- •Экзаменационные вопросы и билеты Теоретические вопросы
- •Классификация угроз информационной безопасностиБезымянная папка 85 автоматизированных систем по базовым признакам.
- •Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
- •Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
- •Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
- •Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
- •Понятие политики безопасности информационных систем. Назначение политики безопасности.
- •Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
- •Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от нсд, требования к средствам разработки.
- •Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты рф в области защиты информации.
- •Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
- •Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
- •Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
- •Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
- •Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
- •Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
- •Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
- •Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
- •Биометрические средства идентификации и аутентификации пользователей.
- •Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
- •Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
- •Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
- •Законодательный уровень применения цифровой подписи.
- •Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
- •Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
- •Средства обеспечения информационной безопасности в ос Windows’2000. Разграничение доступа к данным. Групповая политика.
Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
Для контроля целостности передаваемых по сетям данных используется электронная цифровая подпись, которая реализуется по методу шифрования с открытым ключом.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.
Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т. е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной.
При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш, защищающая послание от нелегального изменения. Электронная подпись здесь гарантирует как целостность сообщения, так и удостоверяет личность отправителя.
Законодательный уровень применения цифровой подписи.
Закон «Об электронной цифровой подписи» обеспечивает правовые условия использования электронной цифровой подписи в электронных документах. Действие данного закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок.
ЭЦП равнозначна собственноручной подписи при соблюдении следующих условий:
Сертификат подписи, относящийся к ЭЦП, не утратил силы на момент подписания документа;
Подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи
10 января 2002 года был подписан закон «Об электронной цифровой подписи».
Статья 1. Цель и сфера применения настоящего Федерального закона
1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско - правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
В несимметричных алгоритмах шифрования ключи зашифровывания и расшифровывания всегда разные (хотя и связанные между собой).
Ключ зашифровывания является несекретным (открытым), ключ расшифровывания – секретным.
Примеры несимметричного шифрования:
RSA
Алгоритм Эль-Гамаля
Недостаток асимметричного шифрования
низкое быстродействие алгоритмов (из-за длины ключа и сложности преобразований)
Достоинства:
Применение асимметричных алгоритмов для решения задачи проверки подлинности сообщений, целостности и т.п.