Введение

Кулишкин В. А.

Краткий курс лекций по дисциплине

Информационное неравенство

Информационное неравенство (англ. Digital divide) — ограничение возможностей социальной группы из-за отсутствия у неё доступа к современным средствам коммуникации.

Поверх традиционного имущественного неравенства возникает неравенство информационное (цифровое) (Digital Divide). Цифровое неравенство определяет способность стран или отдельных слоев населения в соответствующих пределах получать, использовать, генерировать и распространять информацию (знания).

Мировое общество можно разделить на несколько уровней, в зависимости от активности использования информационных компьютерных технологий.

1. "Инфобогачи" –

2. "Информационный средний класс" –

3. "Информационные бедняки" –

На США приходится 34% мирового рынка информационно-телекоммуникационных технологий, на Европу — 29%, Японию — 12% и на остальные страны мира — 25%.

«Основы информационной безопасности»

УДК 002.56(075.032)

ББК32.973я723

Рецензенты:

канд. техн. наук, профессор, заместитель руководителя Управления Федеральной службы по техническому и экспортному контролю по СЗФО (ФСТЭК России) В. Г. Петров;

канд. техн. наук, доцент ПГУПС Е. Н. Медведев

Краткий курс лекций по дисциплине «Основы информационной безопасности»: Учебное пособие. – СПб.: Петербургский государственный университет путей сообщения, 2008. – 337 с.

Библиогр.: 11 назв. Табл. 2. Ил. 7.

Рассматриваются ключевые вопросы по дисциплине «Основы информационной безопасности», которые вызывают наибольшую трудность у студентов при изучении специальных дисциплин в основном из-за отсутствия необходимого материала. Даны методические указания по изучению соответствующих тем дисциплины. В конце каждой лекции приведены вопросы для самоконтроля изученного материала.

Приведен типовой перечень внутренних организационно-распорядительных документов учреждения (организации) ОАО "РЖД" по защите конфиденциальной информации, источники теоретических знаний, основные положения политики безопасности ОАО «РЖД».

Предназначено для студентов специальностей 090105 (075500), 090106 (075600), а также преподавателей и аспирантов кафедры «Информация и информационная безопасность».

УДК 002.56(075.032)

ББК32.973я723

© Кулишкин В.А., 2008

© Петербургский государственный

университет путей сообщения,

В пособии рассматриваются ключевые разделы курса «Основы информационной безопасности». В него включены как теоретические, так и практические разделы, направленные на развитие навыков анализа и совершенствования информационной безопасности объектов.

Главная цель пособия - познакомить обучаемых с основами информационной безопасности, определить основные направления развития этой области знаний, в рамках образовательной программы попытаться сформировать у них элементы «информационной культуры». Автор не претендует на собственную исключительность и глубинные научные исследования в области информационной безопасности. Не случайно, что и пособие имеет название «Основы информационной безопасности», а не, например, «Теоретические основы информационной безопасности». В этом случае нам пришлось бы основательно потрудиться над теоретическими обоснованиями многих утверждений. Наша цель куда более скромна - пробудить интерес у обучаемых к серьезному и вдумчивому изучению проблем информационной безопасности.

В настоящее время появилось много книг, посвященных рассматриваемой тематике. В ряде основополагающих работ Белова Е.Б., Расторгуева С. П., Ярочкина В. И., Герасименко В. А., Малюка А. А. и других авторов достаточно точно, конкретно и правильно представлены понятия, определения и положения в области информационной безопасности. Многие из них использованы в учебном пособии.

В пособии приведен глоссарий основных терминов. Обращаем внимание на то, что все без исключения определения и термины взяты нами из соответствующих законов РФ в области информации, защиты информации и информационной безопасности. Это освобождает автора от необходимости использовать определения других авторов, не всегда, на наш взгляд, корректные и точные. Кроме того, приведены наиболее употребляемые термины, используемые в области информационной безопасности, на английском языке и их перевод.

В пособии представлены некоторые последние законодательные акты, которые могут использоваться студентами в качестве правовой базы обеспечения информационной безопасности.

Учебное пособие основано на опыте преподавания дисциплины «Основы информационной безопасности» в Петербургском государственном университете путей сообщения. Данная дисциплина включена в государственный образовательный стандарт по специальностям: 090102 - «Компьютерная безопасность», 090105 - «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 - «Информационная безопасность телекоммуникационных систем». Рабочая программа этой дисциплины, контрольные вопросы (тесты) приведены в приложениях.

Государственные образовательные стандарты (ГОС) по группе специальностей «Информационная безопасность» предусматривают изучение следующих тем: понятие национальной безопасности; виды безопасности; информационная безопасность (ИБ) в системе национальной безопасности РФ; основные понятия, общеметодологические принципы теории ИБ; анализ угроз ИБ, проблемы информационной войны; государственная информационная политика; проблемы региональной информационной безопасности; виды информации; методы и средства обеспечения ИБ; методы нарушения конфиденциальности, целостности и доступности информации; причины, виды искажения информации и каналы утечки ее.

Очень важно знать теоретические и практические основы информационной безопасности, хотя бы для того, чтобы избежать «дозированных информационных инъекций».

Теория защиты информацииопределяется как система основных идей, относящихся к защите информации, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связей с другими отраслями знания, формирующаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.

Составными частями теории являются:

· полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты;

· систематизированные результаты анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты;

· научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите информации и объективные предпосылки их удовлетворения;

· общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;

· методы, необходимые для адекватного и наиболее эффективного решения всех задач_. защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;

· методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства для решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;

· научно обоснованные предложения по организации и обеспечению работ по защите информации;

· научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Информационная безопасность определяется способностью государства, общества, личности:

· обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

· противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

· вырабатывать личностные и групповые навыки и умения безопасного поведения;

· поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Информационная война -действия, принимаемые для достижения информационного превосходства в интересах национальной военной стратегии, осуществляемые путем влияния на информацию и информационные системы противника при одновременной защите собственной информации своих информационных систем.

Основная цель защиты любой конфиденциальной информации (информации ограниченного доступа) состоит в том, чтобы предотвратить незаконное овладение ей конкурентами или злоумышленниками.

Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовая, организационная и инженерно-техническая.

Комплексный характер защиты информации проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Читатель, видимо, уже сделал для себя вывод, что информационная безопасность - достаточно сложная и многогранная проблема, решение которой под силу хорошо организованным и подготовленным структурам.

Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехстадийная (трехэтапная) разработка таких мер.

Первая стадия - выработка требований - включает:

· определение состава средств информационной системы (ИС);

· анализ уязвимых элементов ИС;

· оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов);

· анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы).

Вторая стадия - определение способов защиты - включает ответы на следующие вопросы:

· какие угрозы должны быть устранены и в какой мере?

· какие ресурсы системы должны быть защищены и в какой мере?

· с помощью каких средств должна быть реализована защита?

· какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

Третья стадия -определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.

Все три стадии разработки и реализации защитных мероприятий по обеспечению безопасности информационных систем в строгом соответствии общих мер обеспечения информационной безопасности.

Общие меры обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационные технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

· внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации; устранение внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;

· законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

· разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

· уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;

· законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

· определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;

· создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

· создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

· усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

· создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

· выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

· сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

· совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

· контроль действий персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

· формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

· разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

· совершенствование системыфинансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

· Важнейшими задачами обеспечения информационной безопасности Российской Федерации являются:

· реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;

· совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

· противодействие угрозе развязывания противоборства в информационной сфере.

Объекты защиты информации

Объектами защиты информации могут быть: •Информация; •Охраняемые сведения; •Документированная информация (документ); •Документ в электронной форме отображения (электронный документ); •Информационные ресурсы; •Информационные ресурсы по категориям доступа; •Общедоступная информация; •Секретная информация; •Конфиденциальная информация •Сведения конфиденциального характера; •Служебная тайна; •Коммерческая тайна; •Тайна связи; •Банковская тайна; •Налоговая тайна; •Врачебная тайна; •Сведения, которые не могут разглашаться органами Федеральной службы безопасности; •Сведения, которые запрещается разглашать органам (должностным лицам), осуществляющим оперативно-розыскную деятельность; •Информация, не подлежащая разглашению органами внешней разведки; •Информация о гражданах (персональные данные); •Фискальные данные; •Информационные процессы; •Информационный процесс; •Обработка информации; •Информационная система; •Информационная технология; •Информационные продукты (продукция); •Информационные услуги; •Вычислительная сеть; •Объект информационной безопасности взаимоувязанной сети связи Российской Федерации; •Информационная безопасность Взаимоувязанной сети связи Российской Федерации; •Информационно- безопасная (защищенная) сеть связи общего пользования (служба электросвязи); •Информационная сфера Взаимоувязанной сети связи Российской Федерации; •Служба электросвязи; •Электрическая связь (электросвязь); •Сети электросвязи; •Сеть связи общего пользования; •Государственное предприятие связи; •Ведомственные сети связи; •Носитель информации; •Предприятия и организации; •Специальные объекты; •Военные объекты; •Режимные объекты; •Войска; •Военная техника; •Вооружение ;•Объекты оборонной промышленности; •Военная продукция; •Продукция военного назначения; •Оборонная продукция; •Продукция двойного назначения; •Технология двойного применения; •Права собственника информационных ресурсов; •Право на доступ к информации из информационных ресурсов; •Право граждан быть информированными; •Доступ граждан и организаций к информации о них; •Авторское право •Личные неимущественные права автора; •Личные права автора программы для электронно-вычислительной машины или базы данных; •Имущественные права автора; •Имущественные права автора программы для электронно-вычислительной машины или базы данных; •Право на неприкосновенность (целостность) программы для электронно-вычислительной машины или базы данных.

Особое место среди объектов защиты ОАО «РЖД» занимает система передачи данных (СПД).

Структура подсистемы обеспечения информационной безопасности системы передачи данных (далее ПОИБ СПД) определяется задачами, стоящими перед ней:

· обеспечение целостности и доступности передаваемых данных пользователей;

· защита программно-аппаратных комплексов СПД от НСД;

· криптографическая защита пакетов данных системы управления СПД.

В состав ПОИБ СПД входит:

· система управления ПОИБ СПД,

· комплекс средств защиты от НСД ПТК центров управления СПД и информационных ресурсов активного оборудования,

· комплекс средств криптографической защиты трафика системы управления СПД,

· комплекс средств ограничения доступа к локальным сетям центров управления СПД,

· комплекс средств контроля и выявления не декларированных возможностей в ОС IOS маршрутизирующего оборудования.

На рисунке 7 представлена схема функциональной структуры ПОИБ СПД.

Рисунок 1 Структурная схема ПОИБ СПД.