- •Оглавление
- •Глава 1. Информационная безопасность в системе национальной безопасности российской федерации 10
- •Глава 2. Основы пользования конфиденциальной информацией 24
- •Глава 3. Основные понятия и общеметодологические принципы теории информационной безопасности 32
- •Глава 4. Механизмы реализации безопасности 49
- •Глава 5. Обеспечение информационной безопасности объектов информационной сферы государства в условиях информационной войны 58
- •Глава 6. Общие методы обеспечения информационной безопасности 76
- •Глава 7. Риск работы на персональном компьютере 85
- •Глава 8. Средства защиты информации 100
- •Глава 9. Общая характеристика комплексной защиты информации 137
- •Глава 10. Документ конфиденциальный 145
- •Глава 11. Режим основа обеспечения комплексной защиты информации 159
- •Глава 12. Система физической защиты 176
- •Глава 13. Международный стандарт безопасности iso/iec 17799 226
- •Глава 14. Анализ рисков корпоративных информационных систем 250
- •Глава 15. Проведение комплексного обследования защищенности ис 270
- •Предисловие
- •Глава 1. Информационная безопасность в системе национальной безопасности российской федерации
- •1.1. Понятие информационной безопасности
- •1.2. Задача устойчивого развития в информационной сфере
- •1.3. Виды защищаемой информации в сфере государственного и муниципального управления
- •1.4. Национальные интересы в информационной сфере и обеспечение их безопасности
- •Контрольные вопросы
- •Глава 2. Основы пользования конфиденциальной информацией
- •2.1. Перечень сведений конфиденциального характера
- •2.2. Правовые основы предоставления сведений конфиденциального характера
- •Контрольные вопросы
- •Глава 3. Основные понятия и общеметодологические принципы теории информационной безопасности
- •3.1. Управление и защита информации в информационно-телекоммуникационных сетях
- •3.2. Контроль качества информации
- •3.3. Управление информационными ресурсами
- •3.3.1. Составляющие информационной базы
- •3.3.2. Элементы информации, требующие защиты
- •3.3.3. Классификационная политика в области информации
- •3.3.4. Организация и ответственность в области управления информацией
- •3.3.5. Меры безопасности, поддерживающие управление информацией
- •3.3.6. Пример руководящих указаний по информационной безопасности
- •Адекватные средства будут использованы для защиты следующей информации:
- •Операции предприятия:
- •Координаторы по безопасности:
- •4. Список публикаций предприятия по информационной безопасности:
- •3.4. Качественное проектирование системы
- •3.5. Эффективное управление и контроль
- •3.6. Сети и безопасность рабочих станций
- •Контрольные вопросы
- •Глава 4. Механизмы реализации безопасности
- •4.1. Источники угроз информационной безопасности
- •4.2. Сертификация: создание защищенной работы
- •Контрольные вопросы
- •Глава 5. Обеспечение информационной безопасности объектов информационной сферы государства в условиях информационной войны
- •5.1. Основные направления обеспечения информационной безопасности
- •5.2. Отличия сети от вычислительного центра
- •5.3. Детали реализации
- •5.3.1. Контролируемый доступ к информационным системам
- •5.3.2. Контролируемая активность на файловом уровне
- •5.3.3. Контролируемая активность на уровне записей
- •5.3.4. Контролируемый доступ к сетевому трафику
- •5.3.5. Установление эффективной идентификации и аутентификации
- •5.3.6. Контролируемый доступ к сетевой инфраструктуре
- •5.3.7. Защита от неавторизованных модемных соединений
- •5.3.8. Контроль над распространением и утечкой информации
- •Контрольные вопросы
- •Глава 6. Общие методы обеспечения информационной безопасности
- •6.1. Характеристика эффективных стандартов по безопасности
- •6.1.1. Стандарты должны быть полными
- •6.1.2. Стандарты должны быть доступными
- •6.1.3. Стандарты должны быть полезными
- •6.1.4. Стандарты должны быть согласованными
- •6.1.5. Стандарты должны быть актуальными
- •6.1.6. Стандарты должны быть представлены в различных формах
- •6.2. Устная форма
- •Контрольные вопросы
- •Глава 7. Риск работы на персональном компьютере
- •7.1. Определение персонального компьютера
- •7.1.1. Программно-аппаратные средства
- •7.2. Мощность персонального компьютера
- •7.3. Опасность для информации
- •7.4. Сетевая защита персонального компьютера
- •7.5. Планирование безопасной работы на персональном компьютере
- •7.5.1. Стандарты предприятия по использованию пк
- •7.5.2. Практические меры безопасности для пк
- •7.5.3. Безопасность и соединения
- •Контрольные вопросы
- •Глава 8. Средства защиты информации
- •8.1. Принципы инженерно-технической защиты информации
- •8.2. Основные методы защиты информации техническими средствами
- •8.3. Каналы утечки информации
- •8.4. Средства обеспечения информационной безопасности в компьютерных системах
- •8.4.1. Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-н»
- •8.4.2. Обнаружитель подключения к lan (локальной сети) fluke
- •8.4.3. Система защиты информации Secret Net 4.0
- •8.4.4. Электронный замок «Соболь-рсi»
- •8.4.5. Система защиты корпоративной информации Secret Disk Server
- •8.4.6. Система защиты конфиденциальной информации Secret Disk
- •8.4.7. Программно-аппаратный комплекс средств защиты «Аккорд-амдз»
- •8.4.8. Аппаратно-программный комплекс ip Safe-pro
- •8.4.9. Аппаратно-программный комплекс "континент-к"
- •8.4.10. Кейс для транспортировки ноутбуков «тень к1»
- •8.4.11. Аппаратно – программная система криптографической защиты сообщений «sx-1»
- •8.4.12. Межсетевой экран и шифратор ip-протоков
- •Контрольные вопросы
- •Глава 9. Общая характеристика комплексной защиты информации
- •9.1. Сущность и задачи комплексной защиты информации
- •9.2. Стратегии комплексной защиты информации
- •9.3. Этапы построения кзи для различных стратегий
- •9.4. Структура кзи
- •9.5. Основные характеристики кзи
- •9.6. Этапы разработки кзи
- •Контрольные вопросы
- •Глава 10. Документ конфиденциальный
- •10.1. Безопасность ценных информационных ресурсов
- •10.2. Критерии ценности информации
- •10.3. Выявление конфиденциальных сведений
- •10.4. Перечень конфиденциальных сведений
- •10.5. Документирование конфиденциальных сведений
- •10.6. Носители конфиденциальных сведений
- •10.7. Задачи учета конфиденциальных документов
- •10.8. Конфиденциальные документы: состав и период нахождения конфиденциальных документов в делах
- •Контрольные вопросы
- •Глава 11. Режим основа обеспечения комплексной защиты информации
- •11.1. Разработка Политики безопасности
- •11.2. Разработка Концепции безопасности информации
- •11.2.1. Определение общих положений Концепции
- •11.2.2. Уяснение основных направлений обеспечения безопасности информации и описание требований к безопасности информации
- •11.2.3. Разработка специальных глав Концепции
- •11.3.4. Определение правил использования компьютеров и информационных систем
- •11.4. Разработка Профиля защиты
- •11.4.1. Раздел «Описание Объекта Оценки»
- •11.4.2. Раздел «Среда безопасности оо»
- •11.4.3. Раздел «Цели безопасности»
- •11.4.4. Раздел «Требования безопасности ит»
- •11.4.4.5. Раздел «Обоснование»
- •Контрольные вопросы
- •Глава 12. Система физической защиты
- •12.1. Система физической защиты типовые задачи и способы ее реализации. Основные характеристики системы физической защиты
- •12.1.1. Сдерживание
- •12.1.2. Обнаружение
- •12.1.3. Задержка
- •12.1.4. Реагирование
- •12.1.5. Эшелонирование
- •12.1.6. Минимизация последствий отказов
- •12.1.7. Сбалансированная (равнопрочная) защита
- •12.1.8. Количественный и качественный анализ системы физической защиты
- •12.1.9. Путь нарушителя
- •12.2. Силы реагирования. Общие положения
- •12.2.1. Комплектование охраны
- •12.2.2. Взаимодействие охраны и руководителей объектов
- •12.2.3. Обязанности и права работников ведомственной охраны
- •12.2.4. Организация караульной службы
- •12.2.5. Права и обязанности должностных лиц караула
- •12.2.5.1. Постовой (стрелок)
- •12.2.5.2. Патрульный
- •12.2.5.3. Общие обязанности работника охраны
- •12.2.6. Внутренний порядок в караулах
- •12.2.7. Пропускной режим
- •12.2.8. Работа бюро пропусков
- •12.2.9. Внутриобъектовый режим
- •12.3. Инженерно-технические средства охраны
- •12.3.1. Общие положения
- •12.3.2. Категорирование объектов охраны
- •12.3.3. Требования к итсо объекта и их элементам
- •12.3.4. Система сбора и обработки информации
- •12.3.5. Технические средства охраны
- •12.3.6. Инженерные средства охраны
- •12.3.7. Электропитание оборудования комплексной системы безопасности пс
- •12.3.8. Общие эксплуатационные требования к оборудованию комплексной системы безопасности
- •Контрольные вопросы
- •Глава 13. Международный стандарт безопасности iso/iec 17799
- •13.1. Общие положения
- •13.2. Основные направления политики обеспечения информационной безопасности
- •13.3. Организационные меры по обеспечению безопасности
- •13.4. Задачи руководства организации по обеспечению информационной безопасности
- •13.5. Координация вопросов, связанных с информационной безопасностью
- •13.6. Процесс внедрения новой информационной системы
- •13.7. Распределение ответственности за обеспечение безопасности
- •13.8. Классификация и управление ресурсами
- •13.8.1. Инвентаризация ресурсов
- •13.8.2. Классификация информационных ресурсов
- •13.9. Безопасность персонала
- •13.9.1. Безопасность при выборе персонала
- •13.9.2. Безопасность в процессе работы сотрудника
- •13.9.3. Правила увольнения или смены должности сотрудника
- •13.10. Физическая безопасность
- •13.10.1. Безопасное уничтожение оборудования при выведении из эксплуатации (списании)
- •13.10.2. Безопасность рабочего места
- •13.10.3. Управление коммуникациями и процессами
- •13.11. Защита от вредоносного по (вирусов, троянских коней)
- •13.12. Управление внутренними ресурсами
- •13.12.1. Резервное копирование информации
- •13.12.2. Запись действий операторов
- •13.12.3. Безопасность носителей данных
- •13.12.4. Контроль доступа
- •13.13. Мобильные компьютеры и пользователи
- •13.14. Разработка и техническая поддержка вычислительных систем
- •13.15. Соответствие системы основным требованиям
- •13.16. Служебные инструкции и ответственность
- •Контрольные вопросы
- •Глава 14. Анализ рисков корпоративных информационных систем
- •14.1. Основные этапы аудита иб
- •14.2. Британский стандарт iso 17799:
- •14.3. Германский стандарт bsi
- •14.4. Сравнение подходов iso 17799 и bsi
- •14.6. Стандарт цб рф обеспечение иб организаций банковской системы рф
- •14.7. Оценка возможного ущерба (потерь)
- •Контрольные вопросы
- •Глава 15. Проведение комплексного обследования защищенности ис
- •15.1. Цель проведения обследования (аудита)
- •15.2. Стадии проведения обследования (аудита)
- •15.3. Виды обследования (аудита)
- •15.4. Анализ угроз безопасности информации
- •15.5. Состав работ по проведению аудита
- •15.5.1. Планирование проведения обследования
- •15.5.2. Проведение комплексного обследования
- •15.5.3. Оценка эффективности существующей системы защиты ис с применением специализированных инструментариев
- •Контрольные вопросы
- •Глоссарий терминов
- •Библиографический список
- •Приложение а Открытое письмо собственникам доменов, обладателям информационных ресурсов, размещаемых на них, и пользователям сети «Интернет»
- •Приложение б
- •Приложение в Методика определения условной категории
7.5. Планирование безопасной работы на персональном компьютере
Необходимо признать, что производственные отношения основываются на управлении информационными средствами и требуют принятия решений относительно них. Эти решения по структуре, стоимости и защите информации составляют основу, на которой строится эффективная программа по безопасности ПК. Предприятие должно принять решение по стратегическим целям, приложениям и контролю над сетью, связывающей ПК, и отдельными ПК.
Поскольку прикладные задачи перешли от больших компьютеров на ПК, а современные новые приложения разрабатываются для сетей ПК, руководство должно иметь процесс, гарантирующий продолжение уровня качества информации. Он включает меры по защите информации. Эти меры должны выполняться на основе стандартов, как было описано в главе 3.
7.5.1. Стандарты предприятия по использованию пк
Каждое предприятие должно принять стандарты, которые устанавливают средства контроля за применением ПК. В решение руководства, которое является предварительным условием принятия стандартов, должно входить следующее:
Анализ риска, определяющий ослабленные позиции, возникающие на предприятии вследствие использования сетевых ПК, на работе или в домашних условиях. Этот анализ позволит вывести основные требования политики, т.е. на каких формах производственной деятельности сотрудников следует настаивать. Ослабленные позиции могут быть разными для различных приложений. Одна из проблем состоит в том, что предприятие может не знать, кто использует персональные компьютеры, видя только результат их деятельности. Руководящие указания и стандарты, рассматривающие использование ПК, должны обеспечить механизм контроля, гарантирующий персональную ответственность пользователя при работе на ПК с информацией предприятия.
Процедура получения, использования и контроля ПК. ПК не должны рассматриваться, как простой элемент информационного оборудования отдела по нескольким причинам, включающим совместимость с другим оборудованием и информационный контроль. Так как ПК дешевы, сотрудники могут покупать их произвольным образом, используя деньги, выделяемые на нужды отдела. Предприятие должно иметь строгие правила относительно того, как должно приобретаться любое компьютерное оборудование, или, более того, предприятие должно указать, какие ПК можно использовать, с какими операционными системами можно работать, а также ограничения, накладываемые на прикладные программы.
Формальное принятие ответственности сотрудниками в случае, когда они хотят использовать ПК или другое терминальное устройство за пределами предприятия. С целью защиты интересов производства каждый сотрудник должен подписать контракт, в котором оговариваются его обязательства перед предприятием. Контракт должен устанавливать в письменной форме ответственность сотрудника по защите информации предприятия во время работы с ней, и то, что сотрудник обещает следовать практике предприятия по безопасности. Нарушение условий контракта может привести к юридической ответственности сотрудника, что в дальнейшем может повлечь за собой освобождение его от занимаемой должности.
Средства контроля, препятствующие случайному доступу к сетям или большим компьютерам. Конечно, предприятие не может контролировать деятельность каждого сотрудника, но оно может контролировать доступ к портам компьютера, а это – пункт контроля за соединениями ПК с серверами баз данных или сетями. Одним из способов является применение одной из систем контроля порта, доступных в настоящее время. Другой – требует от пользователя наличия электронного ключа, который генерирует код в процессе аутентификации. Такая система гарантирует точную идентификацию вне зависимости от того, какое оборудование используется или с какого места запрашивается доступ.
