- •Содержание
- •Раздел 1. Задачи информационной безопасности и уровни ее обеспечения
- •Тема 1. Основные понятия информационной безопасности
- •Тема 2. Обеспечение информационной безопасности на государственном уровне
- •2.1 Доктрина в области информационной безопасности РФ
- •2.2 Правовая основа системы лицензирования и сертификации в РФ
- •2.3 Категории информации
- •Тема 3. Направления защиты информации в информационных системах
- •3.1 Характеристика направлений защиты информации
- •3.2 Защита информационных объектов (БД)
- •3.2.1 Идентификация и аутентификация
- •3.2.2 Управление доступом
- •3.2.3 Угрозы, специфичные для СУБД
- •Раздел 2 Программно-технические средства защиты информационных систем
- •Тема 4. Ключевые механизмы защиты информационных систем от несанкционированного доступа
- •4.1 Идентификация и аутентификация
- •4.1.1 Парольная аутентификация
- •4.1.2 Использование токенов для аутентификации
- •4.2.Управление доступом
- •4.3 Протоколирование и аудит
- •Тема 5. Криптографические методы и средства для защиты информации
- •5.1 Основные термины и понятия криптографии
- •5.2 Криптоаналитические атаки.
- •5.3 Понятие стойкости алгоритма шифрования
- •5.4 Симметричные криптографические системы
- •5.4.1 Блочные алгоритмы симметричного шифрования
- •5.4.2 Стандарт шифрования Российской Федерации ГОСТ 28147-89
- •5.5 Алгоритмы поточного шифрования
- •5.6 Ассиметричные или двухключевые криптографические системы
- •5.6.1 Системы с открытым ключом
- •5.6.2 Метод RSA
- •5.7.2 Известные алгоритмы ЭП
- •5.7.3 Российские стандарты ЭЦП ГОСТ Р 34.10.94,
- •5.8 Составные криптографические системы
- •5.9 Управление ключами
- •5.9.1 Генерация ключей
- •5.9.2 Накопление ключей
- •5.9.3 Распределение ключей
- •5.9.4 Распределение ключей в асимметричных криптосистемах
- •5.10 Стеганография
- •5.11 Надежность криптосистем
- •Раздел 3. Обеспечение информационной безопасности на уровне предприятия
- •Тема 6. Защита программного обеспечения
- •6.1 Характеристика вредоносных программ
- •6.2 Модели воздействия программных закладок на компьюторы
- •6.3 Защита от программных закладок
- •6.3.1 Защита от внедрения программных закладок
- •6.3.2 Выявление внедренной программной закладки
- •6.4 Клавиатурные шпионы
- •6.4.1 Имитаторы
- •6.4.2 Фильтры
- •6.4.3 Заместители
- •6.5 Парольные взломщики
- •Тема 7. Безопасность распределенных вычислительных систем в Интернет
- •7.1 Особенности безопасности компьютерных сетей
- •7.2 Удаленные атаки на распределенные вычислительные системы
- •7.3.1 Анализ сетевого трафика
- •7.3.2 Подмена доверенного объекта или субъекта распределенной ВС
- •7.3.3 Ложный объект распределенной ВС
- •7.3.4 Отказ в обслуживании
- •7.4.1. Отсутствие выделенного канала связи между объектами РВС
- •7.4.2 Недостаточная идентификация и аутентификация объектов и субъектов РВС
- •7.4.3 Взаимодействие объектов без установления виртуального канала
- •7.4.4 Использование нестойких алгоритмов идентификации объектов при создании виртуального канала
- •7.4.5 Отсутствие контроля за виртуальными каналами связи между объектами РВС
- •7.4.6 Отсутствие в РВС возможности контроля за маршрутом сообщений
- •7.4.7 Отсутствие в РВС полной информации о ее объектах
- •7.4.8 Отсутствие в РВС криптозащиты сообщений
- •7.5 Принципы создания защищенных систем связи в распределенных ВС
- •7.6 Методы защиты от удаленных атак в сети Internet
- •7.6.1 Административные методы защиты от удаленных атак
- •7.6.2. Программно-аппаратные методы защиты от удаленных атак в сети Internet
- •7.7 Удаленные атаки на телекоммуникационные службы
- •7.7.1 Направления атак и типовые сценарии их осуществления в ОС UNIX
- •7.7.2. Причины существования уязвимостей в UNIX-системах
- •7.7.3. Средства автоматизированного контроля безопасности
- •Тема 8. Политика безопасности компьютерных систем и ее реализация
- •8.1 Государственные документы об информационной безопасности
- •8.2 Наиболее распространенные угрозы
- •8.3 Управленческие меры обеспечения информационной безопасности
- •8.3.1 Политика безопасности
- •8.3.2 Программа безопасности - управленческий аспект
- •8.3.3 Управление рисками
- •8.3.4 Безопасность в жизненном цикле системы
- •8.4 Операционные регуляторы
- •8.4.1 Управление персоналом
- •8.4.2 Физическая защита
- •8.4.3 Поддержание работоспособности
- •8.4.4 Реакция на нарушение режима безопасности
- •8.4.5 Планирование восстановительных работ
- •8.5 Анализ современного рынка программно-технических средств защиты информации
- •Тема 9. Защита авторских прав на программное обеспечение
- •9.1 Методы правовой защиты
- •9.2 Методы и средства технологической защиты авторских прав на ПО
- •Учебно-методическое и информационное обеспечение дисциплины
- •Оценочные средства для входного контроля
4.Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ №24-ФЗ от 2006г.
5.Закон РФ "Об электронной цифровой подписи" (ФЗ РФ №1-ФЗ от 10.01.02. Принят Гос. Думой
13.12.01)
6.Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных" (Закон РФ N 3523-1. Дата введения 23.09.92)
7.Закон РФ "Об участии в международном информационном обмене" (Федеральный Закон РФ N 85ФЗ. Принят Гос. Думой 04.07.96)
8.Закон РФ "О сертификации продукции и услуг" (Закон РФ N 5151-1. Дата введения 10.06.93. В ред. Федерального Закона N 211-ФЗ от 27.12.95)
9.Закон РФ "О банках и банковской деятельности" (Закон РФ N 395-1. Дата введения 02.12.90.В ред. Федерального закона от 03.02.96 № 17-ФЗ
10.Закон РФ «О персональных данных» 2006 г.
Ответственность за компьютерные преступления предусматривает уголовный кодекс. Статья 272: неправомерный доступ к компьютерной информации.
Статья 273: создание, использование и распространение вредоносных программ для ЭВМ. Статья 274: нарушение правил эксплуатации ЭВМ, средств связи ЭВМ или их сети.
2.3Категории информации
1.Информация с ограниченным доступом.
2.Информация без права ограничения: доступ не может быть ограничен (законы, положения, конституция).
3.Иная общедоступная информация.
4.Вредная информация, то есть не подлежащая распространению как ложная.
Информацию с ограниченным доступом можно разделить на два вида
1.Государственная, военная, экономическая, разведывательная тайны. Их распространение наносит ущерб безопасности страны.
2.Конфиденциальная информация.
Правовое регулирование института тайн в РФ.
В перечне сведений конфиденциального характера, утвержденного президентом РФ 6 марта 1996 №188, приведены следующие виды конфиденциальной информации:
Служебная тайна
Персональные данные
Тайна следствия
Коммерческая тайна
Тайна сущности изобретения до момента опубликования
Профессиональная тайна.
Банковская тайна.
Декларировано в других законах 30 видов тайн, а с учетом подзаконных актов – 40.
Вид тайны |
Краткое содержание |
Ссылка на правовой документ |
|
О фактах, событиях жизни граж- |
|
Персональные данные |
данина, позволяющая идентифи- |
Ст.2 Закона об информатизации |
|
цировать личность |
|
|
Если информация имеет действи- |
|
Служебная тайна |
тельную или коммерческую по- |
Ст.139 Гражданского кодекса |
|
тенциальную ценность |
|
Тайна усыновления |
|
Ст.139 Семейного кодекса |
Геологическая информация о |
|
Ст.27 Закона о недрах |
недрах |
|
|
|
|
13
|
Любые |
полученные налоговые |
|
||
Налоговая |
сведения о налогоплательщике за |
|
|||
исключением сведений, указ в ст. |
|
||||
|
|
||||
|
102 налогового кодекса |
|
|||
Служебная информация о |
Любая |
не являющаяся общедо- |
|
||
ступной информация об эмитен- |
Ст.31 Закона о рынке ценных бумаг |
||||
рынке ценных бумаг |
|||||
тах выпущенных ценных бумаг. |
|
||||
|
|
||||
Врачебная |
Диагноз, состояние здоровья при |
Ст. 62 Основ законодательства РФ |
|||
обследовании |
|
«Об охране здоровья граждан» |
|||
|
|
||||
|
Тайна |
переписки, |
телефонных |
|
|
Связи |
разговоров по сетям электриче- |
Ст. 32 О связи, Конституция РФ |
|||
|
ской и почтовой связи |
|
|||
Нотариальная |
Сведения в результате осуществ- |
Ст. 16 О нотариате |
|||
ления деятельности нотариусом |
|||||
|
|
||||
Адвокатская |
Сведения, полученные адвокатом |
Ст. 15,16 Положения об адвокатуре |
|||
|
|
|
|||
|
|
|
|||
|
Сведения, предоставленные жур- |
|
|||
Журналистская |
налистам на условии тайны ис- |
Ст. 41, Закон «О СМИ» |
|||
|
точниками информации |
|
|||
|
Если информация имеет действи- |
|
|||
Коммерческая |
тельную или потенциальную цен- |
Ст. 139 ГКРФ |
|||
|
ность в коммерческой сфере. |
|
|||
Банковская |
Банк гарантирует |
тайну счета, |
|
||
вклада, операции, сведений. |
|
||||
|
|
||||
Тайна страхования |
Сведения о страховании и имуще- |
|
|||
ственном положении. |
|
||||
|
|
Приведенный перечень тайн может потребоваться для того, чтобы поставить перед администрацией предприятия вопрос об обеспечении соответствующей защиты информации.
Конфиденциальной считается такая коммерческая информация, разглашение которой может нанести ущерб интересам фирмы. Делится на два подвида:
1.Информация с ограниченным доступом: сведения, разглашения которых причиняет ущерб тактическим интересам, таким как срыв конкретного контакта, снижение % прибыли от сделки.
2.Секретная информация: ее разглашение наносит серьезный ущерб стратегическим интересам фирмы и может поставить под угрозу ее существование. Ее составляют сведения, ознакомление с которыми позволяет конкурентам, неразборчивым в средствах, подорвать репутацию фирмы в глазах партнеров, причинить ей значительный финансовый ущерб, привести к конфликту с государственными органами, поставить в зависимость от криминальных структур.
Определение степени конфиденциальности служебной и коммерческой информации осуществляется руководством фирмы, как правило. Однако в любом случае к такой относится:
Уставные документы фирмы;
Сводные отчеты о финансовой деятельности;
Кредитные договора с банками
Договоры купли-продажи, начиная с определенной суммы;
Сведения о перспективных рынках сбыта, источниках сырья, о выгодных партнерах;
Любая информация, предоставляемая партнерами, если за ее разглашение предусмотрены штрафные санкции.
Нормативно техническая база защиты информации в России.
В состав документов, определяющих нормативно-техническую базу ЗИ в России входят стандарты, отраслевые материалы, в частности материалы Гостехкомиссия России:
Документы Государственной технической комиссии (Гостехкомиссия) при президенте РФ
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 1992.
14
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. 1992
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности. 1992
Рабочий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.
Порядок сертификации средств защиты определяется документом «Система сертификации средств защиты информации по требованиям безопасности информации» РОСС RU.0001.01БИ00.
Перечень нормативных документов постоянно расширяется с учетом новых требований к информационной безопасности и тенденций изменения информационных технологий.
Федеральная служба по техническому и экспортному контролю разработала порядок проведения классификации информационных систем персональных данных.
Для установления единых требований по обеспечению ИБ организаций БС РФ и повышения эффективности мероприятий по поддержанию ИБ организаций банковской системы РФ был разработан и введен в действие Распоряжением Банка России от 18 ноября 2004 года № Р-609 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Россий-
ской Федерации. Общие положения». Данный стандарт получил учетный номер СТО БР ИБ БС-1.0- 2004 и опубликован в журнале «Вестник Банка России» № 68.
В настоящее время готовятся к изданию новые руководящие документы, регламентирующие требования по безопасности информации для VPN и VLAN (глобальные и локальные сети) решений. Ведутся работы по адаптации отечественной нормативной базы в области информационной безопасности к требованиям международного стандарта.
Ключевым аспектом решения проблемы безопасности информационных технологий (ИТ) является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ. Необходимо было разработать эту систему в виде международного стандарта.
История создания данного стандарта:
В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC).
В Европе в 1991г. были разработаны "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, совместно Францией, Германией, Нидерландами и Великобританией.
В Канаде в начале 1993 г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0.
В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки.
В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1.0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2.0 ОК появилась в октябре 1997 г.
В результате этих работ появился Международный стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии".
В России аналогичный стандарт подготовлен в 2001 г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий».
Данный стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ.
15