«А. А. Гладких, В. Е. Дементьев БАЗОВЫЕ ПРИНЦИПЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ Учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 Ульяновск 2009 УДК ...»
восстановления и устранения слабостей системы. Здесь перечисляются следующие процедуры: определения механизма вторжения, оценки нанесенного ущерба, определения порядка восстановительных работ, подведения итогов с уяснением уроков после восстановления, определения порядка ведения журнала безопасности.
рекомендуется составить отчет, в котором описывается инцидент и его ликвидация, описываются дополнительные ресурсы: дополнительные и новые методы, устройства и средства защиты информации, библиотека по ОБИ. Здесь администраторов, которая станет ядром службы безопасности предприятия.
В заключение документа описывается порядок пересмотра политики ОБИ и порядок доклада об инцидентах.
Планы, как известно, являются не догмой, а руководством к действию.
Поэтому рассмотрим подробнее основные процедуры обеспечения администраторов по поддержанию нормального функционирования системы, однако так или иначе, они связаны с информационной безопасностью.
К основным процедурам обеспечения безопасности относятся:
проверка системы и средств безопасности; управление паролями;
управление счетами; поддержка пользователей; сопровождение программного обеспечения; конфигурационное управление; резервное копирование;
управление носителями; документирование.
Систематические проверки безопасности – необходимое условие надежного функционирования АС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программноаппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности АС.
обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80 % инцидентов в АС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей.
предотвращению НСД. Администратор отвечает за заведение, контроль длительности действия и ликвидацию счетов, а также осуществляет общий контроль. Важно, чтобы пользователи сами принимали активное участие в проверке безопасности собственных систем, например, отслеживали время использования своего счета. Так же, как и с паролями, администратор должен периодически контролировать легитимность использования счетов путем использования сетевых анализаторов и анализа системных журналов.
Поддержка пользователей состоит в обучении, консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения.
Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки и совершенствованию качества системы безопасности.
Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника.
Первая обязанность администратора – это эксплуатация и научнотехническое сопровождение вверенного ему программного обеспечения.
В связи с этим, администратор должен выполнять следующие действия:
контролировать безопасность вычислительного процесса с целью выявления компьютерных вирусов, сбоев и отказов функционирования программ и запуска неавторизованных программ и процессов;
(неавторизованную модификацию) на предмет выявления программных закладок, недокументированных функций и других программных дефектов;
обеспечивать восстановление программ с эталонных копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения.
обеспечивает функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки в конфигурации систем являются конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности АС.
Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями. Поэтому на практике нестандартное конфигурирование, как правило, используют для экранирующих систем - для исключения «стандартных» атак. Конфигурации внутренних систем, расположенных за межсетевым экраном, делают стандартными.
работоспособности системы на случай порчи или утраты информационнопрограммного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разумеется, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого стихийного бедствия и действия злоумышленника.
Управление носителями включает процедуры по их хранению, учету, выдаче, контролю правильности использования и уничтожения носителей.
Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями.
Вся деятельность по безопасности отягощена документированием.
Система документации очень разнообразна: от идеологии фирмы и конструкторской документации до журнала выдачи магнитных носителей и учета времени работы. Основное внимание в документировании уделяется вопросам сбора, выдачи и хранения документов. Важно выделить документы, действительно важные для безопасности системы. Последнее время наметилась тенденция в реализации безбумажной технологии – создание электронных архивов документов администратора безопасности. Однако следует знать, что в России такие документы пока не имеют юридической силы.
Контрольные вопросы к главе 1. Какие меры обеспечения информационной безопасности первичны относительно друг друга: организационные или программнотехнические?
2. Что следует понимать под политикой безопасности?
3. Основные цели проведения политики безопасности в вычислительных 4. Что понимается под процедурой анализа рисков при обеспечении информационной безопасности?
5. Основные составляющие анализа рисков?
4. ЗАКОНОДАТЕЛЬНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. Информационная безопасность Российской Федерации Наряду с политической, экономической, военной, социальной и экологической безопасностью составной частью национальной безопасности Российской Федерации является информационная безопасность.понимается состояние защищенности национальных интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
информационных ресурсов и информационной инфраструктуры объекта защиты.
Совокупность хранимой, обрабатываемой и передаваемой информации, используемой для обеспечения процессов управления, называют информационным ресурсом.
К информационным ресурсам относятся:
• информационные ресурсы предприятий оборонного комплекса, содержащие сведения об основных направлениях развития потенциале, об объемах поставок и запасах стратегических видов • информационное обеспечение систем управления и связи;
• информация о фундаментальных и прикладных НИР, имеющих государственное значение и др.
информационных подсистем, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации.
Информационная инфраструктура включает:
• информационную инфраструктуру центральных, местных органов государственного управления, научно-исследовательских занимающихся оборонной проблематикой;
автоматических систем управления и связи.
Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее. Угрозы информационной безопасности Российской Федерации подразделяются на внешние и внутренние.
Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения, являются:
• все виды разведывательной деятельности зарубежных государств;
радиоэлектронная борьба, проникновение в компьютерные сети);
информационно-психологического воздействия;
военных структур, направленная против интересов Российской Федерации в сфере обороны.
К внутренним угрозам, которые будут представлять особую опасность в условиях обострения военно-политической обстановки, относятся:
хранения и передачи информации, находящейся в штабах и учреждениях силовых структур Российской Федерации, на предприятиях оборонного комплекса;
информационных и телекоммуникационных систем специального телекоммуникационных систем специального назначения;
подрывающая престиж силовых структур Российской Федерации • нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов.
информационных и телекоммуникационных средств и систем относятся:
• противоправные сбор и использование информации;
• нарушения технологии обработки информации;
• внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на информационно-телекоммуникационных систем, в том числе систем защиты информации;
• уничтожение, повреждение, радиоэлектронное подавление или телекоммуникации и связи;
автоматизированных систем обработки и передачи информации;
• компрометация ключей и средств криптографической защиты • утечка информации по техническим каналам;
перехвата информации, в технические средства обработки, хранения и передачи информации по каналам связи, а также в предприятий, учреждений и организаций независимо от формы • уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
• перехват информации в сетях передачи данных и на линиях связи, информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной • несанкционированный доступ к информации, находящейся в Основными направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации являются:
безопасности и определение соответствующих практических • проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники;
• постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения;
• совершенствование структуры функциональных органов системы, координация их взаимодействия.
Оценка состояния информационной безопасности базируется на анализе источников угроз (потенциальной возможности нарушения защиты).
Деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, называют защитой информации. Объектом защиты является информация или носитель информации, или информационный процесс, которые нужно защищать.
Защита информации организуется по трем направлениям: от утечки, от несанкционированного воздействия и от непреднамеренного воздействия (см. рис. 4.1).
От утечки От несанкционированного доступа деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.
Защита информации от разглашения направлена на предотвращение несанкционированного доведения ее до потребителя, не имеющего права доступа к этой информации.
Защита информации от несанкционированного доступа направлена на предотвращение получения информации заинтересованным субъектом собственником, владельцем информации прав или правил доступа к информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо.
Защита информации от технической разведки направлена на технических средств.
несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением приводящего к ее искажению, уничтожению, блокированию доступа к функционирования носителя информации.
Третье направление – защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя природных явлений или иных мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате уничтожению или сбою функционирования носителя информации.
Организовать защиту информации – значит создать систему защиты информации, а также разработать мероприятия по защите и контролю эффективности защиты информации (см. рис. 4.2).
Средство защиты эффективности и системы управления Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации [18-23].
Государственную систему защиты информации образуют:
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ее центральный аппарат;
• ФСБ, МО, СВР, МВД, их структурные подразделения по защите информации органов государственной власти;
• специальные центры ФСТЭК России;
• организации по защите информации органов государственной • головные и ведущие научно-исследовательские, научнотехнические, проектные и конструкторские учреждения;
подразделения по защите информации;
• предприятия, специализирующиеся на проведении работ в области специалистов в области защиты информации.
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию и контрольные функции в области государственной безопасности по вопросам:
• обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
• противодействия иностранным техническим разведкам;
• обеспечения защиты информации, содержащей государственную тайну, некриптографическими способами;
• предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней;
• предотвращения специальных воздействий на информацию (ее носители) с целью ее добывания, уничтожения, искажения и Руководство деятельностью ФСТЭК России осуществляет президент РФ.
Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти и их заместители.
В органе государственной власти могут создаваться технические комиссии, межотраслевые советы.
разрабатывают научные основы и концепции, проекты нормативнотехнических и методических документов по защите информации. На них возлагается разработка и корректировка моделей иностранных технических разведок.
информации, должны получить лицензию на этот вид деятельности. Лицензии выдаются ФСТЭК России, ФСБ, СВР в соответствии с их компетенцией и по представлению органа государственной власти.
Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации.
Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии.
Работы по созданию системы ЗИ проводятся в три этапа (см. рис.
4.3).
На I этапе разрабатывается техническое задание на создание СЗИ:
информации на всех объектах ТСОИ до принятия необходимых • назначаются ответственные за организацию и проведение работ по созданию системы защиты информации;
• определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ;
• проводится анализ возможных технических каналов утечки • разрабатывается перечень защищаемых объектов ТСОИ;
• проводится категорирование ОТСС, а также ВП;
• определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;
• оцениваются возможности средств ИТР и других источников специализированных предприятий для создания системы защиты • разрабатывается техническое задание (ТЗ) на создание СЗИ.
Разработка технических проектов на установку и монтаж ТСОИ производится проектными организациями, имеющими лицензию ФСТЭК.
• разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с • определяется состав серийно выпускаемых в защищенном информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств.
На III этапе осуществляются:
• проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях;
• размещение и монтаж технических средств, входящих в состав • разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) • приемосдаточные испытания системы защиты информации по результатам ее опытной эксплуатации;
• аттестация объектов ТСОИ по требованиям защиты информации.
Вводится разрешение на обработку секретной информации на объектах ТСОИ, на которые получены аттестаты.
Предпроектный Экспертиза защищенности информационных ресурсов этап (обследование объекта, анализ исходных данных) Проектирование системы ЗИ Ввод в действие системы ЗИ Аттестация информационной системы Ввод системы ЗИ Рис. 4.3. Этапы построения системы защиты информации 4.3. Основные организационно-технические мероприятия Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:
• государственное лицензирование деятельности предприятий в области защиты информации;
• аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую • сертификация систем защиты информации;
• категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой Последовательность и содержание организации комплексной защиты информации представлена на рис. 4.4.
К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:
• введение территориальных, частотных, энергетических, эксплуатации технических средств, подлежащих защите;
• создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
• разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при информатизации, систем и средств автоматизации и связи.
ОРГАНИЗАЦИЯ КЗИ
Условия размещения Условия категорированияПЕРИОДИЧЕСКИЙ КОНТРОЛЬ
СОСТОЯНИЯ КЗИ
Комиссии Рис. 4.4. Примерная схема контроля защиты информации 4.3.1. Лицензирование в области защиты информации деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г.№ 1418 «О лицензировании отдельных видов деятельности» (в ред.
Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).
Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.
Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования:
производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.
Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:
• государственные органы по лицензированию;
• лицензионные центры;
• предприятия-заявители.
Государственные органы по лицензированию:
• организуют обязательное государственное лицензирование деятельности предприятий;
• выдают государственные лицензии предприятиям-заявителям;
• согласовывают составы экспертных комиссий, представляемые лицензионными центрами;
• осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.
Лицензионные центры:
• формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;
• планируют и проводят работы по экспертизе предприятийзаявителей;
• контролируют полноту и качество выполненных лицензиатами Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.
Лицензированию ФСТЭК России подлежат:
• сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;
• аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;
• разработка, производство, реализация, монтаж, наладка, установка, эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;
электромагнитные излучения и наводки (ПЭМИН) ТСОИ;
• проектирование объектов в защищенном исполнении.
На орган по лицензированию возлагается:
• разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;
• осуществление научно-методического руководства лицензионной деятельностью;
• публикация необходимых сведений о системе лицензирования;
• рассмотрение заявлений организаций и воинских частей о выдаче лицензий;
• согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;
• согласование состава экспертных комиссий;
• организация и проведение специальных экспертиз;
• принятие решения о выдаче лицензии;
• выдача лицензий;
• принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;
• ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;
• приобретение, учет и хранение бланков лицензий;
• организация работы аттестационных центров;
• осуществление контроля за полнотой и качеством проводимых В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):
(криптографических) средств;
• деятельность по техническому обслуживанию шифровальных (криптографических) средств;
• предоставление услуг в области шифрования информации;
• разработка, производство шифровальных (криптографических) телекоммуникационных систем;
• деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;
помещениях и технических средствах (за исключением случая, если собственных нужд юридического лица или индивидуального В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:
• Постановление Правительства Российской Федерации от 26.01. Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
• Постановление Правительства Российской Федерации от 31.08. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
• Постановление Правительства Российской Федерации от 23.09. № 691 «Об утверждении положений о лицензировании отдельных (криптографическими) средствами».
