- •1. Безопасность (согласно закону рф “о безопасности”) – это состояние защищенности жизненно важных интересов личности, общества и государства.
- •В соответствии с гост р исо/мэк 13335-1:
- •2. Средства борьбы с закладками делятся на:
- •Методы защиты речевой информации при передаче её по каналам связи.
- •2. К организационным мероприятиям по защите информации относятся:
- •1. К основным принципам обеспечения информационной безопасности можно отнести:
- •По гост р исо/мэк 13335-1 для создания эффективной программы безопасности итт фундаментальными являются следующие высокоуровневые принципы безопасности:
- •1. Угроза нарушения конфиденциальности, заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней.
- •Основные методы реализации угроз информационной безопасности.
- •2. Система разграничения доступа к информации должна содержать четыре функциональных блока:
- •2. Методы и средства защиты от электромагнитных излучений и наводок: пассивные методы защиты от побочных электромагнитных излучений и наводок (пэмин), активные методы защиты от пэмин.
- •1. Правовое обеспечение иб рф должно базироваться, прежде всего, на соблюдение принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
- •1. Безопасность (согласно закону рф “о безопасности”) – это состояние защищенности жизненно важных интересов личности, общества и государства.
- •В соответствии с гост р исо/мэк 13335-1:
- •1. К основным принципам обеспечения информационной безопасности можно отнести:
- •По гост р исо/мэк 13335-1 для создания эффективной программы безопасности итт фундаментальными являются следующие высокоуровневые принципы безопасности:
- •Основные методы реализации угроз информационной безопасности.
1. Правовое обеспечение иб рф должно базироваться, прежде всего, на соблюдение принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
Соблюдение принципов законодательных требований от федеральных ОГВ и ОГВ субъектов РФ при решении возникающих в информационной сфере конфликтов неукоснительно руководствуются законодательными и иными нормативно-правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципов баланса интересов общества, государства в информационной сфере и предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а так же использование форм общественного контроля деятельности федеральных ОГВ и ОГВ субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающиеся деятельности в информационной сфере, являются важнейшей задачей государства в области ИБ.
Разработка механизмов правого обеспечения ИБ РФ включает в себя мероприятия по информатизации правовой системы в целом. Первоочередные мероприятия по обеспечению государственной политики обеспечения ИБ РФ:
– Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а так же подготовка концепции правового обеспечения ИБ РФ.
– Разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных СМИ, осуществление государственной информационной политики.
– Принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных ОГВ и ОГВ субъектов РФ. Повышение правовой культуры и компьютерной грамотности граждан. Развитие инфраструктуры единого информационного пространства России. Комплексное противодействие угрозам информационной войны. Создание безопасных информационных технологий для систем используемых в процессе реализации жизненно важных функций общества, государства. Пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных ОГВ и ОГВ субъектов РФ. Обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения.
– Развитие систем подготовки кадров, используемых в области ИБ РФ.
– Гармонизация отечественных стандартов в области информатизации и обеспечения ИБ АСУ информационных и телекоммуникационных систем общего и специального назначения.
13 ВОПРОС Билет 13 |
(Анализ и оценивание риска) |
1. Риск согласно ГОСТ Р 51898 – 2002 – это сочетание вероятности нанесения ущерба и тяжести этого ущерба. Ущерб – нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде. Не может быть абсолютной безопасности. Всегда будет оставаться остаточный риск.
Остаточный риск – риск , оставшийся после предпринятых защитных мер. Защитная мера – мера, используемая для уменьшения риска. Безопасность достигают путем снижения уровня риска до допустимого риска. Допустимый риск – риск, который в данной ситуации считают приемлемым при существующих общественных ценностях. Допустимый риск представляет собой оптимальный баланс между безопасностью и требованиями, которым должна удовлетворять продукция, процесс или услуга, а так же такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.
Менеджмент риска согласно ГОСТ Р 51897 – 2002 – это скоординированные действия по руководству и управлению организацией в отношении риска. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска. Коммуникация риска – это обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами. Информация может касаться существования, природы, формы, вероятности, тяжести, приемлемости, мероприятий или других аспектов риска. Оценка риска – это общий процесс анализа риска и оценивания риска. Анализ риска – это систематическое использование информации для выявления опасности и количественной оценки риска. Оценивание риска – это основанная на результатах анализа риска процедура проверки, устанавливающая, не превышен ли допустимый риск. Принятие риска – это решение принять риск. Принятие риска зависит от критериев риска.
14 ВОПРОС Билет 14 |
(Обработка риска) |
1. Обработка риска – это процесс выбора и осуществления мер по модификации риска. Термин «обработка риска» иногда используют для обозначения самих мер. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
Принятие риска – это решение принять риск. Принятие риска зависит от критериев риска. Критерии риска – это правила, по которым оценивают значимость риска. Критерии риска могут включать в себя сопутствующие стоимость и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие затраты на оценку. Предотвращение риска – это решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе результатов оценивания риска. Оптимизация риска – это процесс, связанный с риском, направленный на минимизацию негативных и максимальное использование позитивных последствий и, соответственно, их вероятности. С точки зрения безопасности оптимизация риска направлена на снижение риска. Оптимизация риска зависит от критериев риска с учетом стоимости и законодательных требований. Перенос риска – это разделение с другой стороной бремени потерь или выгод от риска. Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска. Перенос риска может быть осуществлен страхованием или другими соглашениями. Перенос риска может создавать новый риск или модифицировать существующий риск. Перемещение источника не является переносом риска. Сохранение риска – это принятие бремени потерь или выгод от конкретного риска. Сохранение риска не включает в себя обработку риска в результате страхования или перенос риска другими средствами.
Для обработки риска доступны четыре варианта: предотвращение риска, снижение риска, перенос риска и принятие риска. Обычно результатом решения об обработке риска является комбинация из четырех вариантов; если они не являются взаимоисключающими:
- предотвращение риска: рассмотрение способов устранения угрозы или уязвимости или изменения процесса или деятельности таким образом, чтобы угроза к ним больше не была применима.
- перенос риска: перенос риска на третью сторону, которая может взять на себя риск, или через передачу функций поставщикам сетевых решений или услуг.
- снижение риска: применение соответствующих защитных мер для снижения риска в терминах снижения уязвимостей или тяжести возможных последствий.
- принятие риска (объективным образом): принятие решения в отношении всего оставшегося риска.
Варианты обработки риска должны рассматривать:
- как воспринимается риск затрагиваемыми сторонами;
- наиболее уместные способы взаимодействия с этими сторонами.
35 ВОПРОС Билет 14 |
(Криптографические методы защиты информации: основные понятия) |
2. Криптография – это наука, изучающая методы обеспечения конфиденциальности и аутентичности информационных данных.Шифрование - процесс нормального применения криптографического преобразования открытого текста на основе алгоритма и ключа, в результате которого возникает шифрованный текст. Дешифрование - процесс извлечения открытого текста без знания криптографического ключа на основе известного шифрованного. Термин дешифрование обычно применяют по отношению к процессу криптоанализа шифротекста. Расшифрование - процесс нормального применения криптографического преобразования шифрованного текста в открытый. Алфавит – конечное множество знаков, применяемых для шифрования данных. Текст – упорядоченный набор из алфавитных элементов. Ключ – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований. Криптостойкость – способность криптографического алгоритма противостоять возможным атакам на него. Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечению защищенная информация будет уже не актуальна. Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Хеширование – преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения. Хэш-функция – функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам: по данному значению функции сложно вычислить исходные данные, отображенные в это значение; для заданных исходных данных трудно найти другие исходные данные, отображаемые с тем же результатом. Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Данный метод защиты реализуется в виде программ или пакетов программ.
34 ВОПРОС Билет 13 |
(Структура компьютерных вирусов, методы и средства борьбы с вирусами) |
2. Любой вирус независимо от принадлежности к определённым классам должен иметь 3 функциональных блока: блок заражения (распространения); блок маскирования; блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определённому блоку относятся команды программы вируса независимо от места нахождения этих команд в теле вируса. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки, например, осуществляется расшифрование тела вируса, затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий. Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована); восстановление старой даты изменения файла; восстановления атрибутов файла; корректировка таблицы операционной системы и др. Последней командой вируса выполняется переход на выполнение зараженных файлов или на выполнение программ операционной системы.
Согласно ГОСТ Р 51188-98 компьютерный вирус – это программа, способная создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. КВ относится к вредоносным программам.
Существуют 2 основные группы методов обнаружения КВ и защиты программ от них: программные и аппаратно-программные. К программным относятся: сканирование; обнаружение изменений; эвристический анализ; резидентные «сторожи»; вакцинирование программных средств.
Аппаратно-программные методы основаны на реализации любых из указанных выше методов программной защиты с помощью специальных технических устройств.
Сканирование заключается в том, что антивирусная программа последовательно просматривает файлы, в поиске сигнатур известных компьютерных вирусов. Сканирование – это самый простой метод, однако сканеры обнаруживают только уже известные вирусы по определённым ранее контролям суммы сигнатур. Сканеры требуют постоянного обновления базы сигнатур.
Обнаружение изменений заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению, а затем периодически проверяет их. При обнаружении изменений характеристик программа выдаёт сообщение о возможном обнаружении вируса. Антивирусные программы, основанные на обнаружении изменений среды, называются ревизорами. Программы-ревизоры потенциально могут обнаружить даже неизвестные до сих пор вирусы. Ревизоры не помогают и в том случае, если записанный файл уже заражён вирусом.
Эвристический анализ реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков, пытаясь обнаружить в них код, характерный для вирусов, например, код, устанавливающий резидентный модуль в памяти. Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, но принципиально не способен обнаружить все вирусы и выдаёт ложные сигналы при анализе программ с вирусоподобными технологиями.
В методе резидентных «сторожей» используются программы, постоянно находящиеся в оперативной памяти и отслеживающие в операционной системе подозрительные действия других программ, попытки изменения загрузочных секторов или исполняемых файлов. Резидентные «сторожа» имеют очень много недостатков, в частности, реагируют на определённые действия нормальных программ, из-за чего пользователи часто их отключают.
Вакцинирование заключается в присоединении к защищаемой программе специального модуля контроля, следящего за его целостностью. При этом проверяются контрольная сумма и другие характеристики. При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Основными недостатками метода вакцинирования является возможность обхода такой защиты при использовании вирусом стелс-технологии, а также необходимость изменения кода программ, из-за чего некоторые программы работают некорректно или вообще перестают работать.
33 ВОПРОС Билет 12 |
(Классификация компьютерных вирусов) |
2. Все компьютерные вирусы (КВ) могут быть классифицированы по следующим признакам:1) по среде обитания;2) по способу заражения;3) по степени опасности деструктивных воздействий;4) по алгоритму функционирования.
По среде обитания КВ делятся на:1)сетевые;2)файловые;3)загрузочные; 4)комбинированные. Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств.
По способу заражения среды обитания КВ делятся на резидентные и нерезидентные. Резидентные вирусы после их активации полностью или частично перемещаются из среды обитания в оперативную память ЭВМ. Нерезидентные попадают в оперативную память только на время их активности, в течение которого они выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания.
По степени опасности для информационных ресурсов пользователя КВ делят на:1)безвредные;2)опасные;3)очень опасные. Безвредные вирусы обычно не наносят ущерба ресурсам АС. К опасным относятся вирусы, которые вызывают существенное снижение эффективности АС, но не приводят к нарушению целостности и конфиденциальности информации в АС. Очень опасными считаются вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие вред здоровью пользователя.
В соответствии с особенностями алгоритма функционирования вирусы делятся на 2 класса:1)вирусы, не изменяющие среду обитания при распространении; 2)вирусы, не меняющие среду обитания. Первые из них делятся на 2 группы:1)вирусы-спутники;2)вирусы-черви. Вирусы-спутники не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Вирусы-черви попадают в рабочую станцию, как правило, из сети, вычисляют адрес рассылки других компонентов сети. Вирус не изменяет файлы и не записывается в загрузочные секторы.
По сложности степени совершенства и особенностям маскировки алгоритма вирусы, изменяющие среду обитания, делятся на:1)студенческие;2)стелс-вирусы; 3)полиморфные. К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Стелсы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, владеющими навыками работы с машинно-ориентированными системами программирования. Стелсы маскируют своё присутствие в среде обитания путём перехвата обращения операционной системы к пораженным файлам, секторам и переадресуют операционную систему к незараженным участкам информации. Стелсы являются резидентными вирусами. Полиморфные вирусы не имеют постоянных опознавательных групп – сигнатур. Обычные вирусы для распознавания факта заражения среды обитания помещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, т.к. при многократном заражении значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счёт такого преобразования полиморфные вирусы не имеют совпадений кодов.
15 ВОПРОС Билет 15 |
(Случайные угрозы. Дублирование информации) |
1. Угрозы, не связанные с преднамеренными действиями злоумышленников и реализуемые в случайный момент времени, называют случайными или непреднамеренными. При реализации этих угроз может происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность, однако при этом возможно злоумышленное воздействие на информацию. К случайным угрозам относятся: стихийные бедствия или авария; сбои и отказы технических средств; ошибки при загрузке АС ; алгоритмические и программные ошибки; ошибки пользователя и обслуживающего персонала.
Для блокирования случайных угроз в АС должен быть решен комплекс задач: информации; повышение надежности АС; создание отказоустойчивых АС; оптимизация взаимодействия человека и АС; минимизация ущерба от аварий и стихийных бедствий; блокировка ошибочных ситуаций.
Дублирование информации. В зависимости от ценности информации особенности построения и режимы функционирования АС могут использоваться разные методы дублирования, которые классифицируются по различным признакам:
-по времени восстановления информации методы делятся на оперативные и неоперативные. Оперативные позволяют использовать дублирующую информацию в реальном времени. Т.е. переход к использованию дубля происходит за время, которое позволяет выполнить запрос на использование информации в режиме реального времени для заданной АС.
-по используемым для целей дублирования средствам выделяют дополнительные внешние запоминающие устройства (блоки), специально выделенные области памяти на несъемных машинных носителях, съемные носители информации.
-по числу копий методы делятся на одноуровневые и многоуровневые.
По степени пространственной удаленности носителя основной дублирующей информации выделяют методы сосредоточенного дублирования и рассредоточенного дублирования.
В соответствии с процедурой дублирования различают методы полного копирования, зеркального копирования, частичного копирования, комбинированного копирования. При полном копировании дублируются все информационные единицы. При зеркальном, любое изменения основной информации сопровождаются такими же изменениями дублирующей, частичное копирование предполагает создание дублей отдельных файлов. Разновидностью является инкрементное копирование, когда дубли создаются для файлов, измененных со времени последнего копирования. Комбинированное копирование подразумевает комбинации, например, полного и частичного копирования с различной периодичностью их проведения.
По виду дублирующей информации методы делятся на методы со сжатием и методы без сжатия.
Идеология дублирования находит свое отображение в технологии RAID. Устройства реализующие эти технологии называются RAID- массивами. В этой технологии выделяют 6 уровней, с 0-ого по 5-ый. Уровни определяют порядок записи на независимые диски и порядок восстановления информации. Нулевой уровень предполагает поочередное использование дисков для записи файлов, дублирование не используется. На первом используется зеркальное дублирование. На втором биты информации поочередно размещаются на различные диски. Данные размещаются на дисках с дублированием. Начиная с третьего уровня для восстановления информации используется не дублирование, а контрольная информация. Восстановление возможно при отказе первого ого диска. На третьем уровне байты данных поочередно записываются на диски. Контрольная информация записывается на специально выделенный диск. Начиная с четвертого уровня, поочередная запись на диски ведется блоками. На четвертом уровне для записи контрольной информации отводится выделенный диск. Допускается параллельное чтение, но запись только последовательная. На пятом уровне осуществляется поочередная запись на диски как блоков данных, так и контрольной информации. На этом уровне возможно осуществлять одновременно несколько операций чтения или записи.
16 ВОПРОС Билет 16 |
(Повышение надежности АС; создание отказоустойчивых АС; оптимизация взаимодействия человека и АС; минимизация ущерба от аварий и стихийных бедствий; блокировка ошибочных ситуаций) |
1. Надежность АС – это свойство системы выполнять возложенные на неё задачи в определенных условиях эксплуатации. При наступлении отказа АС не может выполнять все предусмотренные документацией задачи, т.е. переходит из исправного состояния в неисправное. Если при наступлении отказа АС способна выполнять заданные функции, сохраняя значение основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. С точки зрения обеспечения ИБ необходимо сохранять хотя бы одно работоспособное состояние АС для этого необходимо обеспечить высокую надежность функционирования программных и аппаратных средств. Надежность АС достигается на этапах разработки, производства и эксплуатации. Для программных средств рассматривают этапы разработки и эксплуатации. Этап разработки программных средств с точки зрения надежности является определяющим. Основными направлениями повышения надежности программно-аппаратных средств на этом этапе являются: конкретная постановка задачи на разработку; использование прогрессивных технологий программирования.
Контроль правильности функционирования. На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки, поддерживается целостность программных средств и актуальность данных. Надежность аппаратных средств обеспечивается на всех этапах. На этапе разработки выбирается элементная база, технологии производства и структурное решение, обеспечивающее максимально достижимую надежность АС в целом. Главными условиями производства надежных аппаратных средств являются: высокий технологический уровень производства; организация эффективного контроля качества выпускаемых аппаратных средств. Создание отказоустойчивых АС. Отказоустойчивость – это свойство АС сохранять работоспособность при отказах отдельных устройств, блоков и узлов. Известны три основных подхода создания отказоустойчивых АС: простое резервирование; помехоустойчивое кодирование информации; создание адаптивных систем. Простое резервирование основано на использовании устройств, блоков и узлов только в качестве резервных, используемых при отказе основных. Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в АС дополняется определенным объемом контрольной информации, наличие которой позволяет путем выполнения определенных действий над контрольной и рабочей информацией, определять ошибки и даже исправлять их дублирование. Наиболее совершенными отказоустойчивыми системами являются адаптивные. В них достигается разумный компромисс между уровнем избыточности, вводимым для обеспечения устойчивости (толерантности) АС к отказам и эффективностью использования таких систем по назначению. В адаптивных системах используется принцип элегантной деградации, предполагающий сохранение работоспособного состояния АС при некотором снижении эффективности функционирования в случае отказов её компонