Основные термины и определения. Приложение 1. Основные термины и определения

Приложение 1. Основные термины и определениЯ

Литература

ЗаклюЧение

В учебном пособии рассмотрены законодательно-правовые и организационно-технические основы обеспечения безопасности информации в автоматизированных системах и информационно-вычислительных сетях.

Предложенный материал, конечно, не может претендовать на полное и всестороннее освещение проблемы обеспечения информационной безопасности. Целью учебного пособия является рассмотрение основных современных представлений в данной области и раскрытие особенностей применения действующей законодательной базы и организационно-технических мер, которые проявляются на практике при построении систем обеспечения безопасности информации.

Следует отметить, что в вопросах законодательно-правового обеспечения безопасности информации до сих пор остается много “белых пятен”, которые объясняются отсутствием ряда основополагающих законодательных актов или “нестыковкой” действующих законов и подзаконных актов. В частности, до сих пор не принят Федеральный закон “О коммерческой тайне”, неоднократно обсуждавшийся в Государственной Думе, существует целый ряд спорных положений в Федеральном законе от 20 февраля
1995 года № 24-ФЗ “Об информации, информатизации и защите информации”.

Все это порождает определенные трудности при практическом построении систем обеспечения безопасности информации.

1. Алешенков М., Бузанова Я., Ярочкин В. Концепция комплексной безопасности предпринимательства: Учебное пособие. – М.: Паруса, 1997. – 31 с.

2. Атака через Интернет / И.Д.Медведовский, П.В.Семьянов, В.В.Платонов / Под ред. проф. П.Д.Зегжды. – СПб.: Мир и семья-95, 1997. – 296 с.

3. Банковская система России. Настольная книга банкира. Безопасность банка. – М.: Изд. ТОО Инжиниринго-консалтинговая компания “ДеКА”, 1995. – 104 с.

4. Барсуков В.С., Дворянкин С.В., Шеремет И.А. Безопасность связи в каналах телекоммуникаций // ТЭК. – 1992. – Т. 20. – 122 с.

5. Батурин Ю.М. Право и политика в компьютерном круге. – М.: Наука, 1987.– 112 с.

6. Батурин Ю.М. Проблемы компьютерного права. – М.: Юридическая литература, 1991. – 271 с.

7. Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. – М.: Юридическая литература. 1996. – 160 с.

8. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них. – М.: Изд. СП “ICE”, 1990. – 48 с.

9. Безруков Н.Н. Компьютерная вирусология. – К.: Укр. советская энцикл. – 1991. – 416с.

10. Белая книга Российских спецслужб. Изд. 2-е. – М.: Информационно-издательское агентство “Обозреватель”, 1996. – 272 с.

11. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. – М.: Право и Закон, 1996. – 182 с.

12. Владимиров Д.Н. Критерии выбора межсетевого экрана // Защита информации. Конфидент. – 1998. – № 1. – С.29–33.

13. Вычислительная техника. Терминология: Справочное пособие. – М.: Изд-во стандартов, 1989. – 168 с.

14. Гpушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. – М.: Яхтсмен, 1996. – 190 с.

15. Гайкович В., Першин А. Безопасность электронных банковских систем. – М.: Единая Европа, 1994. – 363 с.

16. Галатенко В., Трифаленков И. Информационная безопасность в Интранет: концепции и решения // Jet Info. – 1996. – № 23–24. – С.3–29.

17. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 1. – С.38–43.

18. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 2. – С.53–57.

19. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 3. – С.42–45.

20. Галатенко В.А. Информационная безопасность // Открытые системы. – 1996. – № 4. – С.40–47.

21. Галатенко В.А. Информационная безопасность: Обзор основных положений // Jet Info. – 1998. – Спец. выпуск. – 60 с.

22. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. – М.: Энергоатомиздат, 1994. – Кн. 1. – 400 с., кн.2. – 175 с.

23. Гудков П.Б. Компьютерные преступления в сфере экономики // В сб.: Актуальные проблемы борьбы с коррупцией и организованной преступностью в сфере экономики. – М.: МИ МВД России, 1995. – С.136–145.

24. Демин В.В., Судов Е.В. Интегрированная система информационной безопасности // Сети и системы связи. – 1996. – № 9. – С. 132–133.

25. Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996. – 336 c.

26. Заморин А.П., Марков А.С. Толковый словарь по вычислительной технике и программированию. Основные термины. – М.: Русский язык, 1987.– 221 с.

27. Зарубежная радиоэлектроника. 1989. N 12. Защита информации. Специальный выпуск / Под ред. В.А.Герасименко. – М.: Радио и связь, 1989. – 128 с.

28. Защита информации в персональных ЭВМ / А.В.Спесивцев, В.А.Вегнер, А.Ю.Крутяков и др. – М.: Радио и связь, 1992. – 192 с.

29. Защита информации // Вычислительная техника и ее применение (Новое в жизни, науке и технике). Вып. 9. – М.: Знание, 1990. – 48 с.

30. Защита информации. Сборник статей. – М.: Изд. МП “Ирбис”, 1992.– Вып. 1. – 240 с.

31. Зима В.М., Молдовян А.А. Многоуровневая защита от компьютерных вирусов. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 170 c.

32. Зима В.М., Молдовян А.А. Технология практического обеспечения информационной безопасности: Учеб.пособие. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 118 с.

33. Зима В.М., Молдовян А.А., Молдовян Н.А. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учеб.пособие. – СПб.: ВИКА им. А.Ф.Можайского, 1997. – 189 с.

34. Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992. – 175 с.

35. Климов В.А. Положение об отделе защиты информации // Защита информации. Конфидент. – 1998. – № 1. – С.13–20.

36. Ковалерчик И. Брандмауэры, или запирайте вашу дверь. – Сети. – 1997. – № 2. – С.88–99.

37. Крысин А.В. Безопасность предпринимательской деятельности. – М.: Финансы и статистика, 1996. – 384 с.

38. Льюс К. Как защитить сеть от “взлома” // Сети и системы связи. – 1998. – № 2. – С.136–142.

39. Мафтик. С. Механизмы защиты в сетях ЭВМ: Пер. с англ. – М.: Мир, 1993. – 216 с.

40. Миронос В. SecurID-технология “двухкомпонентной” аутентификации // Computerweek Moscow. – 1997. – № 39. – C.26, 45, 47.

41. Моисеенков И. Американская классификация и принципы оценивания безопасности компьютерных систем // Компьютер Пресс.– 1992.– № 2.– С. 61–68; № 3. – С. 47–54.

42. Моисеенков И. Суета вокруг Роберта или Моррис–сын и все, все, все... // Компьютер Пресс. 1991. – N 8. – С.45–62; N 9. – С.7–20.

43. Морриси П. Воздвигая “огненные стены” // Сети и системы связи. – 1997. – № 6. – С.115–123.

44. Некоторые правовые аспекты защиты и использования сведений, накапливаемых в информационных системах // Борьба с преступностью за рубежом. – М.: ВИНИТИ, 1990, № 7. – С.63–64; 1992. – № 6.– С.13–14.

45. Никитин Ф.Н. Администратор безопасности корпоративной сети и его инструментарий // Защита информации. Конфидент. – 1997. – № 2. – С.60–65.

46. Пашков Ю.Д., Казеннов В.Н. Организация защиты информации от несанкционированного доступа в автоматизированных системах. – СПб.: АОЗТ, 1995. – 76 с.

47. Право и информатика / Под ред. Е.А.Суханова. – М.: МГУ. – 144 с.

48. Предотвращение компьютерных преступлений // Проблемы преступности в капиталистических странах. – М.: ВИНИТИ, 1986. – № 4.– С.5–9.

49. Преснухин В.В., Пискова Г.К. Некоторые аспекты моделирования воспроизведения компьютерного вируса и совершенствования программных средств защиты // Информатика и вычислительная техника за рубежом. ВИМИ. – 1991. – N 4. – С. 52–63.

50. Расторгуев С. Программные методы защиты информации в компьютерных сетях. – М.: Яхтсмен, 1993. – 187 с.

51. РД ГТК. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.

52. РД ГТК. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. – М.: Военное издательство, 1992.

