Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfМИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Государственное образовательное учреждение высшего профессионального образования «Алтайский государственный технический университет им. И. И. Ползунова»
Ю. Н. Загинайлов
ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ
Учебное пособие
Рекомендовано Учебно-методическим объединением
по образованию в области историко-архивоведения в качестве учебного пособия для студентов высших учебных
заведений, обучающихся по специальностям 090103 «Организация и технология защиты информации» и
090104 «Комплексная защита объектов информатизации» направления подготовки «Информационная безопасность»
Изд-во АлтГТУ Барнаул • 2011
УДК 004.056(075.8)
Рецензенты:
канд. техн. наук, проф. В. Б. Кравченко (директор Института информационных наук и технологий безопасности
Российского государственного гуманитарного университета); д-р. техн. наук, проф. А. Г. Якунин
(зав. кафедрой вычислительных систем и информационной безопасности АлтГТУ им. И. И. Ползунова)
Загинайлов Ю. Н. Теория информационной безопасности и методология защиты информации : учебное пособие / Ю. Н. Загинайлов ; Алт. гос. техн. ун-т им. И. И. Ползунова. – Барнаул : АлтГТУ, 2011. – 252 с.
ISBN 978-5-7568-0867-4
Изложены теоретические основы информационной безопасности на уровне Российской Федерации, организации, технической системы.
Приведены объекты обеспечения информационной безопасности, угрозы объектам, политики и структуры систем обеспечения информационной безопасности.
Рассмотрены понятия и классификации защищаемой информации, угроз безопасности информации, объектов, средств и систем защиты информации.
Для студентов высших учебных заведений обучающихся по направлению подготовки «Информационная безопасность». Может быть полезно лицам, интересующимся проблемами обеспечения информационной безопасности и защиты информации предприятия.
Рекомендовано Учебно-методическим объединением по образованию в области историко-архивоведения в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям 090103 «Организация и технология защиты информации» и 090104 «Комплексная защита объектов информатизации» направления подготовки «Информационная безопасность». Протокол № 14 от 17 декабря 2010 г.
ISBN 978-5-7568-0867-4
© Загинайлов Ю.Н., 2011 © Издательство АлтГТУ, 2011
2
СОДЕРЖАНИЕ
Предисловие……………………………………………………………… 7
ЧАСТЬ I
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
|
Глава 1. Информационная безопасность и её составляющие…….... |
9 |
1.1 Безопасность в информационном обществе……………… |
9 |
1.2Информация в современном мире и её свойства…............. 13
1.3Понятие безопасности…………………………………….... 19
1.4Информационная безопасность: понятие и составляю-
щие ……………………………………. ……………………… 21
Глава 2. Место информационной безопасности в системе
национальной безопасности России……………………. . . 27
2.1Информационная война как угроза национальной бе-
зопасности…………………………………………………... 27
2.2Место информационной безопасности в системе нацио-
нальной безопасности…………………………………........ 31
2.3Значение информационной безопасности для субъектов информационных отношений……………………………… 34
Глава 3. Теоретические основы информационной безопасности
Российской Федерации……………………………………….. 40
3.1Концептуальная модель и основные понятия…………….. 40
3.2Объекты и угрозы информационной безопасности России……………………………………………………….. 41
3.3Политика обеспечения информационной безопасности Российской Федерации……………………………………... 46
3.4Система обеспечения информационной безопасности Российской Федерации……………………………………... 49
Глава 4. Теоретические основы информационной безопасности
организации……………………………………………………. 57
4.1 Концептуальная модель и основные понятия…………….. 57
1.2Объекты и угрозы информационной безопасности организации…………………………………………………. 59
4.3Политика обеспечения информационной безопасности организации……………………………………………......... 62
4.4Система обеспечения информационной безопасности организации…………………………………………………. 63
4.5Модель безопасности информационных технологий организации…………………………………………………. 67
3
Часть II
МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ
Глава 5. Понятие и сущность защиты информации………………… 73
5.1Общий контекст защиты информации…………………… 73
5.2Понятие и сущность защиты информации как вида деятельности………………………………………………… 76
5. 3 Цели и задачи защиты информации……………………… 79
5.4 Концептуальная модель защиты информации…………… 80
Глава 6. Теоретические основы защиты информации……………….. 83
6.1Основные положения теории защиты информации……… 83
6.2Модели систем и процессов защиты информации……….. 85
Глава 7. Состав и основные свойства защищаемой информации... 92
7.1Основные свойства информации, обуславливающие необходимость её защиты………………………………….. 92
7.2Понятие и состав защищаемой информации. Принципы отнесения информации к защищаемой………………... 94
7.3Носители защищаемой информации……………………… 97
Глава 8. Классификация информации ограниченного доступа
по видам тайны и степеням конфиденциальности…….. 104
8.1Показатели разделения информации ограниченного доступа на виды тайны…………………………………… 104
8.2Государственная тайна…………………………………… 107
8.3Коммерческая тайна……………………………………… 113
8.4Персональные данные……………………………………. 117
8.5Служебная тайна………………………………………….. 119
8.6Профессиональная тайна…………………………………. 121
Глава 9. Понятие, классификация и оценка угроз безопасности
информации…………………………………………………. 124
9.1Понятие угрозы и её взаимосвязь с уязвимостью и рисками……………………………………………………. 124
9.2Общая классификация угроз безопасности информации……………………………………………….. 127
9.3Цели и задачи оценки угроз безопасности информации.. 130
Глава 10. Источники и способы реализации угроз безопасно-
сти информации. Уязвимости систем обработки ин-
формации……………………………………………………. . 134
10.1 Источники угроз безопасности информации………….. 134
4
10.2Виды угроз безопасности информации и способы их реализации со стороны субъективных источников….. 138
10.3Уязвимости систем обработки информации…………… 144
Глава 11.Каналы утечки информации и методы несанкциониро-
ванного доступа к конфиденциальной информации….. 152
11.1Каналы утечки информации ограниченного доступа… 152
11.2Методы несанкционированного доступа к конфиденциальной информации……………………………… 158
11.3Неформальная модель нарушителя безопасности автоматизированной системы………………………….. 166
Глава 12.Направления, виды и особенности деятельности разве-
дывательных служб по несанкционированному доступу
кконфиденциальной информации……………….............. 170
12.1Государственные разведывательные службы зару-
бежных стран……………………………………………. 170
12.2Структура разведывательных служб частных объеди-
нений…………………………………………………….. 173
12.3 Направления и виды разведывательной деятельности 175
12.4Способы несанкционированного доступа к конфиденциальной информации агентурной разведки………………. 179
12.5Компьютерная разведка………………………………… 182
Глава 13.Объекты защиты информации……………………………. 189
13.1Понятие и общая классификация объектов защиты информации……………………………………………... 189
13.2Средства и системы обработки информации как объекты защиты информации……………………………… 193
13.3Средства обеспечения объекта информатизации……... 196
13.4Помещения, в которых установлены средства обработки и помещения для конфиденциальных переговоров как объекты защиты информации……………... 198
Глава 14.Классификация видов, способов, методов и средств за-
щиты информации…………………………………………. 202
14.1Виды защиты информации и сферы их действия……... 202
14.2Общие способы защиты информации…………………. 204
14.3Общая классификация средств защиты информации… 207
14.4Характеристика способов и средств по видам защиты информации…………………………………………….. 210
5
Глава 15.Назначение и структура систем защиты информации… 219
15.1Понятие и общая структура системы защиты иформа-
ции…………………………………………….................. 219
15.2Общеметодологические требования и принципы построения систем защиты информации………………… 221
15.3Типизация, стандартизация, классификация систем защиты информации……………………………………. 224
Глава 16.Комплексная система защиты информации на пред-
приятии………………………………………………………. 230
16.1Понятие и общая структура комплексной системы защиты информации на предприятии…………………. 230
16.2Компоненты комплексной системы защиты информации на предприятии и их назначение………………….. 232
16.3Автоматизированные системы как основной объект защиты КСЗИ……………………………………………. 242
Список литературы…………………………………………………….. 249
6
ПРЕДИСЛОВИЕ
Вступление человечества в новый этап развития – этап «информационного общества», характеризуется тем, что дополнительно к давно известным и реализуемым природным, техническим, материальным, людским ресурсам мир к середине ХХ в. осознал значение такого социального ресурса, как информация. Все, что нас окружает, порождает информацию и подвергается воздействию человека через информацию. Сам человек создает, непрерывно воспринимает и использует информацию - сведения об окружающем мире. На современном этапе развития цивилизации, в ХХI в., информация, накопленная в виде научного знания, является определяющим ресурсом и важнейшим фактором экономического и социального развития любого общества.
Процесс создания и внедрения научных знаний во все сферы жизнедеятельности общества достигается посредством активного применения современных информационных технологий, средств вычислительной техники, коммуникаций и связи, что приводит к образованию сложных систем информационных продуктов и средств их восприятия
– высоких технологий. Высокие технологии, в том числе информационные и телекоммуникационные, уже стали локомотивом социальноэкономического развития многих стран мира.
Однако, являясь основой прогресса современного общества, высокие технологии становятся фактором общественного развития, что приводит к объективной зависимости развития общества в различных сферах жизни от информационных технологий, информационной инфраструктуры, свободы информационного обмена. Это порождает угрозы использования этой зависимости во вред обществу: нарушение функционирования важных объектов информационной инфраструктуры, применение информационных технологий для совершения преступлений, распространение идеологии терроризма и экстремизма, и другие, социально опасные деяния.
Противодействие множеству угроз безопасности интересам личности, общества и государства в информационной сфере, включающее их выявление, предупреждение, пресечение проявления, ликвидацию последствий, является важной составляющей обеспечения национальной безопасности Российской Федерации, что ставит в ряд актуальных задач подготовку квалифицированных специалистов способных организовывать такое противодействие.
Подготовка кадров по вопросам обеспечения информационной безопасности в России осуществляется в рамках направления высшего
7
профессионального образования «Информационная безопасность». Программы двух специальностей этого направления «Комплексная защита объектов информатизации» и «Организация и технология защиты информации» предусматривают изучение теории информационной безопасности и методологии защиты информации. Количество учебников и учебных пособий в этой области значительно, однако их содержательная часть в своей основе не соответствует требованиям стандартов ГОС ВПО по указанным специальностям.
Настоящее учебное пособие подготовлено в соответствии с курсом «Теория информационной безопасности и методология защиты информации», предусмотренным государственным образовательным стандартом высшего профессионального образования, с учётом практического опыта международных структур в области стандартизации, а также опыта нормативного регулирования и стандартизации в области защиты информации в Российской Федерации. Последовательность частей и глав учебного пособия соответствуют плану этого курса.
Первая часть «Основы информационной безопасности» включает 4 главы, в которых раскрываются основные идеи, принципы, методы обеспечения информационной безопасности, её составляющие на различных уровнях рассмотрения: общенаучном, уровне Российской Федерации (национальном), уровне организации, уровне технической системы хранения, обработки, передачи информации. Содержание глав основано на материалах законодательства, нормативнометодических документах высшего руководства Российской Федерации, международных стандартах в этой области, а также материалах учебных изданий авторов Бардаева Э. А., Кравченко В. Б., Расторгуева С. П., Стрельцова А. А.
Вторая часть «Методология защиты информации» включает 12 глав, в которых раскрываются понятия и классификации защищаемой информации, угроз безопасности информации, объектов, методов, средств и систем защиты информации. Содержание глав основано на материалах законодательства, национальных стандартов, а также материалах учебных изданий авторов Герасименко В. А., Грибунина В. Г., Зима В. М., Малюка А. А., Меньшакова Ю. К., Молдовян А. А., Чудовского В. В и др.
8
ЧАСТЬ I
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Глава 1 ИНФОРМАЦИОННАЯБЕЗОПАСНОСТЬ И ЕЁ
СОСТАВЛЯЮЩИЕ
1.1Безопасность в информационном обществе
Информационное общество как новый этап развития циви-
лизации. В исторической науке выделяют три основных этапа развития цивилизации: доиндустриальный, индустриальный, постиндустриальный или информационный.
Эта периодизация социального прогресса основана на нескольких важнейших параметрах:
–основной производственный ресурс;
–тип производственной деятельности;
–характер базовых технологий производства.
Взаимосвязь этапов и важнейших параметров, характерных для каждого этапа, приведена в таблице 1.1.
Таблица 1.1– Характеристика этапов развития общества
Этап |
Основной |
Тип произ- |
Характер базо- |
развития |
производст- |
водственной |
вых технологий |
общества |
венный ресурс |
деятельности |
производства |
1 |
2 |
3 |
4 |
Доиндустриальный |
Сырьё |
Добыча |
Трудоёмкие |
|
|
|
|
Индустриальный |
Энергия |
Изготовление |
Капиталоёмкие |
|
|
|
|
Пост |
|
|
|
индустриальный |
Информация |
Обработка |
Наукоёмкие |
(информационный) |
|
|
|
Переход от одного этапа развития общества к другому не имеет чёткой хронологии, новые отношения относительно длительное время сосуществуют со старыми.
9
Информационное общество как новый этап развития человеческой цивилизации в XXI веке характеризуется высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти.
Переход от индустриального к постиндустриальному обществу существенно усиливает роль интеллектуальных факторов производства. Увеличение добавленной стоимости в экономике происходит в значительной мере за счет интеллектуальной деятельности, повышения технологического уровня производства и распространения современных информационных технологий (ИТ) и информационно - телекоммуникационных технологий (ИТТ).
Врезультате возникает новое качество жизни общества, проявляющееся в наибольшей степени в экономической, социальной, и духовной сферах, а также в сфере государственного управления.
Вэкономической сфере это проявляется в появлении «информационной» экономики и электронно-сетевой формы реализации экономических отношений. Происходит информатизация средств производства. Экономическая сфера определяется совокупностью отношений, складывающихся в процессе обеспечения общества средствами к существованию: пищей, одеждой, жильем, средствами коммуникации, другими предметами потребления, необходимыми членам общества и государству.
Всоциальной сфере все большее число видов труда требует серьезной профессиональной подготовки, происходит формирование и обособление новой технократической элиты, расширяются возможности социальных институтов государства по предоставлению гражданам социальных услуг. Социальная сфера жизнедеятельности общества определяется совокупностью отношений, связанных с организацией производительных сил. Влияние информационных технологий на социальную сферу проявляется по нескольким направлениям.
ВДуховной сфере – революционное повышение интеллектуальной деятельности. Расширение возможностей для доступа к информации, для взаимодействия между людьми. Сфера духовной жизни включает отношения, связанные с созданием, хранением и использованием объектов культуры общества, во многом определяющей интенсивность постиндустриального развития экономической и социальной сфер. Она охватывает области образования, воспитания, науки, искусства, религии, политики, массовой информации, литературы
идр.
10