Учебная работа. Реферат: Формирование и обеспечение комплексной защищенности информационных ресурсов

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Контрольные рефераты

Учебная работа. Реферат: Формирование и обеспечение комплексной защищенности информационных ресурсов

АНО ВПО ЦС РФ (Российская Федерация — «РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

Реферат по дисциплине: «Информационный менеджмент»

Для специальности 351400 «Прикладная информатика (в экономике)»

Тема: «
Формирование и обеспечение всеохватывающей защищенности информационных ресурсов»

Выполнил:

Студент Маркин М.П.

Группа ПИ07-оч.1

Педагог:

Суркова Л.Е.

Москва 2011 г

Содержание

Введение

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

3

4

2. Препядствия информационной сохранности
4

3.Криптографические способы защиты инфы
5

4. Муниципальная Политика в области информационной сохранности
7

5. Препядствия информационной сохранности
9

6. законы, регулирующие информационную сохранность
10

7. Методика реализации политики сохранности
11

8. Опасности и их характеристики
13

9. Эталоны сохранности Гостехкомиссии
14

10. Европейские эталоны сохранности
16

11. Эталон сохранности США

Еще 25-30 лет вспять задачка защиты инфы могла быть отлично решена при помощи организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Возникновение индивидуальных ЭВМ , локальных и глобальных сетей, спутниковых каналов связи, действенных технической разведки и секретной инфы значительно обострило делему защиты инфы.

Чертами современных информационных технологий являются:

— Повышение числа автоматических действий в системах обработки данных и значимости принимаемых на их базе решений;

— Территориальная распределенность компонент компьютерной системы и передача инфы меж этими компонентами;

— Усложнение программных и аппаратных средств компьютерных систем;

— Скопление и долгое хранение огромных массивов данных на электрических носителях;

Интеграция в единую базу данных информацию различной направленности разных способов доступа;

— Конкретный доступ к ресурсам компьютерной системы огромного количества юзеров различной группы и с разными правами доступа в системе;

— Рост цены ресурсов компьютерных систем.

Рост количества и свойства угроз сохранности инфы в компьютерных системах не постоянно приводит к адекватному ответу в виде сотворения надежной системы и неопасных информационных технологий. В большинстве коммерческих и муниципальных организаций, не говоря о обычных юзерах, в качестве средств защиты употребляются лишь антивирусные программки и разграничение прав доступа юзеров на базе паролей.

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

К аппаратным средствам защиты инфы относятся электрические и электронно-механические устройства, включаемые в состав КС и выполняющие(как без помощи других, так и с помощью программных средств) некие функции по обеспечению сохранности инфы.

К главным аппаратным средствам защиты инфы относятся:

— Устройства ввода идентифицирующий юзера инфы;

— Устройства шифрования инфы;

— Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

Под программными средствами информационной сохранности соображают особые программные средства, включаемые в состав программного обеспечения КС только для выполнения защитах функций.

К главным программным средствам защиты инфы относятся:

— Программки идентификации аутентификации юзеров КС;

— Программки разграничения доступа юзера к ресурсам КС;

— Программки от несанкционированного доступа , копирования конфигурации и использования.

Под идентификацией юзера, применительно к обеспечению сохранности КС, однозначное распознание неповторимого имени субъекта КС. Аутентификация значит доказательство того, что предъявленное имя соответствует конкретно данному субъекту.

К преимуществам программных средств защиты инфы относятся:

— простота тиражирования

— Упругость (возможность опции на разные условия внедрения)

— Простота внедрения

— Фактически неограниченные способности их развития

К недочета программных средств относятся:

— понижение эффективности КС за счет употребления ее ресурсов, требуемых для функционирования программ защиты.

— Наиболее низкая производительность по сопоставлению с подобными функциями защиты аппаратными средствами

— Пристыкованность почти всех программных средств(а не встроенность в средства КС)

2.Требования к всеохватывающим к комплектным система защиты инфы

Главные требования к всеохватывающей системе защиты инфы

— Разработка на базе положений и требований имеющихся законов, эталонов и нормативно — методических документов по обеспечению информационной сохранности;

— Внедрение комплекса программно-технических средств и организационных мер по защите КС;

— Надежность, конфигурируемость, производительность;

— Финансовая необходимость;

— Выполнение на всех шагах жизни обработки инфы в КС

— Возможность совершенствования

— Обеспечения разграничения доступа к секретной инфы и отвлечение нарушителя на неверную информацию;

— Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

— Обеспечение провидения учета и расследования случаев нарушения сохранности;

— не обязана вызывать у юзера психического противодействия и рвение обойтись без ее средств;

— возможность оценки эффективности ее внедрения

3.Криптографические способы защиты инфы

Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­о­ра­зо­ва­ния, исключающего ее про­чте­ние по­100­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский обычно расположенный в головном отделе тела и представляющий собой компактное скопление нервных клеток и их отростков»>мозг

с дав­их вре­мен. История криптографии — ровесница истории людского языка. Наиболее того, сначало письменность сама по для себя была криптографической системой, потому что в старых обществах ею обладали лишь избранные. Священные книжки Древ­него Егип­та, Древ­ней Индии тому примеры.

С широким распространением письменности тайнопись стала формироваться как самостоятельная наука. 1-ые криптосистемы встречаются уже сначала нашей эпохи. Так, Цезарь в собственной переписке употреблял уже наиболее наименее периодический шифр, получивший его имя.

Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по сегодняшний денек возникновение вычислительных средств ускорило разработку и улучшение криптографических способов.

По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) 100­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

С од­ной 100­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, а именно глобальной сети веб, по ко­то­рым пе­ре­да­ют­ся боль ­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­100­рон­их лиц.

С дру­гой 100­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

Про­бле­мой защиты инфы методом ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­о­ра­зо­ва­ния ин­фор­ма­ции.

Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

Современная тайнопись содержит в себе четыре больших раздела:

Симметричные криптосистемы.

Криптосистемы с открытым ключом.

системы электрической подписи.

Управление ключами.

Главные направления использования криптографических способов — передача секретной инфы по каналам связи (к примеру, электрическая почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

2.1.1.системы с открытым ключом

Вроде бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
. Для то­го, что­бы был воз­мо­жен о­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из их, а за­тем ка­ким-то о­ра­зом снова же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в о­щем слу­чае для пе­ре­да­чи клю­ча снова же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

Для ре­ше­ния данной нам про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных традиционной и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

Сущность их со­100­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
, а дру­гой за­кры­тым
. От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­о­ще­ние ад­ре­са­ту. Скрытый ключ сохраняется в тайне.

Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван этим же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­о­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

.

Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так именуемые не­о­ра­ти­мые либо од­но­100­рон­ние функ­ции
, ко­то­рые о­ла­да­ют сле­дую­щим собственный­ст­вом: при за­дан­ном зна­че­нии
от­но­си­тель­но про­100 вы­чис­лить зна­че­ние
од­на­ко ес­ли
=
), то нет про­100­го пу­ти для вы­чис­ле­ния зна­че­ния

Мно­же­ст­во клас­сов не­о­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­о­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­о­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

В са­мом оп­ре­де­ле­нии не­о­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
понимается не теоретическая необратимость, а практическая невозможность вычислить оборотное времени.

По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

1. Пре­о­ра­зо­ва­ние ис­ход­но­го тек­100 долж­но быть не­о­ра­ти­мым и ис­клю­чать его вос­100­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При всем этом же­ла­тель­на точ­ная ниж­няя оцен­ка трудности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

Совершенно же все предлагаемые сейчас криптосистемы с открытым ключом опираются на один из последующих типов необратимых преобразований:

1. Разложение огромных чисел на обыкновенные множители.

2. Вычисление логарифма в конечном поле.

3. Вычисление корней алгебраических уравнений.

тут же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в 3-х на­зна­че­ни­ях.

1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
пе­ре­да­вае­мых и хра­ни­мых дан­ных.

2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
. Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять о­мен боль ­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
.

2.1.2.Электрическая подпись

В 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

В чем со­100­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

В кон­це обыч­но­го пись­ма либо до­ку­мен­та ис­пол­ни­тель либо от­вет­ст­вен­ное ли­цо обыч­но 100­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го о­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­100, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло о­100­ит ина­че. Под­де­лать це­поч­ку би­тов, про­100 ее ско­пи­ро­вав, либо не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их о­ра­бот­ки осо­бо ак­ту­аль­ной 100­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

время от времени нет необходимости зашифровывать передаваемое сообщение, но необходимо его скрепить электрической подписью. В этом случае текст шифруется закрытым ключом отправителя и приобретенная цепочка знаков прикрепляется к документу. Получатель при помощи открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

4.
Муниципальная Политика в области информационной сохранности



состояние защищенности информационной среды общества, обеспечивающее ее формирование, внедрение и развитие в интересах людей, организаций, страны.

Под

понимается состояние защищенности ее государственных интересов в информационной сфере, определяющихся совокупой равновесных интересов личности, общества и страны.

Под государственными интересами Русской Федерации понимается:

  • Информационное сервис управления
  • Сохранность инфраструктуры
  • Развитие информационных средств
  • защита прав человека в информационной сфере
  • Защита прав на личную информацию
  • Защита баз данных
  • Достоверность передаваемой инфы

На базе государственных интересов Русской Федерации в информационной сфере формируются стратегические и текущие задачки внутренней и наружной политики страны по обеспечению информационной сохранности.



описывает главные направления деятель федеральных органов гос власти и органов гос власти субъектов Русской Федерации в данной нам области, порядок закрепления их обязательств и ответственности за защищенность интересов Русской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и страны в информационной сфере.



основывается на последующих принципах:

  • Федеральная программка ИБ
  • Нормативно-правовая база
  • Регламентация доступа к инфы
  • Юридическая ответственность за сохранность инфы
  • Контроль за разработкой и внедрением средств защиты инфы
  • Предоставление гражданам доступа к мировым информационным системам

анализ и прогнозирование угроз информационной сохранности Русской Федерации, разрабатывает меры по ее обеспечению;

· организует работу законодательных (презентабельных) и исполнительных органов гос власти Русской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной сохранности Русской Федерации;

· поддерживает деятельность публичных объединений, направленную на беспристрастное информирование населения о социально важных явлениях публичной жизни, защиту общества от искаженной и недостоверной инфы;

· производит контроль за разработкой, созданием, развитием, внедрением, экспортом и импортом средств защиты инфы средством их сертификации и лицензирования деятель в области защиты инфы;

· проводит нужную протекционистскую политику в отношении производителей средств информатизации и защиты инфы на местности Русской Федерации и воспринимает меры по защите внутреннего рынка от проникания на него некачественных средств информатизации и информационных товаров;

· содействует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

· определяет и реализует муниципальную информационную политику Рф;

· организует разработку федеральной программки обеспечения информационной сохранности Русской Федерации, объединяющей усилия муниципальных и негосударственных организаций в данной области;

· содействует интернационализации глобальных информационных сетей и систем, также вхождению Рф в мировое информационное общество на критериях равноправного партнерства.

Улучшение правовых устройств регулирования публичных отношений, возникающих в информационной сфере, является приоритетным направлением гос политики в области обеспечения информационной сохранности Русской Федерации.

5.
Препядствия информационной сохранности

Обширное внедрение информационных технологий в жизнь современного общества привело к возникновению ряда общих заморочек информационной сохранности:

  • нужно гарантировать непрерывность и правильность функционирования важных информационных систем (ИС), обеспечивающих сохранность людей и экологической обстановки;
  • нужно обеспечить защиту имущественных прав людей, компаний и страны в согласовании с требованиями штатского, административного и хозяйственного права (включая защиту секретов и умственной принадлежности);
  • нужно защитить штатские права и свободы, гарантированные работающим законодательством (включая Право на доступ к инфы).

Необходимо знать, что
. И эта уязвимость по отношению к случайным и умышленным отрицательным действиям выдвинула трудности информационной сохранности в разряд важных, определяющих принципную возможность и эффективность внедрения ряда ИС в штатских и военных отраслях.

Основная работа по понижению дестабилизирующих причин в области информационной сохранности — раскрыть фактически сущность трудности, конкретизировать дестабилизирующие причины и представить главные способы, способные существенно повысить защищенность ИС. Эта неувязка в значимой степени решается средством способов, средств и эталонов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для заслуги поставленной цели в нужно разглядеть начальные данные и причины, определяющие технологическую сохранность сложных информационных систем:

  • характеристики, характеризующие технологическую сохранность информационных систем;
  • требования, предъявляемые к архитектуре ПС и БД для обеспечения сохранности ИС;
  • ресурсы, нужные для обеспечения технологической сохранности ИС;
  • внутренние и наружные дестабилизирующие причины, действующие на сохранность функционирования программных средств и баз данных;
  • способы и средства предотвращения и понижения воздействия угроз сохранности ИС со стороны изъянов программ и данных;
  • оперативные способы и средства увеличения технологической сохранности функционирования ПС и БД методом введения в ИС временной, программной и информационной избыточности;
  • способы и средства определения настоящей технологической сохранности функционирования критичных ИС.

Основываясь на приобретенных данных нужно выработать стратегию и стратегию направленную на уменьшение причин способных вызвать те либо другие деструктивные последствия.

6.
законы, регулирующие информационную сохранность

До крайнего времени неувязка обеспечения сохранности компьютерной инфы в нашей стране не только лишь не выдвигалась на фронтальный край, но практически вполне игнорировалась. Числилось, что методом полной секретности, разными ограничениями в сфере передачи и распространения инфы, можно решить делему обеспечения информационной сохранности.

Есть, так именуемые, правовые меры обеспечения информационной сохранности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и пришествие ответственности за нарушение корректности таковых действий.

К главным законам и подзаконным актам, регламентирующим деятельность в области защиты инфы относятся:

1. Законы Русской Федерации:

  • «О федеральных органах правительственной связи и инфы» от 19.02.92 № 4524-1;
  • «О сохранности» от 05.03.92 № 2446-1;
  • «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
  • «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
  • «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
  • «О стандартизации» от 10.06.93 № 5154-1;
  • «О архивном фонде Русской Федерации и архивах» от 07.07.93 № 5341-1;
  • «О гос тайне» от 21.07.93 № 485-1;
  • «О связи» от 16.02.95 № 15-ФЗ;
  • «О инфы, информатизации и защите инфы» от 20.02.95 № 24-ФЗ;
  • «О органах федеральной службы сохранности в Русской федерации» от 03.04.95 № 40-ФЗ;
  • «О оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
  • «О участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
  • «О электрической цифровой подписи» от 10.01.2002 № 1-ФЗ.

2. Нормативные правовые акты Президента Русской Федерации:

  • «О основах гос политики в сфере информатизации» от 20.01.94 № 170;
  • «Вопросцы междуведомственной комиссии по защите гос потаенны» от 20.01.96 № 71;
  • «О утверждении списка сведений секретного нрава» от 06.03.97 № 188;
  • «О неких вопросцах междуведомственной комиссии по защите гос потаенны» от 14.06.97 № 594;
  • «О списке сведений, отнесенных к гос тайне» от 24.01.98 № 61;
  • «Вопросцы Гос технической комиссии при Президенте Русской Федерации» от 19.02.99 № 212;
  • «О концепции государственной сохранности Русской Федерации» от 10.01.2000 N 24;
  • «О утверждении списка должностных лиц органов гос власти, наделяемых возможностями по отнесению сведений к гос тайне» от 17.01.2000 N 6-рп;
  • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.

3. Нормативные правовые акты Правительства Русской Федерации:

  • «О установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР
  • «О сертификации средств защиты инфы» от 26.06.95 N 608;
  • «О утверждении правил отнесения сведений, составляющих муниципальную тайну, к разным степеням секретности» 04.09.95 N 870;
  • «О подготовке к передаче сведений, составляющих муниципальную тайну, иным государствам» от 02.08.97 N 973;
  • «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

4. Руководящие документы Гостехкомиссии Рф:

  • Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы;
  • Временное положение по организации разработки, производства и эксплуатации программных и технических средств защиты инфы от несанкционированного доступа в автоматических системах и средствах вычислительной техники;
  • Средства вычислительной техники. Защита от несанкционированного доступа к инфы. характеристики защищенности от несанкционированного доступа к инфы;
  • Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы;
  • средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. характеристики защищенности от несанкционированного доступа к инфы;
  • защита инфы. Особые защитные знаки. систематизация и общие требования;
  • защита от несанкционированного доступа к инфы. Часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей.

5. Уголовный Кодекс Русской Федерации.

7. Методика реализации политики сохранности

Первоочередными мероприятиями по реализации гос политики обеспечения информационной сохранности Русской Федерации являются:

· разработка и внедрение устройств реализации правовых норм, регулирующих дела в информационной сфере, также подготовка концепции правового обеспечения информационной сохранности Русской Федерации;

· разработка и реализация устройств увеличения эффективности муниципального управления Деятельностью муниципальных средств массовой инфы, воплощения гос информационной политики;

· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов гос власти и органов гос власти субъектов Русской Федерации, увеличение правовой культуры и компьютерной грамотности людей, развитие инфраструктуры одного информационного места Рф, всеохватывающее противодействие угрозам информационной войны, создание неопасных информационных технологий для систем, применяемых в процессе реализации актуально принципиальных функций общества и страны, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального предназначения в интересах федеральных органов гос власти и органов гос власти субъектов Русской Федерации, обеспечение технологической независимости страны в области сотворения и эксплуатации информационно-телекоммуникационных систем оборонного предназначения;

· развитие системы подготовки кадров, применяемых в области обеспечения информационной сохранности Русской Федерации;

    гармонизация российских эталонов в области информатизации и обеспечения информационной сохранности автоматических систем управления, информационных и телекоммуникационных систем общего и специального предназначения.

Также существует система обеспечения информационной сохранности Русской Федерации. Она создана для реализации гос политики в данной сфере.

Главными функциями системы обеспечения информационной сохранности Русской Федерации являются:

· разработка нормативной правовой базы в области обеспечения информационной сохранности Русской Федерации;

· создание критерий для реализации прав людей и публичных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса меж потребностью людей, общества и страны в вольном обмене информацией и необходимыми ограничениями на распространение инфы;

· оценка состояния информационной сохранности Русской Федерации, выявление источников внутренних и наружных угроз информационной сохранности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· регулирование деятель федеральных органов гос власти и остальных муниципальных органов, решающих задачки обеспечения информационной сохранности Русской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на легитимные интересы людей, общества и страны в информационной сфере, на воплощение судопроизводства по делам о грехах в данной нам области;

· развитие российскей информационной инфраструктуры, также промышленности телекоммуникационных и информационных средств, увеличение их конкурентоспособности на внутреннем и наружном рынке;

· проведение единой технической политики в области обеспечения информационной сохранности Русской Федерации;

· организация базовых и прикладных научных исследовательских работ в области обеспечения информационной сохранности Русской Федерации;

· защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти и органах гос власти субъектов Русской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и внедрением средств защиты инфы средством неотклонимого лицензирования деятель в данной сфере и сертификации средств защиты инфы;

· воплощение интернационального сотрудничества в сфере обеспечения информационной сохранности, органов гос власти, органов гос власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Русской Федерации и Правительства Русской Федерации.

Функции органов, координирующих деятельность федеральных органов гос власти, органовгосударственной власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Русской Федерации.

8. Опасности и их характеристики



совокупа критерий и причин, создающих потенциальную либо реально существующую опасность, связанную с утечкой инфы и/либо несанкционированными и/либо ненамеренными действиями на нее

По способам действия на объекты информационной сохранности опасности подлежат последующей систематизации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

  • несанкционированный доступ к информационным ресурсам;
  • нелегальное копирование данных в информационных системах;
  • хищение инфы из библиотек, архивов, банков и баз данных;
  • нарушение технологии обработки инфы;
  • противозаконный сбор и внедрение инфы;
  • внедрение информационного орудия.

К программным угрозам относятся:

  • внедрение ошибок и «дыр» в ПО ;
  • компьютерные вирусы и вредные программки;
  • установка «закладных» устройств;

К физическим угрозам относятся:

  • ликвидирование либо разрушение средств обработки инфы и связи;
  • хищение носителей инфы;
  • хищение программных либо аппаратных ключей и средств криптографической защиты данных;
  • действие на персонал;

К радиоэлектронным угрозам относятся:

  • внедрение электрических устройств перехвата инфы в технические средства и помещения;
  • перехват, расшифровка, замена и ликвидирование инфы в каналах связи.

К организационно-правовым угрозам относятся:

  • закупки неидеальных либо устаревших информационных технологий и средств информатизации;
  • нарушение требований законодательства и задержка в принятии нужных нормативно-правовых решений в информационной сфере.

Словарь определений Гостехкомиссии описывает понятие угроз государственной сохранности Рф в информационной сфере последующим образом:



являются:

· рвение ряда государств к преобладанию в мировом информационном пространстве, вытеснению Рф с наружного и внутреннего информационного рынка;

    разработка стран концепции информационных войн, предусматривающей создание средств небезопасного действия на информационные сферы остальных государств мира; нарушение обычного функционирования информационных и телекоммуникационных систем; также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия обозначенным угрозам нужно отнести:

· постановку и проведение научных исследовательских работ, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

· развитие российскей промышленности в области сотворения и производства оборудования частей телекоммуникационных систем;

· минимизацию числа зарубежных компаний — поставщиков;

· координацию действий по проверке надежности обозначенных компаний;

· уменьшению номенклатуры поставляемого оборудования;

· переходу от поставок оборудования к поставкам девайсов на простом уровне;

· установлению приоритета в использовании российских средств защиты этих систем.

9. Эталоны сохранности Гостехкомиссии

РД Гостехкомиссии Рф составляют базу нормативной базы в области защиты от НСД к инфы в нашей стране. Более важные из их, определяющие аспекты для оценки защищенности АС (СВТ), рассматриваются ниже.

Аспекты для оценки устройств защиты программно-технического уровня, применяемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ




РД «СВТ. защита от НСД к инфы. Характеристики защищенности от НСД к инфы» устанавливает систематизацию СВТ по уровню защищенности от НСД к инфы на базе списка характеристик защищенности и совокупы описывающих их требований. (Главным «источником вдохновения» при разработке этого документа послужила именитая южноамериканская «Оранжевая книжка»). Устанавливается семь классов защищенности СВТ от НСД к инфы. Самый маленький класс седьмой, самый высочайший — 1-ый. Классы разделяются на четыре группы, отличающиеся уровнем защиты:

1-ая группа
содержит лишь один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям наиболее больших классов;

2-ая группа
характеризуется дискреционной защитой и содержит 6-ой и 5-ый классы;

3-я группа
характеризуется мандатной защитой и содержит 4-ый, 3-ий и 2-ой классы;

4-ая группа
характеризуется верифицированной защитой содержит лишь 1-ый класс.




РД «АС. защита от НСД к инфы. Систематизация АС и требования по защите инфы» устанавливает систематизацию автоматических систем, подлежащих защите от несанкционированного доступа к инфы, и требования по защите инфы в АС разных классов. К числу определяющих признаков, по которым делается группировка АС в разные классы, относятся:

  • наличие в АС инфы различного уровня конфиденциальности;
  • уровень возможностей субъектов доступа АС на доступ к секретной инфы;
  • режим обработки данных в АС — коллективный либо личный.

Устанавливается девять классов защищенности АС от НСД к инфы. Любой класс характеризуется определенной малой совокупой требований по защите. Классы разделяются на три группы, отличающиеся чертами обработки инфы в АС. В границах каждой группы соблюдается иерархия требований по защите зависимо от ценности и конфиденциальности инфы и, как следует, иерархия классов защищенности АС.




При анализе системы защиты наружного периметра корпоративной сети в качестве главных критериев целенаправлено употреблять РД «СВТ. Межсетевые экраны. защита от НСД к инфы. Характеристики защищенности от НСД к инфы«. Данный документ описывает характеристики защищенности межсетевых экранов (МЭ). Любой показатель защищенности представляет собой набор требований сохранности, характеризующих определенную область функционирования МЭ. Всего выделяется 5 характеристик защищенности:

  • Управление доступом;
  • идентификация и аутентификация;
  • Регистрация событий и оповещение;
  • Контроль целостности;
  • Восстановление работоспособности.

На основании характеристик защищенности определяются последующие 5 классов защищенности МЭ:

  • Простые фильтрующие маршрутизаторы — 5 класс;
  • Пакетные фильтры сетевого уровня — 4 класс;
  • Простые МЭ прикладного уровня — 3 класс;
  • МЭ базисного уровня — 2 класс;
  • Продвинутые МЭ — 1 класс.

МЭ первого класса защищенности могут употребляться в АС класса 1А, обрабатывающих информацию «Особенной значимости». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, созданный для обработки «совсем скрытой» инфы и т.п.

Также к эталонам Рф в области информационной сохранности относятся:

· Гост 28147-89 – блочный шифр с 256-битным ключом;

· Гост Р 34.11-94 –функция хэширования;

· Гост Р 34.10-94 –метод цифровой подписи.

10. Европейские эталоны сохранности


Более много аспекты для оценки устройств сохранности программно-технического уровня представлены в международном эталоне ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие аспекты оценки сохранности информационных технологий), принятом в 1999 году.

Общие аспекты оценки сохранности информационных технологий (дальше «Общие аспекты») определяют многофункциональные требования сохранности (security functional requirements) и требования к адекватности реализации функций сохранности (security assurance requirements).

Хотя применимость «Общих критериев» ограничивается механизмами сохранности программно-технического уровня, в их содержится определенный набор требований к механизмам сохранности организационного уровня и требований по физической защите, которые конкретно соединены с описываемыми функциями сохранности.

1-ая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки сохранности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во 2-ой части «Общих критериев» и могут быть конкретно применены при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций сохранности.

3-я часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и устройств защиты под заглавием AVA: Vulnerability Assessment. Данный класс требований описывает способы, которые должны употребляться для предупреждения, выявления и ликвидации последующих типов уязвимостей:

· наличие побочных каналов утечки инфы;

· Ошибки в конфигурации или неверное внедрение системы, приводящее к переходу в небезопасное состояние;

· Недостающая надежность (стойкость) устройств сохранности, реализующих надлежащие функции сохранности;

· наличие уязвимостей («дыр») в средствах защиты инфы, дающих возможность юзерам получать НСД к инфы в обход имеющихся устройств защиты.


Более много аспекты для оценки устройств сохранности организационного уровня представлены в международном эталоне ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной сохранностью), принятом в 2000 году. ISO 17799 является ни чем другим, как интернациональной версией английского эталона BS 7799.

ISO 17799 содержит практические правила по управлению информационной сохранностью и может употребляться в качестве критериев для оценки устройств сохранности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на последующие 10 разделов:

· Политика сохранности;

· Организация защиты;

· Систематизация ресурсов и их контроль;

· Сохранность персонала;

· Физическая сохранность;

· Администрирование компьютерных систем и вычислительных сетей;

· Управление доступом;

· Разработка и сопровождение информационных систем;

· Планирование бесперебойной работы организации;

· Контроль выполнения требований политики сохранности.

В этих разделах содержится описание устройств сохранности организационного уровня, реализуемых в истинное время в правительственных и коммерческих организациях в почти всех странах мира.

10 средств контроля, предлагаемых в ISO 17799 (они обозначены как главные), числятся в особенности необходимыми. Под средствами контроля в данном контексте понимаются механизмы управления информационной сохранностью организации.

Главными являются последующие средства контроля:

· Документ о политике информационной сохранности;

· Распределение обязательств по обеспечению информационной сохранности;

· Обучение и подготовка персонала к поддержанию режима информационной сохранности;

· Извещение о вариантах нарушения защиты;

· средства защиты от вирусов;

· Планирование бесперебойной работы организации;

· Контроль над копированием программного обеспечения, защищенного законом о авторском праве;

· защита документации организации;

· Защита данных;

· Контроль соответствия политике сохранности.

Процедура аудита сохранности АС содержит в себе проверку наличия перечисленных главных средств контроля, оценку полноты и корректности их реализации, также анализ их адекватности рискам, имеющимся в данной среде функционирования. Составной частью работ по аудиту сохранности АС также является анализ и управление рисками.

11. Эталон сохранности США (Соединённые Штаты Америки — Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, до этого всего, защиту от раскрытия данных) для использования при обработке ценной инфы;

  • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, созданных для обработки служебной и иной ценной инфы;
  • Обеспечить базу для исследования требований к выбору защищенных систем.
  • Разглядывают два типа оценки:

    • без учета среды, в какой работает техника;
    • в определенной среде (эта процедура именуется аттестованием).

    Во всех документах DOD, связанных с ОК, принято одно осознание фразы обеспечение сохранности инфы. Это осознание принимается как теорема и формулируется последующим образом: сохранность = контроль за доступом.

    Классы систем, опознаваемые с помощью критериев оценки гарантированно защищенных вычислительных систем, определяются последующим образом. Они представлены в порядке нарастания требований исходя из убеждений обеспечения сохранности ЭВМ .

    1. Класс (D): Малая защита

    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

    3. Класс (С2): защита, основанная на управляемом контроле доступом

    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

    5. Класс (B2): Структурированная защита

    6. Класс (ВЗ): Домены сохранности

    7. Класс (A1): Верифицированный проект

    2. FIPS 140-2
    «Требования сохранности для криптографических модулей»

    В федеральном эталоне США

    В эталоне FIPS 140-2 рассматриваются криптографические модули, созданные для защиты инфы ограниченного доступа, не являющейся скрытой. Другими словами речь идет о промышленных изделиях, представляющих энтузиазм для главный массы организаций. наличие подобного модуля — нужное условие обеспечения защищенности сколько-нибудь развитой информационной системы; но, чтоб делать предназначенную ему роль, сам модуль также нуждается в защите, как своими средствами, так и средствами окружения (к примеру, операционной системы).




    Также к эталонам информационной сохранности США

    Заключение

    Статистика указывает, что во всех странах убытки от злостных действий безпрерывно растут. При этом главные предпосылки убытков соединены не столько с дефицитностью средств сохранности как таких, сколько с отсутствием связи меж ними, т.е. с нереализованностью системного подхода. Потому нужно опережающими темпами улучшать всеохватывающие средства защиты.

    Можно сказать, что не существует 1-го полностью надежного способа защиты. Более полную сохранность можно обеспечить лишь при всеохватывающем подходе к этому вопросцу. нужно повсевременно смотреть за новенькими решениями в данной нам области.

    Литература

  • Закон РФ «О инфы, информатизации и защите инфы«
  • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.
  • Словарь определений Гостехкомиссии при президенте РФ (Российская Федерация — HTTP://www.jetinfo.ru/2002/7/1/article1.7.200231.html — Нормативная база анализа защищенности
  • http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
  • HTTP://snoopy.falkor.gen.nz/~rae/des.html — описание метода DES
  • HTTP://markova-ne.narod.ru/infbezop.html — Вопросцы ИБ и СМИ
  • HTTP://www.ctta.ru/ — Некие трудности ИБ
  • HTTP://www.infosecurity.ru/_site/problems.shtml — Сущность трудности Информационной Сохранности
  • HTTP://www.jetinfo.ru/2004/11/3/article3.11.2004.html — Федеральный эталон США (Соединённые Штаты Америки —


    АНО ВПО ЦС {РФ|РФ }

    «РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

    Реферат по дисциплине: «Информационный менеджмент»

    Для специальности 351400 «Прикладная информатика (в экономике)»

    Тема: «
    Формирование и обеспечение {комплексной|всеохватывающей} защищенности информационных ресурсов»

    Выполнил:

    Студент Маркин М.П.

    Группа ПИ07-оч.1

    {Преподаватель|Педагог}:

    Суркова Л.Е.

    Москва 2011 г

    Содержание

    Введение

    1. Программные и программно-аппаратные средства обеспечения {безопасности|сохранности} {информации|инфы}

    3

    4

    2. {Проблемы|Трудности|Задачи|Препядствия} информационной {безопасности|сохранности}
    4

    3.Криптографические {методы|способы} защиты {информации|инфы}
    5

    4. {Государственная|Муниципальная} политика в области информационной {безопасности|сохранности}
    7

    5. {Проблемы|Трудности|Задачи|Препядствия} информационной {безопасности|сохранности}
    9

    6. законы, регулирующие информационную {безопасность|сохранность}
    10

    7. Методика реализации политики {безопасности|сохранности}
    11

    8. {Угрозы|Опасности} и их {показатели|характеристики}
    13

    9. {Стандарты|Эталоны} {безопасности|сохранности} Гостехкомиссии
    14

    10. Европейские {стандарты|эталоны} {безопасности|сохранности}
    16

    11. {Стандарт|Эталон} {безопасности|сохранности} {США|США }

    Заключение

    17

    18

    Литература
    19

    Введение

    {проблема|неувязка} защиты {информации|инфы}: надежное обеспечение ее сохранности и установление статуса использования — является одной из {важнейших|важных} {проблем|заморочек} современности.

    Еще 25-30 лет {назад|вспять} {задача|задачка} защиты {информации|инфы} могла быть {эффективно|отлично} решена {с помощью|при помощи} организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. {Появление|Возникновение} {персональных|индивидуальных} {ЭВМ|ЭВМ }, локальных и глобальных сетей, спутниковых каналов связи, {эффективных|действенных} технической разведки и {конфиденциальной|секретной} {информации|инфы} {существенно|значительно} обострило {проблему|делему} защиты {информации|инфы}.

    {Особенностями|Чертами} современных информационных технологий являются:

    — {Увеличение|Повышение} числа {автоматизированных|автоматических} {процессов|действий} в системах обработки данных и {важности|значимости} принимаемых на их {основе|базе} решений;

    — Территориальная распределенность {компонентов|компонент} компьютерной системы и передача {информации|инфы} {между|меж} этими компонентами;

    — Усложнение программных и аппаратных средств компьютерных систем;

    — {Накопление|Скопление} и {длительное|долгое} хранение {больших|огромных} массивов данных на {электронных|электрических} носителях;

    — Интеграция в единую базу данных информацию различной направленности {различных|разных} {методов|способов} доступа;

    — {Непосредственный|Конкретный} доступ к ресурсам компьютерной системы {большого|огромного} количества {пользователей|юзеров} различной {категории|группы} и с {различными|разными} правами доступа в системе;

    — Рост {стоимости|цены} ресурсов компьютерных систем.

    Рост количества и {качества|свойства} угроз {безопасности|сохранности} {информации|инфы} в компьютерных системах не {всегда|постоянно} приводит к адекватному ответу в виде {создания|сотворения} надежной системы и {безопасных|неопасных} информационных технологий. В большинстве коммерческих и {государственных|муниципальных} организаций, не говоря о {простых|обычных} {пользователях|юзерах}, в качестве средств защиты {используются|употребляются} {только|лишь} антивирусные {программы|программки} и разграничение прав доступа {пользователей|юзеров} на {основе|базе} паролей.

    1. Программные и программно-аппаратные средства обеспечения {безопасности|сохранности} {информации|инфы}

    К аппаратным средствам защиты {информации|инфы} относятся {электронные|электрические} и электронно-механические устройства, включаемые в состав КС и выполняющие(как {самостоятельно|без помощи других}, так и {при помощи|с помощью} программных средств) {некоторые|некие} функции по обеспечению {безопасности|сохранности} {информации|инфы}.

    К {основным|главным} аппаратным средствам защиты {информации|инфы} относятся:

    — Устройства ввода идентифицирующий {пользователя|юзера} {информации|инфы};

    — Устройства шифрования {информации|инфы};

    — Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

    Под программными средствами информационной {безопасности|сохранности} {понимают|соображают} {специальные|особые} программные средства, включаемые в состав программного обеспечения КС {исключительно|только} для выполнения защитах функций.

    К {основным|главным} программным средствам защиты {информации|инфы} относятся:

    — {Программы|Программки} идентификации аутентификации {пользователей|юзеров} КС;

    — {Программы|Программки} разграничения доступа {пользователя|юзера} к ресурсам КС;

    — {Программы|Программки} от несанкционированного доступа , копирования {изменения|конфигурации} и использования.

    Под идентификацией {пользователя|юзера}, применительно к обеспечению {безопасности|сохранности} КС, однозначное распознание {уникального|неповторимого} имени субъекта КС. Аутентификация {означает|значит} {подтверждение|доказательство} того, что предъявленное имя соответствует {именно|конкретно} данному субъекту.

    К преимуществам программных средств защиты {информации|инфы} относятся:

    — простота тиражирования

    — {Гибкость|Упругость} (возможность {настройки|опции} на {различные|разные} условия {применения|внедрения})

    — Простота {применения|внедрения}

    — {Практически|Фактически} неограниченные {возможности|способности} их развития

    К {недостатка|недочета} программных средств относятся:

    — {снижение|понижение} эффективности КС за счет {потребления|употребления} ее ресурсов, требуемых для функционирования программ защиты.

    — {Более|Наиболее} низкая производительность по {сравнению|сопоставлению} с {аналогичными|подобными} функциями защиты аппаратными средствами

    — Пристыкованность {многих|почти всех} программных средств(а не встроенность в средства КС)

    2.Требования к {комплексным|всеохватывающим} к комплектным система защиты {информации|инфы}

    {Основные|Главные} требования к {комплексной|всеохватывающей} системе защиты {информации|инфы}

    — Разработка на {основе|базе} положений и требований {существующих|имеющихся} законов, {стандартов|эталонов} и нормативно — методических документов по обеспечению информационной {безопасности|сохранности};

    — {Использование|Внедрение} комплекса программно-технических средств и организационных мер по защите КС;

    — Надежность, конфигурируемость, производительность;

    — {Экономическая|Финансовая} {целесообразность|необходимость};

    — Выполнение на всех {этапах|шагах} жизни обработки {информации|инфы} в КС

    — Возможность совершенствования

    — Обеспечения разграничения доступа к {конфиденциальной|секретной} {информации|инфы} и отвлечение нарушителя на {ложную|неверную} информацию;

    — Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

    — Обеспечение провидения учета и расследования случаев нарушения {безопасности|сохранности};

    — не {должна|обязана} вызывать у {пользователя|юзера} {психологического|психического} противодействия и {стремление|рвение} обойтись без ее средств;

    — возможность оценки эффективности ее {применения|внедрения}

    3.Криптографические {методы|способы} защиты {информации|инфы}

    Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­{об|о}­ра­зо­ва­ния, исключающего ее про­чте­ние по­{сто|100}­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский {ум|разум|мозг} с дав­{них|их} вре­мен. История криптографии — ровесница истории {человеческого|людского} языка. {Более|Наиболее} того, {первоначально|сначало} письменность сама по {себе|для себя} была криптографической системой, {так как|потому что} в {древних|старых} обществах ею {владели|обладали} {только|лишь} избранные. Священные {книги|книжки} Древ­него Егип­та, Древ­ней Индии тому примеры.

    С широким распространением письменности {криптография|тайнопись} стала формироваться как самостоятельная наука. {Первые|1-ые} криптосистемы встречаются уже {в начале|сначала} нашей {эры|эпохи}. Так, Цезарь в {своей|собственной} переписке {использовал|употреблял} уже {более|наиболее} {менее|наименее} {систематический|периодический} шифр, получивший его имя.

    Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по {нынешний|сегодняшний} {день|денек} {появление|возникновение} вычислительных средств ускорило разработку и {совершенствование|улучшение} криптографических {методов|способов}.

    По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) {ста|100}­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

    С од­ной {сто|100}­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, {в частности|а именно} глобальной сети {Интернет|Веб}, по ко­то­рым пе­ре­да­ют­ся {боль|боль }­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­{сто|100}­рон­{них|их} лиц.

    С дру­гой {сто|100}­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

    Про­бле­мой защиты {информации|инфы} {путем|методом} ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

    Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­{об|о}­ра­зо­ва­ния ин­фор­ма­ции.

    Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

    Современная {криптография|тайнопись} {включает в себя|содержит в себе} четыре {крупных|больших} раздела:

    Симметричные криптосистемы.

    Криптосистемы с открытым ключом.

    системы {электронной|электрической} подписи.

    Управление ключами.

    {Основные|Главные} направления использования криптографических {методов|способов} — передача {конфиденциальной|секретной} {информации|инфы} по каналам связи ({например|к примеру}, {электронная|электрическая} почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

    2.1.1.системы с открытым ключом

    {Как бы|Вроде бы} ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
    . Для то­го, что­бы был воз­мо­жен {об|о}­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из {них|их}, а за­тем ка­ким-то {об|о}­ра­зом {опять|снова} же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в {об|о}­щем слу­чае для пе­ре­да­чи клю­ча {опять|снова} же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

    Для ре­ше­ния {этой|данной|данной нам|данной для нас} про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных {классической|традиционной} и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

    {Суть|Сущность} их со­{сто|100}­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
    , а дру­гой за­кры­тым
    . От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­{об|о}­ще­ние ад­ре­са­ту. {Секретный|Скрытый} ключ сохраняется в тайне.

    Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван {тем же|этим же} от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­{об|о}­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

    .

    Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так {называемые|именуемые} не­{об|о}­ра­ти­мые {или|либо} од­но­{сто|100}­рон­ние функ­ции
    , ко­то­рые {об|о}­ла­да­ют сле­дую­щим {свой|собственный}­ст­вом: при за­дан­ном зна­че­нии
    от­но­си­тель­но про­{сто|100} вы­чис­лить зна­че­ние
    од­на­ко ес­ли
    =
    ), то нет про­{сто|100}­го пу­ти для вы­чис­ле­ния зна­че­ния

    Мно­же­ст­во клас­сов не­{об|о}­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­{об|о}­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­{об|о}­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

    В са­мом оп­ре­де­ле­нии не­{об|о}­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
    понимается не теоретическая необратимость, а практическая невозможность вычислить {обратное|оборотное} времени.

    По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

    1. Пре­{об|о}­ра­зо­ва­ние ис­ход­но­го тек­{ста|100} долж­но быть не­{об|о}­ра­ти­мым и ис­клю­чать его вос­{ста|100}­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

    2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. {При этом|При всем этом} же­ла­тель­на точ­ная ниж­няя оцен­ка {сложности|трудности} (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

    Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

    {Вообще|Совершенно} же все предлагаемые {сегодня|сейчас} криптосистемы с открытым ключом опираются на один из {следующих|последующих} типов необратимых преобразований:

    1. Разложение {больших|огромных} чисел на {простые|обыкновенные} множители.

    2. Вычисление логарифма в конечном поле.

    3. Вычисление корней алгебраических уравнений.

    {здесь|тут} же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в {трех|3-х} на­зна­че­ни­ях.

    1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
    пе­ре­да­вае­мых и хра­ни­мых дан­ных.

    2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
    . Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять {об|о}­мен {боль|боль }­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

    3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
    .

    2.1.2.{Электронная|Электрическая} подпись

    В 1991 г. {Национальный|Государственный} институт {стандартов|эталонов} и технологии (NIST) предложил для {появившегося|показавшегося} тогда {алгоритма|метода} цифровой подписи DSA (Digital Signature Algorithm) {стандарт|эталон} DSS (Digital Signature Standard), в {основу|базу} которого положены {алгоритмы|методы} Эль-Гамаля и RSA.

    В чем со­{сто|100}­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

    В кон­це обыч­но­го пись­ма {или|либо} до­ку­мен­та ис­пол­ни­тель {или|либо} от­вет­ст­вен­ное ли­цо обыч­но {ста|100}­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го {об|о}­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

    Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­{сто|100}, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло {об|о}­{сто|100}­ит ина­че. Под­де­лать це­поч­ку би­тов, про­{сто|100} ее ско­пи­ро­вав, {или|либо} не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

    С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их {об|о}­ра­бот­ки осо­бо ак­ту­аль­ной {ста|100}­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

    В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

    {Иногда|Время от времени} нет необходимости зашифровывать передаваемое сообщение, но {нужно|необходимо} его скрепить {электронной|электрической} подписью. В этом случае текст шифруется закрытым ключом отправителя и {полученная|приобретенная} цепочка {символов|знаков} прикрепляется к документу. Получатель {с помощью|при помощи} открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. {Национальный|Государственный} институт {стандартов|эталонов} и технологии (NIST) предложил для {появившегося|показавшегося} тогда {алгоритма|метода} цифровой подписи DSA (Digital Signature Algorithm) {стандарт|эталон} DSS (Digital Signature Standard), в {основу|базу} которого положены {алгоритмы|методы} Эль-Гамаля и RSA.

    4.
    {Государственная|Муниципальная} Политика в области информационной {безопасности|сохранности}



    состояние защищенности информационной среды общества, обеспечивающее ее формирование, {использование|внедрение} и развитие в интересах {граждан|людей}, организаций, {государства|страны}.

    Под

    понимается состояние защищенности ее {национальных|государственных} интересов в информационной сфере, определяющихся {совокупностью|совокупой} {сбалансированных|равновесных} интересов личности, общества и {государства|страны}.

    Под {национальными|государственными} интересами {Российской|Русской} Федерации понимается:

    • Информационное {обслуживание|сервис} {руководства|управления}
    • Сохранность инфраструктуры
    • Развитие информационных средств
    • защита прав человека в информационной сфере
    • Защита прав на {частную|личную} информацию
    • Защита баз данных
    • Достоверность передаваемой {информации|инфы}

    На {основе|базе} {национальных|государственных} интересов {Российской|Русской} Федерации в информационной сфере формируются стратегические и текущие {задачи|задачки} внутренней и {внешней|наружной} политики {государства|страны} по обеспечению информационной {безопасности|сохранности}.



    {определяет|описывает} {основные|главные} направления деятель федеральных органов {государственной|гос} власти и органов {государственной|гос} власти субъектов {Российской|Русской} Федерации в {этой|данной|данной нам|данной для нас} области, порядок закрепления их {обязанностей|обязательств} и ответственности за защищенность интересов {Российской|Русской} Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и {государства|страны} в информационной сфере.



    основывается на {следующих|последующих} принципах:

    • Федеральная {программа|программка} ИБ
    • Нормативно-правовая база
    • Регламентация доступа к {информации|инфы}
    • Юридическая ответственность за сохранность {информации|инфы}
    • Контроль за разработкой и {использованием|внедрением} средств защиты {информации|инфы}
    • Предоставление гражданам доступа к мировым информационным системам

    анализ и прогнозирование угроз информационной {безопасности|сохранности} {Российской|Русской} Федерации, разрабатывает меры по ее обеспечению;

    · организует работу законодательных ({представительных|презентабельных}) и исполнительных органов {государственной|гос} власти {Российской|Русской} Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · поддерживает деятельность {общественных|публичных} объединений, направленную на {объективное|беспристрастное} информирование населения о социально {значимых|важных} явлениях {общественной|публичной} жизни, защиту общества от искаженной и недостоверной {информации|инфы};

    · {осуществляет|производит} контроль за разработкой, созданием, развитием, {использованием|внедрением}, экспортом и импортом средств защиты {информации|инфы} {посредством|средством} их сертификации и лицензирования деятельности в области защиты {информации|инфы};

    · проводит {необходимую|нужную} протекционистскую политику в отношении производителей средств информатизации и защиты {информации|инфы} на {территории|местности} {Российской|Русской} Федерации и {принимает|воспринимает} меры по защите внутреннего рынка от {проникновения|проникания} на него некачественных средств информатизации и информационных {продуктов|товаров};

    · {способствует|содействует} предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

    · {формулирует|определяет} и реализует {государственную|муниципальную} информационную политику {России|Рф};

    · организует разработку федеральной {программы|программки} обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации, объединяющей усилия {государственных|муниципальных} и негосударственных организаций в данной области;

    · {способствует|содействует} интернационализации глобальных информационных сетей и систем, {а также|также} вхождению {России|Рф} в мировое информационное {сообщество|общество} на {условиях|критериях} равноправного партнерства.

    {Совершенствование|Улучшение} правовых {механизмов|устройств} регулирования {общественных|публичных} отношений, возникающих в информационной сфере, является приоритетным направлением {государственной|гос} политики в области обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации.

    5.
    {Проблемы|Трудности|Задачи|Препядствия} информационной {безопасности|сохранности}

    {Широкое|Обширное} внедрение информационных технологий в жизнь современного общества привело к {появлению|возникновению} ряда общих {проблем|заморочек} информационной {безопасности|сохранности}:

    • {необходимо|нужно} гарантировать непрерывность и {корректность|правильность} функционирования {важнейших|важных} информационных систем (ИС), обеспечивающих {безопасность|сохранность} людей и экологической обстановки;
    • {необходимо|нужно} обеспечить защиту имущественных прав {граждан|людей}, {предприятий|компаний} и {государства|страны} в {соответствии|согласовании} с требованиями {гражданского|штатского}, административного и хозяйственного права (включая защиту секретов и {интеллектуальной|умственной} {собственности|принадлежности});
    • {необходимо|нужно} защитить {гражданские|штатские} права и свободы, гарантированные {действующим|работающим} законодательством (включая Право на доступ к {информации|инфы}).

    {Следует знать|Необходимо знать}, что
    . И эта уязвимость по отношению к случайным и {предумышленным|умышленным} отрицательным {воздействиям|действиям} выдвинула {проблемы|трудности|задачи|препядствия} информационной {безопасности|сохранности} в разряд {важнейших|важных}, определяющих {принципиальную|принципную} возможность и эффективность {применения|внедрения} ряда ИС в {гражданских|штатских} и военных отраслях.

    Основная работа по {снижению|понижению} дестабилизирующих {факторов|причин} в области информационной {безопасности|сохранности} — раскрыть {собственно|фактически} {суть|сущность} {проблемы|трудности|задачи|препядствия}, конкретизировать дестабилизирующие {факторы|причины} и представить {основные|главные} {методы|способы}, способные {значительно|существенно} повысить защищенность ИС. Эта {проблема|неувязка} в {значительной|значимой} степени решается {посредством|средством} {методов|способов}, средств и {стандартов|эталонов}, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для {достижения|заслуги} поставленной цели в {необходимо|нужно} {рассмотреть|разглядеть} {исходные|начальные} данные и {факторы|причины}, определяющие технологическую {безопасность|сохранность} сложных информационных систем:

    • {показатели|характеристики}, характеризующие технологическую {безопасность|сохранность} информационных систем;
    • требования, предъявляемые к архитектуре ПС и БД для обеспечения {безопасности|сохранности} ИС;
    • ресурсы, {необходимые|нужные} для обеспечения технологической {безопасности|сохранности} ИС;
    • внутренние и {внешние|наружные} дестабилизирующие {факторы|причины}, {влияющие|действующие} на {безопасность|сохранность} функционирования программных средств и баз данных;
    • {методы|способы} и средства предотвращения и {снижения|понижения} {влияния|воздействия} угроз {безопасности|сохранности} ИС со стороны {дефектов|изъянов} программ и данных;
    • оперативные {методы|способы} и средства {повышения|увеличения} технологической {безопасности|сохранности} функционирования ПС и БД {путем|методом} введения в ИС временной, программной и информационной избыточности;
    • {методы|способы} и средства определения {реальной|настоящей} технологической {безопасности|сохранности} функционирования {критических|критичных} ИС.

    Основываясь на {полученных|приобретенных} данных {необходимо|нужно} выработать стратегию и {тактику|стратегию} направленную на уменьшение {факторов|причин} способных вызвать те {или|либо} {иные|другие} деструктивные последствия.

    6.
    законы, регулирующие информационную {безопасность|сохранность}

    До {последнего|крайнего} времени {проблема|неувязка} обеспечения {безопасности|сохранности} компьютерной {информации|инфы} в нашей стране {не только|не только лишь} не выдвигалась на {передний|фронтальный} край, но {фактически|практически} {полностью|стопроцентно|на сто процентов|вполне} игнорировалась. {Считалось|Числилось}, что {путем|методом} {тотальной|полной} секретности, {различными|разными} ограничениями в сфере передачи и распространения {информации|инфы}, можно решить {проблему|делему} обеспечения информационной {безопасности|сохранности}.

    {Существуют|Есть}, так {называемые|именуемые}, правовые меры обеспечения информационной {безопасности|сохранности}. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и {наступление|пришествие} ответственности за нарушение {правильности|корректности} {таких|таковых} действий.

    К {основным|главным} законам и подзаконным актам, регламентирующим деятельность в области защиты {информации|инфы} относятся:

    1. Законы {Российской|Русской} Федерации:

    • «О федеральных органах правительственной связи и {информации|инфы}» от 19.02.92 № 4524-1;
    • «О {безопасности|сохранности}» от 05.03.92 № 2446-1;
    • «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
    • «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
    • «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
    • «О стандартизации» от 10.06.93 № 5154-1;
    • «{Об|О} архивном фонде {Российской|Русской} Федерации и архивах» от 07.07.93 № 5341-1;
    • «О {государственной|гос} тайне» от 21.07.93 № 485-1;
    • «О связи» от 16.02.95 № 15-ФЗ;
    • «{Об|О} {информации|инфы}, информатизации и защите {информации|инфы}» от 20.02.95 № 24-ФЗ;
    • «{Об|О} органах федеральной службы {безопасности|сохранности} в {Российской|Русской} федерации» от 03.04.95 № 40-ФЗ;
    • «{Об|О} оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
    • «{Об|О} участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
    • «{Об|О} {электронной|электрической} цифровой подписи» от 10.01.2002 № 1-ФЗ.

    2. Нормативные правовые акты Президента {Российской|Русской} Федерации:

    • «{Об|О} основах {государственной|гос} политики в сфере информатизации» от 20.01.94 № 170;
    • «{Вопросы|Вопросцы} {межведомственной|междуведомственной} комиссии по защите {государственной|гос} {тайны|потаенны}» от 20.01.96 № 71;
    • «{Об|О} утверждении {перечня|списка} сведений {конфиденциального|секретного} {характера|нрава}» от 06.03.97 № 188;
    • «О {некоторых|неких} {вопросах|вопросцах} {межведомственной|междуведомственной} комиссии по защите {государственной|гос} {тайны|потаенны}» от 14.06.97 № 594;
    • «О {перечне|списке} сведений, отнесенных к {государственной|гос} тайне» от 24.01.98 № 61;
    • «{Вопросы|Вопросцы} {Государственной|Гос} технической комиссии при Президенте {Российской|Русской} Федерации» от 19.02.99 № 212;
    • «О концепции {национальной|государственной} {безопасности|сохранности} {Российской|Русской} Федерации» от 10.01.2000 N 24;
    • «{Об|О} утверждении {перечня|списка} должностных лиц органов {государственной|гос} власти, наделяемых {полномочиями|возможностями} по отнесению сведений к {государственной|гос} тайне» от 17.01.2000 N 6-рп;
    • Доктрина информационной {безопасности|сохранности} {Российской|Русской} Федерации от 09.09.2000 № ПР 1895.

    3. Нормативные правовые акты Правительства {Российской|Русской} Федерации:

    • «{Об|О} установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства {СССР|СССР }» от 20.02.95 N 170;
    • «О лицензировании деятель {предприятий|компаний}, учреждений и организаций по проведению работ, связанных с {использованием|внедрением} сведений, составляющих {государственную|муниципальную} тайну, созданием средств защиты {информации|инфы}, {а также|также} с {осуществлением|воплощением} мероприятий и ({или|либо}) оказанием услуг по защите {государственной|гос} {тайны|потаенны}» от 15.04.95 N 333;
    • «О сертификации средств защиты {информации|инфы}» от 26.06.95 N 608;
    • «{Об|О} утверждении правил отнесения сведений, составляющих {государственную|муниципальную} тайну, к {различным|разным} степеням секретности» 04.09.95 N 870;
    • «О подготовке к передаче сведений, составляющих {государственную|муниципальную} тайну, {другим|иным|остальным} государствам» от 02.08.97 N 973;
    • «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

    4. Руководящие документы Гостехкомиссии {России|Рф}:

    • {Концепция|Теория} защиты средств вычислительной техники и {автоматизированных|автоматических} систем от несанкционированного доступа к {информации|инфы};
    • Временное положение по организации разработки, {изготовления|производства} и эксплуатации программных и технических средств защиты {информации|инфы} от несанкционированного доступа в {автоматизированных|автоматических} системах и средствах вычислительной техники;
    • Средства вычислительной техники. Защита от несанкционированного доступа к {информации|инфы}. {Показатели|Характеристики} защищенности от несанкционированного доступа к {информации|инфы};
    • {Автоматизированные|Автоматические} системы. Защита от несанкционированного доступа к {информации|инфы}. {Классификация|Систематизация} {автоматизированных|автоматических} систем и требования по защите {информации|инфы};
    • Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к {информации|инфы}. {Показатели|Характеристики} защищенности от несанкционированного доступа к {информации|инфы};
    • Защита {информации|инфы}. {Специальные|Особые} защитные знаки. {классификация|систематизация} и общие требования;
    • Защита от несанкционированного доступа к {информации|инфы}. Часть 1. Программное обеспечение средств защиты {информации|инфы}. {Классификация|Систематизация} по уровню контроля отсутствия недекларированных {возможностей|способностей}.

    5. Уголовный Кодекс {Российской|Русской} Федерации.

    7. Методика реализации политики {безопасности|сохранности}

    Первоочередными мероприятиями по реализации {государственной|гос} политики обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации являются:

    · разработка и внедрение {механизмов|устройств} реализации правовых норм, регулирующих {отношения|дела} в информационной сфере, {а также|также} подготовка концепции правового обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · разработка и реализация {механизмов|устройств} {повышения|увеличения} эффективности {государственного|муниципального} {руководства|управления} Деятельностью {государственных|муниципальных} средств массовой {информации|инфы}, {осуществления|воплощения} {государственной|гос} информационной политики;

    · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов {государственной|гос} власти и органов {государственной|гос} власти субъектов {Российской|Русской} Федерации, {повышение|увеличение} правовой культуры и компьютерной грамотности {граждан|людей}, развитие инфраструктуры {единого|одного} информационного {пространства|места} {России|Рф}, {комплексное|всеохватывающее} противодействие угрозам информационной войны, создание {безопасных|неопасных} информационных технологий для систем, {используемых|применяемых} в процессе реализации {жизненно|актуально} {важных|принципиальных} функций общества и {государства|страны}, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального {назначения|предназначения} в интересах федеральных органов {государственной|гос} власти и органов {государственной|гос} власти субъектов {Российской|Русской} Федерации, обеспечение технологической независимости страны в области {создания|сотворения} и эксплуатации информационно-телекоммуникационных систем оборонного {назначения|предназначения};

    · развитие системы подготовки кадров, {используемых|применяемых} в области обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

      гармонизация {отечественных|российских} {стандартов|эталонов} в области информатизации и обеспечения информационной {безопасности|сохранности} {автоматизированных|автоматических} систем управления, информационных и телекоммуникационных систем общего и специального {назначения|предназначения}.

    Также существует система обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации. Она {предназначена для|создана для} реализации {государственной|гос} политики в данной сфере.

    {Основными|Главными} функциями системы обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации являются:

    · разработка нормативной правовой базы в области обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · создание {условий|критерий} для реализации прав {граждан|людей} и {общественных|публичных} объединений на разрешенную законом деятельность в информационной сфере;

    · определение и поддержание баланса {между|меж} потребностью {граждан|людей}, общества и {государства|страны} в {свободном|вольном} обмене информацией и необходимыми ограничениями на распространение {информации|инфы};

    · оценка состояния информационной {безопасности|сохранности} {Российской|Русской} Федерации, выявление источников внутренних и {внешних|наружных} угроз информационной {безопасности|сохранности}, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

    · {координация|регулирование} деятель федеральных органов {государственной|гос} власти и {других|остальных} {государственных|муниципальных} органов, решающих {задачи|задачки} обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на {законные|легитимные} интересы {граждан|людей}, общества и {государства|страны} в информационной сфере, на {осуществление|воплощение} судопроизводства по делам о {преступлениях|грехах} в {этой|данной|данной нам|данной для нас} области;

    · развитие {отечественной|российскей} информационной инфраструктуры, {а также|также} {индустрии|промышленности} телекоммуникационных и информационных средств, {повышение|увеличение} их конкурентоспособности на внутреннем и {внешнем|наружном} рынке;

    · проведение единой технической политики в области обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · организация {фундаментальных|базовых} и прикладных научных {исследований|исследовательских работ} в области обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации;

    · защита {государственных|муниципальных} информационных ресурсов, {прежде|до этого} всего в федеральных органах {государственной|гос} власти и органах {государственной|гос} власти субъектов {Российской|Русской} Федерации, на предприятиях оборонного комплекса;

    · обеспечение контроля за созданием и {использованием|внедрением} средств защиты {информации|инфы} {посредством|средством} {обязательного|неотклонимого} лицензирования деятельности в данной сфере и сертификации средств защиты {информации|инфы};

    · {осуществление|воплощение} {международного|интернационального} сотрудничества в сфере обеспечения информационной {безопасности|сохранности}, органов {государственной|гос} власти, органов {государственной|гос} власти субъектов {Российской|Русской} Федерации, {других|остальных} {государственных|муниципальных} органов, входящих в состав системы обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента {Российской|Русской} Федерации и Правительства {Российской|Русской} Федерации.

    Функции органов, координирующих деятельность федеральных органов {государственной|гос} власти, органовгосударственной власти субъектов {Российской|Русской} Федерации, {других|остальных} {государственных|муниципальных} органов, входящих в состав системы обеспечения информационной {безопасности|сохранности} {Российской|Русской} Федерации и ее подсистем, определяются отдельными нормативными правовыми актами {Российской|Русской} Федерации.

    8. {Угрозы|Опасности} и их {показатели|характеристики}



    {совокупность|совокупа} {условий|критерий} и {факторов|причин}, создающих потенциальную {или|либо} реально существующую опасность, связанную с утечкой {информации|инфы} и/{или|либо} несанкционированными и/{или|либо} {непреднамеренными|ненамеренными} {воздействиями|действиями} на нее

    По способам {воздействия|действия} на объекты информационной {безопасности|сохранности} {угрозы|опасности} подлежат {следующей|последующей} {классификации|систематизации}: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

    • несанкционированный доступ к информационным ресурсам;
    • {незаконное|нелегальное} копирование данных в информационных системах;
    • хищение {информации|инфы} из библиотек, архивов, банков и баз данных;
    • нарушение технологии обработки {информации|инфы};
    • противозаконный сбор и {использование|внедрение} {информации|инфы};
    • {использование|внедрение} информационного {оружия|орудия}.

