- Udžbenik za univerzitete - Belov E.B., Los V.P., Meshcheryakov R.V., Shelupanov A.A. - 2006
Pitanja teorije i prakse pružanja sigurnost informacija pojedinci, društvo i država. Problemu se posvećuje velika pažnja sigurnost automatizovani sistemi , uključujući pitanja određivanja modela uljeza i zahtjeve za zaštitu informacija. Analizirano savremenim metodama i alati za sigurnost informacija i arhitektura sistema informacione sigurnosti. Prilozi pružaju referentni materijal prema nizu regulatornih pravnih dokumenata i opcija program rada u disciplini „Osnove informacione sigurnosti“.
Za studente visokog obrazovanja obrazovne institucije , studira na specijalnostima iz ove oblasti sigurnost informacija, može biti korisno za širok spektar čitalaca zainteresovanih za pitanja bezbednosti informacija.
Osnove informacione sigurnosti. Udžbenik za univerzitete / E. B. Belov, V. P. Los, R. V. Meshcheryakov, A. A. Shelupanov. -M.: Hotline- Telekom, 2006. - 544 str.: ilustr.
ISBN 5-93517-292-5
BBK 32.97
UDK 681.3
0-75
Predgovor
Uvod
Dio 1. OSNOVE DRŽAVNE INFORMACIONE POLITIKE I INFORMACIONE SIGURNOSTI RUSKOG FEDERACIJE
1. Koncept nacionalne sigurnosti
1.1. Interesi i prijetnje u oblasti nacionalne sigurnosti
1.2. Uticaj procesa informatizacije društva na komponente nacionalne bezbednosti i njihov sadržaj
2. Informaciona sigurnost u sistemu nacionalne bezbjednosti Ruska Federacija
2.1. Osnovni koncepti, opšti metodološki principi informacione bezbednosti
2.2. Nacionalni interesi u informatička sfera
2.3. Izvori i sadržaj prijetnji u informacionoj sferi
3. Državna informaciona politika
3.1. Osnovne odredbe države informatička politika Ruska Federacija
3.2. Prioritetne mjere za implementaciju javna politika osiguravanje sigurnosti informacija
4. Informacije su najvredniji resurs modernog društva
4.1. Koncept "informacionih resursa"
4.2. Casovi informacionih resursa
5. Problemi informacionog ratovanja
5.1. Informaciono oružje i njihova klasifikacija
5.2. Informacioni rat
6. Problemi informacione sigurnosti u oblasti državne i opštinske uprave
6.1. Informativni procesi u oblasti državne i opštinske uprave
6.2. Vrste informacija i informacionih resursa u oblasti GMU
6.3. Stanje i perspektive informatizacije sfere Državnog medicinskog univerziteta
7. Sistem obuke u oblasti informacione bezbednosti u Ruskoj Federaciji
7.1. Struktura sistema obuke u oblasti informacione bezbednosti
7.2. Sastav obrazovno-metodičke podrške sistema i njegovog upravljačkog podsistema
7.3. Glavni pravci obrazovnih aktivnosti
Književnost
Dio 2. INFORMACIJSKA SIGURNOST AUTOMATIZOVANIH SISTEMA
1. Savremena formulacija problema informacione sigurnosti
2. Organizaciona pravna podrška, sigurnost informacija
2.1. Informacije kao predmet pravne zaštite. Osnovni principi klasifikacije informacija
2.2. Državni sistem pravna podrška za zaštitu informacija u Ruskoj Federaciji
3. Informacioni sistemi
3.1. Opće odredbe
3.2. Informacije kao proizvod
3.3. Informacijske usluge
3.4. Izvori povjerljiva informacija V informacioni sistemi Oh
3.5. Šta dovodi do nezakonitog sticanja povjerljivih informacija u informacionim sistemima
