.RU

1. 1 Характеристика информации


Лекция 1

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

И БЕЗОПАСНОСТЬ ИНФОРМАЦИИ


1.1 Характеристика информации

Как известно, информация многогранное понятие и трактуется как свойство материи, мера организации системы. Мы под информацией будем понимать традиционное понятие, а именно сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Эти сведения характеризуют свойства объектов, их состояние и другие характеристики.

Говоря об измерении информации, выделяют ее количество и объем. Объем данных в сообщении измеряется количеством символов принятого алфавита. Количество информации рассматривают как разность неопределенности (энтропии) системы до получения сообщения и после его получения.

Пусть по каналу связи передается «-разрядное сообщение, использующее различных символов (объем информации равен ). Тогда число возможных комбинаций сообщений . При равновероятном появлении этих комбинаций количество информации, полученное получателем при условии, что канал связи идеальный и в нем отсутствуют помехи и искажения сообщения, равно (формула Хартли)

.

(1)

Если в качестве основания логарифма выбрать , то . В этом случае количество информации и объем данных совпадают и равны . При единицей количества информации является бит.

При не равновероятном появлении комбинаций сообщений количество информации меньше ее объема. Степень информированности сообщения определяют отношением количества информации к объему данных.

При описании «компьютерной» информации «разряд» и «бит» считают синонимами, хотя бит – это двоичная единица количества информации, численно равная количеству информации в испытании с двумя равновероятными и взаимоисключающими исходами в случае, когда логарифмы берутся по основанию 2, а разряд – это мера объема данных.

Информационные процессы – это процессы сбора, обработки, накопления, хранения, поиска и распространения информации для различных целей, включая поддержку принятия управленческих решений.

Принято считать, что информация не материальна, но имеет материальные носители. Носителями информации являются: СМИ (газеты, журналы, реклама и т. д.); средства связи; документы; системы обработки данных. Предполагают, что люди являются не но­сителями, а источниками или преемниками информации.


^ 1.2 Документированная информация (документ)

Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Процесс создания и оформления документов называют документированием. В процессе документирования используются определенные реквизиты (элементы документа), являющиеся средством идентификации документа и его оформления, придания юридической силы. Многие реквизиты выступают в качестве поисковых признаков при внесении информации в информационно-поисковые системы документооборота. Официальный документ – документ, созданный юридическими или физическими лицами, оформленный и удостоверенный в установленном порядке.

Классификацию управленческих документов содержит «Общероссийский классификатор управленческой документации» (ОКУД), ОК 011-93. В зависимости от функций управления выделяют специальные системы документации: организационно-распределительную, отчетно-статистическую, бухгалтерскую, по труду и т. д. Могут быть и другие системы документации.

Документооборот – движение документов в организации с момента их создания или получения до завершения исполнения или отправления. Выделяют четыре основных стадии жизненного цикла документа: создание, обращение, хранение, уничтожение.

Делопроизводство (документационное обеспечение управления) – отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами. В настоящее время термин делопроизводство связывают с неэлектронными документами, а документационное обеспечение управления (ДОУ) – с электронными.

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме.

ДОУ – деятельность по созданию, обработке, хранению и использованию управленческих документов в целях принятия управленческих решений и контроля за их исполнением на основе использования соответствующих информационных технологий.


^ 1.3 Информационная система как объект защиты

Информационная система – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система содержит различные обеспечения, например, аппаратное (техническое), программное, информационное, организационное, а также соответствующий персонал. Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банк; данных, других информационных системах).

Информатика, как наука, изучает свойства, структуру и функции информационных систем, основы их проектирования, создания, использования и оценки, а также информационные процессы в них происходящие.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Когда говорят о доступе к информации, то имеют в виду возможность ознакомления с ней, а также возможность ее обработки в частности, копирование, модификация или уничтожение.

Как мы уже отмечали, под информационной системой (ИС понимают систему, организующую, хранящую и преобразующую информацию. В этой системе основным предметом и продуктом труда является информация. В настоящий момент ИС, как правило, являются автоматизированными.

Вычислительная (компьютерная) система – совокупность одного и более компьютеров или процессоров, программного обеспечения и периферийного оборудования, организованная для совместного выполнения информационно-вычислительных процессов.

Информационную систему, вычислительную систему и компьютерную систему с позиций защиты информации мы будем рассматривать как синонимы (предполагаем, что ИС является автоматизированной).

ИС иногда разделяют на две основные группы:

а) системы информационного обеспечения (входят в состав других автоматизированных систем);

б) системы, имеющие самостоятельное целевое назначение область применения, например, информационно-поисковые системы.

ИС могут быть локальными и распределенными, поэтому компонентами ИС являются локальные сети, каналы и средства связи, узлы коммутации, помещения для серверов и т. д. Пользователями ИС являются люди и процессы, выполняемые на различных ее ресурсах.


^ 1.4 Безопасность информации

Под безопасностью информации понимают свойство передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее степень ее защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз. При такой трактовке понятия «защита информации» и «обеспечение безопасности информации» являются синонимами.

Объектами защиты в этом случае является информация, представленная в любой материальной форме, и средства ее сбора, обработки, передачи и хранения.

Определению информации, как сведений разного назначения, представленных в любой форме и являющихся объектами различных процессов, соответствует узкая трактовка понятия «защита информации». В этом случае под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности, а именно ее конфиденциальности, целостности и доступности в процессе сбора, передачи, обработки и хранения (рис. 1).




Рисунок 1 – Аспекты безопасности информации




Под защитой информации в более широком смысле понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Под системой защиты автоматизированной информационной системы понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации, а именно ее конфиденциальность, целостность и доступность, в соответствии с принятой политикой безопасности.

Надо различать: безопасность информации, информационную безопасность, безопасность автоматизированных информационных систем. Отличие заключается в объекте защиты.

В Законе РФ «О безопасности» безопасность трактуется как «состояние защищенности жизненно важных интересов личности, общества и государства от внешних и внутренних угроз».

Интересы личности определены как полное обеспечение конституционных прав и свобод, личной безопасности, повышения качества и уровня жизни, физического, духовного и интеллектуального развития.

Интересы общества состоят в упрочении демократии, создании правового, социального государства, достижении и поддержании общественного согласия.

Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности, в политической, экономической и социальной стабильности, в обеспечении законности и правопорядка, в развитии международного сотрудничества.

Таким образом, национальная безопасность включает в себя три составляющие: государственную безопасность, общественную безопасность и безопасность человека или личную безопасность.

Отметим, что в нормативных документах Гостехкомиссии России безопасность информации определяется следующим образом – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.


^ 1.5 Информационная безопасность

В соответствии с Концепцией национальной безопасности под информационной безопасностью понимается состояние защищенности национальных интересов страны (личности, общества и государства) в информационной сфере от внутренних и внешних угроз.

Информационная безопасность является компонентой национальной безопасности наряду с политической, военной, экономической, социальной и экологической компонентами.

К объектам информационной безопасности относятся:

  1. все виды информационных ресурсов;

  2. права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности;

  3. система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного назначения, библиотеки, архивы, базы данных, процедуры сбора, обработки, хранения и передачи данных;

  4. информационная инфраструктура, включающая телекоммуникации, механизмы функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;

  5. системы формирования общественного сознания (моральные и нравственные ценности, мировоззрение, социально допустимые стереотипы поведения людей и т. д.), базирующиеся на средствах массовой информации и пропаганды.

Система информационной безопасности представляет совокупность законодательных актов и нормативно-правовых документов (правовое обеспечение), органов государственной власти и управления, структур по безопасности в организациях и организационных мероприятий в области защиты информации (организационное обеспечение), научных разработок, математических методов и программно-технических средств (научно-техническое обеспечение) (рис. 2).

Таким образом, понятие «информационная безопасность» характеризует степень защищенности человека, общества, государства, природы в информационном плане и включает в себя более узкое понятие «безопасность информации», относящееся к таким объектам защиты, как собственно информация, информационные системы и технологии.

В последнее время в учебных курсах информационная безопасность трактуется в более узком смысле и является синонимом безопасности информации, связанной с автоматизированной ее обработкой в соответствии с технологическим процессом: сбор, передача, обработка и т. д.

В этом случае под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе пользователям и обладателям информации и поддерживающей инфраструктуры. В этом определении важно подчеркнуть, что речь идет не просто об ущербе, а о неприемлемом ущербе.

Следует отметить, что объектом информационной безопасности может быть предприятие (организация), а, именно, сведения о его состоянии, структуре, результатах деятельности, включая персонал, технологии, материальные, финансовые и информационные ресурсы.

Независимо от размеров организации и специфики ее информационной системы работы по обеспечению режима информационной безопасности включают следующие этапы:

    1. определение политики информационной безопасности;

    2. определение предметной области для системы управления информационной безопасностью и конкретизация целей ее создания;

    3. оценка рисков и их управление;

    4. выбор мероприятий, средств и методов, обеспечивающих режим информационной безопасности;

    5. аудит системы управления информационной безопасности.


^ 1.6 Безопасность информации с позиции ее защиты

Рассматривая безопасность информации с позиции ее защиты, необходимо ответить на три вопроса: что защищать, от чего защищать и как защищать. Ответим на эти вопросы применительно к автоматизированным информационным системам.

С вопросом «Что защищать?» связано понятие объекта защиты. Под объектом защиты будем понимать комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.

Выделяют принципы обеспечения безопасности информационных систем и сетей. Например:

а) информированность – участники должны сознавать необходимость безопасности информационных систем и сетей и то, что можно сделать для усиления безопасности;

б) ответственность – все участники ответственны за безопасность;

в) реагирование – участники должны действовать одновременно и совместно для защиты, обнаружения и реакции на инциденты безопасности;

г) этика – участники должны соблюдать законные интересы друг друга;

д) оценка риска – участники должны проводить оценку риска;

е) управление безопасностью – участники должны использовать в полной мере механизмы обеспечения безопасности и комплексный подход к управлению безопасности.

Говоря о прикладном аспекте защиты объекта, выделяют такие направления:

      1. безопасность операционных систем, процессов, процедур и программ обработки информации;

      2. безопасность вычислительных сетей и каналов связи;

      3. безопасность баз данных и других объектов ИС;

      4. безопасность инфраструктуры и т. д.

Вопрос «От чего защищать?» связан с понятием «угроза». Угроза – (потенциальная возможность неправомерного преднамеренного или случайного воздействия на объект защиты, приводящего к потере, искажению или разглашению информации. При этом необходимо определять источники этих угроз и способы их реализации.




^ 1.7 Необходимость обеспечения безопасности информационных систем

Необходимость защиты информационных систем обосновывается несколькими основными причинами.

        1. Современные компьютеры за последние годы приобрели гигантскую вычислительную мощь, но, одновременно с этим, стали гораздо проще в эксплуатации. Это означает, что пользоваться ими стало намного легче, поэтому все большее количество новых, как правило, неквалифицированных людей, получают доступ к компьютерам, что приводит к снижению средней квалификации пользователей. Эта тенденция существенно облегчает задачу нарушителям.

        2. Повсеместное распространение сетевых технологий объединило отдельные машины в локальные сети, совместно использующие общие ресурсы, а применение технологий клиент-сервер и кластеризации преобразовало такие сети в распределенные вычислительные среды. Безопасность сети определяется защищенностью всех входящих в нее компьютеров и сетевого оборудования. Злоумышленнику достаточно нарушить работу только одного компонента, чтобы скомпрометировать всю сеть.

        3. Современные телекоммуникационные технологии объединили локальные компьютерные сети в глобальную информационную среду. Это привело к появлению такого уникального явления, как Интернет. Именно развитие Интернета вызвало всплеск интереса к проблеме информационной безопасности и поставило вопрос об обязательном наличии средств защиты у сетей и систем, подключенных к Интернету, независимо от характера обрабатываемой в них информации.

        4. Прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения. Как показывает практика, большинство распространенных современных программных средств, в первую очередь операционных систем, не отвечает даже минимальным требованиям безопасности, хотя их разработчики в последнее время и предпринимают определенные действия в этом направлении.

        5. Развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов. Это увеличивает возможности злоумышленников по созданию средств внедрения в чужие системы и затрудняет задачу защиты подобных систем, т. к. наличие таких «вложенных» систем требует и реализации защиты для каждого уровня.

        6. Необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовала разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты. В современных условиях чрезвычайно важным является стандартизация не только требований безопасности, но и обоснование их применения, а также методов подтверждения адекватности реализованных средств защиты и корректности самой реализации.

Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных информационных систем, предназначенных для обработки важной информации, стоят следующие задачи, требующие немедленного и эффективного решения.

1. Обеспечение безопасности новых типов информационных ресурсов. Поскольку компьютерные системы теперь напрямую интегрированы в информационные структуры современного общества, средства защиты должны учитывать современные формы представления информации (гипертекст, мультимедиа и т. д.). Это означает, что системы защиты должны обеспечивать безопасность на уровне информационных ресурсов, а не отдельных документов, файлов или сообщений.

          1. Организация доверенного взаимодействия сторон (взаимной идентификации /аутентификации) в информационном пространстве. Развитие локальных сетей и Интернета диктует необходимость осуществления эффективной защиты при удаленном доступе к информации, а также взаимодействии пользователей через общедоступные сети. Причем требуется решить эту задачу в глобальном масштабе, несмотря на то, что участвующие стороны могут находиться в разных частях планеты, функционировать на различных аппаратных платформах и в разных операционных системах.

          2. Защита от средств нападения. Опыт эксплуатации существующих систем показал, что сегодня от защиты требуются совершенно новые функции, а именно, механизмы, обеспечивающие безопасность системы в условиях возможного взаимодействия с ней, или появления внутри нее программ, осуществляющих деструктивные действия – компьютерных вирусов, автоматизированных средств взлома, агрессивных агентов. На первый взгляд, кажется, что эта проблема решается средствами разграничения доступа, однако это не совсем так, что подтверждается известными случаями распространения компьютерных вирусов в «защищенных» системах.



Лекция 2

ЗАЩИЩЕНН^ ЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ


2.1 Понятие «защищенная система»

Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (конфиденциальность, целостность и доступность для всех авторизованных пользователей) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз.

Цель защиты систем обработки информации – противодействие угрозам безопасности. Следовательно, безопасная или защищенная система – это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Защищенная система обработки информации обладает следующими тремя свойствами:

1) осуществляет автоматизацию некоторого процесса обработки конфиденциальной информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации;

            1. успешно противостоит угрозам безопасности, действующим в определенной среде;

            2. соответствует требованиям и критериям стандартов информационной безопасности.

Учитывая сказанное, проблему обеспечения безопасности информационных систем можно рассматривать с учетом двух компо­нент: автоматизации обработки информации и общей безопасности. Это дает возможность объединить задачи автоматизации обработки конфиденциальной информации и разработки средств защиты в одну проблему создания защищенных информационных систем.

Для того, чтобы приступить к дальнейшему изложению материала, необходимо уточнить некоторые термины и определения, являющиеся базовыми в безопасности информационных систем. Эти определения базируются на руководящих документах Гостехкомиссии России.

Политика безопасности (Security Policy). Совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.

Модель безопасности (Security Model). Формальное представление политики безопасности.

Субъект доступа (Access subject). Лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Объект доступа (Access object). Единица информационного ресурса автоматизированной системы, доступ к которой регламентируются правилами разграничения доступа.

Дискреционное (произвольное) управление доступом (Discretionary Access Control). Управление доступом, осуществляемое на основании заданного администратором множества разрешенных отношений доступа (например, в виде троек ). Субъект с определенным правом доступа может передать это право любому другому субъекту.

Мандатное (нормативное) управление доступом (Mandatory Access Control). Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

^ Ядро безопасности – Trusted Computing Base (ТСВ). Совокупность аппаратных, программных и специальных компонент ИС, реализующих функции защиты и обеспечения безопасности.

Идентификация (Identification). Процесс распознавания субъектов и объектов путем присвоения им уникальных меток (идентификаторов) и сравнения их с перечнем присвоенных идентификаторов.

Аутентификация (Authentication). Проверка подлинности идентификаторов с помощью различных методов.

Для людей выделяют два способа аутентификации: атрибутивный и биометрический.

При атрибутивном способе человеку выдается либо пароль, либо уникальный предмет: пропуск, жетон, пластиковая карточка. Карточка бывает магнитной, инфракрасной, штриховой или полупроводниковой. Наименее защищенной является магнитная карта (имеется магнитный слой с информацией и эта информация считывается специальным устройством). Наиболее защищенная полупроводниковая карта (смарт-карта), т. к. она имеет процессор, память и средства защиты. Имеются и бесконтактные карты с антенной для передачи информации и энергонезависимой памятью, где хранится код (пароль).

