Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах
Скачать 3.95 Mb.
|
| Основы информационной безопасности СОДЕРЖАНИЕ Введение Раздел 1. Основные понятия и задачи информационной безопасности. Раздел 2. Понятие национальной безопасности, виды безопасности. Информационная безопасность РФ. Раздел 3. Международная, национальная и ведомственная нормативная правовая база в области информационной безопасности. Раздел 4. Угрозы и уязвимости информационной безопасности. Раздел 5 Стандарты информационной безопасности. Раздел 6. Меры и средства защиты информации (Меры контроля) Литература Введение Курс с названием «Основы информационной безопасности» (Information Security) входит в целый ряд государственных образовательных стандартов по различным специальностям, например: 090102 – «Компьютерная безопасность», 090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 – «Информационная безопасность телекоммуникационных систем» и других. Тематика курса разрабатывается многими авторами, ими к настоящему времени подготовлено достаточно много книг, в том числе и учебных пособий. Обилие этих книг говорит об огромной величине рассматриваемой области, ее постоянном изменении и увеличении. Актуальность тематики обеспечена высокой динамикой развития информационных технологий, и большой зависимостью их от обеспечения информационной безопасности. В качестве основы для курса были выбраны следующие книги. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах – М.: Горячая линия-телеком, 2001г.,-148 с. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности. Учебное пособие для вузов, М.: Горячая линия – Телеком, 2006.- 544 с. Галатенко В.А. Основы информационной безопасности. Курс лекций. - М.: ИНТУИТ. РУ, 2006г. – 205 с. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты: учебное пособие. – М.: Гелиос АРВ, 2006.- 528 стр. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учебн. Пособие.- М.: ИД «ФОРУМ»: ИНФРА-М,2008.-416 с. Все книги написаны известными специалистами в области информационной безопасности и во многом основаны на передовом зарубежном и отечественном опыте. Однако, даже за прошедшее время с момента выхода книг, произошли существенные изменения в данной области, например, вышли новые стандарты и рекомендации по вопросам информационной безопасности и новым технологиям, приняты новые законы и другие акты. В связи с этим должно быть переработано и дополнено содержание всех этих книг и курса на их основе. По-видимому, в последующем также надо будет учесть и процесс гармонизации международных и отечественных стандартов, особенности новых отраслевых стандартов. Данный курс является основой для изучение других курсов, таких как «Современная прикладная криптография», «Управление информационными рисками», «Защита информации с использованием интеллектуальных карт», в которых должны быть расширены и углублены соответствующие разделы данного курса. В настоящее время приобрело популярность получение международных сертификатов путем сдачи соответствующих квалификационных экзаменов. Одними из наиболее признанных являются сертификаты CISA и CISSP, выдаваемые Международным Информационным Консорциумом по Сертификации Защиты Систем ( Information Security Certification Consortium (ISC)2 - www.isc2.org ). Содержание курса должно учитывать требования и соответствующие разделы программ этих экзаменов, чтобы в последующем позволить студентам сдать данные экзамены без больших дополнительных усилий. Отличительной особенностью данного курса должно является привлечение банковской тематики для демонстрации основных понятий и положений информационной безопасности. В настоящее время в России идет процесс формирования системы требований информационной безопасности для организаций банковской системы, созданы несколько стандартов, система сертификации, методика проверки требований. Конечно, при этом использовался зарубежный опыт, но отечественные разработчики и специалисты по информационной безопасности внесли много нового в этот процесс. Раздел 1. Основные понятия и задачи информационной безопасности Изучению основ информационной безопасности должно предшествовать изучение курса информатики, где объясняется сам термин «информации»(от латинского informatio— «научение», «сведение», «оповещение»). В целях замкнутости изложения напомним некоторые сведения, которые будут использоваться далее. Что такое «информация»? Ответить достаточно сложно. На обще лексическом, бытовом уровне понятие «информация» обычно толкуется как «сообщение, осведомляющее о положении дел, о состоянии чего-нибудь». Заметим, что и в нормативных правовых актах чаще всего данное понятие употребляется именно в этом смысле. [Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. — М., 1992. С. 255.] Норберт Винер (1894-1964) определял информацию как «обозначение содержания, черпаемого нами из внешнего мира в процессе приспособления к нему и приведения в соответствие с ним нашего мышления». Он же говорил, что «информация есть информация, а не материя и не энергия». Можно встретить и более глубокий подход к информации, как «опосредованный формами связи результат отражения изменяемого объекта изменяющимся с целью сохранения их системной целостности» (см. например, Википедия). Информация первична и содержательна - это категория, поэтому в категориальный аппарат науки она вводится описанием, через близкие категории: материя, система, структура, отражение. С информацией связаны понятия – знание, данные, сигналы, сообщения, смысл, семантика. Не следует путать категорию информация с понятием знание. Знание определяется через категорию информация. В материальном мире человека информация материализуется через свой носитель и благодаря ему существует. Сущность материального мира предстаёт перед исследователем в единстве формы и содержания. Передаётся информация через носитель. Материальный носитель придаёт информации форму. В процессе формообразования производится смена носителя информации. В ХХ веке слово «информация» стало термином во множестве научных областей, получив особые для них определения и толкования. Чтобы зафиксировать термин для дальнейшего обращения с ним воспользуемся Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Итак, «информация - сведения (сообщения, данные) независимо от формы их представления». В общем, это согласуется с трактовкой информации в справочной философской литературе последнего времени как «одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.». Интересно отметить, что в отмененном Законе от 1995 г. «Об информации, информатизации и защите информации» указывалось, что «информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Как видим, старое определение хуже, перечисление страдает существенной неполнотой. Приведем и некоторые другие понятия, связанные с термином «информация», из нового закона. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Доступ к информации - возможность получения информации и ее использования. Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети. (иногда можно встретить термин «компьютерная информация» - информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ [Комментарии к УК РФ. Под ред. Скуратова Ю.И. и Лебедева В.М. М.: НОРМА, 1996-832 с.]) Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Особо можно выделить понятие Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. В качестве комментария можно заметить, что это только часть возможных требований или свойств, которые возможны. Например, как будет подчеркнуто далее, можно выделить «целостность информации», «доступность информации» и другое. Продолжая перечень понятий, выделим из [ГОСТ Р 50922 -96 ] понятие: защищаемая информация – «информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации». Однако теперь по № 149-ФЗ [ Об И, ИТ и о ЗИ] к собственнику информации добавился еще и обладатель информации, защищающий ее ограничением доступа, как сказано в определении. В новом законе № 149-ФЗ понятие защищаемая информация отсутствует, хотя в старом законе оно было, и говорилось, что «защищаемая информация – любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу». По-видимому, решили убрать ограничение, связанное с документированностью информации. Согласно ФЗ № 149-ФЗ, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. «Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации». Кроме того, по закону, информация в зависимости от порядка предоставления или распространения подразделяется на информацию: 1) свободно распространяемую; 2) предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) подлежащую предоставлению или распространению в соответствии с федеральными законами; 4) ограниченную или запрещенную для распространения в Российской Федерации. Закон РФ «О средствах массовой информации», принятый в 1991 году, определяет понятие «массовая информация», как «предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы». Хотя в новом законе ФЗ № 149-ФЗ нет определения «защищаемая информация», в нем есть определение «защиты информации». (Защиту информации иногда путают с информационной безопасностью.) «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа, 3) реализацию права на доступ к информации». Это определение, конечно, требует комментария и сравнения с другими определениями из других документов. В п.1 есть перечисление неправомерных действий, хотя неполное, но информативное. П. 2 касается только конфиденциальности, хотя можно потребовать и целостность и доступность и другое. П. 3 некоторым образом все же касается обеспечения доступности информации. Забегая вперед можно сказать, что это определение в своих пунктах фактически перефразирует требования по целостности, конфиденциальности и доступности информации, о которых будет сказано далее. Для сравнения приведем ряд других определений, собранных в словаре Парфенова В.И., который вышел в 2003 году. Защита информации - 1) деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ Р 50922-96 ЗИ. Основные термины и определения]; 2) все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера [Указ Президента РФ №1268 от 26 авг 1996]; 3) комплекс мероприятий проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, изменения, модификации (подделки), несанкционированного копирования, блокирования информации [Положение о госуд. Лицензировании в обл. ЗИ от 27 апр. 1994]; 4) организационные, программные и технические методы и средства, направленные на удовлетворение ограничений, установленных для типов данных или экземпляров типов данных в системе обработки данных [Толк. Словарь по информатике, 1991]; Далее отдельно будет рассмотрено понятие «количества информации», которое изучалось и оценивалось многими исследователями (Шеннон, Винера, Бриллюэн и др.). Например, К.Шеннон определял количество информации в сообщении, как «меру неопределенности, которую оно устраняет для получателя». Отсюда путь через неопределенность, случайные величины, энтропию. К. Шеннон предложил единицу измерения информации — бит. Количество информации описывается формулой вида: H = - i=1n pi log pi где р_i — вероятность появления i-го сигнала; n — количество возможных сигналов. (В обыденном понимании — чем неожиданнее новость, тем больше ее информативность.) Колмогоров А.Н. в работе «Три подхода к определению понятия "Количество информации"» сформулировал три способа определения количества информации: комбинаторный, вероятностный и алгоритмический. [Новое в жизни, науке, технике. Сер. "Математика, кибернетика", N1, 1991, С.24-29 или "Проблемы передачи информации", N1, 1965, С.1-7]. Однако математическая теория информации не охватывает всего богатства содержания информации, поскольку она, прежде всего, абстрагируется от содержательной (семантической) стороны сообщения. С точки зрения этой теории, «совокупность 100 букв, выбранных случайным образом, фраза в 100 слов из газеты, пьесы Шекспира или теорема Эйнштейна имеют в точности одинаковое количество информации». Тем не менее глубокие теоретические и практические результаты были получены, например, в области секретной связи. Актуальными являются сегодня и понятия «информационная инфраструктура», «критические сегменты информационной инфраструктуры» и др. Предметом защиты является не только информация. В настоящее время в связи с рассматриваемой областью говорят об активах (ресурсах), а информация рассматривается как их часть. В ряде документов активы или ресурсы (assets) – это «все, что имеет ценность для организации» [См. например, ISO/IEC 13335-1:2004]. Стандарт банка России уточняет это определение. В частности, согласно стандарту СТО БР ИББС 1.0-2006, активы организации банковской системы Российской Федерации: “все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении”. К активам организации (Банка) могут относиться: - банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.); - информационные активы на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение; - банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.); - банковские продукты и услуги. В свою очередь информационные активы делятся на следующие типы: финансово - аналитическая информация; служебная информация; управляющая информация общего и специального назначения; справочная информация; информация операционной и телекоммуникационной среды платежная информация. В качестве одного из важнейших активов также рассматривается репутация организации. В последнее время часто оценивается и так называемый брэнд организации или торговой марки. Все активы организации должны быть идентифицированы и классифицированы удобным и приемлемым для нее образом. Примеры рекомендаций для этого даны в проекте рекомендаций Банка России РС БР ИББС- 2.3-2008. Среди объектов защиты особую роль играют приводимые ниже объекты, определение которым мы приводим в данном разделе. Помимо понятия «информационная система» важно и используются понятия «автоматизированная система», «автоматизированная информационная система» и, в частности, «автоматизированная банковская система». |
Похожие:
 | Учебный план по специальности 09. 05. 01 «Применение и эксплуатация автоматизированных систем специального назначения» предполагает... | | Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних... |
| ... | | Эвм, комплексов, систем и сетей; автоматизированных систем обработки информации и управления; систем автоматизированного проектирования... |
 | При регистрации зор она перешла на статус Несоответствие договору с комментарием | | Тфомс тюменской области объявляет о проведении открытого запроса предложений и в этой связи приглашает юридических лиц и индивидуальных... |
| Изучить основную терминологию, применяемую в автоматизированных банковских системах, познакомиться с основными архитектурными решениями,... | | Ошибка обработки документа Договор №0642 от 01. 01. 2011 (ID=185297): в графике оплаты присутствуют даты прошлых кварталов |
| ... | | Федеральной службой государственной регистрации, кадастра и картографии в автоматизированных системах ведения Единого государственного... |