/>Содержание
Введение. 2
Виды, средстваи методы защиты информации. 5
Объекты защитыинформации. 19
Сопоставлениеметодов защиты информации и объектов защиты… 28
Заключение. 37
Приложение. 39
Использованныеисточники. 41
/>/>Введение
Обеспечениеинформационной безопасности России является одной из приоритетных государственныхзадач. Под информационной безопасностью (безопасностью информации) понимаютсостояние защищенности собственно информации и её носителей (человека, органов,систем и средств, обеспечивающих получение, обработку, хранение, передачу ииспользование информации) от различного вида угроз. Источники этих угроз могутпреднамеренными (т.е. имеющими цель незаконного получения информации) и непреднамеренными(такую цель не преследующими).
Обеспечитьбезопасность информации можно различными методами и средствами какорганизационного, так и инженерного характера. Комплекс организационных мер,программных, технических и других методов и средств обеспечения безопасностиинформации образует систему защиты информации.
В РоссийскойФедерации формируется Концепция информационной безопасности как составной частинациональной безопасности России. В рамках проекта этой Концепциисформулированы основные положения государственной политики обеспеченияинформационной безопасности, имеющие большое значение для построения как государственной,так и ведомственных систем защиты информации и заключающиеся в следующем:
– государствоформирует Федеральную программу ИБ, объединяющую усилия государственныхорганизаций и коммерческих структур в создании единой системы информационнойбезопасности России;
– государствоформирует нормативно-правовую базу, регламентирующую права, обязанности иответственность всех субъектов, действующих в информационной сфере;
– ограничениедоступа к информации есть исключение из общего принципа открытости информации иосуществляется только на основе законодательства;
– доступ ккакой-либо информации, а также вводимые ограничения доступа осуществляются сучетом определяемых законом прав собственности на эту информацию;
– ответственностьза сохранность, засекречивание и рассекречивание информации персонифицируется;
– юридическиеи физические лица, собирающие, накапливающие и обрабатывающие персональныеданные и конфиденциальную информацию, несут ответственность перед законом за ихсохранность и использование;
– государствоосуществляет контроль за созданием и использованием средств защиты информациипосредством их обязательной сертификации и лицензирования предприятий иорганизаций в области защиты информации;
– государствопроводит протекционистскую политику, поддерживающую деятельность отечественныхпроизводителей средств информатизации и защиты информации, и осуществляет мерыпо защите внутреннего рынка от проникновения на него некачественных средствинформатизации и информационных продуктов;
– государствостремится к отказу от зарубежных информационных технологий для информатизацииорганов государственной власти и управления по мере созданияконкурентоспособных отечественных информационных технологий и средствинформатизации;
– государствозаконными средствами обеспечивает защиту общества от ложной, искаженной инедостоверной информации, поступающей через СМИ;
– государствоспособствует предоставлению гражданам доступа к мировым информационнымресурсам, глобальным информационным сетям;
– государствоприлагает усилия для противодействия информационной экспансии США и другихразвитых стран, поддерживает интернационализацию глобальных информационныхсетей и систем.
На основеприведенных положений государственной политики обеспечения информационнойбезопасности должны проводиться все мероприятия по защите информации вразличных сферах деятельности государства, в т.ч. в оборонной сфере. Этопредполагает, в свою очередь, разработку соответствующего научно-технического иорганизационно-правого обеспечения защиты информации.
Научно-техническоеобеспечение должно быть направлено на достижение необходимого уровнязащищенности информационных технологий, систем и средств информатизации и связии заключается в проведении фундаментальных и прикладных исследований, созданиизащищенных технологий, средств и систем, а также создании средств и системконтроля состояния защиты информации.
Организационно-правовоеобеспечение защиты информации должно представлять собой высокоупорядоченнуюсовокупность организационных решений, законов, нормативов и правил,регламентирующих как общую организацию работ по защите информации в масштабахгосударства и ведомства, так и создание, и функционирование систем защитыинформации на конкретных объектах.
Целью даннойкурсовой работы является – сопоставить виды, средства и методы защитыинформации с объектами защиты.
Объектисследования – объекты защиты информации.
Поставленнаяцель раскрывается через следующие задачи:
1. рассмотретьвиды, средства и методы защиты информации;
2. обозначитьобъекты защиты информации;
3. сопоставитьспособы защиты информации с объектами защиты.
/>/>Виды, средства и методы защиты информации
По своейобщей направленности угрозы информационной безопасности Российской Федерацииподразделяются на следующие виды:
· угрозыконституционным правам и свободам человека и гражданина в области духовнойжизни и информационной деятельности, индивидуальному, групповому иобщественному сознанию, духовному возрождению России;
· угрозыинформационному обеспечению государственной политики Российской Федерации;
· угрозыразвитию отечественной индустрии информации, включая индустрию средствинформатизации, телекоммуникации и связи, обеспечению потребностей внутреннегорынка в ее продукции и выходу этой продукции на мировой рынок, а такжеобеспечению накопления, сохранности и эффективного использования отечественныхинформационных ресурсов;
· угрозыбезопасности информационных и телекоммуникационных средств и систем, как уже развернутых,так и создаваемых на территории России.
Угрозамиинформационному обеспечению государственной политики Российской Федерации могутявляться:
· монополизацияинформационного рынка России, его отдельных секторов отечественными изарубежными информационными структурами;
· блокированиедеятельности государственных средств массовой информации по информированиюроссийской и зарубежной аудитории;
· низкаяэффективность информационного обеспечения государственной политики РоссийскойФедерации вследствие дефицита квалифицированных кадров, отсутствия системыформирования и реализации государственной информационной политики.
Угрозамиразвитию отечественной индустрии информации, включая индустрию средствинформатизации, телекоммуникации и связи, обеспечению потребностей внутреннегорынка в ее продукции и выходу этой продукции на мировой рынок, а такжеобеспечению накопления, сохранности и эффективного использования отечественныхинформационных ресурсов могут являться:
· противодействиедоступу Российской Федерации к новейшим информационным технологиям,взаимовыгодному и равноправному участию российских производителей в мировомразделении труда в индустрии информационных услуг, средств информатизации,телекоммуникации и связи, информационных продуктов, а также создание условийдля усиления технологической зависимости России в области современныхинформационных технологий;
· закупкаорганами государственной власти импортных средств информатизации,телекоммуникации и связи при наличии отечественных аналогов, не уступающих посвоим характеристикам зарубежным образцам;
· вытеснениес отечественного рынка российских производителей средств информатизации,телекоммуникации и связи;
· увеличениеоттока за рубеж специалистов и правообладателей интеллектуальной собственности.
Угрозамибезопасности информационных и телекоммуникационных средств и систем, как ужеразвернутых, так и создаваемых на территории России, могут являться:
· противоправныесбор и использование информации;
· нарушениятехнологии обработки информации;
· внедрениев аппаратные и программные изделия компонентов, реализующих функции, непредусмотренные документацией на эти изделия;
· разработкаи распространение программ, нарушающих нормальное функционированиеинформационных и информационно – телекоммуникационных систем, в том числесистем защиты информации;
· уничтожение,повреждение, радиоэлектронное подавление или разрушение средств и системобработки информации, телекоммуникации и связи;
· воздействиена парольно-ключевые системы защиты автоматизированных систем обработки ипередачи информации;
· компрометацияключей и средств криптографической защиты информации;
· утечкаинформации по техническим каналам;
· внедрениеэлектронных устройств для перехвата информации в технические средстваобработки, хранения и передачи информации по каналам связи, а также в служебныепомещения органов государственной власти, предприятий, учреждений и организацийнезависимо от формы собственности;
· уничтожение,повреждение, разрушение или хищение машинных и других носителей информации;
· перехватинформации в сетях передачи данных и на линиях связи, дешифрование этойинформации и навязывание ложной информации;
· использованиенесертифицированных отечественных и зарубежных информационных технологий,средств защиты информации, средств информатизации, телекоммуникации и связи присоздании и развитии российской информационной инфраструктуры;
· несанкционированныйдоступ к информации, находящейся в банках и базах данных;
· нарушениезаконных ограничений на распространение информации.
Все известныена настоящий момент меры защиты информации можно разделить на следующие виды:
ü правовые;
ü организационные;
ü технические.
В большинстверабот правовые меры защиты информации принято рассматривать в рамкахорганизационно-правового обеспечения защиты информации. Объединениеорганизационных и правовых мер вызвано отчасти объективно сложившимисяобстоятельствами:
· проблемызаконодательного регулирования защиты информации регламентировалисьограниченным и явно недостаточным количеством нормативно-правовых актов;
· вотсутствии законодательства по вопросам защиты информации разрабатывалосьбольшое количество ведомственных нормативных документов, основное назначениекоторых заключалось в определении организационных требований по обеспечениюзащиты информации;
· внедрениеавтоматизированных информационных систем требует соответствующего правовогообеспечения их защиты, однако, на практике в развитии правовой базы непроизошло существенных изменений и приоритет остается за организационными мерами.
Организационно-правовоеобеспечение защиты информации представляет совокупность законов и другихнормативно-правовых актов, а также организационных решений, которыерегламентируют как общие вопросы обеспечения защиты информации, так иорганизацию, и функционирование защиты конкретных объектов и систем. Правовые аспектыорганизационно-правового обеспечения защиты информации направлены на достижениеследующих целей:
1. формированиеправосознания граждан по обязательному соблюдению правил защитыконфиденциальной информации;
2. определениемер ответственности за нарушение правил защиты информации;
3. приданиеюридической силы технико-математическим решениям вопросоворганизационно-правового обеспечения защиты информации;
4. приданиеюридической силы процессуальным процедурам разрешения ситуаций, складывающихсяв процессе функционирования системы защиты.
В современнойюриспруденции организационный и правовой подходы не объединяют. Однако, вопрекисложившимся традициям, не следует ограничиваться рассмотрением вопросовправовой защиты информации в рамках правовых аспектов комплексной защитыинформации.
К правовыммерам следует отнести нормы законодательства, касающиеся вопросов обеспечениябезопасности информации. Информационные отношения достигли такой ступениразвития, на которой оказалось возможным сформировать самостоятельную отрасльзаконодательства, регулирующую информационные отношения. В эту отрасль, котораяцеликом посвящена вопросам информационного законодательства, включаются:
· законодательствооб интеллектуальной собственности;
· законодательствоо средствах массовой информации;
· законодательствоо формировании информационных ресурсов и предоставлении информации из них;
· законодательствоо реализации права на поиск, получение и использование информации;
· законодательствоо создании и применении информационных технологий и средств их обеспечения.
В отраслиправа, акты которых включают информационно-правовые нормы, входятконституционное право, административное право, гражданское право, уголовноеправо, предпринимательское право.
Всоответствии с действующим законодательством информационные правоотношения – этоотношения, возникающие при:
· формированиии использовании информационных ресурсов на основе создания, сбора, обработки,накопления, хранения, поиска, распространения и предоставления потребителюдокументированной информации;
· созданиии использовании информационных технологий и средств их обеспечения;
· защитеинформации, прав субъектов, участвующих в информационных процессах иинформатизации.
В соответствиис определением, изложенным в Законе Российской Федерации «О государственнойтайне», к средствам защиты информации относятся «технические, криптографические,программные и другие средства, предназначенные для защиты сведений,составляющих государственную тайну, средства, в которых они реализованы, атакже средства контроля эффективности защиты, информации».
Все средствазащиты можно разделить на две группы – формальные и неформальные. К формальнымотносятся такие средства, которые выполняют свои функции по защите информацииформально, то есть преимущественно без участия человека. К неформальнымотносятся средства, основу которых составляет целенаправленная деятельностьлюдей. Формальные средства делятся на технические (физические, аппаратные) и программные.
Техническиесредства защиты – это средства, в которых основная защитная функция реализуетсянекоторым техническим устройством (комплексом, системой).
К несомненнымдостоинствам технических средств относятся широкий круг задач, достаточновысокая надежность, возможность создания развитых комплексных систем защиты,гибкое реагирование на попытки несанкционированных действий, традиционностьиспользуемых методов осуществления защитных функций.
Основныминедостатками являются высокая стоимость многих средств, необходимостьрегулярного проведения регламентированных работ и контроля, возможность подачиложных тревог.
Системнуюклассификацию технических средств защиты удобно провести по следующейсовокупности показателей:
1)функциональное назначение, то есть основные задачи защиты объекта, которыемогут быть решены с их применением;
2)сопряженность средств защиты с другими средствами объекта обработки информации(ООИ);
3) сложностьсредства защиты и практического его использования;
4) типсредства защиты, указывающий на принципы работы их элементов;
5) стоимостьприобретения, установки и эксплуатации.
В зависимостиот цели и места применения, выполняемых функций и физической реализуемоститехнические средства можно условно разделить на физические и аппаратные:
Физическиесредства – механические, электрические, электромеханические, электронные,электронно-механические и тому подобные устройства и системы, которыефункционируют автономно, создавая различного рода препятствия на путидестабилизирующих факторов.
· внешняязащита – защита от воздействия дестабилизирующих факторов, проявляющихся запределами основных средств объекта (физическая изоляция сооружений, в которыхустанавливается аппаратура автоматизированной системы, от других сооружений);
· внутренняязащита – защита от воздействия дестабилизирующих факторов, проявляющихсянепосредственно в средствах обработки информации (ограждение территориивычислительных центров заборами на таких расстояниях, которые достаточны дляисключения эффективной регистрации электромагнитных излучений, и организациисистематического контроля этих территорий);
· опознавание– специфическая группа средств, предназначенная для опознавания людей иидентификации технических средств по различным индивидуальным характеристикам(организация контрольно-пропускных пунктов у входов в помещения вычислительныхцентров или оборудованных входных дверей специальными замками, позволяющимирегулировать доступ в помещения).
Аппаратныесредства – различные электронные, электронно-механические и тому подобныеустройства, схемно встраиваемые в аппаратуру системы обработки данных илисопрягаемые с ней специально для решения задач по защите информации. Например,для защиты от утечки по техническим каналам используются генераторы шума.
· нейтрализациятехнических каналов утечки информации (ТКУИ) выполняет функцию защитыинформации от ее утечки по техническим каналам;
· поискзакладных устройств – защита от использования злоумышленником закладныхустройств съема информации;
· маскировкасигнала, содержащего конфиденциальную информацию, – защита информации отобнаружения ее носителей (стенографические методы) и защита содержанияинформации от раскрытия (криптографические методы).
Особуюи получающую наибольшее распространение группу аппаратных средств защитысоставляют устройства для шифрования информации (криптографические методы).
Программныесредства – специальные пакеты программ или отдельные программы, включаемые всостав программного обеспечения автоматизированных систем с целью решения задачпо защите информации. Это могут быть различные программы по криптографическомупреобразованию данных, контролю доступа, защите от вирусов и др. Программнаязащита является наиболее распространенным видом защиты, чему способствуют такиеположительные свойства данного средства, как универсальность, гибкость,простота реализации, практически неограниченные возможности изменения иразвития и т.п. По функциональному назначению их можно разделить на следующиегруппы:
· идентификациятехнических средств (терминалов, устройств группового управлениявводом-выводом, ЭВМ, носителей информации), задач и пользователей,
· определениеправ технических средств (дни и время работы, разрешенные к использованиюзадачи) и пользователей,
· контрольработы технических средств и пользователей,
· регистрацияработы технических средств и пользователей при обработке информацииограниченного использования,
· уничтоженияинформации в ЗУ после использования,
· сигнализациипри несанкционированных действиях,
· вспомогательныепрограммы различного назначения: контроля работы механизма защиты, проставлениягрифа секретности на выдаваемых документах.
Неформальныесредства делятся на организационные, законодательные и морально-этические.
Организационныесредства – специально предусматриваемые в технологии функционирования объектаорганизационно-технические мероприятия для решения задач по защите информации,осуществляемые в виде целенаправленной деятельности людей.
Организационныемероприятия играют большую роль в создании надежного механизма защиты информации.Причины, по которым организационные мероприятия играют повышенную роль вмеханизме защиты, заключается в том, что возможности несанкционированногоиспользования информации в значительной мере обуславливаются нетехническимиаспектами: злоумышленными действиями, нерадивостью или небрежностью пользователейили персонала систем обработки данных. Влияние этих аспектов практическиневозможно избежать или локализовать с помощью выше рассмотренных аппаратных ипрограммных средств и физических мер защиты. Для этого необходима совокупностьорганизационных, организационно-технических и организационно-правовыхмероприятий, которая исключала бы возможность возникновения опасности утечкиинформации подобным образом.
Основнымимероприятиями являются следующие:/>Обязательные
· Мероприятия,осуществляемые при проектировании, строительстве и оборудовании вычислительныхцентров.
· Мероприятия,осуществляемые при подборе и подготовки персонала вычислительного центра (проверкапринимаемых на работу, создание условий, при которых персонал не хотел былишиться работы, ознакомление с мерами ответственности за нарушение правилзащиты).
· Организациянадежного пропускного режима.
· Контрольвнесения изменений в математическое и программное обеспечение.
· Ознакомлениевсех сотрудников с принципами защиты информации и принципами работы средствхранения и обработки информации. Представляя себе хотя бы на качественномуровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
· Чёткаяклассификация всей информации по степени её закрытости и введение правилобращения с документами ограниченного распространения.
· Обязатьсотрудников исполнять требования по защите информации, подкрепив этосоответствующими организационными и дисциплинарными мерами./>Желательные
· Заставитьвсех сотрудников изучить современные средства защиты информации и сдать по нимзачёт.
· Иметьв штате специалиста, профессионально разбирающегося в проблемах защиты информации.
· Неиспользовать в работе программное обеспечение, в отношении которого не имеетсячёткой уверенности, что оно не совершает несанкционированных действий собрабатываемой информацией, таких, например, как самовольное создание копий,сбор информации о компьютере, отсылка по Интернету сведений изготовителюпрограммного обеспечения. Особенно подобным поведением «грешат» программныепродукты фирмы «Microsoft».
· Поставивсебя на место вероятного противника (конкурента), подумать, что он мог быпредпринять для получения несанкционированного доступа к вашей информации.Продумать ответные меры защиты.
· Приобрестисертифицированные средства защиты информации.
· Запретитьсотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новоепрограммное обеспечение. При получении любых исполняемых файлов по электроннойпочте стирать их, не разбираясь./>Дополнительные
· Разработатькомплексную стратегию защиты информации на вашем предприятии. Лучше поручитьтакую задачу сторонним специалистам.
· Провести«испытание» имеющихся у вас средств защиты информации, поручив стороннемуспециалисту испробовать на прочность вашу защиту.
Одноиз важнейших организационных мероприятий – содержание в вычислительном центреспециальной штатной службы защиты информации, численность и состав которойобеспечивали бы создание надежной системы защиты и регулярное еефункционирование.
Законодательныесредства – существующие в стране или специально издаваемые нормативно-правовыеакты, с помощью которых регламентируются права и обязанности, связанные собеспечением защиты информации, всех лиц и подразделений, имеющих отношение кфункционированию системы, а также устанавливается ответственность за нарушениеправил обработки информации, следствием чего может быть нарушение защищенностиинформации.
Морально-этическиенормы – сложившиеся в обществе или данном коллективе моральные нормы илиэтические правила, соблюдение которых способствует защите информации, анарушение их приравнивается к несоблюдению правил поведения в обществе иликоллективе.
Морально-этическиеспособы защиты информации можно отнести к группе тех методов, которые, исходя,исходя из расхожего выражения, что «тайну хранят не замки, а люди», играюточень важную роль в защите информации. Именно человек, сотрудник предприятияили учреждения, допущенный к секретам накапливающий в своей памяти колоссальныеобъемы информации, в том числе секретной, нередко становится источником утечкиэтой информации, или по его вине соперник получает возможность несанкционированногодоступа к носителям защищаемой информации.
Морально-нравственныеспособы защиты информации предполагают, прежде всего, воспитание сотрудника,допущенного к секретам, то есть проведение специальной работы, направленной наформирование у него системы определенных качеств, взглядов и убеждений(патриотизма, понимания важности и полезности защиты информации и для неголично), и обучение сотрудника, осведомленного о сведениях, составляющих охраняемуютайну, правилам и методам защиты информации, привитие ему навыков работы сносителями секретной и конфиденциальной информации.
Основными организационными и техническими методами,используемыми в защите государственной тайны, являются: скрытие, ранжирование,дробление, учет, дезинформация, морально-нравственные меры, кодирование ишифрование.
Скрытие какметод защиты информации является в основе своей реализации на практике одним изосновных организационных принципов защиты информации – максимальногоограничения числа лиц, допускаемых к секретам. Реализация этого методадостигается обычно путем:
· засекречиванияинформации, т.е. отнесения ее к секретной или конфиденциальной информацииразличной степени секретности и ограничения в связи с этим доступа к этойинформации в зависимости от ее важности для собственника, что проявляется впроставляемом на носителе этой информации грифе секретности;
· устраненияили ослабления технических демаскирующих признаков объектов защиты итехнических каналов утечки сведений о них.
Скрытие – один из наиболее общих и широко применяемых методовзащиты информации.
Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемойинформации по степени секретности и, во-вторых, регламентацию допуска иразграничение доступа к защищаемой информации: предоставление индивидуальныхправ отдельным пользователям на доступ к необходимой им конкретной информации ина выполнение отдельных операций. Разграничение доступа к информации можетосуществляться но тематическому признаку или по признаку секретности информациии определяется матрицей доступа.
Ранжирование как метод защиты информации является частным случаемметода скрытия: пользователь не допускается к информации, которая ему не нужнадля выполнения его служебных функций, и тем самым эта информация скрывается отнего и всех остальных (посторонних) лиц.
Дезинформация – один из методов защиты информации, заключающийся враспространении заведомо ложных сведений относительно истинного назначениякаких-то объектов и изделий, действительного состояния какой-то областигосударственной деятельности.
Дезинформация обычно проводится путем распространения ложнойинформации по различным каналам, имитацией или искажением признаков и свойствотдельных элементов объектов защиты, создания ложных объектов, по внешнему видуили проявлениям похожих на интересующие соперника объекты, и др.
Дробление (расчленение) информации на части с таким условием, что знаниекакой-то одной части информации (например, знание одной операции технологиипроизводства какого-то продукта) не позволяет восстановить всю картину, всютехнологию в целом.
Применяется достаточно широко при производстве средств: вооруженияи военной техники, а также при производстве товаров народного потребления.
Учет (аудит) также является одним из важнейших методов защиты информации,обеспечивающих возможность получения в любое время данных о любом носителезащищаемой информации, о количестве и местонахождении всех носителейзасекреченной информации, а также данные о всех пользователях этой информации.Без учета решать проблемы было бы невозможно, особенно когда количествоносителей превышает какой-то минимальный объем.
Принципы учета засекреченной информации:
· обязательностьрегистрации всех носителей защищаемой информации;
· однократностьрегистрации конкретного носителя такой информации;
· указаниев учетах адреса, где находится в данное время данный носитель засекреченнойинформации;
· единоличнаяответственность за сохранность каждого носителя защищаемой информации и отражениев учетах пользователя данной информации в настоящее время, а также всехпредыдущих пользователей данной информации.
Кодирование – метод защиты информации, преследующий цель скрыть от нарушителясодержание защищаемой информации и заключающийся в преобразовании с помощьюкодов открытого текста в условный при передаче информации по каналам связи,направлении письменного сообщения, когда есть угроза, что оно может попасть вчужие руки, а также при обработке и хранении информации в средствах вычислительнойтехники (СВТ).
Для кодирования используются обычно совокупность знаков (символов,цифр и др.) и система определенных правил, при помощи которых информация можетбыть преобразована (закодирована) таким образом, что прочесть ее можно будет,только если пользователь располагает соответствующим ключом (кодом) для еераскодирования. Кодирование информации может производиться с использованиемтехнических средств или вручную.
Шифрование – метод защиты информации, используемый чаще при передаче сообщенийс помощью различной радиоаппаратуры, направлении письменных сообщений и вдругих случаях, когда есть опасность перехвата этих сообщений. Шифрованиезаключается в преобразовании открытой информации в вид, исключающий пониманиеего содержания, если перехвативший не имеет сведений (ключа) для раскрытияшифра.
Шифрование может быть предварительное (шифруется текст документа)и линейное (шифруется разговор). Для шифрования информации может использоватьсяспециальная аппаратура.
Знание возможностей приведенных методов позволяет активно и комплексноприменять их при рассмотрении и использовании правовых, организационных иинженерно-технических мер защиты секретной информации./>/> Объекты защиты информации
Всоответствии с законами Российской Федерации защите подлежит информация,отнесенная к государственной тайне, конфиденциальная информация, в том числеперсональные данные, неправомерное обращение с которыми может нанести ущерб еесобственнику, владельцу, пользователю или другому лицу. Законодательноопределены и режимы защиты такой информации.
Собственниками,владельцами, пользователями (потребителя) информации могут быть государственныеи негосударственные предприятия, организации, физические лица.
Основныеобъекты защиты можно объединить в следующие группы:
· собственники,владельцы, пользователи (потребители) информации;
· информационныересурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну,иные чувствительные по отношению к случайным и несанкционированным воздействиями нарушению их безопасности информационные ресурсы, в том числе открытая(общедоступная) информация, представленные в виде документов и массивовинформации, независимо от формы и вида их представления;
· процессыобработки информации в автоматических системах – информационные технологии,регламенты и процедуры сбора, обработки, хранения и передачи информации,научно-технический персонал разработчиков и пользователей системы и ееобслуживающий персонал;
· информационнаяинфраструктура, включающая системы обработки и анализа информации, техническиеи программные средства ее обработки, передачи и отображения, в том числе каналыинформационного обмена и телекоммуникации, системы и средства защитыинформации, объекты и помещения, в которых размещены чувствительные компонентыавтоматической системы;
Оченьчасто путают саму информацию и её носитель. Такая путаница приводит кнепониманию сути проблемы и, следовательно, к невозможности её решить. Поэтомуследует чётко представлять себе, где информация, а где её материальный носитель.
Информация– вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем илииным расположением (состоянием) материального носителя, например, порядкомрасположения букв на странице или величиной намагниченности ленты.
Носителеминформации может быть любой материальный объект. И наоборот – любойматериальный объект всегда несёт на себе некую информацию (которая, однако,далеко не всегда имеет для нас значение). Например, книга как совокупностьпереплёта, бумажных листов, и типографской краски на них является типичным носителеминформации.
Чтобыотличать информацию от её носителя, надо твёрдо помнить, что информация – этосугубо нематериальная субстанция. Всё, что является материальным объектом,информацией быть не может, но только лишь её носителем. В том же примере скнигой и листы, и знаки на них – только носитель; информация же заключена впорядке расположения печатных символов на листах. Радиосигнал – тожематериальный объект, поскольку является комбинацией электрических и магнитныхполей (с другой точки зрения – фотонов), поэтому он не является информацией.Информация в данном случае – порядок чередования импульсов или иных модуляцийуказанного радиосигнала.
Материяи информация неотделимы друг от друга. Информация не может существовать сама посебе, в отрыве от материального носителя. Материя же не может не нестиинформации, поскольку всегда находится в том или ином определённом состоянии.
Теперьперейдём к более конкретному рассмотрению. Хотя любой материальный объект –носитель информации, но люди используют в качестве таковых специальные объекты,с которых информацию удобнее считывать.
Традиционноиспользуемым носителем информации является бумага с нанесёнными на ней тем илииным способом изображениями.
Посколькув наше время основным средством обработки информации является компьютер, то идля хранения информации используются в основном машинно-читаемые носители.
Вгруппе носителей и технических средств передачи и обработки информации защитеподлежат:
· Собственноносители информации в виде информационных физических полей и химических сред,сигналов, документов на бумажной, магнитной, оптической и других основах:
· Жёсткиймагнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основнойстационарный носитель информации в компьютерах. Большая ёмкость, высокаяскорость доступа. Иногда встречаются модели со съёмным диском, который можновынуть из компьютера и спрятать с сейф. Так выглядит НЖМД.
/>
HDDгабаритом 5,25 дюйма
/>
HDDгабаритом 3,5 дюйма
· Гибкиймагнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменныйноситель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа,но и стоимость тоже низкая. Основное преимущество – транспортабельность.
· Лазерныйкомпакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, ноотсутствует возможность записи информации. Запись производится на специальномоборудовании. Так выглядит CD‑привод.
/>
Внешний
/>
Внутренний
/>
Приводкомпакт-дисков обязательно помечен значком
· Перезаписываемыйлазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись(без перезаписи), в других – также ограниченное число циклов перезаписи данных.Те же характеристики, что и для обычного компакт-диска.
· DVD‑диск.Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5–20 раз). Имеютсяустройства как только для считывания, так и для записи (перезаписи) DVD.
· Сменныймагнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительнобольшей ёмкостью. Так выглядит ZIP‑диск и привод для него.
/>
НакопительZIP (внешний)
/>
СменныйZIP‑диск
· Магнитооптическийили т.н. флоптический диск. Сменный носитель большой ёмкости. Таквыглядит магнитооптический диск и привод для него.
/>
Магнитооптическийнакопитель (внутренний)
/>
Магнитооптическийдиск
· Кассетас магнитной лентой – сменный носитель для стримера (streamer) – прибора,специально предназначенного для хранения больших объёмов данных. Некоторыемодели компьютеров приспособлены для записи информации на обычные магнитофонныекассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, номедленный доступ к произвольной точке ленты. Так выглядитстример и его кассеты.
/>
Стримеры
/>
Внешнийстример
/>
Внутреннийстример/>/>Кассеты для стримера
/>
Кассетадля стримера
/>
Чистящаякассета для стримера
· Перфокарты– в настоящее время почти не используются.
· Перфолента– в настоящее время почти не используется.
· Кассеты и микросхемы ПЗУ (read-onlymemory, ROM). Характеризуютсяневозможностью или сложностью перезаписи, небольшой ёмкостью, относительновысокой скоростью доступа, а также большой устойчивостью к внешнимвоздействиям. Обычно применяются в компьютерах и других электронных устройствахспециализированного назначения, таких как игровые приставки, управляющие модулиразличных приборов, принтеры и т.д.
· Магнитныекарты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетаниямашинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска,удостоверения и т.п.
· Существуетбольшое количество специализированных носителей, применяемых в различныхмалораспространённых приборах. Например, магнитная проволока, голограмма.
Крометого, носителем информации является оперативная память компьютера, ОЗУ (RAM),но она не пригодна для долговременного хранения информации, поскольку данные вней не сохраняются при отключении питания. Так выглядят модули оперативнойпамяти.
/>
МодульпамятиSIMM
(standart inline memory module)
/>
Модульпамяти DIMM
· Средстваэлектронно-вычислительной техники (ЭВТ).
· Средствасвязи (ТЛФ, ТЛГ, ГГС, телефаксы, телетайпы).
· Средствапреобразования речевой информации (средства звукозаписи, звукоусиления,звуковоспроизведения, звукового сопровождения).
· Средствавизуального отображения (дисплеи, средства внутреннего телевидения).
· Средстваизготовления и размножения документов (принтеры, ксероксы, плоттеры и т.д.).
· Вспомогательныетехнические средства (средства, не обрабатывающие защищаемую информацию, норазмещенные в помещениях, где она обрабатывается).
· Помещения,выделенные для размещения объектов защиты.
· Дляобъектов органов управления, военных и промышленных объектов защите подлежитинформация:
· оместоположении объекта;
· опредназначении, профиле деятельности, структуре объекта и режиме егофункционирования;
· циркулирующаяв технических средствах, используемых на объекте;
· оразрабатываемых (производимых, испытываемых) или эксплуатируемых образцахвооружения, военной техники или производствах и технологиях;
· онаучно-исследовательских и опытно-конструкторских работах.
/>/>Сопоставлениеметодов защиты информации и объектов защиты
Хорошаязащита информации обходится дорого. Плохая же защита никому не нужна, ибоналичие в ней лишь одной «дырки» означает полную бесполезность всей защиты вцелом (принцип сплошной защиты). Поэтому прежде чем решать вопрос о защитеинформации, следует определить, стоит ли она того. Способен ли возможный ущербот разглашения или потери информации превысить затраты на её защиту? С этой жецелью надо максимально сузить круг защищаемой информации, чтобы не тратитьлишних средств и времени.
Прежде чемзащищать информацию, нелишне определить перечень вероятных угроз, поскольку отвсего на свете вы всё равно не защититесь. Возможен вариант, когда вам надообезопасить данные от несанкционированного доступа извне, например, изИнтернета. Возможно, однако, что чужих хакеров ваши данные вовсе не интересуют,и вам следует защищать информацию только от собственных сотрудников. Возможнотакже, что похищение или разглашение вашей информации никому не навредит, новот её подмена может нанести вам урон. Во всех трёх случаях методы защиты будутсильно различаться.
Припланировании схемы защиты информации большое значение имеет не только еёобъективная надёжность, но и отношение к защите других людей. В некоторыхслучаях достаточно, чтобы вы сами были уверены в достаточной надёжности защиты.А в других – это нужно доказать иным людям (например, заказчикам), часто неразбирающимся в соответствующих вопросах. Здесь встаёт вопрос сертификации.
Абсолютнонадёжной защиты не существует. Это следует помнить всем, кто организует защиту информации.Любую защиту можно преодолеть. Но лишь «в принципе». Это может потребоватьтаких затрат сил, средств или времени, что добытая информация их не окупит.Поэтому практически надёжной признаётся такая защита, преодоление которойпотребует от противника затрат, значительно превышающих ценность информации.
Важноразличать два вида защиты информации – защита объектов и защита непосредственноинформации, безотносительно к тому, где она находится.
Первыйвид включает несколько методов защиты объектов информации (здесь мы будемрассматривать только компьютерные носители), их можно подразделить напрограммные, аппаратные и комбинированные. Метод же защиты самой информациитолько один – использование криптографии, то есть, шифровка данных.
Наиболеераспространённые методы защиты объектов:
· Длявсех сменных носителей – физическая их защита, например, запереть в сейф.
· Длявсех встроенных в компьютер носителей – воспрепятствование включению питаниякомпьютера. Конечно, этот метод действенен для ограниченного числа случаев.
· Программноевоспрепятствование доступу к конкретному носителю или к компьютеру целиков.Например, пароль на CMOS.
· Программно-аппаратныйметод с использованием электронных ключей, которые чаще всего вставляются в COM‑портПК. Не получая нужный ответ от ключа, программа, для которой он предназначен,не будет работать или давать пользователю доступ к своим данным.
· Специальнооборудованное (в идеале – специально построенное) помещение для размещенияавтоматических систем и организационных структур.
· Организацияпропускного контроля в помещения, в которых размещены автоматические системы.
Наиболеепростой и надежный способ защиты информации от несанкционированного доступа(НСД) – режим автономного использования ЭВМ одним пользователем, работающим в отдельном помещении при отсутствии посторонних лиц.В этом случае роль замкнутого контура защиты выполняют помещение, его стены, потолок,пол и окна. Если стены, потолок, пол и дверь достаточно прочны, пол не имеетлюков, сообщающихся с другими помещениями, окна и дверь оборудованы охранной сигнализацией,то прочность защиты будет определяться техническими характеристиками охранной сигнализациипри отсутствии пользователя (ЭВМ не включена) в нерабочее время.
В рабочеевремя, когда ЭВМ включена, возможна утечка информации за счет ее побочногоэлектромагнитного излучения и наводок. Для устранения такой опасности, если этонеобходимо, проводятся соответствующие технические мероприятия по уменьшениюили зашумлению сигнала. Кроме того, дверь помещениядля исключения доступа посторонних лиц должна быть оборудована механическим илиэлектромеханическим замком. В некоторых случаях, когда в помещении нет охраннойсигнализации, на период длительного отсутствия пользователя ЭВМ полезно помещатьв сейф, по крайней мере, хотя бы ее системный блок и носители информации. Применение внекоторых ЭВМ в системе ввода-вывода BIOS встроенного аппаратногопароля, блокирующего загрузку и работу ЭВМ, к сожалению, не спасает положения, так какданная аппаратная часть при отсутствии на корпусе системного блока замка иотсутствии хозяина может быть свободно заменена на другую – такую же (так как узлы унифицированы), но только с известнымзначением пароля.Обычный механический замок, блокирующий включение и загрузку ЭВМ, более эффективная в этом случае мера.
В последнеевремя для защиты от хищения специалисты рекомендуют механическизакреплять ЭВМ к столу пользователя. Однакопри этомследует помнить, что при отсутствии охраннойсигнализации, обеспечивающей постоянный контроль доступа в помещение или к сейфу прочность замков и креплений должна быть такова,чтобы ожидаемое суммарное время, необходимоенарушителю для преодоления такого рода препятствийили обхода их, превышало время отсутствия пользователя ЭВМ.Если это сделать не удается, то охранная сигнализация обязательна.Тем самым будет соблюдаться основной принцип срабатывания защиты и следовательно, будут выполняться требованияпо ее эффективности.
Перечисленныевыше меры защиты информации ограниченного доступа отнарушителя-непрофессионалав принципе можно считать достаточными при работе савтономной ЭВМ одного пользователя. На практике же человек не может постояннобыть изолированным от общества, в том числе и на работе. Его посещают друзья,знакомые, сослуживцы обращаются по тем или иным вопросам. Отдельное помещение для его работы не всегда может бытьпредоставлено. По рассеянности или озабоченный личными проблемами пользовательможет компьютер включить, а ключ оставить в замке; на столе забыть дискету, асам на короткое время покинуть помещение, что создает предпосылки длянесанкционированного доступа к информации лиц, не допущенных к ней, но имеющихдоступ в помещение. Распространенные в настоящее время развлекательныепрограммы могут послужить средством для занесения программных вирусов в ЭВМ.Использование посторонних дискет для оказания дружеской услуги может обойтисьочень дорого. Помимо заражения ЭВМ вирусом можно перепутать дискеты и отдатьслучайно другу дискету с секретной информацией.
Всеперечисленные средства и им подобные должны с различной степенью безопасностиобеспечивать только санкционированный доступ к информации и программам состороны клавиатуры, средств загрузки и внутреннего монтажа компьютера.Возможные каналы НСД к информации ЭВМ и средства защиты, рекомендуемые для ихперекрытия приведены в Приложении.
Защита от НСДсо стороны клавиатуры усложняется тем, что современные компьютеры по своемуназначению обладают широким спектром функциональных возможностей, которые стечением времени продолжают развиваться. Более того, иногда кажется, чтотребования по защите вступают в противоречие с основной задачей компьютера: содной стороны, ЭВМ – серийное устройство массового применения, с другой – индивидуального.
Если в каждыйиз выпускаемых персональных компьютеров, например, установить назаводе-изготовителе электронный замок, открываемыйперед началом работы пользователем с помощью ключа-пароля, то возникает вопросзащиты хранения и последующей замены его ответной части в замке. Если ее можетзаменить пользователь, то это может сделать и нарушитель. Если эта частькомпьютера постоянна, то она известна изготовителям, через которых может статьизвестной и нарушителю. Однако последний вариант более предпочтителен приусловии сохранения тайны ключа фирмой-изготовителем, а также высокой стойкостиключа к подделке и расшифровке. Стойкость ключа должна быть известна ивыражаться в величине затрат времени нарушителя на выполнение этой работы, таккак по истечении этого времени необходима замена его на новый, если защищаемыйкомпьютер продолжает использоваться. Но и этого условия тоже оказываетсянедостаточно. Необходимо также, чтобы ответнаячасть ключа – замок тоже не был доступен потенциальному нарушителю. Стойкость замка к замене и подделке должнабыть выше стойкости ключа и равняться времениэксплуатации компьютера при обязательном условии невозможности его съема изамены нарушителем. В роли «замка» могут выступатьспециальные программные фрагменты, вкладываемыепользователем ЭВМ в свои программы и взаимодействующиепо известному только пользователю алгоритму с электронным ключом. Анализ потенциальных угроз безопасностиинформации и возможных каналов НСД к ней в ЭВМ показывает их принципиальноесходство с аналогичными угрозами и каналами. Следовательно,методы защиты должны быть такими же, а технические средства защиты должныстроиться с учетом их сопряжения с ее аппа/>ратными ипрограммными средствами. В целях перекрытия возможных каналов НСД к информации ЭВМ, кроме упомянутых, могут бытьприменены и другие методы и средства защиты.
Прииспользовании ЭВМ в многопользовательском режиме не/>обходимоприменить в ней программу контроля и разграничения доступа. Существует многоподобных программ, которые часто разрабатывают сами пользователи. Однако специфика работы программного обеспечения ЭВМтакова что с помощью ее клавиатуры достаточно квалифицированныйпрограммист-нарушитель может защиту такого рода легко обойти. Поэтому эта мераэффективна только для защиты от неквалифицированного нарушителя. Для защиты отнарушителя-профессионала поможет комплекс программно-аппаратных средств.Например, специальный электронный ключ, вставляемый в свободный слот ПК, испециальные программные фрагменты, закладываемые в прикладные программы ПК, которыевзаимодействуют с электронным ключом по известному только пользователюалгоритму. При отсутствии ключа эти программы не работают. Однако такой ключнеудобен в обращении, так как каждый раз приходится вскрывать системный блокПК. В связи с этим его переменную часть – пароль – выводят на отдельноеустройство, которое и становится собственно ключом, а считывающее устройствоустанавливается на лицевую панель системного блока или выполняется в видевыносного отдельного устройства. Таким способом можно заблокировать и загрузкуПК, и программу контроля и разграничения доступа.
Определеннуюпроблему представляет собой защита от НСД остатков информации, которые могутпрочитать при наложении на старую запись новой информации на одном и том женосителе, а также при отказах аппаратуры.
Отходыносителей скапливаются в мусорной корзине. Поэтому во избежание утечкиинформации должны быть предусмотрены средства механического уничтоженияотработанных носителей с остатками информации.
Отдельнуюпроблему в защите ПО и информации составляет проблема защиты от программныхвирусов.
Если ЭВМработает в автономном режиме, проникновение вируса возможно только со сторонывнешних носителей ПО и информации. Если ЭВМ является элементом вычислительнойсети (или АСУ), то проникновение вируса возможно также и со стороны каналовсвязи. Поскольку этот вопрос представляет отдельную проблему, он рассмотренниже в специальном разделе.
Еще одинуровень защиты от неквалифицированного нарушителя может быть обеспечен путемиспользованиякомпрессии данных.Этот метод выгоден тем, что:
• экономит пространство при хранении файлов на диске;
• уменьшает время шифрации-дешифрации;
• затрудняет незаконное расшифрованиефайла;
• уменьшает время передачи в процессе передачи данных.
Хотя этотметод дает относительно низкий уровень безопасности, егорекомендуется применять перед шифрацией.
Программныесредства, работающие с дисками на физическом уровне, предоставляют в некоторыхслучаях возможность обхода программных средств защиты.
Кроме того,существуют программы, позволяющие создавать ПО, способное производить чтениеили запись по абсолютным адресам, а также программ, обеспечивающих просмотр иотладку программных продуктов в режиме дисассемблера, просмотр и редактированиеоперативной памяти ЭВМ.
Однаконаличие таких программных средств служит для другихцелей – для восстановления испорченной вирусами или неосторожными действиямипользователей информации. Следовательно, их применение должно быть строгорегламентировано и доступно только администратору системы. В последнее времяпоявились методы защиты от анализа программ.
Для созданиязамкнутой оболочки защиты информации в ЭВМ и объединения перечисленных средствв одну систему необходимы соответствующие средствуправления и контроля. В зависимости от режима использования ЭВМ – автономногоили сетевого (в составе сети – локальной, региональной или глобальной) – онибудут носить различный характер.
В автономномрежиме могут быть два варианта управления: однопользовательский и многопользовательский.В первом случае пользователь сам выполняет функции управления и контроля инесет ответственность за безопасность своей и доверяемой ему информации.
Вмногопользовательском режиме перечисленные функции рекомендуется поручитьспециальному должностному лицу. Им может быть один из пользователей илируководитель работ. При этом, однако, ключи шифрования и информация, закрытаяими другим пользователем, ему могут быть недоступны до момента передачируководителю работ.
Следуетотметить, что в автономном режиме функции контроля ослаблены из-за отсутствия механизмабыстрого обнаружения НСД, так как это приходится осуществлять организационнымимерами по инициативе человека. Следовательно, многопользовательский режимнежелателен с позиций безопасности и нерекомендуется для обработки важной информации.
В сетевомварианте можно автоматизировать процесс контроля и все перечисленные функциивыполнять со специального рабочего места службы безопасности.
В сетевомварианте должностное лицо – пользователь может передавать сообщения и документыдругому пользователю по каналам связи, и тогда возникает необходимостьвыполнять, в интересах безопасности передаваемой информации, дополнительныефункции по обеспечению абонентского шифрования и цифровой подписи сообщений.
/>/>Заключение
В последнеестолетие появилось много таких отраслей производства, которые почти на 100%состоят из одной информации, например, дизайн, создание программногообеспечения, реклама и другие.
Столь же яркодемонстрирует повышение роли информации в производственных процессах появлениев XX веке такого занятия, как промышленный шпионаж. Не материальные ценности, ачистая информация становится объектом похищения.
В прошлыевека человек использовал орудия труда и машины для обработки материальныхобъектов, а информацию о процессе производства держал в голове. В XX столетиипоявились машины для обработки информации – компьютеры, роль которых всеповышается.
С повышениемзначимости и ценности информации соответственно растёт и важность её защиты.
С однойстороны, информация стоит денег. Значит, утечка или утрата информации повлечётматериальный ущерб. С другой стороны, информация – это управление.Несанкционированное вмешательство в управление может привести ккатастрофическим последствиям в объекте управления – производстве, транспорте,военном деле. Например, современная военная наука утверждает, что полноелишение средств связи сводит боеспособность армии до нуля.
Поэтомупрежде чем защищать ту или иную информацию, следует подумать, а имеет ли этосмысл. Прежде всего – с экономической точки зрения.
Припостроении защиты нужно руководствоваться следующим принципом. На защитуинформации можно потратить средств не свыше необходимого. Необходимый жеуровень определяется тем, чтобы затраты вероятного противника на преодолениезащиты были выше ценности этой информации с точки зрения этого противника.
Основныевыводы о способах использования рассмотренных выше средств, методов имероприятий защиты, сводится к следующему:
1.Наибольший эффект достигается тогда, когда все используемые средства, методы имероприятия объединяются в единый, целостный механизм защиты информации.
2.Механизм защиты должен проектироваться параллельно с созданием систем обработкиданных, начиная с момента выработки общего замысла построения системы.
3.Функционирование механизма защиты должно планироваться и обеспечиваться нарядус планированием и обеспечением основных процессов автоматизированной обработкиинформации.
4.Необходимо осуществлять постоянный контроль функционирования механизма защиты.
Целькурсовой работы достигнута.
Приложение
Возможныеканалы несанкционированного доступа к информации ЭВМ и средства защиты, рекомендуемыедля их перекрытия
№ п/п
Возможные каналы НСД
Средства защиты
1. Дисплей, принтер, плоттер, графопостроитель Отдельное помещение с контролируемым доступом
2. Клавиатура, сканер, манипулятор «мышь»
То же
Специальный электронный ключ в сочетании с фрагментами ПО
Программа контроля и разграничения доступа (пароли)
Средства защиты от отладочных программ
Блокировка механическим замком включения электропитания
Блокировка механическим замком механизма загрузки ПО
Средства контроля целостности ПО
3. Дисковод
Отдельное помещение с контролируемым доступом
Применение ЭВМ без дисковода
Установка механической крышки с механическим замком
Средства защиты от вирусов
Средства верификации НГМД
Средства защиты от несанкционированной загрузки ПО
Средства контроля целостности ПО
4. ГМД, Стриммер
Отдельное помещение с контролируемым доступом
Учет и регистрация
Маркировка цветом
Хранение в сейфах
Стирание остатков информации
Уничтожение остатков информации
Компрессия данных
Шифрование данных
5. ЖМД
Отдельное помещение с контролируемым доступом
Металлический шкаф с замком
Блокировка снятия кожуха системного блока механическим замком
Средства контроля целостности ПО
Стирание остаточной информации
Уничтожение остаточной информации
Шифрование данных
6. Внутренний монтаж
Отдельное помещение с контролируемым доступом
Блокировка снятия кожуха системного блока механическим замком
7. ПЭМИН Средства уменьшения и зашумления сигналов и установление границ контролируемой зоны
8. Отходы носителей с информацией
Отдельное помещение с контролируемым доступом
Средства уничтожения отходов носителей
9. Документы
Отдельное помещение с контролируемым доступом
Учет и регистрация документов
Сейф
/>Использованные источники
1.СПС «КонсультантПлюс». Федеральныйзакон «Об информации, информатизации и защите информации».
2.СПС «КонсультантПлюс». Доктринаинформационной безопасности Российской Федерации (утверждена ПрезидентомРоссийской Федерации В.В. Путиным и принята Советом безопасности Российской Федерации12 сентября 2000 г.).
3.СПС «КонсультантПлюс».Федеральный закон «О государственной тайне».
4.Ю.Н. Максимов, В.Г. Сонников,В.Г. Петров и др. Технические методы и средства защиты информации. – СПб.: ООО «ИздательствоПолигон», 2000. – 320 с.
5.Дж. Макнамара. Секретыкомпьютерного шпионажа: Тактика и контрмеры. – М.: БИНОМ. Лаборатория знаний,2004. – 536 с.
Веб-документы:
6.Федотов Н.Н. Защита информации. Учебный курс (HTML‑версия). www.college.ru/UDP/texts/
(22 мая 2007 г.).
7.Crion (автор). Как самому написатьконцепцию информационной безопасности. linuxportal.ru/entry.php/P2734_0_3_0/ (22 мая 2007 г.).
8.Vlad (автор). Средствазащиты данных (Дата поступления 23.11.2006). http://referats.protoplex.ru/referats_show/3902.html(29 мая 2007 г.).