ББК 32.97
УДК 681.3
О-75
Ре це нзе нт : доктор физ.-мат. наук, профессор С. С. Бондарчук
О-75 Основы информационной безопасности. Учебное пособие для вузов
/ Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. –
М.: Горячая линия – Телеком, 2011. – 544 с.: ил.
ISBN 5-93517-292-5.
Изложены вопросы теории и практики обеспечения информационной
безопасности личности, общества и государства. Большое внимание уделено
проблеме безопасности автоматизированных систем, включая вопросы определения
модели нарушителя и требований к защите информации. Анализируются
современные способы и средства защиты информации и архитектура
систем защиты информации. В приложениях приведен справочный материал
по ряду нормативных правовых документов и вариант рабочей программы по
дисциплине «Основы информационной безопасности».
Для студентов высших учебных заведений, обучающихся по специальностям
в области информационной безопасности, может быть полезной для
широкого круга читателей, интересующихся вопросами обеспечения информационной
безопасности.
ББК 32.97
Адрес издательства в Интернет www.techbook.ru
Учебное издание
Белов Евгений Борисович, Лось Владимир Павлович,
Мещеряков Роман Валерьевич, Шелупанов Александр Александрович
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебное пособие
Редактор Е. А. Лебедев
Корректор А. Н. Иванова
Компьютерная верстка О. А. Петренко
Обложка художника В. Г. Сетина
Подписано в печать 16.08.05. Формат 60×88/16. Печать офсетная
Уч.-изд. л. 34. Доп. тираж 100 экз. Изд. № 292
ISBN 5-93517-292-5
© Е. Б. Белов, В. П. Лось, Р. В. Мещеряков,
А. А. Шелупанов, 2006, 2011
© Оформление издательства
«Горячая линия−Телеком», 2011
Стр.2
Предисловие
В книге рассматриваются ключевые разделы курса «Основы информационной
безопасности». В него включены как теоретические, так и
практические разделы, направленные на развитие навыков анализа и совершенствования
информационной безопасности объектов.
Главная цель книги – познакомить обучаемых с основами информационной
безопасности, определить основные направления развития этой
области знаний, в рамках образовательной программы попытаться сформировать
у них элементы «информационной культуры». Авторы не претендуют
на собственную исключительность и глубинные научные исследования
в области информационной безопасности. Не случайно, что
и пособие имеет название «Основы информационной безопасности», а не,
например, «Теоретические основы информационной безопасности».
В этом случае нам пришлось бы основательно потрудиться над теоретическими
обоснованиями многих утверждений. Наша цель куда более
скромна – пробудить интерес у обучаемых к серьезному и вдумчивому
изучению проблем информационной безопасности.
В настоящее время появилось много книг, посвященных рассматриваемой
тематике. В ряде основополагающих работ Расторгуева С. П.,
Ярочкина В. И., Герасименко В. А., Малюка А. А. и других авторов достаточно
точно, конкретно и правильно представлены понятия, определения
и положения в области информационной безопасности. Многие
из них мы использовали в учебном пособии, в частности в него практически
полностью вошли разделы, связанные с информационными системами
(см. источники [31, 30] ч. 2).
В пособии приведен глоссарий основных терминов. Обращаем внимание
на то, что все без исключения определения и термины взяты нами
из соответствующих законов РФ в области информации, защиты информации
и информационной безопасности. Это освобождает авторов от необходимости
использовать определения других авторов, не всегда, на наш
взгляд, корректные и точные. Кроме того, приведены наиболее употребляемые
термины, используемые в области информационной безопасности,
на английском языке и их перевод.
В пособии представлены некоторые законодательные акты, которые
могут использоваться обучаемыми студентами в качестве правовой базы
обеспечения информационной безопасности.
Учебное пособие основано на опыте преподавания дисциплины «Основы
информационной безопасности» в Институте криптографии, связи
3
Стр.3
Основы информационной безопасности
и информатики Академии ФСБ России и Томском государственном университете
систем управления и радиоэлектроники.
Данная дисциплина включена в государственный образовательный
стандарт по специальностям: 090102 – «Компьютерная безопасность»,
090105 – «Комплексное обеспечение информационной безопасности автоматизированных
систем», 090106 – «Информационная безопасность
телекоммуникационных систем». Рабочая программа этой дисциплины,
контрольные вопросы и задания также приведена в приложениях.
Государственные образовательные стандарты (ГОС) по группе специальностей
«Информационная безопасность» предусматривают изучение
следующих тем: понятие национальной безопасности; виды безопасности;
информационная безопасность (ИБ) в системе национальной безопасности
РФ; основные понятия, общеметодологические принципы
теории ИБ; анализ угроз ИБ, проблемы информационной войны; государственная
информационная политика; проблемы региональной информационной
безопасности; виды информации; методы и средства обеспечения
ИБ; методы нарушения конфиденциальности, целостности и доступности
информации; причины, виды искажения информации и каналы
утечки ее.
