации ограниченного доступа…………………….. Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к конфиденциальной информации……………………………………... Объекты защиты информации………………………………………... Классификация видов, способов, методов и средств защиты информации……………………………………………………………. Назначение и структура систем защиты информации……………… Лекция 16 Комплексная система защиты информации на предприятии………. Лекция 9 Лекция 10 Лекция 11 Лекция 12 Лекция 13 Лекция 14 Список литературы ……………………………………………..... 3 34 39 45 49 55 59 66 71 77 81 87 93 103 4 5 6 7 8 9 10 11 12 13 14 15 16 17 3.1 Концептуальная модель ИБ РФ и основные понятия ПОНЯТИЕ И КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ИБ РФ Теоретические основы информационной безопасности Российской Федерации, призваны в форме научного знания, дать целостное представление об объектах и субъектах обеспечения информационной безопасности, угрозах этим объектам и интересам Российской Федерации, политике и системе обеспечения информационной безопасности, о принципах, закономерностях и существенных связях между ними. Под информационной безопасностью РФ следует понимать состояние защищённости её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства от внутренних и внешних угроз способных нанести ущерб этим интересам. Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ отражается в специальном нормативно-методическом документе, утверждаемом Президентом РФ доктрине информационной безопасности Российской Федерации. ГОСУДАРСТВО – основной субъект обеспечения ИБ РФ Осуществление деятельности по обеспечению ИБ РФ возложено на государство, которое в соответствии с законодательством является основным субъектом обеспечения безопасности. 1. Доктрина информационной безопасности РФ 2. Стратегия развития информационного общества в РФ 3. Стратегия национальной безопасности Определяют содержание компонентов ИБ РФ Кроме этого вопросы обеспечения информационной безопасности отражаются в документах раскрывающих стратегию и обеспечение национальной безопасности, программы информатизации, развития информационной и информационнотелекоммуникационной инфраструктуры и построения информационного общества в РФ. Концептуальная модель информационной безопасности Российской Федерации Информационная безопасность Российской Федерации К О Объекты ИБ РФ М П Угрозы объектам ИБ РФ 18 О Н Е Государственная политика обеспечения ИБ РФ Н Т Ы Система обеспечения ИБ РФ 2 3.2 Объекты и угрозы информационной безопасности России ГРУППЫ ОБЪЕКТОВ 1. Интересы в области информационных прав и свобод 2. Информация в форме сведений и сообщений (ИР) в ИС, ИТКС и др.ТСОИ 3. Объекты информационной инфраструктуры РФ (ИТ, ИС, ИТКС, помещения) НЕПОСРЕДСТВЕННЫЕ ОБЪЕКТЫ ОБЕСПЕЧЕНИЯ ИБ РФ информационныеправа праваиисвободы свободычеловека человекаиигражданина гражданиназакреплённые закреплённыевв - -информационные Конституцииииинформационном информационномзаконодательстве законодательстве Конституции достоинстволичности, личности,свобода свободасовести, совести,свобода свободамысли мыслииислова, слова,аатакже такжесвобода свобода - -достоинство лит.,худ., худ.,научного, научного,технического техническогоиидругих другихвидов видовтворчества, творчества,преподавания; преподавания; лит., свободамассовой массовойинформации; информации; - -свобода неприкосновенностьчастной частнойжизни, жизни,личная личнаяиисемейная семейнаятайна. тайна. - -неприкосновенность общедоступныеИР ИРввИС ИСфедеральных федеральныхорганов органовисполнительной исполнительнойвласти властиииСМИ; СМИ; - -общедоступные ИРгосударственных государственныхорганов, органов,предприятий предприятийоборонного оборонногокомплекса, комплекса, - -ИР правоохранительныхорганов, органов,содержащие содержащиеинформацию информациюограниченного ограниченногодоступа доступа правоохранительных (сведения,отнесенные отнесенныеккгосударственной государственнойтайне, тайне,ииконфиденциальную конфиденциальнуюинформацию); информацию); (сведения, результатыфундаментальных, фундаментальных,поисковых поисковыхииприкладных прикладныхнаучных научных - -результаты исследований,потенциально потенциально важные для научно-технического, технологического и социальноисследований, важные для научно-технического, технологического и социальноэкономического развития страны, включая сведения, утрата которых может нанести ущерб экономического развития страны, включая сведения , утрата которых может нанести ущерб национальныминтересам интересамиипрестижу престижуРФ; РФ; национальным незапатентованныеизобретения, изобретения,промышленные промышленныеобразцы, образцы,полезные полезныемодели моделиии - -незапатентованные экспериментальноеоборудование оборудование(объекты (объектыинтеллектуальной интеллектуальнойсобственности) собственности); ; экспериментальное ИСииИТКС ИТКС(их (ихинформативные информативныефизические физическиеполя) поля)обеспечения обеспечениянужд нужд - -ИС государственного управления, обороны