- •Понятие информационной безопасности
- •Основные определения и классификация угроз
- •Классификация сетевых атак
- •Пассивная атака
- •Активная атака
- •Определение проблематики иб
- •Законодательный, административный и процедурный уровни
- •Оранжевая книга
- •Обзор российского законодательства в области иб
- •Стандарты информационной безопасности
- •Административные меры информационной безопасности
- •Процедурный уровень информационной безопасности
- •Программно-технические меры
- •Криптография Основные понятия
- •Структура алгоритма симметричного шифрования
- •Сеть Фейштеля
- •Раунд сети Фейштеля
- •Алгоритм des
- •Описание раунда des
- •Алгоритм тройной des
- •Алгоритм гост 28147
- •Описание раунда гост 28147
- •Основные требования к алгоритмам асимметричного шифрования
- •Шифрование с открытым ключом
- •Создание и проверка подписи
- •Алгоритм rsa
- •Алгоритм обмена ключа Диффи-Хеллмана
- •Хэш-функции
- •Хэш-функция md5
- •Хэш-функция sha-1
- •Хэш-функции sha-2
- •Хэш-функция гост 3411
- •Требования к цифровой подписи
- •Прямая и арбитражная цифровые подписи
- •Стандарт цифровой подписи dss
- •Отечественный стандарт цифровой подписи гост 3410
- •Идентификация и аутентификация
- •Эволюция механизмов аутентификации
- •Аутентификация на основе паролей
- •Механизмы одноразовой аутентификации
- •Аутентификация "запрос-ответ"
- •Неявный запрос на базе времени
- •Аутентификация с использованием хэш-функции
- •Аутентификация Kerberos
- •Получение пользователем билета tgt на билеты
- •Получение пользователем билета на доступ к серверу
- •Аутентификация пользователя сервером
- •Аутентификация сервера пользователем
- •Аутентификация при помощи сертификатов
- •Взаимная аутентификация на базе сертификатов
- •Удостоверяющий центр
- •Экранирование
- •Межсетевые экраны прикладного уровня
- •Межсетевые экраны с пакетной фильтрацией
- •Системы за пределами межсетевого экрана
- •Построение набора правил межсетевого экрана
- •Виртуальные частные сети
- •Операционная система FreeBsd
- •Интернет шлюз на FreeBsd
- •Прокси-сервер squid
- •Пример реализации настроек squid
- •Понятие компьютерного вируса
- •Классификация компьютерных вирусов
- •Операционная система
- •Загрузочные вирусы
- •Файловые вирусы
- •Полиморфные вирусы
- •Классификация антивирусных программ
- •Антивирусные программы
- •Принципы работы антивирусных программ
- •Сканирование
- •Эвристический анализ
- •Обнаружение изменений
- •Резидентные мониторы
- •Основные меры по защите от вирусов
- •Библиография
Законодательный, административный и процедурный уровни
Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
Российские правовые акты в большинстве своем имеют ограничительную направленность. Для Уголовного или Гражданского кодекса это естественно. Однако, применительно к Закону об информации, информатизации и защите информации это является принципиальным недостатком. Сами по себе лицензирование и сертификация не обеспечивают безопасности. В законах не предусмотрена ответственность государственных органов за нарушения ИБ.
Законодательство США и европейских стран в области ИБ гораздо обширнее и многограннее российского.
Среди международных стандартов выделяются "Оранжевая книга", рекомендации X.800 и "Критерии оценки безопасности информационных технологий".
Оранжевая книга
"Оранжевая книга" заложила понятийный базис, в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности. "Оранжевая книга" - это сокращенное название стандарта МО США №5200.28, («Критерии оценки безопасности компьютерных систем»). В «Оранжевой книге» определены технические критерии защиты компьютерных систем, микропрограмм и программного обеспечения, требования к обеспечению этой защиты.
«Оранжевая книга» содержит четыре основных класса защищенности:
Класс D - Минимальная защита. К этому классу относятся системы на подобии DOS, так как защита в них практически отсутствует.
Класс С - Избирательная защита.
Класс С1. На основе избирательной защиты
Класс С2. На основе управляемого доступа. Большинство широко используемых систем претендует на соответствие защите по классу С2.
Класс В - Обязательная защита. Система должна иметь математическое описание своей защиты и поддерживать защиту даже в отключенном состоянии.
Класс В1. Защита с применением меток безопасности.
Класс В2. Структурированная защита.
Класс В3. Домены безопасности.
Класс А - Верифицированная защита. Для проверки спецификации такой системы применяются методы формальной верификации.
Любая компьютерная система, разрешающая открытый и неограниченный доступ, относится к классу D. Большинство операционных систем соответствуют классам С1 и С2. Системы класса А и В чаще всего встречаются там, где в течении всего времени требуется поддерживать максимально возможную защиту – например, в некоторых правительственных учреждениях.
Операционная система WinNT (и более поздние версии) относятся к классу С2. Одно из требований этого класса, - сервер должен все время находиться в закрытом состоянии.
Обзор российского законодательства в области иб
Статья 41 Конституции гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации фигурируют понятия банковской, коммерческой и служебной тайны.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне". В нем государственная тайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ. В нем даются основные определения и намечаются направления развития законодательства в данной области.
Закон выделяет следующие цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов о всех фактах нарушения режима защиты информации.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.
Закон предлагает действенное средство контроля целостности и решения проблемы "неотказуемости" (невозможности отказаться от собственной подписи).
Статья 17 Закона "О лицензировании отдельных видов деятельности" устанавливает перечень видов деятельности, на осуществление которых требуются лицензии:
распространение шифровальных (криптографических) средств;
техническое обслуживание шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;
разработка и (или) производство средств защиты конфиденциальной информации.
Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией. Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации.
10 января 2002 года Президентом был подписан закон "Об электронной цифровой подписи" номер 1-ФЗ, развивающий и конкретизирующий приведенные выше положения закона "Об информации...".
Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.