- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
Выделено 9 классов защищенности, классы подразделяются на 3 группы, отличающиеся особенностями обработки информации.
Третья группа классифицирует автоматизированные системы, в которых работает 1 пользователь, имеющий доступ ко всей информации, размещенных на носителей одного уровня конфиденциальности. В пределах третьей группы содержится 2 класса:
3Б
3А.
Вторая группа классифицирует системы, в которых пользователи имеют одинаковые права доступа ко всей информации, обрабатываемой или хранящейся на носителях различного уровня конфиденциальности. Группа содержит 2 класса:
2Б
2А
Первая группа классифицирует многопользовательские системы, в которых обрабатываются информации разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации. Группа содержит 5 классов:
1Д
1Г
1В
1Б
1А
Классы защищенности в порядке возрастания: 3Б-3А-2Б-2А-1Д-1Г-1В-1Б-1А.
Классификация межсетевых экранов
Основным критерием классификации межсетевых экранов служит протокольный уровень в соответствии с 7ми уровневой моделью OSI на котом осуществляется фильтрация информации. Дополнительно рассматриваются вопросы администрирования распределенных конфигурации и собственной безопасности служб обеспечения защиты.
Законодательный уровень информационной безопасности
Информационная безопасность включает в себя:
Законодательный – различают 2 группы мер:
Ограничительная – создание и поддержание негативного отношения к нарушениям в обществ
Созидательная – повышение образованности в обществе в разработках и распространениях средств обеспечения информационной безопасности
Административный
Процедурный
Программно-технический
Российское законодательство
Конституция
24 статья конституции – доступ к информации (права и свободы)
41,42 статья – доступ к информации (угроза для жизни здоровья)
23 статья – право на тайну
29 – работа с информацией
Гражданский кодекс
Вводят понятия банковская, коммерческая, служебная тайна
Уголовный кодекс РФ
Глава 28 – преступления в сфере компьютерной безопасности:
Статья 272 – неправомерный доступ к компьютерной информации (конфиденциальность)
Статья 273 – создание, использование и распространение вредоносных программ для ЭВМ
Статья 274 –нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (нарушение целостности и доступности информации)
Статья 138 – Защищает конфиденциальность персональных данных
Статья 183 – защищает банковскую и коммерческую тайну.
Закон о государственной тайне
Защищаемая государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности распространение которой может нанести ущерб безопасности РФ.
Технические криптографические программные и другие средства предназначены для защиты сведений, составляющую государственную тайну это средства в которых они реализованы, а также средства контроля эффективности защиты информации.
Закон об информации, информационных технологиях и о защите информации
Законом регулируются отношения, возникающие при:
Осуществления права на поиск, получение, передачу, производство и распространение информации
Применении информационных технологий
Обеспечение защиты информации
Определения в этом законе:
Информация
Информационные технологии
Информационная система
Информационно – телекоммуникационная сеть
Обладатель информации
Доступ к информации
Конфиденциальность информации (разглашение)
Предоставление информации (определенному кругу лиц)
Распространение информации (неопределенному кругу лиц)
Электронное сообщение
Документированная информация
Оператор информационной системы
Состав:
Статья 3 – основные принципы правового регулирования в сфере информации (достоверность, доступность)
Статья 9 – рассматривает конфиденциальность информации
Статья 11 – рассматривает возможность использования электронной подписи (документирование информации)
Статья 16 – защита информации