Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.02.1995 г. №24-ф3.

1. Закон определяет обязанности государства в сфере формирования информационных ресурсов и информатизации.

2. Закон рассматривает информационные ресурсы как элемент состава имущества государства, организации, общественных объединений и отдельных граждан.

   1. Государство оставляет за собой право выкупа документированной информации у юридических и физических лиц в случае отнесения ее к государственной тайне;

   2. Собственники информационных ресурсов, отнесенных к государственной тайне, в праве распоряжаться ими только с разрешения соответствующих органов государственного управления.

3. Информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную информацию.

4. В законе определена информация, на которую нельзя накладывать ограничения по доступу.

5. Персональные данные или информация о гражданах относится к конфиденциальной информации. Она не может распространяться без согласия физического лица, кроме как по судебному решению.

6. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных.

Указ Президента РФ №334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставлении услуг в области шифрования информации».

Все услуги, связанные с шифрованием информации, подлежат обязательному лицензированию.

Нормативно-технические и организационные документы.

1. Руководящие документы государственных технических комиссий.

   1. «Защита от несанкционированного доступа (НСД) к информации: термины и определения»;

   2. «Концепция защиты средств вычислительной техники (СВТ) и АС от НСД;

   3. «СВТ: защита от НСД к информации, показатели защищенности СВТ».

Все СВТ разбиваются на 7 классов, объединенных в 4 группы.

4. «АС защиты от НСД к информации; классификация АС и требования по защите информации».

Все АС делятся на 9 классов, объединенных в 3 группы.

5. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты от НСД в АС и СВТ».

Идентификация и аутентификация.

Идентификация– присвоение субъектам или объектам доступа идентификатора или сравнения предъявленного идентификатора с перечнем присвоенных идентификаторов.

Цель идентификации:отслеживание действий пользователя в системе.

Аутентификация– проверка принадлежности субъекту доступа предъявленного им идентификатора.

Принципы аутентификации.

1. Пользователь знает;

2. Пользователь имеет;

3. Пользователь есть.

1. Существует 3 метода аутентификации.

   1. Метод паролей и его модификации.

Пароль выбирается пользователем.

Ожидаемое безопасное время – полупроизведение числа возможных паролей и времени, необходимого для того, чтобы попробовать один из возможных паролей.

Модификации метода простых паролей:

1. Пароль с выборкой символов.

Система просит ввести случайную последовательность символов, составляющую пароль.

2. Метод однократного пароля.

Пользователь вводит в систему или система выдает пользователю значительное число паролей, которые тот должен запомнить или хранить. Каждый раз пользователь входит под новым именем.

Проблемы: в случае аварийного завершения сеанса пользователь может не знать, какой пароль вводить.

3. При завершении сеанса работы система просит ввести пароль на следующий сеанс.

Правила обращения с паролями.

1. Пароли нельзя хранить в системе в явном виде.

2. Пароли нельзя отображать в явном виде.

3. Пароль необходимо менять как можно чаще.

4. Система не должна вырабатывать новый пароль в конце сеанса работы.

2. Метод «вопрос-ответ».

Пользователь при входе отвечает на mориентированных иnстандартных вопросов.

Стандартные вопросы не касаются пользователя и вводятся в систему заранее.

3. Метод секретного алгоритма.

Система выдает случайное число. Пользователь, зная секретный алгоритм, сообщает системе результаты вычислений по алгоритму.

2. Пользователь имеет.

Аутентификация производится по некоторому предмету, которым физически обладает пользователь.

1. Магнитные идентификационные карты. Носитель информации –магнитная полоса.

В соответствии с международным стандартом ISO 1811-1/9.1989, полоса содержит 3 дорожки: 2 для идентификации, 1 – для перезаписи информации.

Проблема: невысокая механическая стойкость.

2. Полупроводниковые идентификационные карты.

Имеется встроенная ИС с металлическими контактами. По стандарту ISO 1816-1.1988 таких контактов должно быть 8 и они должны быть позолочены. В настоящее время используется 4-6 контактов. В данные карты встраиваются системы шифрования.

3. Электронный идентификатор (touch memory).

Таблетка диаметром 17 мм., толщиной 5,8 или 3,2 мм. Внутри находится литиевая батарейка сроком службы 10 лет.

Стандарты: D1990(1,2)1.

4. Оптические идентификационные карты.

Емкость от 40 до 200 Мбит. Выполнена по технологии WORM (write once, read many).

3. Пользователь есть.

Основные биометрические показатели человека:

1. Узор сетчатки глаза;

2. Отпечатки пальцев;

3. Геометрия руки;

4. Динамика подписи;

5. Особенности речи;

6. Ритм работы на клавиатуре.

Человек УстройствоКонтрольный образ

1. Осуществляется сканирование сетчатки.

Измеряется угловое распределение кровеносных сосудов относительно слепого пятна.

Стоимость устройств – 5-7 тыс. $.

Контрольный образ – 40 байт.

Существует несколько процентов вероятности непризнания законного пользователя.

100% вероятность обнаружения «чужака».

2. Основана на выделении основных дактилоскопических признаков, измерении расстояний между ними, вычислении их относительных координат.

Контрольный образ – 400-1000 байт.

Цена – 2-4 тыс. $.

Надежность – 95-95%.

Руки человека должны быть теплыми. Термохромные материалы значительно изменяют отражающую способность при незначительном изменении температуры.

Температура пальца – 35-43C.

Прибор представляет собой матрицу 250x250ячеек. Каждая ячейка имеет 16 градаций оттенков.

3. Образ занимает от 9 до 1000 байт в зависимости от фирмы-производителя.

Цена – 3-5 тыс. $.

Рука облучается мощным световым потоком. Фотоячейки фиксируют контур руки.

Система обнаруживает возрастные изменения, производственные изменения, муляжи.

Параметры, уникальные для человека:

1. Положение краев контура каждого пальца;

2. Положение центральных осей для каждого контура пальца;

3. Смещение осей контуров всех пальцев до положения, перпендикулярного опорной линии;

4. Ширина контура каждого пальца в определяющих местах опорной линии.

Гарантированно не пропускает муляжи (датчик температуры, мелкие колебания пальцев).

4. Аутентификация по подписи.

   1. Динамическая – специальный планшет и ручка. В ручке установлен преобразователь ускорения по осям X иY. Планшет измеряет силу нажатия.

   2. Статическая – подпись сверяется с контрольным образом (расписываются 4-5 раз).

Динамический метод более надежен (время контакта ручки с планшетом, общее время подписи, …).

Контрольный образ – 40 байт-4 Кбайт.

Стоимость оборудования – 100-1200 $.

5. Аутентификация по голосу.

Характеристики голоса:

1. Высота тона – диапазон частот вибраций голосовых связок;

2. Резонансные частоты глотки носовой и ротовой полости;

3. Мелодичность – высота тона как функция времени;

4. Интонация – громкость как функция времени.

Методы аутентификации:

1. Фразо(тексто)-независимые;

2. Тесктозависимые.

Контрольный образ – 2-20 Кбайт.

Стоимость оборудования – от 300 $.

6. Ритм работы на клавиатуре.

Существуют определенные временные интервалы при последовательности нажатий клавиш на клавиатуре.

Позволяет производить аутентификацию скрытно и непрерывно.

Способы:

1. По свободному тексту;

2. По набору ключевой фразы.

Средства биометрической аутентификации используются в системах, работающих в двух вариантах:

1. Открытые системы – Средства аутентификации используются неподготовленным пользователем. Количество средств аутентификации – 1-2.

2. Системы управления оружием или серьезная закрытая информация. Пользователи заранее подготовлены и четко знают последовательность действий. За невыполнение последовательности действий могут быть применены ТСО.