- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
В процессе подготовки к началу работ по проектированию информационной системы при согласовании технического задания в принципе уже известны предварительное распределение, места сосредоточения, характер, степень важности и секретности информации, подлежащей обработке. Таким образом определяется необходимость в разработке системы обеспечения безопасности информации и соответствующих требований к ней, которые обязательно должны быть приведены в техническом задании на систему. Отсюда следует основное требование к порядку проведения проектирования, заключающееся в необходимости параллельного проектирования системы обеспечения безопасности информации с проектированием системы управления и обработки информации и данных, начиная с момента выработки общего замысла построения информационной системы.
Созданию системы обеспечения безопасности информации, встроенной в автоматизированную систему, свойственны все этапы:
разработка технических предложений,
эскизного и технического проектов,
выпуск рабочей документации,
изготовление,
испытания и
сдача системы заказчику.
Невыполнение этого принципа, "наложение" или "встраивание" средств защиты в уже готовую систему, может привести к низкой эффективности защиты, невозможности создания цельной системы обеспечения безопасности, снижению производительности и быстродействия информационных средств, а также к большим затратам, чем если бы система защиты разрабатывалась и реализовывалась параллельно с основными задачами.
При параллельном проектировании разработчиками системы обеспечения безопасности информации (СБИ) производится анализ циркуляции и мест сосредоточения информации в проекте информационной системы, определяются наиболее уязвимые для несанкционированного доступа точки и своевременно предлагаются взаимоприемлемые технические решения по сокращению их количества путем изменения принципиальной схемы информационной системы, что позволит обеспечить простоту, надежность и экономичную реализацию защиты с достаточной эффективностью. Кроме того, параллельное проектирование необходимо в силу встроенного характера большей части технических средств защиты. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением процессов автоматизированной обработки информации, что важно для определения степени влияния средств защиты информации на основные вероятностно-временные характеристики информационной системы, которые, как правило, изменяются в сторону ухудшения. Но это — плата за приобретение нового и необходимого качества, которая иногда является причиной пренебрежительного отношения некоторых разработчиков и заказчиков информационных систем к защите. Однако за такую недальновидность им приходится расплачиваться потом несоизмеримо более дорогой ценой. Не выполнив эту задачу, они лишили владельца информационной системы гарантий на собственность его информации, циркулирующей в ней.
При разработке технического задания и дальнейшем проектировании информационной системы следует помнить, что создание системы обеспечения безопасности информации — задача не второстепенная, ибо невыполнение ее может быть причиной недостижения цели, поставленной информационной системе, потери доверия к ней, а в некоторых случаях утечки и модификации информации — причиной более тяжелых последствий.
Техническое задание на проектируемую информационную систему должно содержать перечень сведений и характеристик, подлежащих защите, возможные пути циркуляции и места их сосредоточения, а также специальные требования к системе обеспечения безопасности информации. Если это автоматизированная система управления или информационная сеть, то должна соблюдаться иерархия требований к системе защиты информации.
Они должны входить:
в общее техническое задание на автоматизированную систему управления или информационную сеть в целом;
в частные технические задания на функциональные подсистемы управления, на отдельные автоматизированные звенья, объекты, комплексы, технические средства;
в технические задания на сопряжение внешних систем;
в технические задания на общее программное обеспечение отдельных компьютеров и информационных комплексов, на специальное программное обеспечение объектов — элементов информационной сети и автоматизированных систем управления.
Требования общего технического задания на информационную сеть и автоматизированную систему управления являются руководящими для частных технических заданий подсистем, звеньев, объектов и т. д.
При этом в автоматизированной системе управления требования на подсистемы одного уровня иерархии, идеологически связанные с одним вышестоящим объектом, должны быть унифицированы между собой и не вступать в противоречие.
Решение вопросов создания системы защиты информации должно поручаться лицам одного уровня с лицами, занимающимися вопросами функционирования автоматизированной системы управления. Разработка системы защиты информации требует привлечения специалистов широкого профиля, знающих, кроме системных вопросов, вопросов программного обеспечения, разработки комплексов и отдельных технических средств, специальные вопросы защиты информации.
При проектировании защиты следует внимательно провести исследование разрабатываемой информационной системы на предмет выявления всех возможных каналов несанкционированного доступа к информации, подлежащей защите, средствам ее ввода-вывода, хранения, обработки и только после этого строить защиту. Первое знакомство с разрабатываемой информационной системой должно закончиться рекомендациями по сокращению обнаруженных каналов доступа путем ее принципиальных изменений без ущерба выполнению основных задач.
Анализ важнейших задач организации и формирования функций, удовлетворяющих целям управления, носит обычно итеративный характер, обеспечивающий последовательное уточнение задач и функций, согласование их на всех уровнях и ступенях автоматизированной системы управления и сведение в единую функциональную схему. Это означает, что проведенные на некотором этапе проектирования технические решения, накладываемые системой защиты на основные задачи автоматизированной системы управления, должны проверяться по степени их влияния на решения основных процессов управления и наоборот: после принятия решения по изменению основных процессов управления и составу технических средств должно проверяться их соответствие решениям по защите информации, которые при необходимости должны корректироваться или сохраняться, если корректировка снижает прочность защиты.
Важную роль играет простота системы обеспечения безопасности информации. Она должна быть простой настолько, насколько позволяют требования по ее эффективности. Простота защиты повышает ее надежность, экономичность, уменьшает ее влияние на вероятностно-временные характеристики автоматизированной системы управления, создает удобства в обращении с нею. При неудобных средствах безопасности пользователь будет стараться найти пути ее обхода, отключить ее механизм, что сделает защиту бессмысленной и ненужной.
При проектировании системы обеспечения безопасности информации, как и в обычных разработках, вполне разумно применение унифицированных или стандартных средств защиты. Однако желательно, чтобы указанное средство при применении в проектируемой информационной системе приобрело индивидуальные свойства защиты, которые бы потенциальному нарушителю не были известны.
Данные по защите информации в проектируемой информационной системе должны содержаться в отдельных документах и засекречиваться.
Ознакомление опытных и квалифицированных специалистов с уязвимыми точками проекта на предмет его доработки можно осуществить путем организации контролируемого допуска их к секретному проекту. В этом случае по крайней мере будут известны лица, ознакомленные с проектом. Таким образом сокращается число лиц — потенциальных нарушителей, а лица, ознакомленные с проектом, несут ответственность перед законом, что, как известно, является сдерживающим фактором для потенциального нарушителя.
В процессе проектирования и испытаний рекомендуется по возможности использовать исходные данные, отличающиеся от действительных, но позволяющие при последующей загрузке системы действительными данными не проводить доработки. Загрузка действительных данных должна производиться только после проверки функционирования системы защиты информации в данной информационной системе.
Учитывая то, что система защиты в информационной системе предусматривает, кроме аппаратно-программных средств, применение в качестве преграды и организационных мероприятий, выполняемых человеком — наиболее слабым звеном защиты, необходимо стремиться к максимальной автоматизации его функций и сокращению доли его участия в защите.
Для того чтобы спроектированная система защиты обрела жизнь, необходимо также, чтобы технические средства защиты по возможности не ухудшали вероятностно-временные характеристики информационной системы: быстродействие, производительность и другие. При проектировании необходимо найти разумное соотношение в удовлетворении тех и других требований.