- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 3. Персональные данные
С наступлением эры компьютеров, а потом и эры телекоммуникационных технологий, доступ к информации, ее объемы, возможность быстро получать и компилировать данные из десятков разных источников привели к тому, что технологическое количество породило новое качество.
Если раньше бумажные документы ограничивали использование в полной мере персональных данных, хранящихся на этих носителях, то с наступлением компьютерной эры, особенно с развитием Интернета, появились почти неограниченные возможности поиска, сортировки, обобщения, копирования и вторичного использования документов.
Данное обстоятельство, с одной стороны, увеличивает важность персональных данных, как фактора экономической, социальной и культурной жизни, с другой стороны способно кардинально и в наихудшей мере повлиять на право каждого защитить свои права и свободы.
Наконец, доступность персональных данных и связанная с ней открытость частной жизни могут привести и часто приводят не только к правонарушениям, но и к тяжким преступлениям, жертвами которых становятся граждане.
Можно перечислить основные факторы, способствующие возникновению и развитию оборота персональных данных:
- данные в подавляющем большинстве стали представляться и обрабатываться в электронном виде;
- стало легко комбинировать данные, полученные из разных баз данных (источников);
- возросшая скорость компьютеров позволяет производить любую необходимую обработку информации, содержащей персональные данные;
- стоимость хранения данных и доступа к их массивам резко снизилась;
- персональные компьютеры превратились в общедоступное средство;
- возникший Интернет завершил формирование среды информационного обмена, связанного с персональными данными.
Есть все основания полагать, что оборот персональных данных в России по вполне объективным причинам будет неуклонно расти. Одновременно с ростом потребностей в персональных данных и увеличением оборота этих данных будет расти и число преступлений, связанных с ними. Все это заставляет самым пристальным образом рассматривать правовые вопросы, связанные с персональными данными.
Сферы обращения персональных данных всеобъемлющи. В оборот персональных данных включены все:
- сам гражданин (субъект персональных данных);
- общество в целом и другие граждане;
- государство, как многослойная и многофункциональная управляющая структура;
- бизнес.
Соответственно, все участники оборота связаны между собой подчас весьма сложными взаимными отношениями, которые схематично можно показать на следующем рисунке.
В центре (треугольника) этих отношений находится субъект персональных данных, соединенный с государством, обществом, отдельными гражданами и бизнесом множеством формальных и неформальных связей.
|
|
|
|
Такими же связями соединены все остальные субъекты отношений:
- Субъект персональных данных – другой гражданин. Существует множество случаев и причин, по которым один гражданин на законных основаниях нуждается в определенных сведениях о другом гражданине. Оказавшимся в разных городах друзьям необходимо найти друг друга, пациенту нужно знать о наличии лицензии у частнопрактикующего врача, покупателю недвижимости необходимо знать о всех имущественных правах, которые существуют в отношении интересующего его объекта недвижимости.
- Субъект персональных данных – общество. Общество, как совокупность граждан, испытывает определенную потребность в получении информации, что выражено емким термином «свобода слова» и реализовано в связанной с этой свободой деятельности средств массовой информации. Материалы средств массовой информации содержат, в том числе, огромное количество персональной информации. Кроме этого, к общественным интересам может быть отнесена деятельность писателей и ученых, которые в силу своей профессии могут сталкиваться с необходимостью получения и использования персональной информации. Важность соотношения персональных данных и деятельности средств массовой информации была отражена в официальных европейских документах.
- Субъект персональных данных – бизнес. Интересы большинства коммерческих организаций требуют знания персональной информации о тех лицах, с которыми им приходится иметь дело. Поэтому большинство из этих коммерческих организаций не только получают необходимую им информацию от своих клиентов, но и используют различные иные источники получения такой информации. Этими источниками являются как базы данных других коммерческих организаций, так и базы данных, находящиеся в распоряжении у государства, а также общедоступные источники информации.
- Субъект персональных данных – государство. Государство в совокупности было и остается основным и самым большим держателем и потребителем персональных данных. Это обусловлено теми публичными функциями, которые выполняет государство. Чаще всего выполнение этих функций требует обязательного предоставления гражданами их персональных данных государственным ведомствам, что, в свою очередь, предопределяет тотальность многих из тех баз персональных данных, которыми распоряжается государство (например, налоговые органы или органы, ответственные за регистрацию актов гражданского состояния).
