- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
В качестве объекта защиты информации выбираем автоматизированную систему управления (см. рис. 6, гл.1, разд. 3 ) как более универсальную систему. В нее входят практически все виды автоматизированных информационных систем по классификации (см. рис. 1, гл. 2), согласно которой автоматизированная система управления может включать различные виды автоматизированных систем, в том числе информационные и вычислительные системы и сети.
Большая автоматизированная система управления, как правило, состоит из нескольких территориально удаленных информационных систем (комплексов средств автоматизации, комплексов аппаратно-программных средств), связанных между собой информационной сетью, которая, в свою очередь, состоит из нескольких узлов коммутации, связанных между собой и с вычислительными системами каналами связи. Узел коммутации — это совокупность средств коммуникации и передачи данных, который по составу технических средств можно рассматривать и как информационную систему, являющуюся элементом сети. Такой подход с позиций защиты информации позволяет выделить некоторый обобщенный элемент автоматизированной системы, на базе которого, по существу, она строится - комплекс средств автоматизации обработки информации.
Анализ объекта защиты будем вести с позиций, изложенных в разд. 3.
Предметом защиты в этом случае может служить следующая информация:
структура, состав, назначение и принципы построения автоматизированной системы управления;
структура, состав, назначение и принципы построения сети обмена информацией и данными в автоматизированной системе управления;
состояние направлений связи в сети передачи информации и данных;
адресные таблицы автоматизированной системы управления и сети;
таблицы полномочий элементов автоматизированной системы управления и сети;
информация, циркулирующая в комплексе средств автоматизации обработки информации и каналах связи.
Согласно принципам построения данная информация (кроме последней), если в сети заложен принцип обмена "каждый с каждым" (одноранговые сети), размещается на каждом элементе сети. Обмен информацией может происходить между процессами разных элементов сети, между их пользователями, между пользователем и процессом разных элементов сети.
В автоматизированных системах управления каждый пользователь и процесс имеет свой уровень полномочий. Персонал узла коммутации сети, через который транзитом проходит абонентская информация, не должен ее видеть и документировать, а обработка данной информации должна исключать ее запись в долговременную память.
Наличие на элементе автоматизированной системы управления, сети и каналах связи информации, различной по назначению и уровню защиты, предполагает соответствующие системные средства защиты, объединенные в систему защиты информации от несанкционированного доступа в автоматизированной системе управления.
Средства защиты информации так же, как и основные средства ее обработки в системе, реализуются на программном, аппаратном и организационном уровнях. При этом они выполняют свои функции в тесном взаимодействии с основными компонентами комплексов средств автоматизации автоматизированной системы управления и сети. Совокупность определенных средств защиты на уровнях комплексов средств автоматизации обработки информации, систем передачи информации и данных и автоматизированной системе управления образуют на каждом уровне свою систему защиты информации. Причем, с одной стороны, средства защиты являются общесистемными ресурсами, а с другой — в силу специфики решаемых задач, система защиты для каждого уровня может быть представлена в виде самостоятельной структуры, которая нуждается в собственном управлении в целях координации и контроля своих процессов по обеспечению безопасности информации.
Согласно изложенной выше концепции защиты информации для создания замкнутого контура (оболочки, периметра) защиты необходимо объединить средства защиты в целостный механизм — встроенную автоматизированную систему защиты, обеспечивающую централизованные подготовку, контроль и управление безопасностью информации в автоматизированной системе управления.
Анализ принципов построения автоматизированной системы управления показал, что обработка и обмен информацией в ней производится на четырех уровнях:
на уровне комплекса средств автоматизации обработки информации автоматизированной системы управления;
на уровне комплекса средств автоматизации системы передачи информации (сети передачи информации);
на уровне автоматизированной системы управления в целом;
на уровне системы передачи информации в целом.
На каждом из уровней образуется своя автоматизированная система, выполняющая свои задачи, связанные с вводом-выводом, хранением, обработкой и передачей определенной информации, соответствующей функциональным обязанностям должностных лиц и пользователей в структуре автоматизированной системы управления и системы передачи информации.
Аналогичным образом целесообразно распределить в автоматизированной системе управления функции обеспечения безопасности информации, подлежащей защите от утечки, модификации и утраты, и создать в автоматизированной системе управления на соответствующих уровнях встроенные системы защиты информации. Эти системы должны удовлетворять определенным требованиям. Так, для защиты передаваемой информации по тракту передачи данных от пользователя одного комплекса средств автоматизации обработки информации к пользователю другого они должны содержать средства абонентского шифрования.
Система защиты информации в трактах передачи информации должна включать средства абонентского шифрования, средства обеспечения цифровой подписи передаваемых сообщений, систему генерации и распределения соответствующих ключей шифрования, действительные значения которых вырабатываются и распределяются с помощью средств управления службой безопасности (защиты) информации автоматизированной системы управления.
Безопасность информации в системе передачи должна содержать средства линейного шифрования.
В каждой из перечисленных систем должна быть система опознания, разграничения доступа и средства контроля и управления, с помощью которых в рамках данной системы можно выполнять следующие функции:
составление перечня, ранжирование по важности и степени секретности и назначение сроков действия документов и других данных, подлежащих защите от несанкционированного доступа;
разграничение, распределение и контроль полномочий должностных лиц-пользователей по отношению к информации и функциям управления;
организацию и поддержку функционирования системы безопасности информации в системе;
подготовку, выбор, распределение и периодическую замену ключей шифрования информации и кодов цифровой подписи;
своевременное обнаружение, блокировку, сбор, регистрацию и документирование фактов несанкционированного доступа;
своевременное установление места, времени и причины несанкционированного доступа;
взаимодействие со службой функционального контроля и администраторами системы;
взаимодействие со службами безопасности других систем;
взаимодействие со службой безопасности нижестоящих объектов управления (комплексы средств автоматизации обработки информации).
К числу наиболее важных функций, определяющих необходимость создания системы защиты информации в автоматизированной системе, относятся: периодическая подготовка, распределение и периодическая замена ключей абонентского шифрования и кодов подписи, действительные значения которых должны быть доступны только должностным лицам этой службы и пользователям в соответствии с назначенными им полномочиями. Распределение ключей, помимо разграничения доступа к информации, позволяет обеспечить выполнение требований по иерархии системных отношений между должностными лицами автоматизированной системы управления и системы передачи информации.
Учитывая изложенное, на уровне комплекса средств автоматизации обработки информации должны быть предусмотрены, кроме собственных средств, средства защиты, работающие в интересах выполнения перечисленных выше системных функций.
В конечном итоге в обобщенном виде каждый комплекс средств автоматизации обработки информации должен содержать следующие средства обеспечения безопасности информации:
систему защиты информации в данном комплексе средств автоматизации обработки информации;
средства взаимодействия со средствами управления выше- и нижестоящих комплексов средств автоматизации обработки информации;
средства абонентского шифрования информации;
средства обеспечения цифровой подписи сообщений;
средства линейного шифрования информации.
При этом функции средств взаимодействия определяются положением комплекса средств автоматизации обработки информации в структуре автоматизированной системы управления и системы передачи информации. Комплекс средств автоматизации обработки информации верхних звеньев управления должно обладать соответствующими средствами управления безопасностью информации в подчиненной ему структуре.
Отметим, что в последнее время в результате совершенствования средств шифрования появилась возможность отказа от средств линейного шифрования и этому способствует концепция защиты информации в автоматизированной системе управления, предложенная в разд. 3.
При построении системы защиты информации в автоматизированной системе управления необходимо определить следующие исходные данные:
структуру, состав и назначение автоматизированной системы управления и ее элементов;
структуру, состав и принципы построения сети передачи информации;
информационные процессы, подлежащие автоматизации;
задачи и функции управления, их распределение между исполнителями;
схему информационных потоков и места сосредоточения информации подлежащей защите;
структуру, состав и размещение информационной базы автоматизированной системы управления;
перечень и сроки сохранения сведений, подлежащих защите;
состав и выполняемые функции должностных лиц-пользователей;
перечень, форму и количество входных, внутренних и выходных документов;
режим использования автоматизированной системы управления (открытый, закрытый и т. д.);
вероятностно-временные характеристики обработки сообщений;
органы управления и их размещение в автоматизированной системе управления;
органы управления сетью передачи информации и их размещение в автоматизированной системе управления.