Защита информации на предприятии
Покупка
Новинка
Основная коллекция
Издательство:
Инфра-Инженерия
Год издания: 2024
Кол-во страниц: 144
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Профессиональное образование
ISBN: 978-5-9729-1610-8
Артикул: 842392.01.99
Рассмотрены основополагающие принципы создания комплексной системы защиты информации на предприятии. Формулируются принципы комплексного обеспечения информационной безопасности на предприятии. Для студентов высших учебных заведений, обучающихся по направлению подготовки бакалавриата 10.03.01 «Информационная безопасность», профилей подготовки «Организация и технология защиты информации», «Комплексная защита объектов информатизации», специалитета 10.05.02 «Информационная безопасность телекоммуникационных систем». Может быть полезно студентам, обучающимся по техническим специальностям, практикующим специалистам по защите информации, магистрам, аспирантам, докторантам, научным сотрудникам.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.02: Информационная безопасность телекоммуникационных систем
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
М. В. Тумбинская, М. В. Петровский ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ Рекомендовано Учебно-методическим управлением ФГБОУ ВО «Казанский национальный исследовательский технический университет им. А. Н. Туполева – КАИ» в качестве учебного пособия, предназначенного для обучения специалистов по направлению подготовки «Информационная безопасность телекоммуникационных систем» Москва Вологда «Инфра-Инженерия» 2024
УДК 004.056.5 ББК 32.972.5 Т83 Рецензенты: зав. каф. информационной безопасности ФГБОУ ВО «КНИТУ» Алехин Александр Дмитриевич; заместитель генерального директора ООО «АйТи БСА» Ихсанов Тимур Ринатович Тумбинская, М. В. Т83 Защита информации на предприятии : учебное пособие / М. В. Тумбинская, М. В. Петровский. – Москва ; Вологда : Инфра-Инженерия, 2024. – 144 с. : ил., табл. ISBN 978-5-9729-1610-8 Рассмотрены основополагающие принципы создания комплексной системы защиты информации на предприятии. Формулируются принципы комплексного обеспечения информационной безопасности на предприятии. Для студентов высших учебных заведений, обучающихся по направлению подготовки бакалавриата 10.03.01 «Информационная безопасность», профилей подготовки «Организация и технология защиты информации», «Комплексная защита объектов информатизации», специалитета 10.05.02 «Информационная безопасность телекоммуникационных систем». Может быть полезно студентам, обучающимся по техническим специальностям, практикующим специалистам по защите информации, магистрам, аспирантам, докторантам, научным сотрудникам. УДК 004.056.5 ББК 32.972.5 ISBN 978-5-9729-1610-8 Тумбинская М. В., Петровский М. В., 2024 Издательство «Инфра-Инженерия», 2024 Оформление. Издательство «Инфра-Инженерия», 2024
СОДЕРЖАНИЕ ПОСВЯЩЕНИЕ ........................................................................................................... 5 СПИСОК СОКРАЩЕНИЙ ......................................................................................... 7 ВВЕДЕНИЕ ................................................................................................................ 11 Глава 1. Обзор компьютерных преступлений и злоумышленников. Нормативно-правовая база в области защиты информации на предприятии ..... 14 §1.1. Зарубежный опыт организации службы защиты информации на предприятии .......................................................................................................... 14 §1.2. Российская нормативно-правовая база в области защиты информации на предприятии ................................................................................... 17 §1.3. Классификация компьютерных преступлений по российскому законодательству ........................................................................................................ 24 §1.4. Классификация компьютерных злоумышленников .................................. 26 Глава 2. Обзор атак на web-ресурсы предприятия ................................................. 29 §2.1. Аналитика атак на web-приложения .......................................................... 29 §2.2. Инструментальная проверка защищенности информационной системы предприятия ................................................................................................ 31 Глава 3. Обзор программного обеспечения по управлению конфиденциальными данными в информационных системах ............................. 35 §3.1. Виды атак на пароли .................................................................................... 35 §3.2. Анализ программного обеспечения по управлению конфиденциальными данными пользователей в информационных системах .... 38 Глава 4. Защита информации на предприятии ....................................................... 41 §4.1. Корректировка устава предприятия в соответствии с требованиями ФСТЭК ........................................................................................... 41 §4.2. Юридическое оформление права на работу с информацией ограниченного пользования ..................................................................................... 41 §4.3. Создание на предприятии службы «Комплексная система защиты информации и противодействия техническим разведкам и злоумышленникам» ... 47 §4.4. Разработка перечней охраняемых сведений на предприятии .................. 50 §4.5. Разработка перечня заказов, выполняемых предприятием и соответствующих мероприятий по информационной безопасности ................... 53 §4.6. Определение числа выделенных помещений, объектов информатизации, помещений ограниченного доступа и разработка соответствующей документации ............................................................................. 55 §4.7. Подготовка документации для аттестации объектов информатизации и выделенных помещений ........................................................................................ 59 §4.7.1. Разработка должностной инструкции администратора безопасности (уполномоченного по защите информации) объекта информатизации ........................................................................................................ 59 §4.7.2. Разработка инструкции по обеспечению защиты секретной информации, обрабатываемой на объекте информатизации (предприятии) ...... 63 3
§4.7.3. Разработка акта классификации автоматизированной системы объекта информатизации (предприятия)................................................................. 69 §4.7.4. Разработка технического паспорта объекта информатизации (предприятия) ............................................................................................................. 70 §4.7.5. Разработка Предписания на эксплуатацию объекта информатизации (предприятия) .............................................................................. 74 §4.8. Формализация задачи оптимизации комплексной системы защиты информации на предприятиях различных форм собственности .......................... 75 §4.9. Аудит информационной безопасности государственных предприятий ...... 81 §4.10. Программно-аппаратные средства обеспечения защиты информации на предприятии .......................................................................................................... 88 §4.11. Система защиты персональных данных .................................................. 96 §4.11.1. Общие положения ............................................................................... 96 §4.11.2. Состав системы защиты персональных данных .............................. 98 СПИСОК ЛИТЕРАТУРЫ ........................................................................................ 102 Приложение 1. Некоторые положения по оценке численности службы КСЗИ и ПДТРЗ и определению ее должностного состава ................................ 105 Приложение 2. Выделенное помещение, предписание на эксплуатацию объекта информатизации, его паспорт, аттестат соответствия ........................... 110 Приложение 3. Предписание на эксплуатацию объекта вычислительной техники (образец) .................................................................................................... 114 Приложение 4. Технический паспорт на объект информатизации (образец) ... 117 Приложение 5. Положение по аттестации объектов информатизации по требованиям безопасности информации ......................................................... 119 Приложение 6. Заявка на проведение аттестации объекта информатизации (образец) ................................................................................................................... 129 Пpиложение 7. Исходные данные по аттестуемому объекту инфоpматизации (образец) ................................................................................................................... 130 Приложение 8. Примерные темы курсовой работы ............................................. 131 Приложение 9. Вопросы промежуточной аттестации ......................................... 133 4
Светлой памяти академика Владимира Ильича Петровского посвящается... Петровский Владимир Ильич – специалист по исследованиям защиты информации от ее утечки, защиты объектов от иностранных технических разведок, проведения специальных экспертиз при получении заявителем права на работу с информацией, имеющей гриф государственной и коммерческой тайны, член Международной академии информатизации и Академии информатизации Республики Татарстан. В 1982 году совместным решением Министерства радиопромышленности и Министерства обороны Петровский В. И был назначен заместителем Генерального конструктора в КНИИРЭ по информационной безопасности (ИБ). За период работы в КНИИРЭ Петровский В. И. являлся научным руководителем более чем 80 научно-исследовательских и опытно-конструкторских работ. Результаты научной деятельности нашли свое отражение в более 170 рукописных материалах (научно-технические отчеты) и более чем в 190 статьях, опубликованных в специальных и периодических журналах и изданиях. Он активно участвовал в конференциях и совещаниях различного уровня (более 95-и докладов): международных, Всероссийских, региональных и др. Постановлением Кабинета Министров Республики Татарстан № 651-142 от 02.08.96 г. Петровский В. И. был назначен директором Регионального центра по защите информации и проведению специальных экспертиз, был аккредитован Государственной Технической комиссией при Президенте России как Орган по аттестации объектов информатизации, а совместным постановлением Государственной Технической комиссии при Президенте России и Кабинета Министров Республики Татарстан № 690-451 от 10.09.97 г. он был назначен руководителем Лицензионного центра по защите информации. В апреле 2000 г. поступил на работу в КГТУ им. А. Н. Туполева доцентом, а с 2006 года – профессором кафедры «Компьютерные системы и информационная безопасность», а в дальнейшем – кафедры «Системы информационной безопасности». Петровский В. И. являлся Ученым секретарем Научно-технического совета ФНПЦ «Радиоэлектроника» 1997–2000 гг. Награды: Участник Великой Отечественной войны, имеет правительственные награды: ордена: «Отечественной войны 2-ой степени», «Знак Почета», медали: «За Победу над Японией», «За освобождение Кореи», «Жукова», «Ветеран 5
труда», «Двадцать лет Победы в Великой Отечественной войне 1941–1945», знак «25 лет Победы в Великой Отечественной войне 1941–1945», «Тридцать лет Победы в Великой Отечественной войне 1941–1945», «Сорок лет Победы в Великой Отечественной войне 1941–1945», «50 лет Победы в Великой Отечественной войне 1941–1945», знак «55-я годовщина Победы в Великой Отечественной войне 1941–1945», знак «Фронтовик» 1941–1945, «XXX лет Советской армии и флота», «50 лет Вооруженных сил СССР», «60 лет Вооруженных сил СССР», «70 лет Вооруженных сил СССР» и другие. Был за границей 1945–1948 гг. в Корее, в составе войсковой части 21904. Сфера научных интересов: Занимался разработкой радиоприемников с широкой полосой пропускания, разработкой генераторов дециметрового диапазона волн, проводил исследования в области бионики, телеметрии, лазерной техники, теоретически и экспериментально занимался помехозащищенностью средств активного запроса и ответа, проблемами электромагнитной совместимости данных средств на летательных аппаратах, наземных, морских и космических объектах, вопросами защиты информации от ее утечки, защитой объектов от иностранных технических разведок, а также проведением специальных экспертиз при получении заявителем права на работу с информацией, имеющей гриф государственной тайны. Был автором более 150 научных и учебно-методических трудов: монографий, статей в ведущих российских и зарубежных периодических изданиях, учебников, учебных пособий. Научная и профессиональная карьера: После окончания института работал в Казанском научно-исследовательском институте радиоэлектроники (КНИИРЭ): в должностях инженера, ст. инженера, ведущего инженера, начальника лаборатории, а с января 1982 г. – начальником отдела, с марта 1999 г. – ведущим научным сотрудником. Петровский Владимир Ильич был основателем и идеологом создания данной книги, с большим знанием дела, усердием начинал работать над ней… 6
СПИСОК СОКРАЩЕНИЙ АВАК – акустика и виброакустика. A3 – акустическая закладка. АК – акустический канал. АЛ – абонентская линия. AM – амплитудная модуляция. АНБ – Агентство национальной безопасности. АР – акустическая разведка. АРМ – автоматизированное рабочее место. АРР – акустическая разборчивость речи. АРУ – автоматическая регулировка усиления. АС – автоматизированная система. АСУ – автоматизированная система управления. АТС – автоматическая телефонная станция. АФУ – антенно-фидерное устройство. АФХ – амплитудно-фазовая характеристика. А ЧХ – амплитудно-частотная характеристика. АЭП – акустоэлектрическое преобразование. АЭС – атомная электростанция. БЗ – ближняя зона. ВАК – виброакустический канал. ВиВТ – вооружения и военная техника. ВИП – вторичный источник питания. ВОР – визуально-оптическая разведка. ВП – выделенное помещение. ВПО – военно-промышленный объект. ВС – вычислительная система. ВТ – вычислительная техника. ВТК – вихретоковый контроль. ВТСС – вспомогательные технические средства и системы. ВЧ – высокая частота (высокочастотный). ВЧК – взаимодействие человек – компьютер. ВЧН – ВЧ-навязывание. ГАР – гидроакустическая разведка. ГАР-А – ГАР-активная. ГАР-П – ГАР-пассивная. ГАР-С – ГАР-сигнальная. ГИП – графический интерфейс пользователя. ГК – Гражданский кодекс. ГО – гетеродинное оборудование. ГОС – государственный образовательный стандарт. ДВ – длинные волны (длинноволновый). ДК – дозиметрический контроль. ДПР – дистанционное подслушивание разговоров. 7
ДФ – деструктивная функция. ДХР – дистанционная химическая разведка. ЗИ – защита информации. ЗП – защищаемое помещение. ИАО – информационно-аналитический отдел. ИАП – информационно-аналитическое подразделение. ИАС – информационно-аналитическая служба. ИБ – информационная безопасность. ИВС – информационно-вычислительная система. ИВЭП – источник вторичного электропитания. ИК – инженерные конструкции. ИКР – инфракрасная разведка. ИКР-А – ИКР-активная. ИКР-П – ИКР-пассивная. ИКР-С – ИКР-сигнальная. ИЛ – испытательная лаборатория. ИЛС – информационные линии связи. ИСПДн – информационная система персональных данных. ИП – источник помех. ИР – информационные ресурсы. ИРМ – инструментально-расчетный метод. ИСЗ – искусственный спутник Земли. ИТ – информационные технологии. ИТР – иностранная техническая разведка. КА – космический аппарат. KB – короткие волны (коротковолновый). КЗ – контролируемая зона. КИА – контрольно-измерительная аппаратура. КоАП – кодекс административных правонарушений. КПП – контрольно-пропускной пункт. КСЗ – комплекс средств защиты. КСЗИ – комплексная система защиты информации. КУ – канал утечки. КХР – контактная химическая разведка. ЛАЛС – лазерная акустическая локационная система. ЛР – лазерная разведка. ММР – магнитометрическая разведка. МНИ – машинный носитель информации. НКК – нечеткие когнитивные карты. НМД – нормативно-методическая документация. НПВ – непреднамеренное воздействие. НПТ – неравномерное потребление тока. НРБ – нормы радиационной безопасности. НСВ – несанкционированное воздействие. НСД – несанкционированный доступ. 8
НТД – нормативно-техническая документация. НЧ – низкая частота (низкочастотный). ОЗИ – организация защиты информации. ОИ – объект информатизации. ОТСС – основные технические средства и системы. ОЭР – оптоэлектронная разведка. ПВЧГ – паразитная высокочастотная генерация. ПДн – персональные данные. ПДТК – постоянно действующая техническая комиссия. ПК – персональный компьютер. ПКП – приемно-контрольные приборы. ПНВ – прибор ночного видения. ПО – программное обеспечение. ПОС – положительная обратная связь. ПП – постановщик помехи. ППП – преднамеренные программные помехи. ППрП – преднамеренное программное подавление. ПЧ – промежуточная частота. РД – руководящий документ. РДР – радиационная разведка. РЗУ – радиозакладное устройство. РЛР – радиолокационная разведка. РЛС – радиолокационная станция РЛС БО РЛС бокового обзора. РСО – режимно-секретный орган. РТР – радиотехническая разведка. САПР – система автоматизированного проектирования. СБ – система безопасности. СВТ – средства вычислительной техники. СД – секретный документ. СЗИ – система защиты информации. СЗСИ – система защиты секретной информации. СИ – специальные исследования. СКЗИ – средств криптографической защиты информации. СлР – служебное расследование. СМПП – самовоспроизводящиеся программные помехи. СО – средства охраны. СОЗИ – системы организационной защиты информации. СОИ – система отображения информации. СП – структурное подразделение. ТБИ – требования безопасности информации. ТЗ – техническое задание. ТК – Трудовой кодекс. ТКУ – технический канал утечки. ТКУИ – технический канал утечки информации. ТЛВР – телевизионная разведка. 9
ТР – техническая разведка. ТС – технические средства. ТСОИ – технические средства обработки информации. ТСПИ – технические средства передачи информации. TCP – технические средства разведки. ТСС – технические средства и система. ТТЗ – тактико-техническое задание. ТУ – технические условия. УЗ – устройство защиты. УК – Уголовный кодекс. УМС – Управление международного сотрудничества. ФАПСИ – Федеральное агентство правительственной связи и информации. ФМР – фотометрическая разведка. ФР – фотографическая разведка. ФСБ – Федеральная служба безопасности. ФСТЭК – Федеральная служба по техническому и экспортному контролю. ХР – химическая разведка. ЭВМ – электронно-вычислительная машина. ЭВТ – электронно-вычислительная техника. ЭК – экспертная комиссия. ЭЛТ – электронно-лучевая трубка. ЭМИ – электромагнитное излучение. ЭМС – электромагнитная совместимость. 10