Вопросы к экзамену

1. Четыре уровня защиты информации.

четыре уровня:

- законодательный: законы, нормативные акты, стандарты и т. п.;

- административный: действия общего характера, предпринимаемые руководством организации;

- процедурный: конкретные меры безопасности, имеющие дело с людьми;

- программно-технический: конкретные технические меры.

2. Свойства информации. Классификация угроз информации.

Безопасность информации – такое состояние всех компонент компьютерной системы (КС), при котором обеспечивается защита информации от возможных угроз на требуемом уровне.

Угроза безопасности информации – потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.

Свойства информации:

• Целостность – состоит в том, что информация не может быть модифицирована неавторизованным пользователем или процессом.

• Конфиденциальность – состоит в том, что информация не может быть получена неавторизованным пользователем или процессом.

• Доступность – состоит в том, что обладающий соответствующими полномочиями пользователь или процесс может использовать информацию в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного времени.

Политика безопасности информации – совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.

По цели воздействия различают три основных типа угроз:

• Угрозы нарушения конфиденциальности информации – направлены на разглашение конфиденциальной или секретной информации. Имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в КС или передаваемой от одной системы к другой;

• Угрозы нарушения целостности информации – направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Эта угроза актуальна для систем передачи информации – компьютерных сетей и систем телекоммуникаций;

• Угрозы нарушения работоспособности системы (отказы в обслуживании) – направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность КС, либо блокируют доступ к некоторым ее ресурсам.

Опасные воздействия на КС делятся на случайные и преднамеренные.

Случайные угрозы не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени:

• Стихийные бедствия и аварии

• Сбои и отказы технических средств

• Ошибки при разработке КС

• Алгоритмические и программные ошибки

• Ошибки пользователей и обслуживающего персонала

Преднамеренные угрозы (класс постоянно пополняется):

• Шпионаж и диверсии. Подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов систем защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации, поджоги и взрывы.

• Несанкционированный доступ к информации. Доступ к информации, осуществляемый с нарушением правил разграничения доступа (с использованием штатных средств, вычислительной техники и программ).

• Э/м излучения и наводки. Процесс передачи и обработки информации техническими средствами КС сопровождается э/м излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземления и других проводниках. С помощью специального оборудования эти сигналы принимаются, выделяются, усиливаются и могут либо записываться в запоминающее устройство, либо просматриваться.

• Несанкционированная модификация структур (НМС) КС. Может осуществляться на любом жизненном цикле КС. На этапах разработки и модернизации НМС – это закладка, они внедряются в специализированную КС, предназначенную для эксплуатации в какой-либо фирме или госучереждении. Программные и аппаратные закладки для неконтролируемого входа в систему, использование привилегированных режимов работы, обходы средств защиты называются «глюки».

Вредительские программы. «Логические бомбы» – активизируются при некоторых событиях, постоянно сидят в системе. «Черви» – выполняются при загрузке программы (каждый раз), обладают способностью перемещаться в ВС и самовоспроизводиться. Лавинообразное размножение программ приводит к перезагрузке системы. «Троянские кони» – программы, полученные путем явного изменения или добавления команд в пользовательские программы. При запуске пользовательских программ выполняются несанкционированные функции наряду с заданными. «Вирусы» – небольшие программы, которые после внедрения самостоятельно распространяются путем создания своих копий. Им присущи все свойства вредительских программ.

3. Случайные угрозы информации. (см. выше)

4. Преднамеренные угрозы информации. (см. выше)

5. Юридическая защита информации.

Юридические меры защиты информации представляют собой совокупность законов, позволяющих применить судебные санкции к лицам или группе лиц, осуществляющих незаконное распространение юридически защищенных программ.

Патентная форма защиты информации основана на конституции США и Федеральном законе и позволяет защищать идеи, алгоритмы и т. п. Согласно законам о патентах производители ПО получают на определенный период времени исключительную лицензию в обмен на нее патентодержатели в своих патентных заявках должны полностью раскрыть все подробности и детали своих изобретений. По истечении периода исключительности любой человек может использовать запатентованные сведения без получения лицензии. Недостатки патентной системы: непроизводительные затраты времени, с которыми встречается разработчик программ, длительное время оформления патента, большие расходы на получение патента, возможность несанкционированного распространения патентной заявки.

Защита авторских прав на ПО обеспечивается федеральным законодательством об авторских правах.

Авторское право защищает выражение идеи, но не саму идею. Авторское право не зависит от какого-либо правительственного акта; оно автоматически приобретается благодаря авторству.

Однако практическое применение закона об авторских правах на ПО связано с трудностями доказательства в суде присвоения авторства кодов программ.

Наиболее популярным в США видом защиты ПО является защита секретов производства. В отличие от патентной защиты и закона авторских прав защиту производственных секретов производитель ПО может осуществлять без их раскрытия. Это достигается заключением лицензионных соглашений между покупателем и продавцом ПО, по которым покупатель лицензии обязуется не раскрывать секретов производства разработчика ПО третьим лицам.

Для того чтобы повысить эффективность применения юридических мер защиты, предлагается применять комбинированные методы: защита патентов и авторских прав, авторских прав и производственных секретов, патентов и производственных секретов.

(коротко о законе – перевод Рута&Плай)

ЗАКОН УКРАИНЫ О защите информации в автоматизированных системах (/г. Киев, 5 июля 1994 года N 80/94-ВР. Вводится в действие Постановлением ВР N 81/94-ВР от 05.07.94/)

Целью этого Закона есть установления основ регулирования правовых отношений относительно защиты информации в автоматизированных системах при условии соблюдения права собственности граждан Украины и юридических лиц на информацию и права доступа к ней, права собственника информации на ее защиту, а также установленного действующим законодательством ограничения на доступ к информации.

Действие Закона распространяется на любую информацию, которая обрабатывается в автоматизированных системах (АСС).

Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ. (Статья 1. Определения терминов. Статья 2. Объекты защиты. Статья 3. Субъекты отношений. Статья 4. Право собственности на информацию во время ее обработки. Статья 5. Гарантия юридической защиты. Статья 6. Доступ к информации)

Раздел 2. ОТНОШЕНИЯ МЕЖДУ СУБЪЕКТАМИ В ПРОЦЕССЕ ОБРАБОТКИ ИНФОРМАЦИИ В АСС. (Статья 7. Отношения между собственником информации и собственником АСС. Статья 8. Отношения между собственником информации и пользователем. Статья 9. Отношения между собственником АСС и пользователем АСС.)

Раздел 3. ОБЩИЕ ТРЕБОВАНИЯ ОТНОСИТЕЛЬНО ЗАЩИТЫ ИНФОРМАЦИИ. (Статья 10. Обеспечения защиты информации в АСС. Статья 11. Установления требований и правил относительно защиты Информации. Статья 12. Условия обработки информации.)

Раздел 4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АСС. (Статья 13. Политика в области защиты информации. Статья 14. Государственное управление защитой информации в АСС. Статья 15. Службы защиты информации в АСС. Статья 16. Финансирование работ.)

Раздел 5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНА О ЗАЩИТЕ ИНФОРМАЦИИ. (Статья 17. Ответственность за нарушение порядка. Статья 18. Возмещения вреда.)

Раздел 6. МЕЖДУНАРОДНАЯ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ В АСС. (Статья 19. Взаимодействие в вопросах защиты информации в АСС. Статья 20. Обеспечения информационных прав Украины.)

ЗАКОН УКРАИНЫ Об информации

Этот Закон закрепляет право граждан Украины на информацию, закладывает правовые основы информационной деятельности.

Опираясь на Декларации о государственном суверенитете Украины (55-12) и Акте провозглашения ее независимости, Закон утверждает информационный суверенитет Украины и определяет правовые формы международного сотрудничества в области информации.

ЗАКОН УКРАИНЫ О государственной тайне

Исходя из информационного суверенитета Украины и общепризнанных принципов международного обычая в сфере информации этот Закон регулирует общественные отношения, связанные с отнесением информации к государственной тайне, ее засекречиванием и охраной с целью защиты жизненно важных интересов Украины в сфере обороны, экономики, внешних отношений, государственной безопасности и охраны правопорядка.

6. Криптографическая защита информации. История криптографии. Шифр Цезаря. Полибианский квадрат.

Криптография – наука о методах преобразования (шифрования) информации с целью ее защиты от злоумышленников.

Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.

В качестве информации, подлежащей шифрованию и дешифрованию, будут рассматриваться тексты, построенные на некотором алфавите. Под этими терминами понимается следующее.

Алфавит – конечное множество используемых для кодирования информации знаков.

Текст – упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ИС можно привести следующие:

- алфавит Z₃₃ – 32 буквы русского алфавита и пробел;

- алфавит Z₂₅₆ – символы, входящие в стандартные коды ASCII и КОИ-8;

- бинарный алфавит – Z₂ = {0,1};

- восьмеричный алфавит или шестнадцатеричный алфавит;

Шифрование – преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом.

Дешифрование – обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный.

Ключ – информация, необходимая для беспрепятственного шифрования и дешифрования текстов.

Криптографическая система представляет собой семейство T преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом k; параметр k является ключом. Пространство ключей K – это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита.

Криптосистемы разделяются на симметричные и асимметричные (с открытым ключом).

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. В асимметричных системах (с открытым ключом) используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых:

- количество всех возможных ключей;

- среднее время, необходимое для криптоанализа.

Преобразование T_k определяется соответствующим алгоритмом и значением параметра k. Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра.

Требования к криптосистемам

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

- зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

- число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;

- число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);

- знание алгоритма шифрования не должно влиять на надежность защиты;

- незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;

- структурные элементы алгоритма шифрования должны быть неизменными;

- дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;

- длина шифрованного текста должна быть равной длине исходного текста;

- не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;

- любой ключ из множества возможных должен обеспечивать надежную защиту информации;

- алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

Шифр Цезаря, также известный как шифр сдвига, код Цезаря или сдвиг Цезаря — один из самых простых и наиболее широко известных методов шифрования.

Шифр Цезаря — это вид шифра подстановки, в котором каждый символ в открытом тексте заменяется буквой находящейся на некоторое постоянное число позиций левее или правее него в алфавите. Например, в шифре со сдвигом 3, А была бы заменена на Г, Б станет Д, и так далее.

Шифр назван в честь римского императора Гая Юлия Цезаря, использовавшего его для секретной переписки со своими генералами.

Шаг шифрования, выполняемый шифром Цезаря, часто включается как часть более сложных схем, таких как шифр Виженера, и все еще имеет современное приложение в системе ROT13. Как и все моноалфавитные шифры, шифр Цезаря легко взламывается и не имеет практически никакого применения на практике.

Несмотря на то, что квадрат изначально создавался для кодирования с его помощью можно успешно шифровать. Для того, чтобы зашифровать текст квадратом Полибия нужно сделать несколько шагов: