- •1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность
- •О необходимости объектно-ориентированного подхода к информационной безопасности
- •Основные понятия объектно-ориентированного подхода
- •Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
- •3. Лекция: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •4. Лекция: Законодательный уровень информационной безопасности(Лекция 29 октября
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности
- •Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информационных технологиях и о защите информации"
- •Другие законы и нормативные акты
- •Обзор зарубежного законодательства в области информационной безопасности
- •О текущем состоянии российского законодательства в области информационной безопасности
- •5. Лекция: Стандарты и спецификации в области информационной безопасности
- •Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
- •Основные понятия
- •Механизмы безопасности
- •Классы безопасности
- •Информационная безопасность распределенных систем. Рекомендации X.800
- •Сетевые сервисы безопасности
- •Сетевые механизмы безопасности
- •Администрирование средств безопасности
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Основные понятия
- •Функциональные требования
- •Требования доверия безопасности
- •Гармонизированные критерии Европейских стран
- •Интерпретация "Оранжевой книги" для сетевых конфигураций
- •Руководящие документы Гостехкомиссии России
- •6. Лекция: Административный уровень информационной безопасности
- •Основные понятия
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •7. Лекция: Управление рисками
- •Основные понятия
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •8. Лекция: Процедурный уровень информационной безопасности
- •Основные классы мер процедурного уровня
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •9. Лекция: Основные программно-технические меры
- •Основные понятия программно-технического уровня информационной безопасности
- •Особенности современных информационных систем, существенные с точки зрения безопасности
- •Архитектурная безопасность
- •10. Лекция: Идентификация и аутентификация, управление доступом
- •Идентификация и аутентификация
- •Основные понятия
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •Управление доступом
- •Основные понятия
- •Ролевое управление доступом
- •Управление доступом в Java-среде
- •Возможный подход к управлению доступом в распределенной объектной среде
- •11. Лекция: Протоколирование и аудит, шифрование, контроль целостности
- •Протоколирование и аудит
- •Основные понятия
- •Активный аудит
- •Основные понятия
- •Функциональные компоненты и архитектура
- •Шифрование
- •Контроль целостности
- •Цифровые сертификаты
- •12. Лекция: Экранирование, анализ защищенности
- •Экранирование
- •Основные понятия
- •Архитектурные аспекты
- •Классификация межсетевых экранов
- •Анализ защищенности
- •13. Лекция: Обеспечение высокой доступности
- •Доступность
- •Основные понятия
- •Основы мер обеспечения высокой доступности
- •Отказоустойчивость и зона риска
- •Обеспечение отказоустойчивости
- •Программное обеспечение промежуточного слоя
- •Обеспечение обслуживаемости
- •14. Лекция: Туннелирование и управление
- •Туннелирование
- •Управление
- •Основные понятия
- •Возможности типичных систем
- •15. Лекция: Заключение
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
Основы информационной безопасности
1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы 3
Понятие информационной безопасности 3
Основные составляющие информационной безопасности 4
Важность и сложность проблемы информационной безопасности 6
2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность 8
О необходимости объектно-ориентированного подхода к информационной безопасности 8
Основные понятия объектно-ориентированного подхода 9
Применение объектно-ориентированного подхода к рассмотрению защищаемых систем 10
Недостатки традиционного подхода к информационной безопасности с объектной точки зрения 13
3. Лекция: Наиболее распространенные угрозы 14
Основные определения и критерии классификации угроз 14
Наиболее распространенные угрозы доступности 15
Некоторые примеры угроз доступности 17
Вредоносное программное обеспечение 18
Основные угрозы целостности 20
Основные угрозы конфиденциальности 21
4. Лекция: Законодательный уровень информационной безопасности(Лекция 29 октября 23
Что такое законодательный уровень информационной безопасности и почему он важен 23
Обзор российского законодательства в области информационной безопасности 24
Правовые акты общего назначения, затрагивающие вопросы информационной безопасности 24
Закон "Об информации, информационных технологиях и о защите информации" 25
Другие законы и нормативные акты 28
Обзор зарубежного законодательства в области информационной безопасности 38
О текущем состоянии российского законодательства в области информационной безопасности 41
5. Лекция: Стандарты и спецификации в области информационной безопасности 42
Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт 42
Основные понятия 42
Механизмы безопасности 44
Классы безопасности 45
Информационная безопасность распределенных систем. Рекомендации X.800 48
Сетевые сервисы безопасности 48
Сетевые механизмы безопасности 49
Администрирование средств безопасности 50
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" 51
Основные понятия 51
Функциональные требования 53
Требования доверия безопасности 55
Гармонизированные критерии Европейских стран 56
Интерпретация "Оранжевой книги" для сетевых конфигураций 57
Руководящие документы Гостехкомиссии России 59
6. Лекция: Административный уровень информационной безопасности 61
Основные понятия 61
Политика безопасности 62
Программа безопасности 65
Синхронизация программы безопасности с жизненным циклом систем 65
7. Лекция: Управление рисками 67
Основные понятия 67
Подготовительные этапы управления рисками 69
Основные этапы управления рисками 70
8. Лекция: Процедурный уровень информационной безопасности 72
Основные классы мер процедурного уровня 72
Управление персоналом 73
Физическая защита 74
Поддержание работоспособности 76
Реагирование на нарушения режима безопасности 78
Планирование восстановительных работ 79
9. Лекция: Основные программно-технические меры 81
Основные понятия программно-технического уровня информационной безопасности 81
Особенности современных информационных систем, существенные с точки зрения безопасности 83
Архитектурная безопасность 84
10. Лекция: Идентификация и аутентификация, управление доступом 86
Идентификация и аутентификация 86
Основные понятия 86
Парольная аутентификация 87
Одноразовые пароли 88
Сервер аутентификации Kerberos 89
Идентификация/аутентификация с помощью биометрических данных 90
Управление доступом 91
Основные понятия 91
Ролевое управление доступом 94
Управление доступом в Java-среде 96
Возможный подход к управлению доступом в распределенной объектной среде 99
11. Лекция: Протоколирование и аудит, шифрование, контроль целостности 100
Протоколирование и аудит 100
Основные понятия 101
Активный аудит 102
Основные понятия 102
Функциональные компоненты и архитектура 104
Шифрование 105
Контроль целостности 108
Цифровые сертификаты 110
12. Лекция: Экранирование, анализ защищенности 110
Экранирование 110
Основные понятия 111
Архитектурные аспекты 112
Классификация межсетевых экранов 114
Анализ защищенности 117
13. Лекция: Обеспечение высокой доступности 117
Доступность 117
Основные понятия 118
Основы мер обеспечения высокой доступности 120
Отказоустойчивость и зона риска 121
Обеспечение отказоустойчивости 122
Программное обеспечение промежуточного слоя 123
Обеспечение обслуживаемости 124
14. Лекция: Туннелирование и управление 125
Туннелирование 125
Управление 126
Основные понятия 126
Возможности типичных систем 128
15. Лекция: Заключение 130
Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности 130
Законодательный, административный и процедурный уровни 131
Программно-технические меры 134
1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы
Понятие информационной безопасности
Словосочетание "информационная безопасность"в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин"информационная безопасность"используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" (закон утратил силу, в настоящее время действует "Об информации, информационных технологиях и о защите информации") информационная безопасностьопределяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность"будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.
Под информационной безопасностьюмы будем понимать защищенность информации иподдерживающей инфраструктурыот случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущербсубъектам информационных отношений, в том числе владельцам и пользователям информации иподдерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать подподдерживающей инфраструктурой.)
Защита информации– это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасностиначинается с выявлениясубъектов информационных отношенийи интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозыинформационной безопасности– это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБперед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.