- •Курс лекций по дисциплине информационная безопасность
- •Протодьяконова г.Ю., Протодьяконов п.С.
- •Коврова с.Е.
- •Содержание
- •Тема 1.2. Роль информатизации в развитии общества .8
- •Пояснительная записка
- •Цели и задачи дисциплины
- •Раздел 1. Информация и информационные ресурсы
- •Тема 1.1. Информация, ее виды и свойства
- •Измерение количества информации
- •1. Вероятностный подход.
- •2. Объемный подход
- •Cвойства информации
- •Тема 1.2. Роль информатизации в развитии общества
- •Тема 1.3. Информационные ресурсы
- •Документирование информации
- •Государственные информационные ресурсы
- •Пользование информационными ресурсами
- •Раздел 2. Информационная безопасность
- •Тема 2.1. Современная ситуация в области информационной безопасности Информационная безопасность. Основные виды и источники атак информации
- •Угроза безопасности информации
- •Виды угроз:
- •Дополнительные виды угроз:
- •Факторы угроз безопасности информации:
- •4. Основные угрозы безопасности информации и нормального функционирования ис :
- •Тема 2.2. Категории информационной безопасности
- •Системы информационной безопасности
- •Тема 2.3. Абстрактные модели защиты информации Защита информации
- •Модели защиты информации
- •Тема 2.4. Обзор наиболее распространенных методов взлома Комплексный поиск возможных методов доступа
- •Терминалы защищенной информационной системы
- •Технологии несанкционированного доступа (нсд)
- •Распространенные техники подбора паролей
- •Раздел 3. Методы и средства защиты информации
- •Тема 3.1. Проблемы защиты информации
- •Защита информации
- •Тема 3.2. Система защиты информации
- •Принципы проектирования систем защиты:
- •Организация работ по защите информации в системах электронной обработки данных
- •Тема 3.3. Защита информации от технических разведок
- •Средства технической разведки
- •Тема 3.4.Способы защиты информации от технических разведок
- •Борьба со скрытыми каналами взаимодействия с информационной сетью Программы-шпионы
- •Тема 3.5. Средства защиты от технических разведок
- •Дезинформация
- •Применение имитационного моделирования
- •Раздел 4. Защита информации при ее обработке техническими средствами
- •Тема 4.1. Технические средства обработки информации (тсои).
- •Классификация тсзи по функциональному назначению
- •Способы обработки данных
- •Комплекс технических средств обработки информации
- •Тема 4.2. Защита информации при ее обработке техническими средствами.
- •I. Организационные защиты информации
- •II.Технические средства и способы защиты информации
- •Аппаратные средства защиты информации
- •Программные средства обеспечения защиты информации
- •Криптографические методы защиты информации
- •III. Защищенные тсои
- •Тема 4.3. Защита информации от утечки за счет пэми и пэмн
- •Развязывающие устройства и приспособления
- •Утечка информации за счет пэмин
- •Тема 4.4. Защита информации от нсд Защита информации от нсд штатными техническими средствами
- •Штатное техническое средство информационного доступа (штс)
- •Доступ к информации
- •II. Компьютерное преступление
- •Нарушители и модель нарушителя правил доступа
- •2. Идентификация
- •3. Аутентификация. Средства аутентификации
- •Тема 4.5. Защита информации от воздействия специальных электронных закладных устройств (аппаратных закладок) и внешних воздействий
- •Тема 4.6. Криптографическая защита информации
- •Кодирование и шифрование
- •Наиболее известные криптосистемы
- •1. Классификация криптосистемы
- •2. Практическое применение
- •Системы потокового шифрования
- •Гост 28147-89 - отечественный стандарт шифрования данных
- •Криптосистема с открытым ключом
- •1. Системы с открытым ключом
- •2. Шифр простой подстановки
- •3. Шифры перестановки
- •4 . Шифр Вижинера
- •Методы перестановки
- •5. Одноразовая система шифрования
- •6. Методы шифрования с симметричным ключом Методы замены
- •Тема 4.7. Методы антивирусной защиты информации
- •Виды и характеристика вирусов
- •Основные классы антивирусных программ
- •Защита от вирусов
- •Раздел 5. Защита информации в информационных системах
- •Тема 5.1.: вычислительные сети и защита информации
- •I. Основные задачи обеспечения безопасности и информации в информационных системах
- •II. Меры по обеспечению сохранности информации. Угрозы безопасности в информации
- •Подходы и принципы сохранности информации
- •Тема 5.2. Защита локальных сетей и операционных систем
- •Уязвимость сетей
- •Тема 5.3. Проблемы защиты информации в интернет
- •1. Ограничения доступа в www серверах
- •2. World Wide Web серверы и проблема безопасности информации
- •3. Java, JavaScript и проблема безопасности
- •Раздел 6. Организационно- правовое обеспечение информационной безопасности
- •Тема 6.1. Информационное право Правовая защита информации
- •1. Право авторства и право собственности информационной системы
- •2. Сертификация информационных систем
- •3 . Защита информации
- •Защита информации и прав субъектов в области информационных систем
- •3. Права и обязанности субъектов в области защиты информации
- •5. Защита права на доступ к информации
- •Тема 6.2. Законодательство в области интеллектуальной собственности
- •Охрана товарных знаков
- •Охрана авторских прав
- •Охрана конфиденциальной информации
- •Органы и защита исключительных прав владельцев объектов ис
- •Тема 6.3. Правовая защита программ и информационных технологий Информационная безопасность Российской Федерации
- •Источники угроз информационной безопасности Российской Федерации
- •Состояние информационной безопасности рф и основные задачи по ее обеспечению
- •Особенности обеспечения информационной безопасности рф в различных сферах общественной жизни
- •Международное сотрудничество рф в области обеспечения информационной безопасности
- •Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •Организационная основа системы обеспечения информационной безопасности Российской Федерации
- •Фз «о правовой охране пргорамм для эвм и баз данных»
- •1. Общие положения
- •2. Исключительные авторские права
- •3. Использование программ для эвм и баз данных
- •4. Защита прав
- •1. Общие положения
- •2. Информационные ресурсы
- •3. Пользование информационными ресурсами
- •4. Информатизация, информационные системы, технологии и средства их обеспечения
- •5. Защита информации и прав субъектов в области информационных процессов и информатизации
- •Терминологический словарь
2. Сертификация информационных систем
При сертификации в Системе используют следующие нормативные документы: национальные, международные и межгосударственные стандарты; стандарты организаций; технические условия; отраслевые нормы; методические рекомендации и другие документы, заявленные организацией, проходящей сертификацию.
Порядок проведения сертификации информационных систем
Для проведения сертификации информационных систем разработчик или потребитель, использующий информационные системы (далее - заявитель) должен направить письменно заявку на ее проведение в Орган по сертификации Системы.
Заявка на сертификацию должна включать в себя основную информацию о заявителе, разработчике информационной системы, информационной системе. В случае указания в заявке неточных, неполных или недостоверных данных Орган по сертификации имеет право отклонить заявку.
Вместе с заявкой необходимо предоставить в орган по сертификации следующие обязательные документы и материалы;
письменное подтверждение согласия с Процедурой сертификации, подписанное руководителем организации-заявителя (заявителем);
Перечень заявленных показателей информационных систем, подлежащих сертификации;
«Программа и методика испытаний» в соответствии с РД 50-34.698-90 для проверки заявленных показателей;
акт проведения испытаний.
При оформлении заявки на сертификацию информационных систем, которые обрабатывают документированную информацию с ограниченным доступом (в том числе персональные данные), дополнительно представляются документы, подтверждающие использование в информационных системах сертифицированных средств защиты информации.
Документы и материалы, предоставленные организацией-заявителем на сертификацию,
не возвращаются.
После начала процесса сертификации исправления и дополнение представленных документов и материалов не допускаются.
Для проведения сертификации программных продуктов разработчик или потребитель, использующий программные продукты (далее - заявитель) должен направить письменно заявку на ее проведение в Орган по сертификации Системы.
Заявка на сертификацию должна включать в себя основную информацию о заявителе, разработчике программного продукта, программном продукте. Если заявителем является юридическое лицо, заявка оформляется на бланке организации-заявителя. В случае указания в заявке неточных, неполных или недостоверных данных Орган по сертификации имеет право отклонить заявку.
На сертификацию принимаются только рабочие версии программных продуктов (т.е., версии не содержащие ограничений по времени работы и других параметров).
Вместе с заявкой необходимо предоставить в орган по сертификации следующие обязательные документы и материалы:
письменное подтверждение согласия с процедурой сертификации, подписанное руководителем организации-заявителя (заявителем);
письменное согласие от организации, разработавшей программный продукт (в случае, если заявка подана от имени организации эксплуатирующей или продающей программный продукт);
«Техническое задание» по ГОСТ 19.201-78;
«Спецификация» по ГОСТ 19.202-78;
«Описание программы» по ГОСТ 19.402-78;
«Описание применения» по ГОСТ 19.502-78;
«Руководство пользователя» по РД 50-34.698-90;
«Программа и методика испытаний» по ГОСТ 19.301-79;
акт проведения испытаний;
две дистрибутивные копии программного средства на дискетах 3,5" или компакт дисках. Дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на дискетах и компакт дисках, в списке должны быть указаны объем файлов, дата и время их создания;
копия документа (лицензии), подтверждающего легальность покупки фирмой- разработчиком инструментальных и общесистемных программных средств (ОС, СУБД, языки программирования), использованных для разработки программных продуктов, предоставленных на сертификацию.
При оформлении заявки на сертификацию программных продуктов, предназначенных для обработки и хранения персональных данных, дополнительно представляются:
руководство по использованию защитных механизмов;
руководство по управлению средствами защиты;
• исходные тексты программ (ГОСТ 19.401-78);
....
• тестовая документация, содержащая описание тестов и испытаний, ко
подвергались программные продукты, а также результаты тестирования.
Документы и материалы, предоставленные организацией-заявителем на сертификацию, не возвращаются.
После начала работ по сертификации исправления к программному продукту и/или документации не принимаются.
Инспекционный контроль за сертифицированными объектами
Инспекционный контроль за соблюдением требований к сертифицированным информационным системам и программным продуктам проводит орган по сертификации, выдавший сертификат соответствия.
Инспекционный контроль осуществляют в рамках схемы сертификации в течение всего срока действия сертификата соответствия в форме плановых и внеплановых проверок, не реже одного раза в год.
Объем, содержание, порядок проведения инспекционного контроля определяет орган по сертификации с учетом схемы сертификации, по которой она проводилась.
Внеплановый инспекционный контроль проводят при поступлении информации о претензиях к сертифицированным информационным системам и программным продуктам.
По результатам инспекционного контроля может быть принято одно из следующих решений, которое оформляется в форме акта:
• считать сертификат соответствия и предоставленное заявителю право на применение знака соответствия подтвержденными;
• приостановить действие сертификата соответствия и разрешения на применение знака
соответствия;
• отменить действие сертификата соответствия и разрешения на применение знака
соответствия.
При положительных результатах инспекционного контроля орган по сертификации осуществляет подтверждение действия выданного сертификата соответствия и Разрешения на применение Знака соответствия.
При отрицательных результатах инспекционного контроля орган по сертификации подготавливает решение о приостановлении действия сертификата соответствия или отмене его действия, и представляет решение держателю сертификата соответствия.
Информация о приостановлении действия или отмене сертификата соответствия
доводится органом по сертификации до сведения держателя сертификата и всех
заинтересованных организаций не позднее 7 дней с момента принятия решения.