- •3.1. Методы защиты информации. Их достоинства и недостатки. Примеры применения различных методов защиты информации.
- •3.2. Поточные шрифты. Требования к гамме. Проблема генерации ключевой последовательности.
- •9.1. Вредноносные программы и способы защиты от них.
- •9.2 Криптографические методы защиты информации. Определение шифра. Виды шифров. Принцип Кергофса.
- •10.1 Классификация мер защиты автоматизированной системы обработки информации. Понятие политики безопасности.
- •10.2. Математические модели шифров. Расстояние единственности. Совершенные по Шеннону шифры.
- •11.1 Этапы жизненного цикла системы безопасности автоматизированной системы обработки информации.
- •11.2. Требования к шифрам.
- •12.1. Принципы построения системы безопасности автоматизированной системы обработки информации.
- •12.2. Криптоанализ шифра простой замены.
- •15.1. Административно-организационные меры защиты информации, их роль и место в построении системы защиты информации.
- •15.2. Виды криптоаналитических атак.
- •16.1. Преднамеренные и непреднамеренные (случайные) угрозы безопасности автоматизированной системы обработки информации.
- •16.2. Криптоанализ шифра вертикальной перестановки.
- •17.1. Основные методы нарушения конфиденциальности и целостности информации и работоспособности системы. Понятие ценности информации.
- •17.2. Метод протяжки вероятного слова.
- •18.1 Программно-технические методы защиты информации.
- •18.2. Требования к шифрам.
- •19.1 Применение паролей для защиты информации. Правила составления паролей.
- •19.2. Однонаправленные функции и их применение в криптографических системах с открытым ключом.
12.1. Принципы построения системы безопасности автоматизированной системы обработки информации.
В основу проектирования и функционирования систем безопасности автоматизированной системы обработки информации должны быть положены следующие основные принципы:
принцип законности - заключается в соответствии принимаемых мер законодательству о защите информации, а при отсутствии соответствующих законов - другим государственным нормативным документом по ее защите;
принцип комплексности - с позиций предотвращения разноплановых угроз и используемых методов. Имеется ввиду полнота защиты по соответствующему методу и по перечню угроз, а также взаимовлияние методов и средств защиты;
принцип минимальной достаточности состоит в использовании набора средств, обеспечивающих выполнение комплекса установленных требований по защите информации при заданной степени риска ее нарушения. Необходима увязка функционирования различных средств защиты по месту и времени, хранения и преобразования информации;
принцип обоснованности. Под названным принципом подразумевается наличие достаточных доказательств актуальности выдвинутых требований или оценка риска нарушения защиты информации;
принцип тактической организации защиты - предусматривает:
необходимость упреждающих действий в виде методов предотвращения, а не ограничения последствий (исключение метода "первой атаки");
саморегулируемость сложности защиты, состоящая в ее структурированности, позволяющей использовать более простые методы для оперативного контроля и наращивания ресурсов при возникновении угрозы для ее максимального отражения;
автотестируемость, предусматривающая осуществление контроля правильности функционирования системы защиты;
возможность самообучения, подразумевая ее адаптацию;
степень моделируемости ситуаций, то есть система защиты должна строится по технологии исскусственного интелекта (база знаний, машина вывода, подсистема советчик);
принцип непрерывности состояний во времени и пространстве, предполагающий невозможность функционирования объекта при исключении защиты (необходимость резервирования систем защиты).
рассмотренным принципам, следует добавить принцип восстановления нормальной работы, предполагающий обеспечение восстановление нормальной работы АИС в случае реализации угрозы.
12.2. Криптоанализ шифра простой замены.
1) Вычисляется наиболее повторяющийся элемент шифротекста.
2) Ищется повторения одинаковых символов.
3) В соответствии с частотой встречи символов, они заменяются на наиболее часто встречающиеся буквы алфавита в литературном тексте.
5) делается проверка на сочетаемость букв, стоящих рядом.
4) Вычисляются элементы текста, такие как ТЧК и ЗПТ.
15.1. Административно-организационные меры защиты информации, их роль и место в построении системы защиты информации.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня ‑ сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой является политика безопасности, отражающая подход организации к защите своих информационных активов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности.
Термин "политика безопасности" ‑ от английского словосочетания "security policy". Имеются в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, политические решения, принимаемые на самом высоком уровне.
Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (трактовка гораздо шире, чем набор правил разграничения доступа ‑ именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).
Политика безопасности
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализацииВерхний уровень ‑ решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Например:
решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. Слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.
Программа безопасности
Программу безопасности составляют и реализуют после того, как сформируется политика безопасности.
Программу нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего (центрального), который охватывает всю организацию, и нижнего (служебного), который относится к отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Главные цели:
управление рисками (оценка рисков, выбор эффективных средств защиты);
координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
стратегическое планирование;
контроль деятельности в области информационной безопасности.
Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисовРешается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Ответственные, обычно, администраторы сервисов.