Сущность и задачи комплексной защиты информации

1 2 3 4 5 6 7

Федеральное государственное бюджетное образовательное учреждение

Высшего профессионального образования

«Тульский государственный университет»

Политехнический институт

Факультет транспортных и технологических систем

Кафедра «Технология полиграфического производства

и защиты информации»

КОНСПЕКТ ЛЕКЦИЙ

по дисциплине

Комплексная система защиты информации на предприятии

Направление подготовки:

090900 «Информационная безопасность»

Профиль подготовки:

«Организация и технология защиты информации»

Квалификация выпускника:

бакалавр

Форма обучения:

очная

Тула 2012 г.

Конспект лекций составлен к.т.н., доцентом О. В. Чечугой, обсужден и утвержден на заседании кафедры «Технология полиграфического производства и защиты информации» факультета Транспортных и технологических систем.

протокол № от «» 20г.

Зав. кафедрой __ А.К. Талалаев

Содержание

Введение

Тема 1. Сущность и задачи комплексной защиты информации

1.1 Понятийный аппарат в области обеспечения безопасности информации

1.2 Цели, задачи и принципы построения КСЗИ

1.3 О понятиях безопасности и защищенности

1.4 Разумная достаточность и экономическая эффективность

1.5 Управление безопасностью предприятия. Международные стандарты

1.6 Цели и задачи защиты информации в автоматизированных системах

1.7 Современное понимание методологии защиты информации

1.7.1 Особенности национального технического регулирования

1.7.2 Что понимается под безопасностью ИТ?

1.7.3 Требования к средствам обеспечения безопасности

Тема 2. Принципы организации и этапы разработки КСЗИ

2.1 Методологические основы организации КСЗИ

2.2Разработка политики безопасности и регламента безопасности предприятия

2.3 Основные положения теории сложных систем

2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями

2.5 Требования, предъявляемые в КСЗИ

2.5.1 Требования к организационным и

техническим составляющим КСЗИ

2.5.2 Требования по безопасности, предъявляемые к изделиям ИТ

2.6 Этапы разработки КСЗИ

Тема 3. Факторы, влияющие на организацию КСЗИ

3.1Влияние формы собственности на особенности защиты информационного доступа

3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа

3.3 Характер основной деятельности предприятия

3.4 Состав, объекты и степень конфиденциальности защищаемой информации

3.5 Структура и территориальное расположения предприятия

3.6 Режим функционирования предприятия

3.7 Конструктивные особенности предприятия

3.8 Количественные и качественные показатели ресурсообеспечения

3.9 степень автоматизации основных процедур обработки защищаемой информации

Тема 4. Определение и нормативное закрепление состава защищаемой информации

4.1 Классификация информации по видам тайны и степеням конфиденциальности

4.2 Нормативно-правовые аспекты определения состава защищаемой информации

4.2.1 Решение задачи 1

4.2.2 Решение задачи 2

4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия

4.3 Методика определения состава защищаемой информации

4.4 Порядок внедрения Перечня сведений, составляющих КТ. Внесение в него изменений и дополнений

Тема 5. Определение объектов защиты

5.1 Значение носителей защищаемой информации как объектов защиты

5.2 Методика выявления состава носителей защищаемой информации

5.3 Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа

5.4 Факторы, определяющие необходимость защиты периметра и здания предприятия

5.5 Особенности помещений как объектов защиты для работы по защите информации

5.6 Транспортные средства и особенности транспортировки

5.7 состав средств обеспечения, подлежащих защите

Тема 6. Дестабилизирующие воздействия на информацию и их нейтрализация

6.1 Фактору, создающие угрозу информационной безопасности

6.2 Угрозы безопасности информации

6.3 Модели нарушителей безопасности АС

6.4 Подходы к оценке ущерба от нарушений ИБ

6.5 Обеспечение безопасности информации в непредвиденных ситуациях

6.6 Реагирование на инциденты ИБ

6.7 Резервирование информации и отказоустойчивость

Тема 7. Определение потенциальных каналов и методов несанкционированного доступа к информации

7.1 Технические каналы утечки информации, их классификация

7.2 Задачи КСЗИ по выявлению угроз и КУИ

7.3 Особенности защиты речевой информации

7.4 Особенности защиты компьютерной информации от утечки по каналам ПЭМИН

Тема 8. Определение возможностей несанкционированного доступа к защищаемой информации

8.1 Методы и способы защиты информации

8.2 Классификация СЗИ НСД

8.3 Механизмы обеспечения безопасности информации

8.3.1 Идентификация и аутентификация

8.3.2 Разграничение доступа

8.3.3 Регистрация и аудит

8.3.4 Криптографическая подсистема

8.3.5Межсетевое экранирование

8.4 Методика выявления нарушителей, тактики их действий и состава интересующей их информации

Тема 9. Определение компонентов КСЗИ

9.1 Особенности синтеза СЗИ АС от НСД

9.2 Методика синтеза СЗИ

9.2.1 Общее описание архитектуры АС, системы защиты информации и политики безопасности

9.2.2 Формализация описания архитектуры исследуемой АС

9.2.3 Формулирование требований к системе защиты информации

9.2.4 Выбор механизмов и средств защиты информации

9.2.5 Определение важности параметров средств защиты информации

9.3 Оптимальное построение системы защиты для АС

9.4 Выбор структуры СЗИ АС

9.5 проектирование системы защиты информации для существующей АС

Тема 10. Определение условий функционирования КСЗИ

10.1 Содержание концепции построения КСЗИ

10.2 Объекты защиты

10.3 Цели и задачи обеспечения безопасности информации

10.4 Основные угрозы безопасности информации АС организации

10.5 Основные положения технической политики в области обеспечения безопасности информации АС организации

10.6 Основные принципы построения КСЗИ

10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов

10.8 Первоочередные мероприятия по обеспечению безопасности информации АС организации

Тема 11. Разработка модели КСЗИ

11.1 Общая характеристика задач моделирования КСЗИ

11.2 Формальные модели безопасности и их анализ

11.2.1 Классификация формальных моделей безопасности

11.2.2 Модели обеспечения конфиденциальности

11.2.3 Модели обеспечения целостности

11.2.4 Субъектно-ориентированная модель

11.3 Прикладные модели защиты информации в АС

11.4 Формальное построение модели защиты: пример

11.4.1 Описание объекта защиты

11.4.2 Декомпозиция АС на субъекты и объекты

11.4.3 Модель безопасности: неформальное описание

11.4.4 Декомпозиция системы защиты информации

11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта АС субъектно-объектной модели

11.5 Формализация модели безопасности

11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности

11.5.2 Осуществление доступа субъекта к объекту

11.5.3 Взаимодействие с внешними сетями

11.5.4 Удаление субъекта-объекта

Тема 12. Технологическое и организационное построение КСЗИ

12.1Общее содержание работ по организации КСЗИ

12.2 Характеристика основных стадий создания КСЗИ

12.3 Назначение и структура технического задания (общие требования к содержанию)

12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию

Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации

13.1 Специфика персонала предприятия как объекта защиты

13.2 Распределение функций по защите информации

13.2.1 Функции руководства предприятия

13.2.2 Функции службы защиты информации

13.2.3 Функции специальных комиссий

13.2.4 Обязанности пользователей защищаемой информации

13.3 Обеспечение взаимодействий между субъектами, защищающими и использующими информацию ограниченного доступа

13.4 Подбор и обучение персонала

Тема 14. Материально-техническое и нормативно-методологическое обеспечение комплексной системы защиты информации

14.1 Состав и значение материально-технического обеспечения функционирования КСЗИ

14.2 Перечень вопросов ЗИ, требующих документационного закрепления

Тема15. Назначение, структура и содержание управления КСЗИ

15.1 Понятие, сущность и цели управления КСЗИ

15.2 Принципу управления КСЗИ

15.3 Структура процессов управления

15.4 Основные процессы, функции и задачи управления КСЗИ

15.5 Основные стили управления

15.6 структура и содержание общей технологии управления КСЗИ

Тема 16. Принципы и методы планирования функционирования КСЗИ

16.1 Понятие и задачи планирования функционирования КСЗИ

16.2 Способы и стадии планирования

16.3 Факторы, влияющие на выбор способов планирования

16.4 Основы подготовки и принятия решений при планировании

16.5 Методы сбора, обработки и изучения информации, необходимой для планирования

16.6 Организация выполнения планов

Тема 17. Сущность и содержание контроля функционирования

17.1 Виды контроля функционирования КСЗИ

17.2 Цель проведения контрольных мероприятий в КСЗИ

17.3 Анализ и использование результатов проведения контрольных мероприятий

Тема 18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций

18.1 Понятие и основные виды чрезвычайных ситуаций

18.2 Технология принятия решений в условиях ЧС

18.3 Факторы, влияющие на принятие решений в условиях ЧС

18.4 Подготовка мероприятий на случай возникновения ЧС

Тема 19. Общая характеристика подходов к оценке эффективности КСЗИ

19.1 Вероятностный подход

19.2 Оценочный подход

19.3 Требования РД СВТ и РД АС

19.4 Задание требований безопасности информации и оценка соответствия им согласно ГОСТ 15408-2002

19.5 Экспериментальный подход

Тема 20. Методы и модели оценки эффективности КСЗИ

20.1 Показатель уровня защищенности, основанный на экспериментальных оценках

20.2 Методы проведения экспертного опроса

20.3 Экономический подход к оценке эффективности КСЗИ

ВВЕДЕНИЕ

Необходимость защиты информации осознавалась с глубокой древности. Недаром до нас дошли сведения о применявшихся в прошлом методах зашиты — технических (например, шифр Цезаря, различные виды стеганографии) и организационных (зачастую они сводились к физическому устранению людей — носителей сведений, когда необходимость в них миновала).

Шло время, совершенствовались не только методы защиты, но и методы нападения. В Советском Союзе обеспечению безопасности информации уделялось большое внимание. Но решать эти вопросы, когда «все вокруг народное, все вокруг ничье», было сравнительно несложно. Иное дело — современная экономическая обстановка, когда в ожесточенной конкурентной схватке борется множество больших и малых организаций. В борьбе, как известно, все средства хороши, а тем более эффективные. К таким, без сомнения, можно причислить нападение на информацию конкурента с целью завладеть ею, исказить, сделать недоступной и т.д. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение/

Особенно облегчается задача злоумышленника в связи с повсеместным внедрением автоматизированной обработки информации. Степень автоматизации фирмы определяет зачастую ее конкурентоспособность и в то же время является источником многочисленных угроз безопасности. Неслучайно в сознании многих людей защита информации — это, прежде всего, зашита информации в компьютерных системах от несанкционированного доступа. Конечно, эта точка зрения неверна точно так же, как неверна и точка зрения другой полярности: все определяется организационно-режимными мерами.

Надежное обеспечение безопасности информации немыслимо без реализации комплексного подхода к решению этой задачи. Отсюда и потребность как в создании комплексной системы защиты информации на предприятии, так и в подготовке специалистов по данному профилю.

Тема 1

Сущность и задачи комплексной защиты информации

План