3.6. Vrste tehnička sredstva informacioni sistemi
4. Informacijske prijetnje
4.1. Klase kanala za neovlašteno primanje informacija
4.2. Razlozi za narušavanje integriteta informacija
4.3. Vrste prijetnji informacionim sistemima
4.4. Vrste gubitaka
4.5. Informacijske infekcije
4.6. Gubici povezani sa razmjenom informacija
4.7. Model uljeza informacionih sistema
5. Metode i modeli za procjenu ranjivosti informacija
5.1. Empirijski pristup procjeni ranjivosti informacija
5.2. Sistem potpunog preklapanja
5.3. Praktična implementacija modela “prijetnja – zaštita”.
6. Preporuke za korištenje modela procjene informacione ranjivosti
7. Metode za određivanje zahtjeva sigurnosti informacija
8. Analiza postojeće tehnike utvrđivanje zahtjeva za sigurnost informacija
8.1. Sigurnosni zahtjevi informacionog sistema u SAD
8.2. Sigurnosni zahtjevi za informacione sisteme u Rusiji
8.3. Klase osiguranja fonda kompjuterska tehnologija od neovlašćenog pristupa
8.4. Procjena stanja IP sigurnosti u Francuskoj
8.5. Faktori koji utiču na potreban nivo sigurnosti informacija
8.6. Kriterijumi za procjenu sigurnosti informacione tehnologije
9. Funkcije i zadaci informacione sigurnosti
9.1. Opće odredbe
9.2. Metode za generiranje zaštitnih funkcija
9.3. Klase zadataka sigurnosti informacija
9.4. Funkcije zaštite
9.5. Stanja i funkcije sistema informacione bezbednosti
10. Strategije sigurnosti informacija
11. Metode i sredstva zaštite informacija
12. Kriptografske metode zaštite informacija
12.1. Zahtjevi za kriptosisteme
12.2. Osnovni algoritmi šifriranja
12.3. Digitalni potpisi
12.4. Kriptografske hash funkcije
12.5. Kriptografski generatori slučajnih brojeva
12.6. Stepen zaštite koju pruža šifra
12.7. Kriptoanaliza i napadi na kriptosisteme
13. Arhitektura sistema informacione bezbednosti
13.1. Zahtjevi za arhitekturu sigurnosti informacija
13.2. Izgradnja sistema zaštite informacija
13.3. Srž sistema informacione bezbednosti
13.4. Resursi sistema informacione sigurnosti
13.5. Organizaciona zgrada
Književnost
Aneks 1. PROGRAM RADA ZA DISCIPLINU “OSNOVE INFORMACIONE SIGURNOSTI”
I. Ciljevi i zadaci discipline, njeno mjesto u obrazovni proces. Ciljevi nastave discipline
Ciljevi izučavanja discipline
Opšte upute za izvođenje praktičnih vježbi
Spisak disciplina čije je savladavanje neophodno za studiranje ovog predmeta
II. Sadržaj discipline
1. Teorijska nastava (18 sati)
2. Praktične lekcije(18 sati)
3. Samostalan rad(28 sati)
III. Edukativni materijali po disciplini
Glavna literatura
dodatnu literaturu
Zakonodavstvo
Dodatak 2. INDIVIDUALNI ZADACI.
Prvi zadatak
Drugi zadatak
Dodatak 3. PITANJA ZA ISPIT
Dodatak 4. DOKTRINA BEZBEDNOSTI INFORMACIJA RUSKOG FEDERACIJE.
I. Informaciona sigurnost Ruske Federacije
1. Nacionalni interesi Ruske Federacije u sferi informacija i njihovo obezbjeđenje
2. Vrste prijetnji informacionoj sigurnosti Ruske Federacije
3. Izvori prijetnji informacionoj sigurnosti Ruske Federacije
4. Stanje informacione sigurnosti Ruske Federacije i glavni zadaci za njeno osiguranje
II. Metode za osiguranje informacione sigurnosti Ruske Federacije
5. Opće metode osiguranja informacione sigurnosti Ruske Federacije
6. Osobine osiguranja informacione sigurnosti Ruske Federacije u različitim sferama javnog života
7. Međunarodna saradnja Ruske Federacije u oblasti informacione bezbednosti
III. Osnovne odredbe državne politike osiguranja informacione sigurnosti Ruske Federacije i prioritetne mjere za njeno sprovođenje
8. Osnovne odredbe državne politike osiguranja informacione sigurnosti Ruske Federacije
9. Prioritetne mjere za sprovođenje državne politike osiguranja informacione sigurnosti Ruske Federacije
IV. Organizaciona osnova sistema informacione bezbednosti Ruske Federacije
10. Glavne funkcije sistema informacione sigurnosti Ruske Federacije
11. Glavni elementi organizacione osnove sistema informacione bezbednosti Ruske Federacije
Dodatak 5. SAVEZNI ZAKON RUSKOG FEDERACIJE “O INFORMACIJAMA, INFORMACIJAMA I ZAŠTITI INFORMACIJA”
Poglavlje 1. Opšte odredbe
Član 1. Delokrug ovog saveznog zakona
Član 2. Izrazi koji se koriste u ovom saveznom zakonu, njihove definicije.
Član 3. Odgovornosti države u oblasti formiranja informacionih resursa i informatizacije
Poglavlje 2. Izvori informacija
Član 4. Osnove pravnog režima informacionih izvora
Član 5. Dokumentacija informacija
Član 6. Informacioni resursi kao element svojine i predmet imovinskog prava
Član 7. Državni informacioni izvori
Član 8. Obavezno dostavljanje dokumentovanih informacija za formiranje državnih informacionih resursa.
Član 9. Pripisivanje informativnih resursa sveruskom nacionalnom nasleđu
Član 10. Izvori informacija po kategorijama pristupa
Član 11. Podaci o građanima (lični podaci)
Poglavlje 3. Upotreba izvora informacija
Član 12. Ostvarivanje prava na pristup informacijama iz informacionih izvora
Član 13. Garancije za davanje informacija
Član 14. Pristup građana i organizacija informacijama o njima
Član 15. Dužnosti i odgovornosti vlasnika informacionih resursa
Poglavlje 4. Informatizacija. Informacioni sistemi, tehnologije i sredstva za njihovu podršku
Član 16. Razvoj i proizvodnja informacionih sistema, tehnologija i sredstava za njihovu podršku
Član 17. Vlasništvo nad informacionim sistemima, tehnologijama i sredstvima za njihovu podršku.
Član 18. Pravo autorstva i vlasništva nad informacionim sistemima, tehnologijama i sredstvima za njihovu podršku
Član 19. Sertifikacija informacionih sistema, tehnologija, sredstava za njihovu podršku i licenciranje delatnosti za formiranje i korišćenje informacionih resursa
Poglavlje 5. Zaštita informacija i prava subjekata u oblasti informacionih procesa i informatizacije
Član 20. Ciljevi zaštite
Član 21. Zaštita informacija
Član 22. Prava i obaveze subjekata u oblasti zaštite informacija
Član 23. Zaštita prava subjekata u oblasti informacionih procesa i informatizacije
Član 24. Zaštita prava na pristup informacijama
Član 25. Stupanje na snagu ovog saveznog zakona
Dodatak 6. SAVEZNI ZAKON RUSKOG FEDERACIJE “O ELEKTRONSKIM DIGITALNIM POTPISIMA”
Poglavlje 1. Opšte odredbe
Član 1. Svrha i delokrug primene ovog saveznog zakona
Član 2. Pravna regulativa odnose u oblasti elektronike digitalni potpis
Poglavlje 2. Uslovi korišćenja elektronskog digitalnog potpisa
Član 4. Uslovi za priznavanje ekvivalencije elektronskog digitalnog potpisa i svojeručnog potpisa
Član 5. Upotreba elektronskih digitalnih potpisa
Član 6. Sertifikat ključa potpisa
Član 7. Trajanje i postupak čuvanja sertifikata ključa potpisa u sertifikacionom centru
Poglavlje 3. Tijela za sertifikaciju
Član 8. Status centra za sertifikaciju
Član 9. Djelatnost sertifikacionog centra
Član 10. Odnosi sertifikacionog centra i nadležnog saveznog organa izvršne vlasti
Član 11. Obaveze sertifikacionog centra u odnosu na vlasnika sertifikata ključa potpisa
Član 12. Obaveze vlasnika sertifikata ključa potpisa
Član 13. Suspenzija sertifikata ključa potpisa
Član 14. Otkazivanje sertifikata ključa potpisa
Član 15. Prestanak rada sertifikacionog centra
Poglavlje 4. Karakteristike korišćenja elektronskog digitalnog potpisa
Član 16. Upotreba elektronskog digitalnog potpisa u oblasti javne uprave
Član 17. Upotreba elektronskog digitalnog potpisa u korporativnom informacionom sistemu
Član 18. Priznavanje sertifikata ključa stranog potpisa
Član 19. Slučajevi zamjene pečata
Poglavlje 5. Završne i prelazne odredbe
Član 20. Usklađivanje podzakonskih akata sa ovim saveznim zakonom
Član 21. Prelazne odredbe
Dodatak 7. SAVEZNI ZAKON “O TEHNIČKOJ REGULACIJI”
Poglavlje 1. Opšte odredbe
Član 2. Osnovni pojmovi
Član 3. Načela tehničke regulative
Član 4. Zakonodavstvo Ruske Federacije o tehničkoj regulativi
Član 5. Osobine tehničke regulative u odnosu na odbrambene proizvode (radove, usluge) i proizvode (radove, usluge), podaci o kojima je državna tajna
Poglavlje 2. Tehnički propisi
Član 6. Svrha donošenja tehničkih propisa
Član 7. Sadržaj i primjena tehničkih propisa
Član 8. Vrste tehničkih propisa
Član 9. Postupak izrade, donošenja, izmjene i ukidanja tehničkih propisa
Član 10. Posebna procedura za izradu i donošenje tehničkih propisa
Poglavlje 3. Standardizacija
Član 11. Ciljevi standardizacije
Član 12. Principi standardizacije
Član 13. Dokumenti iz oblasti standardizacije
Član 14. Nacionalni organ Ruske Federacije za standardizaciju, tehnički komiteti za standardizaciju
Član 15. Nacionalni standardi, sveruski klasifikatori tehničkih, ekonomskih i društvenih informacija
Član 16. Pravila za izradu i odobravanje nacionalnih standarda
Član 17. Standardi organizacije
Poglavlje 4. Potvrda usaglašenosti
Član 18. Svrhe ocjenjivanja usaglašenosti
Član 19. Principi ocjenjivanja usklađenosti
Član 20. Obrasci potvrde usaglašenosti
Član 21. Dobrovoljna potvrda usklađenosti
Član 22. Oznake usaglašenosti
Član 23. Obavezna potvrda usklađenosti
Član 24. Izjava o usklađenosti
Član 25. Obavezna ovjera
Član 26. Organizacija obavezne sertifikacije
Član 27. Znak prometa na tržištu
Član 28. Prava i obaveze podnosioca zahtjeva u oblasti obavezne potvrđivanja usklađenosti
Član 29. Uslovi za uvoz na teritoriju Ruske Federacije proizvoda koji podliježu obaveznoj potvrdi usaglašenosti
Član 30. Priznavanje rezultata ocjenjivanja usaglašenosti
Poglavlje 5. Akreditacija sertifikacionih tijela i ispitnih laboratorija (centra)
Član 31. Akreditacija sertifikacionih tijela i ispitnih laboratorija (centra)
Poglavlje 6. Državna kontrola (nadzor) nad poštovanjem zahtjeva tehničkih propisa
Član 32. Organi državne kontrole (nadzora) nad poštovanjem zahtjeva tehničkih propisa
Član 33. Objekti državne kontrole (nadzora) nad ispunjavanjem zahtjeva tehničkih propisa
Član 34. Ovlašćenja državnih kontrolnih (nadzornih) organa.
Član 35. Odgovornost državnih kontrolnih (nadzornih) organa i njihovih zvaničnici prilikom vršenja državne kontrole (nadzora) nad poštovanjem zahtjeva tehničkih propisa.
Poglavlje 7. Informacije o kršenju tehničkih propisa i opoziv proizvoda
Član 36. Odgovornost za neusaglašenost proizvoda, procesa proizvodnje, rada, skladištenja, transporta, prodaje i odlaganja sa zahtjevima tehničkih propisa
Član 37. Podaci o neusaglašenosti proizvoda sa zahtjevima tehničkih propisa
Član 38. Odgovornosti proizvođača (prodavca, lica koje obavlja funkciju stranog proizvođača) u slučaju dobijanja informacije o neusaglašenosti proizvoda sa zahtjevima tehničkih propisa.
Član 39. Prava državnih kontrolnih (nadzornih) organa u slučaju prijema informacija o neusaglašenosti proizvoda sa zahtjevima tehničkih propisa.
Član 40. Prisilni opoziv proizvodi
Član 41. Odgovornost za povredu pravila za obavljanje poslova sertifikacije
Član 42. Odgovornost akreditovane ispitne laboratorije (centra)
Poglavlje 8. Informacije o tehničkim propisima i standardizacijskim dokumentima
Član 43. Podaci o dokumentima o standardizaciji
Član 44. Federalni informacioni fond tehničkih propisa i standarda
Poglavlje 9. Finansiranje u oblasti tehničke regulative
Član 45. Postupak finansiranja iz sredstava savezni budžet troškovi u oblasti tehničke regulative
Poglavlje 10. Završne i prelazne odredbe
Član 46. Prelazne odredbe
Član 47. Usklađivanje podzakonskih akata sa ovim saveznim zakonom
Član 48. Stupanje na snagu ovog saveznog zakona
Dodatak 8. SAVEZNI ZAKON “O LICENCIRANJU ODREĐENIH VRSTA DJELATNOSTI”
Član 1. Područje primjene ovog saveznog zakona
Član 2. Osnovni pojmovi
Član 3. Osnovni principi licenciranja
Član 4. Kriterijumi za određivanje licenciranih vrsta djelatnosti
Član 5. Utvrđivanje ovlašćenja Vlade Ruske Federacije u sprovođenju licenciranja
Član 6. Ovlašćenja organa za izdavanje dozvola
Član 7. Važenje licence
Član 8. Rok važenja licence
Član 9. Donošenje odluke o izdavanju licence
Član 10. Sadržaj dokumenta kojim se potvrđuje postojanje licence i odluke o izdavanju licence
Član 11. Ponovno izdavanje dokumenta kojim se potvrđuje postojanje licence
Član 12. Vršenje kontrole
Član 13. Suspenzija licence i oduzimanje licence
Član 14. Održavanje registara licenci
Član 15. Naknade za licencu
Član 16. Finansiranje licenciranja
Član 17. Spisak djelatnosti za koje su potrebne dozvole
Član 18. Prelazne odredbe
Član 19. Priznavanje nevažećih određenih zakonskih akata u vezi sa donošenjem ovog saveznog zakona
Član 20. Stupanje na snagu ovog saveznog zakona
Dodatak 9. SAVEZNI ZAKON “O POSLOVNIM TAJNIMA”
Član 1. Ciljevi i delokrug ovog saveznog zakona
Član 2. Zakonodavstvo Ruske Federacije o poslovnim tajnama
Član 3. Osnovni pojmovi koji se koriste u ovom saveznom zakonu
Član 4. Pravo na klasifikovanje podataka kao informacija koje predstavljaju poslovnu tajnu i načini pribavljanja tih informacija
Član 5. Podaci koji ne mogu predstavljati poslovnu tajnu
Član 6. Davanje podataka koji predstavljaju poslovnu tajnu
Član 7. Prava vlasnika podataka koji predstavljaju poslovnu tajnu
Član 8. Vlasnik podataka koji predstavljaju poslovnu tajnu primljenih u okviru radnog odnosa
Član 9. Postupak uspostavljanja režima poslovne tajne pri izvršenju državnog ugovora za državne potrebe
Član 10. Zaštita povjerljivosti informacija
Član 11. Zaštita povjerljivosti podataka u okviru radnih odnosa
Član 12. Zaštita povjerljivosti podataka u okviru građanskopravnih odnosa
Član 13. Zaštita povjerljivosti informacija kada su date
Član 14. Odgovornost za kršenje ovog saveznog zakona
Član 15. Odgovornost za nedavanje državnih organa, drugo vladine agencije, podaci organa lokalne samouprave koji predstavljaju poslovnu tajnu
Član 16. Prelazne odredbe
Dodatak 10. GLOSAR
Dodatak 11. USLOVI ZAŠTITE INFORMACIJA.
Prikazane su osnovne odredbe, koncepti i definicije osiguranja informacione sigurnosti djelatnosti društva, njegovih različitih strukturnih formacija, organizacione, pravne, tehničke, metodološke, softverske i hardverske podrške. Posebna pažnja fokusira se na probleme metodološke podrške aktivnostima kako društva, tako i konkretnih firmi i sistema (OS, DBMS, računarske mreže) koji djeluju u organizacijama i firmama. Opisano kriptografske metode te softver i hardver za osiguranje sigurnosti informacija, zaštitu procesa obrade informacija od virusna infekcija, destruktivne programske akcije i promjene.
Za studente visokoškolskih ustanova.
Osnovne odredbe informatizacije društva i obezbjeđenja sigurnosti njegovog djelovanja.
Sadašnju fazu razvoja društva karakteriše sve veća uloga informacijske interakcije, predstavlja kolekciju informacione infrastrukture i subjekti koji prikupljaju, stvaraju, distribuiraju i koriste informacije. Informacijska sfera, kao sistemski faktor u životu društva, aktivno utiče na stanje političkih, ekonomskih, odbrambenih i drugih komponenti sigurnosti Ruske Federacije.
Masovna kompjuterizacija, implementacija i razvoj najnovijih informacionih tehnologija doveli su do iskora u oblastima obrazovanja, poslovanja, industrijske proizvodnje, naučno istraživanje i društveni život.
Informacije su postale globalni nepresušni resurs za čovječanstvo, u koji je ušlo nova era razvoj civilizacije - doba intenzivnog razvoja ovog informacionog resursa.
Ideja da se informacija može smatrati nečim neovisnim nastala je nova nauka- kibernetika, koja je dokazala da su informacije direktno povezane sa procesima upravljanja i razvoja koji osiguravaju stabilnost i opstanak bilo kojeg sistema.
SADRŽAJ
Predgovor 3
Spisak skraćenica 7
Poglavlje 1. Informaciona sigurnost aktivnosti kompanije i njene glavne odredbe
1.1. Informacioni geopolitički i ekonomski procesi savremenog društva
1.1.1. Osnovne odredbe informatizacije društva i obezbjeđenja sigurnosti njegovog djelovanja 10
1.1.2. Komponente nacionalni interesi Ruska Federacija u informacionoj sferi 18
1.1.3. Glavna svojstva i karakteristike informatička podrška sigurnost funkcionisanja sistema upravljanja informacijama preduzeća i firmi...20
1.2. Sveobuhvatno osiguranje državne informacione sigurnosti i organizacione strukture 29
1.2.1. Osnovne odredbe državne politike za osiguranje informacione sigurnosti Ruske Federacije 29
1.2.2. Sistem sigurnosti informacija Ruske Federacije, njegove glavne funkcije i organizacijski temelji 33
1.2.3. Opće metode za osiguranje sigurnosti informacija Ruske Federacije 34
1.2.4. Značajke pružanja informacijske sigurnosti Ruske Federacije u različitim sferama društva 35
1.3. Organizacijske, fizičke i tehničke, informacijske i softverske i matematičke prijetnje 43
1.3.1. Složene i globalne prijetnje kibernetičke sigurnosti aktivnostima čovječanstva i društava 43
1.3.2. Izvori prijetnji informacijskoj sigurnosti Ruske Federacije 46
Poglavlje 2. Organizaciona i pravna podrška bezbednosti informacija 52
2.1. Pravno regulisanje protoka informacija razne vrste aktivnosti kompanije 52
2.2. Međunarodni i domaći pravni i regulatorni akti za osiguranje informacione sigurnosti procesa obrade informacija 57
2.2.1. Međunarodni pravni i regulatorni akti za sigurnost informacija 58
2.2.2. Domaća organizaciona, pravna i regulatorna podrška i regulativa u oblasti informacione bezbednosti 61
2.3. Organizaciona regulativa zaštite procesa obrade informacija 63
2.3.1. Kategorizacija objekata i zaštita informacijske imovine 64
2.3.2. Odgovornost za kršenje zakona u oblasti informisanja 71
Poglavlje 3. Metodološke osnove za osiguranje informacione sigurnosti života društva i njegovih struktura 75
3.1. Moderni pristupi kako bi se osigurala rješenja za probleme informacione sigurnosti aktivnosti kompanije 75
3.2. Metodologija informacionog ratovanja 81
3.2.1. Ciljevi, zadaci, znaci i sadržaj geopolitičke informacione konfrontacije 81
3.2.2. Informacione i manipulativne tehnologije 85
3.2.3. Tehnologije informacionog ratovanja na Internetu i njihova analiza 96
3.3. Područja i objekti zaštite informativne aktivnosti u preduzećima i organizacijama 100
3.3.1. Oblasti i oblasti podrške informacionoj bezbednosti za preduzeća i organizacije 100
3.3.2. Industrijski i društveni objekti za zaštitu informacionih aktivnosti i osiguranje informacione sigurnosti 102
3.4. Tehnologije za osiguranje sigurnosti obrade informacija u menadžmentu informacionih objekata 107
3.4.1. Savremeni pristupi tehnologijama i metodama za obezbeđivanje informacione bezbednosti u preduzećima 107
3.4.2. Tehnologije za sprečavanje pretnji bezbednosti informacija za aktivnosti preduzeća 117
3.4.3. Metode i sredstva pariranja prijetnjama 143
3.4.4. Metode i sredstva neutralizacije prijetnji 149
Poglavlje 4. Metodološka i tehnička podrška informacione bezbednosti za funkcionisanje preduzeća
4.1. Metodološka osnova tehnička podrška zaštita procesa obrade informacija i kontrola njihove efikasnosti 158
4.1.1. Sistemi za upozoravanje na upad 158
4.1.2. Sistemi identifikacije prekršioca 163
4.1.3. Mehanička zaštita objekat 166
4.1.4. Automatizacija tehnička kontrola zaštita tokova informacija 169
4.2. Integrisani i sistematski pristupi obezbeđivanju informacione bezbednosti objekata, tehničkih sredstava i pojedinci 176
4.2.1. Metodologija i sadržaj podrške informacionoj bezbednosti sa integrisanim i sistematskim pristupima
4.2.2. Sistematska implementacija zaštite procesa obrade informacija na pojedinačnim objektima sistema upravljanja informacijama 180
4.3. Opća pitanja organizovanje suprotstavljanja informacijskoj i tehničkoj agresiji. Zaštita tehničke opreme i objekata preduzeća od curenja informacija i neovlašćenog pristupa 189
4.4. Efikasnost zaštite procesa obrade informacija i metodologija za njihov proračun 194
Poglavlje 5. Softver i hardver za osiguranje informacione sigurnosti za funkcionisanje organizacija 202
5.1. Metode i sredstva za ograničavanje pristupa kompjuterskim komponentama. Softverska i hardverska zaštita za PC 202
5.1.1. Metode i sredstva za ograničavanje pristupa kompjuterskim komponentama 202
5.1.2. Softverska i hardverska zaštita za PC 211
5.2. Metode i sredstva organizacije skladištenja i obrade informacija u KS 220
5.3. Zaštita softver od učenja, virusne infekcije, destruktivnih programskih radnji i promjena 223
5.3.1. Osnovne karakteristike klasifikacije kompjuterskih virusa 223
5.3.2. Neki kompjuterski virusi 227
5.3.3. Metode i tehnologije za borbu kompjuterski virusi 231
5.3.4. Uslovi bezbedan rad KS i tehnologija otkrivanja virusnih infekcija 235
5.3.5. Kontrola integriteta i sistemska pitanja zaštite programa i podataka 238
5.4. Softver i hardver za sigurnost informacija u standardnim OS, DBMS i kompjuterske mreže 244
5.4.1. Osnovne odredbe softvera, hardvera i organizaciona podrška Je u operativni sistemi 244
5.4.2. Zaštita procesa obrade informacija u DBMS 245
5.4.3. Osiguravanje sigurnosti informacija u DOS-u i WINDOWS-u 248
5.4.4. Osiguravanje sigurnosti informacija u Linux i UNIX OS 256
5.4.5. Softver i hardver za sigurnost informacija u računarskim mrežama 277
5.4.6. Metode i sredstva zaštite procesa obrade informacija u lokalnom i eksternom segmentu KS 286
5.4.7. Zaštita procesa obrade informacija na Internetu i Intranetu 298
Literatura 327.
Raspravljalo na Katedri za metodologiju i modeliranje bezbednog razvoja procesnih sistema Ruske akademije
prirodnih nauka i odobren za objavljivanje od strane Prezidijuma Ruske akademije prirodnih nauka
Recenzenti:
Rukovodilac Fakulteta informacione bezbednosti ICSI kandidat tehničkih nauka S.N
Redovni član Međunarodne akademije informatizacije, doktor tehničkih nauka, profesor A. V. Petrakov
Redovni član Međunarodne akademije za informatizaciju, doktor socioloških nauka, profesor G. A. Kabakovich
Rep. urednik - kandidat vojnih nauka L.I. Filippenko
Yarochkin V.I.
Sigurnost informacija: udžbenik za studente. - M.: Akademski projekat; Gaudeamus, 2. izd.-
2004. - 544 str. (Gaudeamus).
ISBN 5-8291-0408-3 (Akademski projekat) ISBN 5-98426-008-5 (Gaudeamus)
U modernom informatičko društvo informacije su postale poseban resurs za svaku aktivnost, pa ih, kao i svaki drugi resurs, treba zaštititi, osigurati njihovu sigurnost, integritet i sigurnost. Ko i kako ugrožava informacijsku sigurnost i kako se suprotstaviti ovim prijetnjama, saznat ćete čitajući ovu knjigu. Udžbenik je namijenjen studentima visokoškolskih ustanova, instituta za usavršavanje i školama za obuku specijalista koji proučavaju probleme zaštite povjerljivih informacija.
UDK 002-004 BBK
© Yarochkin V.I., 2003
ISBN 5-829I-0408-3 ©Akademski projekat, originalni izgled, dizajn, 2004.
Uvod Poglavlje 1 KONCEPT SIGURNOSTI INFORMACIJA
1.1. Osnovne konceptualne odredbe sistema informacione bezbednosti
1.2. Konceptualni model informacione sigurnosti
1.3. Prijetnje povjerljivim informacijama
1.4. Radnje koje dovode do nezakonitog posjeda
povjerljiva informacija
Poglavlje 2 SMJERNICE ZA OSIGURANJE SIGURNOSTI INFORMACIJA
2.1. Pravna zaštita
2.2. Organizaciona odbrana
2.3. Inženjerska i tehnička zaštita
2.3.1. Opće odredbe
2.3.2. Fizička zaštita
2.3.3. Hardverska zaštita
2.3.4. Sigurnosni softver
2.3.5. Kriptografske zaštite
Poglavlje 3 NAČINI ZAŠTITE INFORMACIJA
3.1. Opće odredbe
3.2. Karakteristike zaštitnih radnji
Poglavlje 4 SUZBIJANJE OTKRIVANJA POVJERLJIVIH INFORMACIJA
4.1. Opće odredbe
4.2. Načini suzbijanja otkrivanja
Poglavlje 5 ZAŠTITA INFORMACIJA OD PROCJENJA KROZ TEHNIČKE KANALE
5.1. Opće odredbe
5.2. Zaštita informacija od curenja putem vizuelnih optičkih kanala
5.2.1. Opće odredbe
5.2.2. Sredstva i metode zaštite
5.3. Zaštita informacija od curenja putem akustičnih kanala
5.3.1. Opće odredbe
5.3.2. Metode i sredstva zaštite
5.4. Zaštita informacija od curenja putem elektromagnetnih kanala
5.4.1. Zaštita od toplote zahvaljujući efektu mikrofona
5.4.2. Zaštita od curenja zbog elektromagnetnog zračenja
5.4.4. Zaštita od toplotnog curenja u strujnim krugovima
5.4.5. Zaštita od curenja preko uzemljenja
5.4.6. Zaštita od curenja topline zbog međusobnog utjecaja žica i komunikacijskih vodova
5.4.7. Zaštita od toplote zbog visokofrekventnog nametanja
5.4.8. Zaštita od toplote u estrusu optičke linije i komunikacioni sistemi
5.5. Zaštita informacija od curenja kroz materijalne kanale
Poglavlje 6 SUZBIJANJE NEOVLAŠĆENOG PRISTUPA IZVORIMA POVJERLJIVIH INFORMACIJA
6.1. Metode neovlaštenog pristupa
6.2. Tehničko sredstvo neovlašćenog pristupa informacijama
6.3. Zaštita od nadzora i fotografisanja
6.4. Zaštita od prisluškivanja
6.4.1. Sprečavanje prisluškivanja
mikrofonski sistemi
6.4.2. Suprotstavljanje radio akustičnim sistemima prisluškivanja
6.4.3. Osiguravanje sigurnosti telefonskih razgovora
6.4.4. Suprotstavljanje laserskom prisluškivanju
6.5. Borba protiv ilegalnog povezivanja na komunikacijske linije
6.5.1. Antikontaktna veza
6.5.2. Antikontaktna veza
6.6. Zaštita od presretanja
Poglavlje 7. POVERLJIVOST U RADU SA STRANIM LJUDIMA I PARTNERIMA
7.1. Oblasti interakcije sa inostranim partnerima
7.1.1. Naučno-tehnički saradnju sa inostranim partnerima
7.1.2. Naučno-tehnički saradnju. Tehnološki, razmjena i njena regulacija.
7.1.3. Vrste komercijalnih međunarodnih transakcija
7.1.4. Naučno-tehnički dokumentacija - izvor povjerljivih informacija
7.1.5. Mogući uslovi za odavanje podataka koji predstavljaju poslovnu tajnu
7.1.6. Ispitivanje vrijednosti prenijete naučno-tehnički
dokumentaciju
7.2. Organizacija rada sa inostranim partnerima
7.2.1. Procjena potencijalnih partnera
7.2.2. Prijem stranih predstavnika i vođenje komercijalnih pregovora
7.2.3. Procedura za rad sa inostranim partnerima
7.2.4. Procedura zaštite povjerljivih informacija u radu sa stranim partnerima
Poglavlje 8 REVIZIJA SIGURNOSTI INFORMACIJA [^]
Pogovor
Prijave
1. Državna tehnička komisija Rusije. Vodič Zaštita od neovlaštenog pristupa informacijama. Termini i definicije
2. Koncept informacione sigurnosti Ruske Federacije
3. Spisak podataka klasifikovanih kao državna tajna. Ukaz predsjednika Ruske Federacije o listi podataka koji su klasifikovani kao državne tajne. 24. januara 1998. br. 61
4. Ukaz predsjednika Ruske Federacije. O odobrenju liste povjerljivih informacija
5. Pravilnik o licenciranju tehničkih djelatnosti
zaštita povjerljivih informacija. Uredba Vlade Ruske Federacije od 30. aprila 2002. br. 290 Moskva
6. UPUTSTVO za zaštitu povjerljivih informacija pri radu sa stranim partnerima
7. OBEZBEĐIVANJE OČUVANJA KOMANDNE TAJNE
PREDUZEĆA 8.KATALOG generalnih mjera zaštite
povjerljiva informacija
Bibliografija
Uvod [^]
Značajna karakteristika tekućeg perioda je prelazak iz industrijsko društvo na informacijske, u kojima informacija postaje važniji resurs od materijalnih ili energetskih resursa. Kao što znate, resursi su elementi ekonomskog potencijala koje društvo ima i koji se po potrebi mogu iskoristiti za postizanje određenih ciljeva ekonomske aktivnosti. Kategorije kao što su materijalni, finansijski, radni i prirodni resursi koji su uključeni u privredni promet odavno su poznate i uobičajene, a njihova svrha je svima jasna. Ali onda se pojavio koncept „informacionih resursa“ i iako je legalizovan, još uvek nije dovoljno shvaćen. U citiranoj literaturi ovaj koncept se navodi na sljedeći način: „Informacijski resursi
Pojedinačni dokumenti i pojedinačni nizovi dokumenata, dokumenata i nizova dokumenata u informacionim sistemima (biblioteke, arhivi, fondovi, banke podataka, drugi informacioni sistemi).“ Informacioni resursi su vlasništvo, u nadležnosti su nadležnih organa i organizacija, podložni su računovodstvu i zaštiti, jer se informacije mogu koristiti ne samo za proizvodnju dobara i usluga, već i pretvoriti u gotovinu prodajom nekome, ili, što je još gore, uništiti.
Vlasničke informacije za proizvođača imaju značajnu vrijednost, jer je često dobivanje (kreiranje) takvih informacija vrlo radno intenzivan i skup proces. Očigledno je da je vrijednost informacija (stvarna ili potencijalna) prvenstveno određena prihodima koje ona ostvaruju.
Posebno mjesto u tržišnoj ekonomiji zauzimaju informacioni resursi.
Najvažniji faktor u tržišnoj ekonomiji je konkurencija. Pobjednik je onaj koji proizvodi i prodaje bolje, bolje, jeftinije i brže (vrijeme je novac!). U suštini, ovo je univerzalno tržišno pravilo. I u ovim uslovima, glavno pravilo je: ko poseduje informacije, poseduje i svet.
U konkurenciji su rasprostranjene različite radnje usmjerene na dobijanje (vađenje, sticanje) povjerljivih informacija.
na različite načine, sve do usmjeravanja industrijske špijunaže korištenjem savremenih tehničkih obavještajnih sredstava. Utvrđeno je da se dobije 47% pohranjenih informacija
With korištenjem tehničkih sredstava industrijske špijunaže.
IN U ovim uslovima, zaštiti informacija od nezakonitog sticanja pridaje se veoma značajno mesto. Gde
„Ciljevi zaštite informacija su: sprečavanje otkrivanja, curenja i neovlašćenog pristupa zaštićenim informacijama; prevencija nezakonite radnje o uništavanju, modifikaciji, izobličavanju, kopiranju, blokiranju informacija; sprječavanje drugih oblika nezakonitog miješanja u informacione resurse i informacione sisteme; obezbjeđivanje pravnog režima dokumentovane informacije kao objekta svojine; zaštita ustavnih prava građana na čuvanje lične tajne i povjerljivost ličnih podataka dostupnih u informacionim sistemima; očuvanje državne tajne, povjerljivost dokumentovanih informacija u skladu sa zakonom; osiguranje prava subjekata u informacioni procesi te u razvoju, proizvodnji i korištenju informacionih sistema, tehnologija i sredstava za njihovu podršku.”
Kao što se vidi iz ove definicije ciljeva zaštite,
informaciona sigurnost je prilično prostrana i višestruki problem koji obuhvata ne samo utvrđivanje potrebe za zaštitom informacija, već i kako ih zaštititi, od čega zaštititi, kada zaštititi, šta zaštititi i kakva bi ta zaštita trebala biti.
Autor je potpuno svjestan i svjestan složenosti problema zaštite informacija općenito, a posebno uz pomoć tehničkih sredstava. Ipak, on u ovoj knjizi iznosi svoje viđenje ovog problema, smatrajući da to ne pokriva sve aspekte složen problem, već samo pojedine njegove dijelove.
* * *
Nadolazeći 21. vijek će biti vijek trijumfa teorije i prakse informacija – informatičko doba.
Poglavlje 1. KONCEPT SIGURNOSTI INFORMACIJA [^]
Ono što skladištimo je ono što imamo
"INFORMACIJSKA SIGURNOST -
ovo je stanje sigurnosti informatičkog okruženja društva koje osigurava njegovo formiranje, korištenje i razvoj u interesu građana, organizacija, država.”
(Zakon Ruske Federacije „O učešću u međunarodnoj razmjeni informacija“)
Postulate
1. Informacija je univerzalno svojstvo materije.
2. Svaka interakcija u prirodi i društvu zasniva se na informacijama.
3. Svaki proces obavljanja posla je proces interakcije informacija.
4. Informacije o proizvodu o refleksijama stvarnosti.
5. Realnost se ogleda u prostoru i vremenu.
6. Ništa ne dolazi iz ničega.
7. Informacija zadržava svoje značenje nepromijenjeno sve dok nosilac informacije - MEMORIJA - ostaje nepromijenjen.
8. Ništa jednostavno ne nestaje.
Koncept “informacije” se danas vrlo široko koristi
I svestran. Teško je pronaći oblast znanja u kojoj se ne koristi. Ogromne informacije teku bukvalno
Preplavljujem ljude. Obim naučnih saznanja, na primjer, prema stručnjacima, udvostručuje se svakih pet godina. Ovakva situacija navodi na zaključak da će 21. vek biti vek trijumfa teorije i prakse INFORMACIJA – informatičko doba.
Legitimno je postaviti pitanje: šta je informacija? U literaturi se daje sljedeća definicija: informacije - informacije o osobama, predmetima, činjenicama, događajima, pojavama i procesima, bez obzira na oblik njihovog predstavljanja. Poznato je da informacije mogu imati različite oblike, uključujući podatke koji su ugrađeni u njih
kompjutere, nacrte, paus papire, pisma ili dopise, dosijee, formule, crteže, dijagrame, modele i prototipove proizvoda, disertacije, sudske dokumente i još mnogo toga.
Kao i svaki proizvod, informacija ima potrošače kojima je potrebna, te stoga ima određene potrošačke kvalitete, a ima i svoje vlasnike ili proizvođače.
Sa stanovišta potrošača, kvalitet korišćenih informacija omogućava dobijanje dodatnih ekonomskih ili moralnih koristi.
Sa stanovišta vlasnika, čuvanje tajne je komercijalno važna informacija omogućava vam da se uspešno nadmećete na tržištu za proizvodnju i prodaju roba i usluga. To naravno zahtijeva određene radnje u cilju zaštite povjerljivih informacija.
Shvatanje sigurnosti kao stanja zaštite vitalnih interesa pojedinca, preduzeća, države od unutrašnjih i spoljne pretnje, mogu se razlikovati i sigurnosne komponente - kao što su kadrovski, materijalni i finansijski resursi i informacije.
1.1. Osnovne konceptualne odredbe sistema informacione sigurnosti [^]
Analiza stanja u oblasti informacione sigurnosti pokazuje da je već nastao potpuno formiran koncept i struktura zaštite čija je osnova:
veoma razvijen arsenal tehničkih sredstava za zaštitu informacija, proizvedenih na industrijskoj osnovi;
značajan broj firmi specijalizovanih za rešavanje pitanja bezbednosti informacija;
prilično jasno definisan sistem pogleda na ovaj problem;
prisustvo značajnih praktično iskustvo i drugih.
Pa ipak, kako svjedoče domaća i strana štampa, zlonamjerne radnje protiv informacija ne samo da se ne smanjuju, već imaju i prilično stabilan trend rasta.
Iskustvo pokazuje da je za suzbijanje ovog trenda neophodna koherentna i svrsishodna organizacija procesa zaštite informacionih resursa. Štaviše, ovo bi trebalo
Aktivno učestvuju stručni stručnjaci, administracija, zaposleni i korisnici, što određuje sve veći značaj organizacione strane problema.
Iskustvo takođe pokazuje da:
osiguranje sigurnosti informacija ne može biti
jednokratni čin. Ovo je kontinuiran proces koji se sastoji od opravdavanja i implementacije najracionalnijih metoda, metoda i načina unapređenja i razvoja sistema zaštite, kontinuirano praćenje njeno stanje, identifikujući njeno usko i slabe tačke i nezakonite radnje;
informatička sigurnost može biti samo osigurana
at integrisana upotreba cijeli arsenal raspoloživih sredstava zaštite u svemu strukturni elementi proizvodnog sistema iu svim fazama tehnološkog ciklusa obrade informacija. Najveći efekat se postiže kada se sva korišćena sredstva, metode i mere kombinuju u jedan holistički mehanizam – sistem bezbednosti informacija (IPS). Istovremeno, funkcionisanje sistema se mora pratiti, ažurirati i dopunjavati u zavisnosti od promena spoljašnjih i unutrašnjih uslova;
nijedan sistem bezbednosti informacija ne može da obezbedi potreban nivo bezbednosti informacija bez odgovarajuće pripreme
korisnika i njihovo poštovanje svih utvrđenih pravila u cilju njegove zaštite (Sl.