В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.
Аттестацией объектов называется комплекс организационнотехнических мероприятий, в результате которых посредством специального документа, «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
«Аттестат соответствия» дает право на обработку секретной информации в течение времени, установленного в «Аттестате соответствия».
ФСТЭК организует обязательную аттестацию объектов информатики, для чего:
• создает системы аттестации и устанавливает правила проведения • устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
• утверждает нормативные и методические документы по аттестации.
Органы по аттестации объектов информатизации аккредитуются ФСТЭК и получают от нее лицензию на право проведения аттестации объектов.
Под объектом информатики понимается отдельное техническое средство или группа технических средств, предназначенные для обработки охраняемой информации, вместе с помещениями, в которых они размещены.
Выделенные помещения (ВП) – это помещения, предназначенные для проведения закрытых мероприятий (совещаний, конференций, заседаний, сборов, переговоров и т. п.), на которых обсуждаются вопросы, содержащие охраняемые сведения.
Обязательной аттестации подлежат объекты, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер.
При аттестации объекта информатики подтверждается его соответствие требованиям по защите информации:
• от несанкционированного доступа, в том числе от компьютерных • утечки за счет побочных электромагнитных излучений и наводок;
• специальных воздействий на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие);
• утечки информации или воздействия на нее за счет специальных Направления испытаний представлены на рис. 4.5.
АНАЛИЗИРУЮТСЯ
Организацион- Состав технических СистемаОПРЕДЕЛЯЕТСЯ ПРОВОДЯТСЯ
ИСПЫТАНИЯ
Правильность подготовки Рис. 4.5. Примерная схема направлений испытаний Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее – продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.
Сертификация осуществляется в целях:
Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;
• содействия потребителям в компетентном выборе продукции;
(продавца, исполнителя);
• контроля безопасности продукции для окружающей среды, жизни, • подтверждения показателей качества продукции, заявленных Сертификация может иметь обязательный и добровольный характер.
деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации.
криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами.
Организационную структуру системы сертификации образуют:
• центральный орган системы сертификации (возглавляет систему сертификации однородных средств защиты информации);
• федеральный орган по сертификации средств защиты информации;
• органы по сертификации средств защиты информации (проводят сертификацию средств защиты информации);
• испытательные лаборатории (проводят сертификационные испытания средств защиты информации);
• заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).
Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты – наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6).
Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия недекларированных производства) средств защиты информации по уровню контроля возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7).
Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.
информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8).
Межсетевой экран – локальное (однокомпонентное) или функциональнораспределенное средство (комплекс), реализующее контроль за информацией, автоматизированной системы, и обеспечивающее защиту автоматизированной совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы).
4.3.4. Категорирование защищаемой информации Документированная информация категории ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию.
отнесенные к государственной тайне.
Государственной тайной называют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.
Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведении: особой важности, совершенно секретно и секретно. Грифом секретности называют реквизиты (проставляются на самом свидетельствующие о степени секретности сведений, содержащихся в их носителе.
К сведениям особой важности относятся сведения в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в указанных областях.
Совершенно секретными сведениями называются сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.
государственную тайну, распространение которых может нанести ущерб внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной деятельности.
законодательством Российской Федерации.
коммерческой, судебно-следственной, профессиональной, производственной.
обстоятельствах частной жизни гражданина), позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке.
Служебной тайной называют защищаемые сведения, не являющиеся государственной тайной, несанкционированное распространение которых служащим, которому эти сведения были доверены в связи с исполнением им должностных обязанностей, может нанести ущерб органам государственной власти, государственным предприятиям, учреждениям, организациям или нарушить их функционирование.
К коммерческой тайне относятся сведения, содержащие действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К ней нет свободного доступа на законном основании, и обладатель информации принимает меры по охране ее конфиденциальности.
сведения, составляющие тайну следствия и судопроизводства.
деятельностью, доступ к которым ограничен законами (врачебными, нотариальными, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений).
Производственная конфиденциальная информация содержит сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Категорированием защищаемой информации называют установление градации важности информации.
В зависимости от степени секретности обрабатываемой информации объекты ВТ и выделенные помещения также категорируются.
При определении категорий объектов информатики технические средства и системы могут быть составной частью стационарных или подвижных объектов. В пределах одной контролируемой зоны могут располагаться несколько объектов, в том числе имеющих разные категории. Категория объекта определяется высшим грифом обрабатываемой информации.
При категорировании учитывается не только степень секретности обрабатываемой информации, но и условия расположения объектов – особые или обычные.
Условия расположения считаются особыми, если объект информатики расположен на удалении менее 100 м от учреждений иностранных государств (посольств, консульств, миссий, постоянных представительств иностранных государств, офисов иностранных и совместных с инофирмами предприятий, экстерриториальностью).
Если объект информатики расположен на расстоянии более 100 м от учреждений иностранных государств, то условия расположения считаются обычными.
К первой категории относят объекты информатики, где обрабатывается информация особой важности, независимо от условий их расположения, а также совершенно секретная информация при расположении объектов ВТ и выделенных помещений в особых условиях.
Объекты ВТ, где обрабатывается информация с грифом «совершенно секретно» при обычных условиях расположения и «секретно» в особых условиях, относятся ко второй категории.
Если объект ВТ расположен в обычных условиях и на объекте обрабатывается информация с грифом «секретно», то объект ВТ относится к третьей категории.
По требованиям обеспечения защиты информации объекты органов управления, военные и промышленные объекты делятся на 3 категории:
эксплуатации которых необходимо сокрытие или искажение информации об их местоположении, предназначении или профиле • вторая – объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также информации о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения и военной техники или о производствах и технологиях, подлежащих защите;
• третья – объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также предприятия, проводящие в инициативном порядке и на основе самофинансирования научно-исследовательские и опытноконструкторские работы, необходимость защиты информации о которых может появиться в ходе проводимых работ.
Контрольные вопросы к главе 1. Что понимается под информационной безопасностью Российской Федерации?
2. Что понимается под информационной сферой?
3. Дайте понятие информационного ресурса.
4. Что понимается под информационной инфраструктурой?
5. Что понимается под внутренними и внешними угрозами информационной безопасности?
6. Что следует понимать под объектом защиты информации?
7. Назовите основные направления защиты информации.
8. Перечислите основные элементы схемы защиты информации?
9. Какие структуры обеспечивают государственную систему защиты информации?
10. Назовите последовательность создания системы защиты информации?
11. Основные элементы схемы контроля системы защиты информации?
12. Назовите порядок лицензирования системы защиты информации предприятия?
13. Что понимается под аттестацией объектов информации?
14. Что понимается под сертификацией средств защиты информации?
15. Как определяется категория защищаемой информации?
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Аксен, Б. А. Электронные системы расчетов в Internet: от реальной витрины к виртуальной / Б. А. Аксен // Конфидент. – 1996. – № 6. – С. 43-48.2. Андерсон, P. UEPS – электронный бумажник второго поколения /Р. Адерсон // Конфидент. – 1997. – № 1. – С. 49-53.
3. Андрианов, В. В. Защита авторства, безотказности и целостности электронных документов / В. В. Андрианов, В. Г. Калинский, Л. Н. Сапегин // Конфидент. – 1997. – № 1. – С. 80-84.
4. Анин, Б. Р. О шифровании и дешифровании / Б. Р. Анин // Конфидент.
– 1997. – № 1. – С. 71-79.
5. Аснис, И. Л. Краткий обзор криптосистем с открытым ключом / И. Л.
Аснис, С. В. Федоренко, К. Б. Шабунов // Защита информации. – 1994. – № 2.
– С. 35-43.
6. Балакирский, В. Б. Безопасность электронных платежей / В. Б.
Балакирский // Конфидент. – 1996. – № 5. – С. 47-53.
7. Балакирский, В. Б. Принципы квантовой криптографии / В. Б.
Балакирский, В. И. Коржик, Д. В. Кушнир // Защита информации. – 1995. – № 3. – С. 43-51.
8. Беззубцев, О. Е. О лицензировании и сертификации в области защиты информации http://www.jetinfo/ru/1997/4/1/articlel/4/1997.html 9. Биркгоф, Г. Современная прикладная алгебра : Пер. с англ./ Г. Биркгоф, Т. Барти. – М. Мир, 1976. – 400 с.
