- •Оглавление
- •Глава 1. Информационная безопасность в системе национальной безопасности российской федерации 10
- •Глава 2. Основы пользования конфиденциальной информацией 24
- •Глава 3. Основные понятия и общеметодологические принципы теории информационной безопасности 32
- •Глава 4. Механизмы реализации безопасности 49
- •Глава 5. Обеспечение информационной безопасности объектов информационной сферы государства в условиях информационной войны 58
- •Глава 6. Общие методы обеспечения информационной безопасности 76
- •Глава 7. Риск работы на персональном компьютере 85
- •Глава 8. Средства защиты информации 100
- •Глава 9. Общая характеристика комплексной защиты информации 137
- •Глава 10. Документ конфиденциальный 145
- •Глава 11. Режим основа обеспечения комплексной защиты информации 159
- •Глава 12. Система физической защиты 176
- •Глава 13. Международный стандарт безопасности iso/iec 17799 226
- •Глава 14. Анализ рисков корпоративных информационных систем 250
- •Глава 15. Проведение комплексного обследования защищенности ис 270
- •Предисловие
- •Глава 1. Информационная безопасность в системе национальной безопасности российской федерации
- •1.1. Понятие информационной безопасности
- •1.2. Задача устойчивого развития в информационной сфере
- •1.3. Виды защищаемой информации в сфере государственного и муниципального управления
- •1.4. Национальные интересы в информационной сфере и обеспечение их безопасности
- •Контрольные вопросы
- •Глава 2. Основы пользования конфиденциальной информацией
- •2.1. Перечень сведений конфиденциального характера
- •2.2. Правовые основы предоставления сведений конфиденциального характера
- •Контрольные вопросы
- •Глава 3. Основные понятия и общеметодологические принципы теории информационной безопасности
- •3.1. Управление и защита информации в информационно-телекоммуникационных сетях
- •3.2. Контроль качества информации
- •3.3. Управление информационными ресурсами
- •3.3.1. Составляющие информационной базы
- •3.3.2. Элементы информации, требующие защиты
- •3.3.3. Классификационная политика в области информации
- •3.3.4. Организация и ответственность в области управления информацией
- •3.3.5. Меры безопасности, поддерживающие управление информацией
- •3.3.6. Пример руководящих указаний по информационной безопасности
- •Адекватные средства будут использованы для защиты следующей информации:
- •Операции предприятия:
- •Координаторы по безопасности:
- •4. Список публикаций предприятия по информационной безопасности:
- •3.4. Качественное проектирование системы
- •3.5. Эффективное управление и контроль
- •3.6. Сети и безопасность рабочих станций
- •Контрольные вопросы
- •Глава 4. Механизмы реализации безопасности
- •4.1. Источники угроз информационной безопасности
- •4.2. Сертификация: создание защищенной работы
- •Контрольные вопросы
- •Глава 5. Обеспечение информационной безопасности объектов информационной сферы государства в условиях информационной войны
- •5.1. Основные направления обеспечения информационной безопасности
- •5.2. Отличия сети от вычислительного центра
- •5.3. Детали реализации
- •5.3.1. Контролируемый доступ к информационным системам
- •5.3.2. Контролируемая активность на файловом уровне
- •5.3.3. Контролируемая активность на уровне записей
- •5.3.4. Контролируемый доступ к сетевому трафику
- •5.3.5. Установление эффективной идентификации и аутентификации
- •5.3.6. Контролируемый доступ к сетевой инфраструктуре
- •5.3.7. Защита от неавторизованных модемных соединений
- •5.3.8. Контроль над распространением и утечкой информации
- •Контрольные вопросы
- •Глава 6. Общие методы обеспечения информационной безопасности
- •6.1. Характеристика эффективных стандартов по безопасности
- •6.1.1. Стандарты должны быть полными
- •6.1.2. Стандарты должны быть доступными
- •6.1.3. Стандарты должны быть полезными
- •6.1.4. Стандарты должны быть согласованными
- •6.1.5. Стандарты должны быть актуальными
- •6.1.6. Стандарты должны быть представлены в различных формах
- •6.2. Устная форма
- •Контрольные вопросы
- •Глава 7. Риск работы на персональном компьютере
- •7.1. Определение персонального компьютера
- •7.1.1. Программно-аппаратные средства
- •7.2. Мощность персонального компьютера
- •7.3. Опасность для информации
- •7.4. Сетевая защита персонального компьютера
- •7.5. Планирование безопасной работы на персональном компьютере
- •7.5.1. Стандарты предприятия по использованию пк
- •7.5.2. Практические меры безопасности для пк
- •7.5.3. Безопасность и соединения
- •Контрольные вопросы
- •Глава 8. Средства защиты информации
- •8.1. Принципы инженерно-технической защиты информации
- •8.2. Основные методы защиты информации техническими средствами
- •8.3. Каналы утечки информации
- •8.4. Средства обеспечения информационной безопасности в компьютерных системах
- •8.4.1. Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-н»
- •8.4.2. Обнаружитель подключения к lan (локальной сети) fluke
- •8.4.3. Система защиты информации Secret Net 4.0
- •8.4.4. Электронный замок «Соболь-рсi»
- •8.4.5. Система защиты корпоративной информации Secret Disk Server
- •8.4.6. Система защиты конфиденциальной информации Secret Disk
- •8.4.7. Программно-аппаратный комплекс средств защиты «Аккорд-амдз»
- •8.4.8. Аппаратно-программный комплекс ip Safe-pro
- •8.4.9. Аппаратно-программный комплекс "континент-к"
- •8.4.10. Кейс для транспортировки ноутбуков «тень к1»
- •8.4.11. Аппаратно – программная система криптографической защиты сообщений «sx-1»
- •8.4.12. Межсетевой экран и шифратор ip-протоков
- •Контрольные вопросы
- •Глава 9. Общая характеристика комплексной защиты информации
- •9.1. Сущность и задачи комплексной защиты информации
- •9.2. Стратегии комплексной защиты информации
- •9.3. Этапы построения кзи для различных стратегий
- •9.4. Структура кзи
- •9.5. Основные характеристики кзи
- •9.6. Этапы разработки кзи
- •Контрольные вопросы
- •Глава 10. Документ конфиденциальный
- •10.1. Безопасность ценных информационных ресурсов
- •10.2. Критерии ценности информации
- •10.3. Выявление конфиденциальных сведений
- •10.4. Перечень конфиденциальных сведений
- •10.5. Документирование конфиденциальных сведений
- •10.6. Носители конфиденциальных сведений
- •10.7. Задачи учета конфиденциальных документов
- •10.8. Конфиденциальные документы: состав и период нахождения конфиденциальных документов в делах
- •Контрольные вопросы
- •Глава 11. Режим основа обеспечения комплексной защиты информации
- •11.1. Разработка Политики безопасности
- •11.2. Разработка Концепции безопасности информации
- •11.2.1. Определение общих положений Концепции
- •11.2.2. Уяснение основных направлений обеспечения безопасности информации и описание требований к безопасности информации
- •11.2.3. Разработка специальных глав Концепции
- •11.3.4. Определение правил использования компьютеров и информационных систем
- •11.4. Разработка Профиля защиты
- •11.4.1. Раздел «Описание Объекта Оценки»
- •11.4.2. Раздел «Среда безопасности оо»
- •11.4.3. Раздел «Цели безопасности»
- •11.4.4. Раздел «Требования безопасности ит»
- •11.4.4.5. Раздел «Обоснование»
- •Контрольные вопросы
- •Глава 12. Система физической защиты
- •12.1. Система физической защиты типовые задачи и способы ее реализации. Основные характеристики системы физической защиты
- •12.1.1. Сдерживание
- •12.1.2. Обнаружение
- •12.1.3. Задержка
- •12.1.4. Реагирование
- •12.1.5. Эшелонирование
- •12.1.6. Минимизация последствий отказов
- •12.1.7. Сбалансированная (равнопрочная) защита
- •12.1.8. Количественный и качественный анализ системы физической защиты
- •12.1.9. Путь нарушителя
- •12.2. Силы реагирования. Общие положения
- •12.2.1. Комплектование охраны
- •12.2.2. Взаимодействие охраны и руководителей объектов
- •12.2.3. Обязанности и права работников ведомственной охраны
- •12.2.4. Организация караульной службы
- •12.2.5. Права и обязанности должностных лиц караула
- •12.2.5.1. Постовой (стрелок)
- •12.2.5.2. Патрульный
- •12.2.5.3. Общие обязанности работника охраны
- •12.2.6. Внутренний порядок в караулах
- •12.2.7. Пропускной режим
- •12.2.8. Работа бюро пропусков
- •12.2.9. Внутриобъектовый режим
- •12.3. Инженерно-технические средства охраны
- •12.3.1. Общие положения
- •12.3.2. Категорирование объектов охраны
- •12.3.3. Требования к итсо объекта и их элементам
- •12.3.4. Система сбора и обработки информации
- •12.3.5. Технические средства охраны
- •12.3.6. Инженерные средства охраны
- •12.3.7. Электропитание оборудования комплексной системы безопасности пс
- •12.3.8. Общие эксплуатационные требования к оборудованию комплексной системы безопасности
- •Контрольные вопросы
- •Глава 13. Международный стандарт безопасности iso/iec 17799
- •13.1. Общие положения
- •13.2. Основные направления политики обеспечения информационной безопасности
- •13.3. Организационные меры по обеспечению безопасности
- •13.4. Задачи руководства организации по обеспечению информационной безопасности
- •13.5. Координация вопросов, связанных с информационной безопасностью
- •13.6. Процесс внедрения новой информационной системы
- •13.7. Распределение ответственности за обеспечение безопасности
- •13.8. Классификация и управление ресурсами
- •13.8.1. Инвентаризация ресурсов
- •13.8.2. Классификация информационных ресурсов
- •13.9. Безопасность персонала
- •13.9.1. Безопасность при выборе персонала
- •13.9.2. Безопасность в процессе работы сотрудника
- •13.9.3. Правила увольнения или смены должности сотрудника
- •13.10. Физическая безопасность
- •13.10.1. Безопасное уничтожение оборудования при выведении из эксплуатации (списании)
- •13.10.2. Безопасность рабочего места
- •13.10.3. Управление коммуникациями и процессами
- •13.11. Защита от вредоносного по (вирусов, троянских коней)
- •13.12. Управление внутренними ресурсами
- •13.12.1. Резервное копирование информации
- •13.12.2. Запись действий операторов
- •13.12.3. Безопасность носителей данных
- •13.12.4. Контроль доступа
- •13.13. Мобильные компьютеры и пользователи
- •13.14. Разработка и техническая поддержка вычислительных систем
- •13.15. Соответствие системы основным требованиям
- •13.16. Служебные инструкции и ответственность
- •Контрольные вопросы
- •Глава 14. Анализ рисков корпоративных информационных систем
- •14.1. Основные этапы аудита иб
- •14.2. Британский стандарт iso 17799:
- •14.3. Германский стандарт bsi
- •14.4. Сравнение подходов iso 17799 и bsi
- •14.6. Стандарт цб рф обеспечение иб организаций банковской системы рф
- •14.7. Оценка возможного ущерба (потерь)
- •Контрольные вопросы
- •Глава 15. Проведение комплексного обследования защищенности ис
- •15.1. Цель проведения обследования (аудита)
- •15.2. Стадии проведения обследования (аудита)
- •15.3. Виды обследования (аудита)
- •15.4. Анализ угроз безопасности информации
- •15.5. Состав работ по проведению аудита
- •15.5.1. Планирование проведения обследования
- •15.5.2. Проведение комплексного обследования
- •15.5.3. Оценка эффективности существующей системы защиты ис с применением специализированных инструментариев
- •Контрольные вопросы
- •Глоссарий терминов
- •Библиографический список
- •Приложение а Открытое письмо собственникам доменов, обладателям информационных ресурсов, размещаемых на них, и пользователям сети «Интернет»
- •Приложение б
- •Приложение в Методика определения условной категории
6.1. Характеристика эффективных стандартов по безопасности
Хорошие стандарты по безопасности имеют определенные характеристики вне зависимости от того, где они применяются. Они должны быть:
Полными. Они должны включать все обстоятельства и ситуации, которые происходят во время обычных производственных операций.
Доступными. Они должны быть представлены сотрудникам, как мотиватор и источник детальной информации.
Полезными. Стандарты должны убедительно доказывать, что они дают вклад в выполнение трудовых обязанностей сотрудников в полном объеме.
Согласованными. Требования защиты должны быть согласованными по различным видам деятельности предприятия и по разным типам и формам информации.
Актуальными. Хорошие стандарты по безопасности отражают современную технологию и практику текущих производственных операций.
Представленными в различных формах. Они должны быть доступны в разных формах так, чтобы постоянно поддерживалось живое, уместное и мотивированное общение.
Рассмотрим, как можно обеспечить эти характеристики в программе стандартов по безопасности.
6.1.1. Стандарты должны быть полными
Стандарты по безопасности должны отражать все ситуации и обстоятельства, с которыми можно встретиться в деятельности предприятия. Рассмотрим типичное предприятие. Сотрудники будут использовать сетевые рабочие станции на производстве, в филиалах и центральном отделении предприятия, в исследовательских лабораториях, инженерных центрах, в торговых отделах, на складах и во многих других местах. Стандарты по безопасности должны давать ответы на вопрос: «Что следует выполнить, чтобы защитить информацию предприятия?»
Это не означает, что следует опубликовать отдельный стандарт на каждую рабочую ситуацию. Надо обеспечить стандартами те случаи, которые значительно отличаются по требованиям к безопасности. Одна из причин состоит в том, чтобы упростить доступ к правилам по безопасности для соответствующих лиц. Нельзя ожидать, чтобы каждый секретарь читал о вещах, которые предназначаются специалистам, и наоборот.
Можно рассмотреть двумерную матрицу, представляющую требования к полноте (см. таб. 4). По одной стороне отложены основные типы работ, которые могут включать работу секретарей и конторских сотрудников, исследовательский и инженерный персонал, администрацию, бухгалтерию, плановый отдел и так далее. По другой стороне перечислены виды деятельности, предназначенные для каждого типа работ. Они включают: создание файлов и документов, отправку, пересылку и получение сообщений, хранение файлов и документов и так далее. Пункты матрицы будут отличаться для разных предприятий, но сама матрица является важной, поскольку позволяет видеть инструкции по безопасности, которые должны быть включены в стандарты, для того чтобы быть уверенными в их полноте.
Таблица 4
Требования к полноте эффективных стандартов по безопасности
Процесс |
Директор (инженер, секретарь и т.д.) |
Обмен сообщениями |
Шифрование очень важных сообщений |
Работа с файлами |
Защита паролем |
Создание документов |
Не применяется |
Маркировка важной информации |
Создание меток |
Использование списка рассылки, САПР и т.д. |
Не применяется |
Окончательно, полные стандарты должны обеспечить необходимый инструментарий для контроля. Инспекторы вправе ожидать, что сотрудники следуют разумным, опубликованным правилам, которые непосредственно связаны с их работой.