Академический Документы
Профессиональный Документы
Культура Документы
Брянск
Издательство БГТУ
2
2007
УДК 347.775
ББК 32.973
ISBN 5-89838-254-2
Ил. 25.
ОГЛАВЛЕНИЕ
Предисловие……………………………………………………………...... 6
Введение…………………………………………………………………...... 8
Глава 1. История развития систем защиты информации в
зарубежных странах………................................................................. 10
1.1. Развитие средств и методов защиты информации ……………... 10
1.2. Этапы развития системы защиты информации в настоящее
время………………………………………………………………………….. 13
1.3. Структура систем защиты информации, применяемых в 16
общемировой практике обеспечения информационной
безопасности…………………………………………………………………
Контрольные вопросы……………………………………………………… 19
Глава 2. Информационное противоборство в системе
международных отношений современного
общества……………………………………………………………………. 20
2.1. Современная картина международных отношений в мире……. 20
2.2. Основы информационно-психологического воздействия………. 24
2.3. Типы информационного оружия………………...………….............. 32
Контрольные вопросы……………………………………………………… 37
Глава 3. Системы защиты информации в
США…………………………………………………………………………… 38
3.1. Современная концепция информационной войны в
США………………………………………………………….………………… 38
3.2. . Правовое регулирование информационной безопасности в
США ………………………………………………………………………….. 54
3.3. Государственные органы обеспечения национальной
безопасности США ……………………………………………................. 58
3.4. Особенности подготовки кадров в области информационной
безопасности в США……………………................................................. 72
Контрольные вопросы……………………………………………………… 76
Глава 4. Системы защиты информации в странах
Евросоюза……..................................................................................... 78
4.1. Состояние проблемы информационной безопасности в
странах Евросоюза…………………………………………………………. 78
5
ПРЕДИСЛОВИЕ
Целью курса “Системы защиты информации в ведущих зарубежных
странах” является формирование у студентов основополагающих знаний
о становлении, развитии и современном состоянии систем защиты
ведущих зарубежных стран, о проблемах международного
сотрудничества в области защиты информации.
Учебное пособие “Системы защиты информации в ведущих
зарубежных странах” разработано на основе требований образовательного
стандарта и рабочей программы одноименного курса, читаемого студентам
специальности 090103 – “Организация и технология” на кафедре
“Компьютерные технологии и системы” Брянского государственного
технического университета.
При организации учебного процесса по специальности 090103
–“Организация и технология защиты информации” имеют место
трудности, связанные с методическим обеспечение ряда учебных
дисциплин. В первую очередь это относится к общепрофессиональным
дисциплинам и дисциплинам специализации. Объясняется это тем, что
до недавнего времени специалистов по защите информации готовили в
специализированных военно-учебных заведениях, информация, как
правило, хранилась под грифом “секретно” и была достоянием только
спецслужб и силовых структур. Для изучения дисциплины
специализации “Системы защиты информации в ведущих зарубежных
странах” в настоящее время учебного пособия, охватывающего все
многообразие изучаемых вопросов, пока еще нет. Разрозненная
информации представлена в различных немногочисленных книгах,
журналах, в электронных ресурсах.
В предлагаемом учебном пособии “Системы защиты информации в
ведущих зарубежных странах” рассмотрены общие вопросы развития,
становления и современное состояние и особенности систем
информационной безопасности в ведущих зарубежных странах, таких
как США, Германия, Франция, Китай. Кроме того, особое внимание
уделено исследованию проблем информационного противоборства в
системе политических отношений современного информационного
общества. Рассмотрены вопросы международного сотрудничества в
8
ВВЕДЕНИЕ
В настоящее время стало очевидным, что деятельность по защите
информации и обеспечению информационной безопасности является
одной из важнейших задач обеспечения суверенитета и
обороноспособности Российской Федерации. В Концепции
безопасности России говорится об усилении угрозы национальной
безопасности Российской Федерации в информационной сфере.
Серьезную обеспокоенность представляет собой стремление ряда
мировых стран к доминированию в мировом информационном
пространстве, к вытеснению России с внешнего и внутреннего
информационного рынка, которое сочетается с разработкой концепции
информационных войн, предусматривающей создание средств опасного
воздействия на её информационные сферы, нарушение нормального
функционирования информационных и телекоммуникационных систем,
а также сохранности информационных ресурсов, получение
несанкционированного доступа к ним.
Для построения системы информационной безопасности нашей
страны, способной адекватно противодействовать угрозам,
определенным в Доктрине информационной безопасности Российской
Федерации, необходимо иметь четкое представление о современных
концепциях информационных войн развитых зарубежных стран,
характерных особенностях, эффективности применения и видах
информационного оружия, а также о том, каким образом в за рубежом
решаются задачи обеспечения информационной безопасности.
В курсе “Системы защиты информации в ведущих зарубежных
странах” в соответствии с требованиями Государственного
образовательного стандарта специальности 090103 – “Организация и
технология защиты информации” рассматриваются вопросы
эволюционного развития мировых систем защиты информации начиная
с древности, заканчивая нынешним этапом развития. Помимо того,
освещаются вопросы современного состояния систем защиты
информации в развитых зарубежных странах, таких как США,
Великобритания, Германия и ряде других стран. Структура современной
системы защиты информации зарубежной страны, как правило,
включает структуры обеспечения безопасности государственной тайны и
10
ГЛАВА 1
ИСТОРИЯ РАЗВИТИЯ СИСТЕМ ЗАЩИТЫ
ИНФОРМАЦИИ В ЗАРУБЕЖНЫХ СТРАНАХ
Криптографическая ЗИ
Морально – этические
ТИПОВАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ)
Организационная ЗИ
Психологическая ЗИ
Эл е м е н т ы С З И Страховая ЗИ
Правовая ЗИ
нормы ЗИ
Контрольные вопросы:
ГЛАВА 2
ИНФОРМАЦИОННОЕ ПРОТИВОБОРСТВО В
СИСТЕМЕ МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ
СОВРЕМЕННОГО ОБЩЕСТВА
Информационное оружие
Средства программно-
технического воздействия Экономические средства
на информационные информационной борьбы
системы
Контрольные вопросы:
ГЛАВА 3
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В США
Цели: Цели:
Доступ к закрытым Достижение информационного
информационным ресурсам господства над противником в
государства-конкурента и вооруженном конфликте.
принуждение его принять Защита собственных систем
выгодные США решения. управления от ИО противника.
защита собственных
информационных ресурсов.
• психологические операции;
• электронное оружие;
• физическое разрушение объектов:
• специальные информационные операции.
Особое место в доктрине уделяется проведению наступательной
информационной операции, которая является неотъемлемой частью
любой военной кампании и может быть применена как при
осуществлении «акций по поддержанию мира», так и в период
эскалации кризиса. Элементы наступательной информационной
операции могут реализовываться в различных условиях и
обстоятельствах самостоятельно или в совокупности с проведением
военной операции на стратегическом и тактическом уровнях. При
организации комплекса мер по нападению на компьютерные системы и
сети большое значение придается человеческому фактору для
оказания психологического воздействия на процесс принятия решения
компетентными должностными лицами противника, позиции и мнений
политических партий и поведения отдельных лидеров.
При этом эксперты МО США подчеркивают, что при утверждении
плана проведения каждой наступательной информационной операции
будут учитываться нормы международного права,
межправительственных договоров и соглашений, однако реальные
события в Ираке и Югославии свидетельствуют об обратном.
Оборонительные аспекты JDIO предусматривают расширенное
финансирование программ в сфере информационной безопасности, а
также осуществление комплекса организационных мероприятий. В
частности, предполагается:
Разработать основные направления политики в сфере
обеспечения национальной безопасности с учетом новейших
информационных технологий. Для этого намечено
пересмотреть существующую систему зашиты от
информационного оружия, конкретизировать с учетом
политической ситуации цели и задачи использования
наступательного информационного оружия, а также определить
процедуру контроля его применения.
Добиться стратегического информационного доминирования,
которое определено в качестве одного из ключевых направлений
государственной политики в области национальной
52
Федеральный координационный
Институт проблем защиты совет по проблемам безопасности
информационной инфраструктуры информационной инфраструктуры
Администрация
Национальный институт президента
стандартов и технологий
Федеральный центр
защиты информационных
Национальный центр ресурсов
защиты Инфраструктуры
ФБР
Национальный центр
безопасности и реагирования
Контрольные вопросы:
1. Назовите уровни концепции ИВ США. В чём их основные
отличия?
2. Назовите основные цели и формы реализации концепции ИВ на
государственном уровне.
3. Что представляет собой военный уровень концепции ИВ США?
4. Назовите основные принципы ИВ, реализуемые на военном
уровне концепции ИВ США.
5. Назовите основные формы ИВ. Кратко их охарактеризуйте.
6. В чём состоит сущность кибернетической войны?
7. Назовите основные документы, касающиеся аспектов ведения
ИВ США. Каково их содержание?
8. Какова основная цель Закона «Об информационной
безопасности» в США?
78
ГЛАВА 4
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СТРАНАХ
ЕВРОСОЮЗА
Парламент Правительство
Спецслужбы Великобритании
Разведсообщество
Объединенный комитет спецслужб - Joint intelligence
Committee (JIC)
Генеральный директор
Президент бюро
Вице-президент
Руководитель
Административный Директорат
директорат технического
обеспечения
Директорат Директорат по
технической работе с
поддержки кадрами
Конкурентная разведка
В Швеции конкурентная разведка частных компаний
рассматривается как средство обеспечения государственной
безопасности. Именно поэтому Швеция — единственная в мире страна,
где выдается диплом о высшем образовании по специальности
«конкурентная разведка». Такие курсы читаются во многих странах
мира, есть колледжи, где обучают этой специальности. Но бизнес-школа
при Лундском университете (пригород Стокгольма) — единственный
колледж в мире, где присваивают степени мастера и доктора по этой
специальности.
Более чем вековой нейтралитет Швеции накладывает свой
отпечаток на особенности частной конкурентной разведки и связи ее с
государственными структурами. Экономика Швеции — одна из самых
открытых в мире.
Экспорт из Швеции на девять десятых осуществляется
двенадцатью огромными компаниями: Volvo, Saab, Elektrolux, Ericsson,
ABB, Gambro, Nobel Industries, Astra, Scandia Group, SCA, Nokia и
Televerker. Эти компании только 20% своей продукции направляют на
экспорт. У всех есть производственные филиалы или дочерние
компании за пределами своей страны. Крупные компании Швеции
обязаны обмениваться информацией ради успешного развития
национальной экономики.
Посольства Швеции по всему миру регулярно составляют отчеты
об экономическом и политическом положении в странах, где они
аккредитованы, в такой форме, чтобы они могли быть использованы
шведскими компаниями в своей текущей деятельности и для принятия
стратегических решений.
Тесные контакты частных компаний и правительства в сфере
конкурентной разведки не ограничиваются работой посольств. Еще в
70-е годы шведские банки сформировали компанию Upplsnigs Centralen
для исследований по конкурентной разведке. Она ведет общие для
шведских банков базы данных, в которые идет информация из-за
106
Подготовка персонала
В Швеции осуществляется программа специальной подготовки
управленческого аппарата и персонала служб безопасности компаний
для принятия профессиональных мер по борьбе с потенциальной
угрозой иностранных разведок и криминальных структур.
Сотрудников фирм, в первую очередь работающих за рубежом,
обучают методам реагирования на контакты со стороны лиц,
заинтересованных в секретной экономической и научно-технической
информации.
107
Контрольные вопросы:
1. Какие основные проблемы решают специалисты стран
Евросоюза в условиях возможности применения информационного
оружия?
2. Какие цели преследует идея создания системы
коллективного контроля и обеспечения ИБ европейских стран?
3. Охарактеризуйте государственную систему безопасности
Великобритании. Приведите структуру спецслужб этой страны.
4. Назовите отличительные черты системы защиты
информации Германии.
5. Перечислите основные спецслужбы Германии,
обеспечивающие информационную безопасность. Назовите их
основные функции.
6. Что представляет собой система защиты информации
Франции? Назовите основные спецслужбы Франции.
7. Какую структуру имеет служба DGSE Франции, каковы её
задачи?
8. Какие особенности имеет система ЗИ Швеции?
9. Назовите особенности деятельности служб безопасности
шведских промышленных предприятий.
111
ГЛАВА 5
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КИТАЙСКОЙ
НАРОДНОЙ РЕСПУБЛИКЕ
достоинство гражданина;
откровенная клевета, ложь, распространение информации от
чужого имени;
разглашение информации о личной жизни человека без какого-
либо на то разрешения.
Для усиления контроля над сетью Интернет и определения её
исполнительного аппарата в Китае прилагается много усилий. В стране
орган общественной безопасности, то есть милиция, несет
ответственность за обеспечение информационной защиты. Закон «О
милиции» Китая и другие соответствующие законы и нормативные акты
возлагают на милицию страны следующие функции контроля за
информационной безопасностью в Интернете:
1. определение категорий степеней безопасности информационной
системы и реальных методов их защиты;
2. доведение этих сведений до пользователей Интернета;
3. расследование дел, связанных с несанкционированным
использованием компьютерной информации;
4. разработка систем предупреждения распространения
компьютерных вирусов и другой опасной информации;
5. разработка реальных методов государственного регулирования
продажи сетевых продуктов, информационных систем;
6. контроль деятельности по обеспечению информационной
безопасности в Интернете;
7. отслеживание правонарушений в Интернете.
В настоящее время китайский исполнительный аппарат
безопасности сети Интернет достаточно успешно проводит работу по
контролю информационного обмена и пресечению незаконной
деятельности в китайском сегменте сети Интернет.
Народно-освободительная
армия Китая
Армейская разведка
Министерство государственной
безопасности Китая
Контрольные вопросы:
ГЛАВА 6
МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО В ОБЛАСТИ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Контрольные вопросы:
ГЛАВА 7
Стандартное ПО.
Базы данных.
Описания основных компонентов организации режима
информационной безопасности (организационный и технический уровни
защиты данных, планирование действий в чрезвычайных ситуациях,
поддержка непрерывности бизнеса).
Характеристики объектов информатизации (здания, помещения,
кабельные сети, контролируемые зоны).
Характеристики основных информационных активов компании (в том
числе аппаратное и программное обеспечение, например рабочие станции и
сервера под управлением операционных систем семейства DOS, Windows и
UNIX).
Характеристики компьютерных сетей на основе различных сетевых
технологий, например сети Novell NetWare, сети UNIX и Windows).
Характеристика активного и пассивного телекоммуникационного
оборудования ведущих вендоров, например Cisco Systems.
Подробные каталоги угроз безопасности и мер контроля (более 600
наименований в каждом каталоге).
Все виды угроз в стандарте BSI разделены на следующие классы:
Форс-мажорные обстоятельства.
Недостатки организационных мер.
Ошибки человека.
Технические неисправности.
Преднамеренные действия.
Аналогично классифицированы контрмеры:
Улучшение инфраструктуры;
Административные контрмеры;
Процедурные контрмеры;
Программно-технические контрмеры;
Уменьшение уязвимости коммуникаций; планирование действий
в чрезвычайных ситуациях.
Все компоненты рассматриваются и описываются по следующему
плану:
1) общее описание;
2) возможные сценарии угроз безопасности (перечисляются
применимые к данной компоненте угрозы из каталога угроз
безопасности);
157
«ОРАНЖЕВАЯ КНИГА»
(TCSEC),1985
«Кандидатские
критерии»,
1993
«Федеральные
критерии».
Рабочая версия,
Великобритания. «Уровни 1993
уверенности»,1989
Критерии
оценки
Эффективность
Мониторинг Технический уровень Планирование
Безопасность
Управление Целостность
и
Контроль Пригодность организация
Согласованность
Надежность
Ресурсы ИС
Людские ресурсы
Приложения
Технологии
Оборудование
Данные
Функционирование Комплектация
и и
обслуживание внедрение
Контрольные вопросы:
ГЛАВА 8
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ВЕДУЩИХ
МИРОВЫХ КОМПАНИЯХ
8.1. Практика компании IBM в области защиты информации
8.2. Практика компании Cisco Systems в разработке сетевой политики
безопасности
8.3. Практика компании Microsoft в области информационной безопасности
Предотвра- Минимизация
Защита Риск
щение последствий
Анализ
рисков Политика
безопаснос- План действий
ти в чрезвычай- Остаточные
ных ситуациях риски
176
Технические детали
Статичность
Корпоративная
политика
безопасности
Организационная
Управление рисками в соответствии с задачами бизнеса
Направлена на получение поддержки со
Определение ролей и обязанностей
стороны руководства по управлению
Инвестиции в дизайн защищенности
рисками и на ознакомление с вопросами
Обеспечение безопасности операций
безопасности
Разработка
политики
Оценка рисков
безопасности
Этапы
управления
рисками
Внедрение
Аудит
средств защиты
безопасности
Контрольные вопросы:
ЗАКЛЮЧЕНИЕ
ПРИЛОЖЕНИЕ 1
Методические рекомендации
по проведению практических занятий по дисциплине “Системы
защиты информации в ведущих зарубежных странах”
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №1
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 2
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №3
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 4
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №5
ПРИЛОЖЕНИЕ 2
ДАЛЬНЕЙШЕЕ РАЗВИТИЕ
15. Усилия по преодолению международной разобщенности в
решающей степени зависят от эффективного сотрудничества между
всеми участниками. Для создания рамочных условий для развития ИКТ
важную роль и в дальнейшем будет играть двустороннее и
многостороннее сотрудничество. Международные финансовые
институты, включая многосторонние банки развития (МДБ), особенно
Всемирный банк, весьма пригодны для этой цели и могут разрабатывать
и осуществлять программы, которые будут способствовать росту и
борьбе с бедностью, а также расширять связи, доступ и обучение.
Международная сеть телекоммуникаций, ЮНКТАД и ЮНДП и другие
соответствующие международные фонды также могут сыграть важную
роль. Центральной остается роль частного сектора в продвижении ИКТ
в развивающихся странах. Он может также существенно способствовать
международным усилиям по преодолению цифрового разрыва. НПО,
обладающие уникальными возможностями донести идеи до
общественности, также могут способствовать развитию человеческих и
общественных ресурсов. ИКТ глобальна по своей сути и требует
глобального подхода.
213
ПРИЛОЖЕНИЕ 3
Введение:
Безопасность нации (народа, государства), в соответствии с
нашими принципами, требует, чтобы мы придерживались самых
высоких этических стандартов поведения, поэтому строгая
приверженность этому Кодексу – одно из условий сертификации
Цели:
Для достижения поставленных целей комитет несёт ответственность за:
Указания для решения проблем.
Поощрение оправданных действий, таких как:
Исследование
Обучение
Идентификация и помощь кандидатам
Оценка сертификатов
Препятствование таким действиям, как:
Необоснованная тревога, страх, неуверенность, сомнение
Неисполнение обещаний
Отрицательная практика
Приложение слабых систем к общественной сети
Взаимодействие подготовленных с профессиональной точки
зрения сотрудников с непрофессионалами
Сотрудничество и попытки сотрудничества с преступниками
или непосредственно преступное поведение
Профессионалы должны иметь в виду, что эти указания являются
лишь советом. Согласие с ними не необходимо для выполнения данного
кодекса.
Согласие с введением и канонами обязательно.
Также можно выделить следующие пункты кодекса:
Улучшать и сохранять общественное доверие к информации и
системам.
Улучшать понимание и принятие обоснованных мер
информационной безопасности.
Улучшать и усиливать целостность общественной
инфраструктуры.
Препятствовать опасному поведению.
Говорить правду.
Наблюдать за всеми контрактами и соглашениями.
Рассматривать коллег объективно. При решении конфликтов,
рассматривать общественную ответственность и
безопасность в порядке – руководство -> индивидуальная ->
профессиональная.
Давать продуманные ответы, избегать возникновений
необоснованной тревоги и страха, не нарушать обещания.
220
ПРИЛОЖЕНИЕ 4
ГЛАВА I. ВОЗМОЖНОСТИ
Статья 1. Возможности
1. Эта Директива касается юридической защиты баз данных
представленных в любой форме.
2. В Директиве под «базой данных» (БД) понимается собрание
независимых работ, данных или других материалов, структурированных
систематическим или методическим способом и доступных с помощью
электронных или других средств.
3. Защита согласно этой Директиве не должна быть нацелена на
компьютерные программы, используемые при создании или работе с
базами данных, доступными электронными средствами.