Безопасность и управление доступом в Информационных системах

Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.

 Глава 1 - Предмет безопасности информации.

 Глава 2 - Объекты информационной безопасности.

 Глава 3 - Потенциальные угрозы безопасности информации в информационных системах.

Раздел 2 - Методы обеспечения безопасности информации в информационных системах

 Глава 1 - Краткий обзор методов обеспечения безопасности информации.

 Глава 2 - Ограничение доступа.

 Глава 3 - Контроль доступа к аппаратуре.

 Глава 4 - Разграничение и контроль доступа к информации в системе.

 Глава 5 - Разделение привилегий на доступ.

 Глава 6 - Идентификация и установление подлинности объекта (субъекта).

 Глава 7 - Криптографическое преобразование информации.

 Глава 8 - Защита информации от утечки за счет побочного электромагнитного излучения и наводок (ПЭМИН).

 Глава 9 - Методы и средства защиты информации от случайных воздействий

 Глава 10 - Методы обеспечения безопасности информации при аварийных ситуациях.

 Глава 11 - Организационные мероприятия по обеспечению безопасности информации.

Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.

 Глава 1 - Концептуальные основы проектирования системы обеспечения безопасности информации в информационных системах.

 Глава 2 - Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.

Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки

 Глава 1 - Исходные предпосылки.

 Глава 2 - Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации.

 Глава 3 - Система опознания и разграничения доступа к информации (СОРДИ).

 Глава 4 - Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (ПНСД) при вводе, выводе и транспортировке.

 Глава 5 - Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы.

 Глава 6 - Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем.

Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.

 Глава 1 - Анализ объектов обеспечения безопасности информации и постановка задачи.

 Глава 2 - Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления.

 Глава 3 - Эталонная модель открытых систем.

 Глава 4 - Механизмы безопасности информации в трактах передачи данных и в каналах связи.

 Глава 5 - Рекомендации по безопасности информации в телекоммуникационных каналах связи.

 Глава 6 - Система безопасности информации в трактах передачи данных автоматизированной системы управления.

 Глава 7 - Управление доступом к информации в сети передачи и в автоматизированной системе управления.

 Глава 8 - Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления.

Раздел 6 - Оценка уровня безопасности информации в информационных системах.

 Глава 1 - Анализ методов оценки защищенности информации.

 Глава 2 - Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе.

 Глава 3 - Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации.

 Глава 4 - Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления.

Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.

 Глава 1 - Безопасность информации в персональных компьютерах.

 Глава 2 - Обеспечение безопасности информации в локальных сетях.

Раздел 8 - Организационно-правовое обеспечение информационной безопасности.

 Глава 1 - Информация как объект права собственности.

 Глава 2 - Информация как коммерческая тайна.

 Глава 3 - Персональные данные.

Аннотация

Предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами.

Для студентов среднего профессионального образования и бакалавров, специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управлении. Может быть рекомендована разработчикам, кругу пользователей и владельцев информационных систем, государственным и военным организациям, различным финансовым и корпоративным структурам.

Предисловие

Развитие применения компьютерной техники и информационных систем в экономике, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности является определяющим направлением информатизации и развития общества в целом. Эффект, достигаемый за счет применения компьютерной техники, возрастает при увеличении масштабов обработки информации, то есть концентрации по возможности больших объемов информации и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные компьютерные сети и автоматизированные системы управления.

Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате информации, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя (злоумышленника).

Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной (персональной). Защите должна подлежать не только секретная информация. Модификация несекретных информации может привести к утечке секретных либо к не обнаруженному получателем приему ложных информации. Разрушение или исчезновение накопленных с большим трудом информации может привести к невосполнимой их утрате.

В зависимости от сферы и масштабов применения той или иной системы обработки информации потеря или утечка ее может привести к различной тяжести последствиям: от невинных шуток до исключительно больших потерь экономического и политического характера.

В связи с высокими темпами информатизации общества проблема безопасности информации весьма актуальна и останется таковой навсегда.

Специалисты в данной области без работы не останутся.

Началом работы по построению системы информационной безопасности и управлением доступом к информации в любой организации начинается с разработки концепции.

Ключевыми моментами в разработке концепции являются четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз.

Предметом защиты принято считать "информационные ресурсы". Это понятие имеет множественный характер и представляет собой множество предметов защиты. Границы этого множества никем и ничем не определены и устанавливаются разработчиком информационной системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяются множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в совокупности должны образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации.

Понятие информационный ресурс более емкое и включает в себя понятие информации. Поэтому специалисту, разрабатывающему и реализующему данную систему надо постараться не отодвинуть в тень основной предмет защиты – информацию.

Таким образом основными положениями при разработке концепции обеспечения безопасности информации и управления доступом в информационных системах организации должны стать следующие:

• выбор информации в качестве предмета защиты (ресурсы тоже защищаются, но только в необходимых случаях);
• использование в расчетах прочности защиты времени жизни информации;
• использование в построении защиты классификации автоматизированных систем по видам, принципам построения и обработки информации;
• применение различных подходов к случайным и преднамеренным угрозам информации;
• приложение известной стратегии и тактики защиты любого предмета к защите информации в компьютерных системах;
• сведение всех потенциальных угроз информации к трем событиям: утечке, модификации и утрате;
• разработка и использование в постановке задачи простой модели ожидаемого поведения нарушителя и его классификации;
• определение в информационных системах возможных каналов несанкционированного доступа к информации со стороны нарушителя того или иного класса;
• разработка расчетных соотношений для построения средств и системы защиты, перекрывающих возможные каналы несанкционированного доступа к информации, в целях создания замкнутого контура защиты с гарантированным уровнем его прочности.

Следуя перечисленным положениям специалист, не зависимо от того, на какой компьютерной платформе он работает и какие инструментальные ресурсы у него в наличии получит:

• базис для дальнейшей деятельности основанный на единой для всех видов компьютерных систем теории безопасности информации;
• возможность создания в заданной компьютерной системе встроенной автоматизированной подсистемы безопасности информации в виде единого механизма с гарантированными количественными и качественными характеристиками;
• возможность получения с позиций безопасности информации оптимальных требований к аппаратным и программным средствам компьютерных систем;
• возможность включения типовых требований по безопасности информации в техническое задание на разработку компьютерной системы;
• возможность разработки четких и ясных руководящих внутренних регламентирующих и нормативных документов при создании компьютерных систем на основе государственных нормативных документов по безопасности информации и других вышестоящих органов.

В данном учебном пособии последовательно показывается - каким образом предполагается получить указанные результаты.

В разделе I рассматриваются информация как предмет защиты, ее свойства, виды и формы представления в автоматизированных системах ее обработки и управлении. С позиций безопасности информации приводятся классификация, состав технических средств и обобщенные свойства систем обработки информации как объектов, содержащих предмет защиты. Систематизируются потенциальные угрозы безопасности информации в информационных системах и их компонентах автоматизации и подводится база под постановку задачи.

В разделе II рассматриваются современные методы защиты информации в информационных системах и их компонентах автоматизации, изложенные в определенной последовательности, без которых пособие было бы неполным.

В разделе III предлагаются концептуальные основы и основные принципы обеспечения безопасности информации в в информационных системах и их компонентах автоматизации. В разделе проводится более строгий анализ типовых информационных систем и средств автоматизации как объектов защиты информации: комплексов средств автоматизации обработки информации, информационных сетей и глобальных автоматизированных систем управления; производится постановка задачи и на элементарных моделях выводятся расчетные соотношения и концептуальные основы для построения в них систем безопасности информации.

В разделе IV предлагаются принципы построения системы безопасности в комплексах средств автоматизации обработки информации на основе рассмотренной концепции.

В разделе V излагаются принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления, построенных на их базе.

В разделе VI рассматривается оценка уровня безопасности информации в автоматизированных системах обработки информации и управления и предложены основные методы решения.

Учитывая особенности развития компьютерной техники и принципов построения информационных систем с комплексами автоматизации на основе получивших широкое распространение персональных компьютерах и локальных компьютерных сетей, в учебном пособии показывается, что к ним также применимы рассмотренные концепция и технологи обеспечения безопасности информации.

В разделе VII рассмотрены принципы построения и методы оценки эффективности системы безопасности информации в подобных системах.

В разделе VIII рассмотрены кратко основные нормативные документы, со ссылками на их библиографические данные, организационно-правового обеспечения информационной безопасности

При написании учебного пособия был выдержан ряд принципов.

Во-первых, это четкое ограничение предмета изложения. Поскольку это учебное пособие по дисциплине «БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ»,то изложение материала посвящено прежде всего фундаментальным вопросам - концепции, принципам построения и методам оценки ожидаемой эффективности защиты информации в информационных системах и автоматизированных системах обработки информации и управления, овладев которыми можно построить достаточно эффективные и экономичные системы ее безопасности.

Во-вторых, пособие не рассчитано на то, чтобы служить справочником по существующим средствам информационной безопасности, предлагаемым конкретными фирмами поставщиками. Упоминаемые по ходу изложения материала отдельные средства защиты приведены для примера и при необходимости могут быть заменены другими, более совершенными, так как данные средства и технологии развиваются достаточно быстро и к моменту выхода пособия вполне могут оказаться морально устаревшими.

Третий принцип касается уровня изложения материала. Поскольку учебное пособие рассчитано на студентов среднего профессионального образования и бакалавров, в пособии выдерживается метод изложения доступный обеим аудиториям. От студента не требуется знания продвинутых специальных дисциплин в области компьютерной техники и программирования, но необходимые предваряющие общеспециальные дисциплины желательны. Учебное пособие не является свободным экскурсом на актуальную тему.

В-четвертых, преследовался принцип – при сохранении фундаментальности излагаемых вопросов касающихся работы с информацией вообще и с информационными системами в частности, сохранить практическую направленность материала. Приведено достаточное количество табличного материала необходимого для быстрого проектирования, реализации системы информационной безопасности и последующей ее эксплуатации.

При составлении плана пособия не включены правовые вопросы, в принципе очень важные, но, достаточно подробно рассмотренные в предыдущем пособии авторов «Информационные системы и их безопасность». Законодательные меры упоминаются в соответствующих аспектах и технологиях лишь как средство предупреждения и сдерживания потенциального нарушителя, а также как основа для регламентации действий.

Цели данного учебного пособия: дать студентам соответствующего перечня специальностей, как будущим специалистам, заказчикам их работ и владельцам информационных систем и автоматизированных систем обработки информации и управления, практические подходы к решению проблем связанных с безопасностью информации, с построением системы управления доступом и оказание им помощи в поиске оптимальных решений. Достижение целей основывается на единстве теории, практических принципов построения, методов расчета и оценки ожидаемой эффективности системы безопасности информации в информационных системах.

Данное учебное пособие рассчитано, прежде всего, на студентов среднего профессионального образования и бакалавров ВУЗов, но будет полезна студентам других уровней соответствующих специальностей, а также специалистам и всем, интересующимся данным комплексом проблем.

Дата добавления: 2014-12-08; Просмотров: 2388; Нарушение авторских прав?; Мы поможем в написании вашей работы!