Теперь передача субъектом а1 субъекту а2 , например, секретного сообщения

m = 17 происходит по схеме:

Субъект А₁ зашифровывает секретное сообщение m = 17 своим первым секретным ключом 5 :

5

m₁ = 17 = 21 mod 23, 0< m₁= 21 < 23, и отправляет m₁= 21 субъекту А₂ .

2. Субъект А₂ зашифровывает полученное сообщение m₁= 21 своим первым секретным ключом 7 : 7

m₂ = 21 = 10 mod 23, 0< m₂= 10 < 23, и отправляет

m₂= 10 субъекту А₁ .

Субъект А₁ вновь зашифровывает полученное сообщение m₂ = 10 своим вторым секретным ключом 9 :

9

m₃ = 10 = 20 mod 23, 0< m₃= 20 < 23, и отправляет m₃= 20 субъекту А₂ .

4. Субъект А₂ зашифровывает полученное сообщение m₃= 20 своим вторым секретным ключом 19 : 19

20 = 17 mod 23, и получает предназначенное

ему субъектом А₁ секретное сообщение m = 17 .

Криптосистема с открытым ключом. Диффи, Хеллман и Меркль в 1976 году

предложили новый принцип построения криптосистем, не требующей не только передачи ключа, принимающему сообщение, но не требующей даже сохранения в тайне метода шифрования. Примером такой криптосистемы является криптосистема с открытым ключом RSA( Райвест(Rivest), Шамир(Shamir) и Адлман(Adlman)).

Пусть субъекты А и В договорились осуществлять между собой секретную(тайную) переписку с открытым ключом. Для этого каждый из них, независимо от другого, выбирает два больших простых числа, находит их произведение, функцию Эйлера от этого произведения и выбирает случайное число, меньшее этого вычисленного значения функции Эйлера и взаимно простого с ним:

À: p₁, p₂, r_À = p₁ p₂ , (r_À)(à, (r_À)) = 1 , 0 < à < (r_À).

B: q₁, q₂, r_B = q₁ q₂ , (r_B)(b, (r_B)) = 1 , 0 < b < (r_B).

Далее, для всех желающих становятся доступными следующие сведения

À: r_À , à

B: r_B , b,

ãäå r_À - произведение двух простых чисел, известных только субъекту А, а - открытый ключ, доступный каждому, кто хочет передать секретное сообщение субъекту А, r_B - произведение двух простых чисел, известных только субъекту В, b - открытый ключ, доступный каждому, кто хочет передать секретное сообщение субъекту В.

Каждый из субъектов А(В) определяет свой секретный ключ  соответственно как решение сравнения ах = 1 mod (r_À) ( àõ = 1 mod (r_B) ), при этом из множества решений сравнения выбирается то, которое удовлетворяет условию

0< <(r_À ) ( 0<  <(r_B) ).

Таким образом, информационное состояние субъектов А и В перед началом секретной переписки можно описать следующим образом:

Субъект Открытые ключи Секретные ключи

À r_À , à 

B r_B , b 



Пусть теперь субъект А решает послать субъекту В сообщение т:

А: т B и пусть 0 < т < r_B ( в противном случае, текст сообщения можно разделить на блоки длиной r_Â ) .

Субъект А шифрует сообщение т открытым ключом субъекта В :

b

m₁ = m mod r_B , 0< m₁ < r_B , и отправляет m₁ субъекту В.

Субъект В расшифровывает полученное сообщение т₁ своим секретным ключом 



m₂ = m₁ mod r_B , 0< m₂ < r_B , и получает сообщение m₂ = m - исходное секретное сообщение от субъекта А. Действительно, это следует из следующей цепочки сравнений:

 b

m_{2 =} m₁ = m mod r_B , b1 mod (r_B ) , следовательно, m_{2 =} m mod r_B , íî òàê êàê 0< m < r_B è 0< m₂ < r_B , òî m₂ = m.

Пример 7. Пусть имеем:

À: p₁ = 7, p₂ = 23, r_À = 161 , (161) = 132(à=7, (161)) = 1 , 0 < 7 < (161)=132.

B: q₁ = 11, q₂ = 17, r_B = 187 , (187) = 160(b=9, (187)) = 1 , 0 < 9 < (187)=160.

Общедоступными являются следующие сведения:

À: r_À = 161, à=7

B: r_B = 187 , b=9

Каждый из субъектов А(В) определяет свой секретный ключ  соответственно как решение сравнения 7х = 1 mod 132 ( 9х = 1 mod 160 ), при этом из множества решений сравнения выбирается то, которое удовлетворяет условию 0< _<132 ( 0< =89<160 ).

Таким образом, информационное состояние субъектов А и В перед началом секретной переписки можно описать следующим образом:

Субъект Открытые ключи Секретные ключи

À r_À = 161, à=7 _

B r_B = 187, b=9 = 89

Пусть теперь субъект А решает послать субъекту В сообщение т = 3:

À: ò = 3 B.

I. Субъект А шифрует сообщение т = 3 открытым ключом субъекта В :

9

m₁ = 3 = 48 mod 187 , 0< 48 < 187 , и отправляет m₁ = 48 субъекту В.

II.Субъект В расшифровывает полученное сообщение т₁=48 своим секретным

ключом = 89

89

m₂ = 48 = 3 mod 187 , 0< m₂= 3 < 187 , и получает сообщение

m₂ = m = 3 - исходное секретное сообщение от субъекта А.

Стойкость криптосистемы с открытым ключом определяется сложностью для дешифровальщика определения секретного ключа что сводится к сложности разложенияr_B на простые сомножители.

Криптографическая система PGP.

Основные сведения. Pretty Good Privacy(PGP) – это свободно распространяемая программа безопасной электронной почты, разработанная Филипом Циммерманном. Для шифрования данных используется IDEA(International Data Encryption Algorithm), для управления ключами и цифровой подписи – RSA(Rivest, Shamir, Adleman) с длиной ключа до 2047 бит.

Для получения случайных открытых ключей программа PGP использует вероятностную проверку чисел на простоту, используя для получения стартовых последовательностей интервалы между нажатиями клавиш на клавиатуре. Случайные ключи IDEA генерируются на основе метода, описанного в ANSI X9.17(приложение C), а шифрование закрытого ключа пользователя производится с помощью хэшированной парольной фразы(а не пароля непосредственно).

Сообщения, зашифрованные PGP, имеют несколько уровней безопасности. Единственно, что может быть известно криптоаналитику о зашифрованном сообщении – это получатель сообщения(если только криптоаналитику известен идентификатор ключа получателя). Лишь расшифровав сообщение, получатель узнает, кем оно подписано(если оно подписано). Это качество существенно отличает сообщения PGP от сообщений почты с повышенной секретностью PEM(Privacy- Enhanced Mail), в заголовках которых немало информации об отправителе, получателе и самом сообщении в незашифрованном виде.

Особенностью PGP, представляющей наибольший интерес, является распределенный подход к управлению ключами. Здесь не предусмотрено наличие центров сертификации открытых ключей, вместо этого в PGP поддерживается “сеть доверия”. Каждый пользователь сам создает и распространяет свой открытый ключ. Пользователи подписывают ключи друг друга, создавая взаимосвязанное сообщество пользователей PGP. При этом PGP не определяет стратегию установки доверительных связей, пользователи сами решают, кому и насколько верить. PGP обеспечивает механизмы для поддержки ассоциативного доверия открытым ключам. Каждый пользователь хранит набор подписанных открытых ключей в виде файла кольца открытых ключей (public-key ring). Каждый ключ кольца обладает полем законности ключа, определяющим уровень доверия к ключу конкретного пользователя. Чем выше уровень доверия, тем больше пользователь уверен в законности ключа. Поле доверия к владельцу ключа задает уровень, определяющий насколько конкретный пользователь верит его владельцу, подписавшему другие открытые ключи. Это поле вручную устанавливается пользователем, а PGP непрерывно обновляет все поля по мере появления новой информации.

Самым слабым звеном системы PGP является отзыв ключей: гарантировать, что кто-нибудь не воспользуется скомпрометированным ключом, невозможно. Если закрытый ключ пользователя украден, то он должен послать всем некий сертификат отзыва ключа (key revocation certificate), но нет гарантии, что этот сертификат

до всех дойдет. Если же пользователь потерял свой закрытый ключ, то сертификат

отзыва(подписываемый закрытым ключом) не может быть составлен.

Последние версии PGP содержат опции тройного DES, другие алгоритмы с открытыми ключами, расширенные процедуры отзыва ключей, модули для интегрирования PGP в другие программы.

Инструкция для пользователей криптографического пакета PGP*

Работа с ключами.

Для удобства работы с пакетом нужно вызвать панель PGPtools. Она вызывается из меню Programs->P G P->PGPtools. После вызова программы на экране появится панель:

Генерация ключей происходит при помощи программы PGPkeys. Программа вызывается либо при помощи панели PGPtools или из меню Programs. Вызов программы PGPkeys из панели PGPtools осуществляется путем однократного нажатия левой кнопкой мыши на левом значке панели PGPtools:

После запуска PGPkeys на экране отобразится главное окно программы:

Как видим это окно содержит список доступных для работы ключей. В данном случае в списке находятся три ключа, поставляемые в пакете PGP в качестве примеров и один сгенерированный непосредственно в процессе инсталяции (фактически, обязательный шаг для начинающих пользователей PGP, т.е. для тех пользователей у которых не сохранились ключи от предыдущих версий). С ключами можно делать следущие действия: генерировать (создавать), удалять и добавлять в список уже сгенерированные ранее ключи.

Генерация. Процесс генерации начинается с нажатия кнопки “Generate new keypair”:

После чего появится ознакомительное сообщение, прочтите его и нажмите Next>. Далее заполните два появившихся текстовых поля (в первом – ваше полное имя, во втором – ваш электронный почтовый адрес). В следующих двух полях наберите ключевую фразу (во втором – для подтверждения) и нажмите на кнопку Next>. После чего, в зависимости от мощности процессора вашего компьютера, вам придется подождать пока будет завершен процесс генерации (от пары минут до долей секунды). По завершении генерации нажмите на Next>, а потом, прочтя появившееся сообщение, нажмите на Finish. На этом процесс генерации завершится, и вы увидите, как новосгенерированный ключ добавится в список доступных ключей.

Удаление. Удаление производится путем выделения нужного ключа в списке и нажатия клавиши Delete (на самом деле ключ просто удалятся из списка доступных, сам файл, содержащий ключ, с физического носителя не стирается).

Добавление. Обычно эта процедура производится при наличии у вас чьего-либо открытого ключа, который вы хотите добавить в список доступных вам для работы ключей. Ключ добавиляется в список путем нажатия на кнопку “Import keys from a file”:

После чего необходимо выбрать файл, содержащий ключ, который вы хотите добавить (при необходимости в появившемся окне в поле “Files of type” выбрать нужное расширение). Выбранный ключ добавится в список доступных.

Шифрование файла.

Пакет PGP предоставляет два способа шифрования файлов.В данной инструкции будут рассмотрены оба способа.

Первый вариант – использование панели PGPtools. На панели PGPtools необходимо нажать на кнопку “Encrypt”:

Далее в появившемся окне необходимо выбрать шифруемый файл и нажать кнопку Open.

Второй вариант – зайдите в папку, в которой находится файл, который вы хотите зашифровать, выделите его и нажмите правую кнопку мыши. В появившемся контекстном меню в подменю “P G P” выберите пункт “Encrypt”:

В следующем появившемся окне вы увидите два списка: в верхнем списке находятся доступные вам ключи, в нижнем – ключи тех, кто сможет расшифровать этот файл. Ключи можно перемещать из одного списка в другой с помощью мыши (схватившись за ключ и перетащив его во второй список). Далее можно нажать ОК. После чего в том же каталоге образуется файл с тем же именем, но с расширением “.pgp”.

Расшифрование файла.

2.0. Также как в случае шифрования, пакет PGP предоставляет два способа расшифровки.

Первый – на панели PGPtools нажать на кнопку “Decrypt/Verify”:

Далее в появившемся окне необходимо выбрать расшифровываемый файл и нажать кнопку Open.

Второй – зайдите в папку, в которой находится файл, который вы хотите расшифровать и щелкните на нем два раза левой кнопкой мыши.

В появившемся окне введите пароль, который был введен при генерации вашего ключа и нажмите на ОК. После чего в той же директории образуется файл с исходним текстом и тем же именем, но уже без расширения “.pgp”.

Электронная подпись.

3.0. Подписать файл можно также двумя способами.

Первый – на панели PGPtools нажать на кнопку “Sign”:

Далее в появившемся окне необходимо выбрать подписываемый файл и нажать кнопку Open.

Второй – зайдите в папку, в которой находится файл, который вы хотите подписать, выделите его и нажмите правую кнопку мыши. В появившемся контекстном меню в подменю “P G P” выберите пункт “Sign”:

В появившемся окне введите пароль, который был введен при генерации вашего ключа и нажмите на ОК. После чего в той же директории образуется подписанный файл с расширением “.sig”.

Верификация подписи.

4.0. Верифицировать подпись также можно двумя способами.

Первый – на панели PGPtools нажать на кнопку “Decrypt/Verify”:

Далее в появившемся окне необходимо выбрать проверяемый файл и нажать кнопку Open.

Второй – зайдите в папку, в которой находится файл, который вы хотите проверить и щелкните на нем два раза левой кнопкой мыши.

Появится окно, в котором будет отображена инфомация о том, кто подписывал файл.

Примечание: кнопка “Encrypt and Sign” на панели PGPtools одновременно выполняет и шифрование, и подписывание файла.

_________________________________________

* - Рассматривается версия PGP 7.0.3 для платформ Windows95/98/NT/ME/2000.

Глава 5. Стеганографическая защита информации. Основные сведения и примеры.

Стеганографическая «аранжировка» музыкальных произведений.

Инструкция для пользователей стеганографического пакета PC-tools .

(глава подготовлена Н.С.Ланиной и С.В.Таиряном)

Потребность обмена сверхсекретной информацией между сторонами была и будет всегда. Одним из способов передачи скрытых сообщений является стеганография, что буквально означает «спрятанное письмо» и уходит своими корнями в Древнюю Грецию.

Стеганография – это отработанная веками практика маскировки сообщения на картинках, в тексте или в других объектах. Теперь, когда это древнее искусство применяется в сочетании с современными коммуникационными системами, оно стало чрезвычайно эффективным средством отправки незаметных для постороннего глаза сообщений.

В Древней Греции стеганография использовалась, в частности, для передачи предупреждений о вторжении, которые вырезались на деревянной основе покрытой воском таблички – так что сама она выглядела совершенно пустой. Только тот, кому предназначалось послание, знал, что на внешне чистой дощечке есть сообщение, спрятанное под слоем воска. Другой способ отправки секретных посланий заключался в нанесении текста с помощью татуировки на бритую голову курьера. Последний отправлялся в путь, по дороге обрастая волосами, которые по прибытию на место назначения снова сбривались, открывая спрятанное под ними сообщение.

Стеганография широко использовалась во время Второй Мировой войны, когда для передачи секретных сообщений применяли невидимые чернила. Часто вместо них использовалось молоко, фруктовый сок. Такое сообщение при нагревании становилось видимым.

Некоторые специалисты по стеганографии считают, что применявшиеся в годы Второй мировой войны коды языка Навахо морского корпуса ВМС США (United States Marine Corps Navaho Code Talkers) представляют собой один из видов стеганографии. Сообщения не были зашифрованы, но простой текст представлял собой язык, не понятный японцам.

Методы сокрытия сообщений становились все более хитроумными по мере дальнейшего развития технологий. Сегодняшним террористам уже не надо опасаться бумажного следа, оставленного их перепиской – теперь их сообщения надежно скрыты в Интернете. И, в отличие от зашифрованных сообщений, посланных по электронной почте, «застеганографированные» сообщения не дают возможности выследить ни получателя, не отправителя.

Современная стеганография в своих высокотехнологичных формах использует для маскировки сообщений изображения и звуковые файлы, расположенные в сети Интернет. Для того чтобы разместить сообщение в компьютерном файле – графическом, звуковом, текстовом, формата HTML и даже в содержимом флоппи-диска – требуется специальное программное обеспечение, которое сегодня можно загрузить со многих сайтов бесплатно или в виде тестовых версий. Это ПО позволяет подмешать секретную информацию между ничего не значащими битами изображений или аудио-файлов, так что она будет неразличима для человеческого глаза или уха. Само сообщения может занимать несколько «неслышимых» бит в звуковом файле, или несколько измененных пикселей изображения в формате jpeg. Случайный наблюдатель или слушатель не заметит ничего подозрительного – он даже не будет догадываться о том, что на веб-странице скрыто секретное послание. Такие сообщения могут быть

прочитаны только с помощью «секретного ключа», или кода, вводимого получателем. В противном случае сообщение останется невидимым, неслышимым и нечитаемым.

Усама бен Ладен и другие террористы использовали программное обеспечение для создания стеганографированных сообщений задолго до трагедии 11 сентября, когда их целью стал Всемирный Торговый Центр. Статья в газете USA Today , опубликованная 5 февраля 2001 года, сообщает об официальном заявлении американских и иностранных правительственных чиновников о том, что "бен Ладен, обвиняемый в организации взрывов двух американских посольств в Восточной Африке, равно как и другие террористы прячут фотографии и карты намеченных целей вместе с соответствующими инструкциями своим соратникам в спортивных чатах, на порнографических сайтах и других ресурсах сети Интернет".

Выявление сообщений, спрятанных при помощи стеганографии представляет собой серьезную техническую задачу для правоохранительных органов, пытающихся выследить таким образом террористов. При формировании государственного бюджета на 2003 финансовый год Федеральное Бюро Расследований (FBI) сделало запрос об увеличении ассигнований на изучение новых технологий, используемых террористами. Многим федеральным агентам не хватает технических знаний, необходимых для выявления случаев применения стеганографии. При этом требуется не только дополнительное обучение, но и выделение дополнительных средств на внедрение и поддержку систем электронного наблюдения за связью террористов в Сети.

Чем отличаются стеганография и шифрование?

Шифрование (или криптография) и стеганография представляют собой два метода сокрытия сообщений, которые, хотя и взаимно дополняют друг друга, тем не менее, идентичными не являются.

Криптография - При помощи шифрования происходит изменение содержимого послания или файла так, что оно становится нечитаемым для всякого, кто не является авторизованным получателем. Последний, однако, имеет специальный ключ, используя который можно «открыть» файл и прочитать в том виде, как он создавался изначально отправителем. Зашифрованные сообщения не скрываются, так что их отправку и получение можно легко обнаружить и отследить. Если в дальнейшем будет выявлено использованное при шифровании средство, то взломщику кодов останется только подобрать ключ для расшифровки сообщения.

Стеганография - мощный метод шифрования. С ее помощью те, кто обменивается информацией, пытаются скрыть сам факт переписки от глаз стороннего наблюдателя. В отличие от криптографии, стеганографию невозможно обнаружить. Часто стеганография используется наряду с шифрованием. Благодаря такой комбинации, закодированное и невидимое сообщение становится практически полностью защищенным от перехвата.

Востребованность стегопродукции определяется многими факторами, базирующимися на "незаметности" ее применения. Отметим некоторые из них:

защита авторских прав на аудио и видео произведения в электронном виде;

желанием "не попасть в тюрьму" (по модели Симмонса) в связи с тенденциями тотального автоматизированного контроля за жизнью личности, чему способствует присвоение каждому жителю Земли пожизненного номера, распространение электронного документооборота и безналичных платежей;

создание тайных архивов;

обслуживание политического, технического, экономического, военного и других видов шпионажа;

обслуживание криминальных, террористических и других противоправных структур в части организации скрытых систем управления и обмена информацией в глобальном масштабе.

Процесс стеганографии

Общий процесс стеганографии можно выразить с помощью формулы:

cover_medium + hidden_data + stego_key = stego_medium

Где cover_medium представляет собой базовый файл, в котором скрыты секретные данные hidden_data, зашифрованные ключом stego_key. В результате получается носитель данных stego_medium, который относится к тому же типу, что и исходный файл cover_medium. При этом файл cover_medium (следовательно, и stego_medium) представляет собой ничем не примечательные стандартные файлы изображения или аудиозапись.

Сокрытие секретных данных с помощью программ

При желании можно найти множество программ стеганографии практически для любой платформы. Вот список некоторых популярных бесплатно распространяемых программ для Windows 2000 и Windows NT: S-Tools 4.0, Hide4PGP 2.0, MP3Stego 1.1.15, Stash-It.

Рассмотрим задачу стеганографической «аранжировки» музыкальных произведений, а именно, встраивание зашифрованного текста(сообщения) в создаваемое(существующее) музыкальное произведение. При исполнении этой «аранжировки» осуществляется передача сообщения, а форма передачи позволяет скрыть сам факт его передачи. С другой стороны, встраивание в музыкальное произведение идентификационного номера композитора(fingerprinting) позволит ему при необходимости защитить свои авторские права.

В качестве области приложения предлагаемого метода рассматривается электронная музыка, которая по сравнению с другими стилями имеет более универсальную звуковую палитру. Последнее обстоятельство позволяет при встраивании сообщения в музыкальное произведение избежать дисгармонии и дисбаланса.

Идея метода заключается в том, что музыкальное произведение рассматривается как совокупность трэков(с технической точки зрения), в которые соответствующим образом встраивается передаваемое сообщение.

Метод включает в себя следующие три этапа.

Этап 1. Сообщение(шифртекст) преобразовывается в последовательность нулей и единиц.

Этап 2. Исходный музыкальный текст распределяется по G группам, состоящим из T_G трэков. Такими группами являются, например, следующие.

Ударные инструменты: drums, hats, claps.

Басы и суббасы: bass, subbass.

Сэквенсоры(мелодии): основной и вторичный.

Слои.

Звуковые эффекты.

Встраивание сообщения производится по каждой группе соответствующим образом. Опишем этот процесс по вышеприведенным группам.

Группа 1. Ударные инструменты. Пусть по договоренности с получателем в такте фиксируется определенное количество drums, hats, claps и сообщение встраивается на один, два или три типа ударных инструментов. Например, сообщение встраивается на drums, который в исходном музыкальном такте встречается r(0< r < 33) раз. Тогда для встраивания нуля, число drums уменьшается до r – 1, а для встраивания единицы – увеличивается

до r + 1. Эта процедура особенно эффективна при музыкальных переходах.

Группа 2. Басы и суббасы.

Басы. По договоренности включают в себя n нот. Если во время исполнения композиции будет прерывание баса, то фиксируется нуль, а если будет n + 1 нота , то фиксируется единица.

Суббасы. По договоренности пик суббаса находится между 20 гц и 30 гц. При нахождении пика ближе к 20 гц фиксируется нуль, а ближе к 30 гц - единица.

Группа 3. Сэквенсоры.

Секвенсор – это мелодия, которая составляет тему произведения. Если при исполнении гармония повышается(движение нот идет вверх), то фиксируется единица, а в противном случае - нуль. Вторичный секвенсор может отсутствовать. При его наличии, если он проигрывается после фиксации единицы в основном секвенсоре, то фиксируется еще одна единица, и нуль в противном случае.

Группа 4. Слои.

Слои – это ноты или аккорды, сопровождающие произведение с целью увеличения мощности и полноты звучания. Пусть слой содержит g> 2 нот в первой октаве. Если при исполнении хотя-бы одна нота будет принадлежать малой октаве, то фиксируется нуль, если второй – единица.

Группа 5. Звуковые эффекты.

Могут быть добавлены к любым инструментам. При композиции могут также использоваться различные нестандартные звуки(как наиболее распространенные в электронной музыке). Предлагается на основной секвенсор накладывать звуковой эффект Faze. По договоренности фиксируются две грани – нижняя 1000гц и верхняя 20000гц. Если при исполнении достигается верхняя грань, то фиксируется единица, если достигается нижняя грань – нуль. В противном случае ничего не фиксируется.

Этап 3. Выделение из переданной композиции встроенного сообщения.

Получатель располагает договоренностью с передающим лицом по первым двум этапам процедуры(секретный ключ «аранжировки») и полученным музыкальным произведением, что и позволяет ему выделить из произведения сообщение.

Рассмотрим теперь на примере программы S-Tools процесс «стеганографирования» подробнее. Эта программа позволяет прятать данные в файлах изображений в форматах .bmp, .gif и в звукозаписях в формате .wav.

Краткая инструкция для пользователей.

Распаковка S-Tools

Распакуйте архив S-Tools.zip в отдельный (вами названный) директорий.

Note! Программа не требует установки (инсталляции)! Программа относится к категории FREEWare!

Работа с программой S-Tools

Зашифровка файла:

Запустите S-Tools.exe (появится серый экран), и одновременно с ним запустите Windows Explorer = Проводник. В Проводнике найдите любой исходный файл, но только с расширением: *.gif, *.bmp или *.wav (чем он будет больше, тем лучше!)

и перетащите его в серое окно S-Tools, где он он и появиться...

Выберите в Проводнике любой скрываемый файл, по размеру, min в 9 раз меньше

исходного, и перетащите его в окно S-Tools, наложив на исходный.

Появится окно Hiding *** bytes.

Заполните поля Passphrase: и Verify passphrase: 2 раза одинаково (количество знаков - не важно). (При этом значение поля "Encryption algorithm" (способ) можете выбрать произвольно) ...и нажмите OK.

Если скрываемый файл зашифровывается в картинку,

Если скрываемый файл зашифровывается в звук,

Наведите указатель мыши на окно S-Tools и нажмите правую клавишу.

Затем: Save As... ->

Выберите имя (сотрите имя hidden) собранного файла с тем же расширением,

что и исходный...

-> OK

Закройте S-Tools.

Расшифровка файла:

Откройте S-Tools.

И одновременно с ним откройте Windows Explorer = Проводник.

Перетащите собранный вами файл в серое окно S-Tools, где он и появиться...

Наведите указатель мыши на окно S-Tools и нажмите правую клавишу.

Затем:

Reveal -> Revealing from: filename.

Заполните поля passphrase 2 раза одинаково и нажмите OK.

Появится окно Revealed files:

Выберите его, нажмите правую клавишу мыши ->

Save As...

Дайте любое имя открываемому файлу с его оригинальным расширением

и путь... нажмите Save...

Закройте S-Tools.

Глава 6. Специальные технические средства информационной безопасности.

Основные определения.

Поиск техники подслушивания.

Защита помещений от подслушивания.

Защита технических средств обработки информации.

Защита коммуникаций.

Одним из видов угроз деятельности предприятий, организаций и фирм является несанкционированный съ¸м служебной, коммерческой и личной информации, так называемое подслушивание. При этом злоумышленники или конкуренты не ограничиваются только использованием различного рода подслушивающей конфиденциальные разговоры аппаратуры. Для того, чтобы проникнуть в чужие секреты, самые последние достижения науки и техники применяются не только государственными спецслужбами, но и предпринимателями и частными детективами.

“Сражения на фронтах” промышленного шпионажа достигли таких размеров, что заставляют крупные западные фирмы тратить на оснащение своих служб безопасности больше средств, чем государственные ведомства, и создавая при этом собственные разведывательные и контразведывательные отделы.

Для проникновения в чужие секреты наиболее активно используются подслушивание(подглядывание) и электронная разведка, осуществляющие:

подслушивание разговоров в помещении или в автомашине с помощью предварительно установленных там магнитофонов или “радиожучков”;

контроль телефонов, радиотелефонов, радиостанций и линий связи;

дистанционный съ¸м информации с различных технических средств, в первую очередь, с мониторов и печатающих устройств компьютеров и др.

Рассмотрим подробнее подслушивание(подглядывание) и электронную разведку и основные способы блокировки каналов утечки информации от них.

Подслушивание(подглядывание). Подслушивать можно через стены, полы, потолки, двери, окна, вентиляционные каналы при плохой строительной звукоизоляции. Для подслушивания используются разнообразные микрофоны(радиомикрофоны,контактные, остронаправленные и др.).

Радиомикрофоны – это микрофоны, снабженные передатчиком. Носимые радиомикрофоны используются непосредственно при разговоре с интересующим лицом, или на совещаниях, или при подслушивании чужого разговора, находясь в непосредственной близости от говорящих.

Радиомикрофоны –“подарки” – это различного рода предметы(авторучки, портсигары, разные сувениры), в которых вмонтированы радиопередатчики с микрофоном и источником питания.

Радиомикрофоны –“закладки” подобны “подаркам”, но они или вмонтированы

в какой-либо электрический прибор в служебном помещении, или оформлены самостоятельно в виде незаметного миниатюрного предмета, “забытого” в незаметном месте(под крышкой стола, за картиной, под лампой или телефоном и т.п.). Разговор в этом случае записывается лицом, находящемся на значительном расстоянии(на улице, в автомобиле, в соседнем доме и т.п.) от места расположения микрофона.

Для подслушивания через стены с помощью специальной аппаратуры достаточно незаметного(несквозного) отверстия в стене диаметром 1-2 мм. Если стена не очень толстая, то достаточно наклеить на нее полоску контактного микрофона и снимать необходимую информацию. Самыми опасными в смысле утечки информации

являются двери, окна, решетки вентиляционных каналов(по вентиляционным каналам звук передается на десятки метров).

Через открытые форточки разговор можно подслушать с помощью остронаправленного микрфона на расстоянии до 500 м(при наличии шума).

Через закрытые окна и форточки разговор может быть подслушан с помощью лазерных устройств инфракрасного диапазона за счет вибрации стен, стекол и других предметов от воздействия звука. Отражаясь от вибрирующей поверхности, лазерный луч получает модуляцию, которая и несет полезную информацию. При приеме отраженного “зайчика” приемником, лазерный луч демодулируется и разговор записывается на магнитофон.

Современные оптические системы позволяют заглянуть в окно и рассмотреть многое, что за ним находится, вплоть до содержания “удачно” разложенных документов и содержания разговора по движению губ.

Основными способами блокировки каналов утечки информации от подслушивания(подглядывания) являются:

обеспечение необходимой звукоизоляции стен, полов, потолков и других строительных конструкций служебных помещений с исключением всех щелей, отверстий и других брешей в стенах, дверях, окнах и т.п.;

установка на входе в служебные помещения тамбуров с двойными дверями, конструкция которых должна исключать щели, отверстия и т.п.;

установка для защиты от лазерных устройств специальных оконных блоков с тройным остеклением и со специально подобранной толщиной стекол(наружные стекла с отражающей зеркальной поверхностью);

применение штор из специальных тканей, заглушающих звук;

установка на вентиляционные решетки специальных фильтров с акустической ловушкой;

применение специальных технических средств информационной безопасности (генераторов помех, детекторов излучений и т.п.).

Электронная разведка. Современная оргтехника и средства связи, которые находятся в служебных помещениях, создают при работе электромагнитные излучения широкого спектра радиоволн, что повышает опасность утечки информации. Кроме того, возникают побочные сигналы за счет наводок на цепи заземления, электрические кабели, провода связи и т.п.

Компьютер и особенно его дисплей обладают значительным электромагнитным полем, за счет чего информация на его экране может быть прочитана на расстоянии 1-2 км.

При работе технических средств приема и передачи, обработки и отображения информации образуются побочные электромагнитные излучения и возникают наводки(ПЭМИН) на провода, кабели и другие токопроводящие коммуникации, например, на трубы отопления и т.п.

Специальная аппаратура позволяет прочитать информацию, которая печатается на электрической пишущей машинке.

Магнитофон, которым пользуются для записи речи, может служить хорошим источником информации для специальной аппаратуры на рассстоянии до нескольких десятков метров.

Наиболее вероятен перехват информации через ПЭМИН дисплея компьютера, накопителей на магнитных дисках, буквопечатающей аппаратуры и проводных линий связи.

Электронная вычислительная техника может содержать различные “закладки”, позволяющие снять информацию с клавиатуры и из памяти компьютера и передать ее тогда, когда обнаружить процесс передачи сложно.

“Закладки” могут быть аппаратными и программными. Аппаратные “закладки” по радиозапросу сбрасывают информацию из компьютера, а “программные” - с помощью “вирусов” выводят из строя программное обеспечение.

Широкие возможности для электронного подслушивания представляет телефон даже при положенной трубке. “Закладки”, установленные в телефонном аппарате, на кроссе, в коммутационном шкафу, найти очень сложно.

Радиотелефоны являются прямым источником утечки информации.

Блокировка каналов утечки информации от электронной разведки подразделяется на пассивную и активную защиту.

Пассивная защита предполагает уменьшение интенсивности несущих информацию побочных сигналов путем установки экранов, различных фильтров и других защитных устройств на все электронные приборы и коммуникации, которые потенциально могут образовать каналы утечки информации.

Экранирование осуществляется путем установки различного рода металлических сеток, листов,токопроводящих стекол, установкой поглотителей и т.п. Применяются также специальные краски и покрытия, поглощающие электромагнитные колебания и

снижающие вероятность перехвата информации.

Для защиты от наводок на коммуникации применяют экранирование

проводов, кабелей и т.п., а на их выходы из охраняемого помещения ставят разные заградительные и поглощающие фильтры. На всех металлических трубах и экранирующих оплетках кабелей устанавливают диэлектрические развязки, препятствующие утечке наведенных токов за пределы помещения. Существуют специальные приборы, которые устанавливаются на телефонные аппараты, часы, радиоточки, пишущие машинки и т.п.

Активная защита предполагает применение специальных генераторов

помех средствам электронной разведки и маскировки работы своих средств.

Таким образом, главными направлениями применения специальных технических средств информационной безопасности должны являться поиск техники подслушивания, защита помещений от подслушивания, защита технических средств обработки информации и защита коммуникаций.

Поиск техники подслушивания. Поисковые работы могут проводиться как в отдельном помещении, так и во вс¸м здании; могут быть одноразовым мерприятием или повторяться с определ¸нной периодичностью. Частота поиска зависит от режима использования помещения, обстановки вокруг объекта, степени важности обсуждаемых в этом помещении вопросов.

Специалисты по поиску техники подслушивания начинают свою работу, как правило, с опроса персонала и изучения регламента(порядка) использования и посещений проверяемого помещения. Техника подслушивания не может появиться сама по себе; е¸ кто-то должен принести в “интересный” кабинет и там установить.

“Жучки” могут быть спрятаны и в подарках, которыми Вы украсили бы свой кабинет или комнату для переговоров, а также установлены во время капитального или косметического ремонта помещений.

Идеальным предметом для организации подслушивания является современный телефон со сложным электронным программированием своей работы. Мало того, что обнаружить “жучок” в телефоне весьма сложно, электронные элементы современного

телефонного аппарата могут явиться подслушивающими устройствами даже без их предварительной переделки.

Поэтому рекомендуется устанавливать в помещениях, где проводятся важные совещания и переговоры, только такие телефоные аппараты, которые посоветует соответствующий специалист и к тому же предварительно их проверит.

Важным моментом при поиске техники подслушивания является скрытность процесса поиска.

Защита помещений от подслушивания. Существенной преградой на пути злоумышленника с подслушивающей техникой является создание на объекте особых, защищ¸нных от подслушивания, помещений для проведения важных совещаний и конфиденциальных переговоров. Таким помещениям присваивается статус специальных и они оборудуются с уч¸том следующих требований:

здание, где находятся специальные помещения, должны иметь круглосуточную охрану и систему сигнализации:

специальные помещения располагаются, по возможности, в центре здания, рядом с кабинетами руководства объекта;

если в специальном помещении должны быть окна, то желательно, чтобы они не имели балконов и не выходили на соседние с объектом здания, а смотрели бы на внутренний двор или закрывались бы глухими ставнями;

внутри специального помещения должно быть минимальное количество мебели, а е¸ конструкция должна быть наиболее приспособлена для работы специалиста по поиску техники подслушивания;

в специальном помещении не должны быть радиоэлектронных устройств, компьютеров, телевизоров, магнитофонов и др.;

телефонная связь, как наиболее “удобная” для подслушивания, должна осуществляться особым образом(в соответствии с рекомендациями специалиста), а если возможно, то лучше отказаться от любых видов связи(вызывая, например, секретаря с помощью простой звонковой кнопки).

При выборе способов защиты помещений от подслушивания всегда следует помнить о том, что эффективность защиты будет высокой только при строгом соблюдении регламента посещений и работы в помещениях, а также при организации периодических проверок со стороны специалистов по поиску техники подслушивания.

Защита технических средств обработки информации. Защита технических средств обработки информации проводится по следующим направлениям:

выявление, устранение или существенное ослабление излучающих сигналов пут¸м доработки самих технических средств;

экранировка средств обработки информации и помещений, в которых они используются;

использование специальных генераторов радиопомех для маскировки (прикрытия) побочных излучений.

Защита коммуникаций. Защита, выходящих из объекта каналов связи(внешние коммуникации), включает в себя:

использование собственной аппаратуры электронного шифрования для всех видов связи при обмене конфиденциальной или важной информацией;

использование платных государственных защищ¸нных каналов связи;

применение заранее оговоренных условных фраз и кодовых выражений при ведении телефонных переговоров по незащищ¸нным каналам связи о месте и времени проведения важных встреч(особенно по финансовым вопросам и доставке ценностей).

Защита внутренних коммуникаций включает в себя:

экранирование коммуникаций;

использование электронного зашумления коммуникаций и сетей электропитания, обеспечивающих работу техники обработки важной информации;

установка датчиков сигнализации и систем видеонаблюдения на местах

возможных посторонних подключений к коммуникациям(распределительные шкафы, колодки, разъ¸мы);

использование внутренней телефонной связи, не подключ¸нной к городским телефонным каналам;

периодический контроль внутренних коммуникаций специалистами

службы инфомационной безопасности.

Следует особо отметить, что эффективное использование специальных технические средства информационной безопасности требует профессиональной подготовки персонала службы информационной безопасности и опыта работы в этой области.

Литература

Герасименко В.А. Концепция современной информатики. М., 1993.

Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М., 1994.

Батурин Ю.Н. Проблемы компьютерного права. М., 1993.

Алексеенко В.Н. Современная концепция комплексной защиты. Технические средства защиты. М.: МИФИ, 1994.

Гайкович В.Ю., Ершов Д.В. Информационная безопасность. Основы безопасности информационных технологий. М.: МИФИ, 1995.

Крылов В.В. Информационные компьютерные преступления. М., 1997.

Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М., 1999.

Ярочкин В.И. Информационная безопасность. М., 2000.

Демин А.И. Информационная теория экономики. М., 1996.

Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. М., 1994.

Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции. М.: МИФИ, 1995.

Левин Максим. Криптография: руководство пользователя. М., 2001.

Таирян В.И. Введение в алгебраическую теорию кодирования. Учебно-методическое пособие. РАУ, 2003.

Таирян В.И. Основы информационной безопасности в компьютерных сетях. Учебно-методическое пособие. РАУ, 2006.

Приложение 1.

Компьютерные правонарушения и возможные меры ответственности.

Проблема информационной безопасности постоянно актуализируется процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи информации и прежде всего вычислительных систем. Это приводит к постановке проблемы компьютерного права, одним из основных аспектов которой являются так называемые компьютерные посягательства.

Обьектами посягательств могут быть сами технические средства (компьютеры и периферийные устройства) как материальные объекты, программное обеспечение и базы данных, для которых технические средства являются окружением. В этом смысле компьютер может выступать и как предмет посягательств и как инструмент. Если разделять два последних понятия, то термин компьютерное преступление как юридическая категория не имеет особого смысла. Если компьютер это только объект посягательства, то квалификация правонарушения может быть произведена по существующим нормам права. Если же - только инструмент, то достаточен только такой признак, как “применение технических средств”. Возможно объединение указанных понятий, когда компьютер одновременно и инструмент и предмет. В частности, к этой ситуации относится факт хищения машинной информации. Однако, если хищение информации не связано с потерей материальных и финансовых ценностей, то такой факт трудно

квалифицировать как преступление. Если с данным фактом связываются нарушения интересов национальной безопасности, авторства, то уголовная ответственность прямо предусмотрена в соответствующих Законах РФ.

Иными словами, компьютерных преступлений как специфических объектов уголовного права не существует. Скорее это социальная, чем юридическая категория. Как считают специалисты, правильнее говорить о компьютерных аспектах посягательств, в результате которых многие традиционные преступления модифицировались. Это создало ряд правовых проблем, которые должны быть разрешены в рамках уголовного права.Тем не менее, это не значит, что компьютерные правонарушения на настоящем этапе могут оставаться без соответствующих мер ответственности. Большинство из них подпадают под действующее уголовное законодательство и злоупотребления в

данной сфере не менее наказуемы,чем в других областях общественной деятельности

Класификация типов компьютерных правонарушений с точки зрения их криминализации, то есть возможности отнесения к тому или иному объекту уголовного права, проводится по следующим пяти группам посягательств:

1. Уничтожение объектов компьютерной техники:

уничтожение техники;

уничтожение носителей с машинной информацией;

уничтожение(удаление) файлов или сообщений;

уничтожение средств защиты машинной информации от несанкционированного доступа;

2. Изменение объектов компьютерной техники:

повреждение аппаратуры;

несанкционированное изменение(модификация) записей файлов,

сообщений или подмена файлов, сообщений;

несанкционированные изменения средств защиты информации компьютерной системы от несанкционированного доступа;

блокирование работы компьютерной системы, вызов отказа в обслуживании пользователей;

несанкционированное введение в компьютерную систему сторонних программных средств;

3. Изъятие объектов компьютерной техники:

хищение аппаратуры;

хищение машинной информации на носителях(магнитные ленты, магнитные диски, распечатки и т.д.);

копирование(размножение) файлов с последующим изъятием копий на носителях;

4. Хищения с помощью компьютерной техники:

материальных ценностей, денег и услуг;

информации для различных целей;

5. Несанкционированный доступ:

несанкционированные “обходы” средств защиты информации от несанкционированного доступа;

несанкционированный доступ в компьютерную систему;

несанкционированный запуск программ обработки информации.

Что касается двух первых групп посягательств, здесь почти полностью работают нормы действующего Уголовного кодекса РФ “Умышленное уничтожение или повреждение государственного или общественного имущества” - ст.98 и “Неосторожное уничтожение или повреждение личного имущества граждан” – ст.149. Поскольку, например, предметом преступления, предусмотренного ст.98. УК РФ может быть любое государственное или общественное имущество, представляющее материальную ценность(в том числе и такое, которое нельзя изьять и, следовательно, похитить), то данная норма охватывает и машинную информацию. Под уничтожением в смысле ст.98 УК РФ понимается приведение объектов компьютерной техники в полную негодность, когда они не могут быть использованы по назначению. Поскольку объект компьютерной техники можно уничтожить или повредить(изменить) и физически, и интелектуальными(программными) методами, сам способ совершения преступления для квалификации содеянного по ч.1. ст.98.УК РФ значения не имеет. Уничтожение же или повреждение программных средств вычислительной техники, совершенное путем поджога или иным общественно опасным способом, влечет квалификацию содеянного по ч.2 ст.98 УК РФ. Состав данного преступления с отягчающими обстоятельствами (ч.2) будет иметь место в случае, когда оно повлекло человеческие жертвы, причинен крупный ущерб или наступили иные тяжкие последствия (например, длительная остановка или дезорганизация работы предприятия и.т.д.). Возможны также случаи, когда преступной является фальсификация информации(в частности, приписки и другие искажения отчетности о выполнении планов - ст.152 УК РФ).

Единственное, что требует формулирования специальной нормы -

это несанкционированное введение в компьютерную систему сторонних программных средств, точнее, особо общественно опасная разновидность этого действия –

умышленное распространение компьютерного "вируса”. Эта норма вводится ст.273

УК РФ(01.01.97) в главе “Преступления в сфере компьютерной информации” как “…создание, использование и распространение вредоносных компьютерных программ”.

Перейдем к третьей группе посягательств. Вопрос о хищении аппаратуры, включая носители информации, проблемы не представляет.

Сложнее дело обстоит с хищением, копированием и размножением (тиражированием) машинной информации. Подобные действия не могут быть квалифицированы как хищение, под которым понимается незаконное и

безвозмездное извлечение с корыстной целью имущества из наличных фондов государственных или общественных организации и обращение его в пользу отдельных лиц. Хищение в виде кражи, если виновный не имеет правомочий в отношении похищенного имущества или присвоение, если такие полномочия есть, возможно лишь при изъятии с корыстной целью машинной информации вместе с материальным носителем. Здесь надо учитывать, что стоимость похищенного материального носителя, включая запись информации на носитель, составляет значительно небольшую сумму, когда, например, сама разработка програмного обеспечения может обходиться в десятки и сотни тысяч долларов. Сумма же похищенного должна оцениваться исходя из затрат на изготовление программных средств и стоимости данного вида машинной информации как товара. Рассмотренные правонарушения, равно как и копирование(размножение) файлов без изъятия из компьютерной системы, влекут за собой ответственность по нормам патентного и авторского права.

Квалификация хищений, совершаемых с помощью вычислительной техники(четвертая группа посягательств) в принципе трудностей не вызывает . Различия в квалификации определяются, прежде всего, правомочиями лица по отношению к материальным ценностям. Если хищение совершается лицом,которому они вверены в силу должностных обязанностей, договорных отношений или специального поручения государственной или общественной организации, и если лицо осуществляет правомочия по распоряжению, управлению, доставке и хранению этих ценностей, то хищение квалифицируется по ст.92 УК РФ. В этом случае имущество изымается лицом с использованием своего служебного положения. При мошенничестве же(ст.93 УК РФ) виновный не имеет отношения к имуществу, а завладевает им с помощью обмана представителя государственной или общественной организации. Так, используя компьютер, можно выписывать себе премии, перечислять денежные суммы на свой или подставной счет, начисляя зарплату на “мертвых душ” и т. п. С помощью компьютера можно за взятку направить материальные ценности не по назначению, осуществлять приписки, должностные подлоги, искажать отчетность (ст.ст.151,175 УК РФ). Надо специально выделить случаи, когда возможно сочетание использования программных средств вычислительной техники и как предмета для уничтожении программы в процессе поиска нужной информации при ее “хищении”. Возможно повреждение и этой и другой информации, причем как чисто программными, так и физическими методами. Тогда ответственность должна определяться по совокупности преступлении (ст.98 УК РФ и другая соответствующая статья кодекса).

Наконец, последняя группа посягательств(несанкционированный доступ). Нетрудно заметить, что значительная часть описанных правонарушений возможна только благодаря осуществлению несанкционированного(неправомерного) доступа в компьютерную систему. УК РФ(01.01.97) в главе “Преступления в сфере компьютерной информации” в ст.272 определяет ответственность за “…неправомерный доступ к компьютерной информации”, в ст.273 за “…создание, использование и распространение вредоносных компьютерных программ” и в ст.274 за “…нарушение правил эксплуатации компьютеров, компьютерных систем и сетей”.

Приложение 2.

“Об информации, информатизации и защите информации”.

Извлечения из Федерального закона РФ.

Это фундаментальный, базовый акт, заложивший основу правового регулирования всей системы информационных отношений. Он является комплексным актом, в котором применяются такие понятия, как информация, информатизация, государственная политика информатизации, государственные информационные ресурсы, проекты и программы информатизации, рынок информационных ресурсов и услуг, собственность на информационные ресурсы, владение и пользование информационными ресурсами.

Закон регулирует информационные отношения(ст.1) и выдвигает на первый план понятие информационных ресурсов(ст.2). Закон вводит понятие государственных информационных ресурсов, которые состоят из ресурсов федеральных, из ресурсов совместного ведения Федерации и субъктов Федерации, а также из информационных ресурсов субъектов Федерации( ст.7).

В законе формулируются условия для развития рыночных отношений в данной сфере. Так, в качестве одного из направлений государственной политики информатизации называется содействие созданию рынка информационных ресурсов, услуг, информационных систем и технологий, средств их обеспечения(ст.3). Вводится понятие собственности на информационные ресурсы и информационные ресурсы, системы и технологии

могут рассматриваться в качестве товара(ст.6).

Закон вводит понятие государственной политики информатизации, содержит указания на ее основные направления(ст.3).

Статья 1. Сфера действия настоящего закона.

Настоящий Федеральный закон регулирует отношения,

возникающие при:

формировании и использовании информационных ресурсов на

основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

создании и использовании информационных технологий и средств

их обеспечения;

защите информации, прав субъектов, участвующих в информационных

процессах и информатизации.

Статья 2. Термины, используемые в настоящем Федеральном законе,

их определения.

В настоящем Федеральном законе используются следующие понятия:

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

информатизация - организационный, социально-экономический и

научно-техничесикй процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;

документированная информация(документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими е¸ идентифицировать;

информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

информационная система - организационно упорядоченная совокупность документов(массивов) документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах

(библиотеках, архивах, банках данных, других информационных системах );

информация о гражданах(персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ;

средства обеспечения автоматизированных информационных систем

и их технологий - программные, технические, лингвистические, правовые, организационные средства(программы для электронно-вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающих их эксплуатацию;

собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом;

пользователь(потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Статья 3. Обязанности государства в сфере формирования

информационных ресурсов и информатизации.

1. Государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития РФ.

2. Основными направлениями государственной политики в сфере информатизации являются:

обеспечение условий дл развития и защиты всех форм собственности на информационные ресурсы;

формирование и защита государственных информационных ресурсов;

создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации;

создание для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления,

организаций и общественных объединений на основе государственных информационных ресурсов;

обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с уч¸том современного мирового уровня развития информационных технологий;

поддержка проектов и программ информатизации;

создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

Статья 4. Основы правового режима информационных ресурсов.

1. Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами.

2. Правовой режим информационных ресурсов определяется нормами, устанавливающими:

порядок документирования информации;

право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

категорию информации по уровню доступа к ней;

порядок правовой защиты информации.

Статья 5. Документирование информации.

1. Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование информации осуществляется в порядке, устанавливаемом органами государственной власти, ответственными за организацию делопроизводства, стандартизацию документов и их массивов, безопасность РФ.

2. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством РФ.

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи призна¸тся при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования.

Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством РФ.

Статья 6. Информационные ресурсы как элемент состава имущества

и объект права собственности.

1. Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления,

организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством РФ.

2. Физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы за сч¸т их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования.

3. Российская Федерация и субъекты Российской Федерации являются собственниками информационных ресурсов, создаваемых, приобретаемых, накапливаемых за сч¸т средств федерального бюджета, бюджетов субъектов Российской Федерации, а также полученных пут¸м иных установленных законом способов.

Государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения информации к государственной тайне.

Собственник информационных ресурсов, содержащих сведения, отнес¸нные к государственной тайне, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти.

Статья 8. Обязательное представление документированной информации для формирования государственных информационных ресурсов.

1. Граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обязаны представлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов.

Статья 10. Информационные ресурсы по категориям доступа.

1. Государственные информационные ресурсы РФ являются открытыми и общедоступными. Исключение составляет документированная информация, отнес¸нная законом к категории ограниченного доступа.

2. Документированная информация с ограниченным доступом по условиям е¸ правового режима подразделяется на информацию, отнес¸нную к государственной тайне, и конфиденциальную.

3. Запрещено относить к информации с ограниченным доступом:

законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования насел¸нных пунктов, производственных объектов, безопасности граждан и населения в целом;

документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнес¸нных к государственной тайне;

документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов власти, органов местного самоуправления,

общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Статья 11. Информация о гражданах(персональные данные).

1. Перечни персональных данных, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну,

семейную тайну, тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничения прав граждан РФ на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Статья 12. Реализация права на доступ к информации из

информационных ресурсов.

1. Пользователи - граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения - обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом.

Доступ физических и юридических лиц к государственным информационным ресурсам является основой осуществления общественного контроля за деятельностью органов государственной власти, органов местного самоуправления, общественных, политических и иных организаций, а также за состоянием экономики, экологии и других сфер общественной жизни.

2. Владельцы информационных ресурсов обеспечивают пользователей (потребителей) информацией из информационных ресурсов на основе законодательства, уставов указанных органов и организаций, положений о них, а также договоров на услуги по информационному обеспечению.

Информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть

использована ими для создания производной информации в целях е¸ коммерческого распространения с обязательной ссылкой на источник информации.

Источником прибыли в этом случае является результат вложенных труда и средств при создании производной информации, но не исходная информация, полученная из государственных ресурсов.

Статья 13. Гарантия предоставления информации.

1. Органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей

по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес.

2. Отказ в доступе к информационным ресурсам, предусмотренным в пункте 1 настоящей статьи, может быть обжалован в суд.

Статья 14. Доступ граждан и организаций к информации о них.

1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения е¸ полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

4. Отказ владельца информационных ресурсов субъекту в доступе к информации о н¸м может быть обжалован в судебном порядке.

Статья 21. Защита информации.

1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб е¸ собственнику, владельцу, пользователю и иному лицу.

Статья 24. Защита права на доступ кинформации.

1. Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы

в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понес¸нного ими ущерба.

2. Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

Приложение 3.

“Ответственность за неправомерные действия с документами и информацией”.

Извлечения из Уголовного кодекса РФ.

Статья 138. Нарушение тайны переписки, телефонных переговоров,

почтовых, телеграфных или иных сообщений.

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужд¸нного за период до одного месяца, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

2. То же деяние, соверш¸нное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, -

наказывается штрафом в размере от ста до тр¸хсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужд¸нного за период от одного до тр¸х месяцев, либо лишением права занимать определ¸нные должности или заниматься определ¸нной деятельностью, либо арестом на срок от двух до четыр¸х месяцев.

3. Незаконное производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, -

наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужд¸нного за период от двух до пяти месяцев, либо ограничением свободы на срок до тр¸х лет, либо лишением свободы на срок до тр¸х лет с лишением права занимать определ¸нные должности или заниматься определ¸нной деятельностью на срок до тр¸х лет.

Статья 140. Отказ в предоставлении гражданину информации.

1. Неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы граждан, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -

наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужд¸нного за период от двух до пяти месяцев, либо лишением права занимать определ¸нные должности или заниматься определ¸нной деятельностью на срок от двух до пяти лет.

Статья 272. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно- вычислительной машине(ЭВМ), системе ЭВМ или их сети, если это деяние

повлекло уничтожение, блокирование, модификацию либо копирование

информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода

осужд¸нного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, соверш¸нное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужд¸нного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от тр¸х до шести месяцев, либо лишением свободы на срок до пяти лет.

Приложение 4.

Перечень возможных каналов утечки информации в информационных системах.

Множество каналов утечки информации в информационных системах(ИС) определяется множеством возможных способов несанкционированного получения информации из ИС, что позволяет осуществить классификацию каналов утечки информации следующим образом:

бесконтактные каналы, для доступа к которым не требуется непосредственный доступ к компонентам ИС;

контактные каналы, доступ к которым возможен при условии непосредственного доступа к компонентам ИС без изменения структуры ИС;

контактные каналы, доступ к которым возможен при условии непосредственного доступа к компонентам ИС с изменением структуры ИС.

Вышеперечисленные классы каналов утечки информации, в свою очередь, разделяются на группы, перечень и содержание которых приводится ниже.

1-й класс. Бесконтактные каналы.

Группа 1.1. Внешнее наблюдение:

подслушивание в окнах и дверях помещений;

перехват видимого излучения с экранов дисплеев.

Группа 1.2. Подслушивание:

подслушивание разговоров лиц, имеющих отношение к ИС;

провоцирование на разговоры лиц, имеющих отношение к ИС.

Группа 1.3. Регистрация сигналов:

регистрация электромагнитных излучений технических средств ИС;

регистрация электромагнитных излучений физических линий связи, расположенных на охраняемой территории;

регистрация электромагнитных излучений беспроводных каналов связи;

регистрация акустических и механических колебаний технических средств ИС.

Группа 1.4. Сбор отходов производства:

осмотр мусора, выносимого за пределы помещений ИС;

осмотр отходов, направляемых из ИС в пункты сбора вторичного сырья и переработки.

2-й класс. Контактные каналы без изменения структуры ИС.

Группа 2.1. Использование легальных возможностей:

несанкционированная модификция программ и наборов данных при их вводе в ИС;

несанкционированное воздействие на временные ресурсы ИС и процесс обработки информации;

считывание остаточной информации из оперативной памяти после решения задач;

считывание остаточной информации из внешней памяти;

считывание остаточной информации из регистров и накопителей;

Группа 2.2. Использование чужих прав:

несанкционированное использование штатного терминала лицом, маскирующимся под законного пользователя;

несанкционированное использование законным пользователем чужого терминала;

раскрытие пароля лицом, маскирующимся под законного пользователя.

Группа 2.3. Изготовление дубликатов:

запоминание;

записывание;

фотографирование.

Группа 2.4. Обход защиты:

организация специальных запросов, содержащих скрытые процедуры доступа к защищаемым данным;

организация запроса с целью косвенного получения защищаемой информации;

попытка неразрешенной работы пользователя с данными, доступ к которым ему не разрешен;

несанкционированные действия с целью раскрытия защищаемых данных;

несанкционированное запоминание обрабатываемых секретных данных на неучтенных носителях;

использование “лазеек” в системе информационной безопасности;

использование “лазеек” в программном обеспечении ИС;

раскрытие секретных ключей шифрования.

3-й класс. Контактные каналы с изменением структуры ИС.

Группа 3.1. Хищение компонентов ИС:

хищение технических документов;

хищение носителей информации;

хищение неучтенных копий носителей информации;

хищение бланков с исходными данными;

хищение контрольных распечаток;

хищение регистрационных журналов ИС;

хищение выходных документов;

сбор носителей информации, пришедших в негодность;

сбор использованных элементов носителей информации.

Группа 3.2. Подключение аппаратуры:

к штатным терминалам с целью получения информации;

к линиям связи с целью получения информации;

к устройствам группового управления вводом-выводом;

к аппаратуре сопряжения;

к процессорам;

к устройствам управления внешними носителями информации;

к силовой сети электропитания технических средств;

к электроосветительной сети;

к проводам внутренней и городской телефонной связи;

к проводам систем охранной и пожарной сигнализации, часофикации, радиотрансляции;

к неучтенным отводам проводов, трубопроводов и т.п., выходящих из помещений, где размещаются основные технические средства;

к контуру заземления;

к магистралям систем пожаротушения, газо- и водоснабжения, отопления и кондиционирования.

Группа 3.3. Изменение компонентов ИС:

несанкционированные изменения в функциональных соединениях или в принципиальных схемах технических средств ;

несанкционированная модификация электронных схем терминала с целью изменения его идентификатора;

несанкционированная модификация технических средств и/или программного обеспечения с целью маскировки несанкционированных действий;

несанкционированные изменения носителей информации;

подмена операционной системы;

подмена реквизитов разграничения доступа.

Приложение 5.

Перечень и краткая характеристика некоторых устройств

обнаружения каналов утечки информации и их блокировки.

Устройства обнаружения каналов утечки информации.

1.1. Портативные детекторы. Позволяют обнаружить и определить местонахождение радиомикрофонов и телефонных микропередатчиков. Основные характеристики: диапазон частот от 1 до 3000 Мгц; звуковая и оптическая индикация; компактные размеры; электропитание от батареи или аккумулятора.

1.2. Сканирующие детекторы. Детекторы-сканнеры радиопередатчиков, осуществляющие поиск в диапазоне 30 – 2200 Мгц и контроль радиосигналов на динамик или наушник. Имеют индикаторы уровня принимаемого сигнала и могут

дополняться специальным антенным усилителем с набором антенн с полосой

4 МГЦ и перестройкой от 10 до 1000 Мгц. Электропитание от аккумулятора с продолжительностью непрерывной работы до 4 часов.

1.3. Карманные устройства защиты. Наиболее популярные детекторы устройств

подслушивания размером не более размеров сигаретной пачки. Выполняют две функции: контроль радиоизлучений и обнаружение включ¸нных включ¸нных магнитофонов. При¸мная антенна может быть скрыто расположена под одеждой с конспиративной сигнализацией обнаружения с помощью вибрации корпуса устройства. Электропитание от встроенного аккумулятора.

1.4. Нелинейные детекторы коммуникаций. Комплексы для оценки параметров проводных коммуникаций с целью обнаружения посторонних подключений, в том числе для подслушивания и снятия информации. Анализ параметров коммуникаций проводится на осциллографе. Электропитание от сети. Размеры не более размеров портфеля.

1.5. Детекторы-локаторы излучений. С помощью радиочастотного зонда обнаруживаются все скрытые радиопередатчики: в телефоне, в комнате, в компьюторе, в факсе, в видеоустройствах; радиопередатчики систем пеленгации; носимые радиомикрофоны; радиопередатчики со скачкообразной перестройкой частоты. Низкочастотный зонд позволяет проверить электросеть, телефонные линии или подозрительные провода на наличие радиосигалов низких частот. Круглосуточная запись сигналов.

1.6. Нелинейные детекторы-локаторы. Высокоэффективные приборы для выявления и локализаии практически любых, в том числе дистанционно управляемых, средств подслушивания, а также скрыто установленных электронных взрывателей. Принцип действия основан на при¸ме отраж¸нного от электронного устройства сигнала зондирующего передатчика.

Устройства блокировки каналов утечки информации.

2.1. Настольные генераторы радиопомех. Звуковые генераторы помех для использования в оффисе, дома или на совещании. Площадь зашумления до 25 м². Диапазон частот помехи от 20 до 20000 Гц. Электропитание от сети или встроенных аккумуляторов с продолжительностью непрерывной работы от аккумуляторов до 3 часов.

2.2. Карманные генераторы аудиопомех. Карманные генераторы для защиты от подслушивания. Вырабатывают шумовой сигнал-помеху с изменяющейся амплитудой и частотой. Уровень помехи регулируемый. Площадь зашумления до 16 м². Электропитание от батареи.

2.3. Стационарные генераторы аудиопомех. Генераторы акустического шума в диапазоне 250- 5000Гц. Предотвращают возможность прослушивания через проводные микрофоны, радиомикрофоны и стетоскопы. Блокируют лазерный съ¸м с окон и создают помехи звукозаписывающей аппаратуре. Содержат вибрационные и акустические излучатели, устанавливаемые на стены, пол и потолок помещения в необходимом числе. Электропитание от сети 110/220 в.

2.4. Генераторы радиопомех. Создают радиопомехи устройствам, передающим информацию по радиоканалу, а также для защиты информации по каналам побочных электромагнитных излучений аппаратуры.

2.5. Защитные телефонные розетки. Оптимальные защитные устройства

в телефонной розетке, которые препятствуют прослушиванию через телефонные комуникации.

2.6. Телефонные блокираторы. Защищают от прослушивания помещений через телефонный аппарат при положенной телефонной трубке. Подключаются между телефонной линией и телефонным аппаратом.

2.7. Устройства для изменения голоса. Осуществляется цифровая обработка сигнала для изменения тембра и тона голоса. Электропитание

от батареи 9 в.

2.8. Телефонные маскираторы. Предназначены для защиты телефонных разговоров в оффисе или дома с установкой кодов шифра. Электропитание

от батареи 9 в.

2.9. Телефонные часовые. Осуществляют защиту телефонного аппарата или линии. Обнаруживают подключение параллельного телефона, радиомикрофона и создают помехи индуктивному съ¸му с телефонной линии.

Электропитание от батареи 9 в.

2.10. Аппараты телефонной защиты. Обеспечивается автоматический круглосуточный контроль параметров телефона и линии, защищает от высокочастотного зондирования телефона и переделки его схемы.

Приложение 6.

Вопросы по спецкурсу “Основы информационной безопасности”

для студентов физико-технических, экономических и гуманитарныхспециальностей.

Постановка проблемы информационной безопасности. Основные

угрозы информационной безопасности автоматизированных

информационных систем.

2. Основные средства обеспечения информационной безопасности.

3. Система информационной безопасности. Основные принципы

построения системы информационной безопасности.

4. Универсальные механизмы обеспечения информационной безопасности.

5. Идентификация и проверка подлинности пользователей компьютерных

сетей. Проблема аутентификации данных и электронная цифровая

подпись.

6, Криптографическое закрытие информации. Основные определения и

примеры.

7. Основные методы криптографического закрытия информации.

8. Современные симметрические и асимметрические криптосистемы.

9. Стеганографическая защита информации. Основные сведения и примеры. 10. Специальные технические средства информационной безопасности.

Основные определения. Поиск техники подслушивания. Защита помещений

от подслушивания.

11. Защита технических средств обработки информации. Защита коммуникаций.

12. Работа в локальной компьютерной сети(создание, передача, копирование

файлов)

13. Создание закодированных(зашифрованных) сообщений и обмен ими в

локальной компьютерной сети с использованием системы NetMeeting.

14. Создание закодированных(зашифрованных) сообщений и обмен ими в

локальной компьютерной сети с использованием криптографической

системы PGP и стеганографического пакета PC-tools.

Учебная программа

спецкурса “Основы информационной безопасности” для студентов физико-технических, экономических и гуманитарных специальностей.

Теоретическая часть(на стенде информационной безопасности, 12 час.):

Постановка проблемы информационной безопасности. Основные

угрозы информационной безопасности автоматизированных информационных систем. Основные средства обеспечения информационной безопасности. (2 часа)

Система информационной безопасности. Основные принципы

построения системы информационной безопасности. Универсальные

механизмы обеспечения информационной безопасности. (2 часа)

3. Идентификация и проверка подлинности пользователей компьютерных

сетей. Проблема аутентификации данных и электронная цифровая подпись. (2 часа)

4. Криптографическое закрытие информации. Основные определения и

примеры. Основные методы криптографического закрытия информации.

Современные симметрические и асимметрические криптосистемы. (2 часа)

Стеганографическая защита информации. Основные сведения и примеры. (2 ÷àñа)

Специальные технические средства информационной безопасности.

Основные определения. Поиск техники подслушивания. Защита помещений

от подслушивания. Защита технических средств обработки информации.

Защита коммуникаций. (2 часа)

Практическая часть(на стенде информационной безопасности, 24 час.):

Работа в локальной компьютерной сети(создание, передача,

копирование файлов с использованием средств Multimedia). (4 часа)

Создание закодированных(зашифрованных) сообщений и обмен

ими в локальной компьютерной сети с использованием систем

Chat è NetMeeting. (4 ÷àñа)

Освоение простейших навыков работы с криптографической

системой PGP. (4 час.)

Освоение простейших навыков работы со стеганографической

системой S-tools. (4 час.)

5. Тестовые испытания на стенде информационной безопасности. (4 час.)

Литература

Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М., 1994.

Гайкович В.Ю., Ершов Д.В. Информационная безопасность. Основы безопасности информационных технологий. М.: МИФИ, 1995.

Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М., 1999.

Ярочкин В.И. Информационная безопасность. М., 2000.

Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. М., 1994.

Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции. М.: МИФИ, 1995.

Левин Максим. Криптография: руководство пользователя. М., 2001.

Таирян В.И. Введение в алгебраическую теорию кодирования. Учебно-методическое пособие. РАУ, 2003.

Таирян В.И. Основы информационной безопасности в компьютерных сетях. Учебно-методическое пособие. РАУ, 2006.

Практическая часть:

Обмен сообщениями по локальной компьютерной сети(посредством папок с разрешенным доступом)

Обмен зашифрованными сообщениями в локальной компьютерной сети с использованием WinChat

Обмен зашифрованными сообщениями с использованием e-mail.

Обмен зашифрованными сообщениями в локальной компьютерной сети с использованием NetMeeting.

Освоение простейших навыков работы с криптографической

системой PGP.

Освоение простейших навыков работы со стеганографической

системой S-tools.