- •Курс лекций по дисциплине информационная безопасность
- •Протодьяконова г.Ю., Протодьяконов п.С.
- •Коврова с.Е.
- •Содержание
- •Тема 1.2. Роль информатизации в развитии общества .8
- •Пояснительная записка
- •Цели и задачи дисциплины
- •Раздел 1. Информация и информационные ресурсы
- •Тема 1.1. Информация, ее виды и свойства
- •Измерение количества информации
- •1. Вероятностный подход.
- •2. Объемный подход
- •Cвойства информации
- •Тема 1.2. Роль информатизации в развитии общества
- •Тема 1.3. Информационные ресурсы
- •Документирование информации
- •Государственные информационные ресурсы
- •Пользование информационными ресурсами
- •Раздел 2. Информационная безопасность
- •Тема 2.1. Современная ситуация в области информационной безопасности Информационная безопасность. Основные виды и источники атак информации
- •Угроза безопасности информации
- •Виды угроз:
- •Дополнительные виды угроз:
- •Факторы угроз безопасности информации:
- •4. Основные угрозы безопасности информации и нормального функционирования ис :
- •Тема 2.2. Категории информационной безопасности
- •Системы информационной безопасности
- •Тема 2.3. Абстрактные модели защиты информации Защита информации
- •Модели защиты информации
- •Тема 2.4. Обзор наиболее распространенных методов взлома Комплексный поиск возможных методов доступа
- •Терминалы защищенной информационной системы
- •Технологии несанкционированного доступа (нсд)
- •Распространенные техники подбора паролей
- •Раздел 3. Методы и средства защиты информации
- •Тема 3.1. Проблемы защиты информации
- •Защита информации
- •Тема 3.2. Система защиты информации
- •Принципы проектирования систем защиты:
- •Организация работ по защите информации в системах электронной обработки данных
- •Тема 3.3. Защита информации от технических разведок
- •Средства технической разведки
- •Тема 3.4.Способы защиты информации от технических разведок
- •Борьба со скрытыми каналами взаимодействия с информационной сетью Программы-шпионы
- •Тема 3.5. Средства защиты от технических разведок
- •Дезинформация
- •Применение имитационного моделирования
- •Раздел 4. Защита информации при ее обработке техническими средствами
- •Тема 4.1. Технические средства обработки информации (тсои).
- •Классификация тсзи по функциональному назначению
- •Способы обработки данных
- •Комплекс технических средств обработки информации
- •Тема 4.2. Защита информации при ее обработке техническими средствами.
- •I. Организационные защиты информации
- •II.Технические средства и способы защиты информации
- •Аппаратные средства защиты информации
- •Программные средства обеспечения защиты информации
- •Криптографические методы защиты информации
- •III. Защищенные тсои
- •Тема 4.3. Защита информации от утечки за счет пэми и пэмн
- •Развязывающие устройства и приспособления
- •Утечка информации за счет пэмин
- •Тема 4.4. Защита информации от нсд Защита информации от нсд штатными техническими средствами
- •Штатное техническое средство информационного доступа (штс)
- •Доступ к информации
- •II. Компьютерное преступление
- •Нарушители и модель нарушителя правил доступа
- •2. Идентификация
- •3. Аутентификация. Средства аутентификации
- •Тема 4.5. Защита информации от воздействия специальных электронных закладных устройств (аппаратных закладок) и внешних воздействий
- •Тема 4.6. Криптографическая защита информации
- •Кодирование и шифрование
- •Наиболее известные криптосистемы
- •1. Классификация криптосистемы
- •2. Практическое применение
- •Системы потокового шифрования
- •Гост 28147-89 - отечественный стандарт шифрования данных
- •Криптосистема с открытым ключом
- •1. Системы с открытым ключом
- •2. Шифр простой подстановки
- •3. Шифры перестановки
- •4 . Шифр Вижинера
- •Методы перестановки
- •5. Одноразовая система шифрования
- •6. Методы шифрования с симметричным ключом Методы замены
- •Тема 4.7. Методы антивирусной защиты информации
- •Виды и характеристика вирусов
- •Основные классы антивирусных программ
- •Защита от вирусов
- •Раздел 5. Защита информации в информационных системах
- •Тема 5.1.: вычислительные сети и защита информации
- •I. Основные задачи обеспечения безопасности и информации в информационных системах
- •II. Меры по обеспечению сохранности информации. Угрозы безопасности в информации
- •Подходы и принципы сохранности информации
- •Тема 5.2. Защита локальных сетей и операционных систем
- •Уязвимость сетей
- •Тема 5.3. Проблемы защиты информации в интернет
- •1. Ограничения доступа в www серверах
- •2. World Wide Web серверы и проблема безопасности информации
- •3. Java, JavaScript и проблема безопасности
- •Раздел 6. Организационно- правовое обеспечение информационной безопасности
- •Тема 6.1. Информационное право Правовая защита информации
- •1. Право авторства и право собственности информационной системы
- •2. Сертификация информационных систем
- •3 . Защита информации
- •Защита информации и прав субъектов в области информационных систем
- •3. Права и обязанности субъектов в области защиты информации
- •5. Защита права на доступ к информации
- •Тема 6.2. Законодательство в области интеллектуальной собственности
- •Охрана товарных знаков
- •Охрана авторских прав
- •Охрана конфиденциальной информации
- •Органы и защита исключительных прав владельцев объектов ис
- •Тема 6.3. Правовая защита программ и информационных технологий Информационная безопасность Российской Федерации
- •Источники угроз информационной безопасности Российской Федерации
- •Состояние информационной безопасности рф и основные задачи по ее обеспечению
- •Особенности обеспечения информационной безопасности рф в различных сферах общественной жизни
- •Международное сотрудничество рф в области обеспечения информационной безопасности
- •Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •Организационная основа системы обеспечения информационной безопасности Российской Федерации
- •Фз «о правовой охране пргорамм для эвм и баз данных»
- •1. Общие положения
- •2. Исключительные авторские права
- •3. Использование программ для эвм и баз данных
- •4. Защита прав
- •1. Общие положения
- •2. Информационные ресурсы
- •3. Пользование информационными ресурсами
- •4. Информатизация, информационные системы, технологии и средства их обеспечения
- •5. Защита информации и прав субъектов в области информационных процессов и информатизации
- •Терминологический словарь
Терминологический словарь
Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.
Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты.
Безопасность информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.
Требования по безопасности информации - руководящие документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности ее защиты.
Криптографическая защита - защита данных при помощи криптографического преобразования данных.
Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки.
Шифрование - процесс зашифрования или расшифрования.
Зашифрование данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.
Расшифрование данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.
Шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Имитовставка - отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и ключа.
Ключ - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности возможных для данного алгоритма преобразований.
Лицензирование - это процесс, осуществляемый в отношении таких категорий, как "деятельность"
Лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении
прав на проведение работ в области защиты информации, и осуществлении контроля за лицензиатом.
Заявитель в области защиты информации - предприятие, представившее документы, необходимые для получения лицензии или решения о выдаче лицензии.
Требования к заявителю - комплекс определенных Правительством Российской Федерации или ФАПСИ условий, норм и критериев, регламентирующих возможности и деятельность лицензиата, уровень производственной, испытательной, технологической, нормативно-методической базы предприятия, научный и инженерно-технический уровень персонала, а также мероприятия по обеспечению сохранности доверяемой конфиденциальной информации, соответствие которым проверяется в ходе специальной экспертизы заявителя.
Лицензиат - сторона, получившая право на проведение работ в области защиты информации. Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие."
Скремблер - шифровальное средство, предназначенное для защиты информации только от непосредственного прослушивания, просмотра или прочтения.
Маскиратор - средство защиты информации, реализующее математический алгоритм преобразования информации, не использующее секретного ключа или передающее (хранящее) его вместе с сообщением.
Техническое средство обработки информации - техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи.
Защищенные (закрытые) системы и комплексы телекоммуникаций - системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.
Шифровальные средства (средства криптографической защиты информации) - это:
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
ручные шифры, документы кодирования и другие носители ключевой информации.
Сертификация средств защиты информации - деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации, предъявляемым ФАПСИ.
Сертификат на средство защиты информации - надлежащим образом оформленный документ, выданный по правилам системы сертификации и подтверждающий соответствие средства защиты информации требованиям по безопасности информации, предъявляемым ФАПСИ.
Аттестация — это процесс, осуществляемый в отношении такой категории, как "объект информатики"
Аттестация объекта в защищенном исполнении - официальное подтверждение наличия на объекте информатики условий, обеспечивающих выполнение установленных требований по безопасности информации;
Объекты информатики - автоматизированные системы различного назначения, системы телекоммуникаций, отображения и размножения вместе с помещениями, в которых они установлены, а также отдельные технические средства обработки информации и помещения, предназначенные для ведения конфиденциальных переговоров;
Аттестат соответствия - документ, оформленный по правилам системы аттестации, подтверждающий, что объект информатики соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации;
Защищенное техническое средство обработки информации - техническое средство обработки информации, удовлетворяющее требованиям нормативно-технических документов по безопасности информации.
Легендирование - способ защиты информации от технических разведок, предусматривающий преднамеренное распространение и поддержание ложной информации о функциональном предназначении объекта защиты.
Имитация (от лат. imitatio - подражание) - подражание кому-либо или чему-либо, воспроизведение; подделка.
В многоголосной музыке точное или видоизмененное повторение в каком-либо голосе мелодии, перед этим прозвучавшей в другом голосе. На имитации основываются многие полифонические формы, в т. ч. канон и фуга.
Имитационное моделирование — это метод, позволяющий строить модели, описывающие процессы так, как они проходили бы в действительности. Такую модель можно «проиграть» во времени как для одного испытания, так и заданного их множества. При этом результаты будут определяться случайным характером процессов. По этим данным можно получить достаточно устойчивую статистику.
Криптографическое преобразование информации – это преобразование с помощью шифрования или выработки имитовставки.
Имитовставка – это отрезок информации фиксированной длины, полученный по определенному правилу и закрытых данных и ключа добавленного к зашифрованным данным для обеспечения имитозащиты (защита системы шифрованной связи от навязывания ложных данных).
ARP (Address Resolution Protocol) - протокол определения адреса, преобразует адрес компьютера в сети Internet в его физический адрес.
ARPA (Advanced Research Projects Agency) - бюро проектов передовых исследований министерства обороны США.
Ethernet - тип локальной сети. Хороша разнообразием типов проводов для соединений, обеспечивающих пропускные способности от 2 до 10 миллионов bps(2-10 Mbps). Довольно часто компьютеры, использующие протоколы TCP/IP, через Ethernet подсоединяются к Internet.
FTP (File Transfer Protocol) - протокол передачи файлов, протокол, определяющий правила пересылки файлов с одного компьютера на другой.
FAQ (Frequently Asked Qustions) - часто задаваемые вопросы. Раздел публичных архивов сети Internet в котором хранится информация для "начинающих" пользователей сетевой инфраструктуры.
Gopher - интерактивная оболочка для поиска, присоединения и использования ресурсов и возможностей Internet. Интерфейс с пользователем осуществлен через систему меню.
HTML (Hypertext Markup Language)- язык для написания гипертекстовых документов. Основная особенность - наличие гипертекстовых связей между документами находящимися в различных архивах сети; благодаря этим связям можно непосредственно во время просмотра одного документа переходить к другим документам.
Internet - глобальная компьютерная сеть.
IP (Internet Protocol) - протокол межсетевого взаимодействия, самый важный из протоколов сети Internet, обеспечивает маршрутизацию пакетов в сети.
IР-адрес - уникальный 32-битный адрес каждого компьютера в сети Internet.
Telnet - удаленный доступ. Дает возможность абоненту работать на любой ЭВМ сети Internet как на своей собственной.
TCP\IP - под TCP\IP обычно понимается все множество протоколов поддерживаемых в сети Internet.
TCP (Transmission Control Protocol) - протокол котроля передачи информации в сети. TCP - протокол транспортного уровня, один из основных протоколов сети Internet. Отвечает за установление и поддержание виртуального канала (т.е. логического соединения), а также за безошибочную передачу информации по каналу.
UDP (User Datagram Protocol) - протокол транспортного уровня, в отличие от протокола TCP не обеспечивает безошибочной передачи пакета.
Unix - многозадачная операционная система, основная операционная среда в сети Internet. Имеет различные реализации: Unix-BSD, Unix-Ware, Unix-Interactive.
UUCP - протокол копирования информации с одного Unix-хоста на другой. UUCP - не входит в состав протоколов TCP/IP, но тем не менее все-еще широко используется в сети Internet. На основе протокола UUCP - построены многие системы обмена почтой, до сих пор используемые в сети.
WWW (World Wide Web) - всемирная паутина. Система распределенных баз данных, обладающих гипертекстовыми связями между документами.
Список литературы
1. Водолазский В. "Стандарт шифрования ДЕС", Монитор 03-04, 1992 .
2. Воробьев С. "Защита информации в персональных ЗВМ", изд. Мир, 2003 г.
3. Гуде С.В., Ревин С.Б. Информационные системы. Учебное пособие. РЮИ МВД России. 2002э
4. Защита информации в персональных ЭВМ/ А.В. Спесивцев, В.А.Вегнер, А.Ю. Крутяков.-М.:2000.
5. Информатика и математика для юристов: Учебное пособие для вузов (Гриф МО РФ) / Под ред.проф. Х.А.Андриашина, проф. С.Я.Казанцева – М.:Юнити-Дана, 2002.- 463 с.
6. Казаков Ю.В. Защита интеллектуальной собственности. - М.: Мастерство, 2002.
7. Карелина М.М. Преступления в сфере компьютерной информации. - М.: 1998.
8. Козлов С.Б., Иванов Е.В. Предпринимательство и безопасность. М.: Универсум, 2001. Т1,2.7.
9. Копылов В.А. Информационное право М.: Юристь, 2004.
10. Ковалевский В., "Криптографические методы", Компьютер Пресс 2003.
11. Крылов В.В. Информационные компьютерные преступления. - М.:2007.
12. Мазеркин Д. Защита коммерческой тайны на предприятиях различных форм собственности //Частный сыск и охрана, 2004г.
13. Мафтик С., "Механизмы защиты в сетях ЭВМ", изд. Мир, 2003 г.
14. Петраков А.В. Защита и охрана личности, собственности, информации: Справочное пособие. – М.:2002г.
15. Правовая информатика и управление в сфере предпринимательства. Учебное пособие.- М.: Юристь,2005.
16. Рассолов М.М. Информационное право. - М.: Юристь, 2003.
17. Рощин Б.В. Элементы криптозащиты информации: Учебное пособие. – М.:2001г.
18. Рудометов Е. Аппаратные средства и мультимедиа. Справочник- Изд. 2-е- СПб.Питер 2005г.,416с.
19. Сергеев А.П. Право интеллектуальной собственности в Российской Федерации - М: ПБОЮЛ Грижеко Е.М., 2000.
20. Судариков С.А. Основы авторского права. - Мн: Амалфея, 2000.
21. ФЗ «О сертификации продукции и услуг», 10 июня 1993 №5153-1.
22. ФЗ «Об информации, информатизации и защите информации» / 25 января 1995 ФЗ «Об авторском праве и смежных правах» / 19 июля 1993
23. ФЗ «О правовой охране программ для электронных вычислительных машин и баз данных»/23/09/1992.
24. ФЗ «О правовой охране топологий интегральных микросхем».
25. Фундаментальные основы информатики: социальная информатика.: Учебное пособие для вузов / Колин К.К. – М.: Академ.проект: Деловая книга Екатеринбург, 2000.- 350 с.
26. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. М.:ИПКИР, 1994.
27. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Киев, Издательство Юниор, 2003, 501 стр.
28. Хоффман Дж. "Современные методы защиты информации".
29. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.
30. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.