Типы криптосистем. Основные методы шифрования и кодирования.
В криптографии используется два типа криптосистем: симметричные и асимметричные. Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для противника. Такие преобразования позволяют решить две главные проблемы защиты данных: проблемы конфиденциальности (путем лишения противника возможности извлечь информацию из канала связи) и проблему целостности (путем лишения противника возможности изменить сообщение так, чтобы изменился его смысл, или ввести ложную информацию в канал связи). Проблемы конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.
Ключ - это конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор только одного варианта из всех возможных для данного алгоритма.
Симметричные алгоритмы представляют собой алгоритмы, в которых ключ шифрования может бать рассчитан по ключу дешифрирования и наоборот. В большинстве симметричных систем ключи шифрования и дешифрирования одни и те же. Эти алгоритмы также называют алгоритмами с секретным ключом или алгоритмами с одним ключом. Для работы такой системы требуется, чтобы отправитель и получатель согласовали используемый ключ перед началом безопасной передачи сообщения (имели защищенный канал для передачи ключа). Безопасность симметричного алгоритма определяется ключом, т.о. раскрытие ключа дает возможность злоумышленнику шифровать и дешифрировать все сообщения.
Асимметричная криптография изначально задумана как средство передачи сообщений от одного объекта к другому (а не для конфиденциального хранения информации, которое обеспечивают только симметричные алгоритмы). Поэтому дальнейшее объяснение мы будем вести в терминах "отправитель" – лицо, шифруюшее, а затем отпраляющее информацию по незащищенному каналу и "получатель" – лицо, принимающее и восстанавливающее информацию в ее исходном виде. Основная идея асимметричных криптоалгоритмов состоит в том, что для шифрования сообщения используется один ключ, а при дешифровании – другой.
Шифрование - это способ ограничения доступа к данным, передаваемым по сети. Шифрование связано с кодированием данных, переводом их в представление, которое может быть прочитано только системами, обладающими «ключом» к схеме кодирования.
Шифрование с открытым ключом - это технология, которая делает шифрование важным механизмом обеспечения безопасности в глобальных сетях - таких как Интернет.
Большинство из нас постоянно используют шифрование, хотя и не всегда знают об этом. Если у вас установлена операционная система Microsoft, то знайте, что Windows хранит о вас (как минимум) следующую секретную информацию:
* пароли для доступа к сетевым ресурсам (домен, принтер, компьютеры в сети и т.п.);
* пароли для доступа в Интернет с помощью DialUр;
* кэш паролей (в браузере есть такая функция -- кэшировать пароли, и Windows сохраняет все когда-либо вводимые вами в Интернете пароли);
* сертификаты для доступа к сетевым ресурсам и зашифрованным данным на самом компьютере.
Кодирование, операция отождествления символов или групп символов одного кода с символами или группами символов другого кода. Необходимость К. возникает прежде всего из потребности приспособить форму сообщения к данному каналу связи или какому-либо другому устройству, предназначенному для преобразования или хранению информации. Так, сообщения представленные в виде последовательности букв, например русского языка, и цифр, с помощью телеграфных кодов преобразуются в определённые комбинации посылок тока. При вводе в вычислительные устройства обычно пользуются преобразованием числовых данных из десятичной системы счисления в двоичную и т.д. (см. Кодирующее устройство).
26 электронная цифровая подпись: понятие и структура. Понятие эл-го сертификата. Модели систем сертификации.
ЭЦП – это параметр электронного документа отвечающие за его достверность.
Эцп – последовательность символов которая генерируется с помощью криптографического преобразования информации.
Основные термины:
· закрытый ключ-информ. длиной 256 бит, хранящаяся в недоступном для других лиц месте.
· Открытый ключ-информ длиной 1024 бита для проверки ЭЦП плученных документов.
· Законодательная база по ЭЦП: 1 закон РФ №63 «Об ЭЦП» от 06.04.2011г; 2 ГК РФ ч.1 ст.160 п.2, ст.434 п.1,2; 3 материалы высшего арбитражного суда РФ.
Использование ЭЦП позволяет: 1 минимизировать риск финансовых потерь за счет повышения конфеден. и информационного обмена документами. 2 значительно сократить время движения документов в процессе оформления отчетов и обмена документацией. 3 возможность использовать одну эцп в электронных торгах при сдаче отчетности в гос.ограны при работе с финн.документами. 4 усовершенствовать процедуру подготовки,доставки,учета,хранения документов, гарантировать достоверность документации. 5 соглашение с основными зарубежными системами удостоверения. 6 построить корпоративную систему обмена документами.
Приобретение ЭЦП. Для юр.лиц:* заявка на получение эцп; * копия паспорта заявителя; *копия устава орг-ции; * копия свидетельства о поставке на налоговый учет *платежное поручение свидетельств-е об оплате.
Для физ.лиц: *заявка; *копия паспорта; * платежное поручение.
Сертификация– это процедура, посредством которой третья сторона документально удостоверяет, что продукция, процесс или услуга соответствуют установленным требованиям.
Система сертификации – совокупность участников сертификации, осуществляющих сертификацию по правилам, установленным в этой системе
ISO — это международная организация по стандартизации (International Organization for Standartization), созданная еще в 1947 году.
ПРОЦЕССНАЯ МОДЕЛЬ СИСТЕМЫ КАЧЕСТВА НА БАЗЕ ARIS
В настоящее время для многих российских предприятий становится актуальным соответствие их деятельности международным стандартам ИСО серии 9000. Системы качества — QM- системы (Quality Management Systems) являются важной составной частью системы управления предприятием.
Реальная QM-система обычно включает 20 элементов, вошедших в МС ИСО 9001 и определяющих основные требования к QM-системе.
МОДЕЛЬ ПРОЦЕДУРЫ СЕРТИФИКАЦИИ ПО МС ИСО СЕРИИ 9000
В процесс проектирования QM-системы необходимо вовлечь каждый отдел и каждого служащего. В зависимости от размера предприятия и применяемых методов управления им на проектирование системы требуется от 6 до 18 месяцев. Основные этапы процедуры сертификации по ИСО серии 9000.
27 особенности защиты инф-и в ПК. Методы защиты….
Персональные компьютеры (ПК) обладают всеми свойствами ЭВМ других классов, поэтому, вообще говоря, все проблемызащиты информации в построенных на их основе системах и подходы к защите аналогичны рассмотренным выше. Однако персональным компьютерам присущ ряд таких свойств, которые, с одной стороны, благоприятствуют защите, а с другой — затрудняют ее и усложняют.Основные цели защиты информации:• обеспечение физической целостности; • обеспечение логической целостности; • предупреждение несанкционированного получения; • предупреждение несанкционированной модификации; • предупреждение несанкционированного копирования. Защита ПК от несанкционированного доступа. Как показывает практика, несанкционированный доступ (НСД) представляет одну из наиболее серьезных угроз для злоумышленного завладения защищаемой информацией в современных АСОД. Как ни покажется странным, но для ПК опасность данной угрозы по сравнению с большими ЭВМ повышается, чему способствуют следующие объективно существующие обстоятельства: 1) подавляющая часть ПК располагается непосредственно в рабочих комнатах специалистов, что создает благоприятные условия для доступа к ним посторонних лиц; 2) многие ПК служат коллективным средством обработки информации, что обезличивает ответственность, в том числе и зазащиту информации; 3) современные ПК оснащены несъемными накопителями на ЖМД очень большой емкости, причем информация на них сохраняется даже в обесточенном состоянии; 4) накопители на ГМД производятся в таком массовом количестве, что уже используются для распространения информации так же, как и бумажные носители;5) первоначально ПК создавались именно как персональное средство автоматизации обработки и Специальное программное обеспечение по защите информации ПК.Для защиты персональных компьютеров используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандартных защитных средств персонального компьютера наибольшее распространение получили: 1,Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя;2,Применение различных методов шифрования, не зависящих от контекста информации; 3, Средства защиты от копирования коммерческих программных продуктов; 4,защита от компьютерных вирусов и создание архивов.5,Средства, использующие парольную идентификацию информации, а потому и не оснащались специально средствами защиты от НСД.
Политика безопасности
В реальной жизни термин "политика безопасности" трактуется гораздо шире, чем в "Оранжевой книге". Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
*формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы;
*формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
*обеспечение базы для соблюдения законов и правил;
*формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к интернету использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
!описание аспекта. *!область применения. *!позиция организации по данному аспекту. *!роли и обязанности *!законопослушность. +!точки контакта. *
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.
При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее.