ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4209
Скачиваний: 25
ВЫСШЕЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ
В. Г. ГРИБУНИН, В.В.ЧУДОВСКИЙ
КОМПЛЕКСНАЯ
СИСТЕМА ЗАЩИТЫ
ИНФОРМАЦИИ
НА ПРЕДПРИЯТИИ
Рекомендовано
Учебно-методическим объединением
вузов Российской Федерации по образованию
в области историко-архивоведения в качестве
учебного пособия для студентов высших учебны х заведений,
обучающихся по специальностям «Организация и технология
защ ит ы инф ормации», «Комплексная защит а объектов
информат изации» направления подгот овки
«Инф ормационная безопасность»
ACADEMIA
М осква
Издательский центр «Академия»
2009
УДК 621.38(075.8)
ББК 32.81я73
Г827
Р е ц е н з е н т ы :
канд. техн. наук
В. Б. Кравченко
(директор Института информационных наук
и технологий безопасности Российского государственного гуманитарного
университета);
канд. техн. наук
М
.
В. М ецатунян
(зав. кафедрой методологии защиты инфор
мации Российского государственного гуманитарного университета)
Грибунин В. Г.
Г827
Комплексная система защиты информации на предпри
ятии
учеб. пособие для стул. высш. учеб. заведений /
В. Г. Грибунин, В.В.Чудовский. — М. Издательский центр
«Академия», 2009. — 416 с.
ISBN 978-5-7695-5448-3
В учебном пособии раскрыты научные, методологические и законода
тельные основы организации комплексной системы защиты информации
на предприятии, а также основные аспекты практической деятельности
по ее созданию, обеспечению функционирования и контроля эффектив
ности.
Для студентов высших учебных заведений. Может быть использовано
в практической работе сотрудниками предприятий и организаций неза
висимо от их организационно-правовой формы и ведомственной принад
лежности.
УДК 621.38(075.8)
ББК 32.81я73
Оригинал-макет данного издания является собственностью
Издательского центра «Академия», и его воспроизведение любым способом
без соріасця правообладателя запрещается
I
<fc Грибунин В. Г., Чудовский В. В., 2009
© Образовательно-издательский центр «Академия», 2009
ISBN 978-5-7695-5448-3
© Оформление. Издательский центр «Академия», 2009
ПРЕДИСЛОВИЕ
Принятие решений во всех сферах жизнедеятельности пред
приятия или организации все в большей степени базируется на
информационных процессах. Анализ этих процессов с последую
щей выработкой управляющих решений осуществляется на осно
ве информационных моделей, построенных на современных ин
формационно-телекоммуникационных технологиях. Поэтому за
шита информации представляет собой самостоятельную состав
ляющую безопасности предприятия в целом, значение которой с
каждым годом растет.
Информационный ресурс становится одним из главных источ
ников экономической эффективности предприятия. Фактически
наблюдается тенденция, когда все сферы жизнедеятельности пред
приятия становятся зависимыми от информационного развития,
в процессе которого они сами порождают информацию и сами же
ее потребляют.
На современном этапе развития основными угрозами безопас
ности предприятия являются угрозы в сфере информационного
обеспечения. Последствиями успешного проведения информаци
онных атак могут стать компрометация или искажение конфи
денциальной информации, навязывание ложной информации,
нарушение установленного регламента сбора, обработки и пере
дачи информации, отказы и сбои в работе технических систем,
вызванные преднамеренными и непреднамеренными действиями
как со стороны конкурентов, так и со стороны преступных сооб
ществ, организаций и групп. К одной из наиболее важных задач в
области безопасности предприятия следует отнести создание ком
плексной системы защиты информации (КСЗИ). Различным ас
пектам этой проблемы посвящено данное учебное пособие.
ВВЕДЕНИЕ
Необходимость зашиты информации осознавалась с глубокой
древности. Недаром до нас дошли сведения о применявшихся в
прошлом методах защиты — технических (например, шифр Цеза
ря, различные виды стеганографии) и организационных (зачас
тую они сводились к физическому устранению людей — носите
лей сведений, когда необходимость в них миновала).
Шло время, совершенствовались не только методы зашиты, но
и методы нападения. В Советском Союзе обеспечению безопас
ности информации уделялось большое внимание. Но решать эти
вопросы, когда «все вокруг народное, все вокруг ничье», было
сравнительно несложно. Иное дело — современная экономиче
ская обстановка, когда в ожесточенной конкурентной схватке бо
рется множество больших и малых организаций. В борьбе, как
известно, все средства хороши, а тем более эффективные. К та
ким, без сомнения, можно причислить нападение на информа
цию конкурента с целью завладеть ею, исказить, сделать недо
ступной и т.д. Поэтому вопросы защиты информации в совре
менном обществе имеют первостепенное значение.
Особенно облегчается задача злоумышленника в связи с по
всеместным внедрением автоматизированной обработки инфор
мации. Степень автоматизации фирмы определяет зачастую ее кон
курентоспособность и в то же время является источником много
численных угроз безопасности. Неслучайно в сознании многих
людей зашита информации — это прежде всего зашита информа
ции в компьютерных системах от несанкционированного досту
па. Конечно, эта точка зрения неверна точно так же, как неверна
и точка зрения другой полярности: все определяется организаци-
онно-режимными мерами.
Надежное обеспечение безопасности информации немыслимо
без реализации комплексного подхода к решению этой задачи.
Отсюда и потребность как в создании комплексной системы защи
ты информации на предприятии, так и в подготовке специалис
тов по данному профилю. Поэтому и была разработана програм
ма специальностей 075300, 075400, которая включила и дисциплину
«Комплексная система защиты информации на предприятии».
Построение глав учебного пособия соответствует плану этой
дисциплины. В
первой главе
рассмотрены основные понятия и
определения изучаемой дисциплины, ее задачи и функции, во
второй главе
— принципы организации и этапы разработки ком
плексной системы защиты информации (КСЗИ), ее взаимосвязь
с другими системами предприятия. С учетом того что КСЗИ яв
ляется сложной системой, здесь же приведены основные положе
ния теории сложных систем. На построение КСЗИ предприятия
влияют множество факторов, которые подробно рассмотрены в
третьей главе.
Прежде чем защищать что-либо, нужно ответить на вопросы:
«Что защищать?», «От кого защищать?», «В соответствии с каки
ми требованиями строить защиту?». Для ответа на последний воп
рос необходимо четко представлять себе классификацию инфор
мации по видам тайн, нормативно-правовые аспекты ее защиты,
методику определения состава защищаемой информации. Все это
входит в содержание
четвертой главы
книги. В
пятой главе
при
ведены подлежащие защите объекты, которые являются носите
лями информации, либо на которых защищаемая информация об
рабатывается, объясняется необходимость защиты тех или иных
объектов. Факторы и угрозы безопасности информации, а также
модели нарушителей рассмотрены в
шестой главе.
Защиту информации техническими средствами можно разде
лить на два больших направления: защита от утечки информации
по техническим каналам и защита от несанкционированного до
ступа к информации в автоматизированных системах. Техничес
кие каналы утечки информации, а также меры по их нейтрализа
ции рассмотрены в
седьмой главе. Восьмая глава
посвящена за
щите информации (ЗИ) от несанкционированного доступа (НСД)
к ней в автоматизированных системах (АС).
В
девятой главе
приведен общий подход к субоптимальному
выбору компонентов системы. В качестве иллюстрации данного
подхода решается задача выбора компонентов подсистемы КСЗИ,
связанной с защитой информации от НСД в АС, но аналогичным
образом можно решать и другие задачи по определению компо
нентов КСЗИ. На этот выбор большое влияние оказывают усло
вия функционирования КСЗИ, рассмотренные в
десятой главе.
Изучение ведется на основе концепции безопасности информа
ции в автоматизированной системе предприятия, разработанной
в одной из фирм.
Одиннадцатая глава
посвящена моделям КСЗИ.
Особое внимание уделяется формальным моделям безопасности.
На практическом примере показан принцип формализации тре
бований безопасности и условий функционирования системы.
Построенная формальная модель используется в девятой главе при
обосновании выбора средств защиты информации.
В
двенадцатой главе
рассмотрены технологические и органи
зационные аспекты построения КСЗИ. Приведены стадии созда
ния КСЗИ, основное содержание технического задания на ее по