53. РД ГТК. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. – М.: Военное издательство, 1992.

54. РД ГТК. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Термины и определения. – М.: Военное издательство, 1992. – 13с.

55. РД ГТК. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации // Защита информации. Конфидент. – 1997. – № 6. – С.26–31.

56. Ронин Р. Своя разведка. – Минск: Харвест, 1998. – 368 с.

57. Руководство по информационной безопасности предприятия // Jet Info. – 1996. –
№ 23–24. – С.10–11.

58. Селиванов Н.А. Проблемы борьбы с компьютерной преступностью // Законность, 1993. – № 8. – С.36–40.

59. Соловьев Э. Коммерческая тайна и ее защита. – М.: ЗАО “Бизнес-школа “Интел-Синтез”, 1997. – 96 с.

60. Теория и практика обеспечения информационной безопасности / Под pед. П.Д.Зегжды. – М.: Яхтсмен, 1996. – 192 с.

61. Уиллис Д. Игра ва-банк с сетевыми “медвежатниками” // Сети и системы связи. – 1997. – № 9. – С.121–129.

62. Уолкер Б.Дж., Блейк Я.Ф. Безопасность ЭВМ и организация их защиты. – М.: Связь, 1980. – 112 с.

63. Федеральный закон “Об информации, информатизации и защите информации“
(от 20.02.95 года № 24-ФЗ). Москва. 1995. – 32 с.

64. Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996. – 256 с.

65. Хоффман Л. Современные методы защиты информации: Пер. с англ. / Под ред. В.А.Герасименко. – М.: Советское радио, 1980. – 264 с.

66. Цуприков С. Новый этап автоматизации банков Московского региона // ComputerWorld, 1993. – № 28.

67. Щербаков А. Разрушающие программные воздействия. – М.: Эдель, 1993. – 63 с.

68. Эрланджер Э. Безопасность сети // PC Magazine/RE – 1997. – № 3. – С.56–64.

69. Юсупов Р.М., Пальчун Б.П. Безопасность компьютерных информационных систем критических приложений // Вооружение, политика и конверсия. – 1993. – № 2, 3.

70. Ярочкин В.И. Безопасность информационных систем. – М.: Ось–89, 1996. – 320с.

71. An Introduction to Computer Security: The NIST Handbook. – National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce. – NIST SP 800-12. – 1996.

72. Barker L.K., Nelson L.D. Security Standards – Government and Commercial // AT&T Techn. J., 1988. – Vol.67. – N 3. – P.9–18.

73. Carroll J.M. Security and Credibility and some Fundamental Flows // Proc. 7th Int. Conf. and Exhib. Inf. Secur., Oxford.

74. Cooper J.A. Computer & Communications Security: Strategies for the 1990s. – Singapore: McGraw-Hill Book Company, 1989. – 411 p.

75. Datapro reports on Information Security.– Datapro Research Group. Delran, NJ, USA, 1991.

76. DoD 5200.28-STD. Department of Defense Trusted Computer Security Evaluation Criteria.– DoD Press, Washington, DC, USA, 1986.

77. Ford W. Computer Communications Security: Principles, Standard Protocols and Techniques. – Englewood Cliffs, New Jersey, USA: Prentice Hall PTR, 1994. – 493 p.

78. Hare C., Siyan K. Internet Firewalls and Network Security. – New Riders Publishing, 1996. – 631 p.

79. Holbrook P., Reynolds J. Site Security Handbook. – Request for Comments: 1244, 1991.

80. Implementing Internet Security / Cooper F.J. and etc. – Indianapolis: New Riders Publishing, 1995. – 378 p.

81. Information Security: An Integrated Collection of Essays./ By ed. M.D.Abrams, S.Jajodia, H.J.Podell. – Los Alamitos: IEEE Computer Society Press, 1994. – 752 p.

82. LANSEC-94 Conference Proceedings. – Washington DC, 1994. – Vol.1–3.

83. National High – Performance Computer Technology Act of 1989 //US Senate Hearings. S–1067.– US Senate, Washington, DC, USA.

84. Seventh Annual Computer Security Applications Conference Proceedings. – IEEE Computer Society Press, 1991. – 255 p.

85. Site Security Handbook / By ed. P. Holbrook, J. Reynolds. – Request for Comments: 1244, 1991.

86. Sixth Annual Canadian Computer Security Symposium Proceedings. – Ottawa Congress Centre, 1994. – 644 p.

87. Siyan K., Hare C. Internet Firewalls and Network Security. – Indianapolis: New Riders Publishing, 1995. – 410 p.

88.Taber М. Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network. – Macmillan computer publishing.

П.1. Термины и определения по защите
от несанкционированного доступа к информации

Выпущенный Гостехкомиссией России “Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения” [54] дает формулировки основных понятий в области защиты СВТ и автоматизированных систем от несанкционированного доступа к информации.

В данном документе утверждается, что указанные термины обязательны для применения во всех видах документации, для каждого понятия установлен один термин и применение его синонимов не допускается.

В табл.П.1.1 представлены основные термины и определения, зафиксированные в указанном руководящем документе. Для отдельных терминов приведены в качестве справочных краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования. В качестве справочных даны иностранные эквиваленты русских терминов на английском языке.

Таблица П.1.1

Термин

Определение

1. Доступ к информации Доступ Access to information	Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации
2. Правила разграничения доступа ПРД Security policy	Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
3. Санкционированный доступ к информации Authorized access to information	Доступ к информации, не нарушающий правила разграничения доступа
4. Несанкционированный доступ к информации НСД Unauthorized access to information	Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС
5. Защита от несанкционированного доступа Защита от НСД Protection from unauthorized access	Предотвращение или существенное затруднение несанкционированного доступа
6. Субъект доступа Субъект Access subject	Лицо или процесс, действия которых регламентируются правилами разграничения доступа
7. Объект доступа Объект Access object	Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
8. Матрица доступа Access matrix	Таблица, отображающая правила разграничения доступа
9. Уровень полномочий субъекта доступа Subject privilege	Совокупность прав доступа субъекта доступа
10. Нарушитель правил разграничения доступа Нарушитель ПРД Security policy violator	Субъект доступа, осуществляющий несанкционированный доступ к информации
11. Модель нарушителя правил разграничения доступа Модель нарушителя ПРД Security policy violator's model	Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа
12. Комплекс средств защиты КСЗ Trusted computing base	Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации
13. Система разграничения доступа СРД Security policy realization	Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
14. Идентификатор доступа Access identifier	Уникальный признак субъекта или объекта доступа
15. Идентификация Identification	Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов
16. Пароль Password	Идентификатор субъекта доступа, который является его (субъекта) секретом
17. Аутентификация Authentication	Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности
18. Защищенное средство вычислительной техники Защищенная автоматизированная система Trusted computer system	Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты
19. Средство защиты от несанкционированного доступа Средство защиты от НСД Protection facility	Программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа
20. Модель защиты Protection model	Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа
21. Безопасность информации Information security	Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз
22. Целостность информации Information integrity	Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)
23. Конфиденциальная информация Sensitive information	Информация, требующая защиты
24. Дискреционное управление доступом Discretionary access control	Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту
25. Мандатное управление доступом Mandatory access control	Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности
26. Многоуровневая защита Multilevel secure	Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности
27. Концепция диспетчера доступа Reference monitor concept	Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам
28. Диспетчер доступа Security kernel	Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты
29. Администратор защиты Security administrator	Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
30. Метка конфиденциальности Метка Sensitivity label	Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте
31. Верификация Verification	Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие
32. Класс защищенности средств вычислительной техники(автоматизированной системы) Protection class of computer systems	Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации
33. Показатель защищенности средств вычислительной техники Показатель защищенности Protection criterion of computer systems	Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники
34. Система защиты секретной информации СЗСИ Secret information security system	Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах
35. Система защиты информации от несанкционированного доступа СЗИ НСД System of protection from unauthorized access to information	Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах
36. Средство криптографической защиты информации СКЗИ Cryptographic information protection facility	Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности
37. Сертификат защиты Сертификат Protection certificate	Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и/или распространение их как защищенных
38. Сертификация уровня защиты Сертификация Protection level certification	Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите