Астраханский государственный технический университет

Кафедра «Информационная безопасность»

Основы информационной

безопасности

методическое пособие по курсу

«Информационная безопасность» для студентов специальности 080801.65 «Прикладная информатика (в экономике)»

Астрахань

2009

Составитель:

Космачева И.М., ст.преподаватель кафедры «Информационная безопасность.

Рецензент:

Демич О.В., к.т.н., доцент кафедры «Информационные системы».

Основы информационной безопасности: методическое пособие по курсу «Информационная безопасность» для студентов специальности 080801.65

«Прикладная информатика (в экономике)», / АГТУ; Сост.: И.М. Космачева, 2009 – 16с.

Теоретический и практический материал, предложенный к изучению в данном пособии, позволит сформировать у студентов первоначальное представление о свойствах обрабатываемой в организациях (фирмах) информации с точки зрения ее защищенности. Рассмотрен метод категорирования информации с целью обеспечения удовлетворительного уровня ее информационной безопасности. В пособии предлагается задание для самостоятельного выполнения с несколькими вариантами, при выполнении которого студенты должны показать понимание изученного материала и умение применить его на практике.

Для студентов вузов, обучающихся по направлениям и специальностям менеджмента, экономики, информационной безопасности, информатики и вычислительной техники.

Учебное пособие утверждено на заседании кафедры

20 октября 2009 г., протокол №2

Астраханский государственный технический университет

Теоретическая часть.

Информация является одним из ключевых элементов бизнеса. «Кто владеет информацией, тот владеет миром». Новые информационные технологии, Internet активно внедряются в различные сферы производства и услуг. По мере развития и усложнения средств, методов автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий, от которых может зависеть благополучие и даже жизнь людей.

Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Субъектами информационных отношений будем называть:

• государство (в целом или отдельные его органы и организации)

• общественные или коммерческие организации (объединения) и предприятия (юридических лиц)

• отдельных граждан (физических лиц).

В процессе своей деятельности субъекты могут находиться друг с другом в различного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

• своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам;

• конфиденциальности (сохранения в тайне) определенной части информации;

• достоверности (полноты, точности, адекватности, целостности) информации;

• защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации;

• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.)

• разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т.д.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации ( ГОСТ Р 50922-96, Защита информации).

Нормативную правовую базу в сфере защиты информации образуют документы федерального уровня, к которым относятся федеральные законы, указы президента Российской Федерации,· постановления правительства Российской Федерации:

• Конституция Российской Федерации (РФ) (1993 г.)

• Федеральный Закон (ФЗ) РФ «О безопасности» (от 5.3.1992 г. № 2446-1).

• ФЗ РФ «Об информации, информационных технологиях и о защите информации» (от 27.07.2006 г. № 149-ФЗ).

• Закон РФ «О государственной тайне» (от 21.7.1993 г. № 5485-1).

• ФЗ РФ «О коммерческой тайне» (от 29 июля 2004 г. № 98-ФЗ).

• ФЗ РФ «О персональных данных» (от 27 июля 2006 г. № 153-ФЗ).

• ФЗ РФ «О техническом регулировании» (от 27.12.2002 г. № 184-ФЗ).

• ФЗ РФ «Об обеспечении единства измерений» (от 27.4.1993 г. № 4871-1).

• ФЗ РФ «Об электронной цифровой подписи» (от 10.1.2002 г. № 1-ФЗ).

• ФЗ РФ «О связи» (от 7.07.2003 г. № 126-ФЗ).

• ФЗ РФ «О лицензировании отдельных видов деятельности» (от 8.8.2001 г. № 128-ФЗ).

Нормативные правовые акты Президента РФ (указы, распоряжения)

¨ Об основах государственной политики в сфере информатизации

(от 20.01.1994 г. № 170).

¨ Вопросы межведомственной комиссии по защите государственной тайны (от 6.10.2004 г. № 1286).

• Об утверждении перечня сведений, отнесённых к государственной

тайне (от 30.11.1995 г. № 1203 в ред. Указа от 11.2.2006 г. № 90).

¨ О перечне сведений конфиденциального характера (от 6 марта 1997 г. № 188).

¨ О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена (от 12.5.2004 года № 611, в ред. Указов от 22.03.2005 № 329

и от 03.03.2006 г. № 175 ).

¨ Вопросы Федеральной службы по техническому и экспортному контролю (от 16.08.2004 г. № 1085).

¨ Концепция национальной безопасности РФ (от 17.12.1997 г. № 1300 в редакции Указа от 10.01.2000 г. № 24).

¨ Доктрина информационной безопасности РФ (утверждена Президентом РФ 9.09.2000 г. № Пр-1895).

Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К таким документам относятся:

• национальные стандарты РФ;

• требования и рекомендации по защите информации;

• нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. Нормативные правовые акты, устанавливающие за нарушение требований по защите информации ограниченного доступа:

♦ гражданскую ответственность - Гражданский кодекс РФ (ст. 15, 16), ФЗ «О защите прав потребителя» (с изменениями от 17.12.1999 г. № 2-ФЗ);

♦ административную ответственность - КоАП (от 30.12.2001 г. № 195-ФЗ) (ст.13.11-13.14), Трудовой кодекс РФ (от 30.12.2001 г. № 197-ФЗ) (ст. 57, 86, гл. 39 и др.), ФЗ «О защите прав потребителя»;

♦ уголовную ответственность - Уголовный кодекс РФ (от 13.06.1996 г.) (ст.138, 140, 183, 238, гл. 28 (ст. 272-274) и др.).

В Уголовном кодексе РФ, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи:

1. Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

2. Статья 140. Отказ в предоставлении гражданину информации.

3. Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.

4. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей.

5. Статья 283. Разглашение государственной тайны.

6. Статья 284. Утрата документов, содержащих государственную тайну.

Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса "Преступления в сфере компьютерной информации". Глава 28 включает следующие статьи:

1. Статья 272. Неправомерный доступ к компьютерной информации.

   1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

   2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, – наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

2. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

   1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, – наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

   2. Те же деяния, повлекшие по неосторожности тяжкие последствия, – наказываются лишением свободы на срок от трех до семи лет.

3. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

   1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

   2. То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок до четырех лет.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Информация с ограниченным доступом делится на конфиденциальную и секретную (информацию, составляющую государственную тайну).

К сведениям, представляющим государственную тайну, относится следующая информация:

• в военной области;

• в области экономики, науки, техники, имеющей стратегическое значение;

• в области внешней политики и внешней экономической деятельности;

• в области разведывательной, контрразведывательной и оперативно – розыскной деятельности.

Отнесение информации к государственной тайне осуществляется в соответствии с Федеральным законом РФ от 21.07.1993 № 5485-1 «О государственной тайне».

В соответствии с Указом Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» к конфиденциальной информации относятся:

- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

- сведения, составляющие тайну следствия и судопроизводства;

- служебная тайна;

- профессиональная тайна (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

- коммерческая тайна;

- сведения о сущности изобретения.

При засекречивании информации надо исходить из принципа экономической выгоды и безопасности фирмы. Чрезмерное засекречивание деятельности фирмы может обернуться потерей прибылей, так как условия рынка требуют широкой рекламы производимой продукции и услуг. Пренебрежительное отношение к конфиденциальной информации также ведет к большим потерям: срыв переговоров, утрата возможностей заключения выгодных контрактов; отказ от решений, становящихся экономически неэффективными в результате разглашения информации, появление дополнительных финансовых затрат для принятия новых решений; снижение рыночной стоимости продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых отношений с партнерами; потеря возможности патентования и продажилицензий;ухудшение условий получения кредитов; появление трудностей (сокращение объемов, повышение стоимости) в обеспечении сырьем, приобретении оборудования; сокращение рынка сбыта вследствие опережения конкурентом поставки аналогичной продукции; сокращение конкурентами затрат на проведение научных, опытных работ и совершенствование.

Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность информации, связаны с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а, следовательно, она не имеет и цены. Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем.

Для каждой "единицы" защищаемой информации есть несколько параметров, которые необходимо учитывать:

1. статичность;

2. размер и тип доступа;

3. время жизни;

4. стоимость создания;

5. стоимость потери конфиденциальности;

6. стоимость скрытого нарушения целостности;

7. стоимость утраты.

Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так изменяется содержимое базы данных при добавлении новых или модификации существующих записей.

Размер и тип доступа (последовательный или произвольный) также накладывает ограничения на средства защиты.

Время жизни информации — очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Время, через которое информация становится устаревшей, меняется в очень широком диапазоне. Так, например, для пилотов реактивных самолетов, автогонщиков информация о положении машин в пространстве устаревает за доли секунд. В то же время информация о законах природы остается актуальной в течение многих веков. Время жизни большей части персональной информации (банковской, медицинской и т. п.) соответствует времени жизни владельца — после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда — это случай, когда время жизни информации не ограничено.

Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически, это ее себестоимость.

Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Зависимость ценности информации от времени приближенно определяется в соответствии с выражением:

, (1)

где Со - ценность информации в момент ее возникновения (получения);

t - время от момента возникновения информации до момента определения ее стоимости;

τ - время от момента возникновения информации до момента ее устаревания.

Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными.

Модификации может подвергаться не только непосредственно текст сообщения или документа, но также дата отправки или имя автора.

Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной.

Рассмотрим способ формирования списка конфиденциальных документов фирмы (организации) с учетом рассмотренных ранее свойств информации.

Практическая часть.

Формирование перечня конфиденциальных документов в организации (фирмы).

Для составления перечня сведений конфиденциального характера рассмотрим решение указанной задачи на базе использования метода анализа иерархий (МАИ). Этот метод предусматривает для решения тех или иных задач использование опроса группы экспертов, являющихся специалистами в сфере рассматриваемого вопроса.

Порядок выполнения.

1. Изучить нормативно-правовые документы, касающиеся вопросов определения защищаемой информации.

2. Выбрать вариант вида деятельности условной фирмы:

1. производство электронных устройств;

2. разработка программных продуктов;

3. производство продуктов питания;

4. торговля бытовой техникой;

5. медицинские услуги населению;

6. юридические услуги населению;

7. аутсорсинг (передача стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса предприятия c целью повысить производительность труда или снизить себестоимость продукции преимущественно за счёт более дешёвой рабочей силы у подрядчика );

8. строительство;

9. реклама;

10. туристический бизнес.

3. Сформировать примерный перечень документов фирмы (организации). Например:

• Публикации на корпоративном Web-сайте,

• Данные для годового отчета,

• Объявление о корпоративной вечеринке,

• Главная страница Web-сайта в интрасети,

• Имена, адреса и телефоны сотрудников,

• Опубликованный годовой отчет,

• Научно-исследовательские разработки,

• Сведения о льготах сотрудников.

4. Определить приблизительную ценность содержащейся в документах информации. При этом в совокупности учитываются такие критерии, как стоимость создания, стоимость разглашения, влияние на непрерывность ведения бизнеса, содержащейся в указанных документах, время жизни документа, и т.д.

5. Сформировать перечень конфиденциальных документов фирмы (организации).

Для оценки важности документа можно использовать экспертные методы (метод попарных сравнений альтернатив (документов в нашем случае). Метод основан на парных сравнениях альтернативных вариантов по различным критериям с использованием девятибалльной шкалы (таблица 1) и последующим ранжированием набора альтернатив.

Таблица 1