- •Предисловие
- •Введение
- •1. Понятие национальной безопасности
- •1.1. Интересы и угрозы в области национальной безопасности
- •1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание
- •2. Информационная безопасность в системе национальной безопасности Российской Федерации
- •2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности
- •2.2. Национальные интересы в информационной сфере
- •2.3. Источники и содержание угроз в информационной сфере
- •3. Государственная информационная политика
- •3.1. Основные положения государственной информационной политики Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности
- •4. Информация - наиболее ценный ресурс современного общества
- •4.1. Понятие «информационный ресурс»
- •4.2. Классы информационных ресурсов
- •5. Проблемы информационной войны
- •5.1. Информационное оружие и его классификация
- •5.2. Информационная война
- •6.1. Информационные процессы в сфере государственного и муниципального управления
- •6.2. Виды информации и информационных ресурсов в сфере ГМУ
- •6.3. Состояние и перспективы информатизации сферы ГМУ
- •7.1. Структура системы подготовки кадров в области информационной безопасности
- •7.2. Состав учебно-методического обеспечения системы и ее подсистема управления
- •7.3. Основные направления учебной деятельности
- •Литература
- •Часть 2. Информационная безопасность автоматизированных систем
- •1. Современная постановка задачи защиты информации
- •2. Организационно-правовое обеспечение информационной безопасности
- •2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации
- •2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
- •3. Информационные системы
- •3.1. Общие положения
- •3.2. Информация как продукт
- •3.3. Информационные услуги
- •3.3.1. Разновидности информационных систем
- •3.3.2. Службы
- •3.4. Источники конфиденциальной информации в информационных системах
- •3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах
- •3.6. Виды технических средств информационных систем
- •4. Угрозы информации
- •4.1. Классы каналов несанкционированного получения информации
- •4.2. Причины нарушения целостности информации
- •4.3. Виды угроз информационным системам
- •4.4. Виды потерь
- •4.5. Информационные инфекции
- •4.6. Убытки, связанные с информационным обменом
- •4.6.1. Остановки или выходы из строя
- •4.6.5. Маскарад
- •4.6.7. Вторжение в информационную систему
- •4.7. Модель нарушителя информационных систем
- •5. Методы и модели оценки уязвимости информации
- •5.1. Эмпирический подход к оценке уязвимости информации
- •5.2. Система с полным перекрытием
- •5.3. Практическая реализация модели «угроза - защита»
- •6. Рекомендации по использованию моделей оценки уязвимости информации
- •8. Анализ существующих методик определения требований к защите информации
- •8.1. Требования к безопасности информационных систем в США
- •8.2. Требования к безопасности информационных систем в России
- •8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
- •8.4. Оценка состояния безопасности ИС Франции
- •8.4.1. Состояние безопасности малых информационных систем
- •8.4.2. Анализ состояния безопасности систем обмена данными
- •8.5. Факторы, влияющие на требуемый уровень защиты информации
- •9. Функции и задачи защиты информации
- •9.1. Общие положения
- •9.3. Классы задач защиты информации
- •9.4. Функции защиты
- •9.5. Состояния и функции системы защиты информации
- •10. Стратегии защиты информации
- •11. Способы и средства защиты информации
- •12. Криптографические методы защиты информации
- •12.2. Основные алгоритмы шифрования
- •12.3. Цифровые подписи
- •12.4. Криптографические хеш-функции
- •12.5. Криптографические генераторы случайных чисел
- •12.6. Обеспечиваемая шифром степень защиты
- •12.7. Криптоанализ и атаки на криптосистемы
- •13. Архитектура систем защиты информации
- •13.1. Требования к архитектуре СЗИ
- •13.2. Построение СЗИ
- •13.3. Ядро системы защиты информации
- •13.4. Ресурсы системы защиты информации
- •13.5. Организационное построение
- •Литература
- •1. Рабочая программа по дисциплине «Основы информационной безопасности»
- •2. Индивидуальные задания
- •3. Вопросы к экзамену
- •11. Термины по защите информации
- •Оглавление
Окончание табл. 2.14
Описание техническая характеристика |
|
Класс защищенности |
|
|||
защиты |
|
|
|
|
|
|
С1 |
С2 |
В1 |
В2 |
В3 |
А1 |
|
Какова структура ТСВ, которая способст |
|
|
|
|
|
|
вует усилению минимальных преиму |
|
|
|
+ |
+ |
+ |
ществ |
|
|
|
|||
Результаты анализа защищенных каналов |
|
|
|
+ |
+ |
+ |
Альтернативные варианты |
|
|
|
+ |
+ |
+ |
Результаты проверки, которые можно |
|
|
|
|
|
|
использовать при эксплуатации известных |
|
|
|
+ |
+ |
+ |
защитных каналов ЗУ |
|
|
|
* ТСВ (Trusted computer base) - доверенная вычислительная среда
8.2. Требования к безопасности информационных систем в России
Аналогичный подход реализован и в руководящем документе Госу дарственной технической комиссией при Президенте РФ «Классифика ция автоматизированных систем и требований по защите информации», выпущенном в 1992 г. Требования всех приведенных ниже документов обязательны для исполнения только для тех государственных либо ком мерческих организаций, которые обрабатывают информацию, содержа щую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер. В данном документе вы делено 9 классов защищенности автоматизированных систем от несанк ционированного доступа к информации, а для каждого класса определен
минимальный |
состав необходимых |
механизмов |
защиты и |
требования |
к содержанию |
защитных функций |
каждого из |
механизмов |
в каждом |
из классов систем. |
|
|
|
Классы систем разделены на три группы, причем основным критери ем деления на группы приняты специфические особенности обработки информации, а именно:
третья группа - системы, в которых работает один пользователь, до пущенный ко всей обрабатываемой информации, размещенной на носи телях одного уровня конфиденциальности; к группе отнесены два класса, обозначенные ЗБ и ЗА;
вторая группа - системы, в которых работает несколько пользовате лей, которые имеют одинаковые права доступа ко всей информации, об-
рабатываемой и/или хранимой на носителях различного уровня конфи денциальности; к группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одно временно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют разные права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В, 1Б и 1А.
Требования к защите растут от систем класса ЗБ к классу 1 А.
Все механизмы защиты разделены на 4 подсистемы следующего на значения:
•управления доступом;
•регистрации и учета;
•криптографического закрытия;
•обеспечения целостности.
Состав перечисленных подсистем приведен в табл. 2.15.
Таблица 2.15. Классы подсистем защищенности
Подсистема и ее |
|
|
|
Классы систем |
|
|
|
||
характеристики |
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
IB |
1Б |
1А |
1. Подсистема управления |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
доступом |
|||||||||
1.1. Идентификация, провер |
- |
- |
- |
|
- |
|
|
|
|
ка подлинности и контроль |
|
|
|
|
|
|
|
|
|
доступа субъектов в систему: |
|
|
|
|
|
|
|
|
|
к терминалам, ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
ЭВМ |
|
|
|
|
|||||
к томам, каталогам, файлам, |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
записям, полям записей |
|||||||||
1.2. Управление потоками |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
информации |
|
||||||||
2. Подсистема регистрации и |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
учета |
|||||||||
2.1. Регистрация и учет: |
- |
|
- |
|
- |
|
|
|
|
входа субъектов доступа в |
|
|
|
|
|
|
|
|
|
системы узла сети и выхода |
|
|
|
|
|
|
|
|
|
их из нее |
|
|
|
|
|
|
|
|
|
выдачи печатных графиче |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
ских выходных документов |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Продолжение табл. 2.15
Подсистема и ее |
|
|
|
Классы систем |
|
|
|
||
характеристики |
|
|
|
|
|
|
|
|
|
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
IB |
1Б |
1А |
|
запуска-завершения про |
- |
- |
- |
|
- |
|
|
|
|
грамм процессов заданий, |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
задач |
|
|
|
|
|||||
доступа программ субъектов |
- |
- |
- |
|
- |
|
|
|
|
доступа к защищаемым фай |
|
|
|
|
|
|
|
|
|
лам, включая их создание и |
|
|
|
|
|
|
|
|
|
удаление, передачу по лини |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
ям и каналам связи; |
|
|
|
|
|||||
доступа программ субъектов |
- |
- |
- |
|
- |
|
|
|
|
доступа к терминалам, ЭВМ, |
|
|
|
|
|
|
|
|
|
узлам сети ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам |
|
|
|
|
|
|
|
|
|
ЭВМ, программам, томам, |
|
|
|
|
|
|
|
|
|
каталогам, файлам, записям, |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
полям записей; |
|
|
|
|
|||||
изменения полномочий субъ |
- |
- |
- |
- |
- |
+ |
+ |
+ |
+ |
ектов доступа |
|||||||||
создаваемых защищаемых |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
объектов доступа |
|||||||||
2.2. Учет носителей инфор |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
мации |
|||||||||
2.3. Очистка, обнуление, |
- |
|
- |
|
- |
|
|
|
|
обезличивание освобождае |
|
|
|
|
|
|
|
|
|
мых областей оперативной |
|
|
|
|
|
|
|
|
|
памяти ЭВМ и внешних на |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
копителей |
|
|
|
||||||
3. Криптографическая под |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
система |
|||||||||
3.1. Шифрование конфиден |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
циальной информации |
|||||||||
3.2. Шифрование информа |
- |
- |
- |
- |
- |
- |
- |
- |
|
ции, принадлежащей различ |
|
|
|
|
|
|
|
|
|
ным субъектам доступа, |
|
|
|
|
|
|
|
|
|
группам субъектов на раз |
|
|
|
|
|
|
|
|
+ |
личных ключах |
|
|
|
|
|
|
|
|
|
3.3. Использование аттесто |
- |
- |
- |
|
- |
- |
- |
|
|
ванных сертифицированных |
|
|
|
+ |
|
|
|
+ |
+ |
криптографических средств |
|
|
|
|
|
|
Окончание табл. 2.15
Подсистема и ее |
|
|
|
|
|
Классы систем |
|
|
|
||
характеристики |
|
ЗБ |
|
ЗА |
2Б |
2 А |
1Д |
1Г |
1В |
1Б |
1А |
4. Подсистема обеспечения |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
целостности |
|
|
|||||||||
4.1. Обеспечение целостно |
|
|
|
|
|
|
|
|
|
|
|
сти программных средств и |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
обрабатываемой информации |
|
|
|||||||||
4.2. Физическая охрана средств |
|
|
|
|
|
|
|
|
|
|
|
вычислительной техники и |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
носителей информации |
|
|
|||||||||
4.3. Наличие администратора |
- |
|
- |
|
- |
|
- |
- |
|
|
|
службы защиты информации |
|
|
|
|
|
|
|
|
|
|
|
в автоматизированной систе |
|
|
|
|
|
+ |
|
|
+ |
+ |
+ |
ме обработки данных |
|
|
|
|
|
|
|
||||
4.4. Периодическое тестиро |
|
|
|
|
|
|
|
|
|
|
|
вание средств защиты ин |
|
|
|
|
|
|
|
|
|
|
|
формации несанкциониро |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
ванного доступа |
|
|
|||||||||
4.5. Наличие средств восста |
|
|
|
|
|
|
|
|
|
|
|
новления средств защиты |
|
|
|
|
|
|
|
|
|
|
|
информации несанкциониро |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
ванного доступа |
|
|
|||||||||
4.6. Использование сертифи |
|
- |
|
+ |
- |
+ |
- |
- |
+ |
+ |
+ |
цированных средств защиты |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Содержание средств для каждой группы систем приведено в доку менте. Приведенная в руководящем документе Гостехкомиссии методика распространяется на защиту от несанкционированного доступа к инфор мации, находящейся непосредственно в ЗУ ЭВМ и на сменных машино читаемых носителях. Значительно раньше, в 1978 г., Гостехкомиссией были выпущены руководящие документы, определяющие требования к защите информации в автоматизированных системах от утечки по побоч ным электромагнитным излучениям и наводкам. При разработке назван ных требований учитывались следующие факторы:
1.Доля грифованной информации в общем объеме обрабатываемой информации.
2.Интенсивность обработки грифованной информации, выражаемая относительной долей времени ее обработки в течение суток.
3.Условия расположения аппаратуры автоматизированной системы.