- •Предисловие
- •Глава первая
- •1.1. Цели и задачи информатизации общества
- •1.2. Общая схема и содержание информационного обеспечения различных сфер деятельности
- •1.3. Объективные предпосылки индустриализации информационных процессов
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •1.4. Структура и содержание унифицированной технологии автоматизированной обработки информации
- •1.5. Возникновение и история развития проблемы защиты информации
- •Глава 1
- •Глава 1
- •Глава 1
- •1.6. Современная постановка задачи защиты информации
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •2.1. Определение и основные понятия теории защиты информации
- •Глава 2
- •2.2. Общеметодологические принципы формирования теории защиты информации
- •Глава 2
- •Глава 2
- •2.3. Методологический базис теории защиты информации
- •Глава 2
- •Неформальные методы оценивания
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •2.5. Основные результаты развития теории защиты информации
- •Глава 2
- •2.6. Стратегии защиты информации
- •Глава 2
- •Глава 2
- •Глава 2
- •2.7. Унифицированная концепция защиты информации
- •3. Система показателей уязвимости (защищенности) информации.
- •5. Методология оценки уязвимости (защищенности) информации. В
- •3.1. Определение и содержание понятия угрозы информации в современных системах ее обработки
- •Глава 3
- •3.2. Ретроспективный анализ подходов к формированию множества угроз информации
- •Глава 3 j
- •Глава 3
- •3.3. Цели и задачи оценки угроз информации
- •Глава 3 j
- •3.4. Система показателей уязвимости информации
- •Глава 3
- •3.5. Классификация и содержание угроз информации
- •Глава 3
- •Глава 3
- •3.6. Методы и модели оценки уязвимости информации
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава четвертая
- •4.1. Постановка задачи определения требований к защите информации
- •Глава 4
- •Глава 4
- •Глава 4
- •Глава 4
- •4.2. Анализ существующих методик определения требований к защите информации
- •Глава 4
- •Глава 4
- •Глава 4
- •4.3. Методы оценки параметров защищаемой информации
- •Глава 4
- •Глава 4
- •Глава 4
- •4.4. Факторы, влияющие на требуемый уровень защиты информации
- •Глава 4
- •4.5. Определение весов вариантов потенциально возможных _ условий защиты информации
- •Глава 4
- •5.1. Определение и анализ понятий функций и задач защиты
- •5.2. Методы формирования функций защиты
- •Глава 5
- •5.3. Структура и содержание полного множества функций защиты
- •Глава 5
- •Глава 5
- •Глава 5
- •Глава 5
- •5.4. Методы формирования, структура и содержание репрезентативного множества задач защиты
- •Глава 5
- •Глава 5
- •Глава шестая средства защиты информации
- •6.1. Обоснование состава и системная классификация средств защиты информации
- •Глава 6 '_
- •Глава 6
- •6.2. Технические средства защиты
- •Глава 6
- •Съем информации с датчиков различных типов (контактных, ин фракрасных, радиотехнических и т. Д.) (число датчиков, обслуживаемых
- •Глава 6
- •Глава 6
- •Глава 6
- •6.3. Программные средства защиты
- •Глава 6
- •Глава 6
- •Глава 6
- •6.4. Организационные средства защиты
- •6.5. Криптографические средства защиты
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6 I
- •Глава 6
- •Глава 6
- •Глава седьмая системы защиты информации
- •7.1. Определение и общеметодологические принципы построения систем защиты информации
- •Глава 7
- •7.2. Основы архитектурного построения систем защиты
- •Глава 7
- •Глава 7
- •7.3. Типизация и стандартизация систем защиты
- •Глава 7
- •Глава 7
- •Глава 7
- •7.4. Методы проектирования систем защиты
- •Глава 7
- •7.5. Управление процессами функционирования систем защиты
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •8.1. Особенности защиты информации в персональных эвм
- •Глава 8
- •8.2. Угрозы информации в персональных эвм
- •Глава 8
- •8.3. Обеспечение целостности информации в пэвм
- •Глава 8
- •8.4. Защита пэвм от несанкционированного доступа
- •Глава 8
- •3. Разграничение доступа к элементам защищаемой информации.
- •Глава 8
- •Глава 8
- •Глава 8
- •8.5. Защита информации от копирования
- •8.6. Защита пэвм от вредоносных закладок (разрушающих программных средств)
- •Глава 8
- •Глава 8
- •2. Принципиальные подходы и общая схема защиты от закладок.
- •Глава 8
- •Защита информации в сетях эвм
- •9.1. Основные положения концепции построения и использования сетей эвм
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •9.2. Цели, функции и задачи защиты информации в сетях эвм
- •Глава 9
- •Глава 9
- •9.3. Архитектура механизмов защиты информации в сетях эвм
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •9.4. Методы цифровой подписи данных, передаваемых в сети
- •Глава 9
- •Глава 9
- •9.5. Пример системы защиты локальной вычислительной сети
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава десятая
- •10.1. Перечень и общее содержание основных вопросов организации и обеспечения работ по защите информации
- •Глава 10
- •Глава 10
- •10.2. Структура и функции органов защиты информации
- •Глава 10
- •Глава 10
- •Глава 10
- •Глава 10
- •10.3. Научно-методологическое и документационное обеспечение работ по защите информации
- •Глава 10
- •Глава 10
- •10.4. Условия, способствующие повышению эффективности защиты информации
- •Глава 10
- •Глава 10
- •Глава 10
Глава 6
автоматизированный программно-аппаратный комплекс по уп равлению и расчетам автозаправочных предприятий (шифр "Кютан-С"), разработанный акционерным обществом "Центр технического обслужи вания ККМ";
программно-аппаратный комплекс защиты от НСД и обработ ки конфиденциальной информации DALLAS Lock 3.1, разработанный Ассоциацией защиты информации "Конфидент";
12) система защиты локальной вычислительной сети "SECRET NET", версия 1.10 (включая ее локальную версию) - по 6 классу защищен ности для СВТ, разработанная акционерным обществом закрытого типа "Информзащита".