    К программным угрозам относятся:

    • {использование|внедрение} ошибок и «дыр» в {ПО|ПО };
    • компьютерные вирусы и {вредоносные|вредные} {программы|программки};
    • установка «закладных» устройств;

    К физическим угрозам относятся:

    • {уничтожение|ликвидирование} {или|либо} разрушение средств обработки {информации|инфы} и связи;
    • хищение носителей {информации|инфы};
    • хищение программных {или|либо} аппаратных ключей и средств криптографической защиты данных;
    • {воздействие|действие} на персонал;

    К радиоэлектронным угрозам относятся:

    • внедрение {электронных|электрических} устройств перехвата {информации|инфы} в технические средства и помещения;
    • перехват, расшифровка, {подмена|замена} и {уничтожение|ликвидирование} {информации|инфы} в каналах связи.

    К организационно-правовым угрозам относятся:

    • закупки {несовершенных|неидеальных} {или|либо} устаревших информационных технологий и средств информатизации;
    • нарушение требований законодательства и задержка в принятии {необходимых|нужных} нормативно-правовых решений в информационной сфере.

    Словарь {терминов|определений} Гостехкомиссии {определяет|описывает} понятие угроз {национальной|государственной} {безопасности|сохранности} {России|Рф} в информационной сфере {следующим|последующим} образом:



    являются:

    · {стремление|рвение} ряда {стран|государств} к {доминированию|преобладанию} в мировом информационном пространстве, вытеснению {России|Рф} с {внешнего|наружного} и внутреннего информационного рынка;

      разработка {государств|стран} концепции информационных войн, предусматривающей создание средств {опасного|небезопасного} {воздействия|действия} на информационные сферы {других|остальных} {стран|государств} мира; нарушение {нормального|обычного} функционирования информационных и телекоммуникационных систем; {а также|также} сохранности информационных ресурсов, получения несанкционированного доступа к ним.

    К мерам противодействия {указанным|обозначенным} угрозам {необходимо|нужно} отнести:

    · постановку и проведение научных {исследований|исследовательских работ}, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

    · развитие {отечественной|российскей} {индустрии|промышленности} в области {создания|сотворения} и производства оборудования {элементов|частей} телекоммуникационных систем;

    · минимизацию числа {иностранных|зарубежных} {фирм|компаний} — поставщиков;

    · координацию действий по проверке надежности {указанных|обозначенных} {фирм|компаний};

    · уменьшению номенклатуры поставляемого оборудования;

    · переходу от поставок оборудования к поставкам {комплектующих|девайсов} на {элементарном|простом} уровне;

    · установлению приоритета в использовании {отечественных|российских} средств защиты этих систем.

    9. {Стандарты|Эталоны} {безопасности|сохранности} Гостехкомиссии

    РД Гостехкомиссии {России|Рф} составляют {основу|базу} нормативной базы в области защиты от НСД к {информации|инфы} в нашей стране. {Наиболее|Более} {значимые|важные} из {них|их}, определяющие {критерии|аспекты} для оценки защищенности АС (СВТ), рассматриваются ниже.

    {Критерии|Аспекты} для оценки {механизмов|устройств} защиты программно-технического уровня, {используемые|применяемые} при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии {РФ|РФ } «АС. защита от НСД к {информации|инфы}. {Классификация|Систематизация} АС и требования по защите {информации|инфы}» и «СВТ. Защита от НСД к {информации|инфы}. {Показатели|Характеристики} защищенности от НСД к {информации|инфы}».




    РД «СВТ. Защита от НСД к {информации|инфы}. {Показатели|Характеристики} защищенности от НСД к {информации|инфы}» устанавливает {классификацию|систематизацию} СВТ по уровню защищенности от НСД к {информации|инфы} на базе {перечня|списка} {показателей|характеристик} защищенности и {совокупности|совокупы} описывающих их требований. ({Основным|Главным} «источником вдохновения» при разработке этого документа послужила {знаменитая|именитая} {американская|южноамериканская} «Оранжевая {книга|книжка}»). Устанавливается семь классов защищенности СВТ от НСД к {информации|инфы}. Самый {низкий|маленький} класс седьмой, самый {высокий|высочайший} — {первый|1-ый}. Классы {подразделяются|разделяются} на четыре группы, отличающиеся уровнем защиты:

    {Первая|1-ая} группа
    содержит {только|лишь} один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям {более|наиболее} {высоких|больших} классов;

    {Вторая|2-ая} группа
    характеризуется дискреционной защитой и содержит {шестой|6-ой} и {пятый|5-ый} классы;

    {Третья|3-я} группа
    характеризуется мандатной защитой и содержит {четвертый|4-ый}, {третий|3-ий} и {второй|2-ой} классы;

    {Четвертая|4-ая} группа
    характеризуется верифицированной защитой содержит {только|лишь} {первый|1-ый} класс.




    РД «АС. Защита от НСД к {информации|инфы}. {Классификация|Систематизация} АС и требования по защите {информации|инфы}» устанавливает {классификацию|систематизацию} {автоматизированных|автоматических} систем, подлежащих защите от несанкционированного доступа к {информации|инфы}, и требования по защите {информации|инфы} в АС {различных|разных} классов. К числу определяющих признаков, по которым {производится|делается} группировка АС в {различные|разные} классы, относятся:

    • наличие в АС {информации|инфы} различного уровня конфиденциальности;
    • уровень {полномочий|возможностей} субъектов доступа АС на доступ к {конфиденциальной|секретной} {информации|инфы};
    • режим обработки данных в АС — коллективный {или|либо} {индивидуальный|личный}.

    Устанавливается девять классов защищенности АС от НСД к {информации|инфы}. {Каждый|Любой} класс характеризуется определенной {минимальной|малой} {совокупностью|совокупой} требований по защите. Классы {подразделяются|разделяются} на три группы, отличающиеся {особенностями|чертами} обработки {информации|инфы} в АС. В {пределах|границах} каждой группы соблюдается иерархия требований по защите {в зависимости от|зависимо от} ценности и конфиденциальности {информации|инфы} и, {следовательно|как следует}, иерархия классов защищенности АС.




    При анализе системы защиты {внешнего|наружного} периметра корпоративной сети в качестве {основных|главных} критериев {целесообразно|целенаправлено} {использовать|применять|употреблять} РД «СВТ. Межсетевые экраны. защита от НСД к {информации|инфы}. {Показатели|Характеристики} защищенности от НСД к {информации|инфы}«. Данный документ {определяет|описывает} {показатели|характеристики} защищенности межсетевых экранов (МЭ). {Каждый|Любой} показатель защищенности представляет собой набор требований {безопасности|сохранности}, характеризующих определенную область функционирования МЭ. Всего выделяется {пять|5} {показателей|характеристик} защищенности:

    • Управление доступом;
    • идентификация и аутентификация;
    • Регистрация событий и оповещение;
    • Контроль целостности;
    • Восстановление работоспособности.

    На основании {показателей|характеристик} защищенности определяются {следующие|последующие} {пять|5} классов защищенности МЭ:

    • {Простейшие|Простые} фильтрующие маршрутизаторы — 5 класс;
    • Пакетные фильтры сетевого уровня — 4 класс;
    • {Простейшие|Простые} МЭ прикладного уровня — 3 класс;
    • МЭ {базового|базисного} уровня — 2 класс;
    • Продвинутые МЭ — 1 класс.

    МЭ первого класса защищенности могут {использоваться|употребляться} в АС класса 1А, обрабатывающих информацию «{Особой|Особенной} {важности|значимости}». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, {предназначенный для|созданный для} обработки «{совершенно|совсем} {секретной|скрытой}» {информации|инфы} и т.п.

    Также к {стандартам|эталонам} {России|Рф} в области информационной {безопасности|сохранности} относятся:

    · Гост 28147-89 – блочный шифр с 256-битным ключом;

    · Гост Р 34.11-94 –функция хэширования;

    · Гост Р 34.10-94 –{алгоритм|метод} цифровой подписи.

    10. Европейские {стандарты|эталоны} {безопасности|сохранности}


    {Наиболее|Более} {полно|много} {критерии|аспекты} для оценки {механизмов|устройств} {безопасности|сохранности} программно-технического уровня представлены в международном {стандарте|эталоне} ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие {критерии|аспекты} оценки {безопасности|сохранности} информационных технологий), принятом в 1999 году.

    Общие {критерии|аспекты} оценки {безопасности|сохранности} информационных технологий ({далее|дальше} «Общие {критерии|аспекты}») определяют {функциональные|многофункциональные} требования {безопасности|сохранности} (security functional requirements) и требования к адекватности реализации функций {безопасности|сохранности} (security assurance requirements).

    Хотя применимость «Общих критериев» ограничивается механизмами {безопасности|сохранности} программно-технического уровня, в {них|их} содержится определенный набор требований к механизмам {безопасности|сохранности} организационного уровня и требований по физической защите, которые {непосредственно|конкретно} {связаны|соединены} с описываемыми функциями {безопасности|сохранности}.

    {Первая|1-ая} часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки {безопасности|сохранности} ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования к функциональности средств защиты приводятся во {второй|2-ой} части «Общих критериев» и могут быть {непосредственно|конкретно} {использованы|применены} при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций {безопасности|сохранности}.

    {Третья|3-я} часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и {механизмов|устройств} защиты под {названием|заглавием} AVA: Vulnerability Assessment. Данный класс требований {определяет|описывает} {методы|способы}, которые должны {использоваться|употребляться} для предупреждения, выявления и ликвидации {следующих|последующих} типов уязвимостей:

    · наличие побочных каналов утечки {информации|инфы};

    · Ошибки в конфигурации {либо|или} {неправильное|неверное} {использование|внедрение} системы, приводящее к переходу в небезопасное состояние;

    · {Недостаточная|Недостающая} надежность (стойкость) {механизмов|устройств} {безопасности|сохранности}, реализующих {соответствующие|надлежащие} функции {безопасности|сохранности};

    · наличие уязвимостей («дыр») в средствах защиты {информации|инфы}, дающих возможность {пользователям|юзерам} получать НСД к {информации|инфы} в обход {существующих|имеющихся} {механизмов|устройств} защиты.


    {Наиболее|Более} {полно|много} {критерии|аспекты} для оценки {механизмов|устройств} {безопасности|сохранности} организационного уровня представлены в международном {стандарте|эталоне} ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной {безопасностью|сохранностью}), принятом в 2000 году. ISO 17799 является ни чем {иным|другим}, как {международной|интернациональной} версией {британского|английского} {стандарта|эталона} BS 7799.

    ISO 17799 содержит практические правила по управлению информационной {безопасностью|сохранностью} и может {использоваться|употребляться} в качестве критериев для оценки {механизмов|устройств} {безопасности|сохранности} организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические правила разбиты на {следующие|последующие} 10 разделов:

    · Политика {безопасности|сохранности};

    · Организация защиты;

    · {Классификация|Систематизация} ресурсов и их контроль;

    · {Безопасность|Сохранность} персонала;

    · Физическая {безопасность|сохранность};

    · Администрирование компьютерных систем и вычислительных сетей;

    · Управление доступом;

    · Разработка и сопровождение информационных систем;

    · Планирование бесперебойной работы организации;

    · Контроль выполнения требований политики {безопасности|сохранности}.

    В этих разделах содержится описание {механизмов|устройств} {безопасности|сохранности} организационного уровня, реализуемых в {настоящее|истинное} время в правительственных и коммерческих организациях {во многих|в почти всех} странах мира.

    {Десять|10} средств контроля, предлагаемых в ISO 17799 (они обозначены как {ключевые|главные}), {считаются|числятся} {особенно|в особенности} {важными|необходимыми}. Под средствами контроля в данном контексте понимаются механизмы управления информационной {безопасностью|сохранностью} организации.

    {Ключевыми|Главными} являются {следующие|последующие} средства контроля:

    · Документ о политике информационной {безопасности|сохранности};

    · Распределение {обязанностей|обязательств} по обеспечению информационной {безопасности|сохранности};

    · {Обучение|Обучение } и подготовка персонала к поддержанию режима информационной {безопасности|сохранности};

    · {Уведомление|Извещение} о {случаях|вариантах} нарушения защиты;

    · средства защиты от вирусов;

    · Планирование бесперебойной работы организации;

    · Контроль над копированием программного обеспечения, защищенного законом {об|о} авторском праве;

    · защита документации организации;

    · Защита данных;

    · Контроль соответствия политике {безопасности|сохранности}.

    Процедура аудита {безопасности|сохранности} АС {включает в себя|содержит в себе} проверку наличия перечисленных {ключевых|главных} средств контроля, оценку полноты и {правильности|корректности} их реализации, {а также|также} анализ их адекватности рискам, {существующим|имеющимся} в данной среде функционирования. Составной частью работ по аудиту {безопасности|сохранности} АС также является анализ и управление рисками.

    11. {Стандарт|Эталон} {безопасности|сохранности} {США|США }








    «Department of Defense Trusted Computer System Evaluation Criteria»

    OK принята {стандартом|эталоном} в 1985 г. Министерством обороны {США|США } (DOD). Полное

    названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

    OK предназначается для {следующих|последующих} целей:

    • Предоставить производителям {стандарт|эталон}, устанавливающий, какими средствами {безопасности|сохранности} следует оснащать свои {новые|новейшие} и планируемые продукты, {чтобы|чтоб} поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, {прежде|до этого} всего, защиту от раскрытия данных) для использования при обработке ценной {информации|инфы};
    • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, {предназначенных для|созданных для} обработки служебной и {другой|иной} ценной {информации|инфы};
    • Обеспечить базу для исследования требований к выбору защищенных систем.

    {Рассматривают|Разглядывают} два типа оценки:

    • без учета среды, {в которой|в какой} работает техника;
    • в {конкретной|определенной} среде (эта процедура {называется|именуется} аттестованием).

    Во всех документах DOD, связанных с ОК, принято одно {понимание|осознание} фразы обеспечение {безопасности|сохранности} {информации|инфы}. Это {понимание|осознание} принимается как {аксиома|теорема} и формулируется {следующим|последующим} образом: {безопасность|сохранность} = контроль за доступом.

    Классы систем, {распознаваемые|опознаваемые} {при помощи|с помощью} критериев оценки гарантированно защищенных вычислительных систем, определяются {следующим|последующим} образом. Они представлены в порядке нарастания требований {с точки зрения|исходя из убеждений} обеспечения {безопасности|сохранности} {ЭВМ|ЭВМ }.

    1. Класс (D): {Минимальная|Малая} защита

    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

    3. Класс (С2): защита, основанная на управляемом контроле доступом

    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

    5. Класс (B2): Структурированная защита

    6. Класс (ВЗ): Домены {безопасности|сохранности}

    7. Класс (A1): Верифицированный проект

    2. FIPS 140-2
    «Требования {безопасности|сохранности} для криптографических модулей»

    В федеральном {стандарте|эталоне} {США|США } FIPS 140-2 «Требования {безопасности|сохранности} для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/{или|либо} программных (в том числе {встроенных|интегрированных}) {компонентов|компонент}, реализующих утвержденные функции {безопасности|сохранности} (включая криптографические {алгоритмы|методы}, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в {пределах|границах} {явно|очевидно} определенного, непрерывного периметра.

    В {стандарте|эталоне} FIPS 140-2 рассматриваются криптографические модули, {предназначенные для|созданные для} защиты {информации|инфы} ограниченного доступа, не являющейся {секретной|скрытой}. {То есть|Другими словами} речь идет о промышленных изделиях, представляющих {интерес|энтузиазм} для {основной|главный} массы организаций. наличие подобного модуля — {необходимое|нужное} условие обеспечения защищенности сколько-нибудь развитой информационной системы; {однако|но}, {чтобы|чтоб} {выполнять|делать} предназначенную ему роль, сам модуль также нуждается в защите, как {собственными|своими} средствами, так и средствами окружения ({например|к примеру}, операционной системы).




    Также к {стандартам|эталонам} информационной {безопасности|сохранности} {США|США } относится {алгоритм|метод} шифрования DES,который был разработан в 1970-х годах, и который базируется на {алгоритме|методе} DEA.

    {Исходные|Начальные} идеи {алгоритма|метода} шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, {описанных|обрисованных} Клодом Шенноном в 1940-х годах. {Первоначально|Сначало} эта методика шифрования называлась lucifer ({разработчик|разраб} Хорст Фейштель), {название|заглавие} dea она получила {лишь|только} в 1976 году. Lucifer был первым блочным {алгоритмом|методом} шифрования, он {использовал|употреблял} блоки размером 128 бит и 128-битовый ключ. По существу этот {алгоритм|метод} являлся {прототипом|макетом} DEA.

    Заключение

    Статистика {показывает|указывает}, что во всех странах убытки от {злонамеренных|злостных} действий {непрерывно|безпрерывно} {возрастают|растут}. {Причем|При этом} {основные|главные} {причины|предпосылки} убытков {связаны|соединены} не столько с {недостаточностью|дефицитностью} средств {безопасности|сохранности} как {таковых|таких}, сколько с отсутствием {взаимосвязи|связи} {между|меж} ними, т.е. с нереализованностью системного подхода. {Поэтому|Потому} {необходимо|нужно} опережающими темпами {совершенствовать|улучшать} {комплексные|всеохватывающие} средства защиты.

    Можно сказать, что не существует {одного|1-го} {абсолютно|полностью} надежного {метода|способа} защиты. {Наиболее|Более} полную {безопасность|сохранность} можно обеспечить {только|лишь} при {комплексном|всеохватывающем} подходе к этому {вопросу|вопросцу}. {Необходимо|Нужно} {постоянно|повсевременно} {следить|смотреть} за {новыми|новенькими} решениями в {этой|данной|данной нам|данной для нас} области.

    Литература

  • Закон {РФ|РФ } «О {государственной|гос} тайне»
  • закон{РФ|РФ } «{Об|О} {информации|инфы}, информатизации и защите {информации|инфы}«
  • Доктрина информационной {безопасности|сохранности} {Российской|Русской} Федерации от 09.09.2000 № ПР 1895.
  • Словарь {терминов|определений} Гостехкомиссии при президенте {РФ|РФ }
  • СтандартбезопасностиСША “Оранжеваякнига” («Department of Defense Trusted Computer System Evaluation Criteria»)
  • Носов В.А. Вводный курс по дисциплине “Информационная {безопасность|сохранность}”
  • HTTP://www.jetinfo.ru/2002/7/1/article1.7.200231.html — Нормативная база анализа защищенности
  • http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
  • HTTP://snoopy.falkor.gen.nz/~rae/des.html — описание {алгоритма|метода} DES
  • HTTP://markova-ne.narod.ru/infbezop.html — {Вопросы|Вопросцы} ИБ и {СМИ|СМИ }
  • HTTP://www.ctta.ru/ — {Некоторые|Некие} {проблемы|трудности|задачи|препядствия} ИБ
  • HTTP://www.infosecurity.ru/_site/problems.shtml — {Суть|Сущность} {проблемы|трудности|задачи|препядствия} Информационной {Безопасности|Сохранности}
  • HTTP://www.jetinfo.ru/2004/11/3/article3.11.2004.html — Федеральный {стандарт|эталон} {США|США } FIPS 140-2
  • ]]>

    АНО ВПО ЦС РФ

    «РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

    Реферат по дисциплине: «Информационный менеджмент»

    Для специальности 351400 «Прикладная информатика (в экономике)»

    Тема: «
    Формирование и обеспечение всеохватывающей защищенности информационных ресурсов»

    Выполнил:

    Студент Маркин М.П.

    Группа ПИ07-оч.1

    Педагог:

    Суркова Л.Е.

    Москва 2011 г

    Содержание

    Введение

    1. Программные и программно-аппаратные средства обеспечения сохранности инфы

    3

    4

    2. Препядствия информационной сохранности
    4

    3.Криптографические способы защиты инфы
    5

    4. Муниципальная политика в области информационной сохранности
    7

    5. Препядствия информационной сохранности
    9

    6. законы, регулирующие информационную сохранность
    10

    7. Методика реализации политики сохранности
    11

    8. Опасности и их характеристики
    13

    9. Эталоны сохранности Гостехкомиссии
    14

    10. Европейские эталоны сохранности
    16

    11. Эталон сохранности США

    Заключение

    17

    18

    Литература
    19

    Введение

    неувязка защиты инфы: надежное обеспечение ее сохранности и установление статуса использования — является одной из важных заморочек современности.

    Еще 25-30 лет вспять задачка защиты инфы могла быть отлично решена при помощи организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Возникновение индивидуальных ЭВМ , локальных и глобальных сетей, спутниковых каналов связи, действенных технической разведки и секретной инфы значительно обострило делему защиты инфы.

    Чертами современных информационных технологий являются:

    — Повышение числа автоматических действий в системах обработки данных и значимости принимаемых на их базе решений;

    — Территориальная распределенность компонент компьютерной системы и передача инфы меж этими компонентами;

    — Усложнение программных и аппаратных средств компьютерных систем;

    — Скопление и долгое хранение огромных массивов данных на электрических носителях;

    — Интеграция в единую базу данных информацию различной направленности разных способов доступа;

    — Конкретный доступ к ресурсам компьютерной системы огромного количества юзеров различной группы и с разными правами доступа в системе;

    — Рост цены ресурсов компьютерных систем.

    Рост количества и свойства угроз сохранности инфы в компьютерных системах не постоянно приводит к адекватному ответу в виде сотворения надежной системы и неопасных информационных технологий. В большинстве коммерческих и муниципальных организаций, не говоря о обычных юзерах, в качестве средств защиты употребляются лишь антивирусные программки и разграничение прав доступа юзеров на базе паролей.

    1. Программные и программно-аппаратные средства обеспечения сохранности инфы

    К аппаратным средствам защиты инфы относятся электрические и электронно-механические устройства, включаемые в состав КС и выполняющие(как без помощи других, так и с помощью программных средств) некие функции по обеспечению сохранности инфы.

    К главным аппаратным средствам защиты инфы относятся:

    — Устройства ввода идентифицирующий юзера инфы;

    — Устройства шифрования инфы;

    — Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

    Под программными средствами информационной сохранности соображают особые программные средства, включаемые в состав программного обеспечения КС только для выполнения защитах функций.

    К главным программным средствам защиты инфы относятся:

    — Программки идентификации аутентификации юзеров КС;

    — Программки разграничения доступа юзера к ресурсам КС;

    — Программки от несанкционированного доступа , копирования конфигурации и использования.

    Под идентификацией юзера, применительно к обеспечению сохранности КС, однозначное распознание неповторимого имени субъекта КС. Аутентификация значит доказательство того, что предъявленное имя соответствует конкретно данному субъекту.

    К преимуществам программных средств защиты инфы относятся:

    — простота тиражирования

    — Упругость (возможность опции на разные условия внедрения)

    — Простота внедрения

    — Фактически неограниченные способности их развития

    К недочета программных средств относятся:

    — понижение эффективности КС за счет употребления ее ресурсов, требуемых для функционирования программ защиты.

    — Наиболее низкая производительность по сопоставлению с подобными функциями защиты аппаратными средствами

    — Пристыкованность почти всех программных средств(а не встроенность в средства КС)

    2.Требования к всеохватывающим к комплектным система защиты инфы

    Главные требования к всеохватывающей системе защиты инфы

    — Разработка на базе положений и требований имеющихся законов, эталонов и нормативно — методических документов по обеспечению информационной сохранности;

    — Внедрение комплекса программно-технических средств и организационных мер по защите КС;

    — Надежность, конфигурируемость, производительность;

    — Финансовая необходимость;

    — Выполнение на всех шагах жизни обработки инфы в КС

    — Возможность совершенствования

    — Обеспечения разграничения доступа к секретной инфы и отвлечение нарушителя на неверную информацию;

    — Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

    — Обеспечение провидения учета и расследования случаев нарушения сохранности;

    — не обязана вызывать у юзера психического противодействия и рвение обойтись без ее средств;

    — возможность оценки эффективности ее внедрения

    3.Криптографические способы защиты инфы

    Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­о­ра­зо­ва­ния, исключающего ее про­чте­ние по­100­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский мозг с дав­их вре­мен. История криптографии — ровесница истории людского языка. Наиболее того, сначало письменность сама по для себя была криптографической системой, потому что в старых обществах ею обладали лишь избранные. Священные книжки Древ­него Егип­та, Древ­ней Индии тому примеры.

    С широким распространением письменности тайнопись стала формироваться как самостоятельная наука. 1-ые криптосистемы встречаются уже сначала нашей эпохи. Так, Цезарь в собственной переписке употреблял уже наиболее наименее периодический шифр, получивший его имя.

    Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по сегодняшний денек возникновение вычислительных средств ускорило разработку и улучшение криптографических способов.

    По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) 100­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

    С од­ной 100­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, а именно глобальной сети Веб, по ко­то­рым пе­ре­да­ют­ся боль ­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­100­рон­их лиц.

    С дру­гой 100­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

    Про­бле­мой защиты инфы методом ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

    Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­о­ра­зо­ва­ния ин­фор­ма­ции.

    Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

    Современная тайнопись содержит в себе четыре больших раздела:

    Симметричные криптосистемы.

    Криптосистемы с открытым ключом.

    системы электрической подписи.

    Управление ключами.

    Главные направления использования криптографических способов — передача секретной инфы по каналам связи (к примеру, электрическая почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

    2.1.1.системы с открытым ключом

    Вроде бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
    . Для то­го, что­бы был воз­мо­жен о­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из их, а за­тем ка­ким-то о­ра­зом снова же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в о­щем слу­чае для пе­ре­да­чи клю­ча снова же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

    Для ре­ше­ния данной нам про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных традиционной и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

    Сущность их со­100­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
    , а дру­гой за­кры­тым
    . От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­о­ще­ние ад­ре­са­ту. Скрытый ключ сохраняется в тайне.

    Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван этим же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­о­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

    .

    Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так именуемые не­о­ра­ти­мые либо од­но­100­рон­ние функ­ции
    , ко­то­рые о­ла­да­ют сле­дую­щим собственный­ст­вом: при за­дан­ном зна­че­нии
    от­но­си­тель­но про­100 вы­чис­лить зна­че­ние
    од­на­ко ес­ли
    =
    ), то нет про­100­го пу­ти для вы­чис­ле­ния зна­че­ния

    Мно­же­ст­во клас­сов не­о­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­о­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­о­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

    В са­мом оп­ре­де­ле­нии не­о­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
    понимается не теоретическая необратимость, а практическая невозможность вычислить оборотное времени.

    По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

    1. Пре­о­ра­зо­ва­ние ис­ход­но­го тек­100 долж­но быть не­о­ра­ти­мым и ис­клю­чать его вос­100­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

    2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При всем этом же­ла­тель­на точ­ная ниж­няя оцен­ка трудности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

    Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

    Совершенно же все предлагаемые сейчас криптосистемы с открытым ключом опираются на один из последующих типов необратимых преобразований:

    1. Разложение огромных чисел на обыкновенные множители.

    2. Вычисление логарифма в конечном поле.

    3. Вычисление корней алгебраических уравнений.

    тут же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в 3-х на­зна­че­ни­ях.

    1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
    пе­ре­да­вае­мых и хра­ни­мых дан­ных.

    2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
    . Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять о­мен боль ­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

    3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
    .

    2.1.2.Электрическая подпись

    В 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

    В чем со­100­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

    В кон­це обыч­но­го пись­ма либо до­ку­мен­та ис­пол­ни­тель либо от­вет­ст­вен­ное ли­цо обыч­но 100­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го о­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

    Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­100, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло о­100­ит ина­че. Под­де­лать це­поч­ку би­тов, про­100 ее ско­пи­ро­вав, либо не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

    С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их о­ра­бот­ки осо­бо ак­ту­аль­ной 100­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

    В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

    Время от времени нет необходимости зашифровывать передаваемое сообщение, но необходимо его скрепить электрической подписью. В этом случае текст шифруется закрытым ключом отправителя и приобретенная цепочка знаков прикрепляется к документу. Получатель при помощи открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

    4.
    Муниципальная Политика в области информационной сохранности



    состояние защищенности информационной среды общества, обеспечивающее ее формирование, внедрение и развитие в интересах людей, организаций, страны.

    Под

    понимается состояние защищенности ее государственных интересов в информационной сфере, определяющихся совокупой равновесных интересов личности, общества и страны.

    Под государственными интересами Русской Федерации понимается:

    • Информационное сервис управления
    • Сохранность инфраструктуры
    • Развитие информационных средств
    • защита прав человека в информационной сфере
    • Защита прав на личную информацию
    • Защита баз данных
    • Достоверность передаваемой инфы

    На базе государственных интересов Русской Федерации в информационной сфере формируются стратегические и текущие задачки внутренней и наружной политики страны по обеспечению информационной сохранности.



    описывает главные направления деятель федеральных органов гос власти и органов гос власти субъектов Русской Федерации в данной нам области, порядок закрепления их обязательств и ответственности за защищенность интересов Русской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и страны в информационной сфере.



    основывается на последующих принципах:

    • Федеральная программка ИБ
    • Нормативно-правовая база
    • Регламентация доступа к инфы
    • Юридическая ответственность за сохранность инфы
    • Контроль за разработкой и внедрением средств защиты инфы
    • Предоставление гражданам доступа к мировым информационным системам

    анализ и прогнозирование угроз информационной сохранности Русской Федерации, разрабатывает меры по ее обеспечению;

    · организует работу законодательных (презентабельных) и исполнительных органов гос власти Русской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной сохранности Русской Федерации;

    · поддерживает деятельность публичных объединений, направленную на беспристрастное информирование населения о социально важных явлениях публичной жизни, защиту общества от искаженной и недостоверной инфы;

    · производит контроль за разработкой, созданием, развитием, внедрением, экспортом и импортом средств защиты инфы средством их сертификации и лицензирования деятельности в области защиты инфы;

    · проводит нужную протекционистскую политику в отношении производителей средств информатизации и защиты инфы на местности Русской Федерации и воспринимает меры по защите внутреннего рынка от проникания на него некачественных средств информатизации и информационных товаров;

    · содействует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

    · определяет и реализует муниципальную информационную политику Рф;

    · организует разработку федеральной программки обеспечения информационной сохранности Русской Федерации, объединяющей усилия муниципальных и негосударственных организаций в данной области;

    · содействует интернационализации глобальных информационных сетей и систем, также вхождению Рф в мировое информационное общество на критериях равноправного партнерства.

    Улучшение правовых устройств регулирования публичных отношений, возникающих в информационной сфере, является приоритетным направлением гос политики в области обеспечения информационной сохранности Русской Федерации.

    5.
    Препядствия информационной сохранности

    Обширное внедрение информационных технологий в жизнь современного общества привело к возникновению ряда общих заморочек информационной сохранности:

    • нужно гарантировать непрерывность и правильность функционирования важных информационных систем (ИС), обеспечивающих сохранность людей и экологической обстановки;
    • нужно обеспечить защиту имущественных прав людей, компаний и страны в согласовании с требованиями штатского, административного и хозяйственного права (включая защиту секретов и умственной принадлежности);
    • нужно защитить штатские права и свободы, гарантированные работающим законодательством (включая Право на доступ к инфы).

    Необходимо знать, что
    . И эта уязвимость по отношению к случайным и умышленным отрицательным действиям выдвинула трудности информационной сохранности в разряд важных, определяющих принципную возможность и эффективность внедрения ряда ИС в штатских и военных отраслях.

    Основная работа по понижению дестабилизирующих причин в области информационной сохранности — раскрыть фактически сущность трудности, конкретизировать дестабилизирующие причины и представить главные способы, способные существенно повысить защищенность ИС. Эта неувязка в значимой степени решается средством способов, средств и эталонов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для заслуги поставленной цели в нужно разглядеть начальные данные и причины, определяющие технологическую сохранность сложных информационных систем:

    • характеристики, характеризующие технологическую сохранность информационных систем;
    • требования, предъявляемые к архитектуре ПС и БД для обеспечения сохранности ИС;
    • ресурсы, нужные для обеспечения технологической сохранности ИС;
    • внутренние и наружные дестабилизирующие причины, действующие на сохранность функционирования программных средств и баз данных;
    • способы и средства предотвращения и понижения воздействия угроз сохранности ИС со стороны изъянов программ и данных;
    • оперативные способы и средства увеличения технологической сохранности функционирования ПС и БД методом введения в ИС временной, программной и информационной избыточности;
    • способы и средства определения настоящей технологической сохранности функционирования критичных ИС.

    Основываясь на приобретенных данных нужно выработать стратегию и стратегию направленную на уменьшение причин способных вызвать те либо другие деструктивные последствия.

    6.
    законы, регулирующие информационную сохранность

    До крайнего времени неувязка обеспечения сохранности компьютерной инфы в нашей стране не только лишь не выдвигалась на фронтальный край, но практически вполне игнорировалась. Числилось, что методом полной секретности, разными ограничениями в сфере передачи и распространения инфы, можно решить делему обеспечения информационной сохранности.

    Есть, так именуемые, правовые меры обеспечения информационной сохранности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и пришествие ответственности за нарушение корректности таковых действий.

    К главным законам и подзаконным актам, регламентирующим деятельность в области защиты инфы относятся:

    1. Законы Русской Федерации:

    • «О федеральных органах правительственной связи и инфы» от 19.02.92 № 4524-1;
    • «О сохранности» от 05.03.92 № 2446-1;
    • «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
    • «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
    • «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
    • «О стандартизации» от 10.06.93 № 5154-1;
    • «О архивном фонде Русской Федерации и архивах» от 07.07.93 № 5341-1;
    • «О гос тайне» от 21.07.93 № 485-1;
    • «О связи» от 16.02.95 № 15-ФЗ;
    • «О инфы, информатизации и защите инфы» от 20.02.95 № 24-ФЗ;
    • «О органах федеральной службы сохранности в Русской федерации» от 03.04.95 № 40-ФЗ;
    • «О оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
    • «О участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
    • «О электрической цифровой подписи» от 10.01.2002 № 1-ФЗ.

    2. Нормативные правовые акты Президента Русской Федерации:

    • «О основах гос политики в сфере информатизации» от 20.01.94 № 170;
    • «Вопросцы междуведомственной комиссии по защите гос потаенны» от 20.01.96 № 71;
    • «О утверждении списка сведений секретного нрава» от 06.03.97 № 188;
    • «О неких вопросцах междуведомственной комиссии по защите гос потаенны» от 14.06.97 № 594;
    • «О списке сведений, отнесенных к гос тайне» от 24.01.98 № 61;
    • «Вопросцы Гос технической комиссии при Президенте Русской Федерации» от 19.02.99 № 212;
    • «О концепции государственной сохранности Русской Федерации» от 10.01.2000 N 24;
    • «О утверждении списка должностных лиц органов гос власти, наделяемых возможностями по отнесению сведений к гос тайне» от 17.01.2000 N 6-рп;
    • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.

    3. Нормативные правовые акты Правительства Русской Федерации:

    • «О установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР » от 20.02.95 N 170;
    • «О лицензировании деятель компаний, учреждений и организаций по проведению работ, связанных с внедрением сведений, составляющих муниципальную тайну, созданием средств защиты инфы, также с воплощением мероприятий и (либо) оказанием услуг по защите гос потаенны» от 15.04.95 N 333;
    • «О сертификации средств защиты инфы» от 26.06.95 N 608;
    • «О утверждении правил отнесения сведений, составляющих муниципальную тайну, к разным степеням секретности» 04.09.95 N 870;
    • «О подготовке к передаче сведений, составляющих муниципальную тайну, иным государствам» от 02.08.97 N 973;
    • «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

    4. Руководящие документы Гостехкомиссии Рф:

    • Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы;
    • Временное положение по организации разработки, производства и эксплуатации программных и технических средств защиты инфы от несанкционированного доступа в автоматических системах и средствах вычислительной техники;
    • Средства вычислительной техники. Защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
    • Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы;
    • Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
    • Защита инфы. Особые защитные знаки. систематизация и общие требования;
    • Защита от несанкционированного доступа к инфы. Часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей.

    5. Уголовный Кодекс Русской Федерации.

    7. Методика реализации политики сохранности

    Первоочередными мероприятиями по реализации гос политики обеспечения информационной сохранности Русской Федерации являются:

    · разработка и внедрение устройств реализации правовых норм, регулирующих дела в информационной сфере, также подготовка концепции правового обеспечения информационной сохранности Русской Федерации;

    · разработка и реализация устройств увеличения эффективности муниципального управления Деятельностью муниципальных средств массовой инфы, воплощения гос информационной политики;

    · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов гос власти и органов гос власти субъектов Русской Федерации, увеличение правовой культуры и компьютерной грамотности людей, развитие инфраструктуры одного информационного места Рф, всеохватывающее противодействие угрозам информационной войны, создание неопасных информационных технологий для систем, применяемых в процессе реализации актуально принципиальных функций общества и страны, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального предназначения в интересах федеральных органов гос власти и органов гос власти субъектов Русской Федерации, обеспечение технологической независимости страны в области сотворения и эксплуатации информационно-телекоммуникационных систем оборонного предназначения;

    · развитие системы подготовки кадров, применяемых в области обеспечения информационной сохранности Русской Федерации;

      гармонизация российских эталонов в области информатизации и обеспечения информационной сохранности автоматических систем управления, информационных и телекоммуникационных систем общего и специального предназначения.

    Также существует система обеспечения информационной сохранности Русской Федерации. Она создана для реализации гос политики в данной сфере.

    Главными функциями системы обеспечения информационной сохранности Русской Федерации являются:

    · разработка нормативной правовой базы в области обеспечения информационной сохранности Русской Федерации;

    · создание критерий для реализации прав людей и публичных объединений на разрешенную законом деятельность в информационной сфере;

    · определение и поддержание баланса меж потребностью людей, общества и страны в вольном обмене информацией и необходимыми ограничениями на распространение инфы;

    · оценка состояния информационной сохранности Русской Федерации, выявление источников внутренних и наружных угроз информационной сохранности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

    · регулирование деятель федеральных органов гос власти и остальных муниципальных органов, решающих задачки обеспечения информационной сохранности Русской Федерации;

    · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на легитимные интересы людей, общества и страны в информационной сфере, на воплощение судопроизводства по делам о грехах в данной нам области;

    · развитие российскей информационной инфраструктуры, также промышленности телекоммуникационных и информационных средств, увеличение их конкурентоспособности на внутреннем и наружном рынке;

    · проведение единой технической политики в области обеспечения информационной сохранности Русской Федерации;

    · организация базовых и прикладных научных исследовательских работ в области обеспечения информационной сохранности Русской Федерации;

    · защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти и органах гос власти субъектов Русской Федерации, на предприятиях оборонного комплекса;

    · обеспечение контроля за созданием и внедрением средств защиты инфы средством неотклонимого лицензирования деятельности в данной сфере и сертификации средств защиты инфы;

    · воплощение интернационального сотрудничества в сфере обеспечения информационной сохранности, органов гос власти, органов гос власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Русской Федерации и Правительства Русской Федерации.

    Функции органов, координирующих деятельность федеральных органов гос власти, органовгосударственной власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Русской Федерации.

    8. Опасности и их характеристики



    совокупа критерий и причин, создающих потенциальную либо реально существующую опасность, связанную с утечкой инфы и/либо несанкционированными и/либо ненамеренными действиями на нее

    По способам действия на объекты информационной сохранности опасности подлежат последующей систематизации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

    • несанкционированный доступ к информационным ресурсам;
    • нелегальное копирование данных в информационных системах;
    • хищение инфы из библиотек, архивов, банков и баз данных;
    • нарушение технологии обработки инфы;
    • противозаконный сбор и внедрение инфы;
    • внедрение информационного орудия.

    К программным угрозам относятся:

    • внедрение ошибок и «дыр» в ПО ;
    • компьютерные вирусы и вредные программки;
    • установка «закладных» устройств;

    К физическим угрозам относятся:

    • ликвидирование либо разрушение средств обработки инфы и связи;
    • хищение носителей инфы;
    • хищение программных либо аппаратных ключей и средств криптографической защиты данных;
    • действие на персонал;

    К радиоэлектронным угрозам относятся:

    • внедрение электрических устройств перехвата инфы в технические средства и помещения;
    • перехват, расшифровка, замена и ликвидирование инфы в каналах связи.

    К организационно-правовым угрозам относятся:

    • закупки неидеальных либо устаревших информационных технологий и средств информатизации;
    • нарушение требований законодательства и задержка в принятии нужных нормативно-правовых решений в информационной сфере.

    Словарь определений Гостехкомиссии описывает понятие угроз государственной сохранности Рф в информационной сфере последующим образом:



    являются:

    · рвение ряда государств к преобладанию в мировом информационном пространстве, вытеснению Рф с наружного и внутреннего информационного рынка;

      разработка стран концепции информационных войн, предусматривающей создание средств небезопасного действия на информационные сферы остальных государств мира; нарушение обычного функционирования информационных и телекоммуникационных систем; также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

    К мерам противодействия обозначенным угрозам нужно отнести:

    · постановку и проведение научных исследовательских работ, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

    · развитие российскей промышленности в области сотворения и производства оборудования частей телекоммуникационных систем;

    · минимизацию числа зарубежных компаний — поставщиков;

    · координацию действий по проверке надежности обозначенных компаний;

    · уменьшению номенклатуры поставляемого оборудования;

    · переходу от поставок оборудования к поставкам девайсов на простом уровне;

    · установлению приоритета в использовании российских средств защиты этих систем.

    9. Эталоны сохранности Гостехкомиссии

    РД Гостехкомиссии Рф составляют базу нормативной базы в области защиты от НСД к инфы в нашей стране. Более важные из их, определяющие аспекты для оценки защищенности АС (СВТ), рассматриваются ниже.

    Аспекты для оценки устройств защиты программно-технического уровня, применяемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к инфы. Систематизация АС и требования по защите инфы» и «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы».




    РД «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы» устанавливает систематизацию СВТ по уровню защищенности от НСД к инфы на базе списка характеристик защищенности и совокупы описывающих их требований. (Главным «источником вдохновения» при разработке этого документа послужила именитая южноамериканская «Оранжевая книжка»). Устанавливается семь классов защищенности СВТ от НСД к инфы. Самый маленький класс седьмой, самый высочайший — 1-ый. Классы разделяются на четыре группы, отличающиеся уровнем защиты:

    1-ая группа
    содержит лишь один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям наиболее больших классов;

    2-ая группа
    характеризуется дискреционной защитой и содержит 6-ой и 5-ый классы;

    3-я группа
    характеризуется мандатной защитой и содержит 4-ый, 3-ий и 2-ой классы;

    4-ая группа
    характеризуется верифицированной защитой содержит лишь 1-ый класс.




    РД «АС. Защита от НСД к инфы. Систематизация АС и требования по защите инфы» устанавливает систематизацию автоматических систем, подлежащих защите от несанкционированного доступа к инфы, и требования по защите инфы в АС разных классов. К числу определяющих признаков, по которым делается группировка АС в разные классы, относятся:

    • наличие в АС инфы различного уровня конфиденциальности;
    • уровень возможностей субъектов доступа АС на доступ к секретной инфы;
    • режим обработки данных в АС — коллективный либо личный.

    Устанавливается девять классов защищенности АС от НСД к инфы. Любой класс характеризуется определенной малой совокупой требований по защите. Классы разделяются на три группы, отличающиеся чертами обработки инфы в АС. В границах каждой группы соблюдается иерархия требований по защите зависимо от ценности и конфиденциальности инфы и, как следует, иерархия классов защищенности АС.




    При анализе системы защиты наружного периметра корпоративной сети в качестве главных критериев целенаправлено употреблять РД «СВТ. Межсетевые экраны. защита от НСД к инфы. Характеристики защищенности от НСД к инфы«. Данный документ описывает характеристики защищенности межсетевых экранов (МЭ). Любой показатель защищенности представляет собой набор требований сохранности, характеризующих определенную область функционирования МЭ. Всего выделяется 5 характеристик защищенности:

    • Управление доступом;
    • идентификация и аутентификация;
    • Регистрация событий и оповещение;
    • Контроль целостности;
    • Восстановление работоспособности.

    На основании характеристик защищенности определяются последующие 5 классов защищенности МЭ:

    • Простые фильтрующие маршрутизаторы — 5 класс;
    • Пакетные фильтры сетевого уровня — 4 класс;
    • Простые МЭ прикладного уровня — 3 класс;
    • МЭ базисного уровня — 2 класс;
    • Продвинутые МЭ — 1 класс.

    МЭ первого класса защищенности могут употребляться в АС класса 1А, обрабатывающих информацию «Особенной значимости». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, созданный для обработки «совсем скрытой» инфы и т.п.

    Также к эталонам Рф в области информационной сохранности относятся:

    · Гост 28147-89 – блочный шифр с 256-битным ключом;

    · Гост Р 34.11-94 –функция хэширования;

    · Гост Р 34.10-94 –метод цифровой подписи.

    10. Европейские эталоны сохранности


    Более много аспекты для оценки устройств сохранности программно-технического уровня представлены в международном эталоне ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие аспекты оценки сохранности информационных технологий), принятом в 1999 году.

    Общие аспекты оценки сохранности информационных технологий (дальше «Общие аспекты») определяют многофункциональные требования сохранности (security functional requirements) и требования к адекватности реализации функций сохранности (security assurance requirements).

    Хотя применимость «Общих критериев» ограничивается механизмами сохранности программно-технического уровня, в их содержится определенный набор требований к механизмам сохранности организационного уровня и требований по физической защите, которые конкретно соединены с описываемыми функциями сохранности.

    1-ая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки сохранности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования к функциональности средств защиты приводятся во 2-ой части «Общих критериев» и могут быть конкретно применены при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций сохранности.

    3-я часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и устройств защиты под заглавием AVA: Vulnerability Assessment. Данный класс требований описывает способы, которые должны употребляться для предупреждения, выявления и ликвидации последующих типов уязвимостей:

    · наличие побочных каналов утечки инфы;

    · Ошибки в конфигурации или неверное внедрение системы, приводящее к переходу в небезопасное состояние;

    · Недостающая надежность (стойкость) устройств сохранности, реализующих надлежащие функции сохранности;

    · наличие уязвимостей («дыр») в средствах защиты инфы, дающих возможность юзерам получать НСД к инфы в обход имеющихся устройств защиты.


    Более много аспекты для оценки устройств сохранности организационного уровня представлены в международном эталоне ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной сохранностью), принятом в 2000 году. ISO 17799 является ни чем другим, как интернациональной версией английского эталона BS 7799.

    ISO 17799 содержит практические правила по управлению информационной сохранностью и может употребляться в качестве критериев для оценки устройств сохранности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические правила разбиты на последующие 10 разделов:

    · Политика сохранности;

    · Организация защиты;

    · Систематизация ресурсов и их контроль;

    · Сохранность персонала;

    · Физическая сохранность;

    · Администрирование компьютерных систем и вычислительных сетей;

    · Управление доступом;

    · Разработка и сопровождение информационных систем;

    · Планирование бесперебойной работы организации;

    · Контроль выполнения требований политики сохранности.

    В этих разделах содержится описание устройств сохранности организационного уровня, реализуемых в истинное время в правительственных и коммерческих организациях в почти всех странах мира.

    10 средств контроля, предлагаемых в ISO 17799 (они обозначены как главные), числятся в особенности необходимыми. Под средствами контроля в данном контексте понимаются механизмы управления информационной сохранностью организации.

    Главными являются последующие средства контроля:

    · Документ о политике информационной сохранности;

    · Распределение обязательств по обеспечению информационной сохранности;

    · Обучение и подготовка персонала к поддержанию режима информационной сохранности;

    · Извещение о вариантах нарушения защиты;

    · средства защиты от вирусов;

    · Планирование бесперебойной работы организации;

    · Контроль над копированием программного обеспечения, защищенного законом о авторском праве;

    · защита документации организации;

    · Защита данных;

    · Контроль соответствия политике сохранности.

    Процедура аудита сохранности АС содержит в себе проверку наличия перечисленных главных средств контроля, оценку полноты и корректности их реализации, также анализ их адекватности рискам, имеющимся в данной среде функционирования. Составной частью работ по аудиту сохранности АС также является анализ и управление рисками.

    11. Эталон сохранности США








    «Department of Defense Trusted Computer System Evaluation Criteria»

    OK принята эталоном в 1985 г. Министерством обороны США (DOD). Полное

    названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

    OK предназначается для последующих целей:

    • Предоставить производителям эталон, устанавливающий, какими средствами сохранности следует оснащать свои новейшие и планируемые продукты, чтоб поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, до этого всего, защиту от раскрытия данных) для использования при обработке ценной инфы;
    • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, созданных для обработки служебной и иной ценной инфы;
    • Обеспечить базу для исследования требований к выбору защищенных систем.

    Разглядывают два типа оценки:

    • без учета среды, в какой работает техника;
    • в определенной среде (эта процедура именуется аттестованием).

    Во всех документах DOD, связанных с ОК, принято одно осознание фразы обеспечение сохранности инфы. Это осознание принимается как теорема и формулируется последующим образом: сохранность = контроль за доступом.

    Классы систем, опознаваемые с помощью критериев оценки гарантированно защищенных вычислительных систем, определяются последующим образом. Они представлены в порядке нарастания требований исходя из убеждений обеспечения сохранности ЭВМ .

    1. Класс (D): Малая защита

    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

    3. Класс (С2): защита, основанная на управляемом контроле доступом

    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

    5. Класс (B2): Структурированная защита

    6. Класс (ВЗ): Домены сохранности

    7. Класс (A1): Верифицированный проект

    2. FIPS 140-2
    «Требования сохранности для криптографических модулей»

    В федеральном эталоне США FIPS 140-2 «Требования сохранности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/либо программных (в том числе интегрированных) компонент, реализующих утвержденные функции сохранности (включая криптографические методы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в границах очевидно определенного, непрерывного периметра.

    В эталоне FIPS 140-2 рассматриваются криптографические модули, созданные для защиты инфы ограниченного доступа, не являющейся скрытой. Другими словами речь идет о промышленных изделиях, представляющих энтузиазм для главный массы организаций. наличие подобного модуля — нужное условие обеспечения защищенности сколько-нибудь развитой информационной системы; но, чтоб делать предназначенную ему роль, сам модуль также нуждается в защите, как своими средствами, так и средствами окружения (к примеру, операционной системы).




    Также к эталонам информационной сохранности США относится метод шифрования DES,который был разработан в 1970-х годах, и который базируется на методе DEA.

    Начальные идеи метода шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, обрисованных Клодом Шенноном в 1940-х годах. Сначало эта методика шифрования называлась lucifer (разраб Хорст Фейштель), заглавие dea она получила только в 1976 году. Lucifer был первым блочным методом шифрования, он употреблял блоки размером 128 бит и 128-битовый ключ. По существу этот метод являлся макетом DEA.

    Заключение

    Статистика указывает, что во всех странах убытки от злостных действий безпрерывно растут. При этом главные предпосылки убытков соединены не столько с дефицитностью средств сохранности как таких, сколько с отсутствием связи меж ними, т.е. с нереализованностью системного подхода. Потому нужно опережающими темпами улучшать всеохватывающие средства защиты.

    Можно сказать, что не существует 1-го полностью надежного способа защиты. Более полную сохранность можно обеспечить лишь при всеохватывающем подходе к этому вопросцу. Нужно повсевременно смотреть за новенькими решениями в данной нам области.

    Литература

  • Закон РФ «О гос тайне»
  • законРФ «О инфы, информатизации и защите инфы«
  • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.
  • Словарь определений Гостехкомиссии при президенте РФ
  • СтандартбезопасностиСША “Оранжеваякнига” («Department of Defense Trusted Computer System Evaluation Criteria»)
  • Носов В.А. Вводный курс по дисциплине “Информационная сохранность”
  • HTTP://www.jetinfo.ru/2002/7/1/article1.7.200231.html — Нормативная база анализа защищенности
  • http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
  • HTTP://snoopy.falkor.gen.nz/~rae/des.html — описание метода DES
  • HTTP://markova-ne.narod.ru/infbezop.html — Вопросцы ИБ и СМИ
  • HTTP://www.ctta.ru/ — Некие трудности ИБ
  • HTTP://www.infosecurity.ru/_site/problems.shtml — Сущность трудности Информационной Сохранности
  • HTTP://www.jetinfo.ru/2004/11/3/article3.11.2004.html — Федеральный эталон США FIPS 140-2
  • ]]>
    АНО ВПО ЦС РФ

    «РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

    Реферат по дисциплине: «Информационный менеджмент»

    Для специальности 351400 «Прикладная информатика (в экономике)»

    Тема: «
    Формирование и обеспечение всеохватывающей защищенности информационных ресурсов»

    Выполнил:

    Студент Маркин М.П.

    Группа ПИ07-оч.1

    Педагог:

    Суркова Л.Е.

    Москва 2011 г

    Содержание

    Введение

    1. Программные и программно-аппаратные средства обеспечения сохранности инфы

    3

    4

    2. Препядствия информационной сохранности
    4

    3.Криптографические способы защиты инфы
    5

    4. Муниципальная политика в области информационной сохранности
    7

    5. Препядствия информационной сохранности
    9

    6. законы, регулирующие информационную сохранность
    10

    7. Методика реализации политики сохранности
    11

    8. Опасности и их характеристики
    13

    9. Эталоны сохранности Гостехкомиссии
    14

    10. Европейские эталоны сохранности
    16

    11. Эталон сохранности США

    Заключение

    17

    18

    Литература
    19

    Введение

    неувязка защиты инфы: надежное обеспечение ее сохранности и установление статуса использования — является одной из важных заморочек современности.

    Еще 25-30 лет вспять задачка защиты инфы могла быть отлично решена при помощи организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Возникновение индивидуальных ЭВМ , локальных и глобальных сетей, спутниковых каналов связи, действенных технической разведки и секретной инфы значительно обострило делему защиты инфы.

    Чертами современных информационных технологий являются:

    Повышение числа автоматических действий в системах обработки данных и значимости принимаемых на их базе решений;

    — Территориальная распределенность компонент компьютерной системы и передача инфы меж этими компонентами;

    — Усложнение программных и аппаратных средств компьютерных систем;

    Скопление и долгое хранение огромных массивов данных на электрических носителях;

    — Интеграция в единую базу данных информацию различной направленности разных способов доступа;

    Конкретный доступ к ресурсам компьютерной системы огромного количества юзеров различной группы и с разными правами доступа в системе;

    — Рост цены ресурсов компьютерных систем.

    Рост количества и свойства угроз сохранности инфы в компьютерных системах не постоянно приводит к адекватному ответу в виде сотворения надежной системы и неопасных информационных технологий. В большинстве коммерческих и муниципальных организаций, не говоря о обычных юзерах, в качестве средств защиты употребляются лишь антивирусные программки и разграничение прав доступа юзеров на базе паролей.

    1. Программные и программно-аппаратные средства обеспечения сохранности инфы

    К аппаратным средствам защиты инфы относятся электрические и электронно-механические устройства, включаемые в состав КС и выполняющие(как без помощи других, так и с помощью программных средств) некие функции по обеспечению сохранности инфы.

    К главным аппаратным средствам защиты инфы относятся:

    — Устройства ввода идентифицирующий юзера инфы;

    — Устройства шифрования инфы;

    — Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

    Под программными средствами информационной сохранности соображают особые программные средства, включаемые в состав программного обеспечения КС только для выполнения защитах функций.

    К главным программным средствам защиты инфы относятся:

    Программки идентификации аутентификации юзеров КС;

    Программки разграничения доступа юзера к ресурсам КС;

    Программки от несанкционированного доступа , копирования конфигурации и использования.

    Под идентификацией юзера, применительно к обеспечению сохранности КС, однозначное распознание неповторимого имени субъекта КС. Аутентификация значит доказательство того, что предъявленное имя соответствует конкретно данному субъекту.

    К преимуществам программных средств защиты инфы относятся:

    — простота тиражирования

    Упругость (возможность опции на разные условия внедрения)

    — Простота внедрения

    Фактически неограниченные способности их развития

    К недочета программных средств относятся:

    понижение эффективности КС за счет употребления ее ресурсов, требуемых для функционирования программ защиты.

    Наиболее низкая производительность по сопоставлению с подобными функциями защиты аппаратными средствами

    — Пристыкованность почти всех программных средств(а не встроенность в средства КС)

    2.Требования к всеохватывающим к комплектным система защиты инфы

    Главные требования к всеохватывающей системе защиты инфы

    — Разработка на базе положений и требований имеющихся законов, эталонов и нормативно — методических документов по обеспечению информационной сохранности;

    Внедрение комплекса программно-технических средств и организационных мер по защите КС;

    — Надежность, конфигурируемость, производительность;

    Финансовая необходимость;

    — Выполнение на всех шагах жизни обработки инфы в КС

    — Возможность совершенствования

    — Обеспечения разграничения доступа к секретной инфы и отвлечение нарушителя на неверную информацию;

    — Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

    — Обеспечение провидения учета и расследования случаев нарушения сохранности;

    — не обязана вызывать у юзера психического противодействия и рвение обойтись без ее средств;

    — возможность оценки эффективности ее внедрения

    3.Криптографические способы защиты инфы

    Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­о­ра­зо­ва­ния, исключающего ее про­чте­ние по­100­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский мозг с дав­их вре­мен. История криптографии — ровесница истории людского языка. Наиболее того, сначало письменность сама по для себя была криптографической системой, потому что в старых обществах ею обладали лишь избранные. Священные книжки Древ­него Егип­та, Древ­ней Индии тому примеры.

    С широким распространением письменности тайнопись стала формироваться как самостоятельная наука. 1-ые криптосистемы встречаются уже сначала нашей эпохи. Так, Цезарь в собственной переписке употреблял уже наиболее наименее периодический шифр, получивший его имя.

    Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по сегодняшний денек возникновение вычислительных средств ускорило разработку и улучшение криптографических способов.

    По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) 100­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

    С од­ной 100­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, а именно глобальной сети Веб, по ко­то­рым пе­ре­да­ют­ся боль ­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­100­рон­их лиц.

    С дру­гой 100­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

    Про­бле­мой защиты инфы методом ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

    Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­о­ра­зо­ва­ния ин­фор­ма­ции.

    Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

    Современная тайнопись содержит в себе четыре больших раздела:

    Симметричные криптосистемы.

    Криптосистемы с открытым ключом.

    системы электрической подписи.

    Управление ключами.

    Главные направления использования криптографических способов — передача секретной инфы по каналам связи (к примеру, электрическая почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

    2.1.1.системы с открытым ключом

    Вроде бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
    . Для то­го, что­бы был воз­мо­жен о­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из их, а за­тем ка­ким-то о­ра­зом снова же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в о­щем слу­чае для пе­ре­да­чи клю­ча снова же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

    Для ре­ше­ния данной нам про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных традиционной и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

    Сущность их со­100­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
    , а дру­гой за­кры­тым
    . От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­о­ще­ние ад­ре­са­ту. Скрытый ключ сохраняется в тайне.

    Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван этим же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­о­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

    .

    Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так именуемые не­о­ра­ти­мые либо од­но­100­рон­ние функ­ции
    , ко­то­рые о­ла­да­ют сле­дую­щим собственный­ст­вом: при за­дан­ном зна­че­нии
    от­но­си­тель­но про­100 вы­чис­лить зна­че­ние
    од­на­ко ес­ли
    =
    ), то нет про­100­го пу­ти для вы­чис­ле­ния зна­че­ния

    Мно­же­ст­во клас­сов не­о­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­о­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­о­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

    В са­мом оп­ре­де­ле­нии не­о­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
    понимается не теоретическая необратимость, а практическая невозможность вычислить оборотное индивидумом общественно-исторического опыта Запечатлено в схемах действий понятиях соц ролях нормах и ценностях Система значений индивидума обусловливает управление действиями его деятельности» используя современные вычислительные средства за обозримый интервал времени.

    По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

    1. Пре­о­ра­зо­ва­ние ис­ход­но­го тек­100 долж­но быть не­о­ра­ти­мым и ис­клю­чать его вос­100­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

    2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При всем этом же­ла­тель­на точ­ная ниж­няя оцен­ка трудности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

    Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

    Совершенно же все предлагаемые сейчас криптосистемы с открытым ключом опираются на один из последующих типов необратимых преобразований:

    1. Разложение огромных чисел на обыкновенные множители.

    2. Вычисление логарифма в конечном поле.

    3. Вычисление корней алгебраических уравнений.

    тут же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в 3-х на­зна­че­ни­ях.

    1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
    пе­ре­да­вае­мых и хра­ни­мых дан­ных.

    2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
    . Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять о­мен боль ­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

    3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
    .

    2.1.2.Электрическая подпись

    В 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

    В чем со­100­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

    В кон­це обыч­но­го пись­ма либо до­ку­мен­та ис­пол­ни­тель либо от­вет­ст­вен­ное ли­цо обыч­но 100­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го о­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

    Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­100, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло о­100­ит ина­че. Под­де­лать це­поч­ку би­тов, про­100 ее ско­пи­ро­вав, либо не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

    С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их о­ра­бот­ки осо­бо ак­ту­аль­ной 100­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

    В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

    Время от времени нет необходимости зашифровывать передаваемое сообщение, но необходимо его скрепить электрической подписью. В этом случае текст шифруется закрытым ключом отправителя и приобретенная цепочка знаков прикрепляется к документу. Получатель при помощи открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

    4.
    Муниципальная Политика в области информационной сохранности



    состояние защищенности информационной среды общества, обеспечивающее ее формирование, внедрение и развитие в интересах людей, организаций, страны.

    Под

    понимается состояние защищенности ее государственных интересов в информационной сфере, определяющихся совокупой равновесных интересов личности, общества и страны.

    Под государственными интересами Русской Федерации понимается:

    • Информационное сервис управления
    • Сохранность инфраструктуры
    • Развитие информационных средств
    • защита прав человека в информационной сфере
    • Защита прав на личную информацию
    • Защита баз данных
    • Достоверность передаваемой инфы

    На базе государственных интересов Русской Федерации в информационной сфере формируются стратегические и текущие задачки внутренней и наружной политики страны по обеспечению информационной сохранности.



    описывает главные направления деятель федеральных органов гос власти и органов гос власти субъектов Русской Федерации в данной нам области, порядок закрепления их обязательств и ответственности за защищенность интересов Русской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и страны в информационной сфере.



    основывается на последующих принципах:

    • Федеральная программка ИБ
    • Нормативно-правовая база
    • Регламентация доступа к инфы
    • Юридическая ответственность за сохранность инфы
    • Контроль за разработкой и внедрением средств защиты инфы
    • Предоставление гражданам доступа к мировым информационным системам

    владеющая единой системой управления публичными делами сделанная государственной либо многонациональной общностью народом на определенной местности 2 Система институтов органов средством которы в процессе реализации собственных функций по обеспечению информационной сохранности Русской Федерации:

    · проводит беспристрастный и всесторонний анализ и прогнозирование угроз информационной сохранности Русской Федерации, разрабатывает меры по ее обеспечению;

    · организует работу законодательных (презентабельных) и исполнительных органов гос власти Русской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной сохранности Русской Федерации;

    · поддерживает деятельность публичных объединений, направленную на беспристрастное информирование населения о социально важных явлениях публичной жизни, защиту общества от искаженной и недостоверной инфы;

    · производит контроль за разработкой, созданием, развитием, внедрением, экспортом и импортом средств защиты инфы средством их сертификации и лицензирования деятельности в области защиты инфы;

    · проводит нужную протекционистскую политику в отношении производителей средств информатизации и защиты инфы на местности Русской Федерации и воспринимает меры по защите внутреннего рынка от проникания на него некачественных средств информатизации и информационных товаров;

    · содействует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

    · определяет и реализует муниципальную информационную политику Рф;

    · организует разработку федеральной программки обеспечения информационной сохранности Русской Федерации, объединяющей усилия муниципальных и негосударственных организаций в данной области;

    · содействует интернационализации глобальных информационных сетей и систем, также вхождению Рф в мировое информационное общество на критериях равноправного партнерства.

    Улучшение правовых устройств регулирования публичных отношений, возникающих в информационной сфере, является приоритетным направлением гос политики в области обеспечения информационной сохранности Русской Федерации.

    5.
    Препядствия информационной сохранности

    Обширное внедрение информационных технологий в жизнь современного общества привело к возникновению ряда общих заморочек информационной сохранности:

    • нужно гарантировать непрерывность и правильность функционирования важных информационных систем (ИС), обеспечивающих сохранность людей и экологической обстановки;
    • нужно обеспечить защиту имущественных прав людей, компаний и страны в согласовании с требованиями штатского, административного и хозяйственного права (включая защиту секретов и умственной принадлежности);
    • нужно защитить штатские права и свободы, гарантированные работающим законодательством (включая Право на доступ к инфы).

    Необходимо знать, что
    . И эта уязвимость по отношению к случайным и умышленным отрицательным действиям выдвинула трудности информационной сохранности в разряд важных, определяющих принципную возможность и эффективность внедрения ряда ИС в штатских и военных отраслях.

    Основная работа по понижению дестабилизирующих причин в области информационной сохранности — раскрыть фактически сущность трудности, конкретизировать дестабилизирующие причины и представить главные способы, способные существенно повысить защищенность ИС. Эта неувязка в значимой степени решается средством способов, средств и эталонов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для заслуги поставленной цели в нужно разглядеть начальные данные и причины, определяющие технологическую сохранность сложных информационных систем:

    • характеристики, характеризующие технологическую сохранность информационных систем;
    • требования, предъявляемые к архитектуре ПС и БД для обеспечения сохранности ИС;
    • ресурсы, нужные для обеспечения технологической сохранности ИС;
    • внутренние и наружные дестабилизирующие причины, действующие на сохранность функционирования программных средств и баз данных;
    • способы и средства предотвращения и понижения воздействия угроз сохранности ИС со стороны изъянов программ и данных;
    • оперативные способы и средства увеличения технологической сохранности функционирования ПС и БД методом введения в ИС временной, программной и информационной избыточности;
    • способы и средства определения настоящей технологической сохранности функционирования критичных ИС.

    Основываясь на приобретенных данных нужно выработать стратегию и стратегию направленную на уменьшение причин способных вызвать те либо другие деструктивные последствия.

    6.
    законы, регулирующие информационную сохранность

    До крайнего времени неувязка обеспечения сохранности компьютерной инфы в нашей стране не только лишь не выдвигалась на фронтальный край, но практически вполне игнорировалась. Числилось, что методом полной секретности, разными ограничениями в сфере передачи и распространения инфы, можно решить делему обеспечения информационной сохранности.

    Есть, так именуемые, правовые меры обеспечения информационной сохранности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и пришествие ответственности за нарушение корректности таковых действий.

    К главным законам и подзаконным актам, регламентирующим деятельность в области защиты инфы относятся:

    1. Законы Русской Федерации:

    • «О федеральных органах правительственной связи и инфы» от 19.02.92 № 4524-1;
    • «О сохранности» от 05.03.92 № 2446-1;
    • «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
    • «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
    • «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
    • «О стандартизации» от 10.06.93 № 5154-1;
    • «О архивном фонде Русской Федерации и архивах» от 07.07.93 № 5341-1;
    • «О гос тайне» от 21.07.93 № 485-1;
    • «О связи» от 16.02.95 № 15-ФЗ;
    • «О инфы, информатизации и защите инфы» от 20.02.95 № 24-ФЗ;
    • «О органах федеральной службы сохранности в Русской федерации» от 03.04.95 № 40-ФЗ;
    • «О оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
    • «О участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
    • «О электрической цифровой подписи» от 10.01.2002 № 1-ФЗ.

    2. Нормативные правовые акты Президента Русской Федерации:

    • «О основах гос политики в сфере информатизации» от 20.01.94 № 170;
    • «Вопросцы междуведомственной комиссии по защите гос потаенны» от 20.01.96 № 71;
    • «О утверждении списка сведений секретного нрава» от 06.03.97 № 188;
    • «О неких вопросцах междуведомственной комиссии по защите гос потаенны» от 14.06.97 № 594;
    • «О списке сведений, отнесенных к гос тайне» от 24.01.98 № 61;
    • «Вопросцы Гос технической комиссии при Президенте Русской Федерации» от 19.02.99 № 212;
    • «О концепции государственной сохранности Русской Федерации» от 10.01.2000 N 24;
    • «О утверждении списка должностных лиц органов гос власти, наделяемых возможностями по отнесению сведений к гос тайне» от 17.01.2000 N 6-рп;
    • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.

    3. Нормативные правовые акты Правительства Русской Федерации:

    • «О установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР » от 20.02.95 N 170;
    • «О лицензировании деятель компаний, учреждений и организаций по проведению работ, связанных с внедрением сведений, составляющих муниципальную тайну, созданием средств защиты инфы, также с воплощением мероприятий и (либо) оказанием услуг по защите гос потаенны» от 15.04.95 N 333;
    • «О сертификации средств защиты инфы» от 26.06.95 N 608;
    • «О утверждении правил отнесения сведений, составляющих муниципальную тайну, к разным степеням секретности» 04.09.95 N 870;
    • «О подготовке к передаче сведений, составляющих муниципальную тайну, иным государствам» от 02.08.97 N 973;
    • «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

    4. Руководящие документы Гостехкомиссии Рф:

    • Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы;
    • Временное положение по организации разработки, производства и эксплуатации программных и технических средств защиты инфы от несанкционированного доступа в автоматических системах и средствах вычислительной техники;
    • Средства вычислительной техники. Защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
    • Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы;
    • Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
    • Защита инфы. Особые защитные знаки. систематизация и общие требования;
    • Защита от несанкционированного доступа к инфы. Часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей.

    5. Уголовный Кодекс Русской Федерации.

    7. Методика реализации политики сохранности

    Первоочередными мероприятиями по реализации гос политики обеспечения информационной сохранности Русской Федерации являются:

    · разработка и внедрение устройств реализации правовых норм, регулирующих дела в информационной сфере, также подготовка концепции правового обеспечения информационной сохранности Русской Федерации;

    · разработка и реализация устройств увеличения эффективности муниципального управления Деятельностью муниципальных средств массовой инфы, воплощения гос информационной политики;

    · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов гос власти и органов гос власти субъектов Русской Федерации, увеличение правовой культуры и компьютерной грамотности людей, развитие инфраструктуры одного информационного места Рф, всеохватывающее противодействие угрозам информационной войны, создание неопасных информационных технологий для систем, применяемых в процессе реализации актуально принципиальных функций общества и страны, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального предназначения в интересах федеральных органов гос власти и органов гос власти субъектов Русской Федерации, обеспечение технологической независимости страны в области сотворения и эксплуатации информационно-телекоммуникационных систем оборонного предназначения;

    · развитие системы подготовки кадров, применяемых в области обеспечения информационной сохранности Русской Федерации;

      гармонизация российских эталонов в области информатизации и обеспечения информационной сохранности автоматических систем управления, информационных и телекоммуникационных систем общего и специального предназначения.

    Также существует система обеспечения информационной сохранности Русской Федерации. Она создана для реализации гос политики в данной сфере.

    Главными функциями системы обеспечения информационной сохранности Русской Федерации являются:

    · разработка нормативной правовой базы в области обеспечения информационной сохранности Русской Федерации;

    · создание критерий для реализации прав людей и публичных объединений на разрешенную законом деятельность в информационной сфере;

    · определение и поддержание баланса меж потребностью людей, общества и страны в вольном обмене информацией и необходимыми ограничениями на распространение инфы;

    · оценка состояния информационной сохранности Русской Федерации, выявление источников внутренних и наружных угроз информационной сохранности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

    · регулирование деятель федеральных органов гос власти и остальных муниципальных органов, решающих задачки обеспечения информационной сохранности Русской Федерации;

    · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на легитимные интересы людей, общества и страны в информационной сфере, на воплощение судопроизводства по делам о грехах в данной нам области;

    · развитие российскей информационной инфраструктуры, также промышленности телекоммуникационных и информационных средств, увеличение их конкурентоспособности на внутреннем и наружном рынке;

    · проведение единой технической политики в области обеспечения информационной сохранности Русской Федерации;

    · организация базовых и прикладных научных исследовательских работ в области обеспечения информационной сохранности Русской Федерации;

    · защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти и органах гос власти субъектов Русской Федерации, на предприятиях оборонного комплекса;

    · обеспечение контроля за созданием и внедрением средств защиты инфы средством неотклонимого лицензирования деятельности в данной сфере и сертификации средств защиты инфы;

    · воплощение интернационального сотрудничества в сфере обеспечения информационной сохранности, обычно наименее ярки и наименее детальны чем образы восприятия но в их находит отражение самое свойственное для данного предмета Различия в яркости стойкости и точности представлений памяти весьма инди интересов Русской Федерации в соответственных интернациональных организациях.

    Компетенция федеральных органов гос власти, органов гос власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Русской Федерации и Правительства Русской Федерации.

    Функции органов, координирующих деятельность федеральных органов гос власти, органовгосударственной власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Русской Федерации.

    8. Опасности и их характеристики



    совокупа критерий и причин, создающих потенциальную либо реально существующую опасность, связанную с утечкой инфы и/либо несанкционированными и/либо ненамеренными действиями на нее

    По способам действия на объекты информационной сохранности опасности подлежат последующей систематизации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

    • несанкционированный доступ к информационным ресурсам;
    • нелегальное копирование данных в информационных системах;
    • хищение инфы из библиотек, архивов, банков и баз данных;
    • нарушение технологии обработки инфы;
    • противозаконный сбор и внедрение инфы;
    • внедрение информационного орудия.

    К программным угрозам относятся:

    • внедрение ошибок и «дыр» в ПО ;
    • компьютерные вирусы и вредные программки;
    • установка «закладных» устройств;

    К физическим угрозам относятся:

    • ликвидирование либо разрушение средств обработки инфы и связи;
    • хищение носителей инфы;
    • хищение программных либо аппаратных ключей и средств криптографической защиты данных;
    • действие на персонал;

    К радиоэлектронным угрозам относятся:

    • внедрение электрических устройств перехвата инфы в технические средства и помещения;
    • перехват, расшифровка, замена и ликвидирование инфы в каналах связи.

    К организационно-правовым угрозам относятся:

    • закупки неидеальных либо устаревших информационных технологий и средств информатизации;
    • нарушение требований законодательства и задержка в принятии нужных нормативно-правовых решений в информационной сфере.

    Словарь определений Гостехкомиссии описывает понятие угроз государственной сохранности Рф в информационной сфере последующим образом:



    являются:

    · рвение ряда государств к преобладанию в мировом информационном пространстве, вытеснению Рф с наружного и внутреннего информационного рынка;

      разработка стран концепции информационных войн, предусматривающей создание средств небезопасного действия на информационные сферы остальных государств мира; нарушение обычного функционирования информационных и телекоммуникационных систем; также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

    К мерам противодействия обозначенным угрозам нужно отнести:

    · постановку и проведение научных исследовательских работ, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

    · развитие российскей промышленности в области сотворения и производства оборудования частей телекоммуникационных систем;

    · минимизацию числа зарубежных компаний — поставщиков;

    · координацию действий по проверке надежности обозначенных компаний;

    · уменьшению номенклатуры поставляемого оборудования;

    · переходу от поставок оборудования к поставкам девайсов на простом уровне;

    · установлению приоритета в использовании российских средств защиты этих систем.

    9. Эталоны сохранности Гостехкомиссии

    РД Гостехкомиссии Рф составляют базу нормативной базы в области защиты от НСД к инфы в нашей стране. Более важные из их, определяющие аспекты для оценки защищенности АС (СВТ), рассматриваются ниже.

    Аспекты для оценки устройств защиты программно-технического уровня, применяемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к инфы. Систематизация АС и требования по защите инфы» и «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы«.




    РД «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы» устанавливает систематизацию СВТ по уровню защищенности от НСД к инфы на базе списка характеристик защищенности и совокупы описывающих их требований. (Главным «источником вдохновения» при разработке этого документа послужила именитая южноамериканская «Оранжевая книжка«). Устанавливается семь классов защищенности СВТ от НСД к инфы. Самый маленький класс седьмой, самый высочайший1-ый. Классы разделяются на четыре группы, отличающиеся уровнем защиты:

    1-ая группа
    содержит лишь один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям наиболее больших классов;

    2-ая группа
    характеризуется дискреционной защитой и содержит 6-ой и 5-ый классы;

    3-я группа
    характеризуется мандатной защитой и содержит 4-ый, 3-ий и 2-ой классы;

    4-ая группа
    характеризуется верифицированной защитой содержит лишь 1-ый класс.




    РД «АС. Защита от НСД к инфы. Систематизация АС и требования по защите инфы» устанавливает систематизацию автоматических систем, подлежащих защите от несанкционированного доступа к инфы, и требования по защите инфы в АС разных классов. К числу определяющих признаков, по которым делается группировка АС в разные классы, относятся:

    • наличие в АС инфы различного уровня конфиденциальности;
    • уровень возможностей субъектов доступа АС на доступ к секретной инфы;
    • режим обработки данных в АС — коллективный либо личный.

    Устанавливается девять классов защищенности АС от НСД к инфы. Любой класс характеризуется определенной малой совокупой требований по защите. Классы разделяются на три группы, отличающиеся чертами обработки инфы в АС. В границах каждой группы соблюдается иерархия требований по защите зависимо от ценности и конфиденциальности инфы и, как следует, иерархия классов защищенности АС.




    При анализе системы защиты наружного периметра корпоративной сети в качестве главных критериев целенаправлено употреблять РД «СВТ. Межсетевые экраны. защита от НСД к инфы. Характеристики защищенности от НСД к инфы«. Данный документ описывает характеристики защищенности межсетевых экранов (МЭ). Любой показатель защищенности представляет собой набор требований сохранности, характеризующих определенную область функционирования МЭ. Всего выделяется 5 характеристик защищенности:

    • Управление доступом;
    • идентификация и аутентификация;
    • Регистрация событий и оповещение;
    • Контроль целостности;
    • Восстановление работоспособности.

    На основании характеристик защищенности определяются последующие 5 классов защищенности МЭ:

    • Простые фильтрующие маршрутизаторы — 5 класс;
    • Пакетные фильтры сетевого уровня — 4 класс;
    • Простые МЭ прикладного уровня — 3 класс;
    • МЭ базисного уровня — 2 класс;
    • Продвинутые МЭ — 1 класс.

    МЭ первого класса защищенности могут употребляться в АС класса 1А, обрабатывающих информацию «Особенной значимости«. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, созданный для обработки «совсем скрытой» инфы и т.п.

    Также к эталонам Рф в области информационной сохранности относятся:

    · Гост 28147-89 – блочный шифр с 256-битным ключом;

    · Гост Р 34.11-94 –функция хэширования;

    · Гост Р 34.10-94 –метод цифровой подписи.

    10. Европейские эталоны сохранности


    Более много аспекты для оценки устройств сохранности программно-технического уровня представлены в международном эталоне ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие аспекты оценки сохранности информационных технологий), принятом в 1999 году.

    Общие аспекты оценки сохранности информационных технологий (дальше «Общие аспекты«) определяют многофункциональные требования сохранности (security functional requirements) и требования к адекватности реализации функций сохранности (security assurance requirements).

    Хотя применимость «Общих критериев» ограничивается механизмами сохранности программно-технического уровня, в их содержится определенный набор требований к механизмам сохранности организационного уровня и требований по физической защите, которые конкретно соединены с описываемыми функциями сохранности.

    1-ая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки сохранности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования к функциональности средств защиты приводятся во 2-ой части «Общих критериев» и могут быть конкретно применены при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций сохранности.

    3-я часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и устройств защиты под заглавием AVA: Vulnerability Assessment. Данный класс требований описывает способы, которые должны употребляться для предупреждения, выявления и ликвидации последующих типов уязвимостей:

    · наличие побочных каналов утечки инфы;

    · Ошибки в конфигурации или неверное внедрение системы, приводящее к переходу в небезопасное состояние;

    · Недостающая надежность (стойкость) устройств сохранности, реализующих надлежащие функции сохранности;

    · наличие уязвимостей («дыр») в средствах защиты инфы, дающих возможность юзерам получать НСД к инфы в обход имеющихся устройств защиты.


    Более много аспекты для оценки устройств сохранности организационного уровня представлены в международном эталоне ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной сохранностью), принятом в 2000 году. ISO 17799 является ни чем другим, как интернациональной версией английского эталона BS 7799.

    ISO 17799 содержит практические правила по управлению информационной сохранностью и может употребляться в качестве критериев для оценки устройств сохранности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические правила разбиты на последующие 10 разделов:

    · Политика сохранности;

    · Организация защиты;

    · Систематизация ресурсов и их контроль;

    · Сохранность персонала;

    · Физическая сохранность;

    · Администрирование компьютерных систем и вычислительных сетей;

    · Управление доступом;

    · Разработка и сопровождение информационных систем;

    · Планирование бесперебойной работы организации;

    · Контроль выполнения требований политики сохранности.

    В этих разделах содержится описание устройств сохранности организационного уровня, реализуемых в истинное время в правительственных и коммерческих организациях в почти всех странах мира.

    10 средств контроля, предлагаемых в ISO 17799 (они обозначены как главные), числятся в особенности необходимыми. Под средствами контроля в данном контексте понимаются механизмы управления информационной сохранностью организации.

    Главными являются последующие средства контроля:

    · Документ о политике информационной сохранности;

    · Распределение обязательств по обеспечению информационной сохранности;

    · Обучение и подготовка персонала к поддержанию режима информационной сохранности;

    · Извещение о вариантах нарушения защиты;

    · средства защиты от вирусов;

    · Планирование бесперебойной работы организации;

    · Контроль над копированием программного обеспечения, защищенного законом о авторском праве;

    · защита документации организации;

    · Защита данных;

    · Контроль соответствия политике сохранности.

    Процедура аудита сохранности АС содержит в себе проверку наличия перечисленных главных средств контроля, оценку полноты и корректности их реализации, также анализ их адекватности рискам, имеющимся в данной среде функционирования. Составной частью работ по аудиту сохранности АС также является анализ и управление рисками.

    11. Эталон сохранности США








    «Department of Defense Trusted Computer System Evaluation Criteria»

    OK принята эталоном в 1985 г. Министерством обороны США (DOD). Полное

    названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

    OK предназначается для последующих целей:

    • Предоставить производителям эталон, устанавливающий, какими средствами сохранности следует оснащать свои новейшие и планируемые продукты, чтоб поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, до этого всего, защиту от раскрытия данных) для использования при обработке ценной инфы;
    • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, созданных для обработки служебной и иной ценной инфы;
    • Обеспечить базу для исследования требований к выбору защищенных систем.

    Разглядывают два типа оценки:

    • без учета среды, в какой работает техника;
    • в определенной среде (эта процедура именуется аттестованием).

    Во всех документах DOD, связанных с ОК, принято одно осознание фразы обеспечение сохранности инфы. Это осознание принимается как теорема и формулируется последующим образом: сохранность = контроль за доступом.

    Классы систем, опознаваемые с помощью критериев оценки гарантированно защищенных вычислительных систем, определяются последующим образом. Они представлены в порядке нарастания требований исходя из убеждений обеспечения сохранности ЭВМ .

    1. Класс (D): Малая защита

    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

    3. Класс (С2): защита, основанная на управляемом контроле доступом

    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

    5. Класс (B2): Структурированная защита

    6. Класс (ВЗ): Домены сохранности

    7. Класс (A1): Верифицированный проект

    2. FIPS 140-2
    «Требования сохранности для криптографических модулей»

    В федеральном эталоне США FIPS 140-2 «Требования сохранности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/либо программных (в том числе интегрированных) компонент, реализующих утвержденные функции сохранности (включая криптографические методы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в границах очевидно определенного, непрерывного периметра.

    В эталоне FIPS 140-2 рассматриваются криптографические модули, созданные для защиты инфы ограниченного доступа, не являющейся скрытой. Другими словами речь идет о промышленных изделиях, представляющих энтузиазм для главный массы организаций. наличие подобного модуля — нужное условие обеспечения защищенности сколько-нибудь развитой информационной системы; но, чтоб делать предназначенную ему роль, сам модуль также нуждается в защите, как своими средствами, так и средствами окружения (к примеру, операционной системы).




    Также к эталонам информационной сохранности США относится метод шифрования DES,который был разработан в 1970-х годах, и который базируется на методе DEA.

    Начальные идеи метода шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, обрисованных Клодом Шенноном в 1940-х годах. Сначало эта методика шифрования называлась lucifer (разраб Хорст Фейштель), заглавие dea она получила только в 1976 году. Lucifer был первым блочным методом шифрования, он употреблял блоки размером 128 бит и 128-битовый ключ. По существу этот метод являлся макетом DEA.

    Заключение

    Статистика указывает, что во всех странах убытки от злостных действий безпрерывно растут. При этом главные предпосылки убытков соединены не столько с дефицитностью средств сохранности как таких, сколько с отсутствием связи меж ними, т.е. с нереализованностью системного подхода. Потому нужно опережающими темпами улучшать всеохватывающие средства защиты.

    Можно сказать, что не существует 1-го полностью надежного способа защиты. Более полную сохранность можно обеспечить лишь при всеохватывающем подходе к этому вопросцу. Нужно повсевременно смотреть за новенькими решениями в данной нам области.

    Литература

  • Закон РФ «О гос тайне»
  • законРФ «О инфы, информатизации и защите инфы«
  • Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.
  • Словарь определений Гостехкомиссии при президенте РФ
  • СтандартбезопасностиСША “Оранжеваякнига” («Department of Defense Trusted Computer System Evaluation Criteria»)
  • Носов В.А. Вводный курс по дисциплине “Информационная сохранность
  • HTTP://www.jetinfo.ru/2002/7/1/article1.7.200231.html — Нормативная база анализа защищенности
  • http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
  • HTTP://snoopy.falkor.gen.nz/~rae/des.html — описание метода DES
  • HTTP://markova-ne.narod.ru/infbezop.html — Вопросцы ИБ и СМИ
  • HTTP://www.ctta.ru/ — Некие трудности ИБ
  • HTTP://www.infosecurity.ru/_site/problems.shtml — Сущность трудности Информационной Сохранности
  • HTTP://www.jetinfo.ru/2004/11/3/article3.11.2004.html — Федеральный эталон США FIPS 140-2
  • ]]>

    АНО ВПО ЦС РФ

    «РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

    Реферат по дисциплине: «Информационный менеджмент»

    Для специальности 351400 «Прикладная информатика (в экономике)»

    Тема: «
    Формирование и обеспечение комплексной защищенности информационных ресурсов»

    Выполнил:

    Студент Маркин М.П.

    Группа ПИ07-оч.1

    Преподаватель:

    Суркова Л.Е.

    Москва 2011 г

    Содержание

    Введение

    1. Программные и программно-аппаратные средства обеспечения безопасности информации

    3

    4

    2. Проблемы информационной безопасности
    4

    3.Криптографические методы защиты информации
    5

    4. Государственная политика в области информационной безопасности
    7

    5. Проблемы информационной безопасности
    9

    6. законы, регулирующие информационную безопасность
    10

    7. Методика реализации политики безопасности
    11

    8. Угрозы и их показатели
    13

    9. Стандарты безопасности Гостехкомиссии
    14

    10. Европейские стандарты безопасности
    16

    11. Стандарт безопасности США

    Заключение

    17

    18

    Литература
    19

    Введение

    проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования — является одной из важнейших проблем современности.

    Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

    Особенностями современных информационных технологий являются:

    — Увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений;

    — Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами;

    — Усложнение программных и аппаратных средств компьютерных систем;

    — Накопление и длительное хранение больших массивов данных на электронных носителях;

    — Интеграция в единую базу данных информацию различной направленности различных методов доступа;

    — Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе;

    — Рост стоимости ресурсов компьютерных систем.

    Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

    1. Программные и программно-аппаратные средства обеспечения безопасности информации

    К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие(как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.

    К основным аппаратным средствам защиты информации относятся:

    — Устройства ввода идентифицирующий пользователя информации;

    — Устройства шифрования информации;

    — Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

    Под программными средствами информационной безопасности понимают специальные программные средства, включаемые в состав программного обеспечения КС исключительно для выполнения защитах функций.

    К основным программным средствам защиты информации относятся:

    — Программы идентификации аутентификации пользователей КС;

    — Программы разграничения доступа пользователя к ресурсам КС;

    — Программы от несанкционированного доступа , копирования изменения и использования.

    Под идентификацией пользователя, применительно к обеспечению безопасности КС, однозначное распознание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует именно данному субъекту.

    К преимуществам программных средств защиты информации относятся:

    — простота тиражирования

    — Гибкость (возможность настройки на различные условия применения)

    — Простота применения

    — Практически неограниченные возможности их развития

    К недостатка программных средств относятся:

    — снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты.

    — Более низкая производительность по сравнению с аналогичными функциями защиты аппаратными средствами

    — Пристыкованность многих программных средств(а не встроенность в средства КС)

    2.Требования к комплексным к комплектным система защиты информации

    Основные требования к комплексной системе защиты информации

    — Разработка на основе положений и требований существующих законов, стандартов и нормативно — методических документов по обеспечению информационной безопасности;

    — Использование комплекса программно-технических средств и организационных мер по защите КС;

    — Надежность, конфигурируемость, производительность;

    — Экономическая целесообразность;

    — Выполнение на всех этапах жизни обработки информации в КС

    — Возможность совершенствования

    — Обеспечения разграничения доступа к конфиденциальной информации и отвлечение нарушителя на ложную информацию;

    — Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

    — Обеспечение провидения учета и расследования случаев нарушения безопасности;

    — не должна вызывать у пользователя психологического противодействия и стремление обойтись без ее средств;

    — возможность оценки эффективности ее применения

    3.Криптографические методы защиты информации

    Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­об­ра­зо­ва­ния, исключающего ее про­чте­ние по­сто­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский ум с дав­них вре­мен. История криптографии — ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древ­него Егип­та, Древ­ней Индии тому примеры.

    С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

    Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.

    По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) ста­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

    С од­ной сто­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, в частности глобальной сети Интернет, по ко­то­рым пе­ре­да­ют­ся боль­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­сто­рон­них лиц.

    С дру­гой сто­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

    Про­бле­мой защиты информации путем ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

    Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­об­ра­зо­ва­ния ин­фор­ма­ции.

    Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

    Современная криптография включает в себя четыре крупных раздела:

    Симметричные криптосистемы.

    Криптосистемы с открытым ключом.

    системы электронной подписи.

    Управление ключами.

    Основные направления использования криптографических методов — передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

    2.1.1.системы с открытым ключом

    Как бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
    . Для то­го, что­бы был воз­мо­жен об­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из них, а за­тем ка­ким-то об­ра­зом опять же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в об­щем слу­чае для пе­ре­да­чи клю­ча опять же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

    Для ре­ше­ния этой про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных классической и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

    Суть их со­сто­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
    , а дру­гой за­кры­тым
    . От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­об­ще­ние ад­ре­са­ту. Секретный ключ сохраняется в тайне.

    Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван тем же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­об­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

    .

    Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так называемые не­об­ра­ти­мые или од­но­сто­рон­ние функ­ции
    , ко­то­рые об­ла­да­ют сле­дую­щим свой­ст­вом: при за­дан­ном зна­че­нии
    от­но­си­тель­но про­сто вы­чис­лить зна­че­ние
    од­на­ко ес­ли
    =
    ), то нет про­сто­го пу­ти для вы­чис­ле­ния зна­че­ния

    Мно­же­ст­во клас­сов не­об­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­об­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­об­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

    В са­мом оп­ре­де­ле­нии не­об­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
    понимается не теоретическая необратимость, а практическая невозможность вычислить обратное времени.

    По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

    1. Пре­об­ра­зо­ва­ние ис­ход­но­го тек­ста долж­но быть не­об­ра­ти­мым и ис­клю­чать его вос­ста­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

    2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При этом же­ла­тель­на точ­ная ниж­няя оцен­ка сложности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

    Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

    Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:

    1. Разложение больших чисел на простые множители.

    2. Вычисление логарифма в конечном поле.

    3. Вычисление корней алгебраических уравнений.

    здесь же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в трех на­зна­че­ни­ях.

    1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
    пе­ре­да­вае­мых и хра­ни­мых дан­ных.

    2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
    . Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять об­мен боль­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

    3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
    .

    2.1.2.Электронная подпись

    В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

    В чем со­сто­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

    В кон­це обыч­но­го пись­ма или до­ку­мен­та ис­пол­ни­тель или от­вет­ст­вен­ное ли­цо обыч­но ста­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го об­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

    Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­сто, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло об­сто­ит ина­че. Под­де­лать це­поч­ку би­тов, про­сто ее ско­пи­ро­вав, или не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

    С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их об­ра­бот­ки осо­бо ак­ту­аль­ной ста­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

    В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

    Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

    4.
    Государственная Политика в области информационной безопасности



    состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

    Под

    понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

    Под национальными интересами Российской Федерации понимается:

    • Информационное обслуживание руководства
    • Сохранность инфраструктуры
    • Развитие информационных средств
    • защита прав человека в информационной сфере
    • Защита прав на частную информацию
    • Защита баз данных
    • Достоверность передаваемой информации

    На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.



    определяет основные направления деятель федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.



    основывается на следующих принципах:

    • Федеральная программа ИБ
    • Нормативно-правовая база
    • Регламентация доступа к информации
    • Юридическая ответственность за сохранность информации
    • Контроль за разработкой и использованием средств защиты информации
    • Предоставление гражданам доступа к мировым информационным системам

    анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;

    · организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;

    · поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

    · осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

    · проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

    · способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

    · формулирует и реализует государственную информационную политику России;

    · организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;

    · способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

    Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

    5.
    Проблемы информационной безопасности

    Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

    • необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
    • необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
    • необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая Право на доступ к информации).

    Следует знать, что
    . И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

    Основная работа по снижению дестабилизирующих факторов в области информационной безопасности — раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

    • показатели, характеризующие технологическую безопасность информационных систем;
    • требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;
    • ресурсы, необходимые для обеспечения технологической безопасности ИС;
    • внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;
    • методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;
    • оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;
    • методы и средства определения реальной технологической безопасности функционирования критических ИС.

    Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.

    6.
    законы, регулирующие информационную безопасность

    До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

    Существуют, так называемые, правовые меры обеспечения информационной безопасности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

    К основным законам и подзаконным актам, регламентирующим деятельность в области защиты информации относятся:

    1. Законы Российской Федерации:

    • «О федеральных органах правительственной связи и информации» от 19.02.92 № 4524-1;
    • «О безопасности» от 05.03.92 № 2446-1;
    • «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
    • «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
    • «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
    • «О стандартизации» от 10.06.93 № 5154-1;
    • «Об архивном фонде Российской Федерации и архивах» от 07.07.93 № 5341-1;
    • «О государственной тайне» от 21.07.93 № 485-1;
    • «О связи» от 16.02.95 № 15-ФЗ;
    • «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ;
    • «Об органах федеральной службы безопасности в Российской федерации» от 03.04.95 № 40-ФЗ;
    • «Об оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
    • «Об участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
    • «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ.

    2. Нормативные правовые акты Президента Российской Федерации:

    • «Об основах государственной политики в сфере информатизации» от 20.01.94 № 170;
    • «Вопросы межведомственной комиссии по защите государственной тайны» от 20.01.96 № 71;
    • «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188;
    • «О некоторых вопросах межведомственной комиссии по защите государственной тайны» от 14.06.97 № 594;
    • «О перечне сведений, отнесенных к государственной тайне» от 24.01.98 № 61;
    • «Вопросы Государственной технической комиссии при Президенте Российской Федерации» от 19.02.99 № 212;
    • «О концепции национальной безопасности Российской Федерации» от 10.01.2000 N 24;
    • «Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне» от 17.01.2000 N 6-рп;
    • Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.

    3. Нормативные правовые акты Правительства Российской Федерации:

    • «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР» от 20.02.95 N 170;
    • «О лицензировании деятель предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15.04.95 N 333;
    • «О сертификации средств защиты информации» от 26.06.95 N 608;
    • «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» 04.09.95 N 870;
    • «О подготовке к передаче сведений, составляющих государственную тайну, другим государствам» от 02.08.97 N 973;
    • «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

    4. Руководящие документы Гостехкомиссии России:

    • Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
    • Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
    • Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
    • Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;
    • Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
    • Защита информации. Специальные защитные знаки. классификация и общие требования;
    • Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

    5. Уголовный Кодекс Российской Федерации.

    7. Методика реализации политики безопасности

    Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:

    · разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;

    · разработка и реализация механизмов повышения эффективности государственного руководства Деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

    · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;

    · развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;

      гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

    Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере.

    Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:

    · разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

    · создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

    · определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

    · оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

    · координация деятель федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

    · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

    · развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

    · проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;

    · организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

    · защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

    · обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

    · осуществление международного сотрудничества в сфере обеспечения информационной безопасности, органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

    Функции органов, координирующих деятельность федеральных органов государственной власти, органовгосударственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

    8. Угрозы и их показатели



    совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее

    По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

    • несанкционированный доступ к информационным ресурсам;
    • незаконное копирование данных в информационных системах;
    • хищение информации из библиотек, архивов, банков и баз данных;
    • нарушение технологии обработки информации;
    • противозаконный сбор и использование информации;
    • использование информационного оружия.

    К программным угрозам относятся:

    • использование ошибок и «дыр» в ПО;
    • компьютерные вирусы и вредоносные программы;
    • установка «закладных» устройств;

    К физическим угрозам относятся:

    • уничтожение или разрушение средств обработки информации и связи;
    • хищение носителей информации;
    • хищение программных или аппаратных ключей и средств криптографической защиты данных;
    • воздействие на персонал;

    К радиоэлектронным угрозам относятся:

    • внедрение электронных устройств перехвата информации в технические средства и помещения;
    • перехват, расшифровка, подмена и уничтожение информации в каналах связи.

    К организационно-правовым угрозам относятся:

    • закупки несовершенных или устаревших информационных технологий и средств информатизации;
    • нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

    Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом:



    являются:

    · стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;

      разработка государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

    К мерам противодействия указанным угрозам необходимо отнести:

    · постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

    · развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;

    · минимизацию числа иностранных фирм — поставщиков;

    · координацию действий по проверке надежности указанных фирм;

    · уменьшению номенклатуры поставляемого оборудования;

    · переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;

    · установлению приоритета в использовании отечественных средств защиты этих систем.

    9. Стандарты безопасности Гостехкомиссии

    РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

    Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к информации. Классификация АС и требования по защите информации» и «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации».




    РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным «источником вдохновения» при разработке этого документа послужила знаменитая американская «Оранжевая книга»). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий — первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

    Первая группа
    содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

    Вторая группа
    характеризуется дискреционной защитой и содержит шестой и пятый классы;

    Третья группа
    характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

    Четвертая группа
    характеризуется верифицированной защитой содержит только первый класс.




    РД «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

    • наличие в АС информации различного уровня конфиденциальности;
    • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
    • режим обработки данных в АС — коллективный или индивидуальный.

    Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.




    При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД «СВТ. Межсетевые экраны. защита от НСД к информации. Показатели защищенности от НСД к информации«. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

    • Управление доступом;
    • идентификация и аутентификация;
    • Регистрация событий и оповещение;
    • Контроль целостности;
    • Восстановление работоспособности.

    На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

    • Простейшие фильтрующие маршрутизаторы — 5 класс;
    • Пакетные фильтры сетевого уровня — 4 класс;
    • Простейшие МЭ прикладного уровня — 3 класс;
    • МЭ базового уровня — 2 класс;
    • Продвинутые МЭ — 1 класс.

    МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

    Также к стандартам России в области информационной безопасности относятся:

    · Гост 28147-89 – блочный шифр с 256-битным ключом;

    · Гост Р 34.11-94 –функция хэширования;

    · Гост Р 34.10-94 –алгоритм цифровой подписи.

    10. Европейские стандарты безопасности


    Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

    Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

    Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

    Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

    Третья часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

    · наличие побочных каналов утечки информации;

    · Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

    · Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

    · наличие уязвимостей («дыр») в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.


    Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

    ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические правила разбиты на следующие 10 разделов:

    · Политика безопасности;

    · Организация защиты;

    · Классификация ресурсов и их контроль;

    · Безопасность персонала;

    · Физическая безопасность;

    · Администрирование компьютерных систем и вычислительных сетей;

    · Управление доступом;

    · Разработка и сопровождение информационных систем;

    · Планирование бесперебойной работы организации;

    · Контроль выполнения требований политики безопасности.

    В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

    Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

    Ключевыми являются следующие средства контроля:

    · Документ о политике информационной безопасности;

    · Распределение обязанностей по обеспечению информационной безопасности;

    · Обучение и подготовка персонала к поддержанию режима информационной безопасности;

    · Уведомление о случаях нарушения защиты;

    · средства защиты от вирусов;

    · Планирование бесперебойной работы организации;

    · Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

    · защита документации организации;

    · Защита данных;

    · Контроль соответствия политике безопасности.

    Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

    11. Стандарт безопасности США








    «Department of Defense Trusted Computer System Evaluation Criteria»

    OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

    названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

    OK предназначается для следующих целей:

    • Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
    • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
    • Обеспечить базу для исследования требований к выбору защищенных систем.

    Рассматривают два типа оценки:

    • без учета среды, в которой работает техника;
    • в конкретной среде (эта процедура называется аттестованием).

    Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

    Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

    1. Класс (D): Минимальная защита

    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

    3. Класс (С2): защита, основанная на управляемом контроле доступом

    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

    5. Класс (B2): Структурированная защита

    6. Класс (ВЗ): Домены безопасности

    7. Класс (A1): Верифицированный проект

    2. FIPS 140-2
    «Требования безопасности для криптографических модулей»

    В федеральном стандарте США FIPS 140-2 «Требования безопасности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

    В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).




    Также к стандартам информационной безопасности США относится алгоритм шифрования DES,который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

    Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.

    Заключение

    Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

    Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.

    Литература

  • Закон РФ «О государственной тайне»
  • законРФ «Об информации, информатизации и защите информации«
  • Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.
  • Словарь терминов Гостехкомиссии при президенте РФ
  • СтандартбезопасностиСША “Оранжеваякнига” («Department of Defense Trusted Computer System Evaluation Criteria»)
  • Носов В.А. Вводный курс по дисциплине “Информационная безопасность”
  • HTTP://www.jetinfo.ru/2002/7/1/article1.7.200231.html — Нормативная база анализа защищенности
  • http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
  • HTTP://snoopy.falkor.gen.nz/~rae/des.html — описание алгоритма DES
  • HTTP://markova-ne.narod.ru/infbezop.html — Вопросы ИБ и СМИ
  • HTTP://www.ctta.ru/ — Некоторые проблемы ИБ
  • HTTP://www.infosecurity.ru/_site/problems.shtml — Суть проблемы Информационной Безопасности
  • HTTP://www.jetinfo.ru/2004/11/3/article3.11.2004.html — Федеральный стандарт США FIPS 140-2
  • ]]>