1956

УДК 004.056

Чопоров О. Н. Основы информационной безопасности: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (0,99 Мб) / О. Н. Чопоров, А. Г. Остапенко. – Воронеж: ФГБОУ ВПО «Воронежский государственный технический университет», 2015. – 1 электрон. опт. диск (CDROM). – Систем. требования: ПК 500 и выше; 256 Мб ОЗУ;

Windows XP; Adobe Reader; 1024x768; CD-ROM; мышь. – Загл. с

экрана.

Рассмотрены сущность и понятие информации, информационной безопасности и характеристика ее составляющих; место и роль информационной безопасности в системе национальной безопасности Российской Федерации, основы государственной информационной политики, стратегия развития информационного общества в России; международная, национальная и ведомственная нормативная правовая база в области информационной безопасности; классификация угроз и уязвимостей; стандарты в области информационной безопасности.

Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по специальностям 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем», дисциплине «Основы информационной безопасности».

Табл. 6. Ил. 5. Библиогр.: 66 назв.

Рецензенты: Концерн «Созвездие» (д-р техн. наук, проф. Н. Н. Толстых);

д-р техн. наук, проф. К. А. Разинкин

©Остапенко А. Г., Чопоров О. Н.,

2015

©Оформление. ФГБОУ ВПО

«Воронежский государственный технический университет», 2015

УСЛОВНЫЕ СОКРАЩЕНИЯ

BSI – Британский институт стандартов

NIST (National Institute of Standards and Technology) –

Национальный институт Стандартов и технологий (США) АС – автоматизированная система АСУ – автоматизированная система управления ЗИ – защита информации ИБ – информационная безопасность

ИС – информационная система

ИСО (ISO) – Международная организация по стандартизации

ИСПДн – информационная система персональных данных

ИТ – информационные технологии КНПИ – канал несанкционированного получения

информации КСИИ – ключевая система информационной

инфраструктуры КЭ-ПК – Комитет экспертов по преступности в

киберпространстве ЛВС – локальная вычислительная сеть

МЭК (IEC) - Международная электротехническая комиссия (International Electrotechnical Commission)

НСД – несанкционированный доступ НТД – нормативно-технические документы ОС – операционная система ПД (ПДн) – персональные данные ПК – персональный компьютер ПО – программное обеспечение

СВТ – средства вычислительной техники СМИБ – система менеджмента информационной

безопасности СРД – система разграничения доступа

ССЗИ – система стандартов по защите информации

2

ФЗ – Федеральный закон ФСБ – Федеральная служба безопасности России

ФСТЭК – Федеральная служба по техническому и экспортному контролю России

ЭВМ – электронная вычислительная машина.

3

ВВЕДЕНИЕ

Курс с названием «Основы информационной безопасности» входит в целый ряд государственных образовательных стандартов по различным специальностям. Тематика курса разрабатывается многими авторами, и к настоящему времени подготовлено достаточно много книг, в том числе и учебных пособий. Большое количество этих книг говорит о значимости рассматриваемой предметной области, ее постоянном изменении и увеличении, что связано с высокой динамикой развития информационных технологий и большой зависимостью их от обеспечения информационной безопасности.

Вкачестве основы для данного пособия были взяты современные стандарты в области менеджмента информационной безопасности семейства 27000 [12-21], а также ряд книг ведущих специалистов в области информационной безопасности (Варфоломеев А.А., Лось В.П., Шаньгин В.Ф. и др.) [5, 34, 67].

Учебное пособие состоит из пяти глав.

Впервой главе рассматриваются основные понятия информационной безопасности и их взаимосвязь. За основу взяты современные стандарты и другие нормативно правовые документы в области информационной безопасности.

Во второй главе рассматривается понятие национальной безопасности РФ, угрозы и источники угроз в информационной сфере Российской Федерации, общая структура государственной системы обеспечения информационной безопасности РФ, Государственная информационная политика обеспечения информационной безопасности России.

Третья глава посвящена международной, национальной и ведомственной нормативной правовой базе в области информационной безопасности. Дана классификация нормативно-правового и справочного обеспечения. Рассмотрены основные концептуальные документы, в том

4

числе, международные; нормативно-правовые акты Российской Федерации (кодексы, Законы РФ, Указы Президента РФ, Постановления Правительства РФ); ведомственная нормативная база (нормативные документы и инструктивные материалы ФСБ РФ и ФСТЭК (Гостехкомиссии) России).

Вчетвертой главе рассматриваются угрозы и уязвимости информационной безопасности. Дана системная классификаций и общий анализ угроз безопасности информации; классификация каналов несанкционированного получения информации. Представлен подробный перечень уязвимостей в различных сферах безопасности, включая примеры угроз, которые могут использовать эти уязвимости.

Впятой главе рассматриваются стандарты в области информационной безопасности. Дана классификация существующих стандартов. Проанализирована история развития стандартов в области информационной безопасности. Представлено семейство стандартов 27000 системы менеджмента информационной безопасности.

Данное учебное пособие предназначено для студентов дневной формы обучения, обучающихся по специальностям 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем», но может быть также полезно аспирантам и специалистам, занимающимся проблемами информационной безопасности.

5

1. ОСНОВНЫЕ ПОНЯТИЯ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Изучению основ информационной безопасности предшествует изучение курса информатики, где объясняется сам термин «информации» (от латинского informatio— «научение», «сведение», «оповещение»).

Норберт Винер (1894–1964) определял информацию как «обозначение содержания, черпаемого нами из внешнего мира

впроцессе приспособления к нему и приведения в соответствие с ним нашего мышления». Он же говорил, что «информация есть информация, а не материя и не энергия».

Вдальнейшем, при формулировке основных терминов и определений будем ориентироваться на наиболее «свежие» законы и стандарты в области информационной безопасности,

вчастности, Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [64] и ГОСТ Р ИСО/МЭК 27000–2012 «Информационная технология «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»

[12].

Информация (от лат. informatio, разъяснение, изложение, осведомлённость) – сведения (сообщения, данные) независимо от формы их представления [64].

Приведем и некоторые другие понятия, связанные с термином «информация».

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов [64].

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств [64].

6

Информационно-телекоммуникационная сеть –

технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники [64].

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам [64].

телекоммуникационной сети (иногда можно встретить термин

«компьютерная информация» – информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель [64].

Особо можно выделить понятие конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Продолжая перечень понятий, выделим понятие: Защищаемая информация – информация, являющаяся

предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации [ГОСТ Р

50922-96].

Согласно закону № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на

7

общедоступную информацию, а также на информацию,

общеизвестные сведения и иная информация, доступ к которой не ограничен. «Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации».

Кроме того, по закону, информация в зависимости от

порядка предоставления или распространения

подразделяется на информацию:

1)свободно распространяемую;

2)предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3)подлежащую предоставлению или распространению в соответствии с федеральными законами;

4)ограниченную или запрещенную для распространения

вРоссийской Федерации.

Закон РФ «О средствах массовой информации», принятый в 1991 г. [57], определяет понятие «массовая информация» как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы». Довольно специфичной информацией являются так называемые «кредитные истории» и «персональные данные», которые рассматриваются специальными законами, о которых будет говориться далее.

Хотя в законе № 149-ФЗ нет определения «защищаемая информация», в нем есть определение «защиты информации».

8

«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2)соблюдение конфиденциальности информации ограниченного доступа;

3)реализацию права на доступ к информации».

Помимо понятия «информационная система», важны и

используются понятия «автоматизированная система», «автоматизированная информационная система» и, в частности.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [ГОСТ 34.003-90]. В зависимости от вида деятельности выделяют виды автоматизированных систем:

-АСУ – автоматизированная система управления,

-САПР – система автоматизации проектирования,

-и др.

Автоматизированная информационная система –

комплекс программных и технических средств, предназначенных для сбора, хранения, поиска и выдачи информации по запросам.

Актуальными являются сегодня и понятия

«информационная инфраструктура», «критические сегменты информационной инфраструктуры» и др.

Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах (ресурсах), а информация рассматривается как их часть.

9