- •Курс "Методы и средства защиты информации"
- •Введение. Основные виды и источники атак на информацию
- •Современная ситуация в области информационной безопасности
- •Категории информационной безопасности
- •Абстрактные модели защиты информации
- •Обзор наиболее распространенных методов "взлома"
- •Комплексный поиск возможных методов доступа
- •Терминалы защищенной информационной системы
- •Получение пароля на основе ошибок администратора и пользователей
- •Получение пароля на основе ошибок в реализации
- •Социальная психология и иные способы получения паролей
- •Криптография
- •Классификация криптоалгоритмов
- •Симметричные криптоалгоритмы
- •Скремблеры
- •Блочные шифры
- •Общие сведения о блочных шифрах
- •Сеть Фейштеля
- •Блочный шифр tea
- •Aes : cтандарт блочных шифров сша c 2000 года
- •Общие сведения о конкурсе aes
- •Финалист aes – шифр mars
- •Ф иналист aes – шифр rc6
- •Ф иналист aes – шифр Serpent
- •Финалист aes – шифр TwoFish
- •Победитель aes – шифр Rijndael
- •Симметричные криптосистемы
- •Функции криптосистем
- •Алгоритмы создания цепочек
- •Методы рандомизации сообщений
- •Обзор методик рандомизации сообщений
- •Генераторы случайных и псевдослучайных последовательностей
- •Архивация
- •Общие принципы архивации. Классификация методов
- •Алгоритм Хаффмана
- •Алгоритм Лемпеля-Зива
- •Хеширование паролей
- •Общая схема симметричной криптосистемы
- •Асимметричные криптоалгоритмы
- •Общие сведения об асимметричных криптоалгоритмах
- •Алгоритм rsa
- •Технологии цифровых подписей
- •Механизм распространения открытых ключей
- •Обмен ключами по алгоритму Диффи-Хеллмана
- •Общая схема асимметричной криптосистемы
- •Сетевая безопасность
- •Атакуемые сетевые компоненты
- •Сервера
- •Рабочие станции
- •Среда передачи информации
- •Узлы коммутации сетей
- •Уровни сетевых атак согласно модели osi
- •По и информационная безопасность
- •Обзор современного по
- •Операционные системы
- •Прикладные программы
- •Ошибки, приводящие к возможности атак на информацию
- •Основные положения по разработке по
- •Комплексная система безопасности
- •Классификация информационных объектов
- •Классификация по требуемой степени безотказности
- •Классификация по уровню конфиденциальности
- •Требования по работе с конфиденциальной информацией
- •Политика ролей
- •Создание политики информационной безопасности
- •Методы обеспечения безотказности
- •Список литературы
Требования по работе с конфиденциальной информацией
При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований :
осведомление сотрудников о закрытости данной информации,
общее ознакомление сотрудников с основными возможными методами атак на информацию
ограничение физического доступа
полный набор документации по правилам выполнения операций с данной информацией
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие :
расчет рисков атак на информацию
поддержания списка лиц, имеющих доступ к данной информации
по возможности выдача подобной информации по расписку (в т.ч. электронную)
автоматическая система проверки цлостности системы и ее средств безопасности
надежные схемы физической ранспортировки
обязательное шифрование при передаче по линиям связи
схема бесперебойного питания ЭВМ
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие :
детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв)
защита ЭВМ либо носителей информации от повреждения водой и высокой температурой
криптографическая проверка целостности информации
Политика ролей
Функции каждого человека, так или иначе связанного с конфиденциальной информацией на предприятии, можно классифицировать и в некотором приближении формализовать. Подобное общее описание функций оператора носит название роли. В зависимости от размеров предприятия некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.
Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, отвественен за поиск самой свежей информации об обнаруженных уязвимостях в используемом в фирме программном обеспечении и в целом в стандартных алгоритмах.
Владелец информации – лицо, непосредственно работающее с данной информацией, (не нужно путать с оператором). Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных). Владелец информации не должен участвовать в аудите системы безопасности.
Поставщик аппаратного и программного обеспечения. Обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктов.
Разработчик системы и/или программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.
Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за ее их выполнением на рабочих местах. Линейные менеджеры должны быть осведомлены о всей политике безопасности предприятия, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.
Операторы – лица, отвественные только за свои поступки. Они не принимают никаких решений и ни за кем не наблюдают. Они должны быть осведомлены о классе конфиденциальности информации, с которой они работают, и о том, какой ущерб будет нанесен фирмы при ее раскрытии.
Аудиторы – внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности.