2 Содержание учебного материала
Методы обеспечения информационной безопасности КИС.
Введение.
Цели, задачи, предмет и содержание дисциплины. Рекомендуемая литература.
Раздел 1. Коммерческие информационные сиcтемы
1.1. Определение коммерческой информационной системы (КИС). Коммерческие системы. Инфраструктура. Значение информации в коммерческой деятельности. Свойства современных ЭИС. Предмет и объект защиты. Основные термины. Виды угроз безопасности ИЭС. Каналы угроз ЭИС, классификация. Методы обеспечения информационной безопасности КИС. Комплексный подход обеспечения информациоой безопасности. Правовые, организационные, инженерно-технические, программные и экономические методы защиты. Политика информационной безопасности. Нормативное обеспечение информационной безопасности ЭИС. Концепция национальной безопасности. Республики Беларусь. Основные факторы, создающие угрозу безопасности Республики Беларусь в информационной сфере
Раздел 2. Защита коммерческих информационных систем
Сфера электронной коммерции. Обмен электронными данными (EDI - Electronic Data Interchange). Сети электронной коммерции как эффективная оперативная среда для торгово-платежных (коммерческих) операций, получившая общее название E - commerce, реализуемое по схемам B2B (Business to Business), B2C (Business to Citizens ), B2G (Business to Government). Основные определения. Функции электронной коммерции. Объекты защиты в системах и сетях электронной коммерции.
Атаки на сети электронной коммерции. Классификация. Типы атак. Протоколы безопасности.
Программно-аппаратные средства обеспечения информационной безопасности.
Раздел 3. Введение в криптографию. Симметричные криптосистемы.
История криптографии. Современный период развития криптографии. Классификация криптографических методов. Правило Киркхгофа Криптоанализ. Современные стандарты криптосистем. Симметричные криптосистемы. Шифры замены. Шифры перестановок. Шифрование информации при передаче по каналам связи. Поточное шифрование. Защита телефонных переговоров. Скремблеры.
Раздел 4 Сети Фейстеля
Блочные шрифты. Сеть Фейстеля.
Стандарты DES, ГОСТ 28147-89 .
Раздел 4. Асимметричные криптосистемы
Тема 4.1. Асимметричные алгоритмы криптозащиты. Элементы теории чисел. Двухключевые криптосистемы. Система распределения ключей Диффи-Хеллмана. Открытый шифр Эль-Гамаля. Системы ЭЦП на основе дискретного логарифмирования.
Тема 4.2. Система RSA. Системы ЭЦП с составным модулем. Управление ключами и протоколы. Хэш-функции.
Тема 4.3. MailGov - система электронной почты государственных органов Республики Беларусь
РАЗДЕЛ 1. КОММЕРЧЕСКИЕ ИНФОРМАЦИОННЫЕ СИCТЕМЫ
1.1. Определение коммерческой информационной системы (КИС). Предмет и объект защиты.
1.2. Методы обеспечения информационной безопасности КИС.
1.3. Политика информационной безопасности КИС
Предмет и объект защиты. Определение кис
Основным нормативным документом в Республике Беларусь в сфере защити КИС является Закон «Об информации, информатизации и защите информации», принятый Палатой представителей 9 октября 2008 года и одобреннный Советом Республики 22 октября 2008 года. В законе определены основные термины в сфере КИС и даны их определения:
база данных – совокупность структурированной и взаимосвязанной информации, организованной по определенным правилам на материальных носителях;
банк данных – организационно-техническая система, включающая одну или несколько баз данных и систему управления ими;
владелец программно-технических средств, информационных ресурсов, информационных систем и информационных сетей – субъект информационных отношений, реализующий права владения, пользования и распоряжения программно-техническими средствами, информационными ресурсами, информационными системами и информационными сетями в пределах и порядке, определенных их собственником в соответствии с законодательством Республики Беларусь;
государственная информационная система – информационная система, создаваемая и (или) приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц;
государственный информационный ресурс – информационный ресурс, формируемый или приобретаемый за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц;
документированная информация – информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать;
доступ к информации – возможность получения информации и пользования ею;
доступ к информационной системе и (или) информационной сети – возможность использования информационной системы и (или) информационной сети;
защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение целостности (неизменности), конфиденциальности, доступности и сохранности информации;
информатизация – организационный, социально-экономический и научно-технический процесс, обеспечивающий условия для формирования и использования информационных ресурсов и реализации информационных отношений;
информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
информационная сеть – совокупность информационных систем либо комплексов программно-технических средств информационной системы, взаимодействующих посредством сетей электросвязи;
информационная система – совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств;
информационная технология – совокупность процессов, методов осуществления поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также пользования информацией и защиты информации;
информационная услуга – деятельность по осуществлению поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также защиты информации;
информационные отношения – отношения, возникающие при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, пользовании информацией, защите информации, а также при применении информационных технологий;
информационный посредник – субъект информационных отношений, предоставляющий информационные услуги обладателям и (или) пользователям информации;
информационный ресурс – организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах;
комплекс программно-технических средств – совокупность программных и технических средств, обеспечивающих осуществление информационных отношений с помощью информационных технологий;
конфиденциальность информации – требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами Республики Беларусь;
обладатель информации – субъект информационных отношений, получивший права обладателя информации по основаниям, установленным актами законодательства Республики Беларусь, или по договору;
оператор информационной системы – субъект информационных отношений, осуществляющий эксплуатацию информационной системы и (или) оказывающий посредством ее информационные услуги;
пользователь информации – субъект информационных отношений, получающий, распространяющий и (или) предоставляющий информацию, реализующий право на пользование ею;
пользователь информационной системы и (или) информационной сети – субъект информационных отношений, получивший доступ к информационной системе и (или) информационной сети и пользующийся ими;
предоставление информации – действия, направленные на ознакомление с информацией определенного круга лиц;
распространение информации – действия, направленные на ознакомление с информацией неопределенного круга лиц;
собственник программно-технических средств, информационных ресурсов, информационных систем и информационных сетей – субъект информационных отношений, реализующий права владения, пользования и распоряжения программно-техническими средствами, информационными ресурсами, информационными системами и информационными сетями.
Настоящим Законом регулируются социально-экономические отношения, возникающие при:
поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией;
создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов;
организации и обеспечении защиты информации.
Значение информации в экономической деятельности обусловлено следующими факторами:
информация выступает как основа процесса маркетинга и менеджмента коммерческой деятельности;
информация выступает как основа деловых коммуникаций;
информация является предметом труда менеджера и маркетолога;
информация является важнейшим ресурсом коммерческой организации, требующим эффективных средств защиты.
Важнейшие свойства информации:
Достоверность. Информация не искажает истинное состояние системы, а напротив, расширяет истинное знание о ЭС, ее поведении.
Распознаваемость. Информация выражена языком, понятным системе, состоит из лексически и семантически правильных конструкций.
Полнота. Информации достаточно для понимания, оценки проблемной ситуации в ЭС, формирования альтернатив и принятия решения.
Адекватность. Информация соответствует ЭС, с которой ее соотносят.
Актуальность. Информация описывает ЭС в настоящий временной период, и непосредственно влияет на управленческие решения.
Ценность. Определяется мерой снижения неопределенности принятия управленческого решения.
Ценность информации определяется степенью ее полезности для владельца. Обладание достоверной информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.
Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.
Законом «Об информации, информатизации и защите информации» гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственные секреты или коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т. п. Государственные секреты могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственных секретах» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «секретно», «совершенно секретно» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования».
Для обозначения ценности конфиденциальной коммерческой информации могут использоваться три категории:
«коммерческая тайна – строго конфиденциально»;
«коммерческая тайна – конфиденциально»;
«коммерческая тайна».
Используется и другой подход к градации ценности коммерческой информации:
«строго конфиденциально – строгий учет»;
«строго конфиденциально»;
«конфиденциально».
Собственно, ценность информации является объективным условием возникновения проблемы информационной безопасности.
Ценность информации изменяется во времени.
Как правило, со временем ценность информации уменьшается. Зависимость ценности информации от времени приближенно можно определить в соответствии с выражением:
где Со - ценность информации в момент ее возникновения (получения); t - время от момента возникновения информации до момента определения ее стоимости; τ - время от момента возникновения информации до момента ее устаревания.
Время, через которое информация становится устаревшей, меняется в очень широком диапазоне. Так, например, для пилотов реактивных самолетов, автогонщиков информация о положении машин в пространстве устаревает за доли секунд. В то же время информация о законах природы остается актуальной в течение многих веков.
Информация покупается и продается. Ее правомочно рассматривать как товар, имеющий определенную цену. Цена, как и ценность информации, связаны с полезностью информации для конкретных людей, КИС, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а, следовательно, она не имеет и цены. Например, сведения о состоянии здоровья обычного гражданина являются ценной информацией для него. Но эта информация, в большинстве случаев, не заинтересует кого-то другого, а, следовательно, не станет товаром, и не будет иметь цены.
КИС обладают следующими основными свойствами:
содержат информацию различной степени конфиденциальности;
при передаче данных обеспечивают криптографическую защиту информации различной степени конфиденциальности;
отражают иерархичность полномочий субъектов, открывают доступ к программам, к АРМ, файл-серверам, каналам связи и информации системы;
обеспечивают оперативное изменения полномочий;
организуют обработку информации в диалоговом режиме, режиме разделения и в режиме реального времени;
обеспечивают управление потоками информации как в локальных сетях, при передаче по каналам связи на далекие расстояния и работе в глобальных сетях;
регистрируют события в системе и документах, учитывают попытки несанкционированного доступа;
обеспечивают целостность программного продукта и ин формации в КИС;
устанавливают наличие средств восстановления системы защиты информации, а также обязательный учет магнитных носителей;
создают условия для физической охраны средств вычислительной техники и магнитных носителей.