Приложение 1. Основные термины и определениЯ
Литература
ЗаклюЧение
В учебном пособии рассмотрены законодательно-правовые и организационно-технические основы обеспечения безопасности информации в автоматизированных системах и информационно-вычислительных сетях.
Предложенный материал, конечно, не может претендовать на полное и всестороннее освещение проблемы обеспечения информационной безопасности. Целью учебного пособия является рассмотрение основных современных представлений в данной области и раскрытие особенностей применения действующей законодательной базы и организационно-технических мер, которые проявляются на практике при построении систем обеспечения безопасности информации.
Следует отметить, что в вопросах законодательно-правового обеспечения безопасности информации до сих пор остается много “белых пятен”, которые объясняются отсутствием ряда основополагающих законодательных актов или “нестыковкой” действующих законов и подзаконных актов. В частности, до сих пор не принят Федеральный закон “О коммерческой тайне”, неоднократно обсуждавшийся в Государственной Думе, существует целый ряд спорных положений в Федеральном законе от 20 февраля
1995 года № 24-ФЗ “Об информации, информатизации и защите информации”.
Все это порождает определенные трудности при практическом построении систем обеспечения безопасности информации.
1. Алешенков М., Бузанова Я., Ярочкин В. Концепция комплексной безопасности предпринимательства: Учебное пособие. – М.: Паруса, 1997. – 31 с.
2. Атака через Интернет / И.Д.Медведовский, П.В.Семьянов, В.В.Платонов / Под ред. проф. П.Д.Зегжды. – СПб.: Мир и семья-95, 1997. – 296 с.
3. Банковская система России. Настольная книга банкира. Безопасность банка. – М.: Изд. ТОО Инжиниринго-консалтинговая компания “ДеКА”, 1995. – 104 с.
4. Барсуков В.С., Дворянкин С.В., Шеремет И.А. Безопасность связи в каналах телекоммуникаций // ТЭК. – 1992. – Т. 20. – 122 с.
5. Батурин Ю.М. Право и политика в компьютерном круге. – М.: Наука, 1987.– 112 с.
6. Батурин Ю.М. Проблемы компьютерного права. – М.: Юридическая литература, 1991. – 271 с.
7. Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. – М.: Юридическая литература. 1996. – 160 с.
8. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них. – М.: Изд. СП “ICE”, 1990. – 48 с.
9. Безруков Н.Н. Компьютерная вирусология. – К.: Укр. советская энцикл. – 1991. – 416с.
10. Белая книга Российских спецслужб. Изд. 2-е. – М.: Информационно-издательское агентство “Обозреватель”, 1996. – 272 с.
11. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. – М.: Право и Закон, 1996. – 182 с.
12. Владимиров Д.Н. Критерии выбора межсетевого экрана // Защита информации. Конфидент. – 1998. – № 1. – С.29–33.
13. Вычислительная техника. Терминология: Справочное пособие. – М.: Изд-во стандартов, 1989. – 168 с.
14. Гpушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. – М.: Яхтсмен, 1996. – 190 с.
15. Гайкович В., Першин А. Безопасность электронных банковских систем. – М.: Единая Европа, 1994. – 363 с.
16. Галатенко В., Трифаленков И. Информационная безопасность в Интранет: концепции и решения // Jet Info. – 1996. – № 23–24. – С.3–29.
17. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 1. – С.38–43.
18. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 2. – С.53–57.
19. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 3. – С.42–45.
20. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 4. – С.40–47.
21. Галатенко В.А. Информационная безопасность: Обзор основных положений // Jet Info. – 1998. – Спец. выпуск. – 60 с.
22. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. – М.: Энергоатомиздат, 1994. – Кн. 1. – 400 с., кн.2. – 175 с.
23. Гудков П.Б. Компьютерные преступления в сфере экономики // В сб.: Актуальные проблемы борьбы с коррупцией и организованной преступностью в сфере экономики. – М.: МИ МВД России, 1995. – С.136–145.
24. Демин В.В., Судов Е.В. Интегрированная система информационной безопасности // Сети и системы связи. – 1996. – № 9. – С. 132–133.
25. Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996. – 336 c.
26. Заморин А.П., Марков А.С. Толковый словарь по вычислительной технике и программированию. Основные термины. – М.: Русский язык, 1987.– 221 с.
27. Зарубежная радиоэлектроника. 1989. N 12. Защита информации. Специальный выпуск / Под ред. В.А.Герасименко. – М.: Радио и связь, 1989. – 128 с.
28. Защита информации в персональных ЭВМ / А.В.Спесивцев, В.А.Вегнер, А.Ю.Крутяков и др. – М.: Радио и связь, 1992. – 192 с.
29. Защита информации // Вычислительная техника и ее применение (Новое в жизни, науке и технике). Вып. 9. – М.: Знание, 1990. – 48 с.
30. Защита информации. Сборник статей. – М.: Изд. МП “Ирбис”, 1992.– Вып. 1. – 240 с.
31. Зима В.М., Молдовян А.А. Многоуровневая защита от компьютерных вирусов. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 170 c.
32. Зима В.М., Молдовян А.А. Технология практического обеспечения информационной безопасности: Учеб.пособие. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 118 с.
33. Зима В.М., Молдовян А.А., Молдовян Н.А. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учеб.пособие. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 189 с.
34. Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992. – 175 с.
35. Климов В.А. Положение об отделе защиты информации // Защита информации. Конфидент. – 1998. – № 1. – С.13–20.
36. Ковалерчик И. Брандмауэры, или запирайте вашу дверь. – Сети. – 1997. – № 2. – С.88–99.
37. Крысин А.В. Безопасность предпринимательской деятельности. – М.: Финансы и статистика, 1996. – 384 с.
38. Льюс К. Как защитить сеть от “взлома” // Сети и системы связи. – 1998. – № 2. – С.136–142.
39. Мафтик. С. Механизмы защиты в сетях ЭВМ: Пер. с англ. – М.: Мир, 1993. – 216 с.
40. Миронос В. SecurID-технология “двухкомпонентной” аутентификации // Computerweek Moscow. – 1997. – № 39. – C.26, 45, 47.
41. Моисеенков И. Американская классификация и принципы оценивания безопасности компьютерных систем // Компьютер Пресс.– 1992.– № 2.– С. 61–68; № 3. – С. 47–54.
42. Моисеенков И. Суета вокруг Роберта или Моррис–сын и все, все, все... // Компьютер Пресс. 1991. – N 8. – С.45–62; N 9. – С.7–20.
43. Морриси П. Воздвигая “огненные стены” // Сети и системы связи. – 1997. – № 6. – С.115–123.
44. Некоторые правовые аспекты защиты и использования сведений, накапливаемых в информационных системах // Борьба с преступностью за рубежом. – М.: ВИНИТИ, 1990, № 7. – С.63–64; 1992. – № 6.– С.13–14.
45. Никитин Ф.Н. Администратор безопасности корпоративной сети и его инструментарий // Защита информации. Конфидент. – 1997. – № 2. – С.60–65.
46. Пашков Ю.Д., Казеннов В.Н. Организация защиты информации от несанкционированного доступа в автоматизированных системах. – СПб.: АОЗТ, 1995. – 76 с.
47. Право и информатика / Под ред. Е.А.Суханова. – М.: МГУ. – 144 с.
48. Предотвращение компьютерных преступлений // Проблемы преступности в капиталистических странах. – М.: ВИНИТИ, 1986. – № 4.– С.5–9.
49. Преснухин В.В., Пискова Г.К. Некоторые аспекты моделирования воспроизведения компьютерного вируса и совершенствования программных средств защиты // Информатика и вычислительная техника за рубежом. ВИМИ. – 1991. – N 4. – С. 52–63.
50. Расторгуев С. Программные методы защиты информации в компьютерных сетях. – М.: Яхтсмен, 1993. – 187 с.
51. РД ГТК. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.
52. РД ГТК. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. – М.: Военное издательство, 1992.
53. РД ГТК. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. – М.: Военное издательство, 1992.
54. РД ГТК. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Термины и определения. – М.: Военное издательство, 1992. – 13с.
55. РД ГТК. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации // Защита информации. Конфидент. – 1997. – № 6. – С.26–31.
56. Ронин Р. Своя разведка. – Минск: Харвест, 1998. – 368 с.
57. Руководство по информационной безопасности предприятия // Jet Info. – 1996. –
№ 23–24. – С.10–11.
58. Селиванов Н.А. Проблемы борьбы с компьютерной преступностью // Законность, 1993. – № 8. – С.36–40.
59. Соловьев Э. Коммерческая тайна и ее защита. – М.: ЗАО “Бизнес-школа “Интел-Синтез”, 1997. – 96 с.
60. Теория и практика обеспечения информационной безопасности / Под pед. П.Д.Зегжды. – М.: Яхтсмен, 1996. – 192 с.
61. Уиллис Д. Игра ва-банк с сетевыми “медвежатниками” // Сети и системы связи. – 1997. – № 9. – С.121–129.
62. Уолкер Б.Дж., Блейк Я.Ф. Безопасность ЭВМ и организация их защиты. – М.: Связь, 1980. – 112 с.
63. Федеральный закон “Об информации, информатизации и защите информации“
(от 20.02.95 года № 24-ФЗ). Москва. 1995. – 32 с.
64. Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996. – 256 с.
65. Хоффман Л. Современные методы защиты информации: Пер. с англ. / Под ред. В.А.Герасименко. – М.: Советское радио, 1980. – 264 с.
66. Цуприков С. Новый этап автоматизации банков Московского региона // ComputerWorld, 1993. – № 28.
67. Щербаков А. Разрушающие программные воздействия. – М.: Эдель, 1993. – 63 с.
68. Эрланджер Э. Безопасность сети // PC Magazine/RE – 1997. – № 3. – С.56–64.
69. Юсупов Р.М., Пальчун Б.П. Безопасность компьютерных информационных систем критических приложений // Вооружение, политика и конверсия. – 1993. – № 2, 3.
70. Ярочкин В.И. Безопасность информационных систем. – М.: Ось–89, 1996. – 320с.
71. An Introduction to Computer Security: The NIST Handbook. – National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce. – NIST SP 800-12. – 1996.
72. Barker L.K., Nelson L.D. Security Standards – Government and Commercial // AT&T Techn. J., 1988. – Vol.67. – N 3. – P.9–18.
73. Carroll J.M. Security and Credibility and some Fundamental Flows // Proc. 7th Int. Conf. and Exhib. Inf. Secur., Oxford.
74. Cooper J.A. Computer & Communications Security: Strategies for the 1990s. – Singapore: McGraw-Hill Book Company, 1989. – 411 p.
75. Datapro reports on Information Security.– Datapro Research Group. Delran, NJ, USA, 1991.
76. DoD 5200.28-STD. Department of Defense Trusted Computer Security Evaluation Criteria.– DoD Press, Washington, DC, USA, 1986.
77. Ford W. Computer Communications Security: Principles, Standard Protocols and Techniques. – Englewood Cliffs, New Jersey, USA: Prentice Hall PTR, 1994. – 493 p.
78. Hare C., Siyan K. Internet Firewalls and Network Security. – New Riders Publishing, 1996. – 631 p.
79. Holbrook P., Reynolds J. Site Security Handbook. – Request for Comments: 1244, 1991.
80. Implementing Internet Security / Cooper F.J. and etc. – Indianapolis: New Riders Publishing, 1995. – 378 p.
81. Information Security: An Integrated Collection of Essays./ By ed. M.D.Abrams, S.Jajodia, H.J.Podell. – Los Alamitos: IEEE Computer Society Press, 1994. – 752 p.
82. LANSEC-94 Conference Proceedings. – Washington DC, 1994. – Vol.1–3.
83. National High – Performance Computer Technology Act of 1989 //US Senate Hearings. S–1067.– US Senate, Washington, DC, USA.
84. Seventh Annual Computer Security Applications Conference Proceedings. – IEEE Computer Society Press, 1991. – 255 p.
85. Site Security Handbook / By ed. P. Holbrook, J. Reynolds. – Request for Comments: 1244, 1991.
86. Sixth Annual Canadian Computer Security Symposium Proceedings. – Ottawa Congress Centre, 1994. – 644 p.
87. Siyan K., Hare C. Internet Firewalls and Network Security. – Indianapolis: New Riders Publishing, 1995. – 410 p.
88.Taber М. Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network. – Macmillan computer publishing.
П.1. Термины и определения по защите
от несанкционированного доступа к информации
Выпущенный Гостехкомиссией России “Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения” [54] дает формулировки основных понятий в области защиты СВТ и автоматизированных систем от несанкционированного доступа к информации.
В данном документе утверждается, что указанные термины обязательны для применения во всех видах документации, для каждого понятия установлен один термин и применение его синонимов не допускается.
В табл.П.1.1 представлены основные термины и определения, зафиксированные в указанном руководящем документе. Для отдельных терминов приведены в качестве справочных краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования. В качестве справочных даны иностранные эквиваленты русских терминов на английском языке.
Таблица П.1.1
Термин | Определение |
1. Доступ к информации Доступ Access to information | Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации |
2. Правила разграничения доступа ПРД Security policy | Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа |
3. Санкционированный доступ к информации Authorized access to information | Доступ к информации, не нарушающий правила разграничения доступа |
4. Несанкционированный доступ к информации НСД Unauthorized access to information | Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС |
5. Защита от несанкционированного доступа Защита от НСД Protection from unauthorized access | Предотвращение или существенное затруднение несанкционированного доступа |
6. Субъект доступа Субъект Access subject | Лицо или процесс, действия которых регламентируются правилами разграничения доступа |
7. Объект доступа Объект Access object | Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа |
8. Матрица доступа Access matrix | Таблица, отображающая правила разграничения доступа |
9. Уровень полномочий субъекта доступа Subject privilege | Совокупность прав доступа субъекта доступа |
10. Нарушитель правил разграничения доступа Нарушитель ПРД Security policy violator | Субъект доступа, осуществляющий несанкционированный доступ к информации |
11. Модель нарушителя правил разграничения доступа Модель нарушителя ПРД Security policy violator's model | Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа |
12. Комплекс средств защиты КСЗ Trusted computing base | Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации |
13. Система разграничения доступа СРД Security policy realization | Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах |
14. Идентификатор доступа Access identifier | Уникальный признак субъекта или объекта доступа |
15. Идентификация Identification | Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов |
16. Пароль Password | Идентификатор субъекта доступа, который является его (субъекта) секретом |
17. Аутентификация Authentication | Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности |
18. Защищенное средство вычислительной техники Защищенная автоматизированная система Trusted computer system | Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты |
19. Средство защиты от несанкционированного доступа Средство защиты от НСД Protection facility | Программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа |
20. Модель защиты Protection model | Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа |
21. Безопасность информации Information security | Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз |
22. Целостность информации Information integrity | Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) |
23. Конфиденциальная информация Sensitive information | Информация, требующая защиты |
24. Дискреционное управление доступом Discretionary access control | Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту |
25. Мандатное управление доступом Mandatory access control | Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности |
26. Многоуровневая защита Multilevel secure | Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности |
27. Концепция диспетчера доступа Reference monitor concept | Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам |
28. Диспетчер доступа Security kernel | Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты |
29. Администратор защиты Security administrator | Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации |
30. Метка конфиденциальности Метка Sensitivity label | Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте |
31. Верификация Verification | Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие |
32. Класс защищенности средств вычислительной техники(автоматизированной системы) Protection class of computer systems | Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации |
33. Показатель защищенности средств вычислительной техники Показатель защищенности Protection criterion of computer systems | Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники |
34. Система защиты секретной информации СЗСИ Secret information security system | Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах |
35. Система защиты информации от несанкционированного доступа СЗИ НСД System of protection from unauthorized access to information | Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах |
36. Средство криптографической защиты информации СКЗИ Cryptographic information protection facility | Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности |
37. Сертификат защиты Сертификат Protection certificate | Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и/или распространение их как защищенных |
38. Сертификация уровня защиты Сертификация Protection level certification | Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите |