- •Оглавление
- •1. Задачи ткб иткс
- •1.1. Цель и задачи курса
- •1.2. Основные понятия
- •1.3. Проблемы защиты информации в иткс
- •1.4. Виды информации, защищаемой техническими средствами
- •1.5. Угрозы безопасности иткс
- •1.6. Принципы организации и разработки ткб иткс
- •2. Объекты защиты информации в иткс
- •2.1. Системный подход к защите информации
- •2.2. Представление иткс как объекта защиты
- •2.3 Свойства информации как объекта защиты
- •2.4. Вероятностная оценка уязвимости информации в иткс
- •2.5. Задачи защиты информации в иткс, способы и средства их решения
- •2.5. Общая характеристика информационного конфликта как формы взаимодействия объекта защиты (иткс) и объекта воздействия («нарушителя»)
- •2.6. Моделирование процессов защиты информации в иткс
- •3. Способы несанкционированного доступа к иткс
- •3.1. Особенности утечки информации
- •3.2. Основные принципы и этапы добывания информации
- •3.3. Видовая и комплексная обработка данных и сведений
- •3.4. Роль разведки в деятельности государств и коммерческих структур
- •3.5. Принципы ведения разведки
- •3.6. Условия установления разведывательного контакта
- •3.7. Виды нсд к источникам информации
- •3.8. Добывание информации без нарушения границ контролируемой зоны
- •4. Техническая разведка объектов иткс
- •4.1. Классификация технической разведки по физической природе носителя
- •4.2. Возможности технической разведки в мирное время
- •4.2.1 Наземная разведка
- •4.2.2 Морская разведка
- •4.2.3 Воздушная разведка
- •4.2.4 Космическая разведка
- •5. Основные направления ткб в организации
- •5.1. Концепция охраны объектов
- •5.2. Демаскирующие признаки объектов
- •5.3. Системы физической защиты объектов
- •6. Материально-техническое и нормативно методическое обеспечение ткб иткс
- •6.1. Построение системы защиты в организации
- •6.2. Структура государственных органов, обеспечивающих безопасность информационных технологий
- •6.3. Нормативно-правовая база инженерно-технической защиты информации
- •6.4. Основные направления ткб в организации
- •6.5. Организационные и технические меры по ткб в организации
- •7. Контроль эффективности ткб иткс
- •7.1. Задачи и виды контроля эффективности ткб
- •7.2. Методы оценки эффективности ткб иткс
- •7.3. Количественная оценка эффективности ткб иткс
- •7.4. Выбор показателей эффективности и критериев оптимальности ткб иткс
- •8. Методическое обеспечение ткб иткс
- •8.1. Методические рекомендации по разработке мер защиты. Основные способы и средства защиты информации от типовых вариантов угроз
- •8.2. Рекомендации по оценке затрат на защиту
- •8.3. Комплексирование мер защиты
- •8.4. Оптимизация проекта системы (предложений) защиты информации
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
1.3. Проблемы защиты информации в иткс
Сложность решения задач защиты информации в ИТКС характеризуется следующими факторами:
предъявляются высокие требования к целостности системного и прикладного программного обеспечения (ПО), системы управления базами данных (СУБД) и целого ряда электронных документов (справочные, статистические, отчетные документы и инструкции);
работа в территориально-распределенной сети предъявляет высокие требования к аутентичности информации и источников данных;
переход на безбумажную технологию требует обеспечения юридической значимости электронных документов;
распределенное использование ресурсов ИТКС требует обеспечения безопасности информации на уровне разграничения доступа;
ряд электронных документов требует обеспечения безопасности на уровне скрытия смыслового содержания, а в некоторых случаях и недопущения несанкционированного размножения.
Компрометация данных ИТКС может происходить при использовании уязвимых мест, например:
• неправильные установки управления доступом,
• данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме,
• исходные тексты приложений, хранимые в незашифрованной форме,
• мониторы, находящиеся в помещениях, где много посторонних людей,
• станции печати, находящиеся в помещениях, где много посторонних людей,
• резервные копии данных и программного обеспечения, хранимые в открытых помещениях.
Рассматривая ИТКС как объект защиты, полезно обратить внимание на следующие характеристики:
категории обрабатываемой в ИТКС информации, высший гриф секретности информации;
общая структурная схема и состав ИТКС (перечень и состав оборудования, технических и программных средств, пользователей, данных и их связей, особенности конфигурации и архитектуры и т.п.);
тип ИТКС (одно- либо многопользовательская система, открытая сеть, одно- либо многоуровневая система и т.п.);
объемы основных информационных массивов и потоков;
скорость обмена информацией и производительность системы при решении функциональных задач;
продолжительность процедуры восстановления работоспособности после сбоев, наличие средств повышения надежности и живучести и т.п.;
- технические характеристики используемых каналов связи (пропускная способность, типы кабельных линий, виды связи с удаленными сегментами ИТКС и пользователями и т.п.);
территориальное расположение компонентов ИТКС, их физические параметры и т.п.;
наличие особых условий эксплуатации и др.
1.4. Виды информации, защищаемой техническими средствами
Прежде чем рассматривать виды информации, защищаемой техническими средствами, определимся, что представляет собой защищаемая информация.
Без информации не может существовать жизнь в любой форме и не могут функционировать созданные человеком любые информационные системы. Без нее биологические и искусственные системы представляют груду химических элементов. Опыты по изоляции органов чувств человека, затрудняющие информационный обмен человека с окружающей средой, показали, что информационный голод (дефицит информации) по своим последствиям не менее разрушителен, чем голод физический. Несмотря на определенные достижения прикладной области науки – информатики, занимающейся информационными процессами, достаточно четкого понимания сущности информации наука пока не имеет.
Существует множество определений понятия «информация», строго научного однозначного определения нет, и в разных сферах деятельности это понятие имеет различное смысловое наполнение.
В соответствии с терминологией Закона «Об информации, информатизации и защите информации» информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Защите подлежит секретная и конфиденциальная информация.
Секретная информация – информация, содержащая государственную тайну.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Под конфиденциальной понимается информация с ограниченным доступом, не содержащая государственную тайну.
В Законе дается следующее ее определение: информация конфиденциальная – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и других законодательных актов.
В соответствии с Указом Президента РФ № 188 от 06.03.1997 г. к конфиденциальной информации относятся:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами;
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т. д.);
сведения, связанные с коммерческой деятельности, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и. федеральными законами;
сведения о существе изобретения (идеи конструкторской разработки или промышленного образца) до официальной публикации информации о нем.
К коммерческой тайне не могут быть отнесены:
сведения, охраняемые государством;
общеизвестные и общедоступные сведения, патенты, товарные знаки;
сведения о незаконной и негативной стороне деятельности коммерческих организаций;
учредительные документы и сведения о хозяйственной деятельности.