Безопасность информационных систем
Покупка
Издательство:
ФЛИНТА
Год издания: 2022
Кол-во страниц: 184
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9765-1904-6
Артикул: 484318.04.99
В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем. Для студентов по направлению подготовки 230400 — Информационные системы и технологии (квалификация «бакалавр»).
Тематика:
ББК:
УДК:
- 004: Информационные технологии. Вычислительная техника...
- 351: Государственное административное управление
ОКСО:
- ВО - Бакалавриат
- 09.03.02: Информационные системы и технологии
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФГБОУ ВПО «Брянский государственный университет имени академика И.Г. Петровского» В.В. Ерохин Д.А. Погонышева И.Г. Степченко бЕзоПАСноСть ИнформАцИонных СИСтЕм Учебное пособие 4-е издание, стереотипное Москва Издательство «ФЛИНТА» 2022
УДК 004.239.056:351.07(075.8) ББК 32.81я73 Е76 Р е ц е н з е н т ы : кафедра «Системы информационной безопасности» Брянского государственного технического университета; д-р техн. наук В.И. Аверченков Научный редактор Н.М. Горбов Е76 Ерохин В.В. Безопасность информационных систем : учебное пособие / В.В. Ерохин, Д.А. Погонышева, И.Г. Степченко. — 4-е изд., стер. — Москва : ФЛИНТА, 2022. — 184 с. : ил. — ISBN 978-5-9765-1904-6. — Текст : электронный. В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем. Для студентов по направлению подготовки 230400 — Информационные системы и технологии (квалификация «бакалавр»). УДК 004.239.056:351.07(075.8) ББК 32.81я73 © Ерохин В.В., Погонышева Д.А., Степченко И.Г., 2015 ISBN 978-5-9765-1904-6 © Издательство «ФЛИНТА», 2015
оГЛАВЛЕнИЕ Введение ..............................................................................................................5 Глава 1. Стандарты и угрозы информационной безопасности ...............7 1.1. Международные стандарты информационного обмена .....................7 1.2. Угрозы безопасности информации .....................................................14 1.3. Информационная безопасность в условиях функционирования в России глобальных сетей .........................................................................20 Глава 2. нарушение и защита информационных систем .......................32 2.1. Виды противников или «нарушителей» .............................................32 2.2. Понятия о видах вирусов .....................................................................43 2.3. Виды нарушений информационной системы ....................................57 2.4. Защита информационных систем........................................................64 Глава 3. нормативные руководящие документы, назначение и задачи информационной безопасности россии .....................................80 3.1. Основные нормативные руководящие документы, касающиеся государственной тайны ...............................................................................80 3.2. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства .........................................................94 Глава 4. защита информации в компьютерных системах ...................101 4.1. Основные положения теории информационной безопасности информационных систем ..........................................................................101 4.2. Модели безопасности и их применение ...........................................104 4.3. Таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование ....111 4.4. Анализ способов нарушений информационной безопасности ......126 4.5. Использование защищенных компьютерных систем......................136 4.6. Методы криптографии .......................................................................146
Глава 5. Построение защищенных экономических информационных систем .............................................................................................................157 5.1. Основные технологии построения защищенных экономических информационных систем ..........................................................................157 5.2. Место информационной безопасности экономических систем в национальной безопасности страны .....................................................161 5.3. Концепция информационной безопасности .....................................164 Глоссарий .........................................................................................................179 Литература .......................................................................................................182
ВВЕДЕнИЕ В предлагаемом учебном пособии, излагаются основные принципы и положения организации информационной безопасности. При этом показано главное направление деятельности системы информационной безопасности — защита компьютерных систем и интересов государства. Информационная безопасность — это быстро развивающаяся область информационных технологий, которая должна обеспечивать состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. С возрастанием роли информации и информационных потоков появилась проблема информационной безопасности. Основными объектами рассмотрения в пособии является изучение различных аспектов обеспечения безопасности в информационной сфере. В центре внимания — категории информационной безопасности: доступность, целостность и конфиденциальность. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. В связи с этим проводится анализ и классификация угроз нарушения доступности, целостности и конфиденциальности, рассматриваются основные стандарты и законодательные акты, а также механизмы обеспечения информационной безопасности и ее составляющих. Пособие состоит из пяти глав. В первой главе рассматриваются международные стандарты информационного обмена, угрозы безопасности информации, информационная безопасность в условиях функционирования в России глобальных сетей. Во второй главе излагаются общие подходы к изучению систем информационной безопасности. Описываются виды противников, приводятся понятия о видах электронных вирусов. Рассматриваются виды нарушений информационной системы и защита информационных систем. В третьей главе рассматриваются основные нормативные руководящие документы, касающиеся государственной тайны и норма
тивно-справочные документы в области информационной безопасности. Представлены назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Четвертая глава посвящена защите информации в компьютерных системах. Определены основные положения теории информационной безопасности информационных систем. Приведены модели безопасности и их применение. Рассмотрена таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование. Дан анализ способов нарушений информационной безопасности. Предлагаются основные положения использования программно-технических средств для защиты компьютерных систем. Описаны методы криптографии и принципы функционирования электронной цифровой подписи. В пятой главе рассматриваются вопросы построения защищенных экономических информационных систем. Изложены основные технологии построения защищенных экономических информационных систем. Раскрыто место информационной безопасности экономических систем в национальной безопасности страны. Представлена концепция информационной безопасности. По тематике настоящего учебного пособия имеется достаточно обширная литература, однако в них недостаточно изложены вопросы практического применения основных правил функционирования систем информационной безопасности. Это дает нам право предложить данное учебное пособие как основной систематизированный материал для более полного и достаточного изучения дисциплин в области управления системами информационной безопасности. Учебное пособие предназначено для студентов по направлению подготовки 230400 — Информационные системы и технологии (квалификация «бакалавр»).
Глава 1 СтАнДАрты И уГрозы ИнформАцИонной бЕзоПАСноСтИ 1.1. международные стандарты информационного обмена Обеспечение информационной безопасности (ИБ) необходимо проводить с учетом соответствующих стандартов и спецификаций. Стандарты в области криптографии и Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России, ранее Государственная техническая комиссия при Президенте Российской Федерации) закреплены законодательно. Роль стандартов зафиксирована в основных понятиях закона РФ «О техническом регулировании» от 27 декабря 2002 г. под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 г.): • стандарт — документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения; • стандартизация — деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. Выделяют две группы стандартов и спецификаций в области ИБ: • оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности; • спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
Оценочные стандарты описывают важнейшие понятия и аспекты информационных систем (ИС), играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования. К оценочным стандартам относятся: 1. Стандарт МО США «Критерии оценки доверенных компьютерных сетей» (Department of Defense Trusted Computer System Evaliation Criteria, TCSEC), («Оранжевая книга») и его сетевая конфигурация «Гармонизированные критерии Европейских стран». 2. Международный стандарт «Критерии оценки безопасности информационных технологий». 3. Руководящие документы ФСТЭК России. 4. Федеральный стандарт США «Требования безопасности для криптографических модулей». 5. Международный стандарт ISO IES 15408:1999 «Критерии оценки безопасности информационных технологий» («Общие критерии»). Технические спецификации, применимые к современным распределенным ИС, создаются, «Тематической группой по технологии Internet» (Internet Engineering Task Force, IETF) и ее подразделением — рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSSAPI, Kerberos). Необходимо отметить, что Internet-сообщество уделяет должное внимание административному и процедурному уровням безопасности («Руководство по информационной безопасности предприятия», «Как выбирать поставщика Интернет-услуг», «Как реагировать на нарушения информационной безопасности»). Сетевая безопасность определяется спецификациями Х.800 «Архитектура безопасности для взаимодействия открытых систем», Х.500 «Служба директорий: обзор концепций, моделей и сервисов» и Х.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов». Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» предназначен для руководителей
организаций и лиц, отвечающих за информационную безопасность, без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799. Общие сведения о стандартах и спецификациях в области информационной безопасности представлены ниже. «оранжевая книга» В «Оранжевой книге» заложен понятийный базис ИБ: — безопасная и доверенная системы, — политика безопасности, — уровень гарантированности, — подотчетность, — доверенная вычислительная база, — монитор обращений, — ядро и периметр безопасности. Стандарт выделяет политику безопасности, как добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов. С концептуальной точки зрения наиболее значимый документ в ней — «Интерпретация “Оранжевой книги” для сетевых конфигураций» (Trusted Network Interpretation). Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций. Важнейшее понятие, введенное в первой части, — сетевая доверенная вычислительная база. Другой принципиальный аспект — учет динамичности сетевых конфигураций. Среди защитных механизмов выделена криптография, помогающая поддерживать как конфиденциальность, так и целостность. Также стандарт описывает достаточное условие корректности фрагментирования монитора обращений, являющееся теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций. Гармонизированные критерии Европейских стран В этих критериях отсутствуют требования к условиям, в которых должна работать информационная система. Предполагается, что сначала формулируется цель оценки, затем орган сертификации опреде
ляет, насколько полно она достигается, т.е. в какой мере корректны и эффективны архитектура и реализация механизмов безопасности в конкретной ситуации. Чтобы облегчить формулировку цели оценки, стандарт содержит описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем. В «Гармонизированных критериях» подчеркивается различие между системами и продуктами информационных технологий, но для унификации требований вводится единое понятие — объект оценки. Важно указание и на различие между функциями (сервисами) безопасности и реализующими их механизмами, а также выделение двух аспектов гарантированности — эффективности и корректности средств безопасности. «Гармонизированные критерии» подготовили появление международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Evaluation criteria for IT security), в русскоязычной литературе именуемого «Общими критериями». На данный момент времени «Общие критерии» — самый полный и современный оценочный стандарт. Это стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; он не содержит предопределенных классов безопасности. Такие классы можно строить, опираясь на заданные требования. «Общие критерии» содержат два основных вида требований безопасности: • функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам; • требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации. Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки — аппаратно-программного продукта или информационной системы. Безопасность в «Общих критериях» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. «Общие критерии» способствуют формированию двух базовых видов используемых на практике нормативных документов — это профиль защиты и задание по безопасности.