Учебная работа. Реферат: Формирование и обеспечение комплексной защищенности информационных ресурсов

]]>

АНО ВПО ЦС РФ

«РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

Реферат по дисциплине: «Информационный менеджмент»

Для специальности 351400 «Прикладная информатика (в экономике)»

Тема: «
Формирование и обеспечение всеохватывающей защищенности информационных ресурсов»

Выполнил:

Студент Маркин М.П.

Группа ПИ07-оч.1

Педагог:

Суркова Л.Е.

Москва 2011 г

Содержание

Введение

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

3

4

2. Препядствия информационной сохранности
4

3.Криптографические способы защиты инфы
5

4. Муниципальная политика в области информационной сохранности
7

5. Препядствия информационной сохранности
9

6. законы, регулирующие информационную сохранность
10

7. Методика реализации политики сохранности
11

8. Опасности и их характеристики
13

9. Эталоны сохранности Гостехкомиссии
14

10. Европейские эталоны сохранности
16

11. Эталон сохранности США

Заключение

17

18

Литература
19

Введение

неувязка защиты инфы: надежное обеспечение ее сохранности и установление статуса использования — является одной из важных заморочек современности.

Еще 25-30 лет вспять задачка защиты инфы могла быть отлично решена при помощи организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Возникновение индивидуальных ЭВМ , локальных и глобальных сетей, спутниковых каналов связи, действенных технической разведки и секретной инфы значительно обострило делему защиты инфы.

Чертами современных информационных технологий являются:

— Повышение числа автоматических действий в системах обработки данных и значимости принимаемых на их базе решений;

— Территориальная распределенность компонент компьютерной системы и передача инфы меж этими компонентами;

— Усложнение программных и аппаратных средств компьютерных систем;

— Скопление и долгое хранение огромных массивов данных на электрических носителях;

— Интеграция в единую базу данных информацию различной направленности разных способов доступа;

— Конкретный доступ к ресурсам компьютерной системы огромного количества юзеров различной группы и с разными правами доступа в системе;

— Рост цены ресурсов компьютерных систем.

Рост количества и свойства угроз сохранности инфы в компьютерных системах не постоянно приводит к адекватному ответу в виде сотворения надежной системы и неопасных информационных технологий. В большинстве коммерческих и муниципальных организаций, не говоря о обычных юзерах, в качестве средств защиты употребляются лишь антивирусные программки и разграничение прав доступа юзеров на базе паролей.

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

К аппаратным средствам защиты инфы относятся электрические и электронно-механические устройства, включаемые в состав КС и выполняющие(как без помощи других, так и с помощью программных средств) некие функции по обеспечению сохранности инфы.

К главным аппаратным средствам защиты инфы относятся:

— Устройства ввода идентифицирующий юзера инфы;

— Устройства шифрования инфы;

— Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

Под программными средствами информационной сохранности соображают особые программные средства, включаемые в состав программного обеспечения КС только для выполнения защитах функций.

К главным программным средствам защиты инфы относятся:

— Программки идентификации аутентификации юзеров КС;

— Программки разграничения доступа юзера к ресурсам КС;

— Программки от несанкционированного доступа , копирования конфигурации и использования.

Под идентификацией юзера, применительно к обеспечению сохранности КС, однозначное распознание неповторимого имени субъекта КС. Аутентификация значит доказательство того, что предъявленное имя соответствует конкретно данному субъекту.

К преимуществам программных средств защиты инфы относятся:

— простота тиражирования

— Упругость (возможность опции на разные условия внедрения)

— Простота внедрения

— Фактически неограниченные способности их развития

К недочета программных средств относятся:

— понижение эффективности КС за счет употребления ее ресурсов, требуемых для функционирования программ защиты.

— Наиболее низкая производительность по сопоставлению с подобными функциями защиты аппаратными средствами

— Пристыкованность почти всех программных средств(а не встроенность в средства КС)

2.Требования к всеохватывающим к комплектным система защиты инфы

Главные требования к всеохватывающей системе защиты инфы

— Разработка на базе положений и требований имеющихся законов, эталонов и нормативно — методических документов по обеспечению информационной сохранности;

— Внедрение комплекса программно-технических средств и организационных мер по защите КС;

— Надежность, конфигурируемость, производительность;

— Финансовая необходимость;

— Выполнение на всех шагах жизни обработки инфы в КС

— Возможность совершенствования

— Обеспечения разграничения доступа к секретной инфы и отвлечение нарушителя на неверную информацию;

— Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

— Обеспечение провидения учета и расследования случаев нарушения сохранности;

— не обязана вызывать у юзера психического противодействия и рвение обойтись без ее средств;

— возможность оценки эффективности ее внедрения

3.Криптографические способы защиты инфы

Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­о­ра­зо­ва­ния, исключающего ее про­чте­ние по­100­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский мозг с дав­их вре­мен. История криптографии — ровесница истории людского языка. Наиболее того, сначало письменность сама по для себя была криптографической системой, потому что в старых обществах ею обладали лишь избранные. Священные книжки Древ­него Егип­та, Древ­ней Индии тому примеры.

С широким распространением письменности тайнопись стала формироваться как самостоятельная наука. 1-ые криптосистемы встречаются уже сначала нашей эпохи. Так, Цезарь в собственной переписке употреблял уже наиболее наименее периодический шифр, получивший его имя.

Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по сегодняшний денек возникновение вычислительных средств ускорило разработку и улучшение криптографических способов.

По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) 100­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

С од­ной 100­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, а именно глобальной сети Веб, по ко­то­рым пе­ре­да­ют­ся боль ­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­100­рон­их лиц.

С дру­гой 100­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

Про­бле­мой защиты инфы методом ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­о­ра­зо­ва­ния ин­фор­ма­ции.

Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

Современная тайнопись содержит в себе четыре больших раздела:

Симметричные криптосистемы.

Криптосистемы с открытым ключом.

системы электрической подписи.

Управление ключами.

Главные направления использования криптографических способов — передача секретной инфы по каналам связи (к примеру, электрическая почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

2.1.1.системы с открытым ключом

Вроде бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
. Для то­го, что­бы был воз­мо­жен о­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из их, а за­тем ка­ким-то о­ра­зом снова же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в о­щем слу­чае для пе­ре­да­чи клю­ча снова же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

Для ре­ше­ния данной нам про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных традиционной и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

Сущность их со­100­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
, а дру­гой за­кры­тым
. От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­о­ще­ние ад­ре­са­ту. Скрытый ключ сохраняется в тайне.

Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван этим же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­о­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

.

Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так именуемые не­о­ра­ти­мые либо од­но­100­рон­ние функ­ции
, ко­то­рые о­ла­да­ют сле­дую­щим собственный­ст­вом: при за­дан­ном зна­че­нии
от­но­си­тель­но про­100 вы­чис­лить зна­че­ние
од­на­ко ес­ли
=
), то нет про­100­го пу­ти для вы­чис­ле­ния зна­че­ния

Мно­же­ст­во клас­сов не­о­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­о­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­о­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

В са­мом оп­ре­де­ле­нии не­о­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
понимается не теоретическая необратимость, а практическая невозможность вычислить оборотное времени.

По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

1. Пре­о­ра­зо­ва­ние ис­ход­но­го тек­100 долж­но быть не­о­ра­ти­мым и ис­клю­чать его вос­100­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При всем этом же­ла­тель­на точ­ная ниж­няя оцен­ка трудности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

Совершенно же все предлагаемые сейчас криптосистемы с открытым ключом опираются на один из последующих типов необратимых преобразований:

1. Разложение огромных чисел на обыкновенные множители.

2. Вычисление логарифма в конечном поле.

3. Вычисление корней алгебраических уравнений.

тут же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в 3-х на­зна­че­ни­ях.

1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
пе­ре­да­вае­мых и хра­ни­мых дан­ных.

2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
. Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять о­мен боль ­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
.

2.1.2.Электрическая подпись

В 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

В чем со­100­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

В кон­це обыч­но­го пись­ма либо до­ку­мен­та ис­пол­ни­тель либо от­вет­ст­вен­ное ли­цо обыч­но 100­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го о­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­100, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло о­100­ит ина­че. Под­де­лать це­поч­ку би­тов, про­100 ее ско­пи­ро­вав, либо не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их о­ра­бот­ки осо­бо ак­ту­аль­ной 100­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

Время от времени нет необходимости зашифровывать передаваемое сообщение, но необходимо его скрепить электрической подписью. В этом случае текст шифруется закрытым ключом отправителя и приобретенная цепочка знаков прикрепляется к документу. Получатель при помощи открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

4.
Муниципальная Политика в области информационной сохранности

состояние защищенности информационной среды общества, обеспечивающее ее формирование, внедрение и развитие в интересах людей, организаций, страны.

Под

понимается состояние защищенности ее государственных интересов в информационной сфере, определяющихся совокупой равновесных интересов личности, общества и страны.

Под государственными интересами Русской Федерации понимается:

• Информационное сервис управления
• Сохранность инфраструктуры
• Развитие информационных средств
• защита прав человека в информационной сфере
• Защита прав на личную информацию
• Защита баз данных
• Достоверность передаваемой инфы

На базе государственных интересов Русской Федерации в информационной сфере формируются стратегические и текущие задачки внутренней и наружной политики страны по обеспечению информационной сохранности.

описывает главные направления деятель федеральных органов гос власти и органов гос власти субъектов Русской Федерации в данной нам области, порядок закрепления их обязательств и ответственности за защищенность интересов Русской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и страны в информационной сфере.

основывается на последующих принципах:

• Федеральная программка ИБ
• Нормативно-правовая база
• Регламентация доступа к инфы
• Юридическая ответственность за сохранность инфы
• Контроль за разработкой и внедрением средств защиты инфы
• Предоставление гражданам доступа к мировым информационным системам

анализ и прогнозирование угроз информационной сохранности Русской Федерации, разрабатывает меры по ее обеспечению;

· организует работу законодательных (презентабельных) и исполнительных органов гос власти Русской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной сохранности Русской Федерации;

· поддерживает деятельность публичных объединений, направленную на беспристрастное информирование населения о социально важных явлениях публичной жизни, защиту общества от искаженной и недостоверной инфы;

· производит контроль за разработкой, созданием, развитием, внедрением, экспортом и импортом средств защиты инфы средством их сертификации и лицензирования деятельности в области защиты инфы;

· проводит нужную протекционистскую политику в отношении производителей средств информатизации и защиты инфы на местности Русской Федерации и воспринимает меры по защите внутреннего рынка от проникания на него некачественных средств информатизации и информационных товаров;

· содействует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

· определяет и реализует муниципальную информационную политику Рф;

· организует разработку федеральной программки обеспечения информационной сохранности Русской Федерации, объединяющей усилия муниципальных и негосударственных организаций в данной области;

· содействует интернационализации глобальных информационных сетей и систем, также вхождению Рф в мировое информационное общество на критериях равноправного партнерства.

Улучшение правовых устройств регулирования публичных отношений, возникающих в информационной сфере, является приоритетным направлением гос политики в области обеспечения информационной сохранности Русской Федерации.

5.
Препядствия информационной сохранности

Обширное внедрение информационных технологий в жизнь современного общества привело к возникновению ряда общих заморочек информационной сохранности:

• нужно гарантировать непрерывность и правильность функционирования важных информационных систем (ИС), обеспечивающих сохранность людей и экологической обстановки;
• нужно обеспечить защиту имущественных прав людей, компаний и страны в согласовании с требованиями штатского, административного и хозяйственного права (включая защиту секретов и умственной принадлежности);
• нужно защитить штатские права и свободы, гарантированные работающим законодательством (включая Право на доступ к инфы).

Необходимо знать, что
. И эта уязвимость по отношению к случайным и умышленным отрицательным действиям выдвинула трудности информационной сохранности в разряд важных, определяющих принципную возможность и эффективность внедрения ряда ИС в штатских и военных отраслях.

Основная работа по понижению дестабилизирующих причин в области информационной сохранности — раскрыть фактически сущность трудности, конкретизировать дестабилизирующие причины и представить главные способы, способные существенно повысить защищенность ИС. Эта неувязка в значимой степени решается средством способов, средств и эталонов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для заслуги поставленной цели в нужно разглядеть начальные данные и причины, определяющие технологическую сохранность сложных информационных систем:

• характеристики, характеризующие технологическую сохранность информационных систем;
• требования, предъявляемые к архитектуре ПС и БД для обеспечения сохранности ИС;
• ресурсы, нужные для обеспечения технологической сохранности ИС;
• внутренние и наружные дестабилизирующие причины, действующие на сохранность функционирования программных средств и баз данных;
• способы и средства предотвращения и понижения воздействия угроз сохранности ИС со стороны изъянов программ и данных;
• оперативные способы и средства увеличения технологической сохранности функционирования ПС и БД методом введения в ИС временной, программной и информационной избыточности;
• способы и средства определения настоящей технологической сохранности функционирования критичных ИС.

Основываясь на приобретенных данных нужно выработать стратегию и стратегию направленную на уменьшение причин способных вызвать те либо другие деструктивные последствия.

6.
законы, регулирующие информационную сохранность

До крайнего времени неувязка обеспечения сохранности компьютерной инфы в нашей стране не только лишь не выдвигалась на фронтальный край, но практически вполне игнорировалась. Числилось, что методом полной секретности, разными ограничениями в сфере передачи и распространения инфы, можно решить делему обеспечения информационной сохранности.

Есть, так именуемые, правовые меры обеспечения информационной сохранности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и пришествие ответственности за нарушение корректности таковых действий.

К главным законам и подзаконным актам, регламентирующим деятельность в области защиты инфы относятся:

1. Законы Русской Федерации:

• «О федеральных органах правительственной связи и инфы» от 19.02.92 № 4524-1;
• «О сохранности» от 05.03.92 № 2446-1;
• «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
• «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
• «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
• «О стандартизации» от 10.06.93 № 5154-1;
• «О архивном фонде Русской Федерации и архивах» от 07.07.93 № 5341-1;
• «О гос тайне» от 21.07.93 № 485-1;
• «О связи» от 16.02.95 № 15-ФЗ;
• «О инфы, информатизации и защите инфы» от 20.02.95 № 24-ФЗ;
• «О органах федеральной службы сохранности в Русской федерации» от 03.04.95 № 40-ФЗ;
• «О оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
• «О участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
• «О электрической цифровой подписи» от 10.01.2002 № 1-ФЗ.

2. Нормативные правовые акты Президента Русской Федерации:

• «О основах гос политики в сфере информатизации» от 20.01.94 № 170;
• «Вопросцы междуведомственной комиссии по защите гос потаенны» от 20.01.96 № 71;
• «О утверждении списка сведений секретного нрава» от 06.03.97 № 188;
• «О неких вопросцах междуведомственной комиссии по защите гос потаенны» от 14.06.97 № 594;
• «О списке сведений, отнесенных к гос тайне» от 24.01.98 № 61;
• «Вопросцы Гос технической комиссии при Президенте Русской Федерации» от 19.02.99 № 212;
• «О концепции государственной сохранности Русской Федерации» от 10.01.2000 N 24;
• «О утверждении списка должностных лиц органов гос власти, наделяемых возможностями по отнесению сведений к гос тайне» от 17.01.2000 N 6-рп;
• Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.

3. Нормативные правовые акты Правительства Русской Федерации:

• «О установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР » от 20.02.95 N 170;
• «О лицензировании деятель компаний, учреждений и организаций по проведению работ, связанных с внедрением сведений, составляющих муниципальную тайну, созданием средств защиты инфы, также с воплощением мероприятий и (либо) оказанием услуг по защите гос потаенны» от 15.04.95 N 333;
• «О сертификации средств защиты инфы» от 26.06.95 N 608;
• «О утверждении правил отнесения сведений, составляющих муниципальную тайну, к разным степеням секретности» 04.09.95 N 870;
• «О подготовке к передаче сведений, составляющих муниципальную тайну, иным государствам» от 02.08.97 N 973;
• «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

4. Руководящие документы Гостехкомиссии Рф:

• Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы;
• Временное положение по организации разработки, производства и эксплуатации программных и технических средств защиты инфы от несанкционированного доступа в автоматических системах и средствах вычислительной техники;
• Средства вычислительной техники. Защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
• Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы;
• Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
• Защита инфы. Особые защитные знаки. систематизация и общие требования;
• Защита от несанкционированного доступа к инфы. Часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей.

5. Уголовный Кодекс Русской Федерации.

7. Методика реализации политики сохранности

Первоочередными мероприятиями по реализации гос политики обеспечения информационной сохранности Русской Федерации являются:

· разработка и внедрение устройств реализации правовых норм, регулирующих дела в информационной сфере, также подготовка концепции правового обеспечения информационной сохранности Русской Федерации;

· разработка и реализация устройств увеличения эффективности муниципального управления Деятельностью муниципальных средств массовой инфы, воплощения гос информационной политики;

· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов гос власти и органов гос власти субъектов Русской Федерации, увеличение правовой культуры и компьютерной грамотности людей, развитие инфраструктуры одного информационного места Рф, всеохватывающее противодействие угрозам информационной войны, создание неопасных информационных технологий для систем, применяемых в процессе реализации актуально принципиальных функций общества и страны, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального предназначения в интересах федеральных органов гос власти и органов гос власти субъектов Русской Федерации, обеспечение технологической независимости страны в области сотворения и эксплуатации информационно-телекоммуникационных систем оборонного предназначения;

· развитие системы подготовки кадров, применяемых в области обеспечения информационной сохранности Русской Федерации;

гармонизация российских эталонов в области информатизации и обеспечения информационной сохранности автоматических систем управления, информационных и телекоммуникационных систем общего и специального предназначения.

Также существует система обеспечения информационной сохранности Русской Федерации. Она создана для реализации гос политики в данной сфере.

Главными функциями системы обеспечения информационной сохранности Русской Федерации являются:

· разработка нормативной правовой базы в области обеспечения информационной сохранности Русской Федерации;

· создание критерий для реализации прав людей и публичных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса меж потребностью людей, общества и страны в вольном обмене информацией и необходимыми ограничениями на распространение инфы;

· оценка состояния информационной сохранности Русской Федерации, выявление источников внутренних и наружных угроз информационной сохранности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· регулирование деятель федеральных органов гос власти и остальных муниципальных органов, решающих задачки обеспечения информационной сохранности Русской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на легитимные интересы людей, общества и страны в информационной сфере, на воплощение судопроизводства по делам о грехах в данной нам области;

· развитие российскей информационной инфраструктуры, также промышленности телекоммуникационных и информационных средств, увеличение их конкурентоспособности на внутреннем и наружном рынке;

· проведение единой технической политики в области обеспечения информационной сохранности Русской Федерации;

· организация базовых и прикладных научных исследовательских работ в области обеспечения информационной сохранности Русской Федерации;

· защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти и органах гос власти субъектов Русской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и внедрением средств защиты инфы средством неотклонимого лицензирования деятельности в данной сфере и сертификации средств защиты инфы;

· воплощение интернационального сотрудничества в сфере обеспечения информационной сохранности, органов гос власти, органов гос власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Русской Федерации и Правительства Русской Федерации.

Функции органов, координирующих деятельность федеральных органов гос власти, органовгосударственной власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Русской Федерации.

8. Опасности и их характеристики

совокупа критерий и причин, создающих потенциальную либо реально существующую опасность, связанную с утечкой инфы и/либо несанкционированными и/либо ненамеренными действиями на нее

По способам действия на объекты информационной сохранности опасности подлежат последующей систематизации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

• несанкционированный доступ к информационным ресурсам;
• нелегальное копирование данных в информационных системах;
• хищение инфы из библиотек, архивов, банков и баз данных;
• нарушение технологии обработки инфы;
• противозаконный сбор и внедрение инфы;
• внедрение информационного орудия.

К программным угрозам относятся:

• внедрение ошибок и «дыр» в ПО ;
• компьютерные вирусы и вредные программки;
• установка «закладных» устройств;

К физическим угрозам относятся:

• ликвидирование либо разрушение средств обработки инфы и связи;
• хищение носителей инфы;
• хищение программных либо аппаратных ключей и средств криптографической защиты данных;
• действие на персонал;

К радиоэлектронным угрозам относятся:

• внедрение электрических устройств перехвата инфы в технические средства и помещения;
• перехват, расшифровка, замена и ликвидирование инфы в каналах связи.

К организационно-правовым угрозам относятся:

• закупки неидеальных либо устаревших информационных технологий и средств информатизации;
• нарушение требований законодательства и задержка в принятии нужных нормативно-правовых решений в информационной сфере.

Словарь определений Гостехкомиссии описывает понятие угроз государственной сохранности Рф в информационной сфере последующим образом:

являются:

· рвение ряда государств к преобладанию в мировом информационном пространстве, вытеснению Рф с наружного и внутреннего информационного рынка;

разработка стран концепции информационных войн, предусматривающей создание средств небезопасного действия на информационные сферы остальных государств мира; нарушение обычного функционирования информационных и телекоммуникационных систем; также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия обозначенным угрозам нужно отнести:

· постановку и проведение научных исследовательских работ, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

· развитие российскей промышленности в области сотворения и производства оборудования частей телекоммуникационных систем;

· минимизацию числа зарубежных компаний — поставщиков;

· координацию действий по проверке надежности обозначенных компаний;

· уменьшению номенклатуры поставляемого оборудования;

· переходу от поставок оборудования к поставкам девайсов на простом уровне;

· установлению приоритета в использовании российских средств защиты этих систем.

9. Эталоны сохранности Гостехкомиссии

РД Гостехкомиссии Рф составляют базу нормативной базы в области защиты от НСД к инфы в нашей стране. Более важные из их, определяющие аспекты для оценки защищенности АС (СВТ), рассматриваются ниже.

Аспекты для оценки устройств защиты программно-технического уровня, применяемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к инфы. Систематизация АС и требования по защите инфы» и «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы».

РД «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы» устанавливает систематизацию СВТ по уровню защищенности от НСД к инфы на базе списка характеристик защищенности и совокупы описывающих их требований. (Главным «источником вдохновения» при разработке этого документа послужила именитая южноамериканская «Оранжевая книжка»). Устанавливается семь классов защищенности СВТ от НСД к инфы. Самый маленький класс седьмой, самый высочайший — 1-ый. Классы разделяются на четыре группы, отличающиеся уровнем защиты:

1-ая группа
содержит лишь один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям наиболее больших классов;

2-ая группа
характеризуется дискреционной защитой и содержит 6-ой и 5-ый классы;

3-я группа
характеризуется мандатной защитой и содержит 4-ый, 3-ий и 2-ой классы;

4-ая группа
характеризуется верифицированной защитой содержит лишь 1-ый класс.

РД «АС. Защита от НСД к инфы. Систематизация АС и требования по защите инфы» устанавливает систематизацию автоматических систем, подлежащих защите от несанкционированного доступа к инфы, и требования по защите инфы в АС разных классов. К числу определяющих признаков, по которым делается группировка АС в разные классы, относятся:

• наличие в АС инфы различного уровня конфиденциальности;
• уровень возможностей субъектов доступа АС на доступ к секретной инфы;
• режим обработки данных в АС — коллективный либо личный.

Устанавливается девять классов защищенности АС от НСД к инфы. Любой класс характеризуется определенной малой совокупой требований по защите. Классы разделяются на три группы, отличающиеся чертами обработки инфы в АС. В границах каждой группы соблюдается иерархия требований по защите зависимо от ценности и конфиденциальности инфы и, как следует, иерархия классов защищенности АС.

При анализе системы защиты наружного периметра корпоративной сети в качестве главных критериев целенаправлено употреблять РД «СВТ. Межсетевые экраны. защита от НСД к инфы. Характеристики защищенности от НСД к инфы«. Данный документ описывает характеристики защищенности межсетевых экранов (МЭ). Любой показатель защищенности представляет собой набор требований сохранности, характеризующих определенную область функционирования МЭ. Всего выделяется 5 характеристик защищенности:

• Управление доступом;
• идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

На основании характеристик защищенности определяются последующие 5 классов защищенности МЭ:

• Простые фильтрующие маршрутизаторы — 5 класс;
• Пакетные фильтры сетевого уровня — 4 класс;
• Простые МЭ прикладного уровня — 3 класс;
• МЭ базисного уровня — 2 класс;
• Продвинутые МЭ — 1 класс.

МЭ первого класса защищенности могут употребляться в АС класса 1А, обрабатывающих информацию «Особенной значимости». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, созданный для обработки «совсем скрытой» инфы и т.п.

Также к эталонам Рф в области информационной сохранности относятся:

· Гост 28147-89 – блочный шифр с 256-битным ключом;

· Гост Р 34.11-94 –функция хэширования;

· Гост Р 34.10-94 –метод цифровой подписи.

10. Европейские эталоны сохранности

Более много аспекты для оценки устройств сохранности программно-технического уровня представлены в международном эталоне ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие аспекты оценки сохранности информационных технологий), принятом в 1999 году.

Общие аспекты оценки сохранности информационных технологий (дальше «Общие аспекты») определяют многофункциональные требования сохранности (security functional requirements) и требования к адекватности реализации функций сохранности (security assurance requirements).

Хотя применимость «Общих критериев» ограничивается механизмами сохранности программно-технического уровня, в их содержится определенный набор требований к механизмам сохранности организационного уровня и требований по физической защите, которые конкретно соединены с описываемыми функциями сохранности.

1-ая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки сохранности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во 2-ой части «Общих критериев» и могут быть конкретно применены при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций сохранности.

3-я часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и устройств защиты под заглавием AVA: Vulnerability Assessment. Данный класс требований описывает способы, которые должны употребляться для предупреждения, выявления и ликвидации последующих типов уязвимостей:

· наличие побочных каналов утечки инфы;

· Ошибки в конфигурации или неверное внедрение системы, приводящее к переходу в небезопасное состояние;

· Недостающая надежность (стойкость) устройств сохранности, реализующих надлежащие функции сохранности;

· наличие уязвимостей («дыр») в средствах защиты инфы, дающих возможность юзерам получать НСД к инфы в обход имеющихся устройств защиты.

Более много аспекты для оценки устройств сохранности организационного уровня представлены в международном эталоне ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной сохранностью), принятом в 2000 году. ISO 17799 является ни чем другим, как интернациональной версией английского эталона BS 7799.

ISO 17799 содержит практические правила по управлению информационной сохранностью и может употребляться в качестве критериев для оценки устройств сохранности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на последующие 10 разделов:

· Политика сохранности;

· Организация защиты;

· Систематизация ресурсов и их контроль;

· Сохранность персонала;

· Физическая сохранность;

· Администрирование компьютерных систем и вычислительных сетей;

· Управление доступом;

· Разработка и сопровождение информационных систем;

· Планирование бесперебойной работы организации;

· Контроль выполнения требований политики сохранности.

В этих разделах содержится описание устройств сохранности организационного уровня, реализуемых в истинное время в правительственных и коммерческих организациях в почти всех странах мира.

10 средств контроля, предлагаемых в ISO 17799 (они обозначены как главные), числятся в особенности необходимыми. Под средствами контроля в данном контексте понимаются механизмы управления информационной сохранностью организации.

Главными являются последующие средства контроля:

· Документ о политике информационной сохранности;

· Распределение обязательств по обеспечению информационной сохранности;

· Обучение и подготовка персонала к поддержанию режима информационной сохранности;

· Извещение о вариантах нарушения защиты;

· средства защиты от вирусов;

· Планирование бесперебойной работы организации;

· Контроль над копированием программного обеспечения, защищенного законом о авторском праве;

· защита документации организации;

· Защита данных;

· Контроль соответствия политике сохранности.

Процедура аудита сохранности АС содержит в себе проверку наличия перечисленных главных средств контроля, оценку полноты и корректности их реализации, также анализ их адекватности рискам, имеющимся в данной среде функционирования. Составной частью работ по аудиту сохранности АС также является анализ и управление рисками.

11. Эталон сохранности США

«Department of Defense Trusted Computer System Evaluation Criteria»

OK принята эталоном в 1985 г. Министерством обороны США (DOD). Полное

названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

OK предназначается для последующих целей:

• Предоставить производителям эталон, устанавливающий, какими средствами сохранности следует оснащать свои новейшие и планируемые продукты, чтоб поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, до этого всего, защиту от раскрытия данных) для использования при обработке ценной инфы;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, созданных для обработки служебной и иной ценной инфы;
• Обеспечить базу для исследования требований к выбору защищенных систем.

Разглядывают два типа оценки:

• без учета среды, в какой работает техника;
• в определенной среде (эта процедура именуется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно осознание фразы обеспечение сохранности инфы. Это осознание принимается как теорема и формулируется последующим образом: сохранность = контроль за доступом.

Классы систем, опознаваемые с помощью критериев оценки гарантированно защищенных вычислительных систем, определяются последующим образом. Они представлены в порядке нарастания требований исходя из убеждений обеспечения сохранности ЭВМ .

1. Класс (D): Малая защита

2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

3. Класс (С2): защита, основанная на управляемом контроле доступом

4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

5. Класс (B2): Структурированная защита

6. Класс (ВЗ): Домены сохранности

7. Класс (A1): Верифицированный проект

2. FIPS 140-2
«Требования сохранности для криптографических модулей»

В федеральном эталоне США FIPS 140-2 «Требования сохранности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/либо программных (в том числе интегрированных) компонент, реализующих утвержденные функции сохранности (включая криптографические методы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в границах очевидно определенного, непрерывного периметра.

В эталоне FIPS 140-2 рассматриваются криптографические модули, созданные для защиты инфы ограниченного доступа, не являющейся скрытой. Другими словами речь идет о промышленных изделиях, представляющих энтузиазм для главный массы организаций. наличие подобного модуля — нужное условие обеспечения защищенности сколько-нибудь развитой информационной системы; но, чтоб делать предназначенную ему роль, сам модуль также нуждается в защите, как своими средствами, так и средствами окружения (к примеру, операционной системы).

Также к эталонам информационной сохранности США относится метод шифрования DES,который был разработан в 1970-х годах, и который базируется на методе DEA.

Начальные идеи метода шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, обрисованных Клодом Шенноном в 1940-х годах. Сначало эта методика шифрования называлась lucifer (разраб Хорст Фейштель), заглавие dea она получила только в 1976 году. Lucifer был первым блочным методом шифрования, он употреблял блоки размером 128 бит и 128-битовый ключ. По существу этот метод являлся макетом DEA.

Заключение

Статистика указывает, что во всех странах убытки от злостных действий безпрерывно растут. При этом главные предпосылки убытков соединены не столько с дефицитностью средств сохранности как таких, сколько с отсутствием связи меж ними, т.е. с нереализованностью системного подхода. Потому нужно опережающими темпами улучшать всеохватывающие средства защиты.

Можно сказать, что не существует 1-го полностью надежного способа защиты. Более полную сохранность можно обеспечить лишь при всеохватывающем подходе к этому вопросцу. Нужно повсевременно смотреть за новенькими решениями в данной нам области.

Литература

]]>
АНО ВПО ЦС РФ

«РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

Реферат по дисциплине: «Информационный менеджмент»

Для специальности 351400 «Прикладная информатика (в экономике)»

Тема: «
Формирование и обеспечение всеохватывающей защищенности информационных ресурсов»

Выполнил:

Студент Маркин М.П.

Группа ПИ07-оч.1

Педагог:

Суркова Л.Е.

Москва 2011 г

Содержание

Введение

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

3

4

2. Препядствия информационной сохранности
4

3.Криптографические способы защиты инфы
5

4. Муниципальная политика в области информационной сохранности
7

5. Препядствия информационной сохранности
9

6. законы, регулирующие информационную сохранность
10

7. Методика реализации политики сохранности
11

8. Опасности и их характеристики
13

9. Эталоны сохранности Гостехкомиссии
14

10. Европейские эталоны сохранности
16

11. Эталон сохранности США

Заключение

17

18

Литература
19

Введение

неувязка защиты инфы: надежное обеспечение ее сохранности и установление статуса использования — является одной из важных заморочек современности.

Еще 25-30 лет вспять задачка защиты инфы могла быть отлично решена при помощи организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Возникновение индивидуальных ЭВМ , локальных и глобальных сетей, спутниковых каналов связи, действенных технической разведки и секретной инфы значительно обострило делему защиты инфы.

Чертами современных информационных технологий являются:

— Повышение числа автоматических действий в системах обработки данных и значимости принимаемых на их базе решений;

— Территориальная распределенность компонент компьютерной системы и передача инфы меж этими компонентами;

— Усложнение программных и аппаратных средств компьютерных систем;

— Скопление и долгое хранение огромных массивов данных на электрических носителях;

— Интеграция в единую базу данных информацию различной направленности разных способов доступа;

— Конкретный доступ к ресурсам компьютерной системы огромного количества юзеров различной группы и с разными правами доступа в системе;

— Рост цены ресурсов компьютерных систем.

Рост количества и свойства угроз сохранности инфы в компьютерных системах не постоянно приводит к адекватному ответу в виде сотворения надежной системы и неопасных информационных технологий. В большинстве коммерческих и муниципальных организаций, не говоря о обычных юзерах, в качестве средств защиты употребляются лишь антивирусные программки и разграничение прав доступа юзеров на базе паролей.

1. Программные и программно-аппаратные средства обеспечения сохранности инфы

К аппаратным средствам защиты инфы относятся электрические и электронно-механические устройства, включаемые в состав КС и выполняющие(как без помощи других, так и с помощью программных средств) некие функции по обеспечению сохранности инфы.

К главным аппаратным средствам защиты инфы относятся:

— Устройства ввода идентифицирующий юзера инфы;

— Устройства шифрования инфы;

— Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

Под программными средствами информационной сохранности соображают особые программные средства, включаемые в состав программного обеспечения КС только для выполнения защитах функций.

К главным программным средствам защиты инфы относятся:

— Программки идентификации аутентификации юзеров КС;

— Программки разграничения доступа юзера к ресурсам КС;

— Программки от несанкционированного доступа , копирования конфигурации и использования.

Под идентификацией юзера, применительно к обеспечению сохранности КС, однозначное распознание неповторимого имени субъекта КС. Аутентификация значит доказательство того, что предъявленное имя соответствует конкретно данному субъекту.

К преимуществам программных средств защиты инфы относятся:

— простота тиражирования

— Упругость (возможность опции на разные условия внедрения)

— Простота внедрения

— Фактически неограниченные способности их развития

К недочета программных средств относятся:

— понижение эффективности КС за счет употребления ее ресурсов, требуемых для функционирования программ защиты.

— Наиболее низкая производительность по сопоставлению с подобными функциями защиты аппаратными средствами

— Пристыкованность почти всех программных средств(а не встроенность в средства КС)

2.Требования к всеохватывающим к комплектным система защиты инфы

Главные требования к всеохватывающей системе защиты инфы

— Разработка на базе положений и требований имеющихся законов, эталонов и нормативно — методических документов по обеспечению информационной сохранности;

— Внедрение комплекса программно-технических средств и организационных мер по защите КС;

— Надежность, конфигурируемость, производительность;

— Финансовая необходимость;

— Выполнение на всех шагах жизни обработки инфы в КС

— Возможность совершенствования

— Обеспечения разграничения доступа к секретной инфы и отвлечение нарушителя на неверную информацию;

— Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

— Обеспечение провидения учета и расследования случаев нарушения сохранности;

— не обязана вызывать у юзера психического противодействия и рвение обойтись без ее средств;

— возможность оценки эффективности ее внедрения

3.Криптографические способы защиты инфы

Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­о­ра­зо­ва­ния, исключающего ее про­чте­ние по­100­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский мозг с дав­их вре­мен. История криптографии — ровесница истории людского языка. Наиболее того, сначало письменность сама по для себя была криптографической системой, потому что в старых обществах ею обладали лишь избранные. Священные книжки Древ­него Егип­та, Древ­ней Индии тому примеры.

С широким распространением письменности тайнопись стала формироваться как самостоятельная наука. 1-ые криптосистемы встречаются уже сначала нашей эпохи. Так, Цезарь в собственной переписке употреблял уже наиболее наименее периодический шифр, получивший его имя.

Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по сегодняшний денек возникновение вычислительных средств ускорило разработку и улучшение криптографических способов.

По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) 100­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

С од­ной 100­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, а именно глобальной сети Веб, по ко­то­рым пе­ре­да­ют­ся боль ­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­100­рон­их лиц.

С дру­гой 100­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

Про­бле­мой защиты инфы методом ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­о­ра­зо­ва­ния ин­фор­ма­ции.

Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

Современная тайнопись содержит в себе четыре больших раздела:

Симметричные криптосистемы.

Криптосистемы с открытым ключом.

системы электрической подписи.

Управление ключами.

Главные направления использования криптографических способов — передача секретной инфы по каналам связи (к примеру, электрическая почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

2.1.1.системы с открытым ключом

Вроде бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
. Для то­го, что­бы был воз­мо­жен о­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из их, а за­тем ка­ким-то о­ра­зом снова же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в о­щем слу­чае для пе­ре­да­чи клю­ча снова же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

Для ре­ше­ния данной нам про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных традиционной и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

Сущность их со­100­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
, а дру­гой за­кры­тым
. От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­о­ще­ние ад­ре­са­ту. Скрытый ключ сохраняется в тайне.

Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван этим же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­о­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

.

Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так именуемые не­о­ра­ти­мые либо од­но­100­рон­ние функ­ции
, ко­то­рые о­ла­да­ют сле­дую­щим собственный­ст­вом: при за­дан­ном зна­че­нии
от­но­си­тель­но про­100 вы­чис­лить зна­че­ние
од­на­ко ес­ли
=
), то нет про­100­го пу­ти для вы­чис­ле­ния зна­че­ния

Мно­же­ст­во клас­сов не­о­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­о­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­о­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

В са­мом оп­ре­де­ле­нии не­о­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
понимается не теоретическая необратимость, а практическая невозможность вычислить оборотное индивидумом общественно-исторического опыта Запечатлено в схемах действий понятиях соц ролях нормах и ценностях Система значений индивидума обусловливает управление действиями его деятельности» используя современные вычислительные средства за обозримый интервал времени.

По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

1. Пре­о­ра­зо­ва­ние ис­ход­но­го тек­100 долж­но быть не­о­ра­ти­мым и ис­клю­чать его вос­100­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При всем этом же­ла­тель­на точ­ная ниж­няя оцен­ка трудности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

Совершенно же все предлагаемые сейчас криптосистемы с открытым ключом опираются на один из последующих типов необратимых преобразований:

1. Разложение огромных чисел на обыкновенные множители.

2. Вычисление логарифма в конечном поле.

3. Вычисление корней алгебраических уравнений.

тут же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в 3-х на­зна­че­ни­ях.

1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
пе­ре­да­вае­мых и хра­ни­мых дан­ных.

2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
. Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять о­мен боль ­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
.

2.1.2.Электрическая подпись

В 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

В чем со­100­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

В кон­це обыч­но­го пись­ма либо до­ку­мен­та ис­пол­ни­тель либо от­вет­ст­вен­ное ли­цо обыч­но 100­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го о­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­100, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло о­100­ит ина­че. Под­де­лать це­поч­ку би­тов, про­100 ее ско­пи­ро­вав, либо не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их о­ра­бот­ки осо­бо ак­ту­аль­ной 100­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

Время от времени нет необходимости зашифровывать передаваемое сообщение, но необходимо его скрепить электрической подписью. В этом случае текст шифруется закрытым ключом отправителя и приобретенная цепочка знаков прикрепляется к документу. Получатель при помощи открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Государственный институт эталонов и технологии (NIST) предложил для показавшегося тогда метода цифровой подписи DSA (Digital Signature Algorithm) эталон DSS (Digital Signature Standard), в базу которого положены методы Эль-Гамаля и RSA.

4.
Муниципальная Политика в области информационной сохранности

состояние защищенности информационной среды общества, обеспечивающее ее формирование, внедрение и развитие в интересах людей, организаций, страны.

Под

понимается состояние защищенности ее государственных интересов в информационной сфере, определяющихся совокупой равновесных интересов личности, общества и страны.

Под государственными интересами Русской Федерации понимается:

• Информационное сервис управления
• Сохранность инфраструктуры
• Развитие информационных средств
• защита прав человека в информационной сфере
• Защита прав на личную информацию
• Защита баз данных
• Достоверность передаваемой инфы

На базе государственных интересов Русской Федерации в информационной сфере формируются стратегические и текущие задачки внутренней и наружной политики страны по обеспечению информационной сохранности.

описывает главные направления деятель федеральных органов гос власти и органов гос власти субъектов Русской Федерации в данной нам области, порядок закрепления их обязательств и ответственности за защищенность интересов Русской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и страны в информационной сфере.

основывается на последующих принципах:

• Федеральная программка ИБ
• Нормативно-правовая база
• Регламентация доступа к инфы
• Юридическая ответственность за сохранность инфы
• Контроль за разработкой и внедрением средств защиты инфы
• Предоставление гражданам доступа к мировым информационным системам

владеющая единой системой управления публичными делами сделанная государственной либо многонациональной общностью народом на определенной местности 2 Система институтов органов средством которы в процессе реализации собственных функций по обеспечению информационной сохранности Русской Федерации:

· проводит беспристрастный и всесторонний анализ и прогнозирование угроз информационной сохранности Русской Федерации, разрабатывает меры по ее обеспечению;

· организует работу законодательных (презентабельных) и исполнительных органов гос власти Русской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной сохранности Русской Федерации;

· поддерживает деятельность публичных объединений, направленную на беспристрастное информирование населения о социально важных явлениях публичной жизни, защиту общества от искаженной и недостоверной инфы;

· производит контроль за разработкой, созданием, развитием, внедрением, экспортом и импортом средств защиты инфы средством их сертификации и лицензирования деятельности в области защиты инфы;

· проводит нужную протекционистскую политику в отношении производителей средств информатизации и защиты инфы на местности Русской Федерации и воспринимает меры по защите внутреннего рынка от проникания на него некачественных средств информатизации и информационных товаров;

· содействует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

· определяет и реализует муниципальную информационную политику Рф;

· организует разработку федеральной программки обеспечения информационной сохранности Русской Федерации, объединяющей усилия муниципальных и негосударственных организаций в данной области;

· содействует интернационализации глобальных информационных сетей и систем, также вхождению Рф в мировое информационное общество на критериях равноправного партнерства.

Улучшение правовых устройств регулирования публичных отношений, возникающих в информационной сфере, является приоритетным направлением гос политики в области обеспечения информационной сохранности Русской Федерации.

5.
Препядствия информационной сохранности

Обширное внедрение информационных технологий в жизнь современного общества привело к возникновению ряда общих заморочек информационной сохранности:

• нужно гарантировать непрерывность и правильность функционирования важных информационных систем (ИС), обеспечивающих сохранность людей и экологической обстановки;
• нужно обеспечить защиту имущественных прав людей, компаний и страны в согласовании с требованиями штатского, административного и хозяйственного права (включая защиту секретов и умственной принадлежности);
• нужно защитить штатские права и свободы, гарантированные работающим законодательством (включая Право на доступ к инфы).

Необходимо знать, что
. И эта уязвимость по отношению к случайным и умышленным отрицательным действиям выдвинула трудности информационной сохранности в разряд важных, определяющих принципную возможность и эффективность внедрения ряда ИС в штатских и военных отраслях.

Основная работа по понижению дестабилизирующих причин в области информационной сохранности — раскрыть фактически сущность трудности, конкретизировать дестабилизирующие причины и представить главные способы, способные существенно повысить защищенность ИС. Эта неувязка в значимой степени решается средством способов, средств и эталонов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для заслуги поставленной цели в нужно разглядеть начальные данные и причины, определяющие технологическую сохранность сложных информационных систем:

• характеристики, характеризующие технологическую сохранность информационных систем;
• требования, предъявляемые к архитектуре ПС и БД для обеспечения сохранности ИС;
• ресурсы, нужные для обеспечения технологической сохранности ИС;
• внутренние и наружные дестабилизирующие причины, действующие на сохранность функционирования программных средств и баз данных;
• способы и средства предотвращения и понижения воздействия угроз сохранности ИС со стороны изъянов программ и данных;
• оперативные способы и средства увеличения технологической сохранности функционирования ПС и БД методом введения в ИС временной, программной и информационной избыточности;
• способы и средства определения настоящей технологической сохранности функционирования критичных ИС.

Основываясь на приобретенных данных нужно выработать стратегию и стратегию направленную на уменьшение причин способных вызвать те либо другие деструктивные последствия.

6.
законы, регулирующие информационную сохранность

До крайнего времени неувязка обеспечения сохранности компьютерной инфы в нашей стране не только лишь не выдвигалась на фронтальный край, но практически вполне игнорировалась. Числилось, что методом полной секретности, разными ограничениями в сфере передачи и распространения инфы, можно решить делему обеспечения информационной сохранности.

Есть, так именуемые, правовые меры обеспечения информационной сохранности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и пришествие ответственности за нарушение корректности таковых действий.

К главным законам и подзаконным актам, регламентирующим деятельность в области защиты инфы относятся:

1. Законы Русской Федерации:

• «О федеральных органах правительственной связи и инфы» от 19.02.92 № 4524-1;
• «О сохранности» от 05.03.92 № 2446-1;
• «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
• «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
• «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
• «О стандартизации» от 10.06.93 № 5154-1;
• «О архивном фонде Русской Федерации и архивах» от 07.07.93 № 5341-1;
• «О гос тайне» от 21.07.93 № 485-1;
• «О связи» от 16.02.95 № 15-ФЗ;
• «О инфы, информатизации и защите инфы» от 20.02.95 № 24-ФЗ;
• «О органах федеральной службы сохранности в Русской федерации» от 03.04.95 № 40-ФЗ;
• «О оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
• «О участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
• «О электрической цифровой подписи» от 10.01.2002 № 1-ФЗ.

2. Нормативные правовые акты Президента Русской Федерации:

• «О основах гос политики в сфере информатизации» от 20.01.94 № 170;
• «Вопросцы междуведомственной комиссии по защите гос потаенны» от 20.01.96 № 71;
• «О утверждении списка сведений секретного нрава» от 06.03.97 № 188;
• «О неких вопросцах междуведомственной комиссии по защите гос потаенны» от 14.06.97 № 594;
• «О списке сведений, отнесенных к гос тайне» от 24.01.98 № 61;
• «Вопросцы Гос технической комиссии при Президенте Русской Федерации» от 19.02.99 № 212;
• «О концепции государственной сохранности Русской Федерации» от 10.01.2000 N 24;
• «О утверждении списка должностных лиц органов гос власти, наделяемых возможностями по отнесению сведений к гос тайне» от 17.01.2000 N 6-рп;
• Доктрина информационной сохранности Русской Федерации от 09.09.2000 № ПР 1895.

3. Нормативные правовые акты Правительства Русской Федерации:

• «О установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР » от 20.02.95 N 170;
• «О лицензировании деятель компаний, учреждений и организаций по проведению работ, связанных с внедрением сведений, составляющих муниципальную тайну, созданием средств защиты инфы, также с воплощением мероприятий и (либо) оказанием услуг по защите гос потаенны» от 15.04.95 N 333;
• «О сертификации средств защиты инфы» от 26.06.95 N 608;
• «О утверждении правил отнесения сведений, составляющих муниципальную тайну, к разным степеням секретности» 04.09.95 N 870;
• «О подготовке к передаче сведений, составляющих муниципальную тайну, иным государствам» от 02.08.97 N 973;
• «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

4. Руководящие документы Гостехкомиссии Рф:

• Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы;
• Временное положение по организации разработки, производства и эксплуатации программных и технических средств защиты инфы от несанкционированного доступа в автоматических системах и средствах вычислительной техники;
• Средства вычислительной техники. Защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
• Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы;
• Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы;
• Защита инфы. Особые защитные знаки. систематизация и общие требования;
• Защита от несанкционированного доступа к инфы. Часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей.

5. Уголовный Кодекс Русской Федерации.

7. Методика реализации политики сохранности

Первоочередными мероприятиями по реализации гос политики обеспечения информационной сохранности Русской Федерации являются:

· разработка и внедрение устройств реализации правовых норм, регулирующих дела в информационной сфере, также подготовка концепции правового обеспечения информационной сохранности Русской Федерации;

· разработка и реализация устройств увеличения эффективности муниципального управления Деятельностью муниципальных средств массовой инфы, воплощения гос информационной политики;

· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов гос власти и органов гос власти субъектов Русской Федерации, увеличение правовой культуры и компьютерной грамотности людей, развитие инфраструктуры одного информационного места Рф, всеохватывающее противодействие угрозам информационной войны, создание неопасных информационных технологий для систем, применяемых в процессе реализации актуально принципиальных функций общества и страны, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального предназначения в интересах федеральных органов гос власти и органов гос власти субъектов Русской Федерации, обеспечение технологической независимости страны в области сотворения и эксплуатации информационно-телекоммуникационных систем оборонного предназначения;

· развитие системы подготовки кадров, применяемых в области обеспечения информационной сохранности Русской Федерации;

гармонизация российских эталонов в области информатизации и обеспечения информационной сохранности автоматических систем управления, информационных и телекоммуникационных систем общего и специального предназначения.

Также существует система обеспечения информационной сохранности Русской Федерации. Она создана для реализации гос политики в данной сфере.

Главными функциями системы обеспечения информационной сохранности Русской Федерации являются:

· разработка нормативной правовой базы в области обеспечения информационной сохранности Русской Федерации;

· создание критерий для реализации прав людей и публичных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса меж потребностью людей, общества и страны в вольном обмене информацией и необходимыми ограничениями на распространение инфы;

· оценка состояния информационной сохранности Русской Федерации, выявление источников внутренних и наружных угроз информационной сохранности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· регулирование деятель федеральных органов гос власти и остальных муниципальных органов, решающих задачки обеспечения информационной сохранности Русской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на легитимные интересы людей, общества и страны в информационной сфере, на воплощение судопроизводства по делам о грехах в данной нам области;

· развитие российскей информационной инфраструктуры, также промышленности телекоммуникационных и информационных средств, увеличение их конкурентоспособности на внутреннем и наружном рынке;

· проведение единой технической политики в области обеспечения информационной сохранности Русской Федерации;

· организация базовых и прикладных научных исследовательских работ в области обеспечения информационной сохранности Русской Федерации;

· защита муниципальных информационных ресурсов, до этого всего в федеральных органах гос власти и органах гос власти субъектов Русской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и внедрением средств защиты инфы средством неотклонимого лицензирования деятельности в данной сфере и сертификации средств защиты инфы;

· воплощение интернационального сотрудничества в сфере обеспечения информационной сохранности, обычно наименее ярки и наименее детальны чем образы восприятия но в их находит отражение самое свойственное для данного предмета Различия в яркости стойкости и точности представлений памяти весьма инди интересов Русской Федерации в соответственных интернациональных организациях.

Компетенция федеральных органов гос власти, органов гос власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Русской Федерации и Правительства Русской Федерации.

Функции органов, координирующих деятельность федеральных органов гос власти, органовгосударственной власти субъектов Русской Федерации, остальных муниципальных органов, входящих в состав системы обеспечения информационной сохранности Русской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Русской Федерации.

8. Опасности и их характеристики

совокупа критерий и причин, создающих потенциальную либо реально существующую опасность, связанную с утечкой инфы и/либо несанкционированными и/либо ненамеренными действиями на нее

По способам действия на объекты информационной сохранности опасности подлежат последующей систематизации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

• несанкционированный доступ к информационным ресурсам;
• нелегальное копирование данных в информационных системах;
• хищение инфы из библиотек, архивов, банков и баз данных;
• нарушение технологии обработки инфы;
• противозаконный сбор и внедрение инфы;
• внедрение информационного орудия.

К программным угрозам относятся:

• внедрение ошибок и «дыр» в ПО ;
• компьютерные вирусы и вредные программки;
• установка «закладных» устройств;

К физическим угрозам относятся:

• ликвидирование либо разрушение средств обработки инфы и связи;
• хищение носителей инфы;
• хищение программных либо аппаратных ключей и средств криптографической защиты данных;
• действие на персонал;

К радиоэлектронным угрозам относятся:

• внедрение электрических устройств перехвата инфы в технические средства и помещения;
• перехват, расшифровка, замена и ликвидирование инфы в каналах связи.

К организационно-правовым угрозам относятся:

• закупки неидеальных либо устаревших информационных технологий и средств информатизации;
• нарушение требований законодательства и задержка в принятии нужных нормативно-правовых решений в информационной сфере.

Словарь определений Гостехкомиссии описывает понятие угроз государственной сохранности Рф в информационной сфере последующим образом:

являются:

· рвение ряда государств к преобладанию в мировом информационном пространстве, вытеснению Рф с наружного и внутреннего информационного рынка;

разработка стран концепции информационных войн, предусматривающей создание средств небезопасного действия на информационные сферы остальных государств мира; нарушение обычного функционирования информационных и телекоммуникационных систем; также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия обозначенным угрозам нужно отнести:

· постановку и проведение научных исследовательских работ, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

· развитие российскей промышленности в области сотворения и производства оборудования частей телекоммуникационных систем;

· минимизацию числа зарубежных компаний — поставщиков;

· координацию действий по проверке надежности обозначенных компаний;

· уменьшению номенклатуры поставляемого оборудования;

· переходу от поставок оборудования к поставкам девайсов на простом уровне;

· установлению приоритета в использовании российских средств защиты этих систем.

9. Эталоны сохранности Гостехкомиссии

РД Гостехкомиссии Рф составляют базу нормативной базы в области защиты от НСД к инфы в нашей стране. Более важные из их, определяющие аспекты для оценки защищенности АС (СВТ), рассматриваются ниже.

Аспекты для оценки устройств защиты программно-технического уровня, применяемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к инфы. Систематизация АС и требования по защите инфы» и «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы«.

РД «СВТ. Защита от НСД к инфы. Характеристики защищенности от НСД к инфы» устанавливает систематизацию СВТ по уровню защищенности от НСД к инфы на базе списка характеристик защищенности и совокупы описывающих их требований. (Главным «источником вдохновения» при разработке этого документа послужила именитая южноамериканская «Оранжевая книжка«). Устанавливается семь классов защищенности СВТ от НСД к инфы. Самый маленький класс седьмой, самый высочайший — 1-ый. Классы разделяются на четыре группы, отличающиеся уровнем защиты:

1-ая группа
содержит лишь один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям наиболее больших классов;

2-ая группа
характеризуется дискреционной защитой и содержит 6-ой и 5-ый классы;

3-я группа
характеризуется мандатной защитой и содержит 4-ый, 3-ий и 2-ой классы;

4-ая группа
характеризуется верифицированной защитой содержит лишь 1-ый класс.

РД «АС. Защита от НСД к инфы. Систематизация АС и требования по защите инфы» устанавливает систематизацию автоматических систем, подлежащих защите от несанкционированного доступа к инфы, и требования по защите инфы в АС разных классов. К числу определяющих признаков, по которым делается группировка АС в разные классы, относятся:

• наличие в АС инфы различного уровня конфиденциальности;
• уровень возможностей субъектов доступа АС на доступ к секретной инфы;
• режим обработки данных в АС — коллективный либо личный.

Устанавливается девять классов защищенности АС от НСД к инфы. Любой класс характеризуется определенной малой совокупой требований по защите. Классы разделяются на три группы, отличающиеся чертами обработки инфы в АС. В границах каждой группы соблюдается иерархия требований по защите зависимо от ценности и конфиденциальности инфы и, как следует, иерархия классов защищенности АС.

При анализе системы защиты наружного периметра корпоративной сети в качестве главных критериев целенаправлено употреблять РД «СВТ. Межсетевые экраны. защита от НСД к инфы. Характеристики защищенности от НСД к инфы«. Данный документ описывает характеристики защищенности межсетевых экранов (МЭ). Любой показатель защищенности представляет собой набор требований сохранности, характеризующих определенную область функционирования МЭ. Всего выделяется 5 характеристик защищенности:

• Управление доступом;
• идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

На основании характеристик защищенности определяются последующие 5 классов защищенности МЭ:

• Простые фильтрующие маршрутизаторы — 5 класс;
• Пакетные фильтры сетевого уровня — 4 класс;
• Простые МЭ прикладного уровня — 3 класс;
• МЭ базисного уровня — 2 класс;
• Продвинутые МЭ — 1 класс.

МЭ первого класса защищенности могут употребляться в АС класса 1А, обрабатывающих информацию «Особенной значимости«. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, созданный для обработки «совсем скрытой» инфы и т.п.

Также к эталонам Рф в области информационной сохранности относятся:

· Гост 28147-89 – блочный шифр с 256-битным ключом;

· Гост Р 34.11-94 –функция хэширования;

· Гост Р 34.10-94 –метод цифровой подписи.

10. Европейские эталоны сохранности

Более много аспекты для оценки устройств сохранности программно-технического уровня представлены в международном эталоне ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие аспекты оценки сохранности информационных технологий), принятом в 1999 году.

Общие аспекты оценки сохранности информационных технологий (дальше «Общие аспекты«) определяют многофункциональные требования сохранности (security functional requirements) и требования к адекватности реализации функций сохранности (security assurance requirements).

Хотя применимость «Общих критериев» ограничивается механизмами сохранности программно-технического уровня, в их содержится определенный набор требований к механизмам сохранности организационного уровня и требований по физической защите, которые конкретно соединены с описываемыми функциями сохранности.

1-ая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки сохранности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во 2-ой части «Общих критериев» и могут быть конкретно применены при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций сохранности.

3-я часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и устройств защиты под заглавием AVA: Vulnerability Assessment. Данный класс требований описывает способы, которые должны употребляться для предупреждения, выявления и ликвидации последующих типов уязвимостей:

· наличие побочных каналов утечки инфы;

· Ошибки в конфигурации или неверное внедрение системы, приводящее к переходу в небезопасное состояние;

· Недостающая надежность (стойкость) устройств сохранности, реализующих надлежащие функции сохранности;

· наличие уязвимостей («дыр») в средствах защиты инфы, дающих возможность юзерам получать НСД к инфы в обход имеющихся устройств защиты.

Более много аспекты для оценки устройств сохранности организационного уровня представлены в международном эталоне ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной сохранностью), принятом в 2000 году. ISO 17799 является ни чем другим, как интернациональной версией английского эталона BS 7799.

ISO 17799 содержит практические правила по управлению информационной сохранностью и может употребляться в качестве критериев для оценки устройств сохранности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на последующие 10 разделов:

· Политика сохранности;

· Организация защиты;

· Систематизация ресурсов и их контроль;

· Сохранность персонала;

· Физическая сохранность;

· Администрирование компьютерных систем и вычислительных сетей;

· Управление доступом;

· Разработка и сопровождение информационных систем;

· Планирование бесперебойной работы организации;

· Контроль выполнения требований политики сохранности.

В этих разделах содержится описание устройств сохранности организационного уровня, реализуемых в истинное время в правительственных и коммерческих организациях в почти всех странах мира.

10 средств контроля, предлагаемых в ISO 17799 (они обозначены как главные), числятся в особенности необходимыми. Под средствами контроля в данном контексте понимаются механизмы управления информационной сохранностью организации.

Главными являются последующие средства контроля:

· Документ о политике информационной сохранности;

· Распределение обязательств по обеспечению информационной сохранности;

· Обучение и подготовка персонала к поддержанию режима информационной сохранности;

· Извещение о вариантах нарушения защиты;

· средства защиты от вирусов;

· Планирование бесперебойной работы организации;

· Контроль над копированием программного обеспечения, защищенного законом о авторском праве;

· защита документации организации;

· Защита данных;

· Контроль соответствия политике сохранности.

Процедура аудита сохранности АС содержит в себе проверку наличия перечисленных главных средств контроля, оценку полноты и корректности их реализации, также анализ их адекватности рискам, имеющимся в данной среде функционирования. Составной частью работ по аудиту сохранности АС также является анализ и управление рисками.

11. Эталон сохранности США

«Department of Defense Trusted Computer System Evaluation Criteria»

OK принята эталоном в 1985 г. Министерством обороны США (DOD). Полное

названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

OK предназначается для последующих целей:

• Предоставить производителям эталон, устанавливающий, какими средствами сохранности следует оснащать свои новейшие и планируемые продукты, чтоб поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, до этого всего, защиту от раскрытия данных) для использования при обработке ценной инфы;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, созданных для обработки служебной и иной ценной инфы;
• Обеспечить базу для исследования требований к выбору защищенных систем.

Разглядывают два типа оценки:

• без учета среды, в какой работает техника;
• в определенной среде (эта процедура именуется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно осознание фразы обеспечение сохранности инфы. Это осознание принимается как теорема и формулируется последующим образом: сохранность = контроль за доступом.

Классы систем, опознаваемые с помощью критериев оценки гарантированно защищенных вычислительных систем, определяются последующим образом. Они представлены в порядке нарастания требований исходя из убеждений обеспечения сохранности ЭВМ .

1. Класс (D): Малая защита

2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

3. Класс (С2): защита, основанная на управляемом контроле доступом

4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

5. Класс (B2): Структурированная защита

6. Класс (ВЗ): Домены сохранности

7. Класс (A1): Верифицированный проект

2. FIPS 140-2
«Требования сохранности для криптографических модулей»

В федеральном эталоне США FIPS 140-2 «Требования сохранности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/либо программных (в том числе интегрированных) компонент, реализующих утвержденные функции сохранности (включая криптографические методы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в границах очевидно определенного, непрерывного периметра.

В эталоне FIPS 140-2 рассматриваются криптографические модули, созданные для защиты инфы ограниченного доступа, не являющейся скрытой. Другими словами речь идет о промышленных изделиях, представляющих энтузиазм для главный массы организаций. наличие подобного модуля — нужное условие обеспечения защищенности сколько-нибудь развитой информационной системы; но, чтоб делать предназначенную ему роль, сам модуль также нуждается в защите, как своими средствами, так и средствами окружения (к примеру, операционной системы).

Также к эталонам информационной сохранности США относится метод шифрования DES,который был разработан в 1970-х годах, и который базируется на методе DEA.

Начальные идеи метода шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, обрисованных Клодом Шенноном в 1940-х годах. Сначало эта методика шифрования называлась lucifer (разраб Хорст Фейштель), заглавие dea она получила только в 1976 году. Lucifer был первым блочным методом шифрования, он употреблял блоки размером 128 бит и 128-битовый ключ. По существу этот метод являлся макетом DEA.

Заключение

Статистика указывает, что во всех странах убытки от злостных действий безпрерывно растут. При этом главные предпосылки убытков соединены не столько с дефицитностью средств сохранности как таких, сколько с отсутствием связи меж ними, т.е. с нереализованностью системного подхода. Потому нужно опережающими темпами улучшать всеохватывающие средства защиты.

Можно сказать, что не существует 1-го полностью надежного способа защиты. Более полную сохранность можно обеспечить лишь при всеохватывающем подходе к этому вопросцу. Нужно повсевременно смотреть за новенькими решениями в данной нам области.

Литература

]]>

АНО ВПО ЦС РФ

«РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»

Реферат по дисциплине: «Информационный менеджмент»

Для специальности 351400 «Прикладная информатика (в экономике)»

Тема: «
Формирование и обеспечение комплексной защищенности информационных ресурсов»

Выполнил:

Студент Маркин М.П.

Группа ПИ07-оч.1

Преподаватель:

Суркова Л.Е.

Москва 2011 г

Содержание

Введение

1. Программные и программно-аппаратные средства обеспечения безопасности информации

3

4

2. Проблемы информационной безопасности
4

3.Криптографические методы защиты информации
5

4. Государственная политика в области информационной безопасности
7

5. Проблемы информационной безопасности
9

6. законы, регулирующие информационную безопасность
10

7. Методика реализации политики безопасности
11

8. Угрозы и их показатели
13

9. Стандарты безопасности Гостехкомиссии
14

10. Европейские стандарты безопасности
16

11. Стандарт безопасности США

Заключение

17

18

Литература
19

Введение

проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования — является одной из важнейших проблем современности.

Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно — аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Особенностями современных информационных технологий являются:

— Увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений;

— Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами;

— Усложнение программных и аппаратных средств компьютерных систем;

— Накопление и длительное хранение больших массивов данных на электронных носителях;

— Интеграция в единую базу данных информацию различной направленности различных методов доступа;

— Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе;

— Рост стоимости ресурсов компьютерных систем.

Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

1. Программные и программно-аппаратные средства обеспечения безопасности информации

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие(как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.

К основным аппаратным средствам защиты информации относятся:

— Устройства ввода идентифицирующий пользователя информации;

— Устройства шифрования информации;

— Устройства для воспрепятствования несанкционированному включению рабочих станций серверов

Под программными средствами информационной безопасности понимают специальные программные средства, включаемые в состав программного обеспечения КС исключительно для выполнения защитах функций.

К основным программным средствам защиты информации относятся:

— Программы идентификации аутентификации пользователей КС;

— Программы разграничения доступа пользователя к ресурсам КС;

— Программы от несанкционированного доступа , копирования изменения и использования.

Под идентификацией пользователя, применительно к обеспечению безопасности КС, однозначное распознание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует именно данному субъекту.

К преимуществам программных средств защиты информации относятся:

— простота тиражирования

— Гибкость (возможность настройки на различные условия применения)

— Простота применения

— Практически неограниченные возможности их развития

К недостатка программных средств относятся:

— снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты.

— Более низкая производительность по сравнению с аналогичными функциями защиты аппаратными средствами

— Пристыкованность многих программных средств(а не встроенность в средства КС)

2.Требования к комплексным к комплектным система защиты информации

Основные требования к комплексной системе защиты информации

— Разработка на основе положений и требований существующих законов, стандартов и нормативно — методических документов по обеспечению информационной безопасности;

— Использование комплекса программно-технических средств и организационных мер по защите КС;

— Надежность, конфигурируемость, производительность;

— Экономическая целесообразность;

— Выполнение на всех этапах жизни обработки информации в КС

— Возможность совершенствования

— Обеспечения разграничения доступа к конфиденциальной информации и отвлечение нарушителя на ложную информацию;

— Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;

— Обеспечение провидения учета и расследования случаев нарушения безопасности;

— не должна вызывать у пользователя психологического противодействия и стремление обойтись без ее средств;

— возможность оценки эффективности ее применения

3.Криптографические методы защиты информации

Про­бле­ма за­щи­ты ин­фор­ма­ции пу­тем ее пре­об­ра­зо­ва­ния, исключающего ее про­чте­ние по­сто­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский ум с дав­них вре­мен. История криптографии — ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древ­него Егип­та, Древ­ней Индии тому примеры.

С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

Бурное раз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­рой ми­ро­вых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.

По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­дов в информационных системах (ИС) ста­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

С од­ной сто­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, в частности глобальной сети Интернет, по ко­то­рым пе­ре­да­ют­ся боль­шие объ­е­мы ин­фор­ма­ции го­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­го ха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­сто­рон­них лиц.

С дру­гой сто­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров, тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­ний сде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­но счи­тав­ших­ся прак­ти­че­ски не раскрываемыми.

Про­бле­мой защиты информации путем ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos — тай­ный, logos — нау­ка). Криптология раз­де­ля­ет­ся на два на­прав­ле­ния — крип­то­гра­фию и крип­тоа­на­лиз. Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

Крип­то­гра­фия за­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­об­ра­зо­ва­ния ин­фор­ма­ции.

Сфе­ра ин­те­ре­сов криптоанализа — ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­ния ин­фор­ма­ции без зна­ния клю­чей.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы.

Криптосистемы с открытым ключом.

системы электронной подписи.

Управление ключами.

Основные направления использования криптографических методов — передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хра­не­ние ин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­ном ви­де.

2.1.1.системы с открытым ключом

Как бы ни бы­ли слож­ны и на­деж­ны крип­то­гра­фи­че­ские сис­те­мы — их сла­бое ме­ст при прак­ти­че­ской реа­ли­за­ции — про­блема рас­пре­де­ле­ния клю­чей
. Для то­го, что­бы был воз­мо­жен об­мен кон­фи­ден­ци­аль­ной ин­фор­ма­ци­ей ме­ж­ду дву­мя субъ­ек­та­ми ИС, ключ дол­жен быть сге­не­ри­ро­ван од­ним из них, а за­тем ка­ким-то об­ра­зом опять же в кон­фи­ден­ци­аль­ном по­ряд­ке пе­ре­дан дру­го­му. Т.е. в об­щем слу­чае для пе­ре­да­чи клю­ча опять же тре­бу­ет­ся ис­поль­зо­ва­ние ка­кой-то крип­то­си­сте­мы.

Для ре­ше­ния этой про­бле­мы на ос­но­ве ре­зуль­та­тов, по­лу­чен­ных классической и со­вре­мен­ной ал­геб­рой, бы­ли пред­ло­же­ны сис­те­мы с от­кры­тым клю­чом.

Суть их со­сто­ит в том, что ка­ж­дым ад­ре­са­том ИС ге­не­ри­ру­ют­ся два клю­ча, свя­зан­ные ме­ж­ду со­бой по оп­ре­де­лен­но­му пра­ви­лу. один ключ объ­яв­ля­ет­ся от­кры­тым
, а дру­гой за­кры­тым
. От­кры­тый ключ пуб­ли­ку­ет­ся и дос­ту­пен лю­бо­му, кто же­ла­ет по­слать со­об­ще­ние ад­ре­са­ту. Секретный ключ сохраняется в тайне.

Ис­ход­ный текст шиф­ру­ет­ся от­кры­тым клю­чом адресата и пе­ре­да­ет­ся ему. За­шиф­ро­ван­ный текст в прин­ци­пе не мо­жет быть рас­шиф­ро­ван тем же от­кры­тым клю­чом. Де­шиф­ро­ва­ние со­об­ще­ние воз­мож­но толь­ко с ис­поль­зо­ва­ни­ем за­кры­то­го клю­ча, ко­то­рый из­вес­тен толь­ко са­мо­му ад­ре­са­ту

.

Крип­то­гра­фи­че­ские сис­те­мы с от­кры­тым клю­чом ис­поль­зу­ют так называемые не­об­ра­ти­мые или од­но­сто­рон­ние функ­ции
, ко­то­рые об­ла­да­ют сле­дую­щим свой­ст­вом: при за­дан­ном зна­че­нии
от­но­си­тель­но про­сто вы­чис­лить зна­че­ние
од­на­ко ес­ли
=
), то нет про­сто­го пу­ти для вы­чис­ле­ния зна­че­ния

Мно­же­ст­во клас­сов не­об­ра­ти­мых функ­ций и по­ро­ж­да­ет все раз­но­об­ра­зие сис­тем с от­кры­тым клю­чом. Од­на­ко не вся­кая не­об­ра­ти­мая функ­ция го­дит­ся для ис­поль­зо­ва­ния в ре­аль­ных ИС.

В са­мом оп­ре­де­ле­нии не­об­ра­ти­мо­сти при­сут­ст­ву­ет не­оп­ре­де­лен­ность. Под необратимостью
понимается не теоретическая необратимость, а практическая невозможность вычислить обратное времени.

По­это­му что­бы га­ран­ти­ро­вать на­деж­ную за­щи­ту ин­фор­ма­ции, к сис­те­мам с от­кры­тым клю­чом (СОК) предъ­яв­ля­ют­ся два важ­ных и оче­вид­ных тре­бо­ва­ния:

1. Пре­об­ра­зо­ва­ние ис­ход­но­го тек­ста долж­но быть не­об­ра­ти­мым и ис­клю­чать его вос­ста­нов­ле­ние на ос­но­ве от­кры­то­го клю­ча.

2. Оп­ре­де­ле­ние за­кры­то­го клю­ча на ос­но­ве от­кры­то­го так­же долж­но быть не­воз­мож­ным на со­вре­мен­ном тех­но­ло­ги­че­ском уров­не. При этом же­ла­тель­на точ­ная ниж­няя оцен­ка сложности (ко­ли­че­ст­ва опе­ра­ций) рас­кры­тия шиф­ра.

Ал­го­рит­мы шиф­ро­ва­ния с от­кры­тым клю­чом по­лу­чи­ли ши­ро­кое рас­про­стра­не­ние в со­вре­мен­ных ин­фор­ма­ци­он­ных сис­те­мах. Так, ал­го­ритм RSA стал ми­ро­вым стан­дар­том де-фак­то для от­кры­тых сис­тем и ре­ко­мен­до­ван МККТТ.

Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:

1. Разложение больших чисел на простые множители.

2. Вычисление логарифма в конечном поле.

3. Вычисление корней алгебраических уравнений.

здесь же сле­ду­ет от­ме­тить, что ал­го­рит­мы криптосистемы с открытым ключом (СОК) мож­но ис­поль­зо­вать в трех на­зна­че­ни­ях.

1. Как са­мо­стоя­тель­ные сред­ст­ва за­щи­ты
пе­ре­да­вае­мых и хра­ни­мых дан­ных.

2. Как сред­ст­ва для рас­пре­де­ле­ния клю­чей
. Ал­го­рит­мы СОК бо­лее тру­до­ем­ки, чем тра­ди­ци­он­ные крип­то­си­сте­мы. По­это­му час­то на прак­ти­ке ра­цио­наль­но с по­мо­щью СОК рас­пре­де­лять клю­чи, объ­ем ко­то­рых как ин­фор­ма­ции не­зна­чи­те­лен. А по­том с по­мо­щью обыч­ных ал­го­рит­мов осу­ще­ст­в­лять об­мен боль­ши­ми ин­фор­ма­ци­он­ны­ми по­то­ка­ми.

3. Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей
.

2.1.2.Электронная подпись

В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

В чем со­сто­ит про­бле­ма ау­тен­ти­фи­ка­ции дан­ных?

В кон­це обыч­но­го пись­ма или до­ку­мен­та ис­пол­ни­тель или от­вет­ст­вен­ное ли­цо обыч­но ста­вит свою под­пись. По­доб­ное дей­ст­вие обыч­но пре­сле­ду­ет две це­ли. Во-пер­вых, по­лу­ча­тель име­ет воз­мож­ность убе­дить­ся в ис­тин­но­сти пись­ма, сли­чив под­пись с имею­щим­ся у не­го об­раз­цом. Во-вто­рых, лич­ная под­пись яв­ля­ет­ся юри­ди­че­ским га­ран­том ав­тор­ст­ва до­ку­мен­та. По­след­ний ас­пект осо­бен­но ва­жен при за­клю­че­нии раз­но­го ро­да тор­го­вых сде­лок, со­став­ле­нии до­ве­рен­но­стей, обя­за­тельств и т.д.

Ес­ли под­де­лать под­пись че­ло­ве­ка на бу­ма­ге весь­ма не­про­сто, а ус­та­но­вить ав­тор­ст­во под­пи­си со­вре­мен­ны­ми кри­ми­на­ли­сти­че­ски­ми ме­то­да­ми — тех­ни­че­ская де­таль, то с под­пи­сью элек­трон­ной де­ло об­сто­ит ина­че. Под­де­лать це­поч­ку би­тов, про­сто ее ско­пи­ро­вав, или не­за­мет­но вне­сти не­ле­галь­ные ис­прав­ле­ния в до­ку­мент смо­жет лю­бой поль­зо­ва­тель.

С ши­ро­ким рас­про­стра­не­ни­ем в со­вре­мен­ном ми­ре элек­трон­ных форм до­ку­мен­тов (в том чис­ле и кон­фи­ден­ци­аль­ных) и средств их об­ра­бот­ки осо­бо ак­ту­аль­ной ста­ла про­бле­ма ус­та­нов­ле­ния под­лин­но­сти и ав­тор­ст­ва без­бу­маж­ной до­ку­мен­та­ции.

В раз­де­ле крип­то­гра­фи­че­ских сис­тем с от­кры­тым клю­чом бы­ло по­ка­за­но, что при всех пре­иму­ще­ст­вах со­вре­мен­ных сис­тем шиф­ро­ва­ния они не по­зво­ля­ют обес­пе­чить ау­тен­ти­фи­ка­цию дан­ных. По­это­му сред­ст­ва ау­тен­ти­фи­ка­ции долж­ны ис­поль­зо­вать­ся в ком­плек­се и крип­то­гра­фи­че­ски­ми ал­го­рит­ма­ми.

Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстомВ 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

4.
Государственная Политика в области информационной безопасности

состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под

понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Под национальными интересами Российской Федерации понимается:

• Информационное обслуживание руководства
• Сохранность инфраструктуры
• Развитие информационных средств
• защита прав человека в информационной сфере
• Защита прав на частную информацию
• Защита баз данных
• Достоверность передаваемой информации

На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

определяет основные направления деятель федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятель и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

основывается на следующих принципах:

• Федеральная программа ИБ
• Нормативно-правовая база
• Регламентация доступа к информации
• Юридическая ответственность за сохранность информации
• Контроль за разработкой и использованием средств защиты информации
• Предоставление гражданам доступа к мировым информационным системам

анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;

· организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;

· поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

· осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

· проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

· способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

· формулирует и реализует государственную информационную политику России;

· организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;

· способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

5.
Проблемы информационной безопасности

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

• необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
• необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
• необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая Право на доступ к информации).

Следует знать, что
. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Основная работа по снижению дестабилизирующих факторов в области информационной безопасности — раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

• показатели, характеризующие технологическую безопасность информационных систем;
• требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;
• ресурсы, необходимые для обеспечения технологической безопасности ИС;
• внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;
• методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;
• оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;
• методы и средства определения реальной технологической безопасности функционирования критических ИС.

Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.

6.
законы, регулирующие информационную безопасность

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

Существуют, так называемые, правовые меры обеспечения информационной безопасности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

К основным законам и подзаконным актам, регламентирующим деятельность в области защиты информации относятся:

1. Законы Российской Федерации:

• «О федеральных органах правительственной связи и информации» от 19.02.92 № 4524-1;
• «О безопасности» от 05.03.92 № 2446-1;
• «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92 № 3523-1;
• «О правовой охране топологий интегральных микросхем» от 23.09.92 № 3526-1;
• «О сертификации продукции и услуг» от 10.06.93 № 5151-1;
• «О стандартизации» от 10.06.93 № 5154-1;
• «Об архивном фонде Российской Федерации и архивах» от 07.07.93 № 5341-1;
• «О государственной тайне» от 21.07.93 № 485-1;
• «О связи» от 16.02.95 № 15-ФЗ;
• «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ;
• «Об органах федеральной службы безопасности в Российской федерации» от 03.04.95 № 40-ФЗ;
• «Об оперативно-розыскной деятель» от 12.08.95 № 144-ФЗ;
• «Об участии в международном информационном обмене» от 04.07.96 № 85-ФЗ;
• «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ.

2. Нормативные правовые акты Президента Российской Федерации:

• «Об основах государственной политики в сфере информатизации» от 20.01.94 № 170;
• «Вопросы межведомственной комиссии по защите государственной тайны» от 20.01.96 № 71;
• «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188;
• «О некоторых вопросах межведомственной комиссии по защите государственной тайны» от 14.06.97 № 594;
• «О перечне сведений, отнесенных к государственной тайне» от 24.01.98 № 61;
• «Вопросы Государственной технической комиссии при Президенте Российской Федерации» от 19.02.99 № 212;
• «О концепции национальной безопасности Российской Федерации» от 10.01.2000 N 24;
• «Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне» от 17.01.2000 N 6-рп;
• Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.

3. Нормативные правовые акты Правительства Российской Федерации:

• «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР» от 20.02.95 N 170;
• «О лицензировании деятель предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15.04.95 N 333;
• «О сертификации средств защиты информации» от 26.06.95 N 608;
• «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» 04.09.95 N 870;
• «О подготовке к передаче сведений, составляющих государственную тайну, другим государствам» от 02.08.97 N 973;
• «О лицензировании отдельных видов деятель» от 11.04.00 N 326.

4. Руководящие документы Гостехкомиссии России:

• Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
• Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;
• Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
• Защита информации. Специальные защитные знаки. классификация и общие требования;
• Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

5. Уголовный Кодекс Российской Федерации.

7. Методика реализации политики безопасности

Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:

· разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;

· разработка и реализация механизмов повышения эффективности государственного руководства Деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;

· развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;

гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере.

Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:

· разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

· создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

· оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· координация деятель федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

· развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

· проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;

· организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

· защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

· осуществление международного сотрудничества в сфере обеспечения информационной безопасности, органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

Функции органов, координирующих деятельность федеральных органов государственной власти, органовгосударственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

8. Угрозы и их показатели

совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

• несанкционированный доступ к информационным ресурсам;
• незаконное копирование данных в информационных системах;
• хищение информации из библиотек, архивов, банков и баз данных;
• нарушение технологии обработки информации;
• противозаконный сбор и использование информации;
• использование информационного оружия.

К программным угрозам относятся:

• использование ошибок и «дыр» в ПО;
• компьютерные вирусы и вредоносные программы;
• установка «закладных» устройств;

К физическим угрозам относятся:

• уничтожение или разрушение средств обработки информации и связи;
• хищение носителей информации;
• хищение программных или аппаратных ключей и средств криптографической защиты данных;
• воздействие на персонал;

К радиоэлектронным угрозам относятся:

• внедрение электронных устройств перехвата информации в технические средства и помещения;
• перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

• закупки несовершенных или устаревших информационных технологий и средств информатизации;
• нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом:

являются:

· стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;

разработка государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия указанным угрозам необходимо отнести:

· постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

· развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;

· минимизацию числа иностранных фирм — поставщиков;

· координацию действий по проверке надежности указанных фирм;

· уменьшению номенклатуры поставляемого оборудования;

· переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;

· установлению приоритета в использовании отечественных средств защиты этих систем.

9. Стандарты безопасности Гостехкомиссии

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ «АС. защита от НСД к информации. Классификация АС и требования по защите информации» и «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным «источником вдохновения» при разработке этого документа послужила знаменитая американская «Оранжевая книга»). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий — первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа
содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа
характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа
характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа
характеризуется верифицированной защитой содержит только первый класс.

РД «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС — коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД «СВТ. Межсетевые экраны. защита от НСД к информации. Показатели защищенности от НСД к информации«. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• Управление доступом;
• идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

• Простейшие фильтрующие маршрутизаторы — 5 класс;
• Пакетные фильтры сетевого уровня — 4 класс;
• Простейшие МЭ прикладного уровня — 3 класс;
• МЭ базового уровня — 2 класс;
• Продвинутые МЭ — 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

· Гост 28147-89 – блочный шифр с 256-битным ключом;

· Гост Р 34.11-94 –функция хэширования;

· Гост Р 34.10-94 –алгоритм цифровой подписи.

10. Европейские стандарты безопасности

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

· наличие побочных каналов утечки информации;

· Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

· Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

· наличие уязвимостей («дыр») в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

· Политика безопасности;

· Организация защиты;

· Классификация ресурсов и их контроль;

· Безопасность персонала;

· Физическая безопасность;

· Администрирование компьютерных систем и вычислительных сетей;

· Управление доступом;

· Разработка и сопровождение информационных систем;

· Планирование бесперебойной работы организации;

· Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

Ключевыми являются следующие средства контроля:

· Документ о политике информационной безопасности;

· Распределение обязанностей по обеспечению информационной безопасности;

· Обучение и подготовка персонала к поддержанию режима информационной безопасности;

· Уведомление о случаях нарушения защиты;

· средства защиты от вирусов;

· Планирование бесперебойной работы организации;

· Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

· защита документации организации;

· Защита данных;

· Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

11. Стандарт безопасности США

«Department of Defense Trusted Computer System Evaluation Criteria»

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

названиедокумента «Department of Defense Trusted Computer System Evaluation Criteria».

OK предназначается для следующих целей:

• Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на Рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
• Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

• без учета среды, в которой работает техника;
• в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

1. Класс (D): Минимальная защита

2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

3. Класс (С2): защита, основанная на управляемом контроле доступом

4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

5. Класс (B2): Структурированная защита

6. Класс (ВЗ): Домены безопасности

7. Класс (A1): Верифицированный проект

2. FIPS 140-2
«Требования безопасности для криптографических модулей»

В федеральном стандарте США FIPS 140-2 «Требования безопасности для криптографических модулей» под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

Также к стандартам информационной безопасности США относится алгоритм шифрования DES,который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.

Заключение

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.

Литература