страны, национальной безопасности государственного управления, обороны страны, национальной безопасности ии правопорядка; правопорядка; ИСииИТКС ИТКСключевых ключевыхобъектов объектовинфраструктуры инфраструктурыРФ РФ, ,ввтом томчисле числекритических критических - -ИС важныхобъектов, объектов,ииобъектов объектовповышенной повышеннойопасности; опасности; важных корпоративныеиииндивидуальные индивидуальныеИС ИСииИТКС; ИТКС; - -корпоративные ИТ и ИТТ, АСУ, системы связи и передачи данных,осуществляющие осуществляющиеприем, прием, - ИТ и ИТТ, АСУ, системы связи и передачи данных, обработку,хранение хранениеиипередачу передачуИОД, ИОД,их ихинформативные информативныефизические физическиеполя; поля; обработку, помещения,предназначенные предназначенныедля дляведения ведениязакрытых закрытыхпереговоров, переговоров,аатакже также - -помещения, переговоров,ввходе ходекоторых которыхоглашаются оглашаютсясведения сведенияограниченного ограниченногодоступа; доступа; переговоров, 4 19 3.2 Объекты и угрозы информационной безопасности России ВИДЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ I. ВИДЫ УГРОЗ ИБ РФ ОБЩЕЙ НАПРАВЛЕННОСТИ 1 Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности 2 Угрозы информационному обеспечению государственной политики РФ 3 Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи 4 Угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. УГРОЗЫ КОНСТИТУЦИОННЫМ ПРАВАМ И СВОБОДАМ ЧЕЛОВЕКА И ГРАЖДАНИНА В ОБЛАСТИ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ Принятие органами государственной власти, нормативных правовых актов, ущемляющих 1 конституционные права и свободы граждан в области и информационной деятельности; 3 Противодействие в реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений; 4 Нерациональное, чрезмерное ограничение доступа к общественно необходимой информации; 5 3.2 Объекты и угрозы информационной безопасности России УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СРЕДСТВ И СИСТЕМ 1 Противоправные сбор и использование информации; 2 3 Нарушения технологии обработки информации; Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; Разработка и распространение программ, нарушающих нормальное функционирование ИС ИТКС, в том числе систем защиты информации (Программные вирусы и закладки); 4 5 Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи; 6 7 8 9 Воздействие 10 11 12 13 14 на парольно - ключевые системы защиты АС обработки и передачи информации; Компрометация ключей и средств криптографической защиты информации; Утечка информации по техническим каналам; Внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; Уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; Перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; Использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры; Несанкционированный доступ к информации, находящейся в банках и базах данных; Нарушение законных ограничений на распространение информации (разглашение, шпионаж). 6 20 3.2 Объекты и угрозы информационной безопасности России ИСТОЧНИКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ К внешним источникам относятся:       Деятельность иностранных разведывательных и информационных структур, направленная против интересов РФ в информационной сфере; деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств; Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на ИС и ТКС, сохранности ИР, получение несанкционированного доступа к ним. Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информ -ных рынков; Технологический отрыв ведущих держав мира в области ИТ, обострение международной конкуренции за обладание ИТ и ресурсами; Деятельность международных террористических организаций; К внутренним источникам относятся:       Слабое развитие отечественных отраслей промышленности?; Неблагоприятная криминогенная обстановка, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере; Недостаточная координация деятельности органов государственной власти по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ; Недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; Неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России; Отставание России от ведущих стран мира по уровню информатизации всех сфер деятельности 7 3.3 Политика обеспечения информационной безопасности Российской Федерации ПРИНЦИПЫ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ ОБЕСПЕЧЕНИЯ ИБ РФ 1 Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению ИБ РФ; 2 Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ; 3 Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; 4 Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, 1глобальным информационным сетям в целях соблюдения жизненно их подключение к важных интересов РФ. 1 8 21 3.3 Политика обеспечения информационной безопасности Российской Федерации ФУНКЦИИ ГОСУДАРСТВА ПО ОБЕСПЕЧЕНИЮ ИБ РФ 1 Проводит объективный и всесторонний анализ и прогнозирование угроз разрабатывает меры по ее обеспечению; ИБ РФ, 2 Организует работу законодательных (представительных) и исполнительных органов государственной власти РФ по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз ИБ РФ; 3 Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; 4 Осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; 5 Проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ 6 Способствует предоставлению физическим и юридическим лицам информационным ресурсам, глобальным информационным сетям; 7 Организует разработку федеральной программы обеспечения усилия государственных и негосударственных организаций в данной 8 ИБ РФ, объединяющей области; Способствует интернационализации глобальных информационных вхождению России в мировое информационное 9 доступа к мировым сетей и систем, а также сообщество на условиях равноправного партнерства. Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области ИБ РФ!!! 9 3.4 Система обеспечения ИБ РФ СИСТЕМА ОБЕСПЕЧЕНИЯ ИБ РФ (СОСТАВ) ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИБ РФ МВК Совета Безопасности РФ в области ИБ ОРГАНИЗАЦИОННАЯ ОСНОВА СОИБ РФ Органы законодательной, исполнительной, судебной власти Координирует деятельность органов и сил по обеспечению ИБ Организационное обеспечение ИБ РФ 1. Законы РФ и международные договоры. 2. Подзаконные акты: Президента РФ, Правительства РФ СИСТЕМА ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (СЗИ ГТ) Органы защиты ГТ: 1. МВК ЗГТ, 2.ФСБ РФ, 3. СВР РФ, 4. МО РФ, 5. Организации и их подразд-я по защите ГТ (МВК по защите ГТ) – координирует ГОСУДАРСТВЕННАЯ СИСТЕМА ПДТР и ТЗИ (противодействия техн-ким разведкам и технической защиты информации) Президент РФ, Правительство РФ, Совет федерации, Госдума, Совет безопасности, МВК, Органы исполнительной, судебной власти, Общественные объединения, граждане, СИСТЕМА ПОДГОТОВКИ КАДРОВ В ОБЛАСТИ ИБ СИСТЕМА ЗАЩИТЫ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ Организует ФОИВИС (Роспатент) Организует ФСТЭК России Минобрнауки деятельность СИСТЕМЫ ЛИЦЕНЗИРОВАНИЯ СИСТЕМЫ СЕРТИФИКАЦИИ СрЗИ (3 системы) (3 системы сертификации) 1. В области защиты гостайны 1. По требованиям безопасности 2. В области защиты конфид-й информации информации 2. Криптографических средств 3. В области криптографической защиты защиты информации 3. Средств защиты ГТ (СЗИ-ГТ) СИСТЕМА ЭКСПОРТНОГО КОНТРОЛЯ ФСТЭК России СИСТЕМА ЗАЩИТЫ информационных прав субъектов и противодействия преступлениям в информационной сфере Органы судебной власти, Общественная палата Уполномоченные по правам человека Прокуратура, МВД России (Управление К) 10 22 3.4 Система обеспечения ИБ РФ ОСНОВНЫЕ ФУНКЦИИ СОИБ РФ: 1 2 4 4 5 6 7 8 9 Разработка и совершенствование нормативной правовой базы в области обеспечения ИБ РФ; Создание условий для реализации прав граждан и общественных объединений в информационной сфере, определение и поддержание баланса между потребностью субъектов в свободном обмене информацией и необходимыми ограничениями на её распространение; Оценка состояния, источников угроз ИБ РФ, определение приоритетных направлений противодействия этим угрозам ( предотвращения, отражения и нейтрализации этих угроз); Координация и контроль деятельности органов, решающих задачи обеспечения ИБ РФ (федеральных органов государственной власти и других государственных органов) Защита государственных ИР, (прежде всего в федеральных органах государственной государственной власти субъектов РФ, на предприятиях оборонного комплекса); власти и органах Предупреждение, выявление и пресечение правонарушений, в информационной сфере, осуществление судопроизводства по делам о преступлениях в этой области; Совершенствование системы подготовки кадров, используемых в области ИБ РФ; Обеспечение контроля за созданием и использованием СрЗИ посредством обязательного лицензирования деятельности в данной сфере и сертификации СрЗИ; Организация разработки федеральной и региональных программ, фундаментальных и прикладных научных исследований, проведение единой технической политики обеспечения ИБ и координация деятельности по их реализации 10 Осуществление международного сотрудничества в области обеспечения ИБ, представление интересов РФ в соответствующих международных организациях. 11 3.4 Система обеспечения ИБ РФ Правовое обеспечение ИБ РФ Правовое обеспечение информационной безопасности является самостоятельным комплексным направлением правового регулирования отношений в области проявления угроз объектам информационной безопасности и противодействия эти угрозам на основе норм и институтов различных отраслей права (конституционного, гражданского, уголовного, и информационного). Система правового обеспечения ИБ РФ. Включает отдельные нормативные правовые акты, специально предназначенные для регулирования отношений в области обеспечения информационной безопасности, и отдельные нормы в этой области, содержащиеся в нормативных правовых актах различных отраслей законодательства. К нормативным правовым актам относятся: - федеральные законы РФ и законы субъектов РФ, в том числе технические регламенты; - Указы Президента РФ; - Постановления Правительства РФ; - нормативные правовые акты федеральных органов исполнительной власти уполномоченных осуществлять правовое регулирование в области информационной безопасности и защиты информации. Правовое обеспечение создаёт правовую основу для функционирования всех других систем в области ИБ и управления ими со стороны Президента РФ и Правительства РФ. 12 23 3.4 Система обеспечения ИБ РФ Организационная основа СОИБ Правовое обеспечение информационной безопасности является самостоятельным комплексным направлением правового регулирования отношений в области проявления угроз объектам информационной безопасности и противодействия эти угрозам на основе норм и институтов различных отраслей права (конституционного, гражданского, уголовного, и информационного). Система правового обеспечения ИБ РФ. Включает отдельные нормативные правовые акты, специально предназначенные для регулирования отношений в области обеспечения информационной безопасности, и отдельные нормы в этой области, содержащиеся в нормативных правовых актах различных отраслей законодательства. К нормативным правовым актам относятся: - федеральные законы РФ и законы субъектов РФ, в том числе технические регламенты; - Указы Президента РФ; - Постановления Правительства РФ; - нормативные правовые акты федеральных органов исполнительной власти уполномоченных осуществлять правовое регулирование в области информационной безопасности и защиты информации. Правовое обеспечение создаёт правовую основу для функционирования всех других систем в области ИБ и управления ими со стороны Президента РФ и Правительства РФ. 13 3.4 Система обеспечения ИБ РФ Система защиты государственной тайны Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях. Вся деятельность по защите государственной тайны в России осуществляется в соответствии с законом РФ «О государственной тайне». Коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне, является Межведомственная комиссия по защите государственной тайны. Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации. Государственная система противодействия техническим разведкам (ПДТР) и технической защиты информации (ТЗИ). Государственная система противодействия техническим разведкам (ПДТР) и технической защиты информации (ТЗИ). Организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой возложено законодательством РФ на Федеральную службу по техническому и экспортному контролю (до 2004 года именовалась – Гостехкомиссия России). 14 24 3.4 Система обеспечения ИБ РФ Система подготовки кадров в области информационной безопасности. Система подготовки кадров в области информационной безопасности. Она включает: - учреждения высшего и среднего профессионального образования, ведущие подготовку по направлению Информационная безопасность с уровнем подготовки: техник, бакалавр, специалист, магистр; - государственные образовательные стандарты высшего (ГОС ВПО) и среднего специального образования в области информационной безопасности; - научную специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность», для подготовки кадров высшей квалификации (кандидат наук, доктор наук), включающей физико-математические науки, технические науки, юридические науки; - учебно – методическое объединение (УМО) вузов по образованию в области информационной безопасности и учебнометодический совет ( в структуре УМО в области истории и архивоведения). - курсы переподготовки и повышения квалификации в этой области, действующие на базе вузов и центров информационной безопасности. Система защиты интеллектуальной собственности Система защиты интеллектуальной собственности. Образуется совокупностью: - законодательства РФ в области интеллектуальной собственности, основу которого составляет часть IV Гражданского кодекса РФ; - федерального органа исполнительной власти уполномоченного в области интеллектуальной собственности (Роспатент); - органами МВД, осуществляющими борьбу с нарушениями в области интеллектуальной собственности; - общественными организациями в области коллективного управления авторскими правами (Российское авторское общество и др.). 15 3.4 Система обеспечения ИБ РФ Система защиты информационных прав субъектов и противодействия преступлениям в информационной сфере. Система защиты информационных прав субъектов и противодействия преступлениям в информационной сфере. Эта система включает: - нормы Конституции РФ и нормы федеральных законов, содержащие информационные права; - суды различных инстанций, органы прокуратуры, осуществляющие защиту информационных прав граждан, общественных организаций; - общественные институты (общественная палата при Президенте РФ) и специальные институты по правам человека (уполномоченные по правам человека) и др.; - специальные органы в системе МВД России (Управление «К») по борьбе с преступлениями в сфере высоких технологий. Система экспортного контроля Система экспортного контроля. Руководство указанной государственной системой возложено законодательством РФ на Федеральную службу по техническому и экспортному контролю Система научно-исследовательских институтов ( НИИ), научных и научноисследовательских центров в области ИБ Система научно-исследовательских институтов ( НИИ), научных и научно-исследовательских центров в области ИБ предназначена для осуществления фундаментальных и прикладных научных исследований в области обеспечения ИБ РФ. Она включает: - специализированные в области ИБ научно-исследовательские институты при Академии наук РФ, вузах, ведомствах и ведомственных вузах (ФСБ России, ФСТЭК России); - специализированные научные и научно – исследовательские центры в области ИБ, как при государственных учреждениях и органах государственной власти, так и негосударственных; - учебно-научные центры при ведущих вузах России. 16 25 3.4 Система обеспечения ИБ РФ Системы лицензирования по видам деятельности в области ИБ. Системы лицензирования по видам деятельности в области ИБ. Для регламентации деятельности в области информационной безопасности в России функционируют три системы лицензирования: - система лицензирования в области защиты государственной тайны (регламентируется законодательством «О государственной тайне»); - система лицензирования в области защиты конфиденциальной информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства РФ); - система лицензирования в области криптографической защиты информации (регламентируется законом «О лицензировании отдельных видов деятельности» и нормативными актами Правительства РФ). Каждая из систем имеет сеть аккредитованных лицензионных центров в субъектах РФ. Виды деятельности и условия лицензирования по ним в рамках каждой системы определены нормативными актами Правительства РФ. Системы сертификации средств обеспечения ИБ Системы сертификации средств обеспечения ИБ. Сертификация средств защиты информации осуществляется в целях подтверждения их соответствия требованиям технических регламентов, стандартов, специальных нормативных документов в области ИБ. К сертификации относится также аттестация объектов информатизации по требованиям безопасности информации. Она проводится в соответствии с нормами Федерального закона «О техническом регулировании». Системы сертификации: 1.Система сертификации средств защиты информации по требованиям безопасности информации Р0СС RU. 0001. 01БИ00; 2. Система сертификации средств криптографической защиты информации РОСС.RU.0001.030001; 3. Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (СЗИ-ГТ). 17 26 3.1 Концептуальная модель ИБ РФ и основные понятия ПОНЯТИЕ И КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ИБ ОРГАНИЗАЦИИ Теоретические основы информационной безопасности организации, призваны в форме научного знания, дать целостное представление об объектах информационной безопасности организации, угрозах этим объектам и интересам субъектов, политике и системе обеспечения информационной безопасности организации, их закономерностях и существенных связях между собой и окружающей средой. В качестве такой формы научных знаний, основанных на практическом опыте следует считать международные стандарты в области информационной безопасности, принятые в России на уровне национальных. Их необходимо рассматривать как основные источники теории ИБ организации: - Стандарты одна из форм накопления знаний; - В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами ГОСТ Р ИСО/МЭК 27001 -2006 Национальный стандарт РФ. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Требования. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК 13335 Национальный стандарт РФ. Информационная технология. Методы и средства обеспечения безопасности. Части 1-5.(2006-2007) ГОСТ Р ИСО/МЭК 15408-2008 Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3. Стандарты предназначены для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями) и содержат концепции и модели по менеджменту ИБ, руководства по управлению безопасностью ИТ и ИТТ на которых основаны бизнес-процессы организации, методы управления рисками в этой области, меры организационного, технического характера по обеспечению безопасности ИТ (ИТТ), меры физической защиты и 2 27 3.1 Концептуальная модель ИБ РФ и основные понятия ПОНЯТИЕ И КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ИБ ОРГАНИЗАЦИИ Информационная безопасность организации - это состояние защищённости объектов (активов) организации, при котором обеспечивается конфиденциальность, целостность, доступность информации. Проблемы ИБ организации могут включать в себя потерю: - Конфиденциальности; - целостности; - доступности ; - подотчетности; - аутентичности; - Достоверности информации или средств её обработки Концептуальная модель информационной безопасности организации Информационная безопасность К О Объекты ИБ М П Н Угрозы Уязвимости Е Политика обеспечения ИБ Угрозы объектам ИБ К О М П О Н Е Н Т Ы Активы О ИБ Н Т Ы Система обеспечения ИБ О Р Г А Н И З А Ц И И Политика ИБ организации Защитные меры Риски 3 3.1 Концептуальная модель ИБ РФ и основные понятия ПОНЯТИЕ ИБ ОРГАНИЗАЦИИ С позиции управления информационной безопасностью организации информационная безопасность определяется, как свойство информации сохранять конфиденциальность, целостность и доступность. С позиции безопасности ИТ (ИТТ), на которых основаны бизнес-процессы организации информационная безопасность - это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. 4 28 3.2 Объекты и угрозы информационной безопасности организации ОБЪЕКТЫ ОБЕСПЕЧЕНИЯ ИБ ОРГАНИЗАЦИИ Основными объектами обеспечения информационной безопасности организации являются ее активы Активы (А) - все, что имеет ценность для организации 1. Информация /данные: а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.); (имидж) организации и доброе имя участников организации и т.п.); б) информация в форме сообщений (документы, закрепляющие права собственников организации на б) информация в форме сообщений (документы, закрепляющие права собственников организации на материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и.т.п.); на выполнение работ и оказание услуг, документация на выпускаемые изделия и.т.п.); в) информация (данные) в форме электронных документов (информационные ресурсы в составе в) информация (данные) в форме электронных документов (информационные ресурсы в составе ИС); ИС); 2. Объекты информационной инфраструктуры - ИС и ИТКС (их информативные физические поля) обеспечивающие бизнес-процессы организации ; - ИС и ИТКС (их информативные физические поля) обеспечивающие бизнес-процессы организации ; - ИТ и ИТТ, АСУ, системы связи и передачи данных, осуществляющие прием, обработку, хранение и - ИТ и ИТТ, АСУ, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации, их информативные физические поля; передачу информации, их информативные физические поля; - помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе - помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа; которых оглашаются сведения ограниченного доступа; 3. Интересы организации 4. Продукция и услуги а) правовой статус организации как объекта информационной сферы – юридического лица (права на а) правовой статус организации как объекта информационной сферы – юридического лица (права на объекты интеллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание услуг, на объекты интеллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание услуг, на доступ к общедоступной информации государственных органов, и т.п., а также обязанности по предоставлению в доступ к общедоступной информации государственных органов, и т.п., а также обязанности по предоставлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по уполномоченные государственные органы сведений о результатах экономической деятельности, по предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п., ) аукционах и т.п., ) б) персонал организации (его интересы по соблюдению режима персональных данных, права на объекты б) персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллектуальной собственности и на доступ к информации и т.п.); интеллектуальной собственности и на доступ к информации и т.п.); а). продукция организации; а). продукция организации; б) услуги (например, информационные, вычислительные услуги); б) услуги (например, информационные, вычислительные услуги); в) конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей); в) конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей); 5 3.2 Объекты и угрозы информационной безопасности организации УГРОЗЫ ОБЪЕКТАМ ОБЕСПЕЧЕНИЯ ИБ ОРГАНИЗАЦИИ С понятием угрозы неразрывно связаны понятия: инцидент информационной безопасности, уязвимость, риск: Угроза (T) потенциальная причина инцидента, который может нанести ущерб системе или организации Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими компонентами безопасности: - источник, внутренний или внешний; - мотивация, например финансовая выгода, конкурентное преимущество; - частота возникновения; - правдоподобие; - вредоносное воздействие. Примеры угроз: целенаправленные угрозы, обусловленные человеческим фактором: подслушивание/перехват, модификация информации, атака хакера на систему, злонамеренный код (вирус), хищение информации или носителя информации. При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий. инцидент информационно й безопасности (I) Уязвимость (V) Риск (R) = (V) *(T) - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность; Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами; Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. При оценке уровень уязвимости может быть определен как высокий, средний или низкий - потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. Обработка риска включает в себя устранение, снижение, перенос и принятие риска. 29 6 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 СПИСОК ЛИТЕРАТУРЫ 1. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб.пособие для вузов.-М:Горячая линия-Телеком, 2004.-280с. 2. Расторгуев С.П. Основы информационной безопасности. .- М.: Издательский центр «Академия», 2008.- 192с. 3. Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков; под. ред. С. А. Клейменова. — 3-е изд., стер. - М.: Издательский центр «Академия», 2008. — 336 с. 4. Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: учебное пособие. - Барнаул: АлтГТУ, 2010 – 240с. 5. 6.Организационно – правовое обеспечение информационной безопасности: учеб. пособие для студ. высш. учеб. заведений / М.: Издательский центр «Академия», 2008.-256с. 6. Загинайлов Ю.Н. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: Изд-во АлтГТУ, 2002.-112с. (40экз. библ.). 7. Грибунин В.Г. Комплексная система защиты информации на предприятии: учебник для студ. высш. учеб. заведений./ В.Г.Грибунин, В.В. Чудовский.- М.: Издательский центр «Академия», 2008.-320с. ( 25 экз. Гриф УМО) 8. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность сетевых технологий. -СПб.: БХВ Санкт-Петербург, 2000.-320с. 9. Торокин А.А. Инженерно-техническая защита информации. М.:Гелиос АРВ, 2005 10. Бачилло И.Л.,Лопатин В.Н., Федотов М.А. Информационное право: Учебник/ Под ред.акад.РАН Б.Н. Топорнина.-СПб.:Издательство «Юридический центр Пресс»,2001.-789с. (10 экз.ч.з, + Эл. ресурс. –http://www.edu.lib.ru, гриф МО РФ) ). 11. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 12. Закон Российской Федерации "О безопасности" от 05.03.92 [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 13. Закон РФ № 54-1 от 21.07.1993 г. «О государственной тайне». [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 14. Федеральный Закон РФ от 29.07.2004г. №98-ФЗ «О коммерческой тайне». [электронный ресурс]: -режим доступа: http://www.garant.ru/ 15. Федеральный закон РФ № 152 –ФЗ 2006г. «О персональных данных». [электронный ресурс]: режим доступа: http://www.garant.ru/ 16. Постановление Правительства Российской Федерации от 04.09.95 № 870 "Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности" [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ Ауд.94 ПК.(Платформа F1 Гарант; 17. Указ Президента Российской федерации от 06.03.97 № 188 "Об утверждении перечня сведений конфиденциального характера" [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ.(Платформа F1 Гарант ); 18. Указ Президента Российской федерации от 24.01.98 № 61 "Об утверждении перечня сведений, отнесенных к государственной тайне" [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 19. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895). [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 20. Стратегия развития информационного общества в Российской Федерации (утв. Президентом РФ 7 февраля 2008 г. N Пр-212). [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 21. Стратегия национальной безопасности Российской Федерации до 2020 года (утв. Указом Президента РФ от 12 мая 2009 г. N 537). [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/ 103 22. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008 -10с. [электронный ресурс]:режим доступа: http:// www.fstec.ru 23. ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2007 -7с. [электронный ресурс]:- режим доступа: http:// www.fstec.ru 24. ГОСТ Р ИСО/МЭК 27001-2006. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2008-48с. 25. ГОСТ Р ИСО/МЭК 13335-1-2006. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. М.: Стандартинформ, 2007 -19с. 26. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. М.: Cтандартинформ, 2007-46с. 27. ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер. М.: Стандартинформ, 2007 -63с. 28. Руководящий документ.Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [электронный ресурс]: -режим доступа: http://www.fstec.ru/_razd/_isp0o.htm- Загл. с экрана. 29. Руководящий документ. Средства вычислительной техники Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [электронный ресурс] : -режим доступа: http://www.fstec.ru/_razd/_isp0o.htm- Загл. с экрана. 30. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [электронный ресурс] : -режим доступа: http://www.fstec.ru/_razd/_isp0o.htm- Загл. с экрана. 31. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [электронный ресурс] : -режим доступа http://www.fstec.ru/_razd/_isp0o.htm- Загл. с экрана. 32. Руководящий документ. Антивирусные средства. Показатели защищенности и требования по защите от вирусов. РД ГТК. РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов. - М. 1997. 33. Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:- режим доступа: http:// www.fstec.ru. 34. Правовая справочная система «Гарант» [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ.(Платформа F1 Гарант); 2. http://www.garant.ru/ 35. Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru// 104