- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
Для построения системы обеспечения безопасности информации в комплексе средств автоматизации информационной системы необходимы следующие исходные данные:
назначение и выполняемые функции;
состав и назначение аппаратных и программных средств;
структурная или функциональная схема;
структура и состав информационной базы;
перечень и время сохранения секретности сведений, подлежащих защите;
модель ожидаемого поведения потенциального нарушителя;
состав, количество и виды внутренних и выходных документов;
описание функциональных задач прикладного программного обеспечения;
состав и выполняемые функции должностных лиц — пользователей и обслуживающего персонала;
режим работы (закрытый или открытый, круглосуточный или с перерывами, оперативный или пакетный);
способы и средства загрузки программного обеспечения;
базовые вычислительные средства и их характеристики;
интенсивность отказов входящих технических средств;
показатели качества функционального контроля;
план и условия размещения технических средств на объекте эксплуатации.
Перечисленные данные являются параметрами конкретного объекта обеспечения безопасности. Его назначение и выполняемые функции дают первое представление о необходимом уровне обеспечения безопасности информации (например, для военных целей — один уровень, для гражданских — другой и т. д.). Уточняет эту задачу режим работы комплекса средств автоматизации обработки информации, а также перечень сведений, подлежащих защите. Состав и назначение аппаратных средств, структурная и функциональная схема, способ загрузки программного обеспечения, план размещения технических средств и другие параметры дают представление о возможных каналах несанкционированного доступа к информации, подлежащей защите. Перечень возможных каналов несанкционированного доступа представлен выше. Однако он не является исчерпывающим, или, наоборот, некоторые возможные каналы несанкционированного доступа на конкретном комплексе средств автоматизации обработки информации могут отсутствовать. Это зависит также от заданной модели поведения нарушителя. Перечень сведений, подлежащих защите, состав, количество и виды документов, содержащих эти сведения, дают представление о предмете защиты. Состав и выполняемые функции должностных лиц — пользователей и обслуживающего персонала, структура и состав информационной базы, операционная система программного обеспечения базовых информационных средств позволяют построить систему опознания и разграничения доступа к информации, подлежащей защите от преднамеренного несанкционированного доступа. Интенсивность отказов входящих в комплекс технических средств и показатели качества функционального контроля необходимы для оценки эффективности защиты от случайных несанкционированных доступов. План размещения и состав технических средств, а также данные о наличии соответствующих датчиков дают представление о возможности и выборе принципов построения системы контроля вскрытия аппаратуры и системы контроля доступа в помещения объекта эксплуатации комплекса средств автоматизации.
При создании системы обеспечения безопасности в комплексе средств автоматизации обработки информации используем также принятые концептуальные основы для построения системы обеспечения безопасности информации.
В целях наиболее полного представления способов реализации системы и средств обеспечения безопасности информации от преднамеренного несанкционированного доступа в комплексе средств автоматизации рассмотрим наиболее сложную ситуацию, когда состав комплекса средств автоматизации содержит по возможности наиболее полную номенклатуру типовых технических средств и количество возможных каналов несанкционированного доступа соответствует модели поведения квалифицированного нарушителя — профессионала.
При описании системы обеспечения безопасности в целях раскрытия смысла подчинения отдельных средств общей задаче используем метод исследования от общего к частному, для чего приведем сначала описание структуры системы обеспечения безопасности, а затем ее составные части.