- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
6
Введение 7
1. Сущность и задачи комплексной защиты информации 10
1.1 Понятийный аппарат в области обеспечения безопасности информации 10
1.2 Цели, задачи и принципы построения КСЗИ 15
1.3 О понятиях безопасности и защищенности 21
1.4 Разумная достаточность и экономическая эффективность 24
1.5 Управление безопасностью предприятия. Международные стандарты 31
1.6 Цели и задачи защиты информации в автоматизированных системах 34
1.7 Современное понимание методологии защиты информации 39
2. Принципы организации и этапы разработки КСЗИ 48
2.1 Методологические основы организации КСЗИ 48
2.2 Разработка политики безопасности и регламента безопасности предприятия 51
2.3 Основные положения теории сложных систем 58
2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями 66
2.5 Требования, предъявляемые к КСЗИ 69
2.6 Этапы разработки КСЗИ 81
3. Факторы, влияющие на организацию КСЗИ 85
3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа 85
3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа 89
3.3 Характер основной деятельности предприятия 91
3.4 Состав, объекты и степень конфиденциальности защищаемой информации 94
3.5 Структура и территориальное расположение предприятия 97
3.6 Режим функционирования предприятия 100
3.7 Конструктивные особенности предприятия 101
3.8 Количественные и качественные показатели ресурсообеспечения 101
3.9 Степень автоматизации основных процедур обработки защищаемой информации 102
4. Определение и нормативное закрепление состава защищаемой информации 104
4.1 Классификация информации по видам тайны и степеням конфиденциальности 104
4.2 Нормативно-правовые аспекты определения состава защищаемой информации 108
4.3 Методика определения состава защищаемой информации 128
4.4 Порядок внедрения Перечня сведений, составляющих КТ, внесение в него изменений и дополнений 136
5. Определение объектов защиты 138
5.1 Значение носителей защищаемой информации, как объектов защиты 138
5.2 Методика выявления состава носителей защищаемой информации 142
5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа 145
5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия 148
5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты 151
5.7 Транспортные средства и особенности транспортировки 164
5.8 Состав средств обеспечения, подлежащих защите 165
6. Дестабилизирующие воздействия на информацию и их нейтрализация 166
6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз 166
6.2 Угрозы безопасности информации 173
6.3 Модели нарушителей безопасности АС 182
6.4 Подходы к оценке ущерба от нарушений ИБ 187
6.5 Обеспечение безопасности информации в непредвиденных ситуациях 198
6.6 Реагирование на инциденты ИБ 201
6.7 Резервирование информации и отказоустойчивость 203
7. Определение потенциальных каналов и методов несанкционированного доступа к информации 206
7.1 Технические каналы утечки информации, их классификация 206
7.2 Задачи КСЗИ по выявлению угроз и КУИ 213
7.3 Особенности защиты речевой информации 225
7.4 Особенности защиты компьютерной информации от утечки по каналам ПЭМИН 229
8. Определение возможностей несанкционированного доступа к защищаемой информации 233
8.1 Методы и способы защиты информации 233
8.2 Классификация СЗИ НСД 235
8.3 Механизмы обеспечения безопасности информации 237
8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации 263
9.1 Особенности синтеза СЗИ АС от НСД 264
9.2 Методика синтеза СЗИ 266
9.3 Оптимальное построение системы защиты для АС 279
9.4 Выбор структуры СЗИ АС 289
9.5 Проектирование системы защиты информации для существующей АС 291
10. Определение условий функционирования КСЗИ 293
10.1 Содержание Концепции построения КСЗИ 293
10.2 Объекты защиты 295
10.3 Цели и задачи обеспечения безопасности информации 298
10.4 Основные угрозы безопасности информации АС организации 301
10.5 Основные положения технической политики в области обеспечения безопасности информации АС организации 304
10.6 Основные принципы построения КСЗИ 306
10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 306
10.8 Первоочередные мероприятия по обеспечению безопасности информации АС организации 322
11. Разработка модели КСЗИ 328
11.1 Общая характеристика задач моделирования КСЗИ 328
11.2 Формальные модели безопасности и их анализ 331
11.3 Прикладные модели защиты информации в АС 344
11.4 Формальное построение модели защиты: пример 347
11.5 Формализация модели безопасности 368
12. Технологическое и организационное построение КСЗИ 375
12.1 Общее содержание работ по организации КСЗИ 375
12.2 Характеристика основных стадий создания КСЗИ 381
12.3 Назначение и структура технического задания (общие требования к содержанию) 383
12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию 385
13 Кадровое обеспечение функционирования комплексной системы защиты информации 394
13.1 Специфика персонала предприятия как объекта защиты 394
13.2 Распределение функций по защите информации 398
13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа 409
13.4 Подбор и обучение персонала 413
14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации 415
14.1 Значение материально-технического обеспечения функционирования КСЗИ, его состав 415
Перечень вопросов ЗИ, требующих документационного закрепления 417
15. Назначение, структура и содержание управления КСЗИ 423
15.1 Понятие, сущность и цели управления КСЗИ 423
15.2 Принципы управления КСЗИ 428
15.3 Структура процессов управления 433
15.4 Основные процессы, функции и задачи управления КСЗИ 434
15.5. Основные стили управления 437
15.6. Структура и содержание общей технологии управления КСЗИ 439
16. Принципы и методы планирования функционирования КСЗИ 443
16.1 Понятие и задачи планирования функционирования КСЗИ 443
16.2 Способы и стадии планирования 448
16.3 Факторы, влияющие на выбор способов планирования 449
16.4 Основы подготовки и принятия решений при планировании 454
16.5 Методы сбора, обработки и изучения информации, необходимой для планирования 460
16.6 Организация выполнения планов 465
17 Сущность и содержание контроля функционирования комплексной системы защиты информации 469
17.1 Виды контроля функционирования КСЗИ 470
17.2 Цель проведения контрольных мероприятий в КСЗИ 471
17.3 Анализ и использование результатов проведения контрольных мероприятий 475
18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций 486
18.1 Понятие и основные виды чрезвычайных ситуаций 486
18.2 Технология принятия решений в условиях ЧС 487
18.3 Факторы, влияющие на принятие решений в условиях ЧС 489
18.4 Подготовка мероприятий на случай возникновения ЧС 489
19. Общая характеристика подходов к оценке эффективности КСЗИ 507
19.1 Вероятностный подход 507
19.2.Оценочный подход 517
19.3 Требования РД СВТ и РД АС 521
19.4 Задание требований безопасности информации и оценка соответствия им согласно ГОСТ 15408-2002 527
19.5. Экспериментальный подход 532
20. Методы и модели оценки эффективности КСЗИ 544
20.1 Показатель уровня защищенности, основанный на экспертных оценках 544
20.2. Методы проведения экспертного опроса 548
20.3. Экономический подход к оценке эффективности КСЗИ 554
Литература 572
Введение
Необходимость защиты информации осознавалась с глубокой древности. Недаром до нас дошли сведения о применявшихся в те времена методах защиты -- технических (например, шифр Цезаря, различные виды стеганографии) и организационных (которые в те времена зачастую сводились к уничтожению людей-носителей сведений по минованию надобности).
Шло время, улучшались методы защиты, но и совершенствовались методы нападения. В Советском Союзе обеспечению безопасности информации уделялось большое внимание. Но решать эти вопросы во времена, когда «все вокруг народное, все вокруг ничье» было сравнительно несложно. Иное дело – современная экономическая обстановка, когда в ожесточенной конкурентной схватке борются множество больших и малых организаций. В борьбе, как известно, все средства хороши, а тем более – наиболее эффективные из них. К таким, без сомнения, можно причислить нападение на информацию конкурента с целью завладеть ею, исказить ее, сделать недоступной и т.д. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение.
Особенно облегчается задача злоумышленника в связи с повсеместным внедрением автоматизированной обработки информации. Степень автоматизации фирмы определяет зачастую конкурентоспособность фирмы, но и является в то же время источником многочисленных угроз безопасности. Неслучайно в сознании многих людей, защита информации – это, прежде всего, защита информации в компьютерных системах от несанкционированного доступа. Конечно же, эта точка зрения неверна, точно также как неверна и точка зрения другой полярности: все определяется организационно-режимными мерами.
Надежное обеспечение безопасности информации немыслимо без реализации комплексного подхода к решению этой задачи. Отсюда и потребность как в создании комплексной системы защиты информации на предприятии, так и в подготовке специалистов по данному профилю. Поэтому и была разработана программа специальностей …., которая включила в число изучаемых дисциплин дисциплину «Комплексная система защиты информации на предприятии», учебное пособие по которой вы держите в руках.
Построение глав учебного пособия соответствует плану этой дисциплины. В первой главе рассмотрены основные понятия, определения дисциплины «Комплексная система защиты информации на предприятии», задачи и функции КСЗИ. Во второй главе рассмотрены принципы организации и этапы разработки КСЗИ, ее взаимосвязь с другими системами предприятия. С учетом того, что КСЗИ является сложной системой, здесь же приведены основные положения теории сложных систем. На построение КСЗИ предприятия влияют множество факторов, которые подробно рассмотрены в третьей главе.
Прежде, чем защищать что-либо, необходимо ответить на вопросы: «Что защищать?», «От кого защищать?», «В соответствии с какими требованиями строить защиту?». Для ответа на последний вопрос необходимо четко представлять себе классификацию информации по видам тайн, нормативно-правовые аспекты ее защиты, методику определения состава защищаемой информации. Все это является содержанием четвертой главы книги. В пятой главе рассмотрены подлежащие защите объекты, которые являются носителями информации, либо на которых защищаемая информация обрабатывается, объясняется необходимость защиты тех или иных объектов. Факторы и угрозы безопасности информации, а также модели нарушителей рассмотрены в шестой главе.
Защиту информации техническими средствами можно разделить на два больших направления: защита от утечки по техническим каналам и защиту информации от несанкционированного доступа в автоматизированных системах. Технические каналы утечки информации, а также меры по их нейтрализации рассмотрены в седьмой главе. Восьмая глава посвящена защите информации от НСД.
В девятой главе приведен общий подход по субоптимальному выбору компонентов системы. В качестве иллюстрации данного подхода решается задача выбора компонентов подсистемы КСЗИ, связанной с защитой информации от НСД в АС, но аналогичным образом можно решать и другие задачи по определению компонентов КСЗИ. На этот выбор большое влияние оказывают условия функционирования КСЗИ, рассмотренные в главе десять. Изучение ведется на основе концепции безопасности информации в автоматизированной системе предприятия, разработанной в одной из фирм. Одиннадцатая глава посвящена моделям КСЗИ. Особое внимание уделяется формальным моделям безопасности. На практическом примере показан принцип формализации требований по безопасности и условий функционирования системы. Построенная формальная модель используется в девятой главе при обосновании выбора средств защиты информации.
В двенадцатой главе рассмотрены технологические и организационные аспекты построения КСЗИ. Приведены стадии создания КСЗИ, основное содержание технического задания на ее построение. В тринадцатой главе затронут важнейший аспект обеспечения безопасности информации – кадровый, а в четырнадцатой главе изучаются вопросы материально-технического обеспечения КСЗИ.
Эффективность КСЗИ во многом определяется эффективностью системы управления КСЗИ. В пятнадцатой главе подробно рассмотрены вопросы, связанные с организацией управления КСЗИ, а в шестнадцатой главе изучаются не менее важные аспекты планирования функционирования КСЗИ. Обратная связь в контурах управления основана на результатах контроля. Связанные с этим вопросы освещены в семнадцатой главе. Восемнадцатая глава посвящена вопросам управления КСЗИ в чрезвычайных ситуациях. Наконец, в девятнадцатой и двадцатой главах подробно рассматриваются различные подходы к сложной и неоднозначной проблеме оценки эффективности КСЗИ.