Авторы
4
Стр.4
ОГЛАВЛЕНИЕ
Предисловие..................................................................................................... 3
Введение ........................................................................................................... 5
Часть 1. ОСНОВЫ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
ПОЛИТИКИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ .................................................................... 12
1. Понятие национальной безопасности ...................................................... 12
1.1. Интересы и угрозы в области национальной безопасности ......... 12
1.2. Влияние процессов информатизации общества
на составляющие национальной безопасности и их содержание ....... 19
2. Информационная безопасность в системе национальной
безопасности Российской Федерации.......................................................... 20
2.1. Основные понятия, общеметодологические принципы
обеспечения информационной безопасности ...................................... 20
2.2. Национальные интересы в информационной сфере ..................... 32
2.3. Источники и содержание угроз в информационной сфере .......... 36
3. Государственная информационная политика ......................................... 41
3.1. Основные положения государственной информационной
политики Российской Федерации ......................................................... 41
3.2. Первоочередные мероприятия по реализации
государственной политики обеспечения информационной
безопасности ........................................................................................... 44
4. Информация – наиболее ценный ресурс современного
общества ......................................................................................................... 45
4.1. Понятие «информационный ресурс» ............................................. 45
4.2. Классы информационных ресурсов ............................................... 49
5. Проблемы информационной войны ......................................................... 64
5.1. Информационное оружие и его классификация ........................... 64
5.2. Информационная война .................................................................. 66
6. Проблемы информационной безопасности в сфере
государственного и муниципального управления ...................................... 69
6.1. Информационные процессы в сфере государственного
и муниципального управления .............................................................. 69
6.2. Виды информации и информационных ресурсов
в сфере ГМУ ............................................................................................ 74
6.3. Состояние и перспективы информатизации сферы ГМУ ................ 75
7. Система подготовки кадров в области информационной
безопасности в Российской Федерации ....................................................... 78
548
Стр.548
Оглавление
7.1. Структура системы подготовки кадров в области
информационной безопасности ............................................................. 78
7.2. Состав учебно-методического обеспечения системы
и ее подсистема управления .................................................................. 81
7.3. Основные направления учебной деятельности ............................. 83
Литература ..................................................................................................... 85
Часть 2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ ..................................................... 87
1. Современная постановка задачи защиты информации ......................... 87
2. Организационно-правовое обеспечение информационной
безопасности .................................................................................................. 88
2.1. Информация как объект юридической защиты.
Основные принципы засекречивания информации ............................. 88
2.2. Государственная система правового обеспечения
защиты информации в Российской Федерации ................................... 99
3. Информационные системы ..................................................................... 108
3.1. Общие положения .......................................................................... 109
3.2. Информация как продукт .............................................................. 113
3.3. Информационные услуги .............................................................. 118
3.4. Источники конфиденциальной информации
в информационных системах ............................................................... 126
3.5. Что приводит к неправомерному овладению
конфиденциальной информацией в информационных системах ..... 131
3.6. Виды технических средств информационных систем ................ 137
4. Угрозы информации ................................................................................ 139
4.1. Классы каналов несанкционированного получения
информации ........................................................................................... 142
4.2. Причины нарушения целостности информации ......................... 143
4.3. Виды угроз информационным системам ..................................... 144
4.4. Виды потерь ................................................................................... 148
4.5. Информационные инфекции ........................................................ 154
4.6. Убытки, связанные с информационным обменом ...................... 158
4.7. Модель нарушителя информационных систем ........................... 163
5. Методы и модели оценки уязвимости информации ............................. 173
5.1. Эмпирический подход к оценке уязвимости информации ........ 176
5.2. Система с полным перекрытием .................................................. 179
5.3. Практическая реализация модели «угроза – защита» ................ 180
6. Рекомендации по использованию моделей оценки
уязвимости информации ............................................................................. 182
7. Методы определения требований к защите информации ................... 184
549
Стр.549
Основы информационной безопасности
8. Анализ существующих методик определения требований
к защите информации ................................................................................. 195
8.1. Требования к безопасности информационных
систем в США ....................................................................................... 196
8.2. Требования к безопасности информационных
систем в России ..................................................................................... 203
8.3. Классы защищенности средств вычислительной техники
от несанкционированного доступа ...................................................... 207
8.4. Оценка состояния безопасности ИС Франции ............................ 210
8.5. Факторы, влияющие на требуемый уровень защиты
информации ........................................................................................... 220
8.6. Критерии оценки безопасности информационных
технологий ............................................................................................. 221
9. Функции и задачи защиты информации ................................................ 231
9.1. Общие положения .......................................................................... 231
9.2. Методы формирования функций защиты .................................... 233
9.3. Классы задач защиты информации .............................................. 234
9.4. Функции защиты ............................................................................ 241
9.5. Состояния и функции системы защиты информации ................ 241
10. Стратегии защиты информации ........................................................... 243
11. Способы и средства защиты информации........................................... 245
12. Криптографические методы защиты информации ............................ 249
12.1. Требования к криптосистемам ................................................... 252
12.2. Основные алгоритмы шифрования ............................................ 253
12.3. Цифровые подписи ...................................................................... 255
12.4. Криптографические хеш-функции ............................................. 257
12.5. Криптографические генераторы случайных чисел ................... 257
12.6. Обеспечиваемая шифром степень защиты ................................ 258
12.7. Криптоанализ и атаки на криптосистемы .................................. 260
13. Архитектура систем защиты информации .......................................... 262
13.1. Требования к архитектуре СЗИ .................................................. 262
13.2. Построение СЗИ........................................................................... 265
13.3. Ядро системы защиты информации ........................................... 265
13.4. Ресурсы системы защиты информации ..................................... 266
13.5. Организационное построение ..................................................... 267
Литература ................................................................................................... 268
Приложение 1. РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ
«ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» ....................... 271
I. Цели и задачи дисциплины, ее место в учебном процессе.
Цели преподавания дисциплины ............................................................... 271
550
Стр.550
Оглавление
Задачи изучения дисциплины .............................................................. 271
Общие указания к выполнению практических занятий .................... 271
Перечень дисциплин, усвоение которых необходимо
для изучения данного курса ................................................................. 272
II. Содержание дисциплины ....................................................................... 272
1. Теоретические занятия (18 ч) .......................................................... 272
2. Практические занятия (18 ч) ............................................................ 275
3. Самостоятельная работа (28 ч) ........................................................ 275
III. Учебно-методические материалы по дисциплине .............................. 275
Основная литература ............................................................................ 275
Дополнительная литература ................................................................ 276
Законодательство .................................................................................. 277
Приложение 2. ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ .................................. 278
Первое задание ............................................................................................ 278
Второе задание ............................................................................................. 278
Приложение 3. ВОПРОСЫ К ЭКЗАМЕНУ .............................................. 281
Приложение 4. ДОКТРИНА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ .................................. 283
I. Информационная безопасность Российской Федерации ...................... 283
1. Национальные интересы Российской Федерации
в информационной сфере и их обеспечение ...................................... 283
2. Виды угроз информационной безопасности
Российской Федерации ........................................................................ 287
3. Источники угроз информационной безопасности
Российской Федерации ........................................................................ 291
4. Состояние информационной безопасности Российской
Федерации и основные задачи по ее обеспечению ............................ 292
II. Методы обеспечения информационной безопасности
Российской Федерации ............................................................................... 296
5. Общие методы обеспечения информационной
безопасности Российской Федерации ................................................. 296
6. Особенности обеспечения информационной
безопасности Российской Федерации в различных
сферах общественной жизни ............................................................... 299
7. Международное сотрудничество Российской Федерации
в области обеспечения информационной безопасности ................... 315
III. Основные положения государственной политики
обеспечения информационной безопасности Российской
Федерации и первоочередные мероприятия по ее реализации ............... 316
551
Стр.551
Основы информационной безопасности
8. Основные положения государственной политики обеспечения
информационной безопасности Российской Федерации .................. 316
9. Первоочередные мероприятия по реализации
государственной политики обеспечения
информационной безопасности Российской Федерации .................. 319
IV. Организационная основа системы обеспечения
информационной безопасности Российской Федерации ......................... 320
10. Основные функции системы обеспечения информационной
безопасности Российской Федерации ................................................. 320
11. Основные элементы организационной основы системы
обеспечения информационной безопасности
Российской Федерации ........................................................................ 322
Приложение 5. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ
ФЕДЕРАЦИИ «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ
И ЗАЩИТЕ ИНФОРМАЦИИ» .................................................................. 325
Глава 1. Общие положения ......................................................................... 325
Статья 1. Сфера действия настоящего Федерального закона ........... 325
Статья 2. Термины, используемые в настоящем Федеральном
законе, их определения ........................................................................ 325
Статья 3. Обязанности государства в сфере формирования
информационных ресурсов и информатизации ................................. 327
Глава 2. Информационные ресурсы........................................................... 328
Статья 4. Основы правового режима информационных
ресурсов ................................................................................................. 328
Статья 5. Документирование информации ......................................... 328
Статья 6. Информационные ресурсы как элемент состава
имущества и объект права собственности .......................................... 329
Статья 7. Государственные информационные ресурсы .................... 330
Статья 8. Обязательное представление
документированной информации для формирования
государственных информационных ресурсов .................................... 331
Статья 9. Отнесение информационных ресурсов
к общероссийскому национальному достоянию ............................... 332
Статья 10. Информационные ресурсы по категориям доступа ............. 332
Статья 11. Информация о гражданах (персональные данные) ............. 333
Глава 3. Пользование информационными ресурсами ............................. 334
Статья 12. Реализация права на доступ к информации
из информационных ресурсов ............................................................. 334
Статья 13. Гарантии предоставления информации ........................... 335
552
Стр.552