Тема 1. Понятия и принципы информационных технологий

Нормативные документы и литература по ТЗИ

Система технической защиты информации

Мероприятия по технической защите информации

Средства технической защиты информации

Объекты технической защиты информации

3.3.1. &Защищаемый объект информатизации&: объект информатизации предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности

3.3.2. &Защищаемая информационная система&: информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности

3.3.3. &Защищаемые ресурсы (информационной системы)&: ресурсы, использующиеся в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности

3.3.4. &Защищаемая информационная технология&: информационная технология, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности [1]

3.3.5. &Защищаемые программные средства&: программные средства, используемые в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности

3.3.6. &Защищаемая сеть связи&: сеть связи, используемая при обмене защищаемой информацией с требуемым уровнем ее защищенности

3.4.1. &Техника защиты информации&: средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. [ГОСТ Р 50922-96, статья 20] ¦

3.4.2. &Средство защиты информации от утечки по техническим каналам&: техническое средство, вещество или материал, предназначенные и (или) используемые для защиты информации от утечки по техническим каналам

3.4.3. &Средство защиты информации от несанкционированного доступа&: техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации или ресурсам информационной системы

3.4.4. &Средство защиты информации от несанкционированного воздействия&: техническое, программное или программно-техническое средство, предназначенное для предотвращения несанкционированного воздействия на информацию или ресурсы информационной системы

3.4.5. &Межсетевой экран&: локальное (однокомпонентное) или функционально- распределенное программное (программно- аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы [4]

3.4.6. &Средство поиска закладочных устройств&: техническое средство, предназначенное для поиска закладочных устройств, установленных на объекте информатизации

3.4.7. &Средство контроля эффективности технической защиты информации&: средство измерений, программное средство, вещество и (или) материал, предназначенные и (или) используемые для контроля эффективности технической защиты информации

3.4.8. &Средство обеспечения технической защиты информации&: техническое, программное, программно-техническое средство, используемое и (или) создаваемое для обеспечения технической защиты информации на всех стадиях жизненного цикла защищаемого объекта

3.5.1. &Организационно-технические en Technical мероприятия по обеспечению защиты информации&: safeguards совокупность действий, направленных на применение организационных мер и программно- технических способов защиты информации на объекте информатизации

2. Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

3.5.2. &Политика безопасности (информации en Organizational в организации)&: совокупность документированных security правил, процедур, практических приемов или policy руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности

3.5.3. &Правила разграничения доступа (в информационной системе)&: правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе [1]

3.5.6. &Мониторинг безопасности en Security информации&: постоянное наблюдение за процессом monitoring обеспечения безопасности информации в информационной системе с целью выявления его соответствия требованиям по безопасности информации

3.5.7. &Технический контроль эффективности защиты информации&: контроль эффективностизащиты информации, проводимый с использованием средств контроля.

[ГОСТ Р 50922-96, статья 31

3.5.8. &Организационный контроль эффективности защиты информации&: проверка соответствия полноты и обоснованности мероприятий по защите информации требованиям нормативных документов в области защитыинформации.

[ГОСТ Р 50992-96, статья 30] ¦

3.5.9. &Контроль доступа (в информационной en Access control системе)&: проверка выполнения субъектами доступа установленных правил разграничения доступа в информационной системе

3.5.10. &Санкционирование доступа&; en Authorization #авторизация#: предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ

3.5.11. &Аутентификация (подлинности en Authentication субъекта доступа)&: действия по проверке подлинности субъекта доступа в информационной системе [1]

3.5.12. &Идентификация&: действия en Identification по присвоению субъектам и объектам доступа идентификаторов и (или) действия по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов [1]

Все системы защиты информации появляются из-за необходимости обеспечение ИБ объектов различного назначения. Причиной этого является существование негативной окружающей среды, воздействующей на информационные объекты. В первую очередь защите подлежит информация. Следует отличать информационная безопасность и безопасность информации. Приведем следующие определения.

Информационная безопасность объекта информатизации: состояние защищенности объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств ее обработки.

Безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность Безопасность информации [данных] определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, с несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии

В известных материалах по сути уделяется основное внимание безопасности информации. Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.

Угрозы безопасности информации: совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

На всех этапах жизненного цикла ИС используется классификация угроз.

Таким образом, основная цель создания специалистами классификации угроз - наиболее полная, детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак, и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем.

В мировой практике для поддержания систем ЗИ разработаны классификаторы угроз, которые используются в составе программных продуктов. Такие системы ориентированы на классификацию угроз в ИТ, хотя используемые понятия по результатам негативного воздействия аналогичны угрозам в системах ТЗИ. Например, специалистами фирмы Digital Security России разработана классификация угроз , которая входит в программный (сертифицированный) продукт ГРИФ 2005 Digital Security Office.

Исходя из разработанного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки: источник угрозы - фактор (уязвимость) - угроза (действие) - последствия (атака).

В системе под этими терминами понимается следующее (определения носят конструктивный характер).

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации. Для технической системы в ИТ можно привести следующее определение. Фактор (уязвимость) - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, технических средств, условиями эксплуатации.

Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости). Как видно из определения, атака - это всегда пара "источник - фактор", реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации

Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является "ущерб".

Взаимосвязь, как юридических элементов, при работе системы ЗИ хорошо представлена в стандарте ГОСТ Р ISO/МЭК 15408 -3-2002 (рис. 2.2.).

Рис. 2.2. Взаимосвязь общих понятий безопасности.

Схема достаточно наглядно показывает связи. Приведем основные понятия, из стандартов России.

Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.

Активы: информация или ресурсы, подлежащие защите контрмерами.

Уязвимость (информационной системы), брешь: свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Контрмеры: меры противодействия угрозам безопасности информации.

Риск: сочетание вероятности нанесения ущерба и тяжести этого ущерба.

Источник угрозы безопасности информации: субъект, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Приведенные связи характерны практически для всех ИС и их подсистем. Отметим, что в явном виде здесь не видны каналы утечки информации и функции нападения злоумышленников. Однако очевидно, что фактически уязвимости реализуются через недостаточно защищенные каналы утечки информации.

Более полная схема представлена на рис. 2.3.

Рис.2.3. Взаимосвязь понятий

Атака (при применении информационных технологий): действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы с применением программных и (или) технических средств.

Вторжение (в автоматизированную информационную систему): выявленный факт попытки несанкционированного доступа к ресурсам автоматизированной информационной системы.

Рассмотрим связи понятий

За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Владельцы будут воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельца. К специфическим нарушениям безопасности обычно относят (но не обязательно ими ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателем (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).

Владельцы активов будут анализировать возможные угрозы, чтобы решить, какие из них действительно присущи их среде. В результате анализа определяются риски. Анализ может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня.

Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя между этими составляющими). Но и после введения этих контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск, задавая дополнительные ограничения.

Прежде чем подвергнуть активы опасности воздействия выявленных угроз, их владельцам необходимо убедиться, что предпринятые контрмеры обеспечат адекватное противостояние этим угрозам. Сами владельцы активов не всегда в состоянии судить обо всех аспектах предпринимаемых контрмер и поэтому могут потребовать их оценку.

Для создания уверенности в степени защищенности объекта защиты необходимо регулярно проводить оценку на всех этапах жизненного цикла системы ЗИ. Результатом такой оценки является заключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. В этом заключении устанавливается уровень доверия как результат применения контрмер.

Доверие является той характеристикой контрмер, которая дает основание для уверенности в их надлежащем действии. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска для активов, создаваемого угрозами. На рис. 2.4. иллюстрируется эта взаимосвязь.

Поскольку за активы несут ответственность их владельцы, то им должна быть представлена возможность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами. Для этого требуется, чтобы результаты оценки были правомерными. Следовательно, оценка должна приводить к объективным и повторяемым результатам, что позволит использовать их в качестве свидетельства.

Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо

В системе технической защиты информации (ТЗИ) источники угроз, угрозы, вторжения, атаки должны анализироваться как субъекты окружающей среды, которые могут осуществлять негативное воздействие. Каждый из этих элементов требует отдельного изучения.

Рассмотрим понятия по отдельным элементам.

Одним из основных элементов, с которого должны начинаться анализ, оценка и проектирование системы ТЗИ - источники угроз. Как приводилось ранее - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Одними из основных источников угроз информационной безопасности являются деятельность иностранных разведывательных и специальных служб, преступных сообществ, организаций, групп, формирований и противозаконная деятельность отдельных лиц, направленная на сбор или хищение ценной информации, закрытой для доступа посторонних лиц. Причем в последние годы приоритет в данной сфере деятельности смещается в экономическую область (промышленный (экономический) шпионаж).

Отдельных лиц, которые могут предпринимать негативные действия в ИС и представлять потенциальную угрозу называют злоумышленниками.

Главной причиной возникновения промышленного (экономического) шпионажа является стремление к реализации конкурентного преимущества - важнейшего условия достижения успеха в рыночной экономике. Охота за чужими секретами позволяет компаниям экономить собственные средства на ведение НИОКР и фундаментальные исследования, быть в курсе дел конкурентов, использовать их научно-технические достижения. В условиях ожесточенной конкурентной борьбы на международном рынке масштабы промышленного шпионажа резко возрастают. Западный опыт промышленного шпионажа сегодня активно переносится на территорию России.

Понимание значимости различных угроз привело к выделению некоторых понятий, как самостоятельных. Приведем некоторые из них.

Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.

Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.

Для организации защиты конфиденциальной информации необходимо знать возможности технических средств разведки, промышленного шпионажа, возможного злоумышленника и способы их применения.

Таким образом систему источников угроз можно представить следующим образом (рис.2.5.).

Рис.2.5. Источники угроз

Отметим особую функцию активных источников угроз – функцию добывания информации. Собственно ее назначение – подготовка угроз различными системами.

Понимание важности этой компоненты защиты приводит к тому, что под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки, с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью технических средств разведки разведывательной информация об объекте. Причем под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.

Классификация угроз, методы и средства добывания информации рассматриваются в специально выделенных разделах.

Задачи технической защиты информации

Техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

В условиях рынка проблему защиты информации нельзя решить тотальным закрытием информации, потому что без информации о новой продукции, которая распространяется прежде всего через рекламу, невозможно завоевать рынок. Более того, задачи по защите информации в условиях рынка усложняются, так как информация интересует не только разведку других государств, но и многочисленных конкурентов, а также криминальные элементы. Если ранее о специальной технике добывания информации знал узкий круг сотрудников спецслужб, то в условиях рынка любой гражданин может без особых усилий купить практически любое из выпускаемых за рубежом или в России средство для скрытого добывания информации. И хотя условия свободной продажи технических средств добывания информации ужесточаются, пока существует спрос на них, будет и предложение. Учитывая тенденцию к росту цены информации, потребность в в технических средствах её добывания не уменьшается.

В нашей стране проблемы защиты информации усугубляются ещё и несовершенством законодательной базы по сохранению государственной и коммерческой тайн.

Техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.

2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

3. Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

§ что защищать техническими средствами в данной организации, здании, помещении

§ каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств

§ какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение

§ как организовать и реализовать техническую защиту информации в организации

Без этих знаний защита информации может проводиться в форме круговой обороны (принеограниченных ресурсах) или "латания дыр" в более реальном варианте ограниченности средств.

При организации защиты информации, как и других видов защиты, необходимо также знать и учитывать психологические факторы, влияющие на принятие решения руководителем или любым другим ответственным лицом. Это обусловлено тем, что меры по защите имеют превентивную направленность без достаточно достоверных данных о потенциальных угрозах не вообще, а применительно к конкретной организации. Кроме того, последствия скрытого хищения информации проявляются спустя некоторое время, когда порой бывает достаточно трудно выявить истинную причину ухудшения финансового положения фирмы или появления у конкурента идентичной продукции. Эти факторы не способствуют психологической готовности руководителя на достаточно большие затраты на защиту информации. Тем не менее, мировой опыт организации защиты информации подтверждает, что на информационную безопасность фирмы вынуждены выделять порядка 10-20% от общей прибыли. Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.

Однако, выбор средств защиты информации с ориентацией на рекламные данные чреват крупными ошибками, так как в рекламе фирмы-производители не указывают недостатки и преувеличивают достоинства своей продукции. Нужны более глубокие знания о принципах работы и возможностях тех или иных технических средств защиты информации.

Таким образом, при решении задач защиты информации объективно существует необходимость учёта большого числа различных факторов, что не удаётся, как правило, сделать на основе здравого смысла. Поэтому основы инженерно-технической защиты информации должны содержать как как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач

Принципы технической защиты информации

Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно:

§ непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности

§ активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите

§ скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации

§ целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации

§ комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

§ соответствие уровня защиты ценности информации

§ гибкость защиты

§ многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности

§ многорубежность защиты информации на пути движения злоумышленника или распространения носителя

Первый принцип определяет экономическую целесообразность применения тех или иных средств мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации.

Так как цена информации - величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой. Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимимся требованиями к информационной безопасности.

Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты:
многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной или коммерческой структурой) на так называемые контролоируемые зоны. Типовыми зонами являются:

§ территория занимаемая объектом защиты и ограниченная забором или условной внешней грамницей

§ здание на территории

§ коридор или его часть

§ помещение

§ шкаф, сейф, хранилище

Зоны могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории).

С целью воспрепятствования проникновению злоумышленника в зону на её границе создаются, как правило, один или несколько рубежей защиты.

Рубежи защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения иных носителей, прежде всего, электромагнитных и акустических полей. Например, для защиты акустической информации от прослушивания в помещении может быть установлен рубеж защиты в в иде акустического экрана.

Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит от:

§ расстояния от источника информации (сигнала) до злоумышленника или его средств добывания информации

§ количества и уровня защиты рубежей на пути движения злоумышленника или рапространения иного носителя информации (например, поля)

§ эффективности способов и средств управления допуском людей и автотранспорта в зону

§ мер по защите информации внутри зоны

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное раположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.

Рассмотренные выше принципы относятся к защите информации в целом. При построении системы защиты информации нужно учитывать также следующие принципы:

§ минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации

§ надёжность в работетехнических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии

§ ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности

§ непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии

§ адаптируемость (приспособляемость) системы к изменениям окружающей среды

Смысл указанных принципов очевиден, но следует остановится подробнее на последнем. Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

1. ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. - Введ. 2008-02-01. -М.: Стандартинформ, 2007. - 12 с.

2. ГОСТР 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. - Взамен: ГОСТР 51275-99; введ. 200802-01. -М.: Стандартинформ, 2007. - 6 с.

3. ГОСТ Р ИСО/МЭК13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. - Введ. 2007-06-01. - М.: Стандартин-форм, 2007. - 23 с.

4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - Введ. 2007-01-01. - М.: Стандартин-форм, 2006. - 55 с.

5. Доктрина информационной безопасности Российской Федерации: [утв. Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895] [Электронный ресурс]. - Режим доступа: http://www.scrf.gov.ru/documents/5.html.

6. Защита от несанкционированного доступа к информации. Термины и определения: руководящий документ: утв. решением председателя Гостехкомиссии России от 30 марта 1992 г. [Электронныйресурс]. - Режим доступа: http://www.fstec.ru/_razd/_ispo.htm.

7. Кодекс Российской Федерации об административных правонарушениях: федер. закон от 30 июля 2001 г. № 195-ФЗ: [принят Гос. Думой 20 декабря 2001 г.: одобрен Советом Федерации 26 декабря 2001 г.]. [Электронный ресурс]. - Режим доступа: http://www.rg.ru/2001/12/31/admkodeks-dok.html.

8. Комментарий к Уголовному кодексу Российской Федерации. - 3-е изд., изм. и доп./Под общ. ред. Ю.И.Скуратова, В.М.Лебедева. -М.: Норма-Инфра-М, 2000. - 896 с.

9. О коммерческой тайне: федер. закон от 29 июля 2004 г. № 98-ФЗ: [принят Гос. Думой 9 июля 2004 г.: одобрен Советом Федерации 15 июля 2004 г.]. [Электронныйресурс]. - Режим доступа: http://www.rg.ru/2004/08/05/taina-doc.html.

10. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ: [принят Гос. Думой 8 июля 2006 г.: одобрен Советом Федерации 14 июля 2006 г.]. [Электронныйресурс]. -Режим доступа: http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html

11. Об информации, информационных технологиях и о защите информации: федер. закон от 27 июля 2006 г. № 149-ФЗ: [принят Гос. Думой 8 июля 2006 г.: одобрен Советом Федерации 14 июля 2006 г.]. [Электронный ресурс]. - Режим доступа: http://www.rg.ru/2006/07/29/informacia-dok.html.

12. Перечень сведений конфиденциального характера: утв. Указом Президента РФ от 6 марта 1997 г. № 188. [Электронный ресурс]. - Режим доступа: http://www.fstec.ru/_docs/doc_1_3_008.htm

13. Положение по аттестации объектов информатизации по требованиям безопасности информации: утв. председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. [Электронный ресурс]. - Режим доступа: http://www.fstec.ru/_razd/_ispo.htm.

14. Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности: утв. постановлением Правительства РФ от 4 сентября 1995г. № 870 (с изменениями от 15 января, 22 мая 2008 г.). [Электронный ресурс]. - Режим доступа: http://govportal.garant.ru:8081/SESSION/SungJswow/PILOT/main.html.

15. Техническая защита информации. Основные термины и определения: рекомендации по стандартизации Р 50.1.056-2005: утв. Приказом Ростехрегулирования от 29 декабря 2005 г. № 479-ст. - Введ. 2006-06-01. - М.: Стандартинформ, 2006. - 16 с.

16.ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения;

17. ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты;

18. ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения;

19.ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения;

20. ГОСТ 15971-90. Системы обработки информации. Термины и определения;

21. ГОСТ 16504-81. Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения.

22.ГОСТ Р 50.1.056-2005. Техническая защита информации. Основные термины и определения.

23.Руководящий документ. Защита от несанкционированного доступа информации. Гостехкомиссия к Термины и определении России, 1998 г.

24. ИСО 2382-8.1998 Информационная технология. Словарь. Часть 8. Безопасность

25. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1998 г

26.Федеральный закон Об информации, информатизации и защите от 20.02.1995 № 24-ФЗ информации (в ред. Федерального закона от 10.01.2003 № 15-ФЗ)

27.Федеральный закон О связи от 07.07.2003 № 126-ФЗ

28.Пленум Верховного суда О некоторых вопросах, возникших в связи Российской Федерации. с принятием и введением в действие Постановление Гражданского процессуального кодекса от 20.01.2003 № 2 Российской Федерации

29.Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.

30.Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанксионированного получения информации. –М.:Горячая линия-Телеком. 2010. – 240 с. Ил.

31.Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. Технические средства и методы защиты информации:

Учебник для вузов / – М.: ООО «Издательство Машиностроение», 2009 – 508 с.

32.Торокин А.А. Основы инженерно-технической защиты информации. Учебное пособие. М.: Издательство «Ось-89», 1998 г. — 336 с.

33. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - 436 с.

34.Меньшаков Ю.К. Теоретические основы технических разведок: Учеб. Пособие. Под ред. Ю.Н. Лаврухина. – М.: Изд-во МГТУ им. Н.Э. Баумана, 2008. – 536 с.: ил.

Дата добавления: 2014-01-07; Просмотров: 799; Нарушение авторских прав?; Мы поможем в написании вашей работы!