«Государственное образовательное учреждение высшего профессионального образования Алтайский государственный технический университет им. И. И. Ползунова Ю. Н. Загинайлов ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ...»

Среди множества определений можно выделить главную суть системы, которая заключается не только в том, что система включает некоторое множество компонентов, но и в том, что взаимодействие этих компонентов приводит к получению некоторого полезного (интегрированного) результата, который невозможно получить, используя каждый компонент в отдельности.

В Российских национальных стандартах по защите информации понятие системы защиты информации определяется следующим образом:

Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Общая структура систем защиты информации. Исходя из определения понятия «система» в системах защиты информации можно (по крайней мере) выделить 4 взаимосвязанных и взаимодействующих компонента (элемента) без которых решение задач защиты будет проблематичным. Состав этих компонентов приведен на рисунке 15. Орган защиты информации – административный орган, осуществляющий организацию защиты информации.

Рисунок 15.1 – Компоненты системы защиты информации В настоящее время в сложившейся практике подразделения по защите информации на предприятиях, в организациях и учреждениях могут именоваться:

– отдел защиты государственной тайны и информации;

– отдел защиты информации;

– отдел информационной безопасности;

– служба защиты информации;

– служба информационной безопасности и т.п.

В случаях отсутствия специальной службы или отдела могут назначаться отдельные исполнители ответственные за защиту, например, администраторы безопасности компьютерной сети или АС, администраторы безопасности баз данных и т.д.

Техника защиты информации – средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Объект защиты информации – информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Состав объектов защиты рассмотрен в главе 13.

Правила и нормы, установленные соответствующими документами в области защиты информации, включают правила и нормы, установленные правовыми, организационно – распорядительными, нормативно-методическими документами, разработанными и введёнными в действие, как органами государственной власти, так и руководством организации в которых создаётся и используется система защиты информации.

15.2 Общеметодологические требования и принципы построения систем защиты информации Введением понятия системы защиты информации (СЗИ) определяется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой объекта информатизации.

Важнейшим концептуальным требованием к СЗИ, выделяемым особо, является требование адаптируемости, т. е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования объекта информатизации. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, вообще говоря, могут существенно изменяться, а с другой - тем, что процессы защиты информации относятся к слабоструктурированным, т. е. имеющим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.

Помимо общего концептуального требования к СЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на: функциональные, эргономические, экономические, технические и организационные. В совокупности эти требования образуют систему, структура и содержание которой приведены в таблице 15.1.

В процессе развития работ по защите информации как у нас в стране, так и за рубежом наряду с конкретными разработками конкретных вопросов защиты формировались общеметодологические принципы (общие положения) построения и функционирования СЗИ.

Соблюдение требований таких принципов в общем случае способствует повышению эффективности защиты.

Таблица 15.1 – Общеметодологические требования к системе защиты информации Функциональные требуемой совокупно- требованиям защиты Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов:

– концептуальное единство (комплексность);

– адекватность требованиям;

– гибкость (адаптируемость);

– функциональная самостоятельность;

– удобство использования;

– минимизация предоставляемых прав;

– полнота контроля;

– активность реагирования;

– экономичность.

Концептуальное единство(комплексность) означает, что архитектура, технология, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции отражающей цели и задачи защиты информации.

Адекватность требованиям означает, что СЗИ должна строиться в строгом соответствии с требованиями к защите, которые в свою очередь определяются категорией хранимой и обрабатываемой информации (вид тайны, степени секретности) и соответствующего объекта, а также факторами, влияющими на защиту информации (уязвимости, угрозы, условия обработки и др.) Гибкость (адаптируемость) системы защиты означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры АС, технологических схем или условий функционирования каких-либо ее компонентов.

Функциональная самостоятельность предполагает, что СЗИ должна быть самостоятельной обеспечивающей подсистемой ОИ и при осуществлении функций защиты не зависеть от других подсистем.

Удобство использования означает, что СЗИ не должна создавать дополнительных неудобств для пользователей и персонала АС.

Минимизация предоставляемых прав означает, что каждому пользователю и каждому лицу из состава персонала ОИ должны предоставляться лишь те полномочия на доступ к ресурсам ОИ и информационным технологиям, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и установленным порядком и утверждены заблаговременно.

Полнота контроля (аудит безопасности) предполагает, что все процедуры автоматизированной и неавтоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться (документироваться) в специальных регистрационных журналах.

Активность реагирования означает, что СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать:

– просьбу повторить действие;

– задержку в выполнении запросов;

– отключение структурного элемента, с которого осуществлено несанкционированное действие;

– исключение нарушителя из числа зарегистрированных пользователей;

– подача специального сигнала и др.

Экономичность СЗИ означает, что при условии соблюдения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными.

15.3 Типизация, стандартизация, классификация систем Типизация и стандартизация систем защиты. Типизация и стандартизация систем защиты информации, как и любых других систем, имеет важное значение, как с точки зрения обеспечения надежности, так и экономичности защиты. Типизация в самом общем виде определяется как разработка типовых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Типизация рассматривается как один из методов стандартизации.

Стандартизация – это процесс установления и применения стандартов, которые в свою очередь определяются как образцы, эталоны, модели, принимаемые за исходные, для сопоставления с ними других подобных объектов. Стандарт же, как нормативно-технический документ, устанавливает комплекс норм, правил, требований к объекту стандартизации и утверждается компетентным органом.

Таким образом, конечной целью типизации и стандартизации является разработка, утверждение и повсеместное применение стандартов. Первым шагом на пути к конечной цели должна быть максимальная типизация основных решений в соответствующей области. С этих позиций необходимо рассматривать вопросы типизации и стандартизации СЗИ.

Анализ концепции защиты информации вообще и подходов к архитектурному построению СЗИ, в частности, показывает, что с целью создания наилучших предпосылок для оптимизации СЗИ целесообразно выделить три уровня типизации и стандартизации:

1. Высший – уровень СЗИ в целом (СЗИ объекта информатизации).

2. Средний – уровень составных компонентов СЗИ (СЗИ АС от НСД, ИТ-системы).

3. Низший – уровень проектных решений по средствам и механизмам защиты (подсистемы защиты ОС, БД, средства защиты, реализованные в ОТСС или ВТСС и т.д., различные спецификации, ИТпродукты).

С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях, прежде всего, необходимо осуществить системную классификацию СЗИ. При этом чисто интуитивно ясно, что основными критериями классификации должны быть такие показатели, с помощью которых все потенциально необходимые СЗИ делились бы на такие элементы классификационной структуры (классы, группы), каждый из которых был бы адекватен некоторым вполне определенным потребностям в защите информации, а вся совокупность таких элементов охватывала бы все потенциально возможные варианты потребностей в защите.

Высший уровень. В качестве примера типизации СЗИ на высшем уровне можно выделить классификацию объектов информатизации ( типа).

Задачи стандартизации на этом уровне достаточно сложны в связи с тем, что условия функционирования объектов информатизации предприятий, учреждений, организаций различны и, следовательно, существенно различаются цели и задачи защиты информации. Поэтому на этом уровне становится возможна лишь стандартизация типовых факторов воздействующих на объект информатизации. Примером этому служит стандарт ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию.

Требования безопасности к этим типам объектов складываются из требований безопасности к объектам, из которых они состоят, т.е требований безопасности к средствам и системам обработки (ОТСС), к средствам обеспечения объекта (ВТСС) и помещениям (зданиям, сооружениям). Уровень защищённости компонент зависит от степени конфиденциальности (секретности) информации.

Средний уровень. Средний уровень – уровень компонент объекта информатизации.

В качестве базового компонента ОТСС в настоящее время определены автоматизированные системы в защищённом исполнении (АСЗИ). АСЗИ это АС имеющие систему защиты, которая отвечает набору стандартов защиты и нормативных документов (Руководящих документов ФСТЭК).

На этом уровне учитываются условия обработки, состав и функции органов защиты, наличие нормативных документов определяющих режим защиты и правила обращения с информацией. В зависимости от ценности информации (грифа секретности и конфиденциальности) и условий обработки (уровней допуска пользователей) все системы (АС) разделяются на 9 классов, а помещения, в которых они установлены или помещения для конфиденциальных переговоров 3 класса, в зависимости от грифа секретности информации. ОТСС (АС, помещения в которых они установлены, помещения для конфиденциальных переговоров) аттестуются на соответствующий класс по требованиям безопасности информации сертификационными центрами, имеющими аккредитацию ФСТЭК на проведение аттестации объектов информатизации).

Таким образом, типизация и стандартизация на среднем уровне, предполагает разработку типовых проектов структурно или функционально ориентированных компонентов СЗИ, которые учитывают условия обработки. Требования к проектированию и построению систем защиты определены в стандартах и нормативных (руководящих) документах органов исполнительной власти уполномоченных в области безопасности и технической защиты информации. Стандартизованными являются АС различного уровня и назначения и помещения для конфиденциальных переговоров. По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-систем.

Низший уровень. Уровень проектных решений по средствам и механизмам защиты. Типизация и стандартизация на низшем уровне предполагает разработку и стандартизацию типовых проектных решений по практической реализации средств защиты информации или спецификаций:

– программно-аппаратных;

– криптографических;

– физической защиты.

В настоящее время существует несколько систем стандартизации как на основе национальных стандартов (руководящих документов ФСТЭК), так и международных.

По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-продуктов.

Таким образом, типизация и стандартизация на низшем уровне, предполагает разработку типовых решений на уровне подсистем защиты или средств защиты, которые могут быть сертифицированы в качестве стандартных и из которых можно просто собирать необходимую СЗИ (подсистемы защиты ОС, БД, средства защиты реализованные в ОТСС или ВТСС и т.д., различные спецификации, ИТ-продукты). Они не учитывают (или учитывают частично) условий обработки информации и функционирования объекта информатизации.

Классификация систем защиты. В качестве варианта классификации СЗИ может быть рассмотрен один из эмпирических подходов к типизации СЗИ АС, в рамках которого СЗИ классифицируются по уровню защиты, обеспечиваемому соответствующей системой и активности реагирования СЗИ на несанкционированные действия.

Классификация по уровню обеспечиваемой защиты. Все СЗИ целесообразно разделить, например, на пять категорий. Каждый уровень будет соответствовать условной ценности (важности информации). Вариант такой классификации приведен в таблице 15.2.

Таблица15.2 – Классификация АС по уровню обеспечиваемой защиты на основе важности (ценности) информации Системы слабой (тривиальной) защиты – рассчитаны на такие АС, в которых обрабатывается информация, имеющая самый низший уровень конфиденциальности и ущерб от получения её третьими лицами не несёт значительного материального ущерба способного повлиять на деятельность организации и её бизнес процессы;

Системы «нормальной» (базовой) защиты – рассчитаны на такие АС, в которых обрабатывается информация ограниченного доступа и (или) другая ценная информация и ущерб от получения её третьими лицами или её утрата может привести к материальному (финансовому) или моральному ущербу способному повлиять на деятельность организации и её бизнес процессы.

Системы сильной защиты – рассчитаны на АС, в которых обрабатывается информация, подлежащая защите от несанкционированного ее получения, и имеющая высокую (государственную) важность (ценность);

Системы очень сильной защиты – рассчитаны на АС, в которых регулярно обрабатываются информация, имеющая очень высокую (государственную) важность (ценность);

Системы особой защиты – рассчитаны на АС, в которых регулярно обрабатывается информация особой (государственной) важности (ценности).

Классификация по активности реагирования. По активности реагирования СЗИ на несанкционированные действия, все системы защиты можно разделить на следующие три типа:

1) пассивные СЗИ, в которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя (например системы аудита);

2) полуактивные СЗИ, в которых предусматривается сигнализация о несанкционированных действиях, но не предусмотрено воздействие системы на нарушителя;

3) активные СЗИ, в которых предусматривается как сигнализация о несанкционированных действиях, так и воздействие системы на нарушителя, его действия или используемые средства. В этом случае, в качестве примера можно привести СЗИ от НСД в АС в которых функционально может быть предусмотрено блокирование доступа к защищаемым ресурсам в случае трёх попыток ввода неправильного пароля, или отключение компьютера вообще.

В общем случае можно предположить, что СЗИ каждой категории по уровню защиты могут относиться к разным типам активности реагирования. Однако вряд ли целесообразно строить активные СЗИ слабой защиты (хотя в некоторых случаях такие системы и могут быть допустимы). С другой стороны, системы особой защиты непременно должны быть активными. Следовательно, в классификационной структуре могут быть выделены обязательные, целесообразные, нецелесообразные, допустимые и недопустимые СЗИ.

Системы защиты информации государственного уровня рассмотрены в главе 3.

1. Приведите понятие системы защиты информации и её компоненты в соответствии с Российскими национальными стандартами.

2. Что включают в себя общеметодологические требования к системе защиты информации?

3. Приведите перечень общеметодологических принципов построения систем защиты информации.

4. В чём суть принципа комплексности в построении систем защиты информации?

5. В чём суть принципа адекватности в построении систем защиты информации?

6. В чём заключается суть и проблема типизации СЗИ на высшем уровне? Приведите пример типизации.

7. В чём заключается суть типизации СЗИ на среднем уровне?

Приведите пример.

8. В чём заключается суть типизации СЗИ на низшем уровне?

Приведите пример.

9. Как классифицируются СЗИ по уровню обеспечиваемой защиты? Приведите пример.

10.Как классифицируются СЗИ по активности реагирования на несанкционированные действии?

КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

НА ПРЕДПРИЯТИИ

Принцип комплексности позволяет оценить в целом главные вопросы защиты: что защищается, кто защищает и как защищается?

Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов предприятия.

Основными показателями, задающими необходимый комплекс мероприятий и средств по защите информации, следует считать:

– количество (объёмы) и ценность используемой и обрабатываемой на предприятии информации и информационных ресурсов;

– количество и технологические особенности технических средств обработки, хранения, передачи информации (средств автоматизации, связи и т.п);

– состав, объекты и степень конфиденциальности защищаемой информации;

– количество и уровень подготовки персонала связанного с использованием, обработкой, хранением, передачей информации вообще и ценной (конфиденциальной) в частности;

– структура и территориальное расположение предприятия;

– режим функционирования предприятия;

– конструктивные особенности (компактные, территориальнораспределённые, размещённые совместно с другими предприятиями);

– количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ);

– угрозы безопасности всем видам защищаемой информации, информационным ресурсам, системам и средствам их обработки, передачи, хранения расположенным в помещениях предприятия и представляющих собой в совокупности объекты информатизации.

Эти показатели зависят от следующих факторов, влияющих на организацию системы защиты предприятия:

1) форма собственности предприятия;

2) организационно- правовая форма предприятия;

3) характер основной деятельности;

4) степень автоматизации основных процедур обработки защищаемой информации;

Другим базовым принципом и требованием к СЗИ следует считать принцип адекватности.

Методы и средства защиты информации должны быть адекватны угрозам с тем, чтобы обеспечить достаточный уровень защиты с учетом всех существующих рисков для предприятия в информационной сфере и обеспечить их приемлемый уровень (для коммерческих предприятий), или соответствовать требованиям, предъявляемым в соответствии с законодательством, органами исполнительной власти уполномоченными в этой области.

С учётом указанных принципов, требований, показателей, факторов, угроз, понятие комплексной защиты может быть сформулировано следующим образом.

Комплексная система защиты информации предприятия (КСЗИП) – СЗИ реализующая правовой, организационный, технический, физический, криптографический (при необходимости) виды защиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информатизации предприятия.

Анализ существующих стандартов, нормативных, методических документов в области защиты информации показывает, что состав КСЗИП и её структура может быть представлена в виде компонентов, каждый из которых представляет собой подсистему (рисунок 16.1).

КСЗИП – это социотехническая система.

Создание каждой подсистемы регламентировано и возможно на основе требований определённых в соответствующих технических регламентах, стандартах, нормативных и методических документах органов исполнительной власти обеспечивающих защиту информации.

К О М П О Н Е Н Т Ы

Подсистема управления информационной безопасностью является одновременно подсистемой управления предприятием, и включает следующие элементы (рисунок 16.2):

безопасности Рисунок 16.2 – Подсистема управления КСЗИП – нормативно-правовые и методические документы по защите информации;

– отдел (служба, сектор) защиты информации;

– руководство организации и руководители подразделений, в которых защищается информация;

– советы по безопасности и экспертные комиссии в области защиты информации (коллегиальные органы).

Нормативно-правовые и методические документы. Нормативно-правовые и методические документы как элемент подсистемы управления включают в себя три группы:

1) Федеральные законы РФ (включая технические регламенты), нормативные правовые акты и методические документы Президента РФ, Правительства РФ, органов исполнительной власти, стандарты по вопросам обеспечения информационной безопасности и защиты информации. Их перечень и обязательность наличия на предприятии устанавливается органами исполнительной власти уполномоченными в области безопасности, технической защиты информации и противодействия техническим разведкам;

2) локальные нормативно-правовые и методические документы.

Перечень этой группы определяется исходя из требований документов первой группы и условий деятельности предприятия. К ним, в частности относятся: перечни сведений конфиденциального характера (подлежащих засекречиванию), политика (концепция) информационной безопасности предприятия, положения об отделе (службе) защиты информации и др., инструкции специалистам по защите информации, персоналу, руководства;

3) лицензии на виды деятельности, включая деятельность по защите информации, лицензии на объекты интеллектуальной собственности, аттестаты соответствия по требованиям безопасности на объекты информатизации, сертификаты на технические и криптографические средства защиты информации, средства физической защиты.

При защите государственной тайны регламентация защиты и все элементы подсистемы управления создаются и функционируют в строгом соответствии с законодательством о государственной тайне и требованиями нормативных документов, разработанными Правительством России и органами защиты государственной тайны.

При защите сведений конфиденциального характера, регламентация защиты и все элементы подсистемы управления, приведенные на рисунке создаются и функционируют в пределах норм и правил, установленных для защиты сведений конфиденциального характера нормативными документами и стандартами. Для управления КСЗИ в организации может быть создана и внедрена система управления, основанная на стандартах в области управления информационной безопасностью и менеджмента качества: ГОСТ Р ИСО/МЭК -17799 и ГОСТ Р ИСО/МЭК -27001.

Отдел (служба, сектор) защиты информации (или исполнители ответственные за защиту информации). Как элемент подсистемы управления КСЗИП отделы (службы, сектор) защиты информации создаются на основе требований законодательства (законодательство о государственной тайне) или исходя из потребностей предприятия. Во втором случае правовой основой создания и функционирования такого подразделения могут служить нормы Закона РФ 1992 г.

N 2487-I "О частной детективной и охранной деятельности в Российской Федерации"(ст.14), а также нормы Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781) – при защите только персональных данных (ст.13). Отделы могут входить в службы безопасности предприятия.

Руководство организации и руководители подразделений, в которых защищается информация. Функции руководства предприятия по защите информации зависят от ряда факторов, основными из которых являются:

– виды информации ограниченного доступа используемые на предприятии (государственная, служебная, коммерческая, персональные данные и т.п.);

– форма собственности и организационно-правовая форма предприятия;

– подчинённость (подведомственность) предприятия (для предприятий государственной формы собственности);

– сфера деятельности.

Обязанности и права руководителей предприятия по вопросам защиты информации должны быть отражены в должностных инструкциях.

Экспертные комиссии и советы по безопасности в области защиты информации являются коллегиальными органами призванными решать те вопросы информационной безопасности и защиты информации, которые не могут быть решены узкими специалистами и отдельно руководителем организации и его заместителями.

К таким комиссиям относятся:

– постоянно действующие технические комиссии (ПДТК) предприятий по защите государственной тайны ( создаваемые в соответствии с Положением, утверждённым совместным приказом Гостехкомиссии России и ФСБ России в 2001г.);

– экспертные комиссии по экспертизе материалов для открытого опубликования материалов и публичного представления, присвоения грифа конфиденциальности для отдельных видов документов (кандидатские и докторские диссертации и т.п.) – внутренние проверочные комиссии, назначаемые руководителем для проверки носителей информации ограниченного доступа и проведения внутреннего аудита информационной безопасности;

– комиссии по экспортному контролю при осуществлении международных связей (создаются в соответствии с требованиями законодательства об экспортном контроле) – советы по безопасности (выполняют роль консультативных органов), которые вырабатывают рекомендации руководству по вопросам защиты информации, требующим комплексного (многостороннего) подхода и безопасности ИТ и ИТТ.

Подсистема защиты информации от НСД в АС и ИТКС. Подсистема защиты информации от НСД в АС и ИТКС является самостоятельной системой и предназначена для защиты конфиденциальной (секретной) информации от несанкционированного доступа в автоматизированных системах и ИТКС организации, а также для обеспечения целостности информации и доступности для уполномоченных пользователей. СЗИ от НСД в АС и ИТКС включает следующие подсистемы (рисунок 16.3):

– подсистема управления доступом;

– подсистема регистрации и учета;

– криптографическая подсистема;

– подсистема обеспечения целостности;

– подсистема безопасности межсетевого взаимодействия и удалённого доступа.

управления регистрации Р е а л и з у е т с я в едином программно - аппаратном комплексе Подсистема безопасности межсетевого взаимодействия и удалённого доступа Рисунок 16.3 – Подсистема защиты информации от НСД Требования по созданию, по обеспечению безопасности информации в АС и ИТКС определены в стандартах и специальных нормативных документах по защите информации в АС от НСД и безопасности информационных технологий (Руководящих документах ФСТЭК России). В перспективе требования по защите информации и обеспечению безопасности информационных технологий на предприятии будут определены в специальных технических регламентах. Технические регламенты будут иметь силу закона и являться обязательными для исполнения.

В настоящее время при организации защиты информации в АС и ИТКС, обрабатывающих информацию ограниченного доступа, отнесённую к государственной и служебной тайне, а также персональные данные (в зависимости от категории) необходимо руководствоваться стандартами:

– ГОСТ Р 51583 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.

– ГОСТ Р 51624 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

– ГОСТ Р ИСО/МЭК 15408 (Части 1-3. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий).

Основными руководящими документами, содержащими требования к АС, являются:

– РД ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М., 1992.

– РД ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М., 1992.

Основными руководящими документами, содержащими требования к межсетевому взаимодействию АС и обеспечению безопасности в ИТКС, являются:

– РД ГТК. РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М., 1997;

– Указ Президента РФ от 17 марта 2008 г. N 351"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

При организации защиты коммерческой тайны в АС и ТКС могут использоваться как указанные выше стандарты и руководящие документы, так и международные стандарты, принятые в России в качестве национальных: ГОСТ Р ИСО/МЭК 13335 -2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 4 Выбор защитных мер, Часть 5 Руководство по менеджменту безопасности сети. Реализуется СЗИ от НСД методами и средствами программноаппаратной, программной, аппаратной защиты.

Подсистема защиты от несанкционированного физического доступа (подсистема физической защиты). Подсистема защиты от несанкционированного физического доступа предназначена для контроля пребывания на территории и объектах информатизации (в контролируемых зонах) персонала предприятия и предотвращения неконтролируемого пребывания посторонних лиц, а также для сигнализации и извещения о случаях несанкционированного проникновения на территорию и охраняемые объекты информатизации.

Она является одновременно подсистемой системы безопасности организации и может включать следующие подсистемы и элементы (рисунок 16.4): подсистема (средства) контроля и управления доступом на территорию и в помещения, подсистема (средства) охранной (и пожарной) сигнализации, подсистема видеонаблюдения за территорией и помещениями, средства физической укреплённости (дверей, окон), подразделения охраны (охранники), технические средства контроля и управления доступом (СКУД) на территорию (в контролируемые зоны) и в защищаемые помещения.

Рисунок 16.4 – Подсистема защиты от физического НСД Каждая из перечисленных подсистем включает соответствующие технические средства, создаётся и внедряется в организации в рамках требований стандартов, для каждой указанной подсистемы:

– стандарты в области СКУД (системы контроля и управления доступом);

– стандарты в области охранно-пожарной сигнализации;

– стандарты в области систем и средств видеонаблюдения;

– стандарты укреплённости входов (двери), окон.

Технические требования к средствам (системам) контроля и управления доступом определены в ГОСТ Р 51241 —98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

Требования к системам охранной и пожарной сигнализации определены в документах:

– РД 78.147 — 93 /МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов»;

– РД 78.143 — 92 /МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования»;

– РД 78.145 — 93 /МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ»;

– Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сигнализации. Контрольно-пропускные устройства. Часть 1: требования к системе».

Стандарты, в которых определены требования физической укреплённости:

– ГОСТ Р 51242 — 98 Конструкции защитные механические и электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воздействиям;

– ГОСТ Р 51136 —2008 Стекла защитные многослойные. Общие технические условия;

– РД 78.148 —94/МВД России «Защитное остекление. Классификация. Методы испытаний. Применение»;

– ГОСТ Р 51072 — 2005 Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому и пулестойкость;

– ГОСТ 26892 — 86 Двери деревянные. Метод испытания на сопротивление ударной нагрузке, действующей в направлении открывания двери.

Подсистема защиты от вредоносных программ (подсистема антивирусной защиты). Подсистема защиты от вредоносных программ (подсистема антивирусной защиты)- предназначена для защиты АС(ИС) функционирующих на основе персональных компьютеров и вычислительных сетей, ИТКС от несанкционированного воздействия с применением компьютерных вирусов и других видов вредоносных программ.

Эта подсистема включает элементы (рисунок 16.5):

– средства защиты персональных компьютеров от вредоносных программ.

– сетевые средства защиты от вредоносных программ.

персональных компьютеров защиты от вредоносных Рисунок 16.5 – Подсистема защиты от вредоносных программ Требования к средствам антивирусной защиты определены в нормативных стандартах и нормативных документах:

– ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;

– РД ГТК. РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов.

Под антивирусными средствами (АВС) понимаются специализированные средства защиты информации предназначенные для обеспечения защиты средств вычислительной техники и автоматизированных систем, создаваемых на их основе, от воздействия программ-вирусов и вирусоподобных воздействий.

Подсистема защиты информации от утечки по техническим каналам. Подсистема защиты информации от утечки по техническим каналам предназначена для предотвращения утечки конфиденциальной (секретной) информации по техническим каналам и незаконного получения её третьими лицами (разведками).

Эта подсистема включает элементы (рисунок 16.6):

– средства защиты от утечки по каналам ПЭМИН;

– средства защиты от перехвата по каналам связи;

– средства защиты от утечки по оптическим каналам;

– средства защиты от утечки по акустическим каналам;

– средства защиты от утечки по материально-вещественному каналу;

– средства оценки эффективности ТЗИ и ПДТР.

Рисунок 16.6 – Подсистема защиты от утечки по техническим Основными нормативными документами, содержащими требования к указанным подсистемам являются:

– Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР);

– Специальные требования и рекомендации по технической защите конфиденциальной информации ( СТР-К).

Подсистема противодействия техническим разведкам (ПДТР). Подсистема ПДТР – предназначена для скрытия объектов защиты, его отдельных характеристик, свойств, навязывания разведкам ложного представления о состоянии, возможностях или предназначении защищаемого объекта.

Скрытие осуществляется путём проведения технических и организационных мероприятий. Требования по ПДТР определяются нормативными и методическими документами федерального органа исполнительной власти уполномоченного в области технической защиты информации и противодействия техническим разведкам.

Одним из важных требований является требование разработки и введение в действие на предприятии руководства по технической защите информации и противодействию техническим разведкам.

16.3 Автоматизированные системы как основной объект Современная теория и практика показывает, что в качестве основного защищаемого объекта информатизации рассматриваются автоматизированные системы. Это обусловлено тем, что современный документооборот предприятий различных форм собственности невозможен без использования компьютерной техники и информационных технологий. АС являются средством хранения, накопления, обработки и представления информации для её использования. Именно поэтому АС, а следовательно и системы их защиты, получили наибольшее развитие.

В настоящее время АС имеющие СЗИ, в соответствии с требованиями по защите в них информации ограниченного доступа, получили название «Автоматизированные системы в защищённом исполнении».

Автоматизированная система в защищенном исполнении (АСЗИ) – автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

Система защиты информации автоматизированной системы – совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Функции СЗИ АС и требования к АСЗИ как объектам информатизации определены в государственных стандартах системы ГОСТ Р.

Требования по защищённости АСЗИ от НСД определены в специальных нормативных документах.

Приведенные стандарты и нормативные документы являются нормативной и методической основной для всех категорий специалистов в области защиты информации при проектировании, обслуживании, эксплуатации АСЗИ. Они являются обязательными для учреждений, организаций и предприятий, в АС которых хранится, обрабатывается и используется информация, составляющая государственную или служебную тайну, а также имеющих информационные системы персональных данных (в установленных случаях). Они носят рекомендательный характер для других категорий информации ограниченного доступа (сведений конфиденциального характера).

Классификация АС в соответствии с требованиями по защите в них информации от НСД. Классификация АС и требования к каждому классу содержит Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В соответствии с этим документом все АС по условиям обработки разделяются на три группы. Каждая группа содержит несколько классов. Требования по защите от НСД сформулированы применительно к каждому классу. Класс АС зависит от уровня конфиденциальности (секретности) обрабатываемых сведений. Для государственной тайны, служебной тайны требования являются обязательными.

Для других видов тайны они носят рекомендательный характер.

Определяющими признаками, по которым производится группировка автоматизированных систем, являются:

– наличие в АС информации различного уровня конфиденциальности;

– уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

– режим обработки данных в АС: коллективный или индивидуальный.

Группы, отличаются следующими особенностями обработки информации:

– третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.

Эта группа включает 2 класса: ЗА, ЗБ;

– вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Эта группа включает 2 класса: 2А, 2Б;

– первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Содержит 5 классов: 1Д, 1Г, 1В, 1Б, 1А.

Определяющие признаки АС для группирования классов и соответствующие им классы приведены в таблице 16.1.

Таблица 16.1 – Разделение классов АС на группы для определения требований по защите информации группы Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

– управления доступом;

– регистрации и учета;

– криптографической;

– обеспечения целостности.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы соответствующие требования для каждого класса.

Кроме этого документ содержит комплекс организационных мероприятий, включающий разработку соответствующей организационнораспорядительной и эксплуатационной документации.

Поскольку АСЗИ создаются на базе СВТ (ОС, СУБД, ПО), эти СВТ должны иметь класс не ниже указанного в Руководящих документах.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

– не ниже 4 класса – для класса защищенности АС 1В;

– не ниже 3 класса – для класса защищенности АС 1Б;

– не ниже 2 класса – для класса защищенности АС 1А.

Кроме этого к АСЗИ предъявляются требования на отсутствие недекларированных возможностей (программных закладок), требования по антивирусной защите (защите от НСВ), и требования по межсетевой защите с помощью межсетевых экранов, если осуществляется межсетевое взаимодействие и (или) соединение с ИТКС общего пользования.

Рекомендуемые классы защищённости для служебной, коммерческой тайны и персональных данных содержаться в специальных требованиях и рекомендациях по технической защите конфиденциальной информации.

В таблице 16.2 показан результат анализа этих документов по соответствию минимальных значений классов защищенности и уровней контроля ПО, при работе с информацией, имеющей различные грифы конфиденциальности (секретности).

Таблица 16.2 – Минимально необходимые классы защищенности АСЗИ для работы с информацией ограниченного доступа В пределах каждой группы АС, также как для классов АВС, СВТ, МЭ и уровней контроля ПО, соблюдается иерархия требований по защите, в зависимости от ценности (конфиденциальности) информации.

Однако, как видно из таблицы, для каждого уровня секретности может иметь место и межгрупповое изменение требований для АС и АВС. Устанавливается одиннадцать классов АВС.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на две группы, отличающиеся особенностями обработки информации.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности информации и, следовательно, иерархия классов АВС.

Первая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции автоматизированных рабочих мест операторов (пользователей) - рабочих станциях. Группа содержит шесть классов – А1, А2, АЗ, А4, А5 и А6. Самый низкий класс – А6, самый высокий – А1.

Вторая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции предоставления доступа и обслуживания разделяемых ресурсов - серверах. Группа содержит пять классов – Б1, Б2, БЗ, Б4 и Б5. Самый низкий класс – Б5, самый высокий – Б1.

Выбор класса АВС для применения в определенной АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и АВС.

При обработке информации, составляющей государственную тайну, должны применятся АВС классов не ниже А4 и Б4.

При обработке конфиденциальной информации должны применяться АВС классов не ниже А5 и Б5.

Применение АВС совместно с СЗИ НСД может быть использовано для повышения гарантий качества антивирусной защиты за счет специальных функций реализованных в СЗИ НСД.

1. В чём заключается идея принципа комплексности?

2. Какие показатели задают необходимый комплекс мероприятий и средств по защите информации на предприятии?

3. Какие факторы влияют на организацию системы защиты информации на предприятии?

4. Что понимается под комплексной системой защиты информации предприятия (дайте определение)?

5. Какие компоненты в виде подсистем включает в себя КСЗИП?

6. Для чего предназначена подсистема управления КСЗИП, и какие элементы она включает?

7. Для чего предназначена система защиты информации от НСД в АС и ИТКС, и какие элементы она включает?

8. Для чего предназначена подсистема защиты от физического НСД, и какие элементы она включает?

9. Для чего предназначена подсистема защиты от вредоносных программ (подсистема антивирусной защиты) и какие элементы она включает?

10. Для чего предназначена подсистема защиты информации от утечки по техническим каналам, и какие элементы она включает?

11. Для чего предназначена подсистема противодействия техническим разведкам (ПДТР)?

12. По каким признакам классифицируются и группируются по группам АС с учётом требований по защите информации?

13. Какие классы АС определены нормативными документами и как влияет на класс степень конфиденциальности (секретности) информации?

1. Об информации, информационных технологиях и о защите информации [Текст] : федер. закон РФ от 27 июля 2006 года № 149-ФЗ // Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3448.

2. Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности [Текст] :

постановление Правительства РФ от 04 сентября 1995 года № 870 // Собрание законодательства РФ. – 1995. – № 37. – Ст. 3619.

3. Об утверждении перечня сведений конфиденциального характера [Текст] : указ Президента РФ от 6 марта 1997 года. № 188 // Собрание законодательства РФ. – 1997. – № 10. – Ст. 1127.

4. Об утверждении перечня сведений, отнесенных к государственной тайне [Текст] : указ Президента РФ от 30 ноября 1995 года № 1203 // Собрание законодательства РФ. – 1995. – № 49. – Ст. 4775.

5. Доктрина информационной безопасности Российской Федерации [Текст] : утв. Президентом РФ 09.09.2000 года № Пр-1895 // Рос.

газ. – 2000. – № 187.

6. Стратегия развития информационного общества в Российской Федерации [Текст] : утв. Президентом РФ 07.02.2008 года № Пр-212 // Рос. газ. – 2008. – № 34.

7. Стратегия национальной безопасности Российской Федерации до 2020 года [Текст] : указ Президента РФ от 12 мая 2009 года № 537 // Собрание законодательства РФ. – 2009. – № 20. – Ст. 2444.

8. О безопасности [Текст] : федер. закон РФ от 28 декабря года № 390-ФЗ // Собрание законодательства РФ. – 2011. – № 1. – Ст. 2.

9. О государственной тайне [Текст] : закон РФ от 21 июля 1993 г.

№ 5485-1 // Собрание законодательства РФ. – 1997. – № 41. – Ст. 8220О коммерческой тайне [Текст] : федер. закон РФ от 29 июля 2004 года № 98-ФЗ // Собрание законодательства РФ. – 2004. – № 32. – Ст. 3283.

11.О персональных данных [Текст] : федер. закон РФ от 27 июля 2006 года № 152-ФЗ // Собрание законодательства РФ. – 2006. – № (ч. 1). – Ст. 3451.

12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации : руководящий документ :

утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.

текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru / _docs/doc_3_3_004.htm. – Загл. с экрана.

13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации : руководящий документ : утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/_docs/doc_3_3_001.htm. – Загл. с экрана.

14. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ :

утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.

текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/ _docs/doc_3_3_003.htm. – Загл. с экрана.

15. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ : утв. решением председателя Гос. техн. комиссии при Президенте РФ от 25 июля 1997 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/_docs/doc_3_3_006.htm. – Загл. с экрана.

16. Анин, Б. Ю. Защита компьютерной информации [Текст] / Б.

Ю. Анин. – СПб. : БХВ-Санкт-Петербург, 2000. – 384с. : ил.

17. Бардаев, Э. А. Документоведение [Текст] : учебник для студ.

высш. учеб. заведений / Э. А. Бардаев, В. Б. Кравченко. – М. : Академия, 2008. – 304 с.

18. Бачилло, И. Л. Информационное право [Текст] : учебник / И.

Л. Бачилло, В. Н. Лопатин, М. А. Федотов ; под ред. Б. Н. Топорнина. – СПб. : Юридический центр Пресс, 2001. – 789 с.

19. Гайкович, В. Безопасность электронных банковских систем [Текст] / В. Гайкович, А. Першин. – М. : Единая Европа, 1994. – 363 с.

20. Галатенко, В. А. Стандарты информационной безопасности [Текст] / В. А. Галатенко. – М. : ИНТУИТ.ру, 2004. – 328 c. : ил.

21. Герасименко, В. А. Основы защиты информации [Текст] / В.

А. Герасименко, А. А. Малюк. – М. : Инком-бук, 1997. – 432 c.

22. Грибунин, В. Г. Комплексная система защиты информации на предприятии [Текст] : учебник для студ. высш. учеб. заведений / В. Г.

Грибунин, В. В. Чудовский. – М. : Академия, 2008. – 320 с.

23. Дейнес, А. В. Методы и средства защиты компьютерной информации [Текст] : учеб. пособие / А. В. Дейнес, Ю. Н Загинайлов. – Барнаул : Изд-во АлтГТУ, 2002. – 240 с.

24. Загинайлов, Ю. Н. Информационная безопасность в терминах и определениях стандартов защиты информации [Текст] : учеб.-справ.

пособие / Ю. Н. Загинайлов. – Барнаул : Изд-во АлтГТУ, 2002. – 123 с.

25. Зегжда, Д. П. Основы безопасности информационных систем [Текст] / Д. П. Зегжда, А. М. Ивашко. – М. : Горячая линия-Телеком, 2000. – 452 с.

26.Зима, В. М. Безопасность сетевых технологий [Текст] / В. М.

Зима, А. А. Молдовян, Н. А. Молдовян. – СПб. : БХВ-СанктПетербург, 2000. – 320 с.

27. Малюк, А. А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст] : учеб.

пособие для вузов / А. А. Малюк. – М. : Горячая линия-Телеком, 2004.

– 280 с.

28. Меньшаков, Ю. К. Защита объектов и информации от технических средств разведки [Текст] / Ю. К. Меньшаков. – М. : Изд-во РГГУ, 2002 – 400 с.

29. Организационно - правовое обеспечение информационной безопасности [Текст] : учеб. пособие для студ. высш. учеб. заведений / А. А.Стрельцов [и др.] ; под ред. А. А. Стрельцова. – М. : Академия, 2008. – 256 с.

30. Романов, О. А. Организационное обеспечение информационной безопасности [Текст] : учебник для студ. высш. учеб. заведений / О. А. Романов, С. А. Бабин, С. Г. Жданов. – М. : Академия, 2008. – 192 с.

31. Торокин, А. А. Основы инженерно-технической защиты информации [Текст] / А. А. Торокин. – М. : Ось-89, 1998. – 336 с.

32. Фатьянов, А. А. Тайна и право. Основные системы ограничений на доступ к информации в российском праве [Текст] / А. А. Фатьянов. – М. : МИФИ, 1998. – 182 с.

33. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения [Текст]. Введ. 2008–02–01. – М. : Стандартинформ, 2008. – 10 с.

34. ГОСТ Р 51275-2006. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Текст]. Введ.

2008–02–01. – М. : Стандартинформ, 2007. – 7 с.

35. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология.

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования [Текст]. – Введ. 2008–02– 01. – М. : Стандартинформ, 2008. – 48 с.

36. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1 : Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий [Текст]. Введ. 2006–12–19. – М. : Стандартинформ, 2007. – 19 с.

37. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Ч. 3 : Методы менеджмента безопасности информационных технологий [Текст].

Введ. 2007–06–07. – М. : Cтандартинформ, 2007. – 46 с.

38. ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средства обеспечения безопасности. Ч. 4 : Выбор защитных мер [Текст]. Введ. 2007–06–07. – М. : Стандартинформ, 2007. – 63 с.

Юрий Николаевич Загинайлов

ТЕОРИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ

ЗАЩИТЫ ИНФОРМАЦИИ

Печать цифровая. Усл.п.л. 14,65.

Издательство Алтайского государственного технического университета им. И. И. Ползунова, 656038, г. Барнаул, пр-т Ленина, 46, Лицензия на издательскую деятельность Отпечатано в типографии АлтГТУ, 656038, г. Барнаул, пр. Ленина, 46, Лицензия на полиграфическую деятельность ПЛД №28-35 от 15.07.1997 г.