Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
kurs-release1.doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
1.09 Mб
Скачать

4.3.6 Использование стандарта ”Общих критериев” в снг

В 1997-1999 гг. в соответствии с методологией ОК в Институте технической кибернетики Национальной академии наук Белоруссии разработаны проекты общих требований к профилям защиты и ПЗ межсетевого экрана сетевого и транспортного уровней. Создан гипертекстовый справочник АИС-ОК для представления на русском и английском языках общих критериев, и на его основе разработана система проектирования профилей защиты и оценки продуктов и систем ИТ.

В России также ведутся работы по внедрению ОК. На международном конгрессе "Телекоммуникации в аспекте национальной безопасности" (16-18.11.1998, Санкт-Петербург) было решено использовать ОК для разработки согласованных руководств по построению безопасных информационных систем, а также межгосударственных функциональных стандартов стран СНГ - профилей защиты для систем специального назначения, в кредитно-финансовой сфере, POS-терминалов и электронных банковских технологий и т. п. На конгрессе была принята рекомендация "заинтересованным органам государственного управления, предприятиям и организациям принять участие в разработке и внедрении документов на основе "Общих критериев оценки безопасности информационных технологий", созданных странами ЕС и Северной Америки совместно с ISO".

В рамках СНГ для оценки безопасности компьютерных продуктов и систем в качестве межгосударственного стандарта в области информационной безопасности можно было бы использовать ISO/IEC 15408 - "Общие критерии". Применение ISO будет способствовать признанию сертификатов безопасности различных стран и послужит основой для вхождения в международную систему стандартизации и сертификации в области оценки безопасности информационных технологий. Этот стандарт может лечь в основу разработки функциональных стандартов - пользовательских профилей защиты, позволяющих определить требования к продуктам и системам ИТ, разработать методики испытаний на соответствие этим профилям. В международной практике стандартизации в области ИТ такой подход получил название функциональной стандартизации. Он позволяет на основе конкретных сценариев защиты нормировать параметры, требования и процедуры, создавая лаконичные и однозначные документы - стандартизованные профили.

5. Криптографические модели

Интернет, представляет собой не только всемирное хранилище данных, но и транспортную среду для передачи различной информации. Нередко возникает необходимость в передаче приватной информации по открытым каналам связи, таким как интернет. Существует угроза в нарушении конфиденциальности. Примером тому может служить перехват деловой переписки одной фирмы, её конкурентом. Проблема

Соответствующие средства защиты: шифрование информации и применение электронной цифровой подписи (ЭЦП), которая не позволит что-либо изменить на пути следования письма или пересылаемом документе и даст возможность точно установить, кто именно является автором пришедшего сообщения.

Шифрование — это преобразование информации из открытой формы в закрытую (зашифрованную). Существует, естественно, и обратный процесс (расшифрование).

Математически процесс шифрования сообщения M с помощью алгоритма шифрования E выглядит так:

С = Ek1(M),

где C — полученное в результате шифрования сообщение, k1 — ключ шифрования. Обычно алгоритмы шифрования не являются секретными (например, современный российский алгоритм шифрования ГОСТ 28147–89 опубликован как стандарт) и известны всем, а вот ключ — это тот самый секретный элемент, который позволяет зашифровать сообщение так, чтобы никто другой, не имеющий ключа, не смог его прочитать.

Ключ шифрования обычно представляет собой просто набор цифр, который получают со специальных датчиков случайных чисел, чтобы ключ был абсолютно случайным и ни один из злоумышленников не смог его спрогнозировать и вычислить. Такой ключ может храниться, например, в файле на дискете, на смарт-карте или на брелоках, подключаемых к USB-порту компьютера. Главное, никто не должен получить ваш персональный ключ, кроме тех, кому вы сами его дадите (чтобы расшифровать то, что было вами зашифровано).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]