- Общество – государство. Государство несет множество обязанностей по отношению к обществу, обладая при этом адекватными этим обязанностям полномочиями. В первую очередь, это обязанности по поддержанию общественной безопасности. Кроме случаев, когда полномочия государства связаны с правоприменением в отношении конкретного гражданина, государству предоставлены такие полномочия, как осуществление видеонаблюдения в общественных местах, определенный контроль за информационными потоками в Интернете и пр. Все это ставит общий вопрос о взаимоотношениях между обществом и государством в терминах получения и использования персональных данных граждан.
- Общество – бизнес. Несмотря на то, что основным объектом защиты являются права конкретного гражданина, задача защиты этих прав часто и неизбежно выходит далеко за рамки двухсторонних отношений. Некоторые проблемы, в частности, такие, как взаимоотношения между работником и работодателем, не могут быть в полной мере решены на двухсторонней основе и требуют решения в рамках иногда очень больших коллективов. Наконец, в тех сферах, которые принципиально не являются «вотчиной» бизнеса, в частности в Интернете, как не только информационном, но и общественном явлении, взаимоотношения между обществом и бизнесом в части получения и использования персональных данных должны соответствовать определенным правовым нормам.
- Бизнес – государство. С точки зрения персональных данных, бизнес соединяет с государством множество нитей. Работодатель обязан в соответствии с законом исполнять определенные обязанности, связанные, например, с перечислением налогов в качестве налогового агента. Тот же работодатель может нуждаться в помощи государства тогда, когда имеет законные основания подозревать своего работника в нарушении своих прав, в частности права собственника. Банки обязаны сообщать госорганам определенные подробности о частных вкладах граждан, размещенных на счетах банка. С другой стороны бизнес нуждается в той персональной информации, которая находится в распоряжении у государства.
Все эти отношения порождают массу конкретных проблем, в целом объединенных общими свойствами.
В первую очередь, они затрагивают интересы самого гражданина, находящего в центре отношений, и, в конечном итоге, его права и свободы, гарантированные Конституцией.
Во вторых – и это не менее значимо – эти отношения связаны с реализацией прав (или полномочий) других участников отношений, также определенных и/или гарантированных Конституцией. Это порождает разнообразные и многочисленные конфликты интересов, одной из сторон которых является субъект персональных данных, другой – все остальные субъекты отношений. Очевидно, что сложность и многоплановость этих конфликтов не предполагает простое или тривиальное их решение. Это обстоятельство отражено и в международных документах, посвященных персональным данным:
В третьих, отношения гражданина-субъекта персональных данных с остальными субъектами (обществом, государством, бизнесом), несмотря на специфику каждых из этих отношений, обладают для него одинаковой значимостью. Человек в равной степени является экономическим субъектом, членом общества и «подданным государства».
Современная система европейского законодательства о персональных данных основана на нескольких международных документах. Два из них имеют особый статус.
Евроконвенция – Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных (1981 год). Для России этот документ имеет принципиальное значение не только потому, что она входит в Совет Европы, но и в силу того, что национальные законы, принимаемые в соответствии с Евроконвенцией, напрямую запрещают частному сектору и госведомствам трансграничную передачу персональных данных в страны, в которых нет адекватного правового режима защиты.
Евродиректива. В 1995 году Европейский парламент и Совет Европейского союза приняли Директиву 95/46/ЕС о защите прав частных лиц применительно к обработке персональной информации данных и о свободном движении таких данных. По своему статусу Евродиректива является правовым стандартом, обязательным для применения в национальных законодательствах стран – членов Европейского союза
В настоящее время во многих европейских странах приняты национальные законы, которые подробно регламентируют все нюансы работы с персональными данными, разработаны рекомендации для операторов персональных данных, созданы соответствующие контролирующие органы. Российская Федерация, ратифицировав в 2005 году Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, также вошла в число стран, в основе законодательств которых, наравне с другими, лежит принцип обеспечения прав личности на защиту своих персональных данных. Евродиректива 95/46/ЕС является сегодня правовым стандартом, обязательным для применения в национальных законодательствах стран-членов Европейского союза, поэтому положения Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных во многом повторяют нормы, предусмотренные европейским законодателем, но в то же время российский закон имеет и ряд существенных отличий.
Федеральный закон № 24-фз от 20.02.95 «об информации, информатизации и защите информации»
Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.
5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных.
Заключение
В данном учебном пособии приводятся свойства информации как предмета защиты в информационных системах, системы автоматизированной обработки и обмена информацией как объекты ее защиты. Приводятся методики анализа и систематизации потенциальных угроз безопасности информации, современные методы и средства управления санкционированным доступом к информации. В доступном для студента изложении приводится анализ и методика анализа обеспечения рассматриваемых вопрос и задач в организации любого уровня, будь то государственная, корпоративная, банковская структура или коммерческая фирма. Наряду с практическим преломлением материала, представленным в пособии, более глубоко рассмотрена и теоретическая сторона. Определены предмет и объекты защиты, цели и задачи защиты, единые подход, концепция и принципы построения системы безопасности информации в информационных системах, сетях и компьютерных системах управления. Несомненным достоинством учебного пособия являются расчетные соотношения и формулы для расчета уровня прочности отдельных средств защиты и информационной системы в целом, что позволит специалистам определить уровень безопасности в конкретной функционирующей информационной системе, задать соответствующие показатели в техническом задании на разработку системы в будущем.
Приведенные и рекомендуемые для изучения подходы, концепция, принципы построения защиты информации и расчетные соотношения позволят независимо от вида, назначения и масштабов информационной системы создать на пути нарушителя и случайных воздействий строгую и управляемую систему равнопрочных и взаимосвязанных преград с возможностью обоснованного получения ее количественных и качественных параметров, отвечающих заданным требованиям по уровню безопасности обрабатываемой информации.
Особое внимание при изучении следует обратить на приведенные в пособии результаты системных исследований сущности проблемы: разработку полной и непротиворечивой концепции ее решения, применение которой в любой конкретной автоматизированной информационной системе позволит решить проблему в виде частного случая.
В настоящее время исследования и разработка защиты информации от несанкционированного доступа в информационных системах ведутся разными специалистами в основном по двум направлениям: территориально сосредоточенным информационным системам и распределенным информационным сетям. При этом используются где-то совпадающие и несовпадающие подходы, терминология и определения. При сопряжении данных систем системотехнические решения по реализации безопасности информации в них часто не стыкуются между собой, дублируют друг друга и вместе с тем не перекрывают возможные каналы несанкционированного доступа к информации.
Рассматриваемая в учебном пособии концепция безопасности информации одинаково эффективна в обоих направлениях и, следовательно, эффективно будет работать при сопряжении указанных информационных систем, хотя и есть различие в подходах, которые учитывают специфические принципы обработки и передачи данных, но не противоречат, а дополняют друг друга. Качество защиты при этом зависит от выбранного заказчиком информационной системы класса модели поведения потенциального нарушителя, уровня прочности установленных разработчиком средств защиты и обеспечения уровня автоматизации и централизации управления последними.
Предлагаемая для изучения в рамках концепции постановка задачи отличается от существующих постановок простотой, конкретностью и ясностью, а следовательно лучшей с точки зрения дидактики в учебном процессе. В ней обоснованно разделены задачи защиты от случайных воздействий на информацию и задачи преднамеренного несанкционированного доступа к ней по причине различного характера происхождения событий и мест их проявления.
В пособии в основном рассматривалась задача защиты информации от преднамеренного несанкционированного доступа только от нарушителя в единственном числе, так как без ее решения невозможно решение задачи защиты от организованной группы нарушителей. Такой подход не исключает того, что системотехнические решения первой задачи могут быть эффективны и для защиты от неорганизованной группы нарушителей. Вопрос заключается лишь в том, какую ситуацию рассматривать и насколько велика вероятность ее появления в реальных условиях в конкретной информационной системе.
Рассматриваемые в данном пособии теория и принципы построения защиты отвечают привычному и понятному всем физическому смыслу, заключающемуся в создании замкнутой оболочки, прочность которой определяется ее слабейшим звеном, этот принцип позволит специалисту подойти с единой мерой к расчету и оценке ожидаемой эффективности защиты информации от несанкционированного доступа на любом уровне работы с ней, начиная с персонального компьютера и кончая глобальными сетью и автоматизированной системой управления.
В учебном пособии ставилось задачей дать единый учебный материал для понимания студентом, как теоретических вопросов, так и их практической реализации. Рассмотрение некоторых вопросов пришлось ограничить по глубине рассмотрения. Здесь авторы отсылают пытливого студента к существующим монографиям и практическим руководствам соответствующего направления, в том числе и для ограниченного использования.
В приведенных методиках используется метод экспертных оценок, но объем его применения по сравнению с существующими методами значительно сокращен, а характер экспертных оценок изменен в техническую сторону, что позволяет получить более точный результат оценки. С увеличением объемов автоматизации процессов контроля доступа результаты оценок прочности защиты станут еще точнее.
Использование в оценке прочности защиты фактора времени предоставляется более удачным, чем фактор стоимости. Известно, что стоимостная оценка информации и соответствующих затрат на несанкционированный доступ к ней потенциального нарушителя может быть весьма приблизительной и пока практических методик, определяющих такие затраты, не существует. Для больших систем подобная работа, учитывая динамику движения информации и изменения ее цены, вообще вряд ли целесообразна.
Известно, что временной фактор уже используется при оценке стойкости криптографических средств защиты, что говорит в пользу решения приводимого в пособии. В результате использована возможность применения общих для всех средств защиты принципов расчета и оценки их прочности с помощью одной широко известной единицы измерения — вероятности наступления события.
Приведенная в пособии концепция безопасности информации позволит будущему специалисту научиться быстро ориентироваться в решении таких задач как:
юридически строго и конкретно обозначить предмет защиты, сосредоточить на его защите и устранить избыточность применяемых средств защиты;
провести глубокий и всесторонний анализ разрабатываемой информационной системы на предмет выявления возможных каналов несанкционированного доступа к информации в соответствии с заданной моделью поведения потенциального нарушителя;
выбрать готовые и разработать на основе предлагаемых расчетных соотношений новые средства защиты с получением гарантированных показателей их прочности;
создать обоснованную замкнутую оболочку защиты с гарантированными показателями ее прочности;
увидеть единую для всех информационных систем теорию защиты информации от несанкционированного доступа;
упростить систему защиты информации в сетях передачи данных;
сократить количество экспертных оценок эффективности средств защиты и упростить их методику;
на основе более точных расчетов получить значительное повышение уровня безопасности информации в разрабатываемых и монтируемых информационных системах.
формирование единого информационного и лингвистического обеспечения системы безопасности информации в информационных системах;
поиск унификации и стандартизации методов и средств защиты информации;
поиск методов сертификации информационных систем в интересах определения в них гарантированного уровня безопасности информации;
выработка типовых требований к аппаратуре, программному обеспечению и организационным мероприятиям для обеспечения в информационной системе необходимой безопасности информации.
Авторы надеются, что изложенный выше учебный материал позволит будущим и действующим специалистам соответствующего профиля быстро сориентироваться в преимуществах и недостатках множества предлагаемых на рынке решений по обеспечению безопасности информационных систем и управлению доступом в них и принять единственно правильное решение. Права на ошибку у специалиста по информационной безопасности нет, за ней стоит неприкосновенность информации организации-собственника.
Успехов!
Литература
1. Бройдо В.Л., Ильина О.П. Архитектура ЭВМ и систем: Учебник для вузов. СПб.: Питер, 2006. – 718 с.
2. Петров В.Н. Информационные системы: учебное пособие для вузов. СПб.: Питер, 2003 – 658 c.
3. Васильков А.В. и др. Информационные системы и их безопасность. Методическое пособие. – М.: УМЦ ПО ДОМ, 2007 – 432 c.
4. Васильков А.В. и др. Информационные системы и их безопасность: учебное пособие. – М.: Форум, 2008. 528 с.
5. Якубайтис Э.А. Информационные сети и системы. Справочная книга. – М.: Финансы и статистика, 1996. – 368 с.
6. Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электронинформ, 1997. – 368 с.
7. Ирвин Дж., Харль Д. Передача данных в сетях: инженерный подход: Пер. с англ. – СПб.: БХВ-Петербург, 2003.- 448 с.
8. Цвики Э., Купер С., Чапмен Б. Создание защиты в Интернете. – Пер. с англ. – СПб: Символ-Плюс, 2002. – 928 с.
9. Норткатт Стивен. Защита сетевого периметра: Пер. с англ. – К.: ООО «ТИД «ДС», 2004. – 672 с.
10. Харламов В.П. Некоторые концептуальные аспекты защиты информации. – М.: Вопросы защиты информации - № 1, 1994, ВНИИМИ
11. Ухлинов Л. М. Международные стандарты в области обеспечения безопасности данных в сетях ЭВМ. Состояние и направления развития / Электросвязь. — 1991. — № 6.
12. И.Гайкович В., Першин А. Безопасность электронных банковских систем. — М.: Единая Европа, 1994. – 543 c.
13. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. — М.: Энергоатомиздат, 1994 – 352 c.
14. Мафтик С. Механизмы защиты в сетях ЭВМ. — М.: Мир, 1993 – 412 c.
15. Лебедев А. Н. Открытые системы для "закрытой" информации // Открытые системы — 1993. — Вып. 3.
16. Гостехкомиссия РФ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. — М.: Воениздат, 1992.
17. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. - М.: 1992
18. Защита информации в персональных ЭВМ / А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков и др. — М:. Радио и связь — Веста, 1992 – 386 c.
19. Ларионов А.М., Майоров С.А., Новиков Г.Н. Вычислительные комплексы, системы и сети. – Л.: Энергоатомиздат, 1987 – 428 c.
20. Мельников Ю. Н. Достоверность информации в сложных системах. — М.: Сов. радио, 1973 – 312 c.
21. Протоколы и методы управления в сетях передачи данных / Под ред. Ф. Ф. Куо. / Пер. с англ. — М.: Радио и связь, 1985 – 364 c.
22. Давыдовский А. И., Дорошкевич П. В. Зашита информации в вычислительных сетях // Зарубежная радиоэлектроника. — 1989. — № 12.
23. И.Хоффман Л. Дж. Современные методы защиты информации / Пер. с англ. — М.: Сов. радио, 1980 – 487 c.
24. Шураков В. В. Обеспечение сохранности информации в системах обработки данных. — М.: Финансы и статистика, 1985 – 385 c.
25. Герасименко В. А. Проблемы защиты данных в системах их обработки // Зарубежная радиоэлектроника. — 1989. — № 12.
26. Буланов В. Д., Козырь В. И., Конашев В. В. О возможном подходе к комплексной оценке защищенности объекта АСУ // Сб. статей "Вопросы спец. радиоэлектроники". — Сер. СОИУ. — 1989. — Вып. 23.
27. Ю. Шураков В. В. Надежность программного обеспечения систем обработки данных. — М.: Статистика, 1987 – 423 c.
28. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ / Пер. с англ. — М.: Мир, 1982 – 534 c.
29. Герасименко В. А., Размахнин М. К. Программные средства защиты информации в вычислительных, информационных и управляющих системах и сетях // Зарубежная радиоэлектроника. — 1986. — № 5.
30. Протоколы и методы управления в сетях передачи данных / Под ред. Ф. Ф. Куо. / Пер. с англ. — М.: Радио и связь, 1985 – 418 c.
31. Галкин В. А., Кононыхин В. Н. Абонентские информационно-управляющие системы телеобработки данных. — М.: Высшая школа, 1990 – 615 c.
32. Диев С. И. Защита информации в персональных компьютерах // Зарубежная радиоэлектроника. — 1989. — № 12.
33. Наrrisоn М. А., Ruzzo W.L., Vе1топ I.D. Оn Рrоtесtion Ореrаtion Systems // Communication of the ACM. 1975.
34. Purdy G.В. А High Security Log — in Procedure, Communications of the ACM. Vol. 17, N 8. — Aug. 1974.
Безопасность и управление доступом в информационных системах
Posted Ср, 09/09/2009 - 09:52 by gran
Сборник индивидуальных заданий
для самостоятельной работы
БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
для специальности 230103 Автоматизированные системы обработки информации и управления
Решетов А.Н.
БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ: Сборник описаний индивидуальных заданий для самостоятельной работы по специальности 230103 Автоматизированные системы обработки информации и управления - Кемеровская обл. Юрга: Филиал ГОУ ВПО "Кемеровский государственный университет" в г.Юрге, 2007.-9 с.
ВВЕДЕНИЕ
Цели работы:
1. Вовлечение студентов в самостоятельную работу по углублению и совершенствованию знаний по Безопасности и управлению доступом в информационных системах.
Развитие умений студентов работать самостоятельно.
Развитие навыков самостоятельной работы с дополнительной литературой.
Повышение творческого потенциала студентов при изучении дисциплины.
Стимулирование познавательного интереса студентов к учебной дисциплине «Безопасность и управление доступом в информационных системах».
Закрепление знаний, умений и навыков.
Выработка способности логического осмысления самостоятельно полученных знаний.
В данной работе используются несколько вариантов индивидуальных работ. Каждый вариант в начале семестра закрепляется за каждым конкретным студентом, и в течение семестра он работает только по этому варианту.
Оценка по предмету учитывает баллы за индивидуальные самостоятельные задания, выполненные за семестр.
Критерии оценки за самостоятельную работу:
Степень выполнения заданий работы;
Степень соответствия результатов работы заданным требованиям;
Срок сдачи каждого задания соответствует окончанию изучения темы задания по КТП.
СРОКИ СДАЧИ ЗАДАНИЙ
Срок сдачи Тема
|
||
7 семестр |
||
2 неделя |
Общее задание № 1 |
|
4 неделя |
Общее задание № 2 |
|
7 неделя |
Общее задание № 3 |
|
10 неделя |
Общее задание № 4 |
|
13 неделя |
Общее задание № 5 |
|
16 неделя |
Общее задание № 6 |
|
18 неделя |
Общее задание № 7 |
|
21 неделя |
Общее задание № 8 |
|
23 неделя |
Общее задание № 9 |
|
24 неделя |
Общее задание № 10 |
|
|
|
|
|
|
|
3 неделя |
Плакат: «Основные виды угроз информационной безопасности» |
1, 2 вариант |
7 неделя |
Плакат: «Обеспечение безопасности в INTERNET» |
3, 4 вариант |
10 неделя |
Доклад: «Современные системы обеспечения безопасности информации» |
5, 6 вариант |
По мере прохождения темы |
Индивидуальные задания |
По вариантам |
18 неделя |
Доклад: «Современные вирусы» |
7,8 вариант
|
20 неделя |
Доклад: «Подбор рациональной системы обеспечения антивирусной защиты» |
9, 10 вариант |
21 неделя |
Доклад: «Соблюдение правовых норм» |
11, 12 вариант |
ОБЩИЕ ЗАДАНИЯ
Требования к выполнению заданий и сдаче отчёта
1. Ответы на вопросы и задания оформляются в отдельной папке;
2. На вопросы отвечать кратко;
3. Отчёт преподавателю сдаётся в установленный срок;
4. В отчёте отметить индивидуальный номер задания.
Задание № 1. «Безопасность информационных систем»
Вопросы:
1. Что вы представляете под безопасностью информационный системы.
2. Что относиться к основным характеристикам защищаемой информации?
3. Что вы отнесете к информации ограниченного доступа?
4. По каким направлениям будет осуществляться дальнейшее развитие системы безопасности?
Задание:
Определите в каких формах представлена информация на вашей домашней ЭВМ(при отсутствии ПЭВМ в компьютерном классе). Опишите как обеспечивается информационная безопасность вашей ПЭВМ и отвечает ли современным требованиям развития систем безопасности.
Задание № 2. «Информационные и иные угрозы»
Вопросы:
1. Что такое угроза безопасности информации.
2. Приведите примеры программно-математических угроз.
3. Какие организационные угрозы вы знаете. Приведите примеры.
4. Как по вашему мнению возможна утечка информации по физическому каналу в аудиториях информатики филиала?
Задание:
Определите и классифицируйте угрозы безопасности вашего домашнего ПЭВМ.
Задание №3. «Организация защиты информации»
Вопросы:
1. Какие модели защиты информации вы знаете и их основные достоинства и недостатки?
2. Приведите примеры организации защиты информации?
-
№ варианта
Вид информационного пространства для защиты
1, 5, 9
Корпоративная сеть
2, 6, 10
Локальная сеть
3, 7, 11
Сеть Internet
4, 8, 12
Файловая система
Задание:
В приведенном вами примере организации защиты информации найдите недостатки системы, предложите пути их устранения.
Задание №4. «Удаленное администрирование в сети»
Вопросы:
1. Какие способы аутентификации пользователей могут применяться в компьютерных системах?
2. В чем заключаются недостатки парольной аутентификации и как она может быть усилена?
3. Какова недостатки межсетевых экранов вы можете привести?
4. В чем сущность удаленного администрирования?
Задание:
Предложите схему удаленного администрирования сети филиала. Выбор схемы и соответствующего ПО обоснуйте.
Задание №5. «Безопасность автоматизированной информационной системы»
Вопросы:
1. В чем состоит предмет и объекты защиты информации в АСОД?
2. Что такое надежность информации и ее уязвимость?
3. Перечислите каналы несанкционированного получения информации в АСОД?
4. Каковы методы подтверждения подлинности пользователей и разграничения их доступа к компьютерным ресурсам?
5. Перечислите методы идентификации и установления подлинности субъектов и различных объектов.
6. В чем состоят задачи информационной целостности?
7. Что значит разграничение и контроль доступа к информации?
8. Какие имеются методы и средства защиты информации от случайных воздействий?
Задание:
Опишите каким образом осуществлено разграничение доступа к информационным ресурсам на вашей ПЭВМ, в случае отсутствия его обоснуйте.
Задание № 6. «Антивирусная безопасность»
Вопросы:
1. В чем состоит проблема вирусного заражения программ?
2. Приведите пример современного вируса, способы его обнаружения и наносимый ущерб?
3. Какие вредоносные программные закладки кроме вирусов вам известны?
4. Какие существуют методы борьбы с компьютерными вирусами?
Задание:
Раскройте сущность приведенного вируса.
-
№ варианта
Вид вируса
1, 5, 9
Стелс - вирус
2, 6, 10
Boot - вирус
3, 7, 11
Макровирус
4, 8, 12
Вирус - червь
Задание № 7. «Антивирусные программы»
Вопросы:
1. Какие основные антивирусные программы вы знаете, кратко охарактеризуйте их .
2. Каким образом происходит лечение зараженных дисков?
3. Что такое программа – полифаг?
4. Что такое программа - детектор?
Задание:
Опишите антивирусные программы, которые вы использовали и используете в данный момент. Ваш выбор обоснуйте.
Задание №8. «Обеспечение технической безопасности»
Вопросы:
1. В чем заключается проблема обеспечения технической безопасности?
2. Приведите примеры отказа аппаратного обеспечения, создающего угрозу информационной безопасности.
3. В чем заключается сущность резервного копирования информации?
4. Какое программное и техническое обеспечение применяется при дублировании информации?
5. Каковы основные аспекты восстановления удаленной информации?
6. Опишите основные программы для восстановления информации?
7. В чем заключается необходимость разбивки жесткого диска на логические и каким программным обеспеченьем можно это произвести?
Задание:
Приведите примеры, когда вам приходилось восстанавливать удаленную информацию. Опишите и обоснуйте логическую разбивку вашего жесткого диска.
Задание №9. «Организационное обеспечение информационной безопасности»
Вопросы:
1. Что входит в понятие организационного обеспечения?
2. Приведите примеры и укажите области применения.
3. Какие основные виды организационного обеспечения безопасности используются в работе филиала.
Задание:
Определите какие организационные меры вы используете в своем быту, приведите примеры использования в учебном процессе.
Задание №10. «Правовое обеспечение информационной безопасности»
Вопросы:
1. Приведите основные законодательные и нормативные документы?
2. Каким образом можно их классифицировать?
3. Каковы перспективы дальнейшего развития в этой области вы видете?
Задание:
Определите какими нормативными документами ограничен круг задач, решаемых вами с использованием вашей домашней ПЭВМ.
ЛИТЕРАТУРА
Федеральный закон РФ «Об информации, информатизации и защите информации», 25.01.95.
Указ Президента РФ №334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставлении услуг в области шифрования информации», 03.04.95
Партыка Т.Л., Попов И.И. «Информационная безопасность». Учебное пособие для студентов учреждений среднего проф. Образования. – М.: ФОРУМ: ИНФРА-М, 2002. – 368С.: ил. - (Серия «Профессиональное образование»).
Мельников В.В. Безопасность информации в автоматизированных системах. -М.:.Финансы и статистика, 2003.-368с..ил.
Ярочкин В.И. Информационная безопасность: учебник для студентов вузов,-М.: Академический Проект ГАУДЕМУС, 2-е изд. - 2004.-544с.