- •Введение
- •1. Информация как предмет защиты
- •2. Информационная безопасность
- •3. Основные угрозы информационной безопасности
- •Классификация угроз безопасности данных
- •4. Модель потенциального нарушителя
- •Типы нарушителей информационной безопасности ис
- •5. Классификация компьютерных преступлений
- •6. Личностные особенности компьютерного преступника
- •7. Принципы организации систем обеспечения безопасности данных (собд) ивс
- •8. Стандарты информационной безопасности
- •8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша
- •Основные элементы политики безопасности
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •Классы безопасности
- •Требования к политике безопасности
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •8.2. Европейские критерии безопасности информационных технологий
- •8.3. Руководящие документы Гостехкомиссии России
- •8.4. Общие критерии безопасности информационных технологий
- •9. Методы и средства защиты данных
- •9.1. Основные методы защиты данных
- •9.2. Классификация средств защиты данных
- •9.3. Формальные средства защиты
- •9.4. Физические средства защиты
- •9.5. Аппаратные средства защиты
- •9.5.1. Отказоустойчивые дисковые массивы
- •9.5.2. Источники бесперебойного питания
- •9.6.Криптографические методы и средства защиты данных
- •Классификация криптографических методов преобразования информации
- •9.7. Методы шифрования
- •9.7.1. Методы замены
- •9.7.2. Методы перестановки
- •9.7.3. Методы аналитических преобразований
- •9.7.4. Комбинированные методы
- •9.7.5. Стандарт сша на шифрование данных (des)
- •9.7.6. Отечественный стандарт на шифрование данных
- •9.8. Системы шифрации с открытым ключом
- •9.8.1. Алгоритм rsa
- •9.8.2. Криптосистема Эль-Гамаля
- •9.8.3. Криптосистемы на основе эллиптических уравнений
- •9.9. Электронная цифровая подпись
- •9.10. Методы кодирования
- •9.11. Другие методы шифрования
- •10. Стеганография
- •11. Защита программ от несанкционированного копирования
- •11.1. Методы, затрудняющие считывание скопированной информации
- •11.2. Методы, препятствующие использованию скопированной информации
- •11.3. Основные функции средств защиты от копирования
- •11.4. Основные методы защиты от копирования
- •11.4.1. Криптографические методы
- •11.4.2. Метод привязки к идентификатору
- •11.4.3. Методы, основанные на работе с переходами и стеком
- •11.4.4. Манипуляции с кодом программы
- •11.5. Методы противодействия динамическим способам снятия защиты программ от копирования
- •12. Защита информации от несанкционированного доступа
- •12.1. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •12.2. Аутентификация пользователей по их биометрическим характеристикам, клавиатурному почерку и росписи мыши
- •12.3. Программно-аппаратная защита информации от локального несанкционированного доступа
- •12.4. Аутентификация пользователей при удаленном доступе
- •13. Защита информации в компьютерных сетях
- •Пакетные фильтры
- •Сервера прикладного уровня
- •Сервера уровня соединения
- •Сравнительные характеристики пакетных фильтров и серверов прикладного уровня
- •Схемы подключения
- •Администрирование
- •Системы сбора статистики и предупреждения об атаке
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
8.3. Руководящие документы Гостехкомиссии России
В 1992 году Гостехкомиссия (ГТК) при Президенте Российской Федерации опубликовала пять руководящих документов по защите информации от несанкционированного доступа.
Важнейшие их них: «Концепция защиты средств вычислительной техники от несанкционированного доступа», «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации», «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации».
Идейной основой этих документов является «концепция». С точки зрения разработчиков данных документов основная и едва ли не единственная задача – обеспечение защиты от НСД к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержке работоспособности АСОИ вообще не уделяется. Уклон в сторону поддержания секретности объясняется тем, что эти документы были разработаны в расчете на применение в НО и спецслужбах РФ, а также невысоким уровнем информационных технологий этих систем по сравнению с современными.
Руководящие документы ГТК предлагают две группы критериев безопасности: показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень защищенности (только от НСД) отдельно поставляемых средств ВТ, вторая рассчитана на полнофункциональные системы обработки данных.
Недостатком стандарта является отсутствие требований к защите от угроз работоспособности, ориентация на противодействие НСД, отсутствие требований к адекватности реализации ПБ. Термин ПБ трактуется исключительно как поддержание режима секретности и отсутствие НСД, что принципиально неверно. Поэтому средства защиты ориентируются исключительно на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется никаких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определенного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения во многих случаях затрудняет. Достоинство – документы ГТК заполнили правовой вакуум в области стандартов информационной безопасности у нас, и на определенной этапе оперативно решили актуальную проблему.
8.4. Общие критерии безопасности информационных технологий
«Единые критерии» являются результатом объединения «Европейских критериев», «Федеральных критериев» и «Канадских критериев» в единый согласованный документ.
Работа над документом началась в июне 1993 года с целью преодоления концептуальных и технических различий между указанными стандартами и создания единого международного стандарты. Первая версия «Ед.к.» опубликована 31.01.1996.
Разработчики документа – Национальный институт стандартов и технологий, Агентство национальной безопасности США, соответствующие организации Канады, Франции, Нидерландов. В течение 1997 года – новая версия критериев «Ед.к.», регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов
«Единый критерий» – результат обобщения всех достижений в области защиты информационной безопасности. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспертам по квалификации ИТ-продуктов.
Механизмы «Единого критерия» – профиль защиты и проект защиты позволяют потребителям и производителям полностью выразить требования безопасности и задачи защиты, экспертам – проанализировать взаимное соответствие между требованиями, нуждами потребителей и средствами защиты ИТ-продукта.
Отказ от единой шкалы безопасности сделал критерии еще более гибкими путем введения частично упорядоченных шкал.
В этом документе уровень стандартизации информационных технологий поднят на межгосударственный уровень, что создает перспективы единого информационного пространства, где сертификация безопасности АСОИ будет осуществляться на глобальном уровне.
В Российской Федерации «Единые критерии …» изданы в качестве ГОСТа (ГОСТ РИСО/МЭК 15408 – 2001 «Методы и средства обеспечения безопасности информационных технологий».