- •Тема № 1/1: «Введение. Сущность и понятие информационной безопасности»
- •1. Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •3. Важность и сложность проблемы информационной безопасности
- •Тема № 1/2 Роль и место информационной безопасности в системе национальной безопасности государства
- •1. Методы обеспечения информационной безопасности.
- •Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2. Государственная политика обеспечения информационной безопасности Российской Федерации
- •Тема № 1/3: “Современная доктрина информационной безопасности Российской Федерации”
- •1. Информационная безопасность Российской Федерации
- •Национальные интересы Российской Федерации в информационной сфере и их обеспечение
- •1.2. Виды угроз информационной безопасности Российской Федерации
- •1.3. Источники угроз информационной безопасности Российской Федерации
- •1.4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •2. Методы обеспечения информационной безопасности Российской Федерации
- •2.1. Общие методы обеспечения информационной безопасности Российской Федерации
- •2.2. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •2.3. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
- •3. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации
- •3.1. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •4. Организационная основа системы обеспечения информационной безопасности Российской Федерации
- •4.1. Основные функции системы обеспечения информационной безопасности Российской Федерации
- •4.2. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
- •1. Основные положения теории защиты информации
- •2. Цели, задачи и требования к защите информации
- •3. Становление и развитие государственной концепции защиты информации
- •2/4 “Организационные основы и методологические принципы защиты информации”
- •1.Организационные основы защиты информации
- •2. Общеметодологические принципы формирования теории защиты информации
- •1. Понятие "носитель защищаемой информации".
- •2. Виды носителей защищаемой информации, документирование информации и информационный ресурс.
- •3. Принципы записи и съема информации с носителя.
- •Классификация тайн и их правовая регламентация
- •Классификация информации по степени ограничения доступа
- •Тема № 3/3 “Классификация защищаемой информации по собственникам и владельцам”
- •1.Формы собственности на информацию. Понятия собственника (обладателя) и владельца (конфидента) информации.
- •3.Понятие интеллектуальной собственности. Различие между правом собственности и авторским правом. Объекты (предметы) интеллектуальной собственности как составная часть защищаемой информации.
- •Тема № 4/1 «понятия и виды угроз защищаемой информации»
- •1. Понятие и структура угроз защищаемой информации
- •Классификация угроз
- •2. Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию
- •Направления, виды и особенности деятельности спецслужб иностранных государств по несанкционированному доступу к секретной информации
- •Тема № 4/2 “Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию”
- •1. Понятие “угроза безопасности информации”
- •2. Система дестабилизирующих факторов, влияющих на уязвимость информации и причины нарушения защищенности информации
- •3. Структура и содержание общей модели уязвимости информации
- •Тема № 5/1 “Каналы и методы несанкционированного доступа к конфиденциальной информации”
- •1. Способы несанкционированного доступа к конфиденциальной информации
- •2. Каналы утечки информации
- •3. Источники, причины и условия утечки информации
- •Тема № 5/2 “Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к конфиденциальной информации”
- •1. Органы добывания защищаемой информации
- •2. Способы и методы несанкционированного доступа к защищаемой информации
- •3. Способы несанкционированного доступа к защищаемой информации, обрабатываемой средствами вычислительной техники
- •Тема № 6/1 “Объекты защиты информации”
- •1. Понятие, принципы формирования и классификация объектов защиты информации
- •2. Перечень, состав и характеристики типовых структурных компонентов информационной системы, требующих защиты
- •3. Характеристики элементов защиты
- •Тема № 6/3 “Кадровое и ресурсное обеспечение защиты информации”
- •1. Значение и состав кадрового обеспечения защиты информации
- •2. Полномочия службы защиты информации
- •3. Основы деятельности группы режима
- •4. Ресурсное обеспечение защиты информации
- •Тема № 6/5 “Назначение и структура систем защиты информации”
- •1. Понятие “Система защиты информации”
- •2. Принципы создания систем защиты информации
- •Принципы реализации системы защиты.
- •3. Комплексная система защиты информации учреждения, предприятия
4. Ресурсное обеспечение защиты информации
Для полноценной деятельности служб информационной безопасности необходимы следующие виды ресурсов:
финансовые – для закупки средств защиты информации, вспомогательного оборудования, капитального строительства, ремонта средств защиты и оборудования, оплаты сотрудников, для покрытия других затрат;
материальные – представляют некоторые объекты финансовых вложений, и поэтому тесно взаимоувязаны с первым видом ресурсного обеспечения, а именно к ним можно отнести стройматериалы, мебель, сейфы, запасные части и инструменты и некоторые другие;
технические – аппаратные средства защиты информации, технические средства охраны и контроля, автотранспорт, автономные источники питания и прочие;
энергетические – потребляемые объемы электроэнергии, горюче-смазочные материалы для автотранспорта и автономных источников питания;
информационные – к этому классу ресурсов можно отнести программные продукты, нормативно-методическую, специальную литературу, электронные базы данных, знания специалистов, необходимые для эффективного выполнения функций защиты;
временные – заключаются во временных затратах на выполнение тех или иных процедур защиты, анализ временных ресурсов активно используется при создании оргштатных проектов служб защиты, в которых учитывается общий временной объем процесса защиты, относительно стандартизированного объема, реализуемого одним сотрудником;
пространственные – необходимы для обеспечения контролируемых зон вокруг объектов ТСПИ, информационных коммуникаций, размещения средств и технологических участков защиты данных, создания импликативных зон защиты.
Достаточно очевидно, что главным видом ресурсного обеспечения является финансовое. С помощью его можно решать задачи всех остальных ресурсных вложений. Поэтому, возвращаясь к материалу второй главы, подчеркнем важность оценки проекта системы защиты по критерию “стоимость информации – стоимость защиты”, то есть проект системы защиты не должен быть дороже самой информации.
Тема № 6/5 “Назначение и структура систем защиты информации”
1. Понятие “Система защиты информации”
2. Принципы создания систем защиты информации
3. Комплексная система защиты информации учреждения, предприятия
1. Понятие “Система защиты информации”
Материал раздела предлагает к изучению сущность и содержание современных подходов к построению систем защиты информации. Методологическим базисом деятельности по защите информации является системный подход, с чем мы достаточно подробно определились в первой главе. Указанный подход позволяет понять, что общая теория информационной безопасности, а значит и теория защиты информации является составной, неотъемлемой частью теории и практики обеспечения национальной безопасности государства. Защита информации охватывает и вовлекает в свою орбиту различные структуры государственного аппарата в лице Правительства, министерств и ведомств, организации и учреждения независимо от форм их собственности, подчиненности и видов деятельности. Все эти элементы связаны друг с другом, причем не какими-то случайными связями, а устойчивыми, влияющими друг на друга и зависящими друг от друга.
Системный подход к исследованию проблемы защиты информации делает возможным переход к упрощению всех сложных связей системы защиты со всеми другими выше и нижестоящими, взаимодействующими системами, с внешней средой, выявить и понять сущность деятельности по защите информации. Прежде всего, следует осознать, что защита информации имеет самостоятельное значение лишь относительно. Она призвана обеспечить нормальное и эффективное функционирование вышестоящей системы, в которую она “встроена”, которую она обслуживает, для которой она создана. Такой вышестоящей системой является система государственного, ведомственного управления. Промежуточной системной структурой между органами управления и системой защиты является информационная система организации, учреждения.
Целью функционирования системы защиты информации является обеспечение достаточного качества информационного обеспечения процесса управления на основе локализации или исключения проявления информационных угроз. Таким образом, мы видим, что как и любой системный проект или процесс система защиты обладает целевым признаком системности.
Работа системы защиты информациитакже достаточно нагляднохарактеризуется с точки зрения информационно- управленческого признака. Декомпозиция процесса защитыинформации позволяет увидеть в нем информационно-управленческие процедуры и информационные потоки. Для систем защиты информации характерны два информационных потока. Один информационный поток связан с процессами управления системой защиты информации. Другой информационный поток представляет собственно защищаемую информацию, которая перемещается по каналам информационной системы, и обеспечивается защитными ресурсами.
Система защиты имеет организованную структуру, которую также называют топологией или архитектурой системы. Ее можно представить в виде организованной совокупности функциональных элементов, находящихся между собой в установленных связях и отношениях.
Сформулируем определение системы защиты информации, обобщая изложенный в лекциях теоретический материал.
Системой защитыинформации является динамическая совокупность органов информационной безопасности, методов и средств защиты данных, функционирующих на основе разработанного и утвержденного органами управления проекта, соответствующего законам и нормативным требованиям с целью обеспечения установленного уровня неуязвимости используемых информационных ресурсов для вероятного противника (конкурента).
Требования к системе защиты информации(СЗИ) в большей части зависимы от общих требований, предъявляемых к процессу защиты. Однако трансформация процесса защиты информации в системную деятельность способствует появлению новых требований:
СЗИ должна представлять собой нечто целое, целостность системы будет достигаться наличием единой цели ее функционирования (а соответственно общностью задач и функций), структурных и информационных связей между элементами системы, иерархичность ее построения, наличием подсистемы управления процессом;
СЗИ должна обеспечивать безопасность информации в широком смысле, включая защиту интересов участников информационных отношений (легальный, санкционированный пользователь должен обладать возможностью беспрепятственного и оперативного получения необходимых данных).
Структурная часть (топология, архитектура) СЗИ, является проявлением системного признака организации, задается целевым признаком и включает в себя:
свод законов, нормативных актов государства, ведомственных регламентирующих и методических документов, внутренних документов воинской части, организации, учреждения, обуславливающих весь режим защиты используемых данных, в полной совокупности параметров защиты;
систему служб информационной безопасности с их организационно-штатной структурой, финансовые, материальные, технические и пространственные ресурсы, а также требования к сотрудникам, и другие необходимые разъяснения, утвержденные в виде норм.
Структурная часть СЗИ является относительно устойчивой, консервативной частью системы. Компоненты структурной части могут приспосабливаться к изменениям внешней среды, запросам вышестоящей системы управления с некоторой временной задержкой. Положительная сторона устойчивости и консерватизма этой части системы заключается в том, что она оказывается своеобразным фильтром, отбраковывающим те реакции системы на изменение внешней среды, которые являются недостаточно обоснованными и мотивированными.
Примером замедленной реакции СЗИ на изменения условий и запросов может явиться почти десятилетнее становление нынешней государственной системы защиты государственной тайны (с конца 80-ых до середины 90-ых годов). Недостатком внутреннего консерватизма СЗИ является то, что эта часть системы может часто иметь рассогласование и противоречия с ее функциональной частью, в условиях повышенного динамизма внешней среды. Это, естественно, сказывается на эффективности процесса защиты информации.
Функциональная часть СЗИ, обуславливается целевым признаком, и решает задачи информационной безопасности с той или иной степенью детализации уже рассмотренных в главе и пособии в целом. Эта часть представляет совокупность мероприятий защиты данных, реализующихся на основе выбранных методов и с использованием средств. Эта часть системы защиты информации более адаптивна, подвижна, и пластична. Она, исполняя свое предназначение, максимально стремится учесть изменения внешней среды, как-то появление или устранение информационных угроз, изменяющийся динамизм обработки и использования сведений, требования руководства воинской части и другие.
Мероприятия защиты носят, как правило, комплексный характер, и отражаются в календарно-плановых документах администрации СЗИ. Комплексность мер защиты можно проследить на следующем примере. Допустим, требуется обеспечить защищенный режим служебного совещания. На основании требований нормативных документов планируются и проводятся следующие частные мероприятия:
составляется перечень носителей защищаемой информации, вывозимых (высылаемых) на совещание в соответствии с тематикой;
организуется охраняемая доставка носителей защищаемых сведений к месту проведения совещания;
организуется встреча участников, их пропуск с соблюдением необходимых элементов пропускного режима;
перед проведением совещание проводится спецобследование, выделенных для этих целей помещений, на предмет проверки уровня защищенности, используемых ТСПИ, и выявления портативных средств разведки;
предусматриваются меры дифференцированного ознакомления участников совещания с содержанием доводимых вопросов, и другие процедуры.