Основы информационной безопасности

Размер: px
Начинать показ со страницы:

Download "Основы информационной безопасности"

Транскрипт

1 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФГАОУ ВПО «СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И ТЕЛЕКОММУНИКАЦИЙ КАФЕДРА ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДАЮ Проректор по учебной работе 20 г. УЧЕБНО-МЕТОДИЧЕСКОЕ ПОСОБИЕ Основы информационной безопасности Направление подготовки Информационная безопасность Профиль подготовки Организация и технология защиты информации Квалификация выпускника Бакалавр Форма обучения Очная УТВЕРЖДАЮ Директор института 20 г. СОГЛАСОВАНО Председатель Учебно-методической комиссии института 20 г. Ставрополь 2012

2 СОДЕРЖАНИЕ Предисловие Учебно-тематический план... 6 Тема 1. Анализ терминов и определений информационной безопасности. ГОСТы и руководящие документы Тема 2. Концепция информационной безопасности предприятия 9 Тема 3. Угрозы информации. Проведение анализа информации на предмет целостности Тема 4. Определение коэффициентов важности, полноты, адекватности, релевантности, толерантности информации Тема 5. Технические средства защиты информации Технические средства защиты переговоров по телефонным линиям Широкополосные приёмные устройства Индикаторы электрических сигналов в проводных системах 49 Тема 6. Оценка безопасности информации на объектах ее обработки. 55 2

3 Предисловие Целью дисциплины «Основы информационной безопасности» является овладение теоретическими и прикладными профессиональными знаниями и умениями в области развития основы современных форм и методов информационной безопасности личности, общества, государства и предприятия в условиях рыночной экономики, а также приобретение навыков самостоятельного инициативного и творческого использования теоретических знаний в практической деятельности в работе бакалавра по профилю «Организация и технология защиты информации». Дисциплина «Основы информационной безопасности» входит в базовую часть профессионального цикла подготовки бакалавра по направлению «Информационная безопасность» (Б3). Дисциплине предшествуют следующие дисциплины: Математика, Информатика, История, Аппаратные средства вычислительной техники. Для успешного освоения дисциплины у студентов должны быть сформированы на начальном уровне следующие компетенции: способность осознавать необходимость соблюдения Конституции Российской Федерации, прав и обязанностей гражданина своей страны, гражданского долга и проявления патриотизма (ОК-1); способность осознавать социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности, готовностью и способностью к активной состязательной деятельности в условиях информационного противоборства (ОК-7); способность к саморазвитию, самореализации, приобретению новых знаний, повышению своей квалификации и мастерства (ОК-11); способность использовать нормативные правовые документы в своей профессиональной деятельности (ПК-3); способность определять виды и формы информации, подверженной угрозам, виды и возможные методы и пути реализации угроз на основе анализа структуры и содержания информационных процессов предприятия, целей и задач деятельности предприятия (ПК-8); способность собрать и провести анализ исходных данных для проектирования подсистем и средств обеспечения информационной безопасности (ПК-18); 3

4 способность составить обзор по вопросам обеспечения информационной безопасности по профилю своей деятельности (ПК-19); способность применять методы анализа изучаемых явлений, процессов и проектных решений (ПК-20); способность осуществлять подбор, изучение и обобщение научнотехнической литературы, нормативных и методических материалов по вопросам обеспечения информационной безопасности (ПК-24); способность участвовать в работах по реализации политики информационной безопасности (ПК-29); способность применять комплексный подход к обеспечению информационной безопасности в различных сферах деятельности (ПК-30); способность организовать технологический процесс защиты информации в соответствии с правовыми нормативными актами и нормативными методическими документами Федеральной службы безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю (ПК-33); способность проводить совместный анализ функционального процесса объекта защиты и его информационных составляющих с целью определения возможных источников информационных угроз, их вероятных целей и тактики (ПСК2-1); способность формировать предложения по оптимизации функционального процесса объекта защиты и его информационных составляющих с целью повышения их устойчивости к деструктивным воздействиям на информационные ресурсы и предложения по тактике защиты объекта и локализации защищаемых элементов (ПСК2-2); способность разработать комплекс мер по обеспечению информационной безопасности объекта и организовать его внедрение и последующее сопровождение (ПСК2-3); способность организовать контроль защищенности объекта в соответствии с нормативными документами (ПСК2-4). Кроме того, обучающиеся должны: знать: место и роль информационной безопасности в системе национальной безопасности Российской Федерации; основные направления информационной безопасности; организационно-правовые основы защиты информации; 4

5 основные элементы технической защиты информации; основные элементы программно-аппаратной защиты информации; основные элементы защиты информации в автоматизированных системах; основные элементы защиты информации в информационных системах и сетях; основные угрозы безопасности информационным ресурсам государства, предприятия и человека; уметь: оценивать защищаемые информационные ресурсы; определять основные направления информационной безопасности; выявлять основные угрозы информационной безопасности; формировать концепцию информационной безопасности; понимать политику информационной безопасности; самостоятельно и творчески использовать знания и полученные практические навыки в процессе последующего обучения в соответствии с учебным планом подготовки бакалавров по направлению «Информационная безопасность» по профилю «Организация и технология защиты информации». владеть: основами информационной безопасности; специальной профессиональной терминологией; основными элементами защиты информации. 5

6 п/п Учебно-тематический план Раздел дисциплины 1 Понятие национальной безопасности, виды безопасности. Информационная безопасность РФ. 2 Терминологические основы информационной безопасности. Основные понятия и определения. 3 Общеметодологические принципы теории информационной безопасности. Комплексность. 4 Угрозы. Классификация и анализ угроз информационной безопасности. 5 Методы нарушения конфиденциальности, целостности и доступности информации. 6 Причины, виды, каналы утечки и искажения информации. 7 Функции и задачи защиты информации. Проблемы региональной информационной безопасности. Темы лабораторных занятий Неделя семестра Виды учебной работы, включая самостоятельную работу и трудоемкость (в часах) Лаб. занятия Самост. работа 1,2 6 Анализ терминов и определений информационной безопасности. 3,4 2 6 ГОСТы и руководящие документы Концепция информационной безопасности предприятия 5,6 4 8 Угрозы информации. Проведение анализа информации на предмет целостности Определение коэффициентов важности, полноты, адекватности, релевантности, толерантности информации Технические средства защиты информации Оценка безопасности информации на объектах ее обработки. 7,8, ,11, ,14, ,17, ИТОГО Формы текущего контроля успеваемости (по неделям семестра) Форма промежуточной аттестации (по семестрам) Теоретический опрос Защита лабораторной работы Защита лабораторной работы Компьютерное тестирование Защита лабораторной работы Защита лабораторной работы Защита лабораторной работы Компьютерное тестирование Защита лабораторной работы 6

7 Тема 1. Анализ терминов и определений информационной безопасности. Госты и руководящие документы Цель лабораторной работы изучение места и роли информационной безопасности в системе национальной безопасности Российской Федерации для формирования способности осознавать социальную значимость своей будущей профессии и обладать высокой мотивацией к выполнению профессиональной деятельности. Организационная форма занятия круглый стол. Вопросы, выносимые на обсуждение: 1. Когда создана государственная система защиты информации в России? 2. В каком документе отражается система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в различных сферах деятельности? 3. Какой документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ? 4. В каком Федеральном законе идет речь о регулировании отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации? 5. Какие источники внешних угроз национальной безопасности вам известны? 6. Какие источники внутренних угроз национальной безопасности вам известны? известны Методические рекомендации для выполнения лабораторной работы «ОИБ». 7. Какие методы обеспечения информационной безопасности РФ вам Выполните следующие действия. 1. В персональной папке студента (диск «Студент») создайте папку 2. В папке «ОИБ» создайте 2 вложенные папки: «Нормативноправовые документы», «Лабораторная работа 1». 3. В папку «Нормативно-правовые документы» скопируйте 4 документа: Стратегию национальной безопасности, Концепцию национальной без- 7

8 опасности, Доктрину информационной безопасности РФ, Федеральный закон «О государственной тайне». 4. В папке «Лабораторная работа 1» создайте документ «Подготовка к тесту 2», в которой следует ответить на вопросы и выполнить задания из раздела «Задания для развития и контроля владения компетенциями». Рекомендуемая литература 1. Стратегия национальной безопасности Российской федерации (от , 537). 2. Концепция национальной безопасности Российской федерации (от г., 24). 3. Доктрина информационной безопасности Российской федерации (от , 1895). 4. Федеральный закон «О государственной тайне» (от , 242-ФЗ). Интернет-ресурсы 5. Энциклопедия информационной безопасности WikiSec.RU [Электронный ресурс]. Режим доступа: Задания для развития и контроля владения компетенциями 1. Проанализировать Доктрину ИБ РФ и построить схему органов государственной власти и самоуправления, отвечающих за информационную безопасность и определить их функциональные обязанности. 2. Приведите определения, используемые в Федеральном законе о гостайне (государственная тайна, носители сведений, составляющих государственную тайну, система защиты государственной тайны, допуск к государственной тайне, доступ к сведениям, составляющим государственную тайну, гриф секретности, средства защиты информации, перечень сведений, составляющих государственную тайну). 3. Какие органы государственной власти и должностные лиц могут относить сведения к государственной тайне? 4. Сведения из каких областей деятельности могут быть отнесены к государственной тайне? 5. Какие сведения не подлежат отнесению к государственной тайне и засекречиванию? 6. Чем отличается степень секретности от грифа секретности? 7. Какие степени и грифы секретности определены для сведений и их носителей в ФЗ «О государственной тайне»? 8

9 8. Какие данные содержатся в реквизитах носителей сведений, содержащих гос.тайну? 9. В каких случаях возможно рассекречивание гос.тайны? 10. Какие органы защищают государственную тайну? 11. Как осуществляется допуск должностных лиц и граждан к государственной тайне? 12. Условия допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну? 13. Что означает термин «сертификация средств защиты информации»? 14. Какие органы и должностные лица осуществляют контроль и надзор за обеспечением защиты государственной тайны? Тема 2. Концепция информационной безопасности предприятия Цель лабораторной работы формирование способности определять виды и формы информации, подверженной угрозам, на основе анализа структуры и содержания информационных процессов предприятия, целей и задач деятельности предприятия. Организационная форма занятия деловая игра. Вопросы, выносимые на обсуждение: 1. Поясните, почему руководитель предприятия должен принять обязательства по управлению информационным ресурсом предприятия? 2. Почему цели и обязательства в области управления информацией должны определяться в отдельном документе, таком как политика предприятия? 3. Каким образом руководство предприятия может определить основную информационную базу и установить ценность элементов информации? 4. Что собой представляет классификационная политика на предприятии? 5. Как распространяются на предприятии основы безопасной работы с информацией? 6. Что собой представляет общий порядок работы с конфиденциальной информацией на предприятии? 7. Почему необходимо назначить руководителей, ответственных за выполнение мер безопасности? 9

10 8. В чем преимущество концепции владельца информации для каждого важного информационного объекта? 9. Кто должен принимать решения по классификации информации? 10. Как должна классифицироваться новая информация или новое сочетание существующих данных предприятия? 11. Что собой представляет контроль важных элементов информации по всему циклу их обработки? 12. Как должны выполняться операции в случае форс-мажорных обстоятельств, повредивших инфраструктуру обработки данных или устройства их хранения? 13. Должен ли руководитель по безопасности нести ответственность за безопасность информации в любых формах или только за безопасность компьютерной информации? 14. Доверенное ПО системы поддерживает мандатный контроль и управление доступом. Необходимо разработать программу драйвер принтера. Объясните причины, по которым данная программа должна быть доверенным процессом. Методические рекомендации для выполнения лабораторной работы Контроль качества информации. В сегодняшних условиях конкуренции в производственной сфере, которая определяется правильной и своевременной информацией, необходима уверенность в качестве информации, обрабатываемой компьютером и получаемой по сети. Качество информации должно быть основной заботой каждого руководителя, ответственного за развитие прикладных программ, обеспечение служб обработки информации или управление сетями, и каждого сотрудника на сетевом рабочем месте. Качественная производственная информация обладает некоторыми характеристиками. К ним относятся целостность, надежность и конфиденциальность. Понятие целостности означает, что информация имеет точность до степени, ожидаемой пользователем, является законченной и свободна от неавторизованных изменений. Целостность подразумевает, что информация защищена от халатного обращения или преднамеренного неавторизованного изменения, что она не обрабатывается с помощью ненадежных программ, и что данные контролируются на разных этапах обработки. Такие проверки вклю- 10

11 чают нумерацию пакетов, посылку подтверждений, проверку достоверности, общий контроль и меры обеспечения безопасности. Понятие надежности означает, что информация получена авторизованными пользователями, в нужном месте и в нужное время; что она свободна от несанкционированного изменения, разрушения или копирования. В случае сети это предполагает реальное управление на всех уровнях; при невозможности прохождения некоторых участков система управления должна быть в состоянии заменить или обойти соответствующий узел или линию связи. Инфраструктура сети, линии связи, центральные компьютеры или периферийные рабочие станции должны быть защищены от физического или логического нападения, которое может воздействовать на качество информации или прекратить ее использование предприятием. Надежность также означает, что файлы пользователей сети и центральные базы данных периодически реплицируются для предотвращения необратимой потери данных. Основные производственные процессы должны быть обратимыми на случай ошибок обработки или передачи с помощью запланированных процедур восстановления системы. Понятие конфиденциальности означает уверенность в том, что данные во всех формах (письменной, электронной, ментальной) защищены от похищения или неавторизованного наблюдения. В сетях это означает защиту от проникновения в контролируемые сетевые устройства, файлы и контуры. Для вычислительных сетей степень уязвимости является высокой, поскольку каждая рабочая станция, серверы и кабельная структура могут рассматриваться как потенциальные мишени для неавторизованного наблюдения за данными. Качество информации достигается с помощью тщательно разработанной системы действий руководства. Она охватывает полный цикл получения, обработки и использования информации, от первоначального сбора до прекращения использования. Безопасность лишь одно из ряда управляющих действий, относящихся к качеству информации. Меры безопасности логически вытекают из принятых решений руководства по качеству информации. Действия, которые совместно образуют элементы качества информации: управление производственной информацией, как важнейшим ресурсом; качественное проектирование системы для обеспечения эффективных информационных процессов; 11

12 мации; эффективное руководство и контроль обработки и передачи инфор- защита информации в системах обработки и передачи данных. Управление информационными ресурсами. Управление производственными информационными ресурсами означает, что руководство предприятия признает, что информация является важнейшим ресурсом и предпринимает соответствующие действия по управлению ею. Оно включает: определение производственной информационной базы через элементы данных, существенные для производственного процесса; оценку или классификацию производственных данных для того, чтобы позволить предпринять соответствующие меры защиты. Ответственность по управлению информацией логически следует из признания того, что информация является важным и дорогостоящим средством производства. При этом большое значение имеет удобная организационная структура и определение ответственности на разных уровнях с помощью хорошо разработанных и опубликованных директив. Составляющие информационной базы. Управление информацией предполагает, что известен объем информации, требуемый для управления производством. Невозможно, фактически, подробно перечислить информационные объекты, но можно назвать основные элементы информации, необходимые для производственных операций. Элемент информации представляет собой основную часть информации. Он может появляться в разных местах в ментальной, письменной или электронной форме. Основной элемент информации имеет следующие свойства: может находиться в разнообразных сочетаниях с другой информацией. является существенным для производства; создается первичной производственной функцией; Примерами основных элементов информации являются: имя сотрудника (функция работы с персоналом, согласно штатному расписанию); имя поставщика (функция отдела маркетинга, согласно ведомости по кредитованию); название продукта (функция проектирования и разработки, согласно перечню выпускаемой продукции); полученные счета (учетная функция, согласно бухгалтерской книге). 12

13 Список всех основных элементов информации, существенных для производства, указывает на элементы информации, которые являются объектами управления и контроля. Организованная информационная база позволяет получать важные преимущества для информационных систем. Запросы на информацию постоянно возрастают с увеличением количества людей, желающих получать информацию с помощью персональных компьютеров и сетей. Почти невозможно предвидеть требования на доступ к центральным базам данных, а также приложения, с помощью которых будет обработана полученная информация. Важно, чтобы элементы информации были отделены от производственных приложений и находились в форме, позволяющей легко их использовать для разных приложений и целей. Элементы информации, требующие защиты. Для руководства предприятия решения относительно ценности информации следует принимать на основе какой либо формальной модели. Эта модель ценности основана на двух критериях: 1. Какой вред производственным операциям будет нанесен, если информация окажется известной лицам, неавторизованным для ее получения? 2. Какой вред производственным операциям будет нанесен, если информация окажется недоступной или недостаточно целостной? Перед тем, как оценить наши основные элементы информации в предлагаемой модели, следует установить оценку или схему классификации. А именно, для принятия решения не желательно, чтобы в качестве результата получалось, что данная часть информации является «наиболее ценной» или «наименее ценной». Более удобно иметь набор классификационных имен, поддержанных точными определениями, которые будут показывать всем сотрудникам шкалу ценности элементов информации, и, следовательно, количество усилий, необходимых для контроля за каждым элементом. Классификация информации устанавливает базис для всей деятельности в области информационной безопасности. Модель значений может быть развита далее, для того чтобы сделать классификацию более конкретной. В этом поможет определение субъективной и объективной ценности информации. Какой ущерб для производства будет нанесен из-за самой информации, если она окажется раскрытой, поврежденной или недоступной? Это субъективная ценность. Например, раскрытие или уничтожение перечня потребителей или производственных спецификаций может означать для предприятия 13

14 затруднение или потерю части рынка, или утрату стратегического преимущества. Здесь ущерб возникает из качеств, присущих самой информации. Какой ущерб для производства будет нанесен вследствие внешних причин, если информация окажется недоступной или с ненадлежащей целостностью? Это объективный критерий, зависящий от событий или спецификаций вне самой информации. Например, если финансовые документы, которые по закону должны храниться в течение ряда лет, окажутся утраченными, предприятие может подвергнуться преследованию по закону. Классификационная политика в области информации. Классификационная политика должна указать классификационные имена и критерии для информации, так чтобы решения по ценности информации (согласно списку основных элементов информации) были свободными от противоречий и достаточно строгими. Далее предлагаются соответствующие спецификации. Замечание: метки конфиденциальности, используемые здесь, приводятся только в качестве примеров; другие, используемые на предприятиях, включают «Ограничено производственной сферой», «Для регистрации», «Приватно». Не следует применять грифы государственной классификации, такие как «Секретно», «Особой важности» и т.п. Определения классификаций, приведенные здесь, являются краткими и приняты только в качестве иллюстрации. Руководство предприятия, несомненно, должно разработать более полные и всеобъемлющие описания для эффективной деятельности в области классификации. Однократно разработанный список элементов информации создает основу для принятия решений по информационной безопасности. Некоторые элементы (особенно, имеющие метку высокой степени защиты) потребуют интенсивных усилий со стороны руководства. Другие, согласно списку базовых элементов информации, будут требовать средних усилий по безопасности; иные могут вообще не засекречиваться, ограничиваясь периодическим напоминанием сотрудникам о том, что «вся информация предприятия является приватной для предприятия». Таблица 1 Пример классификационной политики в области информации Субъективные классификации Определение Для служебного пользования Раскрытие может нанести в перспективе ущерб экономике предприятия Метка конфиденциальности Конфиденциальная Персональная 14 Раскрытие может нанести серьезный ущерб экономике предприятия Раскрытие может негативно повлиять на сотрудников или претен-

15 Объективные На хранении классификации Определение Ненадлежащее качество может привести в перспективе к серьезным правовым или экономическим последствиям На текущем контроле дентов на должность Ненадлежащее качество может оказать влияние на производственную сферу Организация и ответственность в области управления информацией. Концептуально, управление информацией есть важная повсеместная программа внутри предприятия, контролируемая на высших уровнях руководства. Однако на практике программы обычно начинают с более ограниченных усилий. Части программы управления информацией могут быть восприняты и приспособлены к конкретной производственной ситуации. Необходимо следовать важнейшему правилу: Элемент информации должен быть защищен во всех своих формах, постоянно и на любом месте. Иначе усилия напрасны. В целом, организация должна иметь три уровня. Отношения отчетности не важны на данном этапе обсуждения; значение имеют только функции. Высший уровень руководитель по информации определяет структуру основных элементов информации для производства; определяет схему классификации информации; идентифицирует для каждого элемента информации его обладателя, который производит засекречивание и принимает решения относительно авторизованного доступа; выполняет исполнительный контроль над информационным ресурсом производства. Средний уровень администратор данных устанавливает структуру административного контроля по управлению основной информационной базой; через администратора баз данных фиксирует оптимальное размещение данных на центральных базах данных (чему может способствовать публикация словаря данных, который описывает создание элементов данных и стандартные процессы их получения из баз данных). Администратор безопасности устанавливает требования по защите информации, применимые для предписанных классификаций информации; консультирует технических работников информационных систем по методам безопасности и отдельным элементам в объеме всей информационной системы предприятия, включая сети; участвует в планировании процессов для сетей и систем. 15

16 Низший уровень специалист по информационной безопасности выполняет меры защиты, требуемые для аппаратных и программных средств. Меры безопасности, поддерживающие управление информацией. Политика руководства это краткое утверждение установленных требований и целей управления. Она требует тщательной мотивировки и изложения, так как должна быть стабильной, длительной директивой, которая в сжатом виде направляет указания руководства по тому, что следует делать. Образец приводится далее. Детали применения (как выполнить все это) публикуются в стандартных положениях, для краткости, стандартах. Стандарты доносят политику руководства до всех подчиненных. Убедительное, эффективное и согласованное применение политики руководства достигается с помощью опубликования и поддержки текущих положений по информационной безопасности. Основу функций по организации управления информацией формируют директивы по безопасности. Реальная защита зависит от индивидуальных сотрудников на рабочих местах, которые получили расширенный доступ к ценным производственным информационным ресурсам. Пример руководящих указаний по информационной безопасности. Политика представляет собой фундамент любого усилия по защите информации. Для того чтобы позволить обращаться к ней в течение длительного периода, она должна быть опубликована в определенной форме, например, в сборнике стандартов предприятия. Можно сопоставить следующие указания с программными требованиями, которые только что обсуждались. Введение. Определенная производственная и техническая информация классифицируется как «Для служебного пользования», «Конфиденциальная» или «Персональная». В каждом случае такая информация должна иметь соответствующую метку. Эта информация должна защищаться от распространения и утечки на основе четкого представления о ее значении, избегания неосторожных бесед, практики чистых столов, ограничения раскрытия для внешних сторон и избегания широкого распространения внутри предприятия. Публикация в СМИ, сводки финансовой информации и комментарии по юридическим вопросам подпадают под приведенные ограничения. Техническая информация и информация по новой продукции подвергается дополнительным ограничениям, наиболее важное из которых предварительное одобрение руководства для ее опубликования. 16

17 Безопасность электронной информации вследствие уникальных операционных характеристик и присущего ей внутреннего риска требует дополнительных мер. Они подробно раскрываются в «Положении по сетевой безопасности». Политика безопасности предприятия Данная политика устанавливает ответственность штата предприятия по безопасности, вертикали руководства и координаторов по безопасности. Подробная информация приводится в стандартах по безопасности, которые публикуются отдельно. Областью применения являются все операции предприятия. 1. Адекватные средства будут использованы для защиты следующей информации: производственной и технической информации, являющейся собственностью предприятия; персональных данных, касающихся претендентов, сотрудников и бывших сотрудников; принадлежащей предприятию информации о поставщиках по контрактным соглашениям. развитие организации по применению политики в области безопасности; 2. Операции предприятия: разработка, опубликование и применение планов по информационной безопасности с целью достижения точного соблюдения политики; предложение руководящих указаний, стандартов и процедур, необходимых для выполнения локальных требований и юридических норм; получение обзоров, а также полных и согласованных планов по выполнению мер информационной безопасности от штата предприятия по вопросам безопасности; проведение оперативных обзоров в подразделениях по согласованию; распознавание и исправление проблемных ситуаций; сообщение о значительных изъянах и компрометациях в области информационной безопасности в отдел безопасности предприятия; следить за применением правил и программ по информационной безопасности. 3. Координаторы по безопасности: полностью владеют политикой и руководствами по безопасности; 17

18 ности; консультируют руководителей подразделений по вопросам безопас- выполняют задачи и программы, предлагаемые в «Руководстве координатора по безопасности» и при необходимости другие специальные поручения. 4. Список публикаций предприятия по информационной безопасности: руководящие указания и стандарты предприятия; руководство координатора по безопасности; руководство для персонала; сборник указаний по работе с информацией; справочник по безопасности предприятия (стандарты). Рекомендуемая литература 1. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. М.: Академия, с. 2. Краковский Ю.М. Информационная безопасность и защита информации: Учебное пособие. М.: ИКЦ «МарТ», Ростов н/д: Издательский центр «МарТ», с. 3. Галатенко В.А. Основы информационной безопасности. М.: ИН- ТУИТ.РУ «Интернет-университет Информационных технологий», с. Интернет-ресурсы Задания для развития и контроля владения компетенциями Используется следующая игровая ситуация: Вы являетесь руководителем коммерческой фирмы, действующей в условиях рынка Ставропольского края, которая обладает собственными коммерческими секретами и занимается, например, одним из следующих видов деятельности: D коммерческая деятельность (торговля бытовой радиоэлектроникой); А производство электронных устройств; В разработка программных продуктов; С производство продуктов питания; E бытовые услуги населению. 1. Определите название Вашей фирмы, вид ее деятельности, количе- 18

19 ство руководителей. 2. Определите мероприятия для осуществления контроля качества информации Вашей фирмы. 3. Определите составляющие информационной базы Вашей фирмы. 4. Составьте перечень информации, требующей защиты. 5. Составьте классификационную политику информации для Вашей фирмы. 6. Опишите способ организации и обеспечения ответственности в области управления информацией Вашей фирмы. Тема 3. Угрозы информации: проведение анализа информации на предмет целостности Цель лабораторной работы формирование способности определять возможные методы и пути реализации угроз на основе анализа структуры и содержания информационных процессов предприятия, целей и задач деятельности современного предприятия. Организационная форма занятия решение ситуационных задач. Вопросы, выносимые на обсуждение: 1. Дать определение понятию «угроза». 2. Дать определение понятию «источник угроз». 3. Дать определение понятию «уязвимость». 4. Дать определение понятию «последствия». 5. Классификация угроз информационной безопасности. 6. Классификация источников угроз информационной безопасности. 7. Классификация уязвимостей информационных систем. 8. Угрозы нарушения конфиденциальности, целостности и доступности информации. Методические рекомендации для выполнения лабораторной работы Организация обеспечения информационной безопасности должна носить комплексный характер. Она должна основываться на глубоком анализе негативных всевозможных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из 19

20 этого, моделирование и классификация источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки: Источники угроз Уязвимость Угроза (действие) Последствия Рисунок 1 Логическая цепочка угроз и их проявлений Источники угроз это потенциальные антропогенные, техногенные и стихийные угрозы безопасности. Под угрозой (в целом) понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим либо интересам. Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление которое посредством воздействия на информацию или другие компоненты ИС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов. Уязвимость это присущие объекту информационной системы причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информационной системы, свойствами архитектуры информационной системы, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников. Последствия это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Классификация источников угроз информационной безопасности. Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления (см. рис.2). Все источники угроз информационной безопасности можно разделить на три основные группы: 1. Обусловленные действиями субъекта (антропогенные источники) субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированны как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и 20

21 внутренними. Данные источники можно спрогнозировать, и принять адекватные меры. 2. Обусловленные техническими средствами (техногенные источники) эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними. 3. Стихийные источники данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия, или др. обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы. Источники угроз Антропогенные источники Внешние Внутренние Криминальные структуры Потенциальные преступники и хакеры Недобросовестные партнеры Технический персонал поставщиков телекоммуникационных услуг Представители надзорных организаций и аварийных служб Основной персонал (пользователи, разработчики и др.) Представители службы защиты информации Вспомогательный персонал (уборщицы, охрана и др.) Технический персонал (жизнеобеспечение, эксплуатация) Представители силовых структур Техногенные источники Внешние Внутренние Средства связи Сети инженерных коммуникаций (водоснабжение, канализация) Транспорт Некачественные технические средства обработки информации Некачественные программные средства обработки информации Вспомогательные средства (охрана, сигнализация, телефония) Другие технические средства Стихийные источники Пожары, землетрясения, наводнения, ураганы Другие форс-мажорные обстоятельства Рисунок 2 Классификация источников угроз 21

22 Классификация уязвимостей информационных систем. Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в информационных системах. Уязвимости присущие информационным системам, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры информационной системы, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Устранение или существенно ослабление уязвимостей, влияет на возможности реализации угроз безопасности информации. Существует следующая классификация уязвимостей: 1. Объективные зависят от особенностей построения и технических характеристик оборудования, применяемого в информационных системах. Полное устранение этих уязвимостей невозможно, они могут существенно ослабляться техническими и инженерно техническими методами. К ним можно отнести: 1.1. Сопутствующие техническим средствам излучения: электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей); электрические (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока электропитания); звуковые (акустические, виброакустические) Активизируемые: аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах); программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии программного обеспечения) Определяемые особенностями элементов: элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители, микрофоны); 22

23 элементы подверженные воздействию электромагнитного поля (магнитные носители, микросхемы) Определяемые особенностями защищаемого объекта: местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта); организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов). 2. Субъективные зависят от действий сотрудников, в основном устраняются организационными и программно аппаратными методами: 2.1. Ошибки: при подготовке и использовании программно обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных); при управлении сложными системами (при использовании возможностей самообучения систем, организация управления потоками обмена информации); при эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использование средств обмена информацией) Нарушения: режима охраны и защиты (доступа на объект, доступа к техническим средствам); режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения); режима использования информации (обработка и обмен информацией, хранение и уничтожение носителей информации, уничтожения производственных отходов и брака); режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники; обиженные сотрудники). 3. Случайные зависят от особенностей окружающей информационную систему среды и непредвиденных обстоятельств Сбои и отказы: отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа); 23

24 старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, микросхем, кабелей и соединительных линий); сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ); сбои электроснабжения (оборудования, обрабатывающего информацию; обеспечивающего и вспомогательного оборудования) Повреждения: жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации; кондиционирования и вентиляции); ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий; корпусов технологического оборудования). Угрозы нарушения конфиденциальности, целостности, доступности информации. Существует три разновидности угроз: угрозы нарушения доступности, угрозы нарушения целостности, угрозы нарушения конфиденциальности. Доступность информации свойство системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость. Целостность информации существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Чаще субъектов интересует обеспечение более широкого свойства достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее неискаженности. Конфиденциальность способность системы обеспечивать целостность и сохранность информации ее законных пользователей. Рекомендуемая литература 1. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. М.: Академия, с. 2. Бабаш А.В., Баранова Е.К., Мельников Ю.Н. Информационная безопасность. Лабораторный практикум. Учебное пособие. М.: КноРус, с. 24

25 Интернет-ресурсы 1. Задания для развития и контроля владения компетенциями 1. Установить программу Kaspersky Internet Security Описать основные вкладки окна настройки Kaspersky Internet Security: «Центр защиты», «Контроль программ», «Проверка», «Обновление», «Безопасность+». 2. Запустить обновление Kaspersky Internet Security одним из двух способов: из контекстного меню; из главного окна программы. Описать действия для запуска каждым из способов. 3. Осуществить поиск вирусов посредством: 1) проверки объектов, выбранных пользователем (любой объект файловой системы компьютера); 2) полной проверки всей системы (по умолчанию проверяются следующие объекты: системная память, объекты, исполняемые при старте системы, резервное хранилище системы, почтовые базы, жесткие, съемные и сетевые диски); 3) быстрой проверки (проверка на присутствие вирусов тех объектов, загрузка которых осуществляется при старте операционной системы). 4. Осуществите проверку правильной настройки параметров программы Kaspersky Internet Security 2010 с помощью тестового «вируса» EICAR и его модификации. 5. Составьте отчет по вопросам: для чего он нужен тестового «вируса» EICAR, какие известны модификации тестового «вируса» EICAR, какие виды проверки компьютера имеются в программе Kaspersky Internet Security, как можно просмотреть отчет о результатах проверки компьютера на вирусы, какие данные содержит отчет. 6. Запустите программу Internet Explorer в безопасной среде. Опишите все действия для запуска. Тема 4. Определение коэффициентов важности, полноты, адекватности, релевантности, толерантности информации Цель лабораторной работы овладение теоретическими и прикладными знаниями и умениями в оценивании защищаемой информации для формирования способности провести анализ исходных данных для проектирования подсистем и средств обеспечения информационной безопасности. Организационная форма занятия решение ситуационных задач. Вопросы, выносимые на обсуждение: 25

26 Методические рекомендации для выполнения лабораторной работы 1. Какие показатели и характеристики информации Вы знаете? 2. Как Вы понимаете свойство важности информации? 3. Как Вы понимаете свойство полноты информации? 4. Как Вы понимаете свойство адекватности информации? 5. Как Вы понимаете свойство релевантности информации? 6. Как Вы понимаете свойство толерантности информации? Показатели и характеристики информации. Информационные сообщения проходят множество этапов обработки: представление информации в символьном виде (различными формами электрических сигналов), преобразование сигналов (аналоговых в дискретную форму и наоборот), кодирование (шифрование) данных (при необходимости) и все обратные преобразования. Следовательно, в качестве основной характеристики информации может выступать способ ее преобразования. На всех участках технологических маршрутов обработки имеются потенциальные возможности для проявления большого количества факторов, которые могут влиять на информацию, изменять её свойства и характеристики (т.е. оказывать воздействие, зачастую негативное). Поэтому одной из важнейших характеристик информации является степень защищенности информации от воздействия тех или иных факторов (в т.ч. дестабилизирующих). Информация может характеризоваться также и «прагматическими» свойствами. Их содержание определяется ролью, значимостью, важностью информации в процессе решения задач, а также количеством и содержанием информации, имеющейся в момент решения соответствующей задачи. Важно не просто количество сведений в абсолютном выражении, а достаточность (полнота) их для информационного обеспечения решаемых задач и адекватность, то есть соответствие текущему состоянию тех объектов или процессов, к которым относится оцениваемая информация. Важность информации. Для количественной оценки важности информации используют два критерия: уровень потерь в случае нежелательных изменений информации в процессе обработки под воздействием факторов (в т.ч. и дестабилизирующих) и уровень затрат на восстановление нарушенной информации. Тогда коэффициент важности информации K можно представить в следующем виде: 26 K f P 1, P 2,

27 где P 1 величина потерь при нарушении качества информации; P 2 величина стоимости восстановления ее качества. Иными словами, для оценки важности информации необходимо уметь определять значения величин P 1, P 2 и знать вид функциональной зависимости. Однако, как и для большинства задач, связанных с проблемой защиты информации, не удается предложить каких либо формальных приемов решения. Поэтому часто применяются неформально-эвристические методы, при которых величины P 1, P 2 принимают лингвистическое значение (см. рис.3). Рисунок 3 Структура и значения величин для оценки важности информации Таблица 2 Первичная классификация информации Важность задачи по важности относительно назначения Важность информации для задачи Незначительная Средняя Большая Обыкновенная 1н 2н 3н Важная 4н 5н 6н Очень важная 7н 8н 9н Уровень потерь Таблица 3 Первичная классификация информации по важности относительно обработки Стоимость восстановления Незначительная Средняя Большая Незначительный 1о 2о 3о Средний 4о 5о 6о Большой 7о 8о 9о 27

28 Таким образом, вся информация может быть разделена на семнадцать классов важности. Однако номер класса сам по себе не характеризует важность информации на содержательном уровне, да и оперировать семнадцатью различными классами затруднительно. Для уменьшения количества классов важности можно объединить все элементы классификационной структуры так, как показано в таблице 4 пунктирными линиями. В итоге семнадцать классов могут быть преобразованы в семь категорий важности: малой (А), обыкновенной (Б), полусредней (В), средней (Г), повышенной (Д), большой (Е) и чрезвычайной важности (Ж). Для проведения аналитических расчетов необходимо получить количественные выражения введенных показателей важности. При этом предполагается, что важность информации категории А убывает от класса 3 к классу 1, приближаясь к 0, а категория Ж возрастает от класса 15 к классу 17, приближаясь к 1. Возрастание важности информации от класса 1 к классу 17 происходит неравномерно, при этом зависимость имеет вид логистической кривой (см. рис. 4). Рисунок 4 Коэффициент важности информации 28

29 Таблица 4 Итоговая классификация информации по важности Последовательность и содержание оценки важности приведены на рисунке 5. Рисунок 5 Последовательность и содержание оценки важности информации Полнота информации. Полнота информации оценивается относительно вполне определенной задачи или группы задач. Поэтому, чтобы иметь возможность определять показатель полноты информации, необходимо для каждой задачи или группы задач заблаговременно составить перечень сведений, которые необходимы для их решения. Для представления таких сведений удобно воспользоваться так называемыми объектно-характеристическими таблицами (ОХТ), каждая из которых есть двухмерная матрица с приведенным в строках перечнем наименований объектов, процессов или явлений, входящих в круг интересов соответствующей задачи, а в столбцах наименование их характеристик (параметров), значения которых необходимы для решения задачи. Совокупность всех таблиц, необходимых для обеспечения решения всех задач, может быть названа информационным кадастром объекта. 29

30 Оценивание полноты информации происходит следующим образом. Обозначим через d элемент, находящийся в -й строке и -ом столбце интересующего нас компонента соответствующей ОХТ, причем: d 1, если по данному элементу информация 0, в противном случае. имеется; Коэффициент полноты информации в некоторой ОХТ может быть выражен в следующем виде: К П Однако при этом не учитывается важность (значимость) различных элементов. В качестве меры взвешенной полноты информации в рассматриваемой ОХТ принимают величину: mn d d ( ) К в П, (в) mn K ( в) где K есть коэффициент важности элемента -й строки и -ого столбца. Адекватность информации. Под адекватность понимается степень соответствия оцениваемой информации действительному состоянию тех реалий, которые она отображает. В общем случае адекватность определяется двумя параметрами: 1) объективностью генерирования информации о предмете, процессе или явлении; 2) продолжительностью интервала времени между моментом генерирования информации и текущим моментом, то есть до момента оценивания ее адекватности. Объективность генерирования информации зависит от способа получения значений интересующих нас характеристики и качества его реализации. Классификация характеристик по возможным способам получения их значения приведена на рисунке 6. Используя эту классификацию, все возможные значения адекватности информации по объективности ее генерирования можно структурировать так, как показано в таблице 5. При высоком качестве определения значения непосредственно и количественно измеряемой информации адекватность соответствующей информации будет близка к 1, при низком качестве определения значения неизмеряемой информации, не имеющей даже отдаленного аналога, адекватность информации близка к нулю.. 30

31 Измеряемая Не измеряемая Рисунок 6 Классификация характеристик по способам получения их значений Таблица 5 Структуризация значений адекватности информации по объективности генерирования Тип характеристики Непосредственно Косвенно Имеющая аналоги Не имеющая аналогов Количественно Качественно Аналитически Логически В данной среде В сходной среде Конкретного Даже отдаленного Качество определения значения характеристики Хорошее Среднее Плохое Внутри данного интервала изменение адекватности происходит в соответствии с логистической кривой, как показано на рисунке 7. Рисунок 7 Показатель адекватности информации по способу генерирования Для оценки адекватности по второму параметру вполне подходящим является известный в теории информации так называемый «закон старения информации». Его вид показан на рисунке 8. При этом под t 0 понимается момент времени генерирования оцениваемой информации. Как видно из ри- 31

32 сунка, закон старения информации характеризуется четырьмя основными интервалами: t 1 продолжительность интервала времени, в течение которого оцениваемая информация практически полностью сохраняет свою адекватность; t 2 продолжительность интервала времени, в течение которого адекватность информации уменьшается не более, чем на одну четверть; t 3 продолжительность интервала времени, в течение которого адекватность информации уменьшается наполовину; t 4 продолжительность интервала времени, в течение которого адекватность информации уменьшается на три четверти. K a может быть определен как: где Рисунок 8 Общий вид закона старения информации Общий показатель адекватности информации K K a K a, K a показатель адекватности информации в зависимости от способа генерирования, момента оценивания. K a показатель адекватности информации в зависимости от Релевантность информации. Релевантность характеризует соответствие информации потребностям решаемой задачи. Для количественного выражения этого показателя обычно используют коэффициент релевантности K p, определяющий отношение объема релевантной информации N p к общему объему анализируемой информации N o : N P K p. N o 32

33 К оценке релевантности информации в таком представлении можно подойти следующим образом. Пусть имеется информационный кадастр, состоящий из некоторого количества ОХТ. Тогда релевантность -1 ОХТ можно выразить формулой: где ( ) d p K p 1, если элемент d ОХТ соответствует 0, в противном случае ; m d n ( p), решаемой задаче; или с учетом коэффициентов важности элементов ОХТ: ( p) ( p) d K K p. ( p) m n K Коэффициент релевантности всего информационного кадастра выражается формулой: K p d m ( p) или с учетом коэффициентов важности элементов ОХТ: ( p) ( в) d K K p m n ( в) K. Толерантность информации. Показатель, характеризующий удобство восприятия и использования информации в процессе решения задачи. Данное понятие является очень широким, в значительной мере неопределенным и субъективным. Даже для цифровой информации значение толерантности может быть самым различным. Из эвристических методов наиболее подходящими являются методы экспертно-лингвистических оценок. В качестве значений лингвистической переменной могут быть использованы такие понятия, как «весьма удобно, комфортно» (информация представлена в таком виде, что ее использование в процессе решения задачи происходит естественным образом, не требуя дополнительных усилий), «удобно» (использование информации если и требует дополнительных усилий, то лишь незначительных), «средне» (использование информации требует дополнительных усилий, вообще говоря, допустимых), «плохо» (использование информации n, 33

34 сопряжено с большими трудностями), «очень плохо» (использование информации или вообще невозможно, или требует неоправданно больших усилий). Рекомендуемая литература 1. Гафнер В.В. Информационная безопасность: учеб. пособие. Ростов н/д: Феникс, с. 2. Краковский Ю.М. Информационная безопасность и защита информации: Учебное пособие. М.: ИКЦ «МарТ», Ростов н/д: Издательский центр «МарТ», с. Интернет-ресурсы 1. Задания для развития и контроля владения компетенциями Условия работы фирмы аналогичны, указанным в теме 2. Задание 1. Составьте перечень деловой и технологической информации Вашей фирмы. Определите важность каждой из них согласно классификации, приведенной в таблице 4. Задание 2. Составить информационный кадастр вашей фирмы, вычислить коэффициенты полноты в ней информации. Задание 3. Оценить адекватность технологической информации Вашей фирмы двумя способами: по объективности генерирования, по способу генерирования. Задание 4. Вычислить коэффициенты релевантности отдельных объектов и всего информационного кадастра. Задание 5. Оцените в лингвистических шкалах толерантность технологической информации Вашей фирмы. Тема 5. Технические средства защиты информации 5.1. Технические средства защиты переговоров по телефонным линиям Цель лабораторной работы овладение теоретическими знаниями и практическими навыками использования современных средств технической защиты информации для формирования способности активной состязательной деятельности в условиях информационного противоборства. Организационная форма занятия репрезентация изученного материала. Вопросы, выносимые на обсуждение: 34

35 1. Перечислите технические каналы утечки информации. 2. Опишите структуру и основные характеристики каждого класса технических каналов утечки информации. 3. Какие современные средства защиты телефонных линий Вы знаете? 4. Чем отличаются методы пассивной и активной защиты речевой информации? Методические рекомендации для выполнения лабораторной работы Устройство и назначение ГРОМ-ЗИ-6 Генератор шума ГРОМ-ЗИ-6 (далее по тексту прибор) предназначен для защиты переговоров по телефонной линии (далее по тексту линия) от утечки информации. Прибор предотвращает прослушивание переговоров по линии от Вашего телефонного аппарата (ТА) до автоматической телефонной станции (АТС). Принцип действия прибора основан на маскировке спектра речи широкополосным шумом. Прибор предотвращает прослушивание с помощью различных устройств, подключаемых к линии (параллельные ТА, диктофоны, индуктивные датчики, устройства с радиоканалом и т.д.). Прибор не требует подстройки под параметры линии и обеспечивает высокое значение подавления в Вашем ТА помех, генерируемых по линии. Прибор обеспечивает регулировку тока в линии, что предотвращает прослушивание устройствами, реагирующими на «поднятие трубки» Вашего ТА. Прибор предотвращает прослушивание Вашего ТА устройствами, работающими по принципу высокочастотного навязывания. Прибор может работать в автоматическом и неавтоматическом режимах. В автоматическом режиме прибор контролирует напряжение линии, при этом Ваш ТА гальванически изолирован от линии. Защита включается автоматически при: поднятии трубки вашего ТА; снижении напряжения линии при подключении к ней параллельного ТА или прослушивающих устройств. Прибор имеет зуммер, срабатывающий при вызывании Вашего ТА. Прибор блокирует устройства, использующие электрическую сеть помещения в качестве канала утечки информации. Рисунок 9 Лицевая панель прибора 35

36 Рисунок 10 Задняя панель прибора На лицевой панели прибора (см. рис. 9) расположены: включатель сетевого напряжения «СЕТЬ» (1) и индикатор включения прибора (1); индикатор уровня защиты линии «УРОВЕНЬ» (2); включатель защиты линии в автоматическом режиме «АВТО РЕ- ЖИМ» (3) и индикатор автоматического режима работы прибора; включатель регулятора тока линии «РЕГУЛЯТОР ТОКА» (4) и индикатор включения; включатель защиты линии «ТЕЛЕФОННАЯ ЛИНИЯ» (5) и индикатор включения защиты; включатель защиты электрической сети «ЭЛЕКТРОСЕТЬ» (6) и индикатор включения. На задней панели прибора (см. рис. 10) расположены: регулятор уровня защиты линии «УРОВЕНЬ» (1); регулятор тока линии «ТОК ЛИНИИ» (2); гнезда ТА и ЛИН для подключения телефона и линии к прибору (3); кабель для подключения прибора к электросети 220 В (5) и сетевой предохранитель (4). Технические данные и характеристики Максимальное значение напряжения, генерируемого прибором по телефонной линии в диапазоне частот 6-40 кгц не менее 3 В ср. кв. Отношение напряжения помех, генерируемых прибором по линии, к напряжению помех на клеммах ТА не менее 30 дб. (Типовое значение 40 дб). Диапазон регулировки тока линии не менее 10 ма. Порог включения прибора в автоматическом режиме В. Напряжение помех, генерируемых прибором по электросети относительно 1 мкв: в диапазоне частот 0,1-1 МГц не менее 60 дб; в диапазоне частот 1-5 МГц не менее 30 дб. Электропитание прибора: сеть переменного тока напряжением 220 В +10 % -15 % частотой 50 Гц -2 %. Потребляемая мощность прибором не более 10 В А. 36

Информационная система как объект защиты

Информационная система как объект защиты Глава 2 Информационная система как объект защиты В этой главе: Что такое информационная система ИС всякие нужны, ИС всякие важны Разработка и производство информационных систем Структура ИС и принципы

Подробнее

Сертификация ИС и ее компонентов по требованиям информационной безопасности

Сертификация ИС и ее компонентов по требованиям информационной безопасности Глава 24 Сертификация ИС и ее компонентов по требованиям информационной безопасности В этой главе: l l l l l l Что такое сертификат безопасности Сертификат и экономические аспекты безопасности Риски применения

Подробнее

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р ИСО/МЭК ТО 13335-3 2007 Информационная технология МЕТОДЫ

Подробнее

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРИКАЗ от 21 декабря 2009 г. N 753

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРИКАЗ от 21 декабря 2009 г. N 753 Зарегистрировано в Минюсте РФ 8 февраля 2010 г. N 16321 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 21 декабря 2009 г. N 753 ОБ УТВЕРЖДЕНИИ И ВВЕДЕНИИ В ДЕЙСТВИЕ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО

Подробнее

Выпускная квалификационная (дипломная) работа

Выпускная квалификационная (дипломная) работа ФИНАНСОВАЯ АКАДЕМИЯ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ Институт налогов и налогообложения Кафедра «Налоги и налогообложение» «Допустить к защите» заведующий кафедрой д.э.н., профессор 2003 г. Выпускная

Подробнее

Организация работы с кадровым резервом в органе государственной власти Республики Коми Методические рекомендации

Организация работы с кадровым резервом в органе государственной власти Республики Коми Методические рекомендации Утверждены приказом Управления государственной гражданской службы Республики Коми от 24.05.2013 г. 63-од (приложение) Организация работы с кадровым резервом в органе государственной власти Республики Коми

Подробнее

Организация и управление безопасностью в кредитнофинансовых

Организация и управление безопасностью в кредитнофинансовых 1. БЕЗОПАСНОСТЬ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ КАК ОБЪЕКТ УПРАВЛЕНИЯ Министерство образования Российской Федерации Международный образовательный консорциум «Открытое образование» Московский государственный

Подробнее

Коммерческая деятельность

Коммерческая деятельность Федеральное агентство по образованию ГОУ ВПО «Уральский государственный технический университет УПИ» М. В. Василенко Коммерческая деятельность Учебное электронное текстовое издание Подготовлено кафедрой

Подробнее

РУКОВОДСТВО ИФЛА/ЮНЕСКО ДЛЯ ШКОЛЬНЫХ БИБЛИОТЕК

РУКОВОДСТВО ИФЛА/ЮНЕСКО ДЛЯ ШКОЛЬНЫХ БИБЛИОТЕК Международная федерация библиотечных ассоциаций и учреждений (ИФЛА) РУКОВОДСТВО ИФЛА/ЮНЕСКО ДЛЯ ШКОЛЬНЫХ БИБЛИОТЕК http://www.ifla.org/vii/s11/pubs/school-guidelines.htm Введение «Манифест ИФЛА/ЮНЕСКО

Подробнее

УДК 65(075.8) ББК 65.291.21; -21*65я73 У 91. Кафедра «Экономика и управление» Рецензент к.э.н., доц. Скорниченко Н. Н. УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС

УДК 65(075.8) ББК 65.291.21; -21*65я73 У 91. Кафедра «Экономика и управление» Рецензент к.э.н., доц. Скорниченко Н. Н. УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС МИНОБРНАУКИ РОССИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СЕРВИСА» (ФГБОУ ВПО «ПВГУС») Кафедра «Экономика

Подробнее

Как защитить персональные данные. Подборка статей LETA IT-company

Как защитить персональные данные. Подборка статей LETA IT-company Как защитить персональные данные Подборка статей LETA IT-company LETA IT-company LETA IT-company (www.leta.ru) первый российский оператор типизированных ИТ-услуг, обеспечивающий заказчикам комплексные

Подробнее

РУКОВОДЯЩИЕ УКАЗАНИЯ ФАТФ. Оценка рисков отмывания денег и финансирования терроризма на национальном уровне

РУКОВОДЯЩИЕ УКАЗАНИЯ ФАТФ. Оценка рисков отмывания денег и финансирования терроризма на национальном уровне РУКОВОДЯЩИЕ УКАЗАНИЯ ФАТФ Оценка рисков отмывания денег и финансирования терроризма Февраль 2013 Группа РАЗРАботки финансовых мер борьбы с ОТмыванием денег Группа разработки финансовых мер борьбы с отмыванием

Подробнее

ЭРГОНОМИЧЕСКОЕ ПРОЕКТИРОВАНИЕ СИСТЕМ «ЧЕЛОВЕК КОМПЬЮТЕР СРЕДА». КУРСОВОЕ ПРОЕКТИРОВАНИЕ

ЭРГОНОМИЧЕСКОЕ ПРОЕКТИРОВАНИЕ СИСТЕМ «ЧЕЛОВЕК КОМПЬЮТЕР СРЕДА». КУРСОВОЕ ПРОЕКТИРОВАНИЕ Министерство образования Республики Беларусь Учреждение образования «Белорусский государственный университет информатики и радиоэлектроники» И. Г. Шупейко ЭРГОНОМИЧЕСКОЕ ПРОЕКТИРОВАНИЕ СИСТЕМ «ЧЕЛОВЕК

Подробнее

ОСНОВНАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА

ОСНОВНАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА стр. 1 из 158 СОГЛАСОВАНО Зам.председателя УМО по образованию в области менеджмента, д.п.н., профессор В.И.Звонников УТВЕРЖДАЮ Начальник Академии С.М.Карпович 2012 г. 2012 г. ОСНОВНАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА

Подробнее

«КАК ЗАКАЗЫВАТЬ ИССЛЕДОВАНИЯ» Принципы и руководства по практике международных исследований Европейского общества по опросам общественного мнения и

«КАК ЗАКАЗЫВАТЬ ИССЛЕДОВАНИЯ» Принципы и руководства по практике международных исследований Европейского общества по опросам общественного мнения и «КАК ЗАКАЗЫВАТЬ ИССЛЕДОВАНИЯ» Принципы и руководства по практике международных исследований Европейского общества по опросам общественного мнения и маркетинговым исследованиям Оглавление Как заказывать

Подробнее

АУДИТ И ФИНАНСОВЫЙ АНАЛИЗ

АУДИТ И ФИНАНСОВЫЙ АНАЛИЗ 3.13. УПРАВЛЕНИЕ КРЕДИТНЫМ ПОРТФЕЛЕМ КАК ОДИН ИЗ ЭЛЕМЕНТОВ СИСТЕМЫ УПРАВЛЕНИЯ КРЕДИТНЫМ РИСКОМ Славянский А.В., соискатель, начальник отдела взыскания задолженности департамента кредитования малого и среднего

Подробнее

I. ОБЛАСТЬ ПРИМЕНЕНИЯ

I. ОБЛАСТЬ ПРИМЕНЕНИЯ Утвержден приказом Министерства образования и науки Российской Федерации от 28 июля 2014 г. N 834 ФЕДЕРАЛЬНЫЙ ГОСУДАРСТВЕННЫЙ ОБРАЗОВАТЕЛЬНЫЙ СТАНДАРТ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ПО СПЕЦИАЛЬНОСТИ

Подробнее

УПРАВЛЕНИЕ ПЕРСОНАЛОМ ОРГАНИЗАЦИИ: АКТУАЛЬНЫЕ ТЕХНОЛОГИИ НАЙМА, АДАПТАЦИИ И АТТЕСТАЦИИ

УПРАВЛЕНИЕ ПЕРСОНАЛОМ ОРГАНИЗАЦИИ: АКТУАЛЬНЫЕ ТЕХНОЛОГИИ НАЙМА, АДАПТАЦИИ И АТТЕСТАЦИИ Государственный университет управления А.Я. Кибанов, И.Б. Дуракова УПРАВЛЕНИЕ ПЕРСОНАЛОМ ОРГАНИЗАЦИИ: АКТУАЛЬНЫЕ ТЕХНОЛОГИИ НАЙМА, АДАПТАЦИИ И АТТЕСТАЦИИ Рекомендовано УМО вузов России в области менеджмента

Подробнее

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) П Р И К А З. 11 февраля 2013 г. Москва 17

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) П Р И К А З. 11 февраля 2013 г. Москва 17 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) П Р И К А З 11 февраля 2013 г. Москва 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся

Подробнее

Мы строим надежное будущее

Мы строим надежное будущее Кодекс поведения Дюпон Мы строим надежное будущее НАШИ КЛЮЧЕВЫЕ ЦЕННОСТИ В ДЕЙСТВИИ Январь 2015 стр. 1 Обращение Главного Исполнительного Директора Уважаемые коллеги, На протяжении более чем двух веков

Подробнее

ПРОФЕССИОНАЛЬНАЯ ДЕЯТЕЛЬНОСТЬ НА РЫНКЕ ЦЕННЫХ БУМАГ

ПРОФЕССИОНАЛЬНАЯ ДЕЯТЕЛЬНОСТЬ НА РЫНКЕ ЦЕННЫХ БУМАГ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ВЫСШАЯ ШКОЛА ЭКОНОМИКИ В САНКТ-ПЕТЕРБУРГЕ В. А. МАКАРОВА ПРОФЕССИОНАЛЬНАЯ ДЕЯТЕЛЬНОСТЬ НА РЫНКЕ ЦЕННЫХ БУМАГ Учебное пособие Санкт-Петербург 2011 М15 УДК 336.763

Подробнее

Инновационная деятельность и венчурный бизнес

Инновационная деятельность и венчурный бизнес Государственный комитет по науке и технологиям Республики Беларусь Инновационная деятельность и венчурный бизнес Научно-методическое пособие Минск 2011 УДК 330.322:001.895 ББК 65.293:73 И 66 Авторы: И.

Подробнее

Национальная система квалификаций. Обеспечение спроса и предложения квалификаций на рынке труда.

Национальная система квалификаций. Обеспечение спроса и предложения квалификаций на рынке труда. М. Коулз О.Н. Олейникова А.А. Муравьева Национальная система квалификаций. Обеспечение спроса и предложения квалификаций на рынке труда. Москва, 2009 г. 1 ББК 65.9 (2) К 55 М. Коулз, О.Н. Олейникова, А.А.

Подробнее

ЭРГОНОМИКА ВЗАИМОДЕЙСТВИЯ ЧЕЛОВЕК СИСТЕМА

ЭРГОНОМИКА ВЗАИМОДЕЙСТВИЯ ЧЕЛОВЕК СИСТЕМА ФЕЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНАРТ РОССИЙСКОЙ ФЕЕРАЦИИ ГОСТ Р ИСО 9241-210 2012 ЭРГОНОМИКА ВЗАИМОЕЙСТВИЯ ЧЕЛОВЕК СИСТЕМА Часть 210 Человеко-ориентированное

Подробнее

Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса

Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса обработки данных. 5 1.2. Понятие правильной программы.

Подробнее

ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ КОММУНИКАЦИОННЫХ КАМПАНИЙ

ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ КОММУНИКАЦИОННЫХ КАМПАНИЙ Высшее профессиональное образование БАКАЛАВРИАТ Е.Г.ЛАШКОВА, А.И.КУЦЕНКО ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ КОММУНИКАЦИОННЫХ КАМПАНИЙ УЧЕБНИК Для студентов учреждений высшего профессионального образования, обучающихся

Подробнее

ОЦЕНКА РИСКОВ ПРИ ПЛАНИРОВАНИИ АУДИТА. Руководство, помогающее аудиторам наилучшим способом оценить риски при планировании аудиторской работы

ОЦЕНКА РИСКОВ ПРИ ПЛАНИРОВАНИИ АУДИТА. Руководство, помогающее аудиторам наилучшим способом оценить риски при планировании аудиторской работы ОЦЕНКА РИСКОВ ПРИ ПЛАНИРОВАНИИ АУДИТА Руководство, помогающее аудиторам наилучшим способом оценить риски при планировании аудиторской работы ОЦЕНКА РИСКОВ ПРИ ПЛАНИРОВАНИИ АУДИТА Руководство, помогающее

Подробнее

«Международный институт ИНФО-Рутения» «Организация инновационной деятельности» Курс лекций. Автор: Щенникова В.Н.

«Международный институт ИНФО-Рутения» «Организация инновационной деятельности» Курс лекций. Автор: Щенникова В.Н. Автономная некоммерческая организация «Международный институт ИНФО-Рутения» «Организация инновационной деятельности» Курс лекций Автор: Щенникова В.Н. МОСКВА, 2014 1 Оглавление ЛЕКЦИЯ 1. ТЕОРЕТИЧЕСКИЕ

Подробнее

ФГОС ИНФОРМАТИКА. Методическое пособие для учителя. М. Н. Бородин. УМК для основной школы 5 6 классы, 7 9 классы. Москва БИНОМ. Лаборатория знаний

ФГОС ИНФОРМАТИКА. Методическое пособие для учителя. М. Н. Бородин. УМК для основной школы 5 6 классы, 7 9 классы. Москва БИНОМ. Лаборатория знаний М. Н. Бородин ФГОС ИНФОРМАТИКА УМК для основной школы 5 6 классы, 7 9 классы Методическое пособие для учителя Москва БИНОМ. Лаборатория знаний УДК 004.9 ББК 32.97 Б85 Методическое пособие для учителя к

Подробнее

ОБ ИННОВАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ВУЗА

ОБ ИННОВАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ВУЗА МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ НЕФТИ И ГАЗА имени И.М. ГУБКИНА (национальный исследовательский университет) ОБ ИННОВАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ВУЗА Из записной книжки

Подробнее