WWW.DISUS.RU

БЕСПЛАТНАЯ НАУЧНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Авторефераты, диссертации, методички

 

Pages:     | 1 |   ...   | 3 | 4 ||

«Государственное образовательное учреждение высшего профессионального образования Алтайский государственный технический университет им. И. И. Ползунова Ю. Н. Загинайлов ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ...»

-- [ Страница 5 ] --

К неформальным, относятся средства, основу содержания которых составляет целенаправленная деятельность людей. Общая классификация средств защиты информации.

Формальные средства разделяют на средства физической защиты, криптографические, технические.

Средство физической защиты информации – это средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

Средства физической защиты - механические, электрические, электромеханические, электронные, электронно-механические и т. п.

устройства (замки) и системы, которые функционируют автономно, создавая различного рода препятствия на пути нарушителей (злоумышленников). К ним относятся также системы контроля и управления доступом (СКУД) в охраняемые зоны, помещения, средства охранной и охранно-пожарной сигнализации, системы видеонаблюдения (в совокупности со службами охраны), специальные укреплённые двери, турникеты и т.п.

Криптографическое средство защиты информации – это средство защиты информации, реализующее алгоритмы криптографического преобразования информации. Реализация может осуществляться с использованием аппаратуры (аппаратные), программ (программные) или с использованием того и другого (программно-аппаратные).

Криптографические средства предназначены для шифрования информации с целью сохранения её конфиденциальности при передаче по сетям связи, информационно-телекоммуникационным сетям, обеспечения целостности, обеспечения подлинности и юридической значимости электронных документов (электронная цифровая подпись), защиты парольных систем в АС.

Технические средства защиты информации разделяют на инженерно-технические и программно-аппаратные.

Инженерно-технические включают: аппаратные, программноаппаратные средства, материалы и вещества, предназначенные для защиты информации. Назначение этих средств - защита информации от утечки по техническим каналам и от технических средств разведки.

Программно-аппаратные средства защиты информации разделяются на: аппаратные, программные, программно-аппаратные.

Аппаратные средства – различные электронные устройства, схемно встраиваемые в аппаратуру АС или сопрягаемые с ней специально для решения задач защиты информации от НСД, а также устройства, устанавливаемые на объектах информатизации с целью защиты от утечки по техническим каналам и ПДТР.

Программные средства –специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения АС с целью решения задач защиты информации, в первую очередь защиты от НСД и НСВ.

Программно-аппаратные – аппаратные средства, работающие под управлением или с использованием программ.

Неформальные средства защиты информации. К неформальным, относятся средства, основу содержания которых составляет целенаправленная деятельность людей. К ним относят: правовые, организационные и морально-этические средства.

Правовые (законодательные средства) – нормативные правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

Организационные средства – организационно-технические или организационно – правовые мероприятия, специально предусматриваемые в технологии функционирования объекта информатизации (АС), с целью решения задач защиты информации.

Морально-этические средства – сложившиеся в обществе или данном коллективе моральные нормы или этические правила (корпоративная или профессиональная этика), соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Законодательные средства формируются путем издания соответствующих юридических актов, что является прерогативой соответствующих органов управления. Морально-этические нормы формируются в процессе жизнедеятельности общества.

Средство контроля эффективности защиты информации – это средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации. Основу рассматриваемых средств составляют средства, предназначенные для контроля эффективности защиты информации от утечки по техническим каналам (сканирующие приёмники, устройства для поиска закладочных устройств, сканеры безопасности сети и т.п.).

14. 4 Характеристика способов и средств по видам защиты Правовая защита информации. К правовым способам (мерам) защиты информации относятся разработка законов, нормативных правовых документов органов исполнительной власти обеспечивающих защиту информации на уровне государства, нормативных документов организаций предприятий, учреждений, регламентирующих правила обращения с информацией, закрепляющих права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым, неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые способы основаны на принципах законности. Основной способ их реализации – регламентация.

В качестве правовых способов (мер) защиты следует рассматривать:

– установление категорий информации ограниченного доступа на уровне законодательства;

– законодательное ограничение прав на доступ к категориям информации ограниченного доступа;

– лицензирование деятельности связанной с защитой информации;

– сертификация средств защиты информации;

– регламентация приобретения и применения определённых средств защиты и средств оценки эффективности защиты информации на объектах информатизации;

– установление правовой ответственности за разглашение различных видов тайны и компьютерные преступления, за нарушение правил защиты информации и т.п.

В качестве правовых средств защиты при реализации этих способов следует выделить:

– конкретные нормы законодательства, устанавливающие права, обязанности, конкретные меры, подлежащие исполнению и правовую ответственность за их неисполнение или нарушение.

– правовые документы, подтверждающие: право на осуществление деятельности по защите информации (лицензии), использование определённых средств обработки информации (лицензии, патенты, товарные знаки), соответствие требованиям законодательства средств обработки, передачи и систем защиты информации (сертификаты на СрЗИ, аттестаты соответствия на объекты информатизации по требованиям безопасности, сертификаты ключей ЭЦП и т.п.);

– локальные нормативные акты организаций закрепляющие правовой статус защищаемой информации, органов защиты информации, и регулирующих обращение с этой информацией.

Морально – этические меры включают нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Достоинства и недостатки правовых и морально-этических мер защиты. Эти меры определяют (регламентируют) правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.

Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Их основным недостатком является то, что на реализацию требуется достаточно много времени и сил, поскольку в основном они реализуются через суд.

Организационные способы защиты информации. Организационные (административные) способы - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности информации. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Организационные способы включают:

– мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

– мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

– мероприятия, осуществляемые при подборе и подготовке персонала системы;

– организацию охраны и надежного пропускного режима;

– организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

– распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

– организацию явного и скрытого контроля за работой пользователей;

– мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Достоинства и недостатки. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности.

Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать на практике.

Достоинства организационных мер:

– широкий круг решаемых задач;

– простота реализации;

– гибкость реагирования на несанкционированные действия;

– практически неограниченные возможности изменения и развития.

Этим мерам присущи серьезные недостатки, такие как:

– необходимость использования людей;

– повышенная зависимость от субъективных факторов;

– высокая зависимость от общей организации работ в организации;

– низкая надежность без соответствующей поддержки физическими, техническими и криптографическими средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить);

– дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.

Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения информационной безопасности выделяют два направления:

- направление, связанное с реализацией мер организационно- правового характера и направление, связанное с реализацией мер организационно-технического характера. Первое направлено на реализацию правовых методов защиты информации и поддержание правового режима обработки информации. Второе направлено на поддержание правового режима обработки информации методами инженерно- технической защиты.

Техническая защита информации. Инженерно-технические способы и средства защиты информации предназначены для защиты информации от утечки по техническим каналам и противодействия технической разведке.

Инженерно-техническая защита информации. Способы инженерно-технической защиты с использованием аппаратных и аппаратно-программных средств защиты ИОД основаны, в основном, на принципе маскировки, они включают:

– способы и соответствующие им средства защиты объектов от наблюдения в оптическом диапазоне электромагнитных волн, от радиолокационного и радиотеплолокационного (ИК) наблюдения;

– способы защиты линий связи учреждений и предприятий от утечки ИОД;

– способы и средства устранения (снижения) утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН), – способы защиты акустической информации, меры по скрытию объектов от акустической, гидроакустической и сейсмической разведки;

– способы радиоэлектронного противодействия средствам радио и радиотехнической разведки;

– способы защиты объектов от химической, радиационной и магнитометрической разведки.

Недостатком инженерно-технических способов и средств защиты является то, что они не могут защитить информацию от персонала, допущенного к работе в АС. Для решения этой задачи предназначены программно-аппаратные способы и средства защиты. Кроме того, эти способы являются зачастую дорогостоящими. Цена большинства средств, особенно средств оценки эффективности инженернотехнической защиты, в десятки, а иногда и в сотни раз превышает стоимость программно-аппаратных средств.

Программно-аппаратная защита информации. Способы и средства программно-аппаратной защиты предназначены для защиты внутренней среды АС и хранящейся в ней информации, от угроз, которые могут быть реализованы с использованием инфо- телекоммуникационных и системно-программных каналов, и в первую очередь от НСД и НСВ. Классификация программно-аппаратных способов и средств защиты по объектам защиты приведена на рисунке 14.3.

средства защиты средства защиты средства защиты средства защиты Рисунок 14.3 – Классификация программно - аппаратных Как правило, современные программно-аппаратные средства защиты реализуют несколько способов. Особым направлением является разработка и внедрение системы защиты от НСД в виде программноаппаратного комплекса на базе операционной системы.

Достоинства и недостатки. Достоинства программно- аппаратных способов и средств:

1) универсальность;

2) гибкость;

3) надежность функционирования;

4) простота реализации;

5) широкие возможности модификации и развития.

Недостатки программно-аппаратных средств:

1) снижение функциональных возможностей АС;

2) необходимость использования запоминающих устройств АС;

3) подверженность случайным или закономерным модификациям;

4) ориентация на вполне определённые типы ЭВМ и ПО (ОС, СУБД).

Криптографическая защита информации. Наиболее надежными и стойкими к угрозам безопасности информации являются криптографические способы и средства защиты.

Криптографическое закрытие является специфическим способом защиты информации, оно имеет многовековую историю развития и применения. Оно заключается в преобразовании её составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов либо аппаратных решений и ключей, т.е. приведение её к неявному виду.

Криптографические способы защиты информации могут применяться как для защиты информации, обрабатываемой в ЭВМ или хранящейся в различного рода запоминающих устройствах, так и для закрытия информации, передаваемой между различными элементами системы по линиям связи и каналам телекоммуникаций. Классификация криптографических средств защиты информации приведена на рисунке 14.4.

Средства имитозащиты Средства изготовления клюКлючевые документы чевых документов Рисунок 14.4 – Классификация криптографических средств Криптографические средства могут быть с программной, программно-аппаратной или аппаратной реализацией.

Возможность программной реализации обуславливается тем, что все методы криптографического закрытия формальны и могут быть представлены в виде конечной алгоритмической процедуры.

Средства шифрования - аппаратные, программные и аппаратнопрограммные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от НСД при ее передаче по каналам связи и (или) при ее обработке и хранении.

Средства имитозащиты - аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

Средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

Средства электронной цифровой подписи (ЭЦП) - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание ЭЦП с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП.

Средства изготовления ключевых документов – средства, предназначенные для выработки по определенным правилам криптоключей (независимо от вида носителя ключевой информации).

Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (совокупность данных, предназначенных для выработки по определенным правилам криптоключей), а при необходимости - контрольную, служебную и технологическую информацию.

Выработанные криптоключи могут «записываться» на ключевые носители разового или многократного использования. К носителям многократного использования относятся: магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.

Основным достоинством программных способов реализации криптографической защиты является их гибкость, т.е. возможность быстрого изменения алгоритма шифрования. При этом можно предварительно создать пакет шифрования, содержащий программы для различных методов шифрования или их комбинаций. Смена программ будет производиться оперативно в процессе функционирования системы.

При аппаратной реализации все процедуры шифрования и дешифрования выполняются специальными электронными модулями, сопряженными с ЭВМ.

Криптографические методы и средства на современном этапе являются наиболее надежными. При этом используется как шифрование так и кодирование информации.

Под шифрованием понимается такой вид криптографического закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения.

Под кодированием понимается такой вид криптографического закрытия, когда некоторые элементы защищаемых данных (это не обязательно отдельные символы) заменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровыми сочетаниями и т.п.).

Этот метод имеет две разновидности: смысловое и символьное кодирование. При смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.

Недостатки криптографических способов и средств. Надёжность защиты зависит от способа (алгоритма) шифрования, его устойчивости к криптоанализу. Несмотря на высокую устойчивость, СКЗИ подвержены криптоанализу и компрометации криптоключей (хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

1. Перечислите виды защиты информации и укажите сферу действия каждого вида.

2. Что понимается под способом защиты информации?

3. Как классифицируются общие способы защиты информации?

4. Что понимается под средством защиты информации?

5. Приведите общую классификацию средств защиты информации.

6. В чём заключаются достоинства и недостатки правовых мер защиты информации?

7. В чём заключаются достоинства и недостатки организационных мер защиты информации?

8. В чём заключаются достоинства и недостатки инженернотехнических способов и средств защиты информации?

9. В чём заключаются достоинства и недостатки программноаппаратных способов и средств защиты информации?

10. В чём заключаются достоинства и недостатки криптографических способов и средств защиты информации?

НАЗНАЧЕНИЕ И СТРУКТУРА СИСТЕМ ЗАЩИТЫ

ИНФОРМАЦИИ

15.1 Понятие и общая структура системы защиты Понятие системы защиты. В современной научной литературе и нормативных документах по защите информации встречаются различные определения понятия «система защиты информации». В теории систем понятие «система» так же определяется по-разному:

1) «Система – это комплекс взаимодействующих компонентов»

(Л. Берталанфи);

2) «Система представляет собой определённое множество взаимосвязанных элементов, образующих устойчивое единство и целостность, обладающее интегральными свойствами и закономерностями»

(В. П. Кузьмин);

3) «Система – это не просто совокупность единиц… а совокупность отношений между этими единицами» (А. Рапорт).

Среди множества определений можно выделить главную суть системы, которая заключается не только в том, что система включает некоторое множество компонентов, но и в том, что взаимодействие этих компонентов приводит к получению некоторого полезного (интегрированного) результата, который невозможно получить, используя каждый компонент в отдельности.

В Российских национальных стандартах по защите информации понятие системы защиты информации определяется следующим образом:

Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Общая структура систем защиты информации. Исходя из определения понятия «система» в системах защиты информации можно (по крайней мере) выделить 4 взаимосвязанных и взаимодействующих компонента (элемента) без которых решение задач защиты будет проблематичным. Состав этих компонентов приведен на рисунке 15. Орган защиты информации – административный орган, осуществляющий организацию защиты информации.

Рисунок 15.1 – Компоненты системы защиты информации В настоящее время в сложившейся практике подразделения по защите информации на предприятиях, в организациях и учреждениях могут именоваться:

– отдел защиты государственной тайны и информации;

– отдел защиты информации;

– отдел информационной безопасности;

– служба защиты информации;

– служба информационной безопасности и т.п.

В случаях отсутствия специальной службы или отдела могут назначаться отдельные исполнители ответственные за защиту, например, администраторы безопасности компьютерной сети или АС, администраторы безопасности баз данных и т.д.

Техника защиты информации – средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Объект защиты информации – информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Состав объектов защиты рассмотрен в главе 13.

Правила и нормы, установленные соответствующими документами в области защиты информации, включают правила и нормы, установленные правовыми, организационно – распорядительными, нормативно-методическими документами, разработанными и введёнными в действие, как органами государственной власти, так и руководством организации в которых создаётся и используется система защиты информации.

15.2 Общеметодологические требования и принципы построения систем защиты информации Введением понятия системы защиты информации (СЗИ) определяется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой объекта информатизации.

Важнейшим концептуальным требованием к СЗИ, выделяемым особо, является требование адаптируемости, т. е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования объекта информатизации. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, вообще говоря, могут существенно изменяться, а с другой - тем, что процессы защиты информации относятся к слабоструктурированным, т. е. имеющим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.

Помимо общего концептуального требования к СЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на: функциональные, эргономические, экономические, технические и организационные. В совокупности эти требования образуют систему, структура и содержание которой приведены в таблице 15.1.

В процессе развития работ по защите информации как у нас в стране, так и за рубежом наряду с конкретными разработками конкретных вопросов защиты формировались общеметодологические принципы (общие положения) построения и функционирования СЗИ.

Соблюдение требований таких принципов в общем случае способствует повышению эффективности защиты.

Таблица 15.1 – Общеметодологические требования к системе защиты информации Функциональные требуемой совокупно- требованиям защиты Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов:

– концептуальное единство (комплексность);

– адекватность требованиям;

– гибкость (адаптируемость);

– функциональная самостоятельность;

– удобство использования;

– минимизация предоставляемых прав;

– полнота контроля;

– активность реагирования;

– экономичность.

Концептуальное единство(комплексность) означает, что архитектура, технология, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции отражающей цели и задачи защиты информации.

Адекватность требованиям означает, что СЗИ должна строиться в строгом соответствии с требованиями к защите, которые в свою очередь определяются категорией хранимой и обрабатываемой информации (вид тайны, степени секретности) и соответствующего объекта, а также факторами, влияющими на защиту информации (уязвимости, угрозы, условия обработки и др.) Гибкость (адаптируемость) системы защиты означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры АС, технологических схем или условий функционирования каких-либо ее компонентов.

Функциональная самостоятельность предполагает, что СЗИ должна быть самостоятельной обеспечивающей подсистемой ОИ и при осуществлении функций защиты не зависеть от других подсистем.

Удобство использования означает, что СЗИ не должна создавать дополнительных неудобств для пользователей и персонала АС.

Минимизация предоставляемых прав означает, что каждому пользователю и каждому лицу из состава персонала ОИ должны предоставляться лишь те полномочия на доступ к ресурсам ОИ и информационным технологиям, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и установленным порядком и утверждены заблаговременно.

Полнота контроля (аудит безопасности) предполагает, что все процедуры автоматизированной и неавтоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться (документироваться) в специальных регистрационных журналах.

Активность реагирования означает, что СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать:

– просьбу повторить действие;

– задержку в выполнении запросов;

– отключение структурного элемента, с которого осуществлено несанкционированное действие;

– исключение нарушителя из числа зарегистрированных пользователей;

– подача специального сигнала и др.

Экономичность СЗИ означает, что при условии соблюдения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными.

15.3 Типизация, стандартизация, классификация систем Типизация и стандартизация систем защиты. Типизация и стандартизация систем защиты информации, как и любых других систем, имеет важное значение, как с точки зрения обеспечения надежности, так и экономичности защиты. Типизация в самом общем виде определяется как разработка типовых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Типизация рассматривается как один из методов стандартизации.

Стандартизация – это процесс установления и применения стандартов, которые в свою очередь определяются как образцы, эталоны, модели, принимаемые за исходные, для сопоставления с ними других подобных объектов. Стандарт же, как нормативно-технический документ, устанавливает комплекс норм, правил, требований к объекту стандартизации и утверждается компетентным органом.

Таким образом, конечной целью типизации и стандартизации является разработка, утверждение и повсеместное применение стандартов. Первым шагом на пути к конечной цели должна быть максимальная типизация основных решений в соответствующей области. С этих позиций необходимо рассматривать вопросы типизации и стандартизации СЗИ.

Анализ концепции защиты информации вообще и подходов к архитектурному построению СЗИ, в частности, показывает, что с целью создания наилучших предпосылок для оптимизации СЗИ целесообразно выделить три уровня типизации и стандартизации:

1. Высший – уровень СЗИ в целом (СЗИ объекта информатизации).

2. Средний – уровень составных компонентов СЗИ (СЗИ АС от НСД, ИТ-системы).

3. Низший – уровень проектных решений по средствам и механизмам защиты (подсистемы защиты ОС, БД, средства защиты, реализованные в ОТСС или ВТСС и т.д., различные спецификации, ИТпродукты).

С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях, прежде всего, необходимо осуществить системную классификацию СЗИ. При этом чисто интуитивно ясно, что основными критериями классификации должны быть такие показатели, с помощью которых все потенциально необходимые СЗИ делились бы на такие элементы классификационной структуры (классы, группы), каждый из которых был бы адекватен некоторым вполне определенным потребностям в защите информации, а вся совокупность таких элементов охватывала бы все потенциально возможные варианты потребностей в защите.

Высший уровень. В качестве примера типизации СЗИ на высшем уровне можно выделить классификацию объектов информатизации ( типа).

Задачи стандартизации на этом уровне достаточно сложны в связи с тем, что условия функционирования объектов информатизации предприятий, учреждений, организаций различны и, следовательно, существенно различаются цели и задачи защиты информации. Поэтому на этом уровне становится возможна лишь стандартизация типовых факторов воздействующих на объект информатизации. Примером этому служит стандарт ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию.

Требования безопасности к этим типам объектов складываются из требований безопасности к объектам, из которых они состоят, т.е требований безопасности к средствам и системам обработки (ОТСС), к средствам обеспечения объекта (ВТСС) и помещениям (зданиям, сооружениям). Уровень защищённости компонент зависит от степени конфиденциальности (секретности) информации.

Средний уровень. Средний уровень – уровень компонент объекта информатизации.

В качестве базового компонента ОТСС в настоящее время определены автоматизированные системы в защищённом исполнении (АСЗИ). АСЗИ это АС имеющие систему защиты, которая отвечает набору стандартов защиты и нормативных документов (Руководящих документов ФСТЭК).

На этом уровне учитываются условия обработки, состав и функции органов защиты, наличие нормативных документов определяющих режим защиты и правила обращения с информацией. В зависимости от ценности информации (грифа секретности и конфиденциальности) и условий обработки (уровней допуска пользователей) все системы (АС) разделяются на 9 классов, а помещения, в которых они установлены или помещения для конфиденциальных переговоров 3 класса, в зависимости от грифа секретности информации. ОТСС (АС, помещения в которых они установлены, помещения для конфиденциальных переговоров) аттестуются на соответствующий класс по требованиям безопасности информации сертификационными центрами, имеющими аккредитацию ФСТЭК на проведение аттестации объектов информатизации).

Таким образом, типизация и стандартизация на среднем уровне, предполагает разработку типовых проектов структурно или функционально ориентированных компонентов СЗИ, которые учитывают условия обработки. Требования к проектированию и построению систем защиты определены в стандартах и нормативных (руководящих) документах органов исполнительной власти уполномоченных в области безопасности и технической защиты информации. Стандартизованными являются АС различного уровня и назначения и помещения для конфиденциальных переговоров. По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-систем.

Низший уровень. Уровень проектных решений по средствам и механизмам защиты. Типизация и стандартизация на низшем уровне предполагает разработку и стандартизацию типовых проектных решений по практической реализации средств защиты информации или спецификаций:

– программно-аппаратных;

– криптографических;

– физической защиты.

В настоящее время существует несколько систем стандартизации как на основе национальных стандартов (руководящих документов ФСТЭК), так и международных.

По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-продуктов.

Таким образом, типизация и стандартизация на низшем уровне, предполагает разработку типовых решений на уровне подсистем защиты или средств защиты, которые могут быть сертифицированы в качестве стандартных и из которых можно просто собирать необходимую СЗИ (подсистемы защиты ОС, БД, средства защиты реализованные в ОТСС или ВТСС и т.д., различные спецификации, ИТ-продукты). Они не учитывают (или учитывают частично) условий обработки информации и функционирования объекта информатизации.

Классификация систем защиты. В качестве варианта классификации СЗИ может быть рассмотрен один из эмпирических подходов к типизации СЗИ АС, в рамках которого СЗИ классифицируются по уровню защиты, обеспечиваемому соответствующей системой и активности реагирования СЗИ на несанкционированные действия.

Классификация по уровню обеспечиваемой защиты. Все СЗИ целесообразно разделить, например, на пять категорий. Каждый уровень будет соответствовать условной ценности (важности информации). Вариант такой классификации приведен в таблице 15.2.

Таблица15.2 – Классификация АС по уровню обеспечиваемой защиты на основе важности (ценности) информации Системы слабой (тривиальной) защиты – рассчитаны на такие АС, в которых обрабатывается информация, имеющая самый низший уровень конфиденциальности и ущерб от получения её третьими лицами не несёт значительного материального ущерба способного повлиять на деятельность организации и её бизнес процессы;

Системы «нормальной» (базовой) защиты – рассчитаны на такие АС, в которых обрабатывается информация ограниченного доступа и (или) другая ценная информация и ущерб от получения её третьими лицами или её утрата может привести к материальному (финансовому) или моральному ущербу способному повлиять на деятельность организации и её бизнес процессы.

Системы сильной защиты – рассчитаны на АС, в которых обрабатывается информация, подлежащая защите от несанкционированного ее получения, и имеющая высокую (государственную) важность (ценность);

Системы очень сильной защиты – рассчитаны на АС, в которых регулярно обрабатываются информация, имеющая очень высокую (государственную) важность (ценность);

Системы особой защиты – рассчитаны на АС, в которых регулярно обрабатывается информация особой (государственной) важности (ценности).

Классификация по активности реагирования. По активности реагирования СЗИ на несанкционированные действия, все системы защиты можно разделить на следующие три типа:

1) пассивные СЗИ, в которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя (например системы аудита);

2) полуактивные СЗИ, в которых предусматривается сигнализация о несанкционированных действиях, но не предусмотрено воздействие системы на нарушителя;

3) активные СЗИ, в которых предусматривается как сигнализация о несанкционированных действиях, так и воздействие системы на нарушителя, его действия или используемые средства. В этом случае, в качестве примера можно привести СЗИ от НСД в АС в которых функционально может быть предусмотрено блокирование доступа к защищаемым ресурсам в случае трёх попыток ввода неправильного пароля, или отключение компьютера вообще.

В общем случае можно предположить, что СЗИ каждой категории по уровню защиты могут относиться к разным типам активности реагирования. Однако вряд ли целесообразно строить активные СЗИ слабой защиты (хотя в некоторых случаях такие системы и могут быть допустимы). С другой стороны, системы особой защиты непременно должны быть активными. Следовательно, в классификационной структуре могут быть выделены обязательные, целесообразные, нецелесообразные, допустимые и недопустимые СЗИ.

Системы защиты информации государственного уровня рассмотрены в главе 3.

1. Приведите понятие системы защиты информации и её компоненты в соответствии с Российскими национальными стандартами.

2. Что включают в себя общеметодологические требования к системе защиты информации?

3. Приведите перечень общеметодологических принципов построения систем защиты информации.

4. В чём суть принципа комплексности в построении систем защиты информации?

5. В чём суть принципа адекватности в построении систем защиты информации?

6. В чём заключается суть и проблема типизации СЗИ на высшем уровне? Приведите пример типизации.

7. В чём заключается суть типизации СЗИ на среднем уровне?

Приведите пример.

8. В чём заключается суть типизации СЗИ на низшем уровне?

Приведите пример.

9. Как классифицируются СЗИ по уровню обеспечиваемой защиты? Приведите пример.

10.Как классифицируются СЗИ по активности реагирования на несанкционированные действии?

КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

НА ПРЕДПРИЯТИИ

16.1 Понятие и общая структура комплексной системы защиты информации на предприятии Одним из базовых принципов и требований к обеспечению информационной безопасности предприятия и построению систем защиты является принцип комплексности защиты. Основная идея этого принципа заключается в том, что, во-первых должны быть защищены все объекты предприятия (объекты информатизации) на которых ведётся обработка информации, во-вторых должен использоваться арсенал методов и средств всех видов защиты: правового, технического, организационного, криптографического, физического в их оптимальном сочетании обеспечивающем соотношение цена системы защиты/эффективность системы защиты.

Принцип комплексности позволяет оценить в целом главные вопросы защиты: что защищается, кто защищает и как защищается?

Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов предприятия.

Основными показателями, задающими необходимый комплекс мероприятий и средств по защите информации, следует считать:

– количество (объёмы) и ценность используемой и обрабатываемой на предприятии информации и информационных ресурсов;

– количество и технологические особенности технических средств обработки, хранения, передачи информации (средств автоматизации, связи и т.п);

– состав, объекты и степень конфиденциальности защищаемой информации;

– количество и уровень подготовки персонала связанного с использованием, обработкой, хранением, передачей информации вообще и ценной (конфиденциальной) в частности;

– структура и территориальное расположение предприятия;

– режим функционирования предприятия;

– конструктивные особенности (компактные, территориальнораспределённые, размещённые совместно с другими предприятиями);

– количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ);

– угрозы безопасности всем видам защищаемой информации, информационным ресурсам, системам и средствам их обработки, передачи, хранения расположенным в помещениях предприятия и представляющих собой в совокупности объекты информатизации.

Эти показатели зависят от следующих факторов, влияющих на организацию системы защиты предприятия:

1) форма собственности предприятия;

2) организационно- правовая форма предприятия;

3) характер основной деятельности;

4) степень автоматизации основных процедур обработки защищаемой информации;

Другим базовым принципом и требованием к СЗИ следует считать принцип адекватности.

Методы и средства защиты информации должны быть адекватны угрозам с тем, чтобы обеспечить достаточный уровень защиты с учетом всех существующих рисков для предприятия в информационной сфере и обеспечить их приемлемый уровень (для коммерческих предприятий), или соответствовать требованиям, предъявляемым в соответствии с законодательством, органами исполнительной власти уполномоченными в этой области.

С учётом указанных принципов, требований, показателей, факторов, угроз, понятие комплексной защиты может быть сформулировано следующим образом.

Комплексная система защиты информации предприятия (КСЗИП) – СЗИ реализующая правовой, организационный, технический, физический, криптографический (при необходимости) виды защиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информатизации предприятия.

Анализ существующих стандартов, нормативных, методических документов в области защиты информации показывает, что состав КСЗИП и её структура может быть представлена в виде компонентов, каждый из которых представляет собой подсистему (рисунок 16.1).

КСЗИП – это социотехническая система.

Создание каждой подсистемы регламентировано и возможно на основе требований определённых в соответствующих технических регламентах, стандартах, нормативных и методических документах органов исполнительной власти обеспечивающих защиту информации.

К О М П О Н Е Н Т Ы

Подсистемы защиты от утечки по ТКУИ и ПДТР 16.2 Компоненты комплексной системы защиты информации Подсистема управления КСЗИП. Подсистема управления КСЗИП - предназначена для управления процессами защиты информации на основе законодательства и регламентации правил и порядка доступа к защищаемой информации и контроля всех процессов со стороны руководства организации и службы защиты информации.

Подсистема управления информационной безопасностью является одновременно подсистемой управления предприятием, и включает следующие элементы (рисунок 16.2):

безопасности Рисунок 16.2 – Подсистема управления КСЗИП – нормативно-правовые и методические документы по защите информации;

– отдел (служба, сектор) защиты информации;

– руководство организации и руководители подразделений, в которых защищается информация;

– советы по безопасности и экспертные комиссии в области защиты информации (коллегиальные органы).

Нормативно-правовые и методические документы. Нормативно-правовые и методические документы как элемент подсистемы управления включают в себя три группы:

1) Федеральные законы РФ (включая технические регламенты), нормативные правовые акты и методические документы Президента РФ, Правительства РФ, органов исполнительной власти, стандарты по вопросам обеспечения информационной безопасности и защиты информации. Их перечень и обязательность наличия на предприятии устанавливается органами исполнительной власти уполномоченными в области безопасности, технической защиты информации и противодействия техническим разведкам;

2) локальные нормативно-правовые и методические документы.

Перечень этой группы определяется исходя из требований документов первой группы и условий деятельности предприятия. К ним, в частности относятся: перечни сведений конфиденциального характера (подлежащих засекречиванию), политика (концепция) информационной безопасности предприятия, положения об отделе (службе) защиты информации и др., инструкции специалистам по защите информации, персоналу, руководства;

3) лицензии на виды деятельности, включая деятельность по защите информации, лицензии на объекты интеллектуальной собственности, аттестаты соответствия по требованиям безопасности на объекты информатизации, сертификаты на технические и криптографические средства защиты информации, средства физической защиты.

При защите государственной тайны регламентация защиты и все элементы подсистемы управления создаются и функционируют в строгом соответствии с законодательством о государственной тайне и требованиями нормативных документов, разработанными Правительством России и органами защиты государственной тайны.

При защите сведений конфиденциального характера, регламентация защиты и все элементы подсистемы управления, приведенные на рисунке создаются и функционируют в пределах норм и правил, установленных для защиты сведений конфиденциального характера нормативными документами и стандартами. Для управления КСЗИ в организации может быть создана и внедрена система управления, основанная на стандартах в области управления информационной безопасностью и менеджмента качества: ГОСТ Р ИСО/МЭК -17799 и ГОСТ Р ИСО/МЭК -27001.

Отдел (служба, сектор) защиты информации (или исполнители ответственные за защиту информации). Как элемент подсистемы управления КСЗИП отделы (службы, сектор) защиты информации создаются на основе требований законодательства (законодательство о государственной тайне) или исходя из потребностей предприятия. Во втором случае правовой основой создания и функционирования такого подразделения могут служить нормы Закона РФ 1992 г.

N 2487-I "О частной детективной и охранной деятельности в Российской Федерации"(ст.14), а также нормы Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781) – при защите только персональных данных (ст.13). Отделы могут входить в службы безопасности предприятия.

Руководство организации и руководители подразделений, в которых защищается информация. Функции руководства предприятия по защите информации зависят от ряда факторов, основными из которых являются:

– виды информации ограниченного доступа используемые на предприятии (государственная, служебная, коммерческая, персональные данные и т.п.);

– форма собственности и организационно-правовая форма предприятия;

– подчинённость (подведомственность) предприятия (для предприятий государственной формы собственности);

– сфера деятельности.

Обязанности и права руководителей предприятия по вопросам защиты информации должны быть отражены в должностных инструкциях.

Экспертные комиссии и советы по безопасности в области защиты информации являются коллегиальными органами призванными решать те вопросы информационной безопасности и защиты информации, которые не могут быть решены узкими специалистами и отдельно руководителем организации и его заместителями.

К таким комиссиям относятся:

– постоянно действующие технические комиссии (ПДТК) предприятий по защите государственной тайны ( создаваемые в соответствии с Положением, утверждённым совместным приказом Гостехкомиссии России и ФСБ России в 2001г.);

– экспертные комиссии по экспертизе материалов для открытого опубликования материалов и публичного представления, присвоения грифа конфиденциальности для отдельных видов документов (кандидатские и докторские диссертации и т.п.) – внутренние проверочные комиссии, назначаемые руководителем для проверки носителей информации ограниченного доступа и проведения внутреннего аудита информационной безопасности;

– комиссии по экспортному контролю при осуществлении международных связей (создаются в соответствии с требованиями законодательства об экспортном контроле) – советы по безопасности (выполняют роль консультативных органов), которые вырабатывают рекомендации руководству по вопросам защиты информации, требующим комплексного (многостороннего) подхода и безопасности ИТ и ИТТ.

Подсистема защиты информации от НСД в АС и ИТКС. Подсистема защиты информации от НСД в АС и ИТКС является самостоятельной системой и предназначена для защиты конфиденциальной (секретной) информации от несанкционированного доступа в автоматизированных системах и ИТКС организации, а также для обеспечения целостности информации и доступности для уполномоченных пользователей. СЗИ от НСД в АС и ИТКС включает следующие подсистемы (рисунок 16.3):

– подсистема управления доступом;

– подсистема регистрации и учета;

– криптографическая подсистема;

– подсистема обеспечения целостности;

– подсистема безопасности межсетевого взаимодействия и удалённого доступа.

управления регистрации Р е а л и з у е т с я в едином программно - аппаратном комплексе Подсистема безопасности межсетевого взаимодействия и удалённого доступа Рисунок 16.3 – Подсистема защиты информации от НСД Требования по созданию, по обеспечению безопасности информации в АС и ИТКС определены в стандартах и специальных нормативных документах по защите информации в АС от НСД и безопасности информационных технологий (Руководящих документах ФСТЭК России). В перспективе требования по защите информации и обеспечению безопасности информационных технологий на предприятии будут определены в специальных технических регламентах. Технические регламенты будут иметь силу закона и являться обязательными для исполнения.

В настоящее время при организации защиты информации в АС и ИТКС, обрабатывающих информацию ограниченного доступа, отнесённую к государственной и служебной тайне, а также персональные данные (в зависимости от категории) необходимо руководствоваться стандартами:

– ГОСТ Р 51583 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.

– ГОСТ Р 51624 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

– ГОСТ Р ИСО/МЭК 15408 (Части 1-3. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий).

Основными руководящими документами, содержащими требования к АС, являются:

– РД ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М., 1992.

– РД ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М., 1992.

Основными руководящими документами, содержащими требования к межсетевому взаимодействию АС и обеспечению безопасности в ИТКС, являются:

– РД ГТК. РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М., 1997;

– Указ Президента РФ от 17 марта 2008 г. N 351"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

При организации защиты коммерческой тайны в АС и ТКС могут использоваться как указанные выше стандарты и руководящие документы, так и международные стандарты, принятые в России в качестве национальных: ГОСТ Р ИСО/МЭК 13335 -2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 4 Выбор защитных мер, Часть 5 Руководство по менеджменту безопасности сети. Реализуется СЗИ от НСД методами и средствами программноаппаратной, программной, аппаратной защиты.

Подсистема защиты от несанкционированного физического доступа (подсистема физической защиты). Подсистема защиты от несанкционированного физического доступа предназначена для контроля пребывания на территории и объектах информатизации (в контролируемых зонах) персонала предприятия и предотвращения неконтролируемого пребывания посторонних лиц, а также для сигнализации и извещения о случаях несанкционированного проникновения на территорию и охраняемые объекты информатизации.

Она является одновременно подсистемой системы безопасности организации и может включать следующие подсистемы и элементы (рисунок 16.4): подсистема (средства) контроля и управления доступом на территорию и в помещения, подсистема (средства) охранной (и пожарной) сигнализации, подсистема видеонаблюдения за территорией и помещениями, средства физической укреплённости (дверей, окон), подразделения охраны (охранники), технические средства контроля и управления доступом (СКУД) на территорию (в контролируемые зоны) и в защищаемые помещения.

Рисунок 16.4 – Подсистема защиты от физического НСД Каждая из перечисленных подсистем включает соответствующие технические средства, создаётся и внедряется в организации в рамках требований стандартов, для каждой указанной подсистемы:

– стандарты в области СКУД (системы контроля и управления доступом);

– стандарты в области охранно-пожарной сигнализации;

– стандарты в области систем и средств видеонаблюдения;

– стандарты укреплённости входов (двери), окон.

Технические требования к средствам (системам) контроля и управления доступом определены в ГОСТ Р 51241 —98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

Требования к системам охранной и пожарной сигнализации определены в документах:

– РД 78.147 — 93 /МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов»;

– РД 78.143 — 92 /МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования»;

– РД 78.145 — 93 /МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ»;

– Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сигнализации. Контрольно-пропускные устройства. Часть 1: требования к системе».

Стандарты, в которых определены требования физической укреплённости:

– ГОСТ Р 51242 — 98 Конструкции защитные механические и электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воздействиям;

– ГОСТ Р 51136 —2008 Стекла защитные многослойные. Общие технические условия;

– РД 78.148 —94/МВД России «Защитное остекление. Классификация. Методы испытаний. Применение»;

– ГОСТ Р 51072 — 2005 Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому и пулестойкость;

– ГОСТ 26892 — 86 Двери деревянные. Метод испытания на сопротивление ударной нагрузке, действующей в направлении открывания двери.

Подсистема защиты от вредоносных программ (подсистема антивирусной защиты). Подсистема защиты от вредоносных программ (подсистема антивирусной защиты)- предназначена для защиты АС(ИС) функционирующих на основе персональных компьютеров и вычислительных сетей, ИТКС от несанкционированного воздействия с применением компьютерных вирусов и других видов вредоносных программ.

Эта подсистема включает элементы (рисунок 16.5):

– средства защиты персональных компьютеров от вредоносных программ.

– сетевые средства защиты от вредоносных программ.

персональных компьютеров защиты от вредоносных Рисунок 16.5 – Подсистема защиты от вредоносных программ Требования к средствам антивирусной защиты определены в нормативных стандартах и нормативных документах:

– ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;

– РД ГТК. РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов.

Под антивирусными средствами (АВС) понимаются специализированные средства защиты информации предназначенные для обеспечения защиты средств вычислительной техники и автоматизированных систем, создаваемых на их основе, от воздействия программ-вирусов и вирусоподобных воздействий.

Подсистема защиты информации от утечки по техническим каналам. Подсистема защиты информации от утечки по техническим каналам предназначена для предотвращения утечки конфиденциальной (секретной) информации по техническим каналам и незаконного получения её третьими лицами (разведками).

Эта подсистема включает элементы (рисунок 16.6):

– средства защиты от утечки по каналам ПЭМИН;

– средства защиты от перехвата по каналам связи;

– средства защиты от утечки по оптическим каналам;

– средства защиты от утечки по акустическим каналам;

– средства защиты от утечки по материально-вещественному каналу;

– средства оценки эффективности ТЗИ и ПДТР.

Рисунок 16.6 – Подсистема защиты от утечки по техническим Основными нормативными документами, содержащими требования к указанным подсистемам являются:

– Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР);

– Специальные требования и рекомендации по технической защите конфиденциальной информации ( СТР-К).

Подсистема противодействия техническим разведкам (ПДТР). Подсистема ПДТР – предназначена для скрытия объектов защиты, его отдельных характеристик, свойств, навязывания разведкам ложного представления о состоянии, возможностях или предназначении защищаемого объекта.

Скрытие осуществляется путём проведения технических и организационных мероприятий. Требования по ПДТР определяются нормативными и методическими документами федерального органа исполнительной власти уполномоченного в области технической защиты информации и противодействия техническим разведкам.

Одним из важных требований является требование разработки и введение в действие на предприятии руководства по технической защите информации и противодействию техническим разведкам.

16.3 Автоматизированные системы как основной объект Современная теория и практика показывает, что в качестве основного защищаемого объекта информатизации рассматриваются автоматизированные системы. Это обусловлено тем, что современный документооборот предприятий различных форм собственности невозможен без использования компьютерной техники и информационных технологий. АС являются средством хранения, накопления, обработки и представления информации для её использования. Именно поэтому АС, а следовательно и системы их защиты, получили наибольшее развитие.

В настоящее время АС имеющие СЗИ, в соответствии с требованиями по защите в них информации ограниченного доступа, получили название «Автоматизированные системы в защищённом исполнении».

Автоматизированная система в защищенном исполнении (АСЗИ) – автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

Система защиты информации автоматизированной системы – совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Функции СЗИ АС и требования к АСЗИ как объектам информатизации определены в государственных стандартах системы ГОСТ Р.

Требования по защищённости АСЗИ от НСД определены в специальных нормативных документах.

Приведенные стандарты и нормативные документы являются нормативной и методической основной для всех категорий специалистов в области защиты информации при проектировании, обслуживании, эксплуатации АСЗИ. Они являются обязательными для учреждений, организаций и предприятий, в АС которых хранится, обрабатывается и используется информация, составляющая государственную или служебную тайну, а также имеющих информационные системы персональных данных (в установленных случаях). Они носят рекомендательный характер для других категорий информации ограниченного доступа (сведений конфиденциального характера).

Классификация АС в соответствии с требованиями по защите в них информации от НСД. Классификация АС и требования к каждому классу содержит Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В соответствии с этим документом все АС по условиям обработки разделяются на три группы. Каждая группа содержит несколько классов. Требования по защите от НСД сформулированы применительно к каждому классу. Класс АС зависит от уровня конфиденциальности (секретности) обрабатываемых сведений. Для государственной тайны, служебной тайны требования являются обязательными.

Для других видов тайны они носят рекомендательный характер.

Определяющими признаками, по которым производится группировка автоматизированных систем, являются:

– наличие в АС информации различного уровня конфиденциальности;

– уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

– режим обработки данных в АС: коллективный или индивидуальный.

Группы, отличаются следующими особенностями обработки информации:

– третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.

Эта группа включает 2 класса: ЗА, ЗБ;

– вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Эта группа включает 2 класса: 2А, 2Б;

– первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Содержит 5 классов: 1Д, 1Г, 1В, 1Б, 1А.

Определяющие признаки АС для группирования классов и соответствующие им классы приведены в таблице 16.1.

Таблица 16.1 – Разделение классов АС на группы для определения требований по защите информации группы Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

– управления доступом;

– регистрации и учета;

– криптографической;

– обеспечения целостности.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы соответствующие требования для каждого класса.

Кроме этого документ содержит комплекс организационных мероприятий, включающий разработку соответствующей организационнораспорядительной и эксплуатационной документации.

Поскольку АСЗИ создаются на базе СВТ (ОС, СУБД, ПО), эти СВТ должны иметь класс не ниже указанного в Руководящих документах.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

– не ниже 4 класса – для класса защищенности АС 1В;

– не ниже 3 класса – для класса защищенности АС 1Б;

– не ниже 2 класса – для класса защищенности АС 1А.

Кроме этого к АСЗИ предъявляются требования на отсутствие недекларированных возможностей (программных закладок), требования по антивирусной защите (защите от НСВ), и требования по межсетевой защите с помощью межсетевых экранов, если осуществляется межсетевое взаимодействие и (или) соединение с ИТКС общего пользования.

Рекомендуемые классы защищённости для служебной, коммерческой тайны и персональных данных содержаться в специальных требованиях и рекомендациях по технической защите конфиденциальной информации.

В таблице 16.2 показан результат анализа этих документов по соответствию минимальных значений классов защищенности и уровней контроля ПО, при работе с информацией, имеющей различные грифы конфиденциальности (секретности).

Таблица 16.2 – Минимально необходимые классы защищенности АСЗИ для работы с информацией ограниченного доступа В пределах каждой группы АС, также как для классов АВС, СВТ, МЭ и уровней контроля ПО, соблюдается иерархия требований по защите, в зависимости от ценности (конфиденциальности) информации.

Однако, как видно из таблицы, для каждого уровня секретности может иметь место и межгрупповое изменение требований для АС и АВС. Устанавливается одиннадцать классов АВС.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на две группы, отличающиеся особенностями обработки информации.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности информации и, следовательно, иерархия классов АВС.

Первая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции автоматизированных рабочих мест операторов (пользователей) - рабочих станциях. Группа содержит шесть классов – А1, А2, АЗ, А4, А5 и А6. Самый низкий класс – А6, самый высокий – А1.

Вторая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции предоставления доступа и обслуживания разделяемых ресурсов - серверах. Группа содержит пять классов – Б1, Б2, БЗ, Б4 и Б5. Самый низкий класс – Б5, самый высокий – Б1.

Выбор класса АВС для применения в определенной АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и АВС.

При обработке информации, составляющей государственную тайну, должны применятся АВС классов не ниже А4 и Б4.

При обработке конфиденциальной информации должны применяться АВС классов не ниже А5 и Б5.

Применение АВС совместно с СЗИ НСД может быть использовано для повышения гарантий качества антивирусной защиты за счет специальных функций реализованных в СЗИ НСД.

1. В чём заключается идея принципа комплексности?

2. Какие показатели задают необходимый комплекс мероприятий и средств по защите информации на предприятии?

3. Какие факторы влияют на организацию системы защиты информации на предприятии?

4. Что понимается под комплексной системой защиты информации предприятия (дайте определение)?

5. Какие компоненты в виде подсистем включает в себя КСЗИП?

6. Для чего предназначена подсистема управления КСЗИП, и какие элементы она включает?

7. Для чего предназначена система защиты информации от НСД в АС и ИТКС, и какие элементы она включает?

8. Для чего предназначена подсистема защиты от физического НСД, и какие элементы она включает?

9. Для чего предназначена подсистема защиты от вредоносных программ (подсистема антивирусной защиты) и какие элементы она включает?

10. Для чего предназначена подсистема защиты информации от утечки по техническим каналам, и какие элементы она включает?

11. Для чего предназначена подсистема противодействия техническим разведкам (ПДТР)?

12. По каким признакам классифицируются и группируются по группам АС с учётом требований по защите информации?

13. Какие классы АС определены нормативными документами и как влияет на класс степень конфиденциальности (секретности) информации?

1. Об информации, информационных технологиях и о защите информации [Текст] : федер. закон РФ от 27 июля 2006 года № 149-ФЗ // Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3448.

2. Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности [Текст] :

постановление Правительства РФ от 04 сентября 1995 года № 870 // Собрание законодательства РФ. – 1995. – № 37. – Ст. 3619.

3. Об утверждении перечня сведений конфиденциального характера [Текст] : указ Президента РФ от 6 марта 1997 года. № 188 // Собрание законодательства РФ. – 1997. – № 10. – Ст. 1127.

4. Об утверждении перечня сведений, отнесенных к государственной тайне [Текст] : указ Президента РФ от 30 ноября 1995 года № 1203 // Собрание законодательства РФ. – 1995. – № 49. – Ст. 4775.

5. Доктрина информационной безопасности Российской Федерации [Текст] : утв. Президентом РФ 09.09.2000 года № Пр-1895 // Рос.

газ. – 2000. – № 187.

6. Стратегия развития информационного общества в Российской Федерации [Текст] : утв. Президентом РФ 07.02.2008 года № Пр-212 // Рос. газ. – 2008. – № 34.

7. Стратегия национальной безопасности Российской Федерации до 2020 года [Текст] : указ Президента РФ от 12 мая 2009 года № 537 // Собрание законодательства РФ. – 2009. – № 20. – Ст. 2444.

8. О безопасности [Текст] : федер. закон РФ от 28 декабря года № 390-ФЗ // Собрание законодательства РФ. – 2011. – № 1. – Ст. 2.

9. О государственной тайне [Текст] : закон РФ от 21 июля 1993 г.

№ 5485-1 // Собрание законодательства РФ. – 1997. – № 41. – Ст. 8220О коммерческой тайне [Текст] : федер. закон РФ от 29 июля 2004 года № 98-ФЗ // Собрание законодательства РФ. – 2004. – № 32. – Ст. 3283.

11.О персональных данных [Текст] : федер. закон РФ от 27 июля 2006 года № 152-ФЗ // Собрание законодательства РФ. – 2006. – № (ч. 1). – Ст. 3451.

12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации : руководящий документ :

утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.

текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru / _docs/doc_3_3_004.htm. – Загл. с экрана.

13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации : руководящий документ : утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/_docs/doc_3_3_001.htm. – Загл. с экрана.

14. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ :

утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.

текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/ _docs/doc_3_3_003.htm. – Загл. с экрана.

15. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ : утв. решением председателя Гос. техн. комиссии при Президенте РФ от 25 июля 1997 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/_docs/doc_3_3_006.htm. – Загл. с экрана.

16. Анин, Б. Ю. Защита компьютерной информации [Текст] / Б.

Ю. Анин. – СПб. : БХВ-Санкт-Петербург, 2000. – 384с. : ил.

17. Бардаев, Э. А. Документоведение [Текст] : учебник для студ.

высш. учеб. заведений / Э. А. Бардаев, В. Б. Кравченко. – М. : Академия, 2008. – 304 с.

18. Бачилло, И. Л. Информационное право [Текст] : учебник / И.

Л. Бачилло, В. Н. Лопатин, М. А. Федотов ; под ред. Б. Н. Топорнина. – СПб. : Юридический центр Пресс, 2001. – 789 с.

19. Гайкович, В. Безопасность электронных банковских систем [Текст] / В. Гайкович, А. Першин. – М. : Единая Европа, 1994. – 363 с.

20. Галатенко, В. А. Стандарты информационной безопасности [Текст] / В. А. Галатенко. – М. : ИНТУИТ.ру, 2004. – 328 c. : ил.

21. Герасименко, В. А. Основы защиты информации [Текст] / В.

А. Герасименко, А. А. Малюк. – М. : Инком-бук, 1997. – 432 c.

22. Грибунин, В. Г. Комплексная система защиты информации на предприятии [Текст] : учебник для студ. высш. учеб. заведений / В. Г.

Грибунин, В. В. Чудовский. – М. : Академия, 2008. – 320 с.

23. Дейнес, А. В. Методы и средства защиты компьютерной информации [Текст] : учеб. пособие / А. В. Дейнес, Ю. Н Загинайлов. – Барнаул : Изд-во АлтГТУ, 2002. – 240 с.

24. Загинайлов, Ю. Н. Информационная безопасность в терминах и определениях стандартов защиты информации [Текст] : учеб.-справ.

пособие / Ю. Н. Загинайлов. – Барнаул : Изд-во АлтГТУ, 2002. – 123 с.

25. Зегжда, Д. П. Основы безопасности информационных систем [Текст] / Д. П. Зегжда, А. М. Ивашко. – М. : Горячая линия-Телеком, 2000. – 452 с.

26.Зима, В. М. Безопасность сетевых технологий [Текст] / В. М.

Зима, А. А. Молдовян, Н. А. Молдовян. – СПб. : БХВ-СанктПетербург, 2000. – 320 с.

27. Малюк, А. А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст] : учеб.

пособие для вузов / А. А. Малюк. – М. : Горячая линия-Телеком, 2004.

– 280 с.

28. Меньшаков, Ю. К. Защита объектов и информации от технических средств разведки [Текст] / Ю. К. Меньшаков. – М. : Изд-во РГГУ, 2002 – 400 с.

29. Организационно - правовое обеспечение информационной безопасности [Текст] : учеб. пособие для студ. высш. учеб. заведений / А. А.Стрельцов [и др.] ; под ред. А. А. Стрельцова. – М. : Академия, 2008. – 256 с.

30. Романов, О. А. Организационное обеспечение информационной безопасности [Текст] : учебник для студ. высш. учеб. заведений / О. А. Романов, С. А. Бабин, С. Г. Жданов. – М. : Академия, 2008. – 192 с.

31. Торокин, А. А. Основы инженерно-технической защиты информации [Текст] / А. А. Торокин. – М. : Ось-89, 1998. – 336 с.

32. Фатьянов, А. А. Тайна и право. Основные системы ограничений на доступ к информации в российском праве [Текст] / А. А. Фатьянов. – М. : МИФИ, 1998. – 182 с.

33. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения [Текст]. Введ. 2008–02–01. – М. : Стандартинформ, 2008. – 10 с.

34. ГОСТ Р 51275-2006. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Текст]. Введ.

2008–02–01. – М. : Стандартинформ, 2007. – 7 с.

35. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология.

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования [Текст]. – Введ. 2008–02– 01. – М. : Стандартинформ, 2008. – 48 с.

36. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1 : Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий [Текст]. Введ. 2006–12–19. – М. : Стандартинформ, 2007. – 19 с.

37. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Ч. 3 : Методы менеджмента безопасности информационных технологий [Текст].

Введ. 2007–06–07. – М. : Cтандартинформ, 2007. – 46 с.

38. ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средства обеспечения безопасности. Ч. 4 : Выбор защитных мер [Текст]. Введ. 2007–06–07. – М. : Стандартинформ, 2007. – 63 с.

Юрий Николаевич Загинайлов

ТЕОРИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ

ЗАЩИТЫ ИНФОРМАЦИИ

Издано в авторской редакции Подписано в печать 30.05.2011. Формат 6084 1/16.

Печать цифровая. Усл.п.л. 14,65.

Издательство Алтайского государственного технического университета им. И. И. Ползунова, 656038, г. Барнаул, пр-т Ленина, 46, Лицензия на издательскую деятельность Отпечатано в типографии АлтГТУ, 656038, г. Барнаул, пр. Ленина, 46, Лицензия на полиграфическую деятельность ПЛД №28-35 от 15.07.1997 г.



Pages:     | 1 |   ...   | 3 | 4 ||


Похожие работы:

«Образовательная система Школа 2100 - первый и единственный в России и странах СНГ современный опыт создания целостной образовательной модели, последовательно предлагающей системное и непрерывное обучение детей от младшего дошкольного возраста до окончания старшей школы. Научные руководители - А.А.Леонтьев, Д.И.Фельдштейн, С.К.Бондырева, Ш.А.Амонашвили. Школа 2100 для начальной школы - это система учебников (учебнометодический комплект) для 1-4 классов общеобразовательных учреждений, которая...»

«ВСЕРОССИЙСКАЯ АКАДЕМИЯ ВНЕШНЕЙ ТОРГОВЛИ Кафедра международного права Одобрено Ученым советом Протокол №2 18 _октября_2011г. ПРОГРАММА ДИСЦИПЛИНЫ МЕЖДУНАРОДНО-ПРАВОВЫЕ ОСНОВЫ ДВУСТОРОННИХ ЭКОНОМИЧЕСИХ ОТНОШЕНИЙ РОССИИ С ЗАРУБЕЖНЫМИ СТРАНАМИ для аспирантов 1-го года обучения (очная форма) специальность 12.00.10 Международное право; Европейское право Обсуждена и рекомендована к утверждению на заседании кафедры Протокол от 10 октября 2011г. СОГЛАСОВАНО: Проректор по научной работе П.А. Кадочников...»

«Рассмотрено и принято Утверждаю Ученым Советом НУОВППО ТМУ Ректор НУОВППО ТМУ (протокол № _ от года) профессор Соколов В.М. Инструкция по использованию интерактивных форм обучения в негосударственном учреждении-организации высшего профессионального и послевузовского образования Тираспольский межрегиональный университет Введено в действие Приказом ректора НУОВППО ТМУ № от __ 20_ года Настоящая инструкция разработана в соответствии с действующим законодательством Приднестровской Молдавской...»

«Содержание Пояснительная записка Тематический план Вопросы для подготовки к вступительным испытаниям Учебно-методическое и информационное обеспечение дисциплины. 13 Приложение 1. Контрольно-измерительные материалы вступительных испытаний Приложение 2. Ключи к контрольно измерительным материалам.Ошибка! Закладка не определена. Пояснительная записка Программа подготовки к вступительным испытаниям по дисциплине Основы коммерческой деятельности предназначена для абитуриентов, поступающих в НОУ ВПО...»

«ГБУЗ КО Кемеровская областная научная медицинская библиотека Научная библиотека ГОУ ВПО КемГМА Росздрава ГУК Кемеровская областная научная библиотека им. В.Д. Федорова Медицинская литература (текущий указатель литературы) Вып. 1 Кемерово - 2013 Текущий указатель новых поступлений Медицинская литература издается Кемеровской областной научной медицинской библиотекой совместно с научной библиотекой КемГМА, Кемеровской областной научной библиотекой им. В.Д. Федорова. Библиографический указатель...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ИМ. А.Н.ТУПОЛЕВА Б.Е. БАЙГАЛИЕВ, А.В. ЩЕЛЧКОВ, А.Б. ЯКОВЛЕВ, П.Ю. ГОРТЫШОВ ТЕПЛООБМЕННЫЕ АППАРАТЫ Учебное пособие Допущено Учебно-методическим объединением высших учебных заведений Российской Федерации по образованию в области авиации, ракетостроения и космоса в качестве учебного пособия для студентов высших учебных заведений РФ, обучающихся по...»

«Рабочая программа по химии 11 класс 2013 год Пояснительная записка Рабочая программа по учебному предмету Химия, 11 класс составлена в соответствии требованиями федерального компонента государственного стандарта общего образования, примерной программы среднего (полного) общего образования по химии, 11 класс, М.: Просвещение, 2008г., учебно – методического комплекса учебного предмета Химия, 11 класс: учебник для общеобразовательных учебных заведений О.С.Габриелян, Ф.Н.Маскаев, С.Ю. Пономарёв,...»

«СБОРНИК ТЕМ НАУЧНЫХ РАБОТ ДЛЯ УЧАСТНИКОВ НАУЧНО-ОБРАЗОВАТЕЛЬНОГО СОРЕВНОВАНИЯ ШАГ В БУДУЩЕЕ, МОСКВА Москва - 2010 УДК 005:061.2/.4 ББК 74.204 Сборник тем научных работ для участников научно-образовательного соревнования Шаг в будущее, Москва – М.: МГТУ им. Н.Э.Баумана, 2010 - 72 с. В этом сборнике рассказано о факультетах и специальностях МГТУ им. Н.Э.Баумана, показаны научные интересы кафедр, основные темы и направления исследования, собраны методические и организационные материалы,...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ УО ПОЛОЦКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ МЕТОДИЧЕСКИЕ УКАЗАНИЯ И ЗАДАНИЯ ДЛЯ ПОДГОТОВКИ И ПРАКТИЧЕСКИХ ЗАНЯТИЙ по дисциплине ГЛОБАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ СЕТИ для студентов-заочников специальностей 1-40 02 01 Вычислительные машины, системы и сети Составитель: Бровко Н.В. 2013 Содержание 1. ФИО и контактная информация о преподавателе 2. Структура дисциплины 3. Примеры программ 4. Вопросы к зачету 5. Список литературы 1. ФИО и контактная информация о...»

«1 И. В. Демидов Логика УЧЕБНОЕ ПОСОБИЕ ДЛЯ ЮРИДИЧЕСКИХ ВУЗОВ Под редакцией доктора философских наук, профессора Б.И. Каверина Москва Юриспруденция 2000 УДК 16 ББК 87.4 Д ЗО Демидов И.В. Логика: Учебное пособие для юридических вузов / Под ред. доктора философских наук, проф. Б.И. Каверина. - М.: Юриспруденция, 2000. - 208 с. ISBN 5-8401-0027-7 Учебное пособие включает все основные разделы курса классической логики, определяемые требованиями Государственного образовательного стандарта для...»

«А.С. Шангин ТВЕРДОТЕЛЬНЫЕ И ПОЛУПРОВОДНИКОВЫЕ ПРИБОРЫ Учебное пособие ТОМСК – 2006 2 Федеральное агентство по образованию ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР) Кафедра электронных приборов А.С. Шангин ТВЕРДОТЕЛЬНЫЕ И ПОЛУПРОВОДНИКОВЫЕ ПРИБОРЫ Учебное пособие Шангин А.С. Твердотельные и полупроводниковые приборы. Учебное пособие.— Томск: 2006. —156 с. В данном учебном пособии изложены основные сведения по физике полупроводников, а также принципы...»

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Томский государственный архитектурно-строительный университет ЗАЩИТА ИНФОРМАЦИИ Методические указания к самостоятельной работе Составители: А.Е. Петелин, Ю.П. Еремина Томск 2012 Защита информации: методические указания к самостоятельной работе / Сост. А.Е. Петелин, Ю.П. Еремина. – Томск: Изд-во Том. гос. архит.-строит. ун-та, 2012. – 50 с....»

«Профсоюз работников народного образования и науки Российской Федерации ЦЕНТРАЛЬНЫЙ СОВЕТ РАБОЧЕЕ ВРЕМЯ РАБОТНИКОВ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ: ОБЩИЕ ПОЛОЖЕНИЯ И ОСОБЕННОСТИ ПРАВОВОГО РЕГУЛИРОВАНИЯ СБОРНИК НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ С КОММЕНТАРИЯМИ (переработанное и дополненное издание) Москва, июль 2012 г. Предисловие Уважаемые коллеги! Настоящий информационно-методический сборник является переработанным и дополненным изданием опубликованного по этой тематике сборника Профсоюза в 2008 году....»

«Муниципальное бюджетное общеобразовательное учреждение Орловская средняя общеобразовательная школа РАССМОТРЕНО СОГЛАСОВАНО УТВЕРЖДАЮ на заседании МО заместитель Директор МБОУ учителей нач. кл. директора Орловская СОШ Протокол по УВР Приказ от _2014 г. От _ 2014 № _ Ефанова И. А. № Тарасова Т. В. Ермолова Л. А. РАБОЧАЯ ПРОГРАММА по учебному курсу Технология 4 класс УМК Школа России Устиновой Т. А., учителя начальных классов Пояснительная записка Рабочая программа предмета Технология для 4...»

«МИНИСТЕРСТВО КУЛЬТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРАВИТЕЛЬСТВО МОСКВЫ ДЕПАРТАМЕНТ КУЛЬТУРЫ ГОРОДА МОСКВЫ Московский государственный зоологический парк ЕЖЕГОДНЫЙ ОТЧЕТ 2007 Информационно-справочный материал о работе Московского зоопарка в 2007 году Главный редактор сборника Генеральный директор Московского зоопарка В. В. Спицин Общая редакция Л. Егорова _ Копирайт ГУК Московский зоопарк Москва, 123242, Большая Грузинская, 1. Тел: (495) 255-60-34 Факс (495) 605-17-17 E-mail: moscowzoo-admin@cdt.ru...»

«Данные об обеспеченности учебно-методической документацией Направление (специальность): 070501.65 Режиссура театра Обеспечен ность студентов учебной Наименование № Наименование Количество литератур учебников, учебно-методических, методических пособий, разработок и п/п дисциплины экземпляров ой рекомендаций (экземпля ров на одного студента) 1. Георгиева Н.Г., Георгиев В.А. История России. Учебное пособие для 1. История 10 1, ВУЗов- М.: Проспект,2009-332 с. 2. Дворниченко А.Ю., Тот Ю.В., Ходяков...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ЗДРАВООХРАНЕНИЮ И СОЦИАЛЬНОМУ РАЗВИТИЮ ВОЛГОГРАДСКИЙ ГОСУДАРСТВЕННЫЙ МЕДИЦИНСКИЙ УНИВЕРСИТЕТ А.И. Рукавишников АЗБУКА РАКА Рекомендуется учебно-методическим объединением по медицинскому и фармацевтическому образованию вузов России в качестве учебного пособия для студентов, обучающихся по специальности 040400 – Стоматология. Издательство Волгоградского государственного медицинского университета 2007 1 А.И. Рукавишников Азбука рака. – Волгоград: Изд-во Волг. гос. мед....»

«Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования Казанский государственный технологический университет ПРАВИЛА ОФОРМЛЕНИЯ ВЫПУСКНЫХ КВАЛИФИКАЦИОННЫХ РАБОТ Методическое пособие 2007 Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования Казанский государственный технологический университет ПРАВИЛА ОФОРМЛЕНИЯ ВЫПУСКНЫХ КВАЛИФИКАЦИОННЫХ РАБОТ Методическое пособие...»

«Министерство образования и науки Украины Севастопольский национальный технический университет МЕТОДИЧЕСКИЕ УКАЗАНИЯ по преддипломной (плавательной) практике студентов пятого и шестого курсов специальностей 7.092201 и 8.092201 Электрические системы и комплексы транспортных средств для специализаций 7.092201.02 и 8.092201.02 Эксплуатация судовых автоматизированных систем Севастополь Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com) УДК 629.12(07) М...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ ИНСТИТУТ (ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ) УТВЕРЖДАЮ проректор СПбГТИ (ТУ) по учебной работе, д.х.н., профессор Масленников И.Г. 200 г. УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС РЕСУРСОСБЕРЕЖЕНИЕ В ХИМИЧЕСКОЙ ТЕХНОЛОГИИ, НЕФТИХИМИИ И БИОТЕХНОЛОГИИ образовательной профессиональной программы (ОПП) 240803 – Рациональное использование материальных и...»










 
2014 www.av.disus.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.