10. Гайкович, В. Компьютерная безопасность: заметки о текущем состоянии дел / В. Гайкович // Банковские технологии. – 1997.- Июнь. – С.56Галатенко, В. А. Основы информационной безопасности: учебное пособие / В. А. Галатенко; под ред. академика РАН В. Б. Бетелина, – 4-е изд. – М.: Интернет-Университет Информационных технолгий; БИНОМ. Лаборатория знаний, 2008. – 205 с.
12. Герасименко, В. А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы / В. А. Герасименко // Зарубежная радиоэлектроника. – 1993. – № 3. – С. 3-21.
13. Дергалин, Н. Л. Практика применения паролей / Н. Л. Дергалин // Защита информации. – 1995. – № 3. – С. 25-27.
14. Мельников, В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика; Электроинформ, 1997. – 367 с.
15. Оценка безопасности информационных технологий / А. П. Трубачев, И. А. Семичев, В. Н. Шакунов и др. – М.: СИП РИА, 2001. – 388 с.: ил.
16. Шеннон, К. Э. Теория связи в секретных системах / К. Э. Шеннон // Работы по теории информации и кибернетике –М.: ИЛ, 1963.-С.243-332.
17. Ященко, В. В. Введение в криптографию / Под общей ред. В. В.
Ященко. – СПб.: Питер, 2001. – 288 с.: ил http://www.gov.ru/ 19. Web-сервер Совета безопасности РФ. http://www.scrf.gov.ru/ 20. Web-сервер Федерального агентства правительственной связи и информации при Президенте Российской Федерации. http://www.fagci.ru/ 21. Web-сервер Государственной технической комиссии при Президенте Российской Федерации. http://www.infotecs.ru/gtc/ 22. Web-сервер подразделения по выявлению и пресечению преступлений, совершаемых с использованием поддельных кредитных карт, и преступлений, совершаемых путем несанкционированного доступа в компьютерные сети и баз данных. http://www.cyberpolice.ru/ 23. Web-сервер Федеральной службы по таможенному и экспортному контролю http://www.fstec.ru/
СОДЕРЖАНИЕ
Введение1.1. Вычислительная сеть- как объект исследования
1.2. Структура информационного противоборства
1.4. Вероятностная модель несанкционированных действий на информационно-расчетный комплекс
1.5. Существующие подходы к повышению уровня защищенности вычислительных сетей
1.6. Механизм функционирования обманных систем в системе защиты информации в вычислительных сетях
2. Программно-аппаратные средства обеспечения информационной безопасности
2.1. Антивирусные средства
2.1.1. Защита от известных вирусов
2.1.2. Защита от неизвестных вирусов
2.1.3. Защита от проявлений вирусов
2.2.1. Общие сведения о криптографии
2.2.2. Предмет криптографии
2.2.3. Свойства источника сообщений
2.2.4. Свойства схемы наложения шифра
2.2.5. Свойства источника ключа
2.2.6. Примеры шифрования
2.2.7. Новые направления
2.2.8. Электронно-цифровая подпись
2.3. Идентификация и аутентификация
2.4. Разграничение доступа
2.5. Регистрация и аудит
Контрольные вопросы к главе 2……………………………………………… 3. Административный уровень обеспечения информационной безопасности 3.1. Разработка политики безопасности
3.2. Проведение анализа риска
3.2.1. Основные этапы анализа риска
3.2.2. Выбор и проверка защитных мер
3.3 Планирование мер обеспечения информационной безопасности........... 3.3.1. План защиты
3.3.2. План обеспечения непрерывной работы и восстановления функционирования автоматизированной системы
3.3.3. Реализация планов
Контрольные вопросы к главе 3………………………………………….. 4. Законодательно-правовое обеспечение информационной безопасности.... 4.1. Информационная безопасность Российской Федерации
4.2. Система защиты информации
4.3. Основные организационно-технических мероприятия по защите информации
4.3.1 Лицензирование в области защиты информации
4.3.2 Аттестация объектов информации
4.3.3 Сертификация
4.3.4 Категорирование защищаемой информации
Контрольные вопросы к главе 4………………………………………….. Библиографический список
ГЛАДКИХ Анатолий Афанасьевич ДЕМЕНТЬЕВ Виталий Евгеньевич
БАЗОВЫЕ ПРИНЦИПЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ
Подписано в печать 25.06ю2009. Формат 60х84/ Усл. печ. л. 10,00 Тираж 150 экз. Заказ Ульяновский государственный технический университет 432027, Ульяновск, Северный Венец, д. 32.Типография УлГТУ, 432027, Ульяновск, Северный Венец, д. 32.