- •Уязвимости автоматизированных систем
- •Классификация методов и средств защиты. Подходы к обеспечению защиты информации
- •Организационно-правовое обеспечение
- •Инженерно-технические методы и средства защиты
- •Программно-аппаратные методы и средства
- •Криптографические системы
- •Шифры замены (подстановки)
- •Простая замена
- •Шифры перестановки
- •Шифрующие таблицы
- •Одиночная перестановка с ключом
- •Двойная перестановка с ключом
- •Магический квадрат
- •Шифры гаммирования
- •Современные криптографические системы
- •Блочные шифры
- •Режимы использования des
- •Отечественный стандарт шифрования
- •Асимметричные криптосистемы (с открытым ключом)
- •Криптосистемы El Gamal
- •Криптографические протоколы
- •Взаимная проверка подлинности пользователей
- •Электронно-цифровая подпись
- •Управление ключами
- •Домашняя кр
- •Модели и стандарты безопасности открытых систем
- •Критерии стандарта защищенности автоматизированных систем
- •Руководящий Документ Гостехнокомисии при президенте рф 1992
- •Защита в оСях Основные функции
- •Сетевые функции. Поддержка современных сетевых протоколов, в том числе используемых для защиты информации.
- •Разграничение доступа в ос Windows
- •Организация подсистем аудита
- •Сетевые протоколы защиты информации
Классификация методов и средств защиты. Подходы к обеспечению защиты информации
Поскольку наиболее опасные угрозы вызваны преднамеренными действиями злоумышленников, которые в общем случае являются неформальными, то и проблема защиты информации относится к формально неопределенным, следовательно можно сделать такие выводы:
-
надежная защита не может быть обеспечена только формальными методами таким как например программные и аппаратные средства
-
защита не может быть абсолютной
Выделяют 2 подхода к защите информации:
-
фрагментарный - предполагает противодействие конкретным действиям в заданных условиях. Например отдельно выделенные средства защиты, которые несвязанны между собой решают задачу.
-
комплексный - предполагается создание единой защищенной среды обработки информации, объединяющей разнородные меры противодействия угрозам. Наличие такое среды позволяет обеспечить определенный уровень защищенности хранимой в автоматизированной системе информации.
Вначале разрабатывается документ "Политика Безопасности".
Система комплексной защиты предполагает:
-
обеспечение физической целостности, т.е. синтаксической структуры защищаемой информации.
-
обеспечение логической целостности, т.е. семантических характеристик информации и установленными связями между ее элементами
-
предупреждение несанкционированного доступа к информации
Комплексный подход реализуется по средствам разработки политики безопасности для конкретной автоматизированной системы, которая включает комплекс организационно-правовых, инженерно-технических и аппаратно-программных средств защиты.
Организационно-правовое обеспечение
включает в себя следующие методы:
-
ограничение физического доступа к объектам автоматизированной системы и реализация режимных мер
-
ограничение возможности перехвата так называемых ПЭМИН (побочные электромагнитные излучения и наводки)
-
резервное копирование наиболее важных с точки зрения утраты данных
-
профилактика заражения компьютерными вирусами
Основой проведения организационных мероприятий являются различные законодательные и нормативные документы в области защиты. Сюда относятся:
-
международные конвенции о защите промышленной, интеллектуальной собственности, авторских прав. В частности принятие закона о защите персональных данных.
-
конституция РФ
-
гражданские кодексы
Уровни чего-то там:
-
Федеральные законы:
-
о государственной тайне
-
о коммерческой тайне
-
об информации, информатизации и защите информации
-
об электронной цифровой подписи
-
о защите персональных данных
-
и другие, самостоятельно см. лекцию в индюконе.
-
-
Указы
-
ГОСТЫ, руководящие документы и различные классификаторы
-
регламенты, методические инструкции
Инженерно-технические методы и средства защиты
понимают физические, механические, электрические, электронные устройства, элементы конструкции здания, средства пожаротушения и т.п. обеспечивающие:
-
защиту территорий и помещений от проникновения нарушителей
-
организация доступа и контроль за перемещением сотрудников
-
и т.д.
Программно-аппаратные методы и средства
-
устройство идентификации пользователя
-
устройства для шифрования информации
-
средства разграничения доступа к ресурсам автоматизированной системы
-
программы аудита
-
средства межсетевого экранирования