_{Нижегородский государственный университет им. Н. И. Лобачевского}

Финансовый факультет

Кафедра компьютерных информационных систем финансовых расчетов

Киселев В.Г.

«Информационная безопасность в экономических системах»

Лекции по курсу

2013 год.

Оглавление

1. Понятие информационной безопасности 3

2. Виды, факторывозникновения, способы воздействия и защитыот угроз информационным объектам 5

3. Методы и средства защиты информации 7

4. Подходы к обеспечению информационной безопасности 9

5. Основные понятия криптологии 10

6. Симметричные криптосистемы 12

7. Асимметричные криптосистемы 15

7.1. Предыстория вопроса 15

7.2. Односторонние функции 16

7.3. Сравнение вычислений прямой и обратной функций 17

7.4. Использование односторонней функции для решения задач 18

8. Электронная цифровая подпись (ЭЦП) 19

8.1. Шифр RSA 20

8.2. Электронная цифровая подписьRSA 21

9. Передача секретной информации по открытым каналам 21

9.1. Система Диффи-Хеллмана 22

9.2. Шифр Шамира 23

9.3. Шифр Эль-Гамаля 24

10. Электронные деньги 25

10.1. Механизм электронных наличных 26

10.2. Преимущества электронных денег 30

11. Компьютерные вирусы 31

12. Правовая защита программных продуктов и БД 34

12.1. Общие положения 34

12.2. Лицензии 35

12.3. Авторское право 36

13. Стандарты информационной безопасности 37

13.1. Международные стандарты 37

13.2. Защита в Интернет 38

13.3. Государственные российские стандарты 39

1. Понятие информационной безопасности

Под безопасностью объекта понимают защиту объекта от случайного или преднамеренного доступа к нему лиц, не имеющих на это право, от неавторизованной модификации объекта или его уничтожения.

Информационная безопасность - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя.

Секретность понимается как право отдельных лиц или организаций определять, когда, как и какое количество информации может быть передано другим лицам или организациям.

Информационная безопасность подразумевает под собой следующее:

• надежность работы аппаратуры,

• сохранность ценных данных,

• защита информации от внесения в нее изменений неуполномоченными лицами,

• сохранение тайны переписки в электронной связи.

Важность информационной безопасности подчеркивается следующими тремя справками.

Справка 1.

По мнению американских специалистов, снятие защиты информации в компьютерных сетях приведет к разорению 40% средних, 16% крупных компаний, 50% банков потерпят крах через несколько дней.

Справка 2.

Причины и ущерб от нарушения информационной безопасности в американских организациях [2000 год] в процентах от годового ущерба.

• кража конфиденциальной информации — 25%;

• фальсификация финансовой информации — 25%;

• заражение вредоносными программами — 12%;

• нарушение доступа к сайтам — 11%;

• срыв работы информационной системы — 10%;

• незаконный доступ сотрудников к информации — 9%;

• другие виды ущерба — 8%.

Справка 3.

По статистическим данным Национального отделения ФБР по компьютерным преступлениям, от 85 до 97% нападений на корпоративные сети не только не пресекаются, но даже и не обнаруживаются. Специальная группа экспертов провела анализ защищенности 8932 военных информационных систем; в 7860 (88%) случаях несанкционированное проникновение посторонних в эти системы было успешным. Администраторы только 390 (4.4%) из них обнаружили атаки и всего лишь 19 (0.2%) сообщили о них.

Конфиденциальность – свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (аппаратуре, программам, пользователям, данным и т.д.)

Целостность ресурса – свойство ресурса быть неизменным в семантическом (смысловом) содержании при функционировании системы.

Доступность – свойство ресурса быть готовым для использования авторизованными субъектами системы в любое время.

Безопасность информационной системы достигается конфиденциальностью информации, а также целостностью и доступностью ресурсов системы.

Система обеспечения информационной безопасности разделяется на 4 подсистемы:

• безопасность аппаратуры,

• безопасность данных,

• безопасность программ,

• безопасность средств связи (рис 1.1).

Рис 1.1. Подсистемы информационной безопасности

Безопасность аппаратуры обеспечивается комплексом административных и технологических мер, применяемых для обеспечения конфиденциальности информации, целостности и доступности ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных, возникших по халатности модификаций, разрушений и разглашений информации.

Безопасность программ – это общесистемные и прикладные программы, которые проводят безопасную обработку данных и безопасно используют ресурсы системы.

Безопасность средств связи обеспечивается мерами по непредставлению неавторизованным лицам критичной информации, которая может быть выдана в ответ на удаленный запрос.

К объектам информационной безопасности на предприятииотносятся:

1. информационные ресурсы, которые содержат конфиденциальную информацию и сведения, отнесенные к коммерческой тайне;

2. средства и системы информатизации – вычислительная и организационная техника, системные и прикладные программы, сети и системы связи, средства сбора, регистрации, хранения, обработки, передачи и отображения информации.