- •1.Основы защиты информации
- •1.1.Общие вопросы информационной безопасности
- •1.2.Правовые методы обеспечения информационной безопасности
- •1.3.Административные методы защиты информации
- •1.4.Преступления в сфере компьютерной информации
- •Глава 28. Преступления в сфере компьютерной информации
- •1.5.Программно-аппаратные методы защиты информации
- •2.Краткая история развития криптографии
- •2.1.Криптография в Древнем мире
- •2.2.Основные этапы развития криптографии
- •3.Идеи и методы криптографии
- •3.1.Модели шифрования/дешифрования дискретных сообщений
- •3.2.Идеально стойкие криптосистемы
- •3.3.Необходимое условие теоретической недешифруемости
- •3.4.Расстояние единственности
- •3.5.Вычислительно стойкие криптосистемы
- •4.Способы формирования криптограмм
- •4.1.Блоковые и потоковые шифры
- •4.2.Маскираторы аналоговых сообщений
- •5.Блоковое шифрование
- •5.1.Симметричные блоковые шифры
- •5.2.Структура Файстеля
- •5.3.Многократное шифрование блоков
- •5.4.Модифицированные алгоритмы блоковых шифров
- •5.5.Параметры современных блоковых шифров Зарубежные блоковые шифры
- •Государственный стандарт шифрования Российской Федерации
- •6.Потоковые шифры
- •6.1.Аддитивные потоковые шифры
- •6.2.Применение линейных рекуррентных регистров для потокового шифрования
- •6.3. Рис. 15. К обсуждению применимости лрр для потокового шифрования Потоковые режимы применения блочных шифров
- •7.Асимметричные криптосистемы
- •7.1.Особенности асимметричных криптосистем
- •8.Краткие сведения из теории чисел
- •7.2.1. Модульная арифметика
- •7.2.2. Возведение в степень
- •8.1.Вычисление дискретного логарифма
- •8.2.Разложение на множители
- •8.3.Вычисление наибольшего общего делителя
- •8.4.Обращение элементов по модулю n
- •8.5.Тесты на простоту
- •9.Основы построения асимметричных систем
- •7.4. Критосистема rsa
- •10.Гибридная система шифрования
- •11.Цифровая подпись
- •11.1.Цифровая подпись в системах шифрования с открытым ключом
- •11.2.Хеширование
- •12.Обеспечение безопасности электронных платежей
- •12.1.Основные методы электронных платежей
- •12.2.Пластиковые карты
- •12.3.Магнитные карты
- •12.4.Интеллектуальные карты
- •12.5.Основные преимущества смарт-карт
- •12.6.Надежность и безопасность пластиковых карт
- •13.Электронные платежи в Интернет
- •13.1.Электронные платежи с использованием пластиковых карт
- •13.2.Протокол set
- •13.3.Цифровая наличность
- •13.4.Цифровая подпись вслепую
- •13.5.Протокол анонимных платежей
1.3.Административные методы защиты информации
Наряду с правовыми методами защиты информационных систем важную роль играют административные или организационные методы защиты. Это связано с тем, что структура каждой системы, функциональные связи между ее подразделениями и отдельными сотрудниками обычно никогда полностью не повторяются. Только руководство может определить, насколько критично нарушение безопасности для компонентов системы, кто, когда, где и для решения каких задач может использовать ту или иную информацию.
Рациональное построение политики безопасности должно опираться на глубокий анализ необходимости конкретных мероприятий по защите с учетом их значительной стоимости. Стоимость реализации угроз со стороны противника, как правило, существенно меньше стоимости выгод, получаемых им от приведения угроз в исполнение. Аналогично стоимость средств защиты должна быть меньше размеров возможного ущерба. Тем не менее защита требует больших затрат, и нужно знать, оправданы ли эти затраты экономически, а после принятия решения о защите следует распределить имеющийся ресурс оптимальным образом для обеспечения необходимого уровня безопасности.
Руководство должно определить:
какая информация нуждается в защите,
кого она может заинтересовать,
каков срок жизни защищаемых секретов,
какова их стоимость и во что обойдется защита,
порядок доступа персонала к работе с конфиденциальной информацией,
политику подбора персонала,
ответственных лиц за безопасность (также физическую) каждого участка информационной системы и порядок проверки.
Обеспечение физической безопасности начинается с рационального размещения оборудования и организации охраны. Помещения экранируются от возможной утечки информации вместе с электромагнитным (в том числе, оптическим) и акустическим излучением, а также от возможного нарушения работоспособности при воздействии мощного внешнего излучения. Предусматривается защита линий связи и цепей питания.
Распределение обязанностей среди персонала производится с учетом его квалификации и способностей. Чем выше квалификация, тем опаснее потенциальный злоумышленник. Несовершенство защиты побуждает к нападению.
Должностные инструкции должны регламентировать как общие положения по защите, так и конкретные обязанности персонала в обычных условиях и в чрезвычайных ситуациях, наводнениях, пожарах и т.п. Все принципиально важные действия сотрудников и обнаруженные нарушения должны документироваться.
Конфиденциальная информация на неиспользуемых магнитных носителях уничтожается с помощью специальных программ, не допускающих ее восстановления. Магнитные носители изымаются на время передачи аппаратуры в ремонт.
1.4.Преступления в сфере компьютерной информации
В Уголовном Кодексе Российской Федерации, введенном в действие 1.01.97, существует специальная глава, посвященная компьютерным преступлениям.
Глава 28. Преступления в сфере компьютерной информации
Статья 272. Неправомерный доступ к компьютерной информации
Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, –
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, или в размере заработной платы, или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, –
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда. или в размере заработной платы, или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами –
наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, или в размере заработной платы, или иного дохода осужденного за период от двух до пяти месяцев.
Те же деяния, повлекшие по неосторожности тяжкие последствия, –
наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, –
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
То же деяние, повлекшее по неосторожности тяжкие последствия, –
наказывается лишением свободы на срок до четырех лет.