Опубликованные руководящие указания по использованию ПО из мест вне предприятия. Это важно для гарантии поддержания контроля, особенно когда устройства соединены с сетями. Системы так называемых электронных досок объявлений предлагают бесплатное или условно-бесплатное ПО, которое пользователя просят оплатить. Применение таких программ является очень рискованным; предприятие должно четко установить в письменной форме в контракте с каждым сотрудником обязательство не использовать ПО, которое не получило официального одобрения.
Программное обеспечение для ПК не только является источником финансовых расходов, но также может представлять источник беспокойства для предприятия, если сотрудники нарушат контрактные обязательства, принятые при покупке ПО для производственной деятельности. Все программное обеспечение для ПК, такое как утилиты для операционных систем или прикладные программы (такие как разработанные программистами предприятия системы анализа смет) должно быть защищено. Слабые стороны программного обеспечения ПК включают:
нелегальное копирование или нелегальное применение ПО, которое имеет авторские права и куплено по лицензии;
скрытное изменение операционной системы, контроля безопасности или прикладной программы на диске для обмана или с другими тайными целями;
потерю ПО, наступившую как вследствие необдуманной перезаписи или стирания программ, так и кражи диска.
Программы должны быть защищены так же, как данные. Диски должны иметь маркировку, включая при необходимости соответствующую метку классификации. Они должны храниться в определенном порядке, так чтобы мог быть замечен отсутствующий диск. Следует подумать о замыкающихся кабинетах и выдвижных полках для безопасного хранения неиспользуемых дисков.
Ряд важных требований по контролю включают следующие требования:
Для выполнения производственных задач следует использовать только те ПК и такие пакеты программ, которые получили одобрение информационного руководства предприятия. Это согласуется с правилами по безопасности информации, касающимися получения классифицированных документов и их защиты вне помещений предприятия. Ограничение ПО только одобренным предприятием важно для гарантии целостности информации. Ограничение типов используемых компьютеров увеличивает ценность библиотек ПО и упрощает соединения между компьютерами.
ПК предприятия могут использоваться только для производственных целей предприятия. Если сотрудник имеет собственный ПК, то в руководящих указаниях следует отметить, возможно или нет его использование для производственных целей, и если так, то как должна контролироваться информация. Совместное использование ПК работающим сотрудником и членами его семьи не является правильной идеей.
Классифицированная информация не должна быть получена или введена с удаленного терминала. Это правило отражает тот факт, что сложно установить эффективный контроль над получением информации после аутентификации пользователя терминала. Для компьютера путь сообщения или файла, который получает аутентифицированный пользователь не имеет значения, зато этот путь очень важен с точки зрения безопасности.
Классифицированная информация не должна обрабатываться в присутствии посторонних лиц в помещении. Это является более общим правилом, которое применяется также при работе внутри предприятия. Оно применимо в каждом случае.
Каждый сотрудник несет персональную ответственность за защиту классифицированной информации и за надлежащее использование специальных мер безопасности. Индивидуальное понимание и желание использовать надежные инструкции по безопасности являются главными требованиями при эксплуатации сетей. Сотрудники должны быть обеспечены инструкциями по безопасности.
Каждый пользователь должен получить уникальный идентификатор и аутентификатор перед тем, как войти в сеть. Полномочия не должны использоваться совместно; пароли или другие токены должны оберегаться самим пользователем.
Пароли должны храниться в тайне и периодически меняться согласно стандартам предприятия. Предприятия, которые заботятся о своих информационных средствах, считают тайну и защиту паролей или других аутентификационных токенов вопросом доверия. Нарушение считается тяжелым проступком, часто приводящим к увольнению.
Присоединенные ПК должны быть отключены от сети или переведены в пассивное состояние, если устройство осталось без надзора. Сеть самостоятельно может установить тайм-аут, если отсутствие активности очевидно.
Периодически руководство должно заново рассматривать подтверждение для работы каждого сотрудника на ПК. Владение и использование ПК на работе должно быть регулярным пунктом ревизий на предприятии. Хорошим способом проверки использования ПК вне предприятия, возможно, служат периодические обследования доступов «по вызову» в системных протоколах.