Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 676
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
«О
персональ
ных данных» / / Собрание законодательства РФ от 31 июля 2006 г. № 31
(Ч.
1). - Ст. 3451.
48. Федеральный закон от 21 декабря 1994 г. № 68-ФЗ (ред. от
18 декабря 2006 г.) «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
49. Щ еглов Л. Ю. Общие вопросы построения системы защиты ин
формации / А. Ю. Щ еглов, К. А. Щ еглов / / h ttp ://article s.sec u rity - bridge. com /articles/91/11601 50. http://www.infsec.ru
5 1
. http://labs.rulezz.ru/files/5/6ucherb.rtf
52. http://www.ssbweb.ru/pc 1.html
персональ
ных данных» / / Собрание законодательства РФ от 31 июля 2006 г. № 31
(Ч.
1). - Ст. 3451.
48. Федеральный закон от 21 декабря 1994 г. № 68-ФЗ (ред. от
18 декабря 2006 г.) «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».
49. Щ еглов Л. Ю. Общие вопросы построения системы защиты ин
формации / А. Ю. Щ еглов, К. А. Щ еглов / / h ttp ://article s.sec u rity - bridge. com /articles/91/11601 50. http://www.infsec.ru
5 1
. http://labs.rulezz.ru/files/5/6ucherb.rtf
52. http://www.ssbweb.ru/pc 1.html
ОГЛАВЛЕНИЕ
Предисловие
3
Введение
4
Глава 1. Сущность и задачи комплексной защиты информации................. 7 1.1. Понятийный аппарат в области обеспечения безопасности информации
7 1.2. Цели, задачи и принципы построения К С З И ......................................10 1.3. О понятиях безопасности и защ ищ енности.........................................14 1.4. Разумная достаточность и экономическая эффективность.............. 16 1.5. Управление безопасностью предприятия. Международные стандарты.......................................................................................................21 1.6. Цели и задачи защиты информации в автоматизированных системах......................................................................................................... 24 1.7. Современное понимание методологии защиты информации..........27 1.7.1. Особенности национального технического регулирования .... 27 1.7.2. Что понимается под безопасностью И Т ? ................................... 28 1.7.3. Документы пользователя................................................................. 30 1.7.4. Требования к средствам обеспечения безопасности............... 31
Глава 2. Принципы организации и этапы разработки КСЗИ ..................... 34 2.1. Методологические основы организации К С З И .................................. 34 2.2. Разработка политики безопасности и регламента безопасности предприятия.............................................. 36 2.3. Основные положения теории сложных си стем ................................... 41 2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями......................................................................46 2.5. Требования, предъявляемые к К С З И ..................................................... 49 2.5.1. Требования к организационной и технической составляющим К С З И ........................................................................49 2.5.2. Требования по безопасности, предъявляемые к изделиям И Т .................................................................................... 50 2.6. Этапы разработки К С З И ........................................................................... 57
Глава 3. Факторы, влияющие на организацию КСЗИ ................................. 60 3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа........60 3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа........63
3.3. Характер основной деятельности предприятия................................... 65 3.4. Состав, объекты и степень конфиденциальности защищаемой и нф орм ации................................................................................................. 67 3.5. Структура и территориальное расположение предприятия.............. 69 3.6. Режим функционирования предприятия.............................................. 71 3.7. Конструктивные особенности предприятия.........................................71 3.8. Количественные и качественные показатели ресурсообеспечения.... 71 3.9. Степень автоматизации основных процедур обработки защищаемой информации.........................................................................72
Глава 4. Определение и нормативное закрепление состава защищаемой информации................................................................... 73 4.1. Классификация информации по видам тайны и степеням конфиденциальности................................................................................. 73 4.2. Нормативно-правовые аспекты определения состава защищаемой информации.........................................................................75 4.2.1. Решение задачи 1.............................................................................. 76 4.2.2. Решение задачи 2 .............................................................................. 80 4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия...................... 88 4.3. Методика определения состава защищаемой инф орм ации............. 90 4.4. Порядок внедрения Перечня сведений, составляющих КТ, внесение в него изменений и дополнений........................................... 95
Глава 5. Определение объектов защ иты......................................................... 96 5.1. Значение носителей защищаемой информации как объектов защ и ты ........................................................................................................... 96 5.2. Методика выявления состава носителей защищаемой информации
100 5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
101 5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия.............................................................................. 104 5.5. Особенности помещений как объектов защиты для работы по защите информации
105 5.6. Транспортные средства и особенности транспортировки
115 5.7. Состав средств обеспечения, подлежащих защ ите............................116
Глава 6. Дестабилизирующие воздействия на информацию и их нейтрализация............................................................................ 117 6.1. Факторы, создающие угрозу информационной безопасности.......117 6.2. Угрозы безопасности информации....................................................... 121 6.3. Модели нарушителей безопасности А С .............................................. 129 6.4. Подходы к оценке ущерба от нарушений ИБ
133 6.5. Обеспечение безопасности информации в непредвиденных ситуациях
140 6.6. Реагирование на инциденты И Б ........................................................... 142 6.7. Резервирование информации и отказоустойчивость
144
Глава 7. Определение потенциальных каналов и методов
несанкционированного доступа к информации
146
7.1. Технические каналы утечки информации, их классификация
146 7.2. Задачи КСЗИ по выявлению угроз и К У И .........................................151 7.3. Особенности защиты речевой информации
160 7.4. Особенности защиты компьютерной информации от утечки по каналам ПЭМИН
163
Глава 8. Определение возможностей несанкционированного доступа
к защищаемой информации..............................................................166
8.1. Методы и способы защиты информации
166 8.2. Классификация СЗИ Н С Д ..................................................................... 168 8.3. Механизмы обеспечения безопасности информации...................... 169 8.3.1. Идентификация и аутентификация
169 8.3.2. Разграничение доступа.................................................................. 176 8.3.3. Регистрация и аудит
177 8.3.4. Криптографическая подсистема..................................................179 8.3.5. Межсетевое экранирование
185 8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации........................................... 187
Глава 9. Определение компонентов К С З И ...................................................189 9.1. Особенности синтеза СЗИ АС от Н С Д ............................................... 189 9.2. Методика синтеза С З И ............................................................................ 190 9.2.1. Общее описание архитектуры АС, системы защиты информации и политики безопасности
190 9.2.2. Формализация описания архитектуры исследуемой А С .......192 9.2.3. Формулирование требований к системе защиты информации...................................................................................... 193 9.2.4. Выбор механизмов и средств защиты информации
195 9.2.5. Определение важности параметров средств защиты информации...................................................................................... 198 9.3. Оптимальное построение системы защиты для А С ......................... 200 9.4. Выбор структуры СЗИ А С .......................................................................207 9.5. Проектирование системы зашиты информации для существующей А С ............................................................................. 208
Глава 10. Определение условий функционирования К С З И ...................... 210 10.1. Содержание концепции построения К С З И ......................................210 10.2. Объекты защ иты ...................................................................................... 211 10.3. Цели и задачи обеспечения безопасности информации .............. 214 10.4. Основные угрозы безопасности информации АС
организации.............................................................................................. 215 10.5. Основные положения технической политики в области обеспечения безопасности информации АС организации ..........219 10.6. Основные принципы построения К С З И ..........................................219 10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов............................ ......... 220
10.8. Первоочередные мероприятия по обеспечению безопасности информации АС организации.............................................................231
Глава 11. Разработка модели К С З И ..............................................................235 11.1. Общая характеристика задач моделирования К С З И ..................... 235 11.2. Формальные модели безопасности и их анализ.............................. 237 11.2.1. Классификация формальных моделей безопасности.......... 237 11.2.2. Модели обеспечения конфиденциальности...........................238 11.2.3. Модели обеспечения целостности........................................... 244 11.2.4. Субъектно-ориентированная м одель.......................................245 11.3. Прикладные модели защиты информации в А С .............................246 11.4. Формальное построение модели защиты: п рим ер..........................248 11.4.1. Описание объекта защ и ты ......................................................... 248 11.4.2. Декомпозиция АС на субъекты и объекты.............................250 11.4.3. Модель безопасности: неформальное описание................... 252 11.4.4. Декомпозиция системы защиты информации...................... 256 11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта АС субъектно-объектной м одели..............................................................................................261 11.5. Формализация модели безопасности..................................................263 11.5.1. Процедура создания пары субъект—объект, наделение их атрибутами безопасности...................................................... 264 11.5.2. Осуществление доступа субъекта к объекту...........................266 11.5.3. Взаимодействие с внешними сетями.......................................266 11.5.4. Удаление субъекта—об ъекта...................................................... 267
Глава 12. Технологическое и организационное построение К С З И .........269 12.1. Общее содержание работ по организации К С З И ...........................269 12.2. Характеристика основных стадий создания К С З И .........................273 12.3. Назначение и структура технического задания (общие требования к содержанию) .................................................................. 274 12.4. Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию......................................276
Глава 13. Кадровое обеспечение функционирования комплексной системы защиты информации....................................................... 282 13.1. Специфика персонала предприятия как объекта защ и ты ............ 282 13.2. Распределение функций по защите информации...........................285 13.2.1. Функции руководства предприятия......................................... 285 13.2.2. Функции службы защиты информации.................................. 287 13.2.3. Функции специальных комиссий ............................................ 288 13.2.4. Обязанности пользователей защищаемой и н ф орм ац ии .................................................................................. 290 13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа.......................................................................... 292 13.4. Подбор и обучение персонала.............................................................. 295
Глава 14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации........297 14.1. Состав и значение материально-технического обеспечения функционирования К С З И ................................................................... 297 14.2. Перечень вопросов ЗИ, требующих документационного закрепления................................................................................................298
Глава 15. Назначение, структура и содержание управления К С З И .......303 15.1. Понятие, сущность и цели управления К С З И ................................ 303 15.2. Принципы управления К С З И ..............................................................306 15.3. Структура процессов управления........................................................ 310 15.4. Основные процессы, функции и задачи управления К С З И ........311 15.5. Основные стили управления................................................................313 15.6. Структура и содержание общей технологии управления КСЗИ .. 314
Глава 16. Принципы и методы планирования функционирования
К С З И .................................................................................................318 16.1. Понятие и задачи планирования функционирования КСЗИ ..... 318 16.2. Способы и стадии планирования........................................................ 321 16.3. Факторы, влияющие на выбор способов планирования.............. 322 16.4. Основы подготовки и принятия решений при планировании.... 325 16.5. Методы сбора, обработки и изучения информации, необходимой для планирования..................................................................................... 330 16.6. Организация выполнения планов....................................................... 333
Глава 17. Сущность и содержание контроля функционирования............ 336 17.1. Виды контроля функционирования К С З И .......................................336 17.2. Цель проведения контрольных мероприятий в К С З И ..................337 17.3. Анализ и использование результатов проведения контрольных мероприятий...............................................................................................340
Глава 18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций............................................. 347 18.1. Понятие и основные виды чрезвычайных ситуаций...................... 347 18.2. Технология принятия решений в условиях Ч С ............................... 348 18.3. Факторы, влияющие на принятие решений в условиях ЧС ........349 18.4. Подготовка мероприятий на случай возникновения Ч С .............. 349
Глава 19. Общая характеристика подходов к оценке эффективности
К С З И ................................................................................................. 361 19.1. Вероятностный подход........................................................................... 361 19.2. Оценочный подход..................................................................................368 19.3. Требования РД СВТ и РД А С ..............................................................371 19.4. Задание требований безопасности информации и оценка соответствия им согласно ГОСТ 15408—2002 ................................. 376