Классификация автоматизированных систем (АС)по уровню защищенности от

несанкционированного доступа (НСД)

Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса -3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся наносителях различного уровня конфиденциальности.

Группа содержит два класса -2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов -1Д, 1Г, 1В, 1Б и 1А

4. Законодательный уровень защиты информации.

Назаконодательномуровнеразличаютдвегруппымер:

Ограничительные меры - меры, направленные на создание и поддержание в обществе негативного отношения кнарушенияминарушителяминформационнойбезопасностиНаправляющиеикоординирующиемеры, способствующие повышению образованности общества в областиинформационнойбезопасности,помогающиевразработкеираспространении средств обеспечения информационной безопасности.

ФЗ "О государственной тайне"В этом законе нашли выражение интересы государства в планеобеспечения конфиденциальности информации. В нем гостайна определена как защищаемые государством сведения в области еговоенной, внешнеполитической, экономической,разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых можетнанести ущерб безопасности Российской Федерации. Даетсяопределение средств защиты информации. Согласно данномуЗакону, это технические, криптографические, программные идругие средства, предназначенные для защиты сведений,составляющих государственную тайну; средства, в которых ониреализованы, а также средства контроля эффективности защитыинформации.

ФЗ "Об информации,информационных технологиях и озащите информации"В законе даются основные определения, намечаютсянаправления, в которых должно развиватьсязаконодательство в данной области, регулируютсяотношения, возникающие при:

• осуществлении права на поиск, получение, передачу,производство и распространение информации;

• применении информационных технологий;

• обеспечении защиты информации.

ФЗ "Об участии в международноминформационном обмене"Статья 9.2. Защита конфиденциальной информации государством распространяетсятолько на ту деятельность по международному информационномуобмену, которую осуществляют физические и юридические лица,обладающие лицензией на работу с конфиденциальной информацией ииспользующие сертифицированные средства международногоинформационного обмена.

3. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновенияошибочных команд, а также команд, вызванных несанкционированнымидействиями обслуживающего персонала или иных лиц, либо ложнойинформацией собственник или владелец этих средств долженсвоевременно сообщить об этом в органы контроляза осуществлениеммеждународного информационного обмена и собственнику иливладельцу взаимодействующих средств международногоинформационного обмена, в противном случае он несет ответственностьза причиненный ущерб.

5. Стеганография. Области применения. Примеры использования.

Стеганографический способ–открытый канал связи, сокрытие факта передачи информацииКомпьютерная стеганография -скрытие информации в текстовых, графических или видеофайлах с использованием специальных программ.

Области применения:

- защита от копирования – электронная коммерция, контроль за копированием DVD, распространение мультимедийной информации.
- скрытая аннотация документов – медицинские снимки, картография, мультимедийные базы данных.

- Аутентификация – системы видеонаблюдения, электронная коммерция, голосовая почта, электронное конфиденциальное делопроизводство.

- Скрытая связь – Военные и разведывательные приложения, применение в тех случаях, когда криптографию использовать нельзя.

Примеры использования

VoIP(англ.VoiceoverIP; IP-телефония)Использование для передачи секретных сообщений незадействованных битов протоколов UDP и RTP, и тот и другой находят применение в технологиях VoIP.

Cокрытие данных внутри каждого пакета, несущего полезную нагрузку. Но делается все таким образом, чтобы это не сказывалось на качестве связиВставка в поток VoIP дополнительных, намеренно искаженных пакетов. Они отбрасываются принимающим телефоном, но могут обрабатываться другими сетевыми устройствами, имеющими доступ ко всему потоку VoIP. В качестве одного из вариантов здесь можно использовать изменение порядка размещения пакетов, в результате чего принимающее устройство будет отбрасывать те из них, которые нарушают последовательность.

6. Криптология. Определение и составные части криптологии. Основные понятия криптографии. Основные характеристики шифра. Предположения криптоанализа. Принцип Керхгоффа. Понятие протокола. Понятие устойчивого шифра. Исторические шифры (шифры Цезаря, Вижинера, Вернама, Характеристика шифра Вернама. Криптоанализ подстановочного шифра.

Криптология-наука, состоящая из двух ветвей: криптографии и криптоанализа.

Криптография–наука о построении отображений информации, используемых с целью ее защиты. Такие отображения называются криптографическимиКриптоанализ–наука о методах анализа криптографических отображений информации с целью раскрытия защищаемой информацииКонфиденциальность –свойство информации, позволяющее при передаче, обработке и хранении скрыть ее смысловое содержание и сделать его доступным только авторизованным (т.е. подтвердившим сво право на доступ) пользователям (процессам, объектам или субъектам).

Аутентичность –свойство информации быть целостной и подлинной. Например, при передаче информации в некоторый пункт прима аутентичность информация будет аутентичной в том случае, если она пришла такой же, какой передавалась (и от того же автора).

X – открытый текст

Шифр - семейство Екобратимых криптографических отображений информации. С каждым отображением шифра связано значение к некоторого параметра,называемого ключом.

Ключ - сменный элемент шифра, который применяется дляшифрования конкретного сообщения.

Y – шифротекст

Y= Ek(X)

Моноалфавитная подстановка – семейство отображений множества открытых текстов в алфавите Xвмножество шифрованных текстов

Принцип КерхгоффаЗашифрованная информация должна быть в безопасности даже в том случае, если вражескому дешифровщику в точности известенприменяемый алгоритм.

В XIX веке голландский криптолог Август Керкхофф выдвинул принцип, гласящий, что В хорошем шифре безопасность информации должна достигаться сокрытием не алгоритма, а использованного при зашифровке ключа, который гораздо труднее разгадать.

Предположения криптоанализа.

При анализе шифра предполагается, что Противник знает сам шифр и имеет возможности для его предварительного изучения.

Шифрограмма известна ( противник контролирует канал связи)

Противник также знает некоторые характеристики открытых текстов, например, язык сообщения, некоторые стандарты, форматы и т.д.

Таким образом, предполагается, что аналитику известна

шифрограмма, известен шифр, и неизвестен ключ шифра.

Протокол–порядок действий с использованием криптоалгоритма для решения криптографической задачи.