V

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ УКРАИНЫ ВОСТОЧНОУКРАИНСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ имени ВЛАДИМИРА ДАЛЯ

ПЕТРОВ А.А. ХОРОШКО В.А.

Безопасность информационных и коммуникационных систем

Учебное пособие

Луганск 2008

УДК 614.844: 681.327.8 ГІ29

Рекомендовано к изданию Ученым Советом Восточноукраинского национального университета им. Владимира Даля

Рецензенты:

Самохвалов Ю.Я. докт. техн. наук, профессор Корченко О.Г. докт. техн. наук, профессор факультет защиты информации, Военного института телекоммуникаций и информатизации НТУ Украины „КГ1И”

Под ред. проф. В.А. Хорошко.

Петров А.А., Хорошко В.А.

П 29 Безопасность информационных и коммуникационных

систем: Учебное пособие. - Луганск: Издательство ВНУ им. В. Даля, 2008,- 128 с.

Предоставляются основы организационно-технического обеспечения защиты информации и направления создания инженерно-технической защиты, защиты стационарных и мобильных объектов, а также контроля доступа в зоны безопасности и их защиты.

Учебное пособие предназначено для студентов дневного и заочного обучения направления 1601 “Информационная безопасность”.

Надаються основи організаційно-технічного забезпечення захисту інформації і напряму створення інженерно-технічного захисту, захисту стаціонарних і мобільних об'єктів, а також контролю доступу в зони безпеки і їхнього захисту.

Навчальний посібник призначений для студентів денного та заочного навчання напряму 1601 “Інформаційна безпека”.

© Восточноукраинский национальный университет имени Владимира Даля, 2008 © Петров А. А., 2008 © Хорошко В.А., 2008

Основу любой деятельности людей составляет её информационное обеспечение. Информация становится одним из основных средств решения проблем и задач государства, разнообразных коммерческих структур и отдельных людей. Из- за того, что получение информации путем проведения собственных исследований становится все более дорогостоящим делом, расширяется сфера добывания информации более дешевым, но незаконным путем. Этому способствуют недостатки правовой базы по защите интеллектуальной собственности, которые позволяют злоумышленникам избегать серьезного наказания за свои противоправные действия, а также наличие на рынке разнообразных технических средств

несанкционированного получения информации.

В связи с этими обстоятельствами непрерывно возрастает актуальность задач защиты информации во всех сферах деятельности людей: на государственной службе, в бизнесе, в научной деятельности и даже в личной жизни. Постоянное соперничество между методами и реализовывающими их средствами получения и защиты информации привело к появлению на рынке такого количества и разнообразия средств защиты информации, что возникла проблема их рационального выбора и применения для конкретных условий.

Среди мер защиты информации все больший вес объективно приобретают инженерно-техническая защита и организационно­техническое обеспечение защиты информации.

Очевидно, что эффективная защита информации, а также отдельных физических лиц, с учетом тенденций развития как средств несанкционированного получения информации, так и ее защиты, возможна при более широком использовании организационно-технических мероприятий.

Существенное расширение интереса к проблеме защиты информации со стороны не только специалистов, но и представителей различных структур и отдельных граждан, стимулирует рост количества публикаций по этой тематике. Разнообразие, временами поверхностных, мыслей по вопросам защиты информации, отсутствие единого понятийного аппарата, слабость теоретической и методологической базы, которая учитывает специфику защиты информации в условиях рыночной системы, вызывает необходимость в систематизации и структуризации накопленных в этой области знаний и создании основ организационно-технического обеспечения защиты информации.

Решению этих задач посвящено данное учебное пособие. Его материалы сгруппированы в двух блоках, каждый из которых имеет самостоятельную смысловую нагрузку.

Общие принципы защиты объектов (разделы 2, 3, 4), как стационарных, так и мобильных, описаны в первом блоке. Причем при рассмотрении защиты мобильных объектов особое внимание уделяется анализу и особенностям охраны грузов на отдельных видах транспорта.

Во втором блоке (разделы 5, 6, 7) рассмотрены вопросы доступа в зоны, разграничение права доступа и организации защиты в зоне безопасности.

Авторы выражают благодарность рецензентам учебного пособия профессорам, докторам технических наук Самохвалову Юрию Яковлевичу, Корченко Александру Георгиевичу и факультету защиты информации Военного института телекоммуникаций и информатизации НТУ Украины „КПИ” под руководством кандидата технических наук, доцента, полковника Михаила Ивановича Семенченко за внимательное рецензирование, которое способствовало значительному углублению и улучшению настоящего руководства.

1. Задачи и цель курса

Целью курса "Организационно-техническое обеспечение информационной безопасности" является освоение современных методов и принципов, а также технического обеспечения охраны и защиты объектов. Изучение дисциплины является необходимым для понимания принципов построения государственной системы защиты секретов, а также психологических и правовых вопросов защиты информации (ЗИ). Эта дисциплина является специальной.

Знание методов и принципов организации защиты объектов с применением технических средств является необходимым для проведения государственной политики защиты тайн и организации повышенной системы защиты объектов.

Современные устройства перехвата информации легко подключаются к телефонным линиям и терминалам вычислительных сетей. Радиочастотные излучения ЭВМ, терминалов и пунктов коммуникаций можно легко перехватить и дешифровать. Кроме того, можно легко снять информацию посредством визуальной разведки.

В сложившихся условиях эффективная защита информации в Украине может быть достигнута только при создании системы безопасности информации, которая реализует государственную политику в этой области путем осуществления управленческой, научной, административно- хозяйственной и производственной деятельности, подготовки кадров и других видов деятельности.

В основу создания и функционирования этой системы должны быть положены следующие принципы:

1. Единая правовая, организационная и материально­техническая базы, которые учитывают международные нормы и правила безопасности информации, а также действующие в настоящее время нормативные организационные и предписывающие документы.

2. Комплексность решения проблемы безопасности и формирования их общей стратегии как составной части обеспечения национальной безопасности государства в целом.

В случае обеспечения безопасности информации, которая содержит сведения, отнесенные законами Украины к государственной тайне, а также конфиденциальной информации, которая принадлежит государству, система имеет жесткую структуру, деятельность которой регламентируется четко определенным набором правовых норм и стандартов, нарушение которых преследуется законами Украины.

При защите информации, которая принадлежит на правах собственности частным или юридическим лицам, правовые нормы носят рекомендательный характер. Наказание нарушителей правил разграничения доступа к информации как в первом, так и во втором случаях осуществляется на основании нанесенного владельцу информации материального ущерба.

Система информационной безопасности в первом случае руководствуется путем выработки решений в области государственной политики, во втором - опросом и предложением.

Необходимо разработать как основу правового обеспечения системы базовый закон, что регламентирует отношения и разграничивает сферы полномочий всех участников информационных отношений, а также государственных органов, что обеспечивают информационную безопасность и контроль государства за разграничением доступа к информации.

• создание пакета основных стандартов организационно­методического и терминологического обеспечения системы технической защиты информации во всех сферах деятельности государства;

• стандартизация требований относительно защиты информации о вооружении, военной технике и военно­промышленных объектах;

• стандартизация требований относительно защиты информации в средствах вычислительной техники и оргтехники, в автоматизированных системах и сетях;

нормативное и метрологическое обеспечение сертификации и аттестации технических средств защиты и контроля их эффективности.

Для гарантированного достижения цели при решении задач информационной безопасности в стране должна быть создана система сертификации средств ЗИ, возглавляемая центрами, к сфере компетенции которых входили бы отдельные направления информационной безопасности. Такие центры должны быть оснащены современными техническими средствами и нормативной документацией.

В первую очередь, необходимо расширить виды тайн, что существуют в нашем государстве. Прежде всего, это государственная тайна (то есть сведения особой важности и совершенно секретные) и служебная тайна (секретные сведения), объединенные в одно общее понятие "государственные секреты". Они определяются перечнем сведений, которые составляют государственную тайну и ведомственными перечнями сведений, которые подлежат засекречиванию.

Кроме государственных тайн в государстве и обществе циркулируют несекретные сведения ограниченного распространения, сведения коммерческой тайны.

В нашей стране, как и за рубежом, охраняются также тайна усыновления, тайна голосования, тайна переписки, врачебная тайна и другие, защита которых направлена на обеспечение закрепленных в Правах человека и Конституции прав и свобод^ людей. Впервые понятие "коммерческая тайна" было введено и юридически закреплено в Законе "О предприятиях в Украине", принятом в июне в 1990 г. Под коммерческой тайной понимают сведения, которые не являются государственными секретами и связаны с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести вред его интересам. Закон "О предприятиях в Украине", принятый 27.03.1991 г., только уточнил понятие "коммерческая тайна".

Состав и объем сведений, что составляют коммерческую тайну, порядок их защиты определяются руководителем предприятия. Виды деятельности предприятий, сведения о которых не могут составить коммерческую тайну, определяется Кабинетом Министров с целью предотвращения укрывательства предприятием сведений о загрязнении окружающей среды и другой негативной деятельности, способной нанести вред обществу.

Сущность понятия коммерческой тайны заключается в следующих критериальных положениях:

• это любая деловая информация, что имеет действительную или потенциальную ценность для предприятия из коммерческих причин, утечка которой может нанести вред предприятию;

• эта информация не является общеизвестной или общедоступной на законных основаниях;

-эта информация не является государственным секретом и не защищается авторским и патентным правом;

• эта информация не касается негативной деятельности предприятия, способной нанести вред обществу (нарушений законов, неэффективной работы, административных ошибок, загрязнения окружающей среды и т.д.).