- •Предисловие
- •Введение
- •1. Понятие национальной безопасности
- •1.1. Интересы и угрозы в области национальной безопасности
- •1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание
- •2. Информационная безопасность в системе национальной безопасности Российской Федерации
- •2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности
- •2.2. Национальные интересы в информационной сфере
- •2.3. Источники и содержание угроз в информационной сфере
- •3. Государственная информационная политика
- •3.1. Основные положения государственной информационной политики Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности
- •4. Информация - наиболее ценный ресурс современного общества
- •4.1. Понятие «информационный ресурс»
- •4.2. Классы информационных ресурсов
- •5. Проблемы информационной войны
- •5.1. Информационное оружие и его классификация
- •5.2. Информационная война
- •6.1. Информационные процессы в сфере государственного и муниципального управления
- •6.2. Виды информации и информационных ресурсов в сфере ГМУ
- •6.3. Состояние и перспективы информатизации сферы ГМУ
- •7.1. Структура системы подготовки кадров в области информационной безопасности
- •7.2. Состав учебно-методического обеспечения системы и ее подсистема управления
- •7.3. Основные направления учебной деятельности
- •Литература
- •Часть 2. Информационная безопасность автоматизированных систем
- •1. Современная постановка задачи защиты информации
- •2. Организационно-правовое обеспечение информационной безопасности
- •2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации
- •2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
- •3. Информационные системы
- •3.1. Общие положения
- •3.2. Информация как продукт
- •3.3. Информационные услуги
- •3.3.1. Разновидности информационных систем
- •3.3.2. Службы
- •3.4. Источники конфиденциальной информации в информационных системах
- •3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах
- •3.6. Виды технических средств информационных систем
- •4. Угрозы информации
- •4.1. Классы каналов несанкционированного получения информации
- •4.2. Причины нарушения целостности информации
- •4.3. Виды угроз информационным системам
- •4.4. Виды потерь
- •4.5. Информационные инфекции
- •4.6. Убытки, связанные с информационным обменом
- •4.6.1. Остановки или выходы из строя
- •4.6.5. Маскарад
- •4.6.7. Вторжение в информационную систему
- •4.7. Модель нарушителя информационных систем
- •5. Методы и модели оценки уязвимости информации
- •5.1. Эмпирический подход к оценке уязвимости информации
- •5.2. Система с полным перекрытием
- •5.3. Практическая реализация модели «угроза - защита»
- •6. Рекомендации по использованию моделей оценки уязвимости информации
- •8. Анализ существующих методик определения требований к защите информации
- •8.1. Требования к безопасности информационных систем в США
- •8.2. Требования к безопасности информационных систем в России
- •8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
- •8.4. Оценка состояния безопасности ИС Франции
- •8.4.1. Состояние безопасности малых информационных систем
- •8.4.2. Анализ состояния безопасности систем обмена данными
- •8.5. Факторы, влияющие на требуемый уровень защиты информации
- •9. Функции и задачи защиты информации
- •9.1. Общие положения
- •9.3. Классы задач защиты информации
- •9.4. Функции защиты
- •9.5. Состояния и функции системы защиты информации
- •10. Стратегии защиты информации
- •11. Способы и средства защиты информации
- •12. Криптографические методы защиты информации
- •12.2. Основные алгоритмы шифрования
- •12.3. Цифровые подписи
- •12.4. Криптографические хеш-функции
- •12.5. Криптографические генераторы случайных чисел
- •12.6. Обеспечиваемая шифром степень защиты
- •12.7. Криптоанализ и атаки на криптосистемы
- •13. Архитектура систем защиты информации
- •13.1. Требования к архитектуре СЗИ
- •13.2. Построение СЗИ
- •13.3. Ядро системы защиты информации
- •13.4. Ресурсы системы защиты информации
- •13.5. Организационное построение
- •Литература
- •1. Рабочая программа по дисциплине «Основы информационной безопасности»
- •2. Индивидуальные задания
- •3. Вопросы к экзамену
- •11. Термины по защите информации
- •Оглавление
Окончание табл. 2.18
Ранг |
Вид угрозы |
Средняя |
Максимальная |
|
сумма |
сумма |
|||
|
|
|||
|
|
|
|
|
9 |
Ошибки хранения |
7 |
10 |
|
10 |
Ошибки эксплуатации |
7 |
10 |
|
11 |
Аварии оборудования |
7 |
35 |
|
12 |
Ошибки передачи |
6 |
12 |
|
13 |
Внешние аварии |
3 |
5 |
|
14 |
Уход персонала |
2 |
5 |
|
15 |
Кража материальных ценностей |
1 |
5 |
Большинство крупных предприятий подвергаются риску, превы шающему 1 млрд. фр. Уровень риска большинства из них, как правило, превышает их возможности в случаях неожиданных ситуаций.
8.4.1. Состояние безопасности малых информационных систем
Результаты анкетирования состояния безопасности малых информа ционных систем приведены в табл. 2.19.
Таблица 2.19. Результаты анкетирования состояния безопасности малых информационных систем, %
|
|
|
|
Секторы |
|
|
|
|
Код |
Факторы |
|
|
|
|
|
|
|
финансовый |
промышленный |
|
услуг |
|||||
|
|
да |
нет |
да |
нет |
да |
|
нет |
|
|
|
|
|
|
|
|
|
01 |
Уровень организации |
|
|
|
|
|
|
|
|
безопасности |
75,2 |
24,2 |
73,9 |
26,1 |
82,5 |
|
17,502 |
02 |
Меры доверия |
81,8 |
18,2 |
78,3 |
21,7 |
55,0 |
|
45,0 |
03 |
Определение владель |
21,2 |
|
|
|
|
|
|
|
цев информации и |
|
|
|
|
|
|
|
|
классификация |
|
78,8 |
39,3 |
60,7 |
42,5 |
|
57,5 |
04 |
Внутренний аудит |
60,6 |
39,4 |
43,5 |
56,5 |
63,0 |
|
37,0 |
05 |
Внешний аудит |
48,5 |
51,5 |
39,1 |
60,9 |
15,0 |
|
85,0 |
06 |
Безопасность зданий |
54,5 |
45,5 |
47,8 |
52,2 |
67,5 |
|
32,5 |
07 |
Безопасность вспомо |
|
69,7 |
|
65,2 |
|
|
|
|
гательных служб |
30,3 |
34,8 |
17,5 |
|
82,5 |
||
08 |
Физические системы |
|
|
|
|
|
|
|
|
контроля доступа |
93,9 |
6,1 |
78,2 |
21,7 |
90,0 |
|
10,0 |
09 |
Биометрические систе |
|
|
|
|
|
|
|
|
мы контроля доступа |
0,0 |
100,0 |
0,0 |
100,0 |
0,0 |
|
100,0 |
Окончание табл. 2.19
|
|
|
|
Секторы |
|
|
|
|
Код |
Факторы |
|
|
|
|
|
|
|
финансовый |
промышленный |
|
услуг |
|||||
|
|
|
|
|
|
|
|
|
|
|
да |
нет |
да |
нет |
да |
|
нет |
|
|
|
|
|
|
|
|
|
10 |
Обеспечение чистоты |
|
|
|
|
|
|
|
|
воздуха |
18,2 |
81,8 |
8,7 |
91,3 |
5,0 |
|
95,0 |
11 |
Инструкции по безо |
|
|
|
|
|
|
|
|
пасности |
66,7 |
33,3 |
60,9 |
39,1 |
85,0 |
|
10,0 |
12 |
Автоматическое туше |
|
|
|
|
|
|
|
|
ние пожара |
90,9 |
9,1 |
82,6 |
17,4 |
57,5 |
|
42,5 |
13 |
Система охраны |
87,9 |
12,1 |
52,2 |
47,8 |
75,0 |
|
25,0 |
14 |
Эвакуация |
81,8 |
18,2 |
47,8 |
52,2 |
70,0 |
|
30,0 |
15 |
Резервное электропи |
|
|
|
|
|
|
|
|
тание |
81,8 |
18,2 |
39,1 |
60,9 |
60,0 |
|
40,0 |
16 |
Оказание помощи |
54,5 |
45,5 |
56,5 |
43,5 |
67,5 |
|
32,5 |
17 |
Логический контроль |
75,8 |
24,2 |
|
|
75,0 |
|
25,0 |
|
доступа |
65,1 |
34,8 |
|
||||
18 |
Безопасность сети |
51,5 |
48,5 |
60,9 |
39,1 |
60,0 |
|
40,0 |
19 |
Шифрование |
24,2 |
75,8 |
4,3 |
95,7 |
5,0 |
|
95,0 |
20 |
Аудит |
63,6 |
39,4 |
65,2 |
34,8 |
62,5 |
|
37,5 |
21 |
Безопасность носите |
33,3 |
66,7 |
21,7 |
78,3 |
37,5 |
|
62,5 |
|
лей |
|
||||||
22 |
Внешняя защита |
93,9 |
6,1 |
91,3 |
8,7 |
85,0 |
|
15,0 |
23 |
Борьба с саботажем в |
|
|
|
|
|
|
|
|
нематериальной сфере |
12,1 |
87,9 |
17,4 |
82,6 |
0,0 |
|
100,0 |
24 |
Непрерывность и целе |
|
|
|
|
|
|
|
|
направленность экс |
|
|
|
|
|
|
|
|
плуатации |
70,8 |
29,2 |
62,5 |
37,5 |
40,0 |
|
60,0 |
25 |
Надежность эксплуата |
|
36,4 |
|
|
70,0 |
|
30,0 |
|
ции |
63,6 |
60,9 |
39,1 |
|
|||
26 |
Использование защи |
|
|
|
|
|
|
|
|
щенной аппаратуры |
21,2 |
78,8 |
30,4 |
69,6 |
25,0 |
|
75,0 |
27 |
Спецификация безо |
|
69,7 |
30,4 |
69,6 |
|
|
|
|
пасности |
30,3 |
0,0 |
|
100,0 |
|||
28 |
Состояние контроля |
27,3 |
72,7 |
56,5 |
43,5 |
65,0 |
|
35,0 |
29 |
Взаимоувязка мер кон |
57,6 |
42,4 |
73,9 |
26,1 |
67,5 |
|
32,5 |
|
троля |
|
||||||
30 |
Аутентификация |
63,6 |
36,4 |
60,9 |
39,1 |
75,0 |
|
25,0 |
Результаты опроса и анализа безопасности ПК еще более тревожные (табл. 2.20).
|
|
|
Таблица 2.20. Котировка факторов |
||
|
|
|
|
|
|
№ фактора |
Факторы |
|
Котировка |
|
|
|
|
|
|
||
|
Организационная и экономическая среда |
|
|
||
|
|
|
|
|
|
101 |
Общая организация |
|
|
1,70 |
|
102 |
Виды контроля |
|
|
1,75 |
|
103 |
Регламентация и аудит |
|
|
1,90 |
|
201 |
Социально-экономические |
|
2,78 |
|
|
|
Физическая |
безопасность |
|
|
|
|
|
|
|
|
|
301 |
Внешняя окружающая среда |
|
2,75 |
|
|
302 |
Контроль доступа |
|
|
1,82 |
|
303 |
Загрязнение |
|
|
1,64 |
|
304 |
Правила безопасности |
|
|
1,87 |
|
305 |
Противопожарная безопасность |
2,49 |
|
||
306 |
Защита от затопления |
|
|
2,30 |
|
307 |
Безопасность работы информац. техники |
2,56 |
|
||
|
Общая информационная |
безопасность |
|
|
|
|
|
|
|
||
308 |
Средства резервирования и восстановления |
2,25 |
|
||
309 |
Протоколы обмена |
|
|
2,84 |
|
310 |
Подготовка персонала |
|
|
1,11 |
|
311 |
Планирование безопасности |
|
1,21 |
|
|
401 |
Безопасность оборудования и базового про |
l,58 |
|
||
граммного обеспечения |
|
|
|
||
|
|
|
|
|
|
402 |
Телекоммуникационная |
безопасность |
1,83 |
|
|
403 |
Защита данных |
|
|
0,65 |
|
|
Эксплуатационная |
безопасность |
|
|
|
|
|
|
|
|
|
501 |
Архивация/дезархивация |
|
|
1,62 |
|
502 |
Прием и передача данных |
|
1,28 |
|
|
503 |
Охрана |
|
|
1,28 |
|
504 |
Надежность функционирования |
1,10 |
|
||
505 |
Обеспечение |
|
|
2,67 |
|
|
Функциональная |
безопасность |
|
|
|
|
|
|
|
|
|
601 |
Процедуры проверки |
|
|
0,59 |
|
602 |
Программные методы контроля |
1,57 |
|
||
603 |
Взаимосвязь методов контроля |
1,57 |
|
||
604 |
Программно-математическая |
безопасность |
2,46 |
|
|
|
|
|
|
|
|
Безопасность ПК чрезвычайно низкая: пользователи плохо информи рованы, слишком озабочены своей независимостью.