При биометрической аутентификации используют свойства папиллярных узоров пальцев, узоров сетчатки глаз, голоса и другие особенности человека.

Авторизация (Authorization). Определение полномочий, устанавливаемых администратором системы для конкретных лиц, позволяющих последним использовать процедуры или систему в целом. После того как пользователь аутентифицирован, он может использовать эти полномочия.


^ 2.2 Модель безопасности информационных систем

Любая информация в информационной системе представляется словом в некотором языке, где под языком понимается множество слов, связанных с некоторым алфавитом.

Объект – это произвольное конечное множество слов языка описания информации.

Субъект – это объект, описывающий преобразование, которое выполняется в информационной системе. Для выполнения преобразования информации требуется время, поэтому каждое преобразование может выполняться или храниться. В первом случае описание преобразования взаимодействует с другими ресурсами ИС.

Во втором случае, как правило, речь идет о хранении описания преобразования в некотором файле.

Субъект для выполнения преобразования использует информацию, содержащуюся в объектах ИС, т. е. осуществляет к ним доступ. Основными видами доступа являются: доступ субъекта к объекту на чтение; доступ субъекта к объекту на запись, включая уничтожение информации; доступ субъекта к объекту на активизацию, при этом инициируется выполнение (производится активизация) в ИС преобразование информации, описанного в объекте.

В каждом состоянии ИС на множестве субъектов можно ввести бинарное отношение активизации, если субъект , выполняя описанное в нем преобразование информации, инициирует выполнение преобразования информации, описанного в субъекте .

Средством формализации может быть ориентированный граф активизации

.

(2)

где – вершины графа (множество субъектов), – ребра графа, соединяющие субъекты и связанные бинарным отношением активизации.

Граф активизации представляет собой множество деревьев, где под деревом понимается граф, если:

              1. в графе не содержатся циклы;

              2. существует единственная вершина (корень дерева), в которую не входит ни одно ребро;

              3. из корня в любую другую вершину графа существует единственный путь;

              4. в любую вершину, кроме корня, входит только одно ребро.

Тогда пользователи – это субъекты ИС, соответствующие корням деревьев графа активизации (2).

Следует отметить, что некоторые отличия в определении субъекта в нормативных документах (лицо, процесс) и в работах по теоретическим основам безопасности (объект, описывающий преобразование, которое выполняется в информационной системе) по сути оказываются не существенными. Пользователи (лица) являются субъектами с исходящими ребрами, а процессы – это субъекты с одним входящим ребром и несколькими исходящими, включая одно ребро.

Основная аксиома теории защиты информации формулируется следующим образом: все вопросы безопасности информации описываются доступами субъектов к объектам.


^ 2.3 Нормативно-правовые основы информационной безопасности

Современная государственная политика РФ в области защиты информации сформировалась в начале 90-х годов и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Право на информацию – одно из фундаментальных неотъемлемых прав человека, что отражено в законах и актах РФ.

Информационное право определим как систему охраняемых государством социальных норм и отношений, возникающих в информационной сфере, а именно в сфере производства, потребления и преобразования информации. Объектами правового регулирования являются информационные отношения, возникающие при осуществлении информационных процессов, связанных с созданием, обработкой, хранением, распространением и потреблением информации.

При анализе состояния нормативно-методической базы управления информационной безопасностью необходимо выделить такие направления: модели безопасности, общие принципы управления информационной безопасностью, методы и механизмы безопасности информационных технологий, а также методы оценки безопасности.

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, соотнесения его со всей системой законов и правовых актов РФ.

Защита информации регулируется различными законами и законопроектами: «Об информации, информатизации и защите информации», «О государственной тайне», «О коммерческой тайне», «Об участии в международном информационном обмене», «О персональных данных».

Персональные данные (информация о гражданах) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные относятся к категории информации ограниченного доступа.

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ (сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым строго ограничен).

Конфиденциальные документы имеют грифы ограниченного доступа: конфиденциально, коммерческая тайна, для служебного пользования.

Указом Президента РФ определено содержание конфиденциальной информации:

а) личная (персональные данные);

б) судебно-следственная (сведения, составляющие тайну следствия и судопроизводства);

в) служебная (сведения, доступ к которым ограничен органами госвласти);

г) профессиональная (врачебная, нотариальная, адвокатская, тайна переписки, телефонных разговоров, почтовых и телеграфных отправлений);

д) коммерческая (сведения, связанные с производством, технологиями, финансами и другой деятельностью организации);

е) производственная.

Государственная тайна – защищаемые государством сведения об области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Защиту гостайны и персональных данных берет на себя государство, за конфиденциальную информацию отвечает собственник, включая государство.

В гражданском кодексе РФ (редакция 2001 г.) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

Существуют определенные различия между авторским правом и коммерческой информацией. Авторское право защищает форму выражения идеи, а коммерческая тайна относится непосредственно к содержанию.

Учитывает вопросы информационной безопасности Уголовный кодекс РФ (редакция 2002 г). В главе 28 «Преступления в сфере компьютерной информации», имеется три статьи:

  1. статья 272 «Неправомерный доступ к компьютерной информации»,

  2. статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ»,

  3. статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

Эти статьи позволяют ограничить посягательства злоумышленников на конфиденциальность, целостность и доступность информации.


^ 2.4 Лицензирование и сертификация как средство защиты

Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством РФ (Закон «О лицензировании отдельных видов деятельности», 2001 г).

Лицензия – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю. Перечень видов деятельности, которые необходимо лицензировать, оговариваются законом.

Основными лицензирующими органами в области защиты информации являются бывшее Федеральное агентство правительственной связи и информации (ФАПСИ) (сейчас структура ФСБ) и Гостехкомиссия России (ГТК) (сейчас входит в Федеральную службу по техническому и экспортному контролю). ФАПСИ ведала всем, что связано с криптографией, ГТК лицензировала деятельность по защите конфиденциальной информации. Эти же организации возглавляли работы по сертификации средств соответствующей направленности.

Лицензирование деятельности по технической защите конфиденциальной информации осуществляется в соответствии с постановлением Правительства РФ от 30.04.02, которое базируется на Законе «О лицензировании отдельных видов деятельности». Это постановление определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по технической защите конфиденциальной информации (лицензирование осуществляла Гостехкомиссия России).

Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом РФ «О сертификации продукции и услуг».

Сертификация – процедура, посредством которой третья сторона дает письменную гарантию, что продукция или услуга соответствует заданным требованиям. Под третьей стороной понимается лицо или орган, признанный независимым и от производителя продукции и услуг (первой стороны), и от их потребителя (второй стороны).

Обязательной сертификации подлежат информационные системы органов госвласти РФ и органов госвласти субъектов РФ, других госорганов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем.

Сертификация является процедурой и инструментом установления соответствия ИС конкретным требованиям и проводится в целях охраны прав пользователя. Сертификат дает право разработчику на распространение и обязывает его выпускать ИС не ниже качества, установленного сертификатом.


^ 2.5 Организационное обеспечение информационной безопасности

В начале 70-х годов в интересах страны потребовалось создать структуру по разработке и координации системы мер по сохранению государственной и служебной тайны. Решением Правительства в 1973 году была создана Государственная техническая комиссия СССР. В начале 1992 года на базе этой комиссии была создана Гостехкомиссия при Президенте РФ. Этой комиссии было поручено осуществлять единую техническую политику и координацию работ в области защиты информации, возглавлять Государственную систему защиты информации от внешних воздействий и от утечки информации по техническим каналам на территории РФ, осуществлять контроль эффективности принимаемых мер защиты. В настоящий момент эти функции переданы Федеральной службе по техническому и экспортному контролю.

Организационные меры обеспечения безопасности и защиты информации – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление различных угроз.

Организационные меры обеспечивают:

    1. организацию охраны, режима, работу с кадрами и докумен­тами;

    2. использование технических средств безопасности;

    3. информационно-аналитическую деятельность по выявлению различных угроз и выработки мер по обеспечению защиты информации.

При организации работы с сотрудниками, помимо подбора и расстановки кадров, необходимо их обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности и т. д.

Организация работы с документами и документированной информацией включает организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение. К конфиденциальным относятся документы, имеющие грифы ограниченного доступа: конфиденциально, коммерческая тайна, для служебного пользования.

Опираясь на государственные правовые акты и учитывая интересы своего предприятия, разрабатываются собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности. К основным таким документам относятся:

1) перечень сведений, составляющих конфиденциальную информацию;

      1. положение о сохранении конфиденциальной информации;

      2. инструкция о порядке допуска сотрудников к сведениям, составляющих конфиденциальную информацию;

      3. положение о специальном делопроизводстве и документообороте;

      4. обязательство сотрудника о сохранении конфиденциальной информации.

Специфической областью организационных мер является организация защиты компьютерных и информационных систем и сетей. Организация защиты компьютерных и информационных систем и сетей определяет порядок и схему функционирования основных подсистем, использование устройств и ресурсов, взаимоотношения пользователей, разработчиков и обслуживающего персонала между собой в соответствии с нормативно-правовыми требованиями и правилами.

По данным различных источников основными условиями, которые способствуют нарушению безопасности информации, являются следующие:

а) разглашение (излишняя болтливость сотрудников) – 32%;

      1. несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%;

в) отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%;

г) традиционный обмен производственным опытом – 12%;

д) бесконтрольное использование информационных систем – 10%;

е) наличие предпосылок возникновения среди сотрудников конфликтных ситуаций – 8%.

В связи с этим организационные меры являются важным звеном формирования и реализации комплексной системы безопасности предприятия.

^ 2.6 Функции службы информационной безопасности

Если объем сведений, составляющих коммерческую тайну, значителен, то организации необходима служба безопасности. Функции службы информационной безопасности многообразны и связаны с контролем и перекрытием каналов утечки закрытой информации, уменьшением материального и финансового ущерба организации.

Служба информационной безопасности отвечает за:

        1. разработку и издание правил, инструкций и указаний по обеспечению безопасности;

        2. внедрение программы обеспечения безопасности, включая классификацию степени секретности информации и оценку деятельности организации;

        3. разработку и сопровождение выполнения программы обучения и ознакомления с основами информационной безопасности в масштабах организации.

В структуру службы информационной безопасности, помимо администрации, входят:

а) юридическое подразделение;

б) специалисты в области обеспечения безопасности, включая экономическую разведку и промышленную контрразведку;

в) технические специалисты, умеющие применять специальную технику для защиты помещений и программно-аппаратных средств обработки информации;

г) сотрудники охраны.

В технологически развитых странах содержание служб безопасности обходится до 20% чистой прибыли в год. Практика деятельности усредненной фирмы показывает, что до 50% расходов связано с содержанием персонала, до 30% на техническое оснащение и до 20% на другие цели.

Своевременное получение достоверной информации о клиентах, предполагаемых партнерах и конкурентах, защита процессов обработки и хранения информации, позволяет окупить расходы на содержание службы безопасности.

Для небольших фирм экономически целесообразно привлекать для обеспечения безопасности специализированные организации на договорных отношениях.


Лекция 3

^ АНАЛИЗ ФОРМАЛЬНЫХ МОДЕЛЕЙ БЕЗОПАСНОСТИ

Целью создания политики безопасности информационной системы и описания ее в виде формальной модели является определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователи получат доступ к информации и смогут осуществлять с ней только санкционированные действия.

Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.

Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). Мы рассмотрим наиболее распространенные политики произвольного управления доступом, в основе которых лежат модель Харрисона-Руззо-Ульмана, фундаментальную нормативную модель безопасности Белла-ЛаПадулы, а также модель ролевой политики.




^ 3.1 Дискреционная модель Харрисона-Руззо-Ульмана

Модель безопасности Харрисона-Руззо-Ульмана, являющаяся классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

Произвольное управление доступом субъектов к объектам определяется двумя свойствами:

          1. все субъекты и объекты идентифицированы;

          2. права доступа субъектов на объекты системы определяются на основании некоторого внешнего по отношению к системе правила.

В рамках этой модели система обработки информации представляется в виде совокупности субъектов (множество ), которые осуществляют доступ к информации, и объектов (множество ), содержащих защищаемую информацию, а также конечного множества прав доступа , означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение)

матрицы M[s, о] Причем для того, чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами – .

Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав – . Текущее состояние системы в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа , описывающей текущие права доступа субъектов к объектам, – . Строки матрицы соответствуют субъектам, а столбцы – объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника.

Любая ячейка матрицы содержит набор прав субъекта к объекту , принадлежащих множеству прав доступа . Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу с помощью команд специального вида.

Применение любой элементарной операции в системе, находящейся в состоянии , влечет за собой переход в другое состояние , которое отличается от предыдущего состояния по крайней мере одним компонентом.

Критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом: для заданной системы начальное состояние является безопасным относительно права , если не существует применимой к последовательности команд, в результате которой право будет занесено в ячейку матрицы , в которой оно отсутствовало в состоянии .

Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект никогда не получит право доступа к объекту, если он не имел его изначально.

Необходимо отметить, что с точки зрения практики построения защищенных систем модель Харрисона-Руззо-Ульмана является наиболее простой в реализации и эффективной в управлении, поскольку не требует никаких сложных алгоритмов и позволяет управлять полномочиями пользователей с точностью до операции над объектом, чем и объясняется ее распространенность среди современных систем. Кроме того, предложенный в данной модели критерий безопасности является весьма сильным в практическом плане, поскольку позволяет гарантировать недоступность определенной информации для пользователей, которым изначально не выданы соответствующие полномочия.

Однако Харрисон, Руззо и Ульман доказали, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния и общего права решить, является ли данная конфигурация безопасной.

Эти условия существенно ограничивают сферу применения моде­ли, поскольку трудно представить себе реальную систему, в которой не будет происходить создания или удаления объектов и субъектов.

Кроме того, все дискреционные модели уязвимы по отношению к атаке с помощью «троянского коня», поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому, когда «троянская» программа, которую нарушитель подсунул некоторому пользователю, переносит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, то формально никакое правило дискреционной политики безопасности не нарушается, но утечка информации происходит.

Таким образом, дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распространением прав во многих современных системах, например, типизованной матрицы доступа.

Введение строгого контроля типов в дискреционную модель Харрисона-Руззо-Ульмана позволило создать алгоритм проверки ее безопасности полиномиальной сложности (классическая модель

Харрисона-Руззо-Ульмана имеет алгоритм проверки ее безопасности экспоненциальной сложности).


^ 3.2 Мандатная модель Белла-Лападулы

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением политики Белла-ЛаПадулы, взятым ими из реальной жизни, является назначение всем участникам процесса обработки защищаемой информации, и документам, в которых она содержится, специальной метки, например, «секретно», «сов. секретно» и т.д., получившей название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень «сов. секретно» считается более высоким чем уровень «секретно», или доминирует над ним.

В мандатной модели управления доступом:

а) каждому объекту системы присвоен уровень безопасности (конфиденциальности), определяющий ценность содержащейся в нем информации;

б) каждому субъекту системы присвоен уровень доступа, определяющий уровень доверия к нему в информационной системе.

Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух про­стых правил:

            1. Субъект имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.

            2. Субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Первое правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе правило предотвращает утечку информации (сознательную или несознательную) со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.

Основной целью мандатной политики безопасности является предотвращение утечки информации от объектов с высоким уровнем безопасности к объектам с низким уровнем.

Система в модели безопасности Белла-ЛаПадулы, как и в модели Харрисона-Руззо-Ульмана, представляется в виде множеств субъектов , объектов (множество объектов включает множество субъектов) и прав доступа: read (чтение) и write (запись).

В мандатной модели рассматриваются только эти два вида доступа, и, хотя, она может быть расширена введением дополнительных прав (например, правом на добавление информации, выполнение программ и т. д.), все они будут отображаться в базовые (чтение и запись). Использование столь жесткого подхода, не позволяющего осуществлять гибкое управление доступом, объясняется тем, что в мандатной модели контролируются не операции, осуществляемые субъектом над объектом, а потоки информации, которые могут быть только двух видов: либо от субъекта к объекту (запись), либо от объекта к субъекту (чтение).

Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности , которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности .

Функция уровня безопасности назначает каждому субъекту и объекту некоторый уровень безопасности из , разбивая множество объектов и субъектов на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор ≤ определяет направление потоков информации, то есть, если , то информация может передаваться от элементов класса к элементам класса .

Как и для дискреционной модели состояния системы делятся на безопасные, в которых отношения доступа не противоречат установленным в модели правилам, и небезопасные, в которых эти правила нарушаются и происходит утечка информации.

Пусть – матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам, содержание которой аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write.

Белл и ЛаПадула предложили следующее определение безопасного состояния:

              1. Состояние называется безопасным по чтению тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта.

              2. Состояние называется безопасным по записи тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта.

              3. Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи.

В соответствии с предложенным определением безопасного состояния критерий безопасности системы выглядит следующим образом: система безопасна тогда и только тогда, когда ее начальное состояние безопасно и все состояния, достижимые из путем применения конечной последовательности запросов из , безопасны.

Практическое применение мандатной модели безопасности ограничено еще одним фактором - она не учитывает широко распространенные в государственных учреждениях правила, согласно которым доступ к определенной информации или модификация ее уровня безопасности могут осуществляться только в результате совместных действий нескольких пользователей. Например, может потребоваться, чтобы гриф секретности документа мог изменяться только с обоюдной санкции его владельца и администратора безопасности.

Мандатная модель управления доступом является базовой моделью безопасности, составляющей основу теории защиты информации, однако ее применение на практике связано с серьезными трудностями. Поэтому она используется, как правило, только в системах, обрабатывающих классифицированную информацию.

^ 3.3 Ролевая политика безопасности

Ролевая политика безопасности представляет собой существенно усовершенствованную модель Харрисона-Руззо-Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандатным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.

Поэтому ролевая модель представляет собой совершенно особый тип политики, основанной на компромиссе между гибкостью управления доступом, характерной для дискреционных моделей, и жесткостью правил контроля доступа, присущей мандатным моделям.

В ролевой модели классическое понятие субъект замещается понятиями «пользователь» и «роль». Пользователь – это человек, работающий с системой и выполняющий определенные служебные обязанности. Роль – это активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности. Самым распространенным примером роли является присутствующий почти в каждой системе административный бюджет, который обладает специальными полномочиями и может использоваться несколькими пользователями.

Ролевая политика распространена очень широко, потому что она, в отличие от других более строгих и формальных политик, очень близка к реальной жизни. Ведь на самом деле работающие в системе пользователи действуют не от своего личного имени – они всегда осуществляют определенные служебные обязанности, т. е. выполняют некоторые роли, которые никак не связаны с их личностью.

Ролевая политика позволяет распределить полномочия между этими ролями в соответствии с их служебными обязанностями: роль администратора наполняется специальными полномочиями, которые позволяют ему контролировать работу системы и управлять ее конфи­гурацией, роль менеджера баз данных позволяет осуществлять управ­ление сервером баз данных, а права простых пользователей ограничи­ваются минимумом, необходимым для запуска прикладных программ.

Кроме того, количество ролей в системе может не соответствовать количеству реальных пользователей – один пользователь, если на нем лежат различные обязанности, требующие различных полномочий, может выполнять (одновременно или последовательно) несколько ролей, а несколько пользователей могут пользоваться одной и той же ролью, если они выполняют одинаковую работу.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам, и, во-вторых, каждому пользователю назначается список доступных ему ролей.

Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.

Ролевая модель описывает систему в виде следующих множеств: – множество пользователей; – множество ролей; – множество полномочий на доступ к объектам, представленное, например, в виде матрицы прав доступа; – множество сеансов работы пользователей с системой.

В качестве критерия безопасности ролевой модели используется следующее правило: система считается безопасной, если любой пользователь системы, работающий в сеансе , может осуществлять действия, требующие полномочия только в том случае, если они ему разрешены.

В отличие от других политик, ролевая политика управления доступом практически не гарантирует безопасность с помощью формального доказательства, а только определяет характер ограничений, соблюдение которых и служит критерием безопасности системы. Такой подход позволяет получать простые и понятные правила контроля доступа, которые легко могут быть применены на практике, но лишает систему теоретической доказательной базы.


