- •Л.М. Лыньков, в.Ф. Голиков, т.В. Борботько основы защиты информации
- •Содержание
- •1.1. Введение в защиту информации
- •1.2. Классификация угроз информационной безопасности
- •1.3. Классификация методов защиты информации
- •1.4. Охраняемые сведения
- •1.5. Демаскирующие признаки
- •1.6. Контрольные вопросы
- •2. Правовые и организационные методы защиты информации
- •2.1. Правовое обеспечение защиты информации
- •2.2. Государственное регулирование в сфере защиты информации
- •2.3. Контрольные вопросы
- •3. Технические каналы утечки информации
- •3.1. Классификация
- •3.2. Акустические каналы утечки информации
- •3.3. Материально-вещественный и визуально-оптический каналы утечки информации
- •3.4. Электромагнитные каналы утечки информации
- •3.5. Утечка информации по цепям заземления
- •3.6. Утечка информации по цепям электропитания
- •3.7. Перехват информации в телефонных каналах связи
- •3.8. Высокочастотное навязывание
- •3.9. Контрольные вопросы
- •4. Пассивные методы защиты информации от утечки по техническим каналам
- •4.1. Экранирование электромагнитных полей
- •4.2. Конструкции экранов электромагнитного излучения
- •4.3. Фильтрация
- •4.4. Заземление технических средств
- •4.5. Звукоизоляция помещений
- •4.6. Контрольные вопросы
- •5. Активные методы защиты информации от утечки по техническим каналам
- •5.1. Акустическая маскировка
- •5.2. Электромагнитная маскировка
- •5.3. Обнаружение закладных устройств
- •5.4. Технические средства обнаружения закладных устройств
- •5.5. Контрольные вопросы
- •6. Инженерно-техническая защита объектов от несанкционированного доступа
- •6.1. Категорирование объектов
- •6.2. Классификация помещений и территории объекта
- •6.3. Инженерные заграждения
- •6.4. Технические средства охраны периметра объекта
- •6.4.1 Радиоволновые и радиолучевые средства обнаружения
- •6.4.2 Оптические средства обнаружения
- •6.4.3 Сейсмические средства обнаружения
- •6.4.4 Магнитометрические средства обнаружения
- •6.5. Охранное телевидение
- •Способы представления визуальной информации оператору
- •6.6. Системы контроля и управления доступом
- •6.6.1 Автономные скуд
- •6.6.2 Сетевые скуд
- •6.7. Управляемые преграждающие устройства
- •6.8. Контрольные вопросы
- •7. Криптографическая защита информации
- •7.1. Основы построения криптосистем
- •7.1.1. Общие принципы криптографической защиты информации
- •7.1.2. Блочные и поточные шифры
- •Поточное шифрование
- •Блочное шифрование
- •Блочное шифрование с обратной связью
- •7.2. Симметричные криптосистемы
- •7.2.1. Основные понятия и определения
- •7.2.2. Традиционные симметричные криптосистемы
- •Шифры перестановок
- •Шифры простой замены
- •Шифры сложной замены
- •Шифрование методом гаммирования
- •7.2.3. Современные симметричные криптосистемы
- •7.3. Стандарт шифрования данных гост 28147-89
- •7.3.1. Режим простой замены Шифрование открытых данных в режиме простой замены
- •Расшифровывание в режиме простой замены
- •7.3.2. Режим гаммирования Зашифровывание открытых данных в режиме гаммирования
- •Расшифровывание в режиме гаммирования
- •7.3.3. Режим гаммирования с обратной связью
- •Шифрование открытых данных в режиме гаммирования с обратной связью
- •Расшифровывание в режиме гаммирования с обратной связью
- •7.3.4. Режим выработки имитовставки
- •7.4. Асимметричные криптосистемы Концепция криптосистемы с открытым ключом
- •7.5. Электронная цифровая подпись
- •7.5.1. Общие сведения
- •Эцп функционально аналогична обычной рукописной подписи и обладает ее основными достоинствами:
- •7.5.2. Однонаправленные хэш-функции
- •7.5.3. Алгоритм электронной цифровой подписи rsa
- •7.5.4. Белорусские стандарты эцп и функции хэширования
- •Обозначения, принятые в стандарте стб‑1176.02‑99
- •Процедура выработки эцп
- •Процедура проверки эцп
- •7.6. Аутентификация пользователей в телекоммуникационных системах
- •7.6.1. Общие сведения
- •7.6.2. Удаленная аутентификация пользователей с использованием пароля
- •7.6.3. Удаленная аутентификация пользователей с использованием механизма запроса-ответа
- •7.6.4. Протоколы идентификации с нулевой передачей знаний
- •Упрощенная схема идентификации с нулевой передачей знаний
- •Параллельная схема идентификации с нулевой передачей знаний
- •7.7. Контрольные вопросы
- •8. Защита информации в автоматизированных системах
- •8.1. Политика безопасности
- •8.1.1. Избирательная политика безопасности
- •8.1.2. Полномочная политика безопасности
- •8.1.3. Управление информационными потоками
- •8.2. Механизмы защиты
- •8.3. Принципы реализации политики безопасности
- •8.4. Защита транзакций в Интернет
- •8.4.1 Классификация типов мошенничества в электронной коммерции
- •8.4.2. Протокол ssl
- •Этап установления ssl-сессии («рукопожатие»)
- •Этап защищенного взаимодействия с установленными криптографическими параметрами ssl-сессии
- •8.4.3. Протокол set
- •6. Банк продавца авторизует данную операцию и посылает подтверждение, подписанное электронным образом, web-серверу продавца.
- •8.5. Атаки в компьютерных сетях
- •8.5.1. Общие сведения об атаках
- •8.5.2. Технология обнаружения атак
- •8.5.3. Методы анализа информации при обнаружении атак Способы обнаружения атак
- •Методы анализа информации
- •8.6. Межсетевые экраны
- •8.6.1. Общие сведения
- •8.6.2. Функции межсетевого экранирования
- •8.6.3. Фильтрация трафика
- •8.6.4. Выполнение функций посредничества
- •8.6.5. Особенности межсетевого экранирования на различных уровнях модели osi
- •8.6.6. Экранирующий маршрутизатор
- •8.6.7. Шлюз сеансового уровня
- •8.6.8. Прикладной шлюз
- •8.7. Контрольные вопросы
- •Литература
- •Основы защиты информации
- •220013, Минск, п. Бровки, 6
1.6. Контрольные вопросы
1. Что называется информацией?
2. Что называется угрозой информационной безопасности? Приведите примеры.
3. Какая информация относится к охраняемым сведениям?
4. Перечислите носители охраняемых сведений.
5. Какие категории демаскирующих признаков вы знаете?
2. Правовые и организационные методы защиты информации
2.1. Правовое обеспечение защиты информации
Правовое обеспечение включает в себя:
1. Нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области защиты информации.
2. Исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации, защиты информации органами государственной власти и управления организациями (юридическими лицами), гражданами.
Нормотворческая деятельность:
1. Оценка состояния действующего законодательства и разработка программы его совершенствования.
2. Создание организационно‑правовых механизмов обеспечения защиты информации.
3. Формирование правового статуса всех субъектов в системе защиты информации и определение их ответственности за обеспечение информационной безопасности.
4. Разработку организационно‑правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех категорий информации.
5. Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействий угроз, восстановление права и ресурсов, реализации компенсационных мер.
Исполнительная и правоприменительная деятельность:
1. Разработка процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией.
2. Разработка составов правонарушений с учетом специфики уголовной, гражданской, административной и дисциплинарной ответственности.
Деятельность по правовому обеспечению информационной безопасности строится на трех фундаментальных положениях:
1. Соблюдение законности (предполагает наличие законов и иных нормативных документов, их применение и исполнение субъектами права в области информационной безопасности).
2. Обеспечение баланса интересов отдельных субъектов и государства (предусматривает приоритет государственных интересов как общих интересов всех субъектов). Ориентация на свободы, права и интересы граждан не принижает роль государства в обеспечении национальной безопасности в целом и в области информационной безопасности в частности).
3. Неотвратимость наказания (выполняет роль важнейшего профилактического инструмента в решении вопросов правового обеспечения).
Нормативно-правовая база в области защиты информации основывается на общегосударственных документах и ведомственных документах.
Общегосударственные документы:
1) Законы, кодексы;
2) Указы Президента Республики Беларусь;
3) Постановления Совета Министров.
Ведомственные документы:
1) межведомственные;
2) внутриведомственные.
Основные правовые акты, регламентирующие защиту информации в Республике Беларусь:
Концепция национальной безопасности Республики Беларусь (9 ноября 2010 г.) представляет собой совокупность официальных взглядов на сущность и содержание деятельности Республики Беларусь по обеспечению баланса интересов личности, общества, государства и их защите от внутренних и внешних угроз и обеспечивает единство подходов к формированию и реализации государственной политики обеспечения национальной безопасности, а также методологическую основу совершенствования актов законодательства в различных сферах национальной безопасности, разработки документов стратегического планирования.
Закон Республики Беларусь «Об информации, информатизации и защите информации» (9 октября 2008 г.) является основой для регулирования общественных отношений, возникающих при:
– поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией;
– создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов;
– организации и обеспечении защиты информации.
Постановление Совета Министров Республики Беларусь «О некоторых вопросах защиты информации» (26 мая 2009 г.) регламентирует порядок:
– защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено;
– аттестации систем защиты информации;
– проведения государственной экспертизы средств защиты информации.
Постановление Совета Министров Республики Беларусь «Об утверждении положения о лицензировании деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи» (20 октября 2003 г.) устанавливает порядок выдачи специальных разрешений (лицензий) на осуществление деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи.
Закон Республики Беларусь «Об электронном документе и электронной цифровой подписи» (28 декабря 2009 г.) определяет правовые основы применения электронных документов, определяет основные требования, предъявляемые к электронным документам, а также правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.