ОЗИ Контрольная вариант №1
.docx1. Основные понятия информационной безопасности. Угрозы информационной безопасности. Классификация методов защиты информации.
1.1 Основные понятия информационной безопасности
В соответствии с Законом РБ «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-3 под информацией
понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах. Информация может существовать в виде бумажного документа, физических полей и сигналов (электромагнитных, акустических, тепловых и т.д.), биологических полей (память человека).
Информация имеет ряд особенностей. Она:
-
нематериальна;
-
передается с помощью материальных носителей;
-
содержится в любом материальном объекте как информация о самом себе или о другом объекте.
Ценность информации измеряется следующими ее характеристиками: объективностью (независимость от мнения или мировоззрения субъекта и способов ее получения), полнотой (ее должно быть достаточно для принятия верного решения), достоверностью (правильное восприятия фактов), адекватностью (соответствие реальному положению дел), доступностью, актуальностью и эмоциональностью (т.е. способностью вызывать определенные эмоции у людей, широко используемой, в частности средствами массовой информации).
Ценная информация нуждается в обеспечении безопасности ее создания, хранения, обработки и передачи. Названные процессы в соответствии с Законом РБ «Об информации, информатизации и защите информации» от
10 ноября 2008 г. № 455-3 образуют понятие информационного объекта . Под информационной безопасностью понимается защищенность информационного объекта от случайного или преднамеренного вмешательства в нормальный процесс его функционирования.
Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, т.е. процесс, направленный на достижение информационной безопасности.
1.2 Угрозы информационной безопасности
Все воздействия на информационный объект могут привести к последствиям (ущербу) трех видов: нарушению его конфиденциальности, целостности, доступности.
Нарушение конфиденциальности - нарушение свойства информации быть известной только определенным субъектам.
Нарушение целостности - несанкционированное изменение, искажение, уничтожение информации.
Нарушение доступности (отказ в обслуживании) - нарушаются доступ к информации, работоспособность объекта, доступ в который получил злоумышленник.
Под угрозой информационной безопасности объекта будем понимать возможные воздействия на него, приводящие к ущербу.
Угрозы могут быть случайными (стихийные бедствия, сбои и отказы в работе оборудования и программного обеспечения) и преднамеренными (шпионаж и диверсии, несанкционированный доступ, электромагнитные излучения и наводки, модификация структур автоматизированной системы обработки информации и вредительские программы).
Атакой на информационный объект называют действие, предпринимаемое злоумышленником, которое заключается в поиске и реализации той или иной угрозы.
Нарушитель - лицо либо группа лиц, предпринявшее попытки выполнения запрещенных операций по ошибке, незнанию или осознанно, со злым умыслом (из корыстных интересов или без таковых, ради игры или удовольствия, с целью самоутверждения) и использующее для этого различные возможности, методы и средства.
Для осуществления угроз информационной безопасности нарушитель может:
-
применять методы социальной инженерии: манипуляцию, НЛП, подкуп, шантаж;
-
применять пассивные аппаратные средства: технические средства перехвата без модификации компонентов системы, например радиозакладки между разъемом для клавиатуры и проводом от нее;
-
использовать только штатные средства и недостатки СЗИ для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные носители информации, которые могут быть скрытно пронесены через посты безопасности;
-
применять методы и средства активного воздействия: модификации и подключения дополнительных технических устройств, подключение к каналам связи, внедрение программных и аппаратных закладок, использование специальных инструментов и технологических программ.
1.3 Классификация методов защиты информации
В соответствии со способом реализации выделяют следующие методы защиты информации:
-
правовые;
-
организационные;
-
технические (программно-технические).
Правовые методы защиты информации заключаются в том, что порядок защиты информационных объектов и ответственность за его нарушение должны регламентироваться правовыми актами. Все правовые документы, регулирующие вопросы информационной безопасности, можно разделить на общегосударственные документы (законы и кодексы, указы Президента РБ, постановления Совета Министров РБ) и ведомственные документы (внутриведомственные и межведомственные).
К правовым мерам по защите информации относятся заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.
Установленные в законах нормы реализуются через комплекс организационных методов. К таким мерам относятся издание подзаконных актов, регулирующих конкретные вопросы по защите информации (положения, инструкции, стандарты и т. д.), и государственное регулирование сферы через систему лицензирования, сертификации, аттестации.
К организационным мерам по защите информации относятся обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.
К техническим (программно-техническим или аппаратно- программным) методам защиты информации относятся различные электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе друг с другом следующие способы защиты:
-
идентификация (распознавание) и аутентификацию (проверка подлинности) субъектов (пользователей, процессов) информационных систем;
-
разграничение доступа к ресурсам информационной системы;
-
контроль целостности данных;
-
реализацию и анализ событий, происходящих в информационной системе;
-
резервирование ресурсов и компонентов информационной системы.
Очевидно, что названные меры только в комплексе могут обеспечить
эффективную защиту информационных объектов. Также важным фактором при подборе мер защиты информации является экономическая целесообразность, т.е. стоимость средств защиты информации не должна быть выше стоимости защищаемой информации.
-
Цели и задачи управления интеллектуальной собственностью.
Цель спецкурса состоит в теоретической и практической подготовке студентов в сфере интеллектуальной собственности, реализации образовательного, научно-технического, организационного потенциала будущих специалистов для успешной интеграции национальной экономики в мировое экономическое пространство.
Управление интеллектуальной собственностью включает:
-
сбор и анализ информации о предмете интеллектуальной деятельности (ИД), формулировка цели и задач для ее достижения;
-
планирование, организация и стимулирование ИД, выработка нового знания о предмете ИД;
-
перевод («превращение») нового знания в информацию путем объективизации идеального результата ИД (получение объекта ИС);
-
защита прав на результаты ИД, выраженные в объекте ИС на основе законодательства об ИС;
-
коммерциализация объекта ИС, инвестирование вырученных средств в разработку нового объекта ИС и т.д.
Необходимо изучить:
-
основы международного права и национального законодательства в сфере интеллектуальной собственности;
-
порядок оформления прав на объекты интеллектуальной собственности в Республике Беларусь и за рубежом;
-
основные виды патентной информации и методику проведения патентных исследований;
-
виды ответственности за нарушение прав правообладателей объектов интеллектуальной собственности и способы защиты этих прав;
-
способы введения объектов интеллектуальной собственности в гражданский оборот;
-
способы и порядок передачи прав на использование объектов интеллектуальной собственности;
-
основы экономики интеллектуальной собственности;
-
основы системы управления интеллектуальной собственностью.
Знать:
-
толкование основных понятий и терминов в сфере интеллектуальной собственности;
-
основные положения международного и национального законодательства об интеллектуальной собственности;
-
порядок оформления и защиты прав на объекты интеллектуальной собственности.
Получить навыки по:
-
проведению патентных исследований (патентно-информационного поиска, в том числе с использованием сети Интернет; оценки патентоспособности технических решений, патентной чистоты и др.);
-
составлению заявок на выдачу охранных документов на объекты промышленной собственности;
-
оформлению договоров на передачу имущественных прав на объекты интеллектуальной собственности;
-
управлению интеллектуальной собственностью в организации.
Полученные знания, умения и навыки по спецкурсу раскроют суть интеллектуальной собственности как инструмента экономического развития и помогут будущим специалистам совершенствовать изобретательскую, рационализаторскую и инновационную деятельность в Республике Беларусь.
Практические задания
Задание 1
Пусть М – хэш-функция от некоторого сообщения m1m2…mn. Сгенерировать ключи открытый К0 и секретный Кс. Сформировать электронную цифровую подпись по алгоритму RSA сообщения m1m2…mn, проверить ее правильность.
Исходные данные: простые числа Р = 7 и Q = 7, сообщение М = 4.
-
Берем два простых числа p и q и вычисляем их произведение:
n = pq = 7*7 = 49
-
Определяем функцию Эйлера от произведения по формуле:
φ(n) = (p-1)*(q-1) = 36
-
Выбираем случайное число К0, которое будет открытым ключом и отвечает следующим условиям:
1<К0≤φ(n) и НОД(К0, φ(n)) = 1
Пусть К0 = 5, тогда:
1<5≤36 и НОД(5, 36) = 1
Выбранный ключ удовлетворяет условие.