- •Основные понятия и определения информационной безопасности
- •Классификация методов защиты информации
- •Защита программного обеспечения основанная на идентификации аппаратно и программной среды
- •Криптографические методы защиты информации.
- •Ассиметричные криптосистемы
- •Сравнение симметричных и ассиметричных алгоритмов
- •Реализация алгоритмов шифрования
- •Основные типы криптоаналитических атак
- •Количественный подход к информационной безопасности
- •Электронная цифровая подпись
- •Этапы генерации эцп:
- •Организация защиты программных систем от исследования
- •Защита информации в компьютерных сетях
- •§ 1. Общие сведенья о компьютерных и вычислительных сетях
- •§ 2. Типовые уровни сетевой архитектуры
- •§ 3. Объекты защиты информации в компьютерной сети
- •Методы защиты информации в интернет
- •Частные виртуальные сети
- •Классификации vpn
Литература: Малюк А.А. «Введение защиты информации в автоматизированных системах», «Информационная безопасность. Концептуальные и методологические основы защиты информации»
Завгороний В.И. «Комплексная защита информации в компьютерных системах»
Хорев П.Б
Основные понятия и определения информационной безопасности
Государственная тайна – защищаемые государством сведения в области его военной, экономической, внешнеполитической и т.д. деятельности распространение которых может нанести ущерб безопасности государству.
Коммерческая тайна:
1) Информация представляет коммерческую тайну в том случае когда она имеет действительную или потенциальную ценность, в силу неизвестности ее третьим лицам.
2) Коммерческая тайна это сведенья связанные с коммерческой деятельностью предприятия, доступ к которым ограничен в соответствии с законодательством государства (прежде всего гражданский кодекс).
Защита информации это деятельность направленная на предотвращение утечки защищаемой информации, а так же несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Система защиты информации – совокупность средств и исполнителей, а так же объектов защиты, которые обеспечивают полный цикл защищаемых мероприятий в соответствии с нормативными документами и законами в области защиты информации.
Эффективность защиты информации – это степень соответствия результатов защиты информации, поставленным целям.
Законодательные акты и нормативы посмотреть самостоятельно, а именно доктрина информационной безопасности РФ (пр. 1895)
Федеральный закон №24 от 20 февраля 95 об информации, об информатизации и защите информации.
Посмотреть статьи УК РФ за информационное злодейство 281-285.
Основные источники угроз:
Стихийные бедствия и аварии.
Сбои и отказы оборудования автоматизированных систем.
Последствия ошибок проектирования, и разработки компонентов автоматизированных систем.
Ошибки эксплуатации автоматизированных систем.
Преднамеренные действия нарушителей, и злоумышленников.
Угрозы информации по происхождению могут быть случайными и умышленными. К случайным угрозам можно отнести: 1) Небрежное хранение и учет носителей информации. 2) Ошибки ввода данных. 3) Сбой и ошибки в работе аппаратуры, вызванные нестабильностью питанием электросети.
Неосторожные действия персонала, приводящие к разглашению конфиденциальной информации (паролей, ключей шифрования и т.д. )
К умышленным угрозам можно отнести:
1) Маскировка под истинного пользователя, путем навязывания характеристик авторизации такого пользователя.
2) Использование служебного положения.
3) Физическое разрушение системы защиты.
4) Подкуп или шантаж персонала, имеющих доступ к данным.
5) Хищение носителей информации и несанкционированное копирование информации.
Объекты(типы) защиты информации:
1) Информационные объекты (сообщение, статистические данные, аналитические данные, БД)
2) Ресурсные программно-аппаратные объекты(техническое оборудование, каналы связи, вычислительная техника, операционные системы, прикладное программное обеспечение)
3) Физические объекты (территория, здания, помещения ит.д.)
4) Пользовательский объект (пользователи информации, собственники информации, обслуживающий персонал).
Классификация методов защиты информации
Существуют четыре основных направления, метода защиты информации:
1) Правовые меры.
Законодательно правовые акты, действующие в государстве, которые регламентируют, правила обращения с информацией и устанавливают ответственность, за нарушение этих правил.
К правовым мерам относятся и морально этические нормы, это сложившиеся моральные нормы и этические правила, соблюдение которых способствует защите информации. Эти нормы не являются обязательными, но их несоблюдение ведет к падению авторитета человека или организации.
Законодательные и морально-этические меры являются универсальными в том смысле, что применимы, для любых каналов проникновения и не санкционированного доступа к информации, в некоторых случаях они становятся единственно-применимыми.
2) Организационно-Административные меры защиты.
Это меры организационного характера, регламентирующие процессы функционирования, автоматизированных систем, деятельность персонала и т.д. с той целью, что бы исключить возможность реализации угроз безопасности, к организационно административным мерам защиты относятся:
Мероприятия осуществляемые при проектировании строительства и оборудовании объектов систем обработки данных.
Мероприятия о разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности).
Мероприятия осуществляемые при подготовке и подборе персонала.
Организация охраны, и видео контроля
Распределение реквизитов, разграничение доступов (пароли, ключи шифрования).
Недостатки данных мер:
Низкая надежность, без дополнительной поддержке другими способами защиты.
Большие неудобства, связанные со значительным объемом рутинной формальной деятельностью.
3) Аппаратно-программные меры защиты.
4) Физические меры защиты.
(см. лекции у коли у него чуть дописано)