29-poeticheskie-sredstva-russkoj-rechi-v-ih-istoricheskom-preobrazovanii-i-znachenie-etih-sredstv-v-stanovlenii-russkoj-poeticheskoj-kulturi.html
29-poryadok-rassmotreniya-zayavok-na-uchastie-v-konkurse-instrukciya-uchastnikam-konkursa-4-informacionnaya-karta-konkursa.html
29-postoyannie-i-peremennie-izderzhki-alternativnie-izderzhki-ekzamen-ekonomicheskaya-teoriya-aud-313-10-00-prepodavatel.html
29-pravo-na-ravnij-dostup-k-gosudarstvennoj-i-municipalnoj-sluzhbe-ezhegodnij-doklad.html
29-programma-formirovaniya-k-ulturi-zdorovogo-i-bezopasnogo-osnovnaya-obrazovatelnaya-programma-nachalnogo.html
29-rasputin-i-sekta-hlistov-kniga-izvestnogo-italyanskogo-mislitelya-tradicionalista-yuliusa-evoli-poluchila-ogromnuyu.html
  • report.bystrickaya.ru/grigorij-sternin-obrazi.html
  • desk.bystrickaya.ru/podsekciya-1-aktualnie-voprosi-pravovogo-vospitaniya-i-obrazovaniya-molodezhi.html
  • kanikulyi.bystrickaya.ru/vvedenie-otkritoe-akcionernoe-obshestvo-tuapsinskij-sudoremontnij-zavod.html
  • notebook.bystrickaya.ru/informaciya-o-deyatelnosti-upravleniya-kulturi-i-istoriko-kulturnogo-naslediya-administracii-goroda-vologdi-za-2011-god-podvedomstvennie-uchrezhdeniya-kulturi.html
  • tasks.bystrickaya.ru/4-dannie-o-gosudarstvennoj-reg-istracii-stranica-4.html
  • upbringing.bystrickaya.ru/kompleksnoe-izuchenie-geneticheskogo-polimorfizma-kak-novij-podhod-v-issledovanii-mehanizmov-zashiti-kletok-cheloveka-ot-mutagenov.html
  • teacher.bystrickaya.ru/glava-45-a-p-chehov-zapisnie-knizhki-gde-ona-teper-bolshaya-doroga-i-ee-veselie-priklyucheniya.html
  • studies.bystrickaya.ru/glava-4-upravlencheskij-uchet-v-kreditnih-obshestvah-finansovoj-vzaimopomoshi-ekonomicheskij-mehanizm-upravleniya.html
  • tests.bystrickaya.ru/literatura-rukovodstvo-po-profilaktike-infekcionnih-oslozhnenij-svyazannih-s-vnutrisosudistim-kateterom-podgotovleno.html
  • credit.bystrickaya.ru/organi-doznaniya.html
  • obrazovanie.bystrickaya.ru/praktikum-vipolnyaetsya-vo-vremya-semestra-sessii-v-kompyuternom-klasse-reshenie-zadach-ili-laboratornom-praktikume-laboratornie-raboti-sostavlyaetsya-otchet-kotorij-posilaetsya-tyutoru.html
  • otsenki.bystrickaya.ru/rekomendacii-po-podgotovke-pozicii-strani.html
  • student.bystrickaya.ru/2-prakticheskoe-ispolzovanie-interneta-v-turistskoj-sfere-koncepciya-giperteksta-2-vsemirnaya-pautina-3-navigator-3.html
  • books.bystrickaya.ru/bibliograficheskij-ukazatel-literaturi-1992-2000-gg-245-nazv-stranica-2.html
  • paragraf.bystrickaya.ru/zamisel-sozrel-chto-dalshe-uchebnoe-posobie-g-m-frumkin-rekomendovano-uchebno-metodicheskim-obedineniem-po-obrazovaniyu.html
  • obrazovanie.bystrickaya.ru/primechaniya-a-a-danilov-a-v-pizhikov.html
  • write.bystrickaya.ru/fantasticheskie-zhivotnie-i-mesta-ih-obitaniya-stranica-2.html
  • report.bystrickaya.ru/issledovanie-fenomena-prodolzheniya-zhizni-posle-smerti-tela-stranica-2.html
  • lektsiya.bystrickaya.ru/programma-po-discipline-razrabotka-upravlencheskogo-resheniya-dlya-specialnosti-061000-gosudarstvennoe-i-municipalnoe-upravlenie-ochnaya-forma-obucheniya.html
  • grade.bystrickaya.ru/o-provedenii-festivalya-narodnih-lyubitelskih-teatrov-leningradskoj-oblasti-teatralnaya-vesna-2012.html
  • ekzamen.bystrickaya.ru/shema-invertiruyushego-vklyucheniya-laboratornie-zadaniya-55-kontrolnie-voprosi-56.html
  • learn.bystrickaya.ru/ezhekvartalnij-otchet-obshestva-s-ogranichennoj-otvetstvennostyu-lbr-intertrejd.html
  • paragraph.bystrickaya.ru/korennie-svojstva-logicheskogo-mishleniya-uchebnoe-posobie-prednaznacheno-dlya-studentov-specialnostej-yurisprudenciya.html
  • znanie.bystrickaya.ru/aviacionaya-apparatura-opisanie-i-instrukciya-po-ekspluatacii-oscillograf-elektronnij-tipa-s1-1.html
  • institut.bystrickaya.ru/sushnost-ipoteki-m-kursa.html
  • holiday.bystrickaya.ru/o-monitoringe-socialno-ekonomicheskoj-situacii-v-yamalo-neneckom-avtonomnom-okruge.html
  • universitet.bystrickaya.ru/turkovskij-v-bibliograficheskij-spisok-literaturi-knigi.html
  • universitet.bystrickaya.ru/tema-2-burovaya-kontrolno-izmeritelnaya-apparatura-kurs-5-semestr-9-razrabotchik-docent-kafedri-bs-hramenkov-v.html
  • essay.bystrickaya.ru/chuvashavtotrans-stranica-3.html
  • universitet.bystrickaya.ru/uchebnie-programmi-dlya-vix-klassov-specialnih-korrek-cionnih-obsheobrazovatelnih-shkol-viii-vida-dlya-umstvenno-otstalih-detej-stranica-24.html
  • obrazovanie.bystrickaya.ru/programma-gosudarstvennogo-ekzamena-po-podgotovke-magistra-po-napravleniyu-fizika-poluprovodnikov-mikroelektronika-510404-himicheskaya-svyaz-i-atomnaya-struktura-poluprovodnikov.html
  • letter.bystrickaya.ru/neskolko-sovetov-uchastnikam-olimpiad-distancionnie-seminari.html
  • lektsiya.bystrickaya.ru/poyasnitelnaya-zapiska-k-obrazovatelnoj-programme-mou-oosh-9-3-4-stranica-20.html
  • institute.bystrickaya.ru/glava-7-simvoli-zhizni-kak-korni-mifa-kniga-filosofiya-v-novom-klyuche.html
  • uchebnik.bystrickaya.ru/uchebnik-dlya-vuzov-po-specialnosti-menedzhment-stranica-24.html
  • © bystrickaya.ru
    Мобильный рефератник - для мобильных людей.