2.4. Державні стандарти із захисту інформації

Державний стандарт України “Захист інформації. Технічний захист інформації. Основні положення” (ДСТУ 3396.0-96) чинний з 01.01.1997 р. і є одним з основних державних стандартів із захисту інформації [5].

Цей стандарт встановлює об'єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації, неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) і державі, а також категорії нормативних документів системи ТЗІ.

Вимоги стандарту обов'язкові для підприємств і установ всіх форм власності й підпорядкування, громадян – суб'єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин всіх військових формувань, представництв України за кордоном, які володіють, користуються й розпоряджаються інформацією, що підлягає технічному захисту.

Існують також такі державні стандарти, які тим або іншим способом пов’язані із захистом інформації [6-12]:

Державні стандарти із захисту інформації представлені на схемі, зображеній на рис. 2.4.

Рис. 2.4. Державні стандарти із захисту інформації

Контрольні питання

1. Які нормативно-правові акти входять в загальний склад організаційно-правового забезпечення захисту інформації?

2. Який закон декларує загальні принципи одержання, використання, поширення й зберігання інформації, закріплює право особистості на інформацію у всіх сферах життя?

3. Який нормативно-правовий акт регулює відносини в сфері захисту інформації в інформаційних, телекомунікаційних і інформаційно-телекомунікаційних системах?

4. Який закон регламентує відносини між сторонами в процесі пророблення інформації в автоматизованих системах?

5. Яким нормативно-правовим актом регламентовані інформаційні відносини, пов'язані з доступом до державної секретної інформації?

6. Яким нормативно-правовим актом регулюються організаційно-технічні засоби захисту інформації?

7. Яке положення регламентує всі питання, пов'язані з організацією технічного захисту інформації в органах державної влади, органах місцевого самоврядування, органах керування Збройних Сил України тощо?

8. Яке положення визначає порядок криптографічного захисту інформації з обмеженим доступом, розголошення якої може завдати шкоди державі, суспільству або особі?

9. Що є об'єктом технічного захисту?

10. Що є метою технічного захисту інформації?

11. Назвіть основні етапи технічного захисту інформації?

12. Скільки є рівнів захисту інформації?

13. Які існують вимоги до захисту інформації?

14. Як називається основний державний стандарт із захисту інформації?

15. Назвіть державні стандарти, які тим або іншим способом пов’язані із захистом інформації.

3. Основи криптографії

3.1. Місце й роль криптографічних методів у загальній системі захисту інформації

Криптологія – наука, що складається із двох напрямків: криптографії й криптоаналізу [1].

Криптографія – наука про методи перетворення (шифрування) інформації з метою її захисту від зловмисників.

Класифікація криптографічних методів наведена на рис. 3.1.

Криптоаналіз – це наука (і практика її застосування) про методи й способи розкриття шифрів. Співвідношення криптографії й криптоаналізу очевидне: криптографія – це захист, тобто розробка шифрів, а криптоаналіз – напад, тобто розкриття шифрів. Однак це дві науки пов'язані одна з одною, і не буває гарних криптографів, що не володіють методами криптоаналізу. Справа в тому, що стійкість розробленого шифру можна довести за допомогою проведення різних спроб розкриття шифру, стаючи подумки в положення супротивника.

Одне із центральних місць у понятійному апараті криптографії займає таке поняття, як стійкість шифру. Під стійкістю шифру розуміють здатність шифру протистояти всіляким методам розкриття. Якісно зрозуміти його досить легко, але одержання строгих доказових оцінок стійкості для кожного конкретного шифру усе ще залишається невирішеною проблемою. Це пояснюється тим, що дотепер немає математичних результатів, необхідних для вирішення такої проблеми.

Тому стійкість конкретного шифру оцінюється тільки шляхом усіляких спроб його розкриття й залежить від кваліфікації криптоаналітиків, що розкривають шифр. Подібну процедуру називають перевіркою криптостійкості.

Рис. 3.1. Класифікація криптографічних методів

Донедавна криптографія становила інтерес, головним чином, для військових і дипломатів. Приватні особи й комерційні організації рідко вважали за необхідне застосовувати шифрування для захисту своєї кореспонденції, а якщо й робили це, то, як правило, без достатньої старанності. Однак, у силу цілого ряду обставин, інтерес до застосування криптографії різко підвищився.

Сьогодні кількість областей, у яких засоби електронного зв'язку заміняють паперову переписку, швидко збільшується. У результаті збільшується й доступний для перехоплення обсяг інформації, а саме перехоплення стає більш легким. Однак, ті ж самі фактори, які сприяють поширенню електронних засобів зв'язку, помітно знижують також витрати на криптографію.

У випадку передачі даних електронною поштою перехоплення виявляється навіть ще легшим, ніж у випадку телефонного зв'язку, оскільки при телефонному зв'язку перехоплювач не має можливості розрізняти зміст повідомлення, якщо тільки не скористається людиною-спостерігачем. При передачі даних матеріал перебуває у формі, придатної для сприйняття обчислювальною машиною, і подібних обмежень не виникає.

Вартість перехоплення згодом усе більше зменшується. У результаті цього зростає інтерес до криптографії як у приватних осіб, так і в комерційних організацій. Особливу гостроту проблема криптографічного захисту придбала з бурхливим розвитком електронної пошти й систем електронних платежів.