- •Криптографія та захист інформації
- •Класифікація сучасних криптосистем, їх переваги та недоліки. Комбіновані криптосистеми.
- •[Ред.]Властивості системи шифрування
- •Симетричні криптосистеми.
- •Класифікація симетричних криптоалгоритмів
- •Асиметричні криптосистеми.
- •Принцип роботи
- •Опис алгоритму
- •Генерація ключів
- •Функції хешування, вимоги до них та особливості використання.
- •Список алгоритмів
- •Застосування хешування
- •Хешування паролів
- •Криптографічні хеш-функції
- •Поняття електронного цифрового підпису та його призначення.
- •Поняття та ознаки електронного документа
- •Електронний цифровий підпис: поняття, ознаки, правовий статус
- •Управління ключами
- •Застосувуння електронного цифрового підпису
- •Цифровий підпис в інших країнах
- •Класифікація загроз інформації в сучасних комп’ютерних системах та методи боротьби з основними загрозами.
- •Критерії оцінки захищеності інформації від несанкціонованого доступу.
- •Нормативний документ тзі 2.5-004-99
- •Функціональні критерії
- •Конфіденційність
- •Нормативна документація
- •Формальні моделі доступу та їх реалізація в сучасних операційних системах загального призначення.
- •Аналіз захищеності сучасних операційних систем загального призначення.
- •Архітектура та основні механізми захисту протоколів ssl, tls, https тощо.
Застосувуння електронного цифрового підпису
Метою застосування систем цифрового підпису є автентифікація інформації - захист учасників інформаційного обміну від нав’язування хибної інформації, встановлення факту модифікації інформації, яка передається або зберігається, й отримання гарантії її справжності, а також вирішення питання про авторство повідомлень. Система цифрового підпису припускає, що кожен користувач мережі має свій таємний ключ, який використовується для формування підпису, а також відповідний цьому таємному ключу відкритий ключ, відомий решті користувачів мережі й призначений для перевірки підпису. Цифровий підпис обчислюється на основі таємного ключа відправника інформації й власне інформаційних бітів документу (файлу). Один з користувачів може бути обраним в якості «нотаріуса» й завіряти за допомогою свого таємного ключа будь-які документи. Решта користувачів можуть провести верифікацію його підпису, тобто пересвідчитися у справжності отриманого документу. Спосіб обчислення цифрового підпису такий, що знання відкритого ключа не може призвести до підробки підпису. Перевірити підпис може будь-який користувач, що має відкритий ключ, в тому числі незалежний арбітр, якого уповноважено вирішувати можливі суперечки про авторство повідомлення (документу).
Цифровий підпис в інших країнах
Державна дума РФ прийняла в третім, остаточному, читанні закон “Про електронний цифровий підпис”. Зовсім незабаром кожний з нас зможе одержати персональний цифровий електронний ключ, що має такою ж юридичну чинність, що й власноручний підпис на папері. Першим у Росії електронний підпис улітку 1993 року використовував Міжбанківський фінансовий будинок. У Сполучених Штатах закон про електронний підпис ( E-SIGN Act) набув чинності восени 2000 року, і Білл Клінтон підписав цей закон двома способами - звичайною кульковою ручкою й спеціальною карткою з убудованим мікропроцесором. Такі картки і є технічним засобом, що дозволяє ставити електронний підпис, але є й інші варіанти: звичайний електронний пароль, інтернет-планшет, відео-сканер, лазер для ідентифікації очей або розпізнання голосу. Цікаво, що користувач може бути власником будь-якої кількості електронних цифрових підписів, але тільки за реєстрацію треба платити.
-
Класифікація загроз інформації в сучасних комп’ютерних системах та методи боротьби з основними загрозами.
У найзагальнішому випадку інформаційна безпека — це стан захищеності інформаційного середовища суспільства, який забезпечує його формування, використання і розвиток в інтересах громадян, організацій, держави.
Під інформаційним середовищем [information environment] розуміють сферу діяльності суб'єктів, пов'язану зі створенням, перетворенням і споживанням інформації. Інформаційне середовище умовно поділяється на три основні предметні частини:
-
створення і розповсюдження вихідної та похідної інформації;
-
формування інформаційних ресурсів, підготовки інформаційних продуктів, надання інформаційних послуг;
-
споживання інформації;
та дві забезпечувальні предметні частини:
-
створення і застосування інформаційних систем, інформаційних технологій і засобів їхнього забезпечення;
-
створення і застосування засобів і механізмів інформаційної безпеки.
Загрози інформаційній безпеці [information security threat] — сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства і держави в інформаційній сфері. Основні загрози інформаційній безпеці можна розділити на три групи:
-
загрози впливу неякісної інформації (недостовірної, фальшивої, дезінформації) на особистість, суспільство, державу;
-
загрози несанкціонованого і неправомірного впливу сторонніх осіб на інформацію і інформаційні ресурси (на виробництво інформації, інформаційні ресурси, на системи їхнього формування і використання);
-
загрози інформаційним правам і свободам особистості (праву на виробництво, розповсюдження, пошук, одержання, передавання і використання інформації; праву на інтелектуальну власність на інформацію і речову власність на документовану інформацію; праву на особисту таємницю; праву на захист честі і достоїнства і т. ін.)
Серед найбільш серйозних завдань, які можуть вирішуватися за допомогою сучасної інформаційної зброї, можна виділити наступні:
-
створення атмосфери бездуховності та аморальності, негативного відношення до культурної спадщини противника;
-
маніпулювання суспільною свідомістю та політичною орієнтацією соціальних груп населення держави з метою створення політичної напруги та хаосу;
-
дестабілізація політичних відносин між партіями, об'єднаннями та рухами з метою провокації конфліктів, розпалювання недовіри, загострення політичної боротьби, провокування репресій проти опозиції, провокація взаємного знищення;
-
зниження інформаційного забезпечення влади та управління, інспірація помилкових управлінських рішень;
-
дезінформація населення про роботу державних органів, підрив їхнього авторитету, дискредитація органів управління;
-
провокування соціальних, політичних, національних і релігійних сутичок;
-
ініціювання страйків, масових заворушень та інших акцій економічного протесту;
-
ускладнення прийняття органами важливих рішень;
-
підрив міжнародного авторитету держави, її співробітництва з іншими країнами;
-
нанесення втрат життєво важливим інтересам держави в політичній, економічній, оборонній та інших сферах.
Забезпечення інформаційної безпеки — це сукупність заходів, призначених для досягнення стану захищеності потреб особистостей, суспільства і держави в інформації.
Держава здійснює свої заходи через відповідні органи, а громадяни, суспільні організації і об'єднання, що мають відповідні повноваження, — у відповідності із законодавством. В основу забезпечення інформаційної безпеки держави повинні бути покладені наступні принципи:
-
законність, дотримання балансу інтересів особистості, суспільства і держави;
-
взаємна відповідальність суб'єктів забезпечення інформаційної безпеки;
-
інтеграція систем національної і міжнародної безпеки.
Специфічними принципами забезпечення інформаційної безпеки є:
-
превентивний характер проведення її заходів по відношенню до заходів інших видів безпеки;
-
адекватна інформованість об'єктів безпеки, в тому числі і міжнародних.