- •Защита информационных процессов в компьютерных системах краснодар
- •Классификационная схема понятий в предметной области защита информации
- •Глава 1. Методология защиты информационных процессов в компьютерных системах
- •1.1 Проблема защиты информации в компьютерных системах.
- •1.2 Угрозы и каналы утечки информации в компьютерных системах.
- •Р ис. 1.2.4. Обобщенная модель физического взаимодействия информационной системы с внешней средой
- •1. По природе возникновения.
- •2. По степени преднамеренности проявления.
- •3. По непосредственному источнику.
- •4. По положению источника.
- •5. По степени зависимости от активности ас.
- •6. По степени воздействия на ас.
- •7. По этапам доступа пользователей или программ к ресурсам ас.
- •8. По способу доступа к ресурсам ас.
- •9. По текущему месту расположения информации, хранимой и обрабатываемой в ас.
- •В этой связи все возможные ник целесообразно разделять на:
- •1.3 Политика и модели безопасности информации в компьютерных системах.
- •Политика безопасности верхних уровней – правового и административного
- •Политика безопасности среднего уровня – процедурного
- •Перечень защищаемых ресурсов ас
- •Политика безопасности нижнего уровня – программно-аппаратного
- •1. Модель дискреционного (дискретного) доступа.
- •2. Модель мандатного управления доступом Белла-Лападула.
- •3. Модели распределенных систем (синхронные и асинхронные).
- •12. Модель системы безопасности с полным перекрытием.
- •13. Модель гарантированно защищенной системы обработки информации.
- •14. Субъектно-объектная модель.
- •Модель Белла и Лападула
- •Модель понижения уровня субъекта.
- •Модель понижения уровня объекта.
- •Объединение моделей безопасности.
- •1.4. Концепция защиты информации от нсд.
- •Глава 2. Защита информации в автоматизированных системах
- •2.1. Комплексная система защиты информации в автоматизированных системах.
- •Классификатор средств и методов защиты
- •2.2. Организационно-правовая защита информации в автоматизированных системах.
- •Основные государственные правовые акты по защите информации в ас
- •2.3. Реализация методов защиты информации от нсд.
- •2.4. Критерии и стандарты защищенности автоматизированных систем.
- •2.4.1. Критерии оценки безопасности ас сша.
- •Группа d. Минимальная защита
- •Группа с. Дискреционная защита
- •Группа в. Мандатное управление доступом
- •Группа а. Верифицированная защита
- •Интерпретация и развитие tcsec
- •2.4.2 Европейские критерии безопасности информационных технологий
- •Основные понятия
- •Функциональные критерии
- •Критерии адекватности
- •2.4.3. Федеральные критерии безопасности информационных технологий.
- •Основные положения.
- •Профиль защиты
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •2.5 Показатели защищенности свт и ас от нсд.
- •2.5.1 Показатели защищенности свт по защите информации от нсд.
- •Показатели защищенности свт
- •Требования к показателям защищенности шестого класса
- •Требования к показателям пятого класса защищенности
- •Требования к показателям четвертого класса защищенности
- •Требования к показателям третьего класса защищенности
- •Требования к показателям второго класса защищенности
- •Требования к показателям первого класса защищенности
- •2.5.2 Классификация ас и требования по защите информации.
- •Требования к классу защищенности 3б.
- •Требования к классу защищенности 3а.
- •Требования к классу защищенности 2б.
- •Требования к классу защищенности 2а.
- •Требования к классу защищенности 1д.
- •Требования к классу защищенности 1г.
- •Требования к классу защищенности 1в:
- •Требования к классу защищенности 1б:
- •Требования к классу защищенности 1а:
- •2.6 Лицензирование деятельности в области защиты информации.
- •Перечень
- •Перечень
- •Подлежащих лицензированию фапси
- •Особенности сертификации средств защиты информации
Политика безопасности верхних уровней – правового и административного
Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима БИ. Чтобы достичь данной цели, следует учитывать специфику конкретной организации.
К политике безопасности верхнего уровня можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Список подобных решений включает в себя следующие элементы:
формирование или пересмотр комплексной программы обеспечения БИ, определение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области БИ, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Цели организации в области БИ формулируются в терминах конфиденциальности, целостности и доступности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Организация в первую очередь заботится о защите от НСД - конфиденциальности. На верхний уровень политики безопасности выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального личного состава для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим секретности.
Политика безопасности верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации. Однако может быть и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы. В политике определяются обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.
Политика безопасности верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:
организация должна соблюдать существующие законы;
следует контролировать действия лиц, ответственных за выработку программы безопасности;
необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний.
На верхний уровень политики безопасности выносится минимум вопросов. Подобное вынесение целесообразно, если оно сулит значительную экономию средств или когда иначе поступить просто невозможно. Условно верхний уровень подразделяется на два подуровня: правовой и административный.
Правовое обеспечение БИ в РФ регулируется следующими законами:
Конституция Российской Федерации от 12.12.93 г;
Закон РФ «Об информации, информатизации и защите информации» от 20.02.95;
Закон РФ «О государственной тайне» от 21.07.93.
Концепция информационной безопасности РФ от 9.9.2000 г.
Административные мероприятия по ЗИ в АС заключаются в разработке и реализации административных мер при подготовке и эксплуатации системы. Административные меры, не смотря на постоянное совершенствование технических мер, составляют значительную часть (40 %) системы защиты. Они используются тогда, когда АС не может непосредственно контролировать использование информации. В целях повышения эффективности защиты иногда технические меры продублировать административными. Административные меры по защите систем в процессе их функционирования подготовки к нему охватывают решения и процедуры, принимаемые руководством организации – потребителем системы. Хотя некоторые из них могут определяться внешними факторами, например, законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.
Административный уровень предусматривает поддержание правовой базы БИ и разработку (введение в действие) таких документов, как:
Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, учреждениям и организациям;
Перечень сведений, составляющих служебную, коммерческую, банковскую или другую тайну. Перечень определяет сведения, отнесенные к этим категориям, уровень и сроки обеспечения ограничений по доступу к защищаемой информации;
Приказы и распоряжения по установлению режима БИ:
- о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;
- о вводе в эксплуатацию объектов информатизации;
- о назначении выделенных помещений;
- о допуске сотрудников к работе с информацией ограниченного распространения;
- о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС.
Инструкции и функциональные обязанности личному составу:
- по организации охранно-пропускного режима;
- по организации делопроизводства;
- по организации работы с информацией на магнитных носителях;
- о защите информации ограниченного распространения в АС;
- по организации модификаций аппаратно-программных конфигураций ЭВМ;
- другие нормативные документы.
Административные меры по ЗИ в АС должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатационные системы.