8.4.2. Анализ состояния безопасности систем обмена данными
Результаты опроса о состоянии безопасности информационного об мена с помощью телекоммуникаций по состоянию на 1990 г. приведены в табл. 2.21.
Таблица 2.21. Анализ рисков, связанных с использованием информационного обмена, %
Сектор |
|
1990 |
|
2001 |
||
|
|
|
|
|
|
|
Да |
|
Нет |
Да |
|
Нет |
|
|
|
|
||||
|
|
|
|
|
|
|
Финансовый |
43 |
|
57 |
11 |
|
23 |
Промышленный |
30 |
|
70 |
53 |
|
47 |
Обслуживания |
0 |
|
100 |
38 |
|
62 |
В общем |
26 |
|
74 |
43 |
|
57 |
|
|
|
|
|
|
|
Анализ возможных рисков и убытков, показывает, что существенная динамика происходит в финансовом секторе и секторе обслуживания (табл. 2.22) [41].
Таблица 2.22. Классификация информации, %
Сектор |
|
1990 |
|
2001 |
||
|
|
|
|
|
|
|
Да |
|
Нет |
Да |
|
Нет |
|
|
|
|
||||
|
|
|
|
|
|
|
Финансовый |
14 |
|
86 |
82 |
|
18 |
Промышленный |
20 |
|
80 |
69 |
|
31 |
Обслуживания |
0 |
|
100 |
53 |
|
47 |
В общем |
13 |
|
87 |
45 |
|
55 |
Важность качественной классификации информации является необ ходимой предпосылкой для использования средств безопасности адек ватно эффективности и стоимости. Это часто недооценивается.
Сопоставление того, что следовало бы сделать в области безопасно сти систем обмена данными, с тем, что делается в настоящее время, пока зывает, что безопасность телекоммуникаций в большинстве случаев представляет ахиллесову пяту.
Когда классификация проведена, она широко используется для опре деления архитектуры информационной системы и для реализации программ, которые будут управлять информационным обменом (табл. 2.23-2.28).
Таблица 2.23. Использование классификации в интересах архитектурной концепции системы, %
Сектор |
|
1990 |
|
2001 |
||
|
|
|
|
|
|
|
Да |
|
Нет |
Да |
|
Нет |
|
|
|
|
||||
|
|
|
|
|
|
|
Финансовый |
11 |
|
89 |
47 |
|
53 |
|
|
|
|
|
|
|
Промышленный |
20 |
|
80 |
46 |
|
54 |
|
|
|
|
|
|
|
Обслуживания |
0 |
|
100 |
12 |
|
88 |
В общем |
12 |
|
88 |
35 |
|
65 |
Анализ показывает, что большое внимание защите важной информа ции уделяет финансовый сектор.
Таблица 2.24. Защита важной информации в режиме «абонент - абонент», %
Сектор |
|
1990 |
|
2001 |
||
|
|
|
|
|
|
|
Да |
|
Нет |
Да |
|
Нет |
|
|
|
|
||||
|
|
|
|
|
|
|
Финансовый |
57 |
|
43 |
87 |
|
13 |
Промышленный |
40 |
|
60 |
62 |
|
38 |
Обслуживания |
0 |
|
100 |
12 |
|
88 |
В общем |
35 |
|
65 |
43 |
|
57 |
Таблица 2.25. Наличие системы «идентификация/подтверждение подлинности» каждого пользователя, %
Сектор |
|
1990 |
|
2001 |
||
|
|
|
|
|
|
|
Да |
|
Нет |
Да |
|
Нет |
|
|
|
|
||||
|
|
|
|
|
|
|
Финансовый |
57 |
|
43 |
89 |
|
11 |
Промышленный |
80 |
|
20 |
100 |
|
0 |
Обслуживания |
33 |
|
67 |
50 |
|
50 |
В общем |
61 |
|
39 |
78 |
|
22 |
|
|
|
|
|
|
|
Сопоставление двух последних аспектов свидетельствует о более широком использовании систем «идентификация/подтверждение под линности» для внешних корреспондентов по сравнению с внутренними пользователями. Такая подозрительность по отношению к внешним пользователям противоречит действительности, которая свидетельствует, что две трети ущербов, имеющих злонамеренный характер, исходит от персонала предприятия.