- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
Организационные мероприятия составляют наиболее важную часть системы обеспечения безопасности информации в информационных системах в целом, а также в автоматизированных системах. На организационном уровне осуществляются взаимодействие элементов автоматизированной системы управления и сети передачи информации, синхронизация действий подсистем, объектов и персонала. В результате исследования видов информации, подлежащей защите, ее циркуляции, мест сосредоточения, а также функций и полномочий элементов автоматизированной системы управления и сети передачи информации определяются:
перечень видов управляющей деятельности службы безопасности информации;
цели, стоящие перед органами управления при обеспечении защиты информации;
перечень подзадач, посредством решения которых реализуются цели защиты;
распределение задач защиты между органами исполнения различных уровней;
объемы, виды, формы и сроки представления информации вышестоящим органам управления.
Разработка функциональной структуры службы безопасности информации затрагивает главные проблемы руководства и основные идеологические концепции построения автоматизированной системы управления и сети передачи данных, исходя как из общих закономерностей управления организационными системами, так и из анализа особенностей технологии планирования и принятия решений, специфичных для данной автоматизированной системы управления и сети передачи информации.
В процессе подготовки к эксплуатации системы пользователи обучаются правилам выполнения защитных мероприятий при работе с системой, убеждаясь в их необходимости и важности. При этом по-прежнему важны подбор и расстановка кадров в соответствии с их квалификацией и функциональными обязанностями при выполнении будущих работ. При переходе на автоматизированную систему в целях защиты информации возможно потребуется перестройка структуры организации. В период реорганизации система особенно уязвима, что объясняется воздействием многих факторов. Назовем некоторые из них:
отсутствие на первых порах привычки пользователей к новой системе и, как следствие, отсутствие осторожности и появление ошибок;
появление ошибок разработчиков системы, включая систему защиты;
отвлечение внимания пользователей текущими проблемами от вопросов защиты и т. д.
В связи с этим вопросы защиты должны быть строго учтены при составлении планов работ и их реализации особенно в начальный период эксплуатации. В период подготовки и эксплуатации автоматизированной системы управления (сети передачи информации) проводятся организационные мероприятия в интересах выполнения функций управления.
В процессе эксплуатации автоматизированной системы управления (сети передачи информации) в ее состав могут быть введены новые элементы или выведены по какой-либо причине старые. Перед вводом нового элемента должны быть проверены и испытаны на функционирование его системы защиты информации. После принятия решения о выводе старого элемента автоматизированной системы управления (сети передачи информации) необходимо скорректировать соответствующие таблицы полномочий других элементов автоматизированной системы управления (сети передачи информации) на предмет его исключения и удалить значения кодов его паролей, а на самом элементе удалить секретную информацию из его оперативной и при необходимости долговременной памяти, включая адресные таблицы сети передачи, структуру автоматизированной системы управления и сети передачи информации, таблицы полномочий и кодов паролей, о чем целесообразно составить соответствующий акт, подписанный ответственными исполнителями работ. Наконец, наступает такое время, когда необходима замена самой системы в целом, как морально устаревшей, на новую. Однако информация, циркулирующая в старой системе, может быть ценной и подлежать защите по сей день. Тогда необходимо работать с каждым элементом автоматизированной системы управления (сети передачи информации), аналогично описанной выше процедуре работы с элементом, выводимым из системы.
Специалисты рекомендуют соблюдать следующие требования по безопасности информации в информационных сетях:
все возможные пути прохождения данных в сети от отправителя сообщения до получателя должны быть защищены. Это обычно называют безопасностью из конца в конец;
данные никогда не должны появляться внутри сети в форме, пригодной для чтения;
терминалы пользователей и терминалы, обслуживающие сервера, должны быть способны осуществлять операцию старта и остановки в любое время, не оказывая длительного влияния на функционирование сети;
всем пользователям, терминалам и компьютерам должны быть присвоены уникальные идентификаторы и осуществлена проверка их подлинности при доступе в сеть;
если исходный текст состоит только из нулей и единиц, то передаваемое сообщение шифроваться не должно;
при отсутствии передачи сообщения в целях скрытия своей активности должен использоваться генератор шума.
При разработке системы защитных преобразований очень важна оценка объема усилий и затрат, необходимых для раскрытия ключа. Если эти затраты нарушителя превышают получаемый при этом выигрыш, система защиты считается эффективной. Следуя концепции защиты, принятой за основу, вводим временной фактор, так как он позволяет провести относительно стоимостного более точную оценку, т. е. система шифрования данных считается эффективной, если объем усилий, выраженный в затратах времени для раскрытия ключа нарушителем, превышает время старения защищаемых данных.
При раскрытии нарушителем ключа следует учитывать возможность применения для этой цели современной информационной техники, а также ее развитие за период использования информации средств защиты в данной информационной сети и автоматизированной системе управления.