- •5. Организация работ по защите от нсд
- •7. Модель нарушителя иб
- •9. Политика иб. Структура документа
- •11. Правила политики иб
- •13. Способы оценки инцидента иб. Способы оповещения об инциденте иб. Ответные меры на инцидент. Регистрация и учет событий, связанных с инцидентом иб. Меры, предпринимаемые после инцидента иб
- •15. Политика иб. Стандарты
- •17. Методы информационной безопасности. Аварийный план.
- •19. Алгоритм rsa
- •21. Угрозы иб. Преднамеренные угрозы. Шпионаж и диверсии
- •23. Побочные электромагнитные излучения и наводки
- •25. Вредительские программы
- •27. Повышение надежности ас. Создание отказоустойчивых ас
- •29. Оптимизация взаимодействия пользователей и обслуживающего персонала с ас.
- •31. Методы защиты информации в ас от преднамеренных угроз. Методы защиты информации в ас от шпионажа и диверсий. Система охраны объекта
- •33. Методы и средства борьбы с закладными подслушивающими устройствами
- •35. Защита от нсд к информации
15. Политика иб. Стандарты
Отсутствие до последнего времени (и в России и за рубежом) специализированных стандартов и методических рекомендаций по составу и структуре документов, составляющих политику информационной безопасности (ИБ), создало огромное поле для творчества специалистов, занимающихся разработкой документов, в результате чего стали появляться комбинированные документы (чаще называемые инструкциями), содержащие положения разного типа документов (политик, процедур, инструкций, стандартов).
Растерянность в свою очередь вносит и многозначность самого термина «политика». С одной стороны, политикой информационной безопасности называется определенный документ, с другой – совокупность всех документов, регламентирующих вопросы обеспечения информационной безопасности в организации.
Вот, например, какие определения, связанные с термином «политика», встречаются в международных и российских стандартах по информационной безопасности:
ГОСТ Р ИСО/МЭК 15408-1-2002
Политика безопасности организации – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.
Политика безопасности объекта оценки – совокупность правил, регулирующих управление активами, их защиту и распределение в пределах объекта оценки.
ГОСТ Р ИСО/МЭК 17799-2005
Политика – общее намерение и направление, официально выраженное руководством.
ГОСТ Р ИСО/МЭК 13335-1 2006
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
СТО БР ИББС-1.0-2006 Политика информационной безопасности организации банковской системы Российской Федерации – одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности
17. Методы информационной безопасности. Аварийный план.
19. Алгоритм rsa
RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложностизадачи факторизации больших целых чисел.
Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений, включая PGP, S/MIME, TLS/SSL, IPSEC/IKE и других.[1]
Криптографические системы с открытым ключом используют так называемые односторонние функции, которые обладают следующим свойством:
Если известно , то вычислить относительно просто
Если известно , то для вычисления нет простого (эффективного) пути.
Под односторонностью понимается не теоретическая однонаправленность, а практическая невозможность вычислить обратное значение, используя современные вычислительные средства, за обозримый интервал времени.
В основу криптографической системы с открытым ключом RSA положена сложность задачи факторизации произведения двух больших простых чисел. Для шифрования используется операция возведения в степень по модулю большого числа. Для дешифрования за разумное время (обратной операции) необходимо уметь вычислять функцию Эйлера от данного большого числа, для чего необходимо знать разложения числа на простые множители.
В криптографической системе с открытым ключом каждый участник располагает как открытым ключом (англ. public key), так и закрытым ключом (англ. private key). В криптографической системе RSA каждый ключ состоит из пары целых чисел. Каждый участник создаёт свой открытый и закрытый ключ самостоятельно. Закрытый ключ каждый из них держит в секрете, а открытые ключи можно сообщать кому угодно или даже публиковать их. Открытый и закрытый ключи каждого участника обмена сообщениями в криптосистеме RSA образуют «согласованную пару» в том смысле, что они являются взаимно обратными, т.е.:
сообщения , где — множество допустимых сообщений.
допустимых открытого и закрытого ключей и
соответствующие функции шифрования и расшифрования , такие что
Система RSA используется для защиты программного обеспечения и в схемах цифровой подписи.
Также она используется в открытой системе шифрования PGP и иных системах шифрования (к примеру, DarkCryptTC и формат xdc) в сочетании с симметричными алгоритмами.
Из-за низкой скорости шифрования (около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц), сообщения обычно шифруют с помощью более производительныхсимметричных алгоритмов со случайным ключом (сеансовый ключ), а с помощью RSA шифруют лишь этот ключ, таким образом реализуется гибридная криптосистема. Такой механизм имеет потенциальные уязвимости ввиду необходимости использовать криптостойкий генератор случайных чисел для формирования случайного сеансового ключа симметричного шифрования и эффективно противостоящий атакам симметричный криптоалгоритм (в данное время широкое применение находят AES,IDEA, Serpent, Twofish).