- •Криптографія та захист інформації
- •Класифікація сучасних криптосистем, їх переваги та недоліки. Комбіновані криптосистеми.
- •[Ред.]Властивості системи шифрування
- •Симетричні криптосистеми.
- •Класифікація симетричних криптоалгоритмів
- •Асиметричні криптосистеми.
- •Принцип роботи
- •Опис алгоритму
- •Генерація ключів
- •Функції хешування, вимоги до них та особливості використання.
- •Список алгоритмів
- •Застосування хешування
- •Хешування паролів
- •Криптографічні хеш-функції
- •Поняття електронного цифрового підпису та його призначення.
- •Поняття та ознаки електронного документа
- •Електронний цифровий підпис: поняття, ознаки, правовий статус
- •Управління ключами
- •Застосувуння електронного цифрового підпису
- •Цифровий підпис в інших країнах
- •Класифікація загроз інформації в сучасних комп’ютерних системах та методи боротьби з основними загрозами.
- •Критерії оцінки захищеності інформації від несанкціонованого доступу.
- •Нормативний документ тзі 2.5-004-99
- •Функціональні критерії
- •Конфіденційність
- •Нормативна документація
- •Формальні моделі доступу та їх реалізація в сучасних операційних системах загального призначення.
- •Аналіз захищеності сучасних операційних систем загального призначення.
- •Архітектура та основні механізми захисту протоколів ssl, tls, https тощо.
-
Критерії оцінки захищеності інформації від несанкціонованого доступу.
Під НСД слід розуміти доступ до інформації з використанням засобів, включених до
складу КС, що порушує встановлені ПРД. Несанкціонований доступ може здійснюватись як
з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення,
включеного до складу КС розробником під час розробки або системним адміністратором в
процесі експлуатації, що входять у затверджену конфiгурацію КС, так і з використанням
програмно-апаратних засобів, включених до складу КС зловмисником.
До основних способів НСД відносяться:
- безпосереднє звертання до об'єктів з метою одержання певного виду доступу;
- створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід
засобів захисту;
- модифікація засобів захисту, що дозволяє здійснити НСД;
- впровадження в КС програмних або апаратних механізмів, що порушують структуру і
функції КС і дозволяють здійснити НСД.
Критерії оцінки інформаційної безпеки є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступені захищеності.
З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.
Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA en:CIA_Triad.
Ця система передбачає такі основні характеристики інформаційної безпеки:
-
Конфіденційність,
-
цілісність,
-
доступність (англ. Confidentiality, Integrity and Availability (CIA)).
Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, програмному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використовування захисних продукцію для гарантування інформаційної безпеки в межах організацій.
Нормативний документ тзі 2.5-004-99
В Україні також розробляються і використовуються критерії інформаційної безпеки. Наприклад департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України прийняв нормативний документ технічного захисту інформації 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» який подібний до моделі тріади CIA.
Функціональні критерії
Складові інформаційної безпеки або властивості:конфіденційність (англ. Confidentiality, privacy), цілісність (англ.Integrity), доступність (англ. Availability) — тріада CIA.
Функціональні критерії розбиті на чотири групи вимог захисту проти певних типів загроз:
Конфіденційність
Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головних послуг.
Цілісність
Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності.
Доступність
Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності.
Спостереженість
Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні функції відносяться до критеріїв спостереженості.
Критерій гарантій
Окрім функціональних критеріїв захищеності існують таки критерії гарантій, що дозволяють оцінити коректність реалізації систем захисту. Ці критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
Міжнародний стандарт ISO/IEC 15408
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990році.
Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.