Закон о государственной тайне

Гостайна – защищаемые гос-ом сведения в области военной, внешнеполитической, разведывательной, контрразведывательной и оперативно-розыскной деят-ти, распространение которых может нанести ущерб безопасности РФ.

Средства ЗИ – это технические, криптографические, программные и другие ср-ва, предназначенные для защиты сведений, составляющих гостайну; ср-ва, в кот они реализованы, а также ср-ва контроля эффективности ЗИ.

5) Закон «Об информации, информационных технологиях и о ЗИ» 149 ФЗ

Регулируются отношения при:

¾ Осуществлении права на поиск, получение, передачу, произ-во и распространение инфы

¾ Применение информационных технологий

¾ Обеспечение ЗИ

..

7. 7. Кадровое обеспечение комплексной системы защиты информации

Источники нарушения ИБ – сотрудники фирмы по разным причинам (безответственность, зондирование системы, корысть, текучесть кадров). Нужна подготовка персонала, цель –Max эффективность,. Чтобы избежать нарушений, нужно проводить тщательный подбор персонала, подготовку, поддержание здорового рабочего климата, мотивацию и стимулирование деятельности сотрудников. Нужно пмочб новому сотруднику адаптироваться в организации(проф. Адаптация, социально-организационная адаптация, соц-психологическая). Также повышать мотивацию сотрудников к работе, разработать кодекс трудового распорядка.

 

8. 8. Защита информации от утечки по техническим каналам

Техн. Каналы - комплекс организационно-техн мероприятий, исключающих или ослабляющих бескнтрольный выход конфиденц. Инф-ции за пределы контролируемой зоны. Группы каналов УИ – визуально-оптические (световая энергия), акустичесие (Акустические поля), электромагнитные, материалы и вещества.

Основа УИ (утечки инф-ции) – неконтролируемый перенос информации посредством вккустических, световых, электр, радиационных и др.

 

9. Основные стандарты в области информационной безопасности

Виды стандартов: оценочные (направлены на классификаию инф. Систем и средств защиты по требованиям безопасности), технические спецификации (регламентирют различные аспекты реализации средств защиты)

Оранжевая книга – стандарт министерства обороны США «Критерии оценки доверенных компьютерных систем», 1983г., доверенные с-мы – которым можно оказать опред.степень доверия.

X.800 – обширный документ, сетевые механизмы безопасности:шифрование, электронная цифровая подпись, механизмы управления доступом, контроль целостности данных, аутентификация, управление маршрутизацией, механизмы нотаризации.

ISO/IEC 15408 – «критерии оценки безопасности инф.технологий», 1999 г, оценосный стнадрат, называют «общими критериями»

Гостехкомиссия России – руководящие документы – роль нац.оциночных стандартов в области безопасности, ориентации на «общие критерии». Важные РД - классификация автоматизированных систем по уровню защищенности от несанкционированного доступа, классификация межсетевых экранов.

 

 

10. Управление рисками для задач информационной безопасности

Администратиынй уровень ИБ, ИС или данные не стандартны, использование ИС – риски (ущерб, экономически опраданные меры, оценка рисков)

Риск- функция от вероятности и ущерба. Деятельность УР – оценка рисков,выбор эффективных и эк. Защитных средств. УР –циклический процесс, необходимо интегрировать в ЖЦ ИС (инициация, закупка, разработка, установка, эксплутация, выведение с-мы из эксплутации)

Этапы УР: 1. Выбор анализируемых объектов, 2. Методолгия оценка рисков, 3. Идентификация активов, 4. Анализ угроз и их последствий, 5. Оценка рисков, 6. Выбор защитных мер, 7. Реализация и проверка выбранных мер, 8. Оценка остаточного риска.

 

11. Основные программно-технические меры обеспечения защиты информации

Меры безопасности целесообразно разделить на следующие виды:

превентивные, препятствующие нарушениям ИБ; меры обнаружения нарушений; локализующие, сужающие зону воздействия нарушений; меры по выявлению нарушителя; меры восстановления режима безопасности. Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:

идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.

12. Технологии идентификация и аутентификации

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова " аутентификация " иногда используют словосочетание "проверка подлинности". Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);

нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

13. Протоколирование и аудит.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация протоколирования и аудита решает следующие задачи:

обеспечение подотчетности пользователей и администраторов;

обеспечение возможности реконструкции последовательности событий;

обнаружение попыток нарушений информационной безопасности;

предоставление информации для выявления и анализа проблем.

14. Основные методы шифрования. Симметричные алгоритмы (DES, ГОСТ 28147-89).

Шифр – правила и процедуры криптографических преобразований для зашифровывания и расшифровывания информации по ключу.

Популярный алгоритм шифрования данных D ES применяется правительством США как стандарт с 1977 года. Для шифрования алгоритм использует 64-битный ключ, блок данных из 64-и бит и 16-и проходов (циклов). Этот алгоритм достаточно быстр и эффективен. Однако в изначальном виде этот стандарт недостаточно криптоустойчив, т. к. прямые атаки с перебором ключей занимают, при сегодняшнем уровне технологий, разумный срок. Поэтому в настоящее время используются всевозможные его модификации, такие как 3-DES и каскадный 3-DES.

Государственный стандарт ГОСТ 28147-89 был утвержден в 1989 году как средство обеспечения безопасности, являющееся стандартом для государственных учреждений. Хотя он и не является основным криптосредством защищенных линий правительственной связи, однако это единственный более -менее открытый стандарт такого рода для исследования и использования самым широким кругом людей. Несмотря на то что в России ГОСТ играл ту же роль, что и DES в США, этот стандарт стал употребляться и в других странах. Например, алгоритм шифрования популярного архиватора ARJ построен как раз на использовании алгоритмов ГОСТ.

 

ГОСТ очень схож с DES. В нем так же используются 64-битные блоки. Тем не менее есть и ряд различий, например, в ГОСТ совершается 32 прохода вместо 16-и, ключ гораздо длиннее и состоит из 256 бит и т. д. В общем, среди специалистов принято считать, что он по своим характеристикам превосходит DES. Однако в настоящее время и его расшифровка лежит в пределах современных технологий. И точно так же ему присущи все недостатки алгоритмов, использующих симметричные ключи.

 

15. Основные методы шифрования. Асимметричные алгоритмы (RSA).

RSA относится к так называемым асимметричным алгоритмам, у которых ключ шифрования не совпадает с ключом дешифровки. Один из ключей доступен всем (так делается специально) и называется открытым ключом, другой хранится только у его хозяина и неизвестен никому другому. С помощью одного ключа можно производить операции только в одну сторону. Если сообщение зашифровано с помощью одного ключа, то расшифровать его можно только с помощью другого. Имея один из ключей невозможно (очень сложно) найти другой ключ, если разрядность ключа высока.

Алгоритм RSA состоит из следующих пунктов:

Выбрать простые числа p и q

Вычислить n = p * q

Вычислить m = (p - 1) * (q - 1)

Выбрать число d взаимно простое с m

Выбрать число e так, чтобы e * d = 1 (mod m)

16. Основные методы шифрования. Хэширование (ГОСТ Р 34.11-94)

хэширование - средство быстрого поиска данных, основанное на вычислении т.н. хэш-функции (числа, определяемого элементом данных). Это число - индекс в массиве ссылок на данные. Это работает, когда хэш-функцию можно бысро вычислить и большая часть данных дают уникальные значения хэш-функции.

ГОСТ Р 34.11-94 — российский криптографический стандарт вычисления хеш-функции.

Дата введения: 23 мая 1994 годаРазмер хеша: 256 битРазмер блока входных данных: 256 битРазработчик: ГУБС ФАПСИ и Всероссийский научно-исследовательский институт стандартизации

Стандарт определяет алгоритм и процедуру вычисления хеш-функции для последовательности символов. Этот стандарт является обязательным для применения в качестве алгоритма хеширования в государственных организациях РФ и ряде коммерческих организаций.

ЦБ РФ требует использовать ГОСТ Р 34.11-94 для электронной подписи предоставляемых ему документов.[1]

С 1 января 2013 года заменён на ГОСТ Р 34.11-2012

 

17. Основные методы шифрования. Управление криптоключами. Метод Диффи-Хеллмана.

У. Диффи и М. Хеллман изобрели метод открытого распределения ключей в 1976 г. Этот метод позволяет пользователям обмениваться ключами по незащищенным каналам связи. Его безопасность обусловлена трудностью вычисления дискретных логарифмов в конечном поле, в отличие от легкости решения прямой задачи дискретного возведения в степень в том же конечном поле.

Суть метода:

Пользователи A и В, участвующие в обмене информации, генерируют независимо друг от друга свои случайные секретные ключи к_А и к_в (ключи к_А и к_в — случайные большие целые числа, которые хранятся пользователями А и В в секрете).

Затем пользователь А вычисляет на основании своего секретного ключа к_А открытый ключ K_A= g^k* (mod N), одновременно пользователь В вычисляет на основании своего секретного ключа к_в открытый ключ K_B= g^k* (mod N), где N и g — большие целые простые числа. Арифметические действия выполняются с приведением по модулю N. Числа N и g могут не храниться в секрете. Как правило, эти значения являются общими для всех пользователей сети или системы.

Затем пользователи A и В обмениваются своими открытыми ключами К_А и К_в по незащищенному каналу и используют их для вычисления общего сессионного ключа А’ (разделяемого секрета).

Таким образом, результатом этих действий оказывается общий сессионный ключ, который является функцией обоих секретных ключей к_А и к_в.

Злоумышленник, перехвативший значения открытых ключей К_А и К_в, не может вычислить сессионный ключ К, потому что он не имеет соответствующих значений секретных ключей к_А и к_в.