- •1 Введение в дисциплину
- •1.1 Проблема защиты информации, эволюция подходов к обеспечению защиты информации. Основные понятия и определения курса
- •1.2 Информационная безопасность в условиях функционирования в России глобальных сетей
- •2. Угрозы и нарушения информационной безопасности, основные способы защиты
- •2.1 Угрозы и нарушения информационной системы
- •2.1.1 Понятие угрозы информационной безопасности. Классификация угроз
- •2.1.2 Три вида возможных нарушений информационной системы
- •2.1.3 Виды противников или «нарушителей»
- •2.2 Защита от несанкционированного доступа к информационной системе
- •2.2.1 Инженерно-технические методы и средства защиты информации
- •2.2.2 Аппаратные средства защиты информации
- •2.2.3 Программные средства защиты информации
- •2.2.4 «Аутентификация пользователей»
- •2.2.5 Программно-аппаратная защита информации от локального несанкционированного доступа
- •2.2.6 Комплексные системы защиты информации
- •3 Организационно-правовое обеспечение информационной безопасности
- •3.1 Основные методы и средства организации защиты информации от несанкционированного доступа
- •3.1.1 Организационно-правовая защита информации
- •3.1.2 Основные виды мероприятий по защите информации
- •3.1.3 Уровни правового обеспечения информационной безопасности
- •3.1.4 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •3.1.5 Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства
- •3.2 Международные стандарты информационного обмена
- •3.2.1 Стандартизация в мире
- •3.2.2 Критерии оценки безопасности компьютерных систем или «Оранжевая книга»
- •3.2.3 Информационная безопасность распределенных систем. Рекомендации X.800
- •3.2.4 Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •3.2.5 Гармонизированные критерии Европейских стран
- •3.2.6 Интерпретация "Оранжевой книги" для сетевых конфигураций
- •3.2.7 Руководящие документы Гостехкомиссии России
- •4 Основные положения теории безопасности информационных систем
- •4.1 Модели безопасности и их применение
- •4.1.1 Модель систем дискреционного разграничения доступа
- •4.1.2 Мандатное управление доступом
- •4.1.3 Ролевое разграничение
- •4.2 Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование
- •4.2.1 Таксономия изъянов защиты (из)
- •4.2.2 Таксономия причин возникновения изъянов защиты
- •4.2.3 Анализ способов нарушений информационной безопасности
- •4.3 Использование защищённых компьютерных систем
- •4.3.1 Понятие «защищенность». Концепция «Защищенные информационные системы»
- •История
- •4.3.2 Защищенные технологии в целом
- •4.3.3 Модель защищенных информационных систем
- •Средства
- •4.3.4 Проблемы использования защищенных компьютерных систем
- •Сложность обработки данных
- •Избыточность аппаратных средств
- •Межмашинные процессы
- •Идентификация личности пользователя
- •Средства программирования
- •Функциональная совместимость16
- •Концептуальные модели
- •4.4 Методы антивирусной защиты информационных систем
- •4.4.1 Понятие о видах вирусов
- •4.4.2 Программные закладки
- •4.4.3 Проблема выбора антивирусной программы
- •4.4.5 Методика использования антивирусных программ
- •4.4.6 Перспективные методы антивирусной защиты информационных систем
- •4.5 Экономические информационные системы и их безопасность
- •4.5.1 Понятие Экономической информационной системы
- •4.5.2 Основные технологии построения защищенных эис
- •5 Криптология
- •5.1 Введение в криптологию. Методы криптографии
- •5.1.1 Криптография и криптоанализ. История криптографии
- •5.1.2 Методы криптографии
- •5.1.3 Криптографические стандарты des и гост 28147—89
- •5.2 Криптографический интерфейс приложений ос «Windows»
- •5.2.1 Понятие защищенной и незащищенной ос
- •5.2.2 Защита документов Microsoft Office от несанкционированного доступа
3.1.4 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
3.1.5 Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства
3.2 Международные стандарты информационного обмена
Виды стандартов информационной безопасности:
-
оценочные стандартов, направлены на классификацию информационных систем и средств защиты по требованиям безопасности;
-
технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.
3.2.1 Стандартизация в мире
Основная роль в развитии информационного общества принадлежит международным стандартам, создаваемым на основе шести принципов, определенных Всемирной торговой организацией (ВТО): открытость, прозрачность, непредвзятость и соблюдение консенсуса, эффективность и целесообразность, согласованность и нацеленность на развитие. В связи с этим в России приобретают особую важность и актуальность работы по развитию и совершенствованию отечественной нормативной базы в области информационных технологий и информационно-телекоммуникационных систем.
Создание и внедрение информационно-телекоммуникационных систем (ИС) различных уровней и назначений на основе использования современных информационных технологий (ИТ), интеграции информационных, вычислительных, телекоммуникационных ресурсов и применения технологии открытых систем – это сложная, комплексная, межотраслевая, многоплановая и многоаспектная проблема. В ее решении одно из ключевых мест занимает стандартизация в области ИТ и прежде всего внедрение методов функциональной стандартизации. Эти методы позволяют с помощью функциональных стандартов и профилей (включая профили на конкретные проекты ИС) идентифицировать группы базовых стандартов вместе с факультативными возможностями, требованиями и параметрами, необходимыми для выполнения функций, реализуемых конкретными ИС в разных предметных областях деятельности.
В настоящее время подавляющее большинство ИС всех классов и назначений строятся на основе технологии открытых систем. Ее суть состоит в использовании стандартных интерфейсов между разнородными аппаратными и программными компонентами систем. Технология открытых систем лежит в основе создания инфраструктуры всех уровней – от предприятия и отрасли до национальной информационной инфраструктуры. Кроме того, она обеспечивает интеграцию с мировым информационным пространством и, тем самым, с мировой экономикой. Внедрение принципов открытых систем на всех этапах жизненного цикла проектирования ИС базируется на стандартизации информационных технологий, являющейся интеграционным механизмом и мощным средством управления процессами развития информатизации.
На международном уровне сформировалась мощная кооперация организаций, разрабатывающих стандарты в области ИТ, среди которых, в первую очередь, следует назвать ИСО (Международную организацию по стандартизации), МЭК (Международную электротехническую комиссию) и МСЭ (Международный союз электросвязи). Сектор МСЭ по телекоммуникациям (МСЭ Т) является с 1993 г. правопреемником МККТТ (Международный консультативный комитет по телеграфии и телефонии). В 1987 г. ИСО и МЭК объединили свою деятельность по стандартизации в области ИТ, создав ИСО/МЭК/СТК 1 "Информационные технологии", основной задачей которого является разработка базовых стандартов ИТ вне зависимости от их конкретных применений. В последние годы ИСО/МЭК/СТК 1 активно взаимодействует с рядом технических комитетов ИСО, включая: ТК 46 "Информация и документирование";
ТК 68 "Банковское дело, защита и другие финансовые услуги";
ТК 130 "Графическая технология";
ТК 154 "Процессы, элементы данных и документы в торговле";
ТК 171 "Прикладное представление документов";
ТК 176 "Управление качеством и обеспечение качества";
ТК 184 "Системы промышленной автоматизации и их интеграция";
ТК 204 "Транспортные информационные и управляющие системы";
ТК 215 "Информатика в здравоохранении".
Кроме ИСО, МЭК и МСЭ разработкой стандартов в области информационных технологий и, в частности, в области открытых систем, занимается ряд авторитетных международных, региональных, национальных и специализированных организаций, консорциумов и групп, например, такие как Общество Интернет (Internet Society), СЕН (Европейский комитет стандартизации) и СЕНЭЛЕК (Европейский комитет стандартизации в области электротехники), ЕКМА (Европейская ассоциация производителей компьютеров), ЕВОС (Европейские рабочие группы по открытым системам), ЕТСИ (Европейский институт по стандартизации в области телекоммуникаций), IEEE (Институт инженеров по электротехнике и электронике), Группа X/Open, организованная поставщиками компьютерной техники, OSF (Фонд открытого программного обеспечения), OMG (Группа объектного управления), NMF (Форум управления сетями) и др.
Наиболее заметный вклад в стандартизацию средств, систем и технологий информатизации на международном уровне вносит ИСО/МЭК/СТК 1, членом которого, наряду с другими государствами (54), является Российская Федерация. В структуре ИСО/МЭК/СТК 1 функционирует свыше 20 подкомитетов (ПК) и рабочих групп (РГ), охватывающих своей деятельностью практически весь спектр стандартизации в области информационных технологий и осуществляющих разработку стандартов по следующим основным направлениям: наборы символов и кодирование информации; телекоммуникация и обмен информацией; программная инженерия; языки программирования; машинная графика и обработка изображений; взаимосвязь оборудования информационных технологий; методы защиты информации; конторское оборудование; кодирование аудио-, видео, мультимедиа и гипермедиа информации; методы автоматической идентификации, кодирования и фиксации данных; управление и обмен данными; языки описания и обработки документов; интерфейсы пользователя; методы обучения. По тематике ИСО/МЭК/СТК 1 действует (по состоянию на 01.07.2003) свыше 1600 международных стандартов, которые в официально издаваемых каталогах скомпонованы в функциональные группы и направления информационных технологий и конторского оборудования (классы 33, 35): "ИТ в целом"; "Наборы знаков и кодирования информации"; "Языки, используемые в ИТ"; "Документация на разработку программного обеспечения"; "Взаимосвязь открытых систем"; "Частные сети связи с интеграцией служб"; "Машинная графика"; "Микропроцессорные системы"; "Периферийные устройства"; "Интерфейсы и межсоединительные устройства"; "Запоминающие устройства"; "Применение ИТ (автоматизированное проектирование, идентификационные карты, учрежденческая и издательская деятельность, банковское дело, промышленность, транспорт, торговля, наука)"; "Конторское оборудование".
За последнее годы в значительной степени активизировалась деятельность по разработке международных стандартов (разработано свыше 100 международных стандартов) в рамках ИСО/ТК 184 "Системы промышленной автоматизации и их интеграция" в части регламентации положений и требований по непрерывной информационной поддержке жизненного цикла сложных наукоемких изделий (CALS-(ИПИ)-технологии), включая такие этапы, как проектирование и анализ бизнес-процессов, создание и эксплуатация изделий, материально-техническое снабжение.