В гл. 8 будут приведены общие сведения об упоминавшейся выше комплексной системе защиты информации от несанкционированного доступа "Снег 2.0".
6.4. Организационные средства защиты
В соответствии с определением, приведенным в § 6.1, организационными средствами защиты названы организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе проектирования, создания и эксплуатации АСОД с целью защиты информации. Организационные средства играют особую роль в общем механизме защиты, что обусловлено повышенным влиянием случайных факторов на защищенность информации, а важнейшей отличительной чертой рассматриваемых средств является их способность учитывать случайные факторы (неформальный характер).
Следующее важное обстоятельство, которое непременно должно учитываться при разработке организационных средств, заключается в особой, тройственной их роли в механизмах защиты информации: они, во-первых, позволяют непосредственно решать (самостоятельно или в комплексе с другими средствами) задачи защиты, во-вторых, обеспечивают эффективное использование средств других классов, а, в-третьих, позволяют рациональным образом объединить все средства в единую, целостную систему защиты. Сказанное предопределяет необходимость более пристального внимания к организационным средствам, отличительными особенностями которых являются:
1) всеобщность, т. е. актуальность использования их для решения широкого круга задач защиты во всех компонентах АСОД, на всех этапах их жизненного цикла и во всех ситуациях, которые имеют или могут иметь место в процессе автоматизированной обработки информации;
Средства защиты информации
явно выраженная неформальность, т. е. возможность разработки и реализации их только при непременном и активном участии людей;
специфичность, т. е. возможность эффективной разработки и реализации при условии высокой профессиональной подготовки специа листов, участвующих в разработке и реализации;
высокий уровень неопределенности, т. е. невозможность фор мального определения точных границ и эффективности их действия.
Перечисленными особенностями обусловливаются два существенных обстоятельства: 1) множество всех необходимых и потенциально возможных организационных средств является неопределенным; 2) не существует формальных методов формирования перечня и содержания организационных средств.
Исхода их этого, основными методами формирования организационных средств могут быть только неформально-эвристические методы в различных модификациях. Рассматриваемые ниже средства формировались именно такими методами. Для этого была разработана приводимая ниже классификационная структура организационных средств, затем методами экспертных суждений формировались перечни средств каждой группы. Дополнительным пособием в этой работе послужили имеющиеся публикации по различным аспектам защиты информации.
Отличительные особенности организационных средств обусловливают и особенности их использования, самой важной из которых является та, что защитные функции организационных средств могут быть реализованы лишь как результат целенаправленной деятельности людей, имеющих отношение к автоматизированной обработке защищаемой информации. Отсюда вытекает ряд следствий, основными из которых следует назвать следующие: люди, реализующие организационные средства, должны иметь стимулы, побуждающие их эффективно реализовывать все организационные средства, они должны быть подготовлены к реализации этих средств, и они должны быть обеспечены всем необходимым для их реализации.
На основе анализа сущности и места организационных средств в общей структуре средств СЗИ нетрудно заключить, что для системной классификации рассматриваемых средств представительной будет следующая совокупность критериев: этапы жизненного цикла системы защиты информации, функции организационных средств, сфера действия организационных средств.
В табл. 6.3 приведены общие данные, характеризующие, структуру перечисленных критериев.
i £i
но должны сопровождать все процессы, каким-либо образом имеющие отношение к обработке защищаемой информации.
Ниже для иллюстрации приводится перечень некоторых организационных мер защиты:
организация разработки, внедрения и использования средств и систем защиты;
управление доступом персонала на территорию, в здания и по мещения объекта путем проверки пропусков;
контроль состояния и использования технических средств, доку ментов, машинных носителей информации и других компонентов АСОД;
контроль соблюдения правил защиты информации пользовате лями и персоналом АСОД;
планирование и организация обработки защищаемой информа ции;
подбор, расстановка и подготовка кадров, участвующих в обра ботке защищаемой информации;
организация уничтожения бумажных документов, содержащих защищаемую информацию, надобность в которых миновала;
организация ведения архивных массивов данных и документов;
ведение журналов регистрации сбоев и отказов средств и систем защиты;
организация учета и обработки сведений об обнаруженных удачных и неудачных попытках несанкционированных действий в АСОД;
организация и проведение профилактических осмотров и ре монта средств и систем защиты информации;
анализ функционирования средств и систем защиты информа ции в целях их совершенствования;
разработка и внедрение в практику инструкций и других доку ментов, регламентирующих правила обращения с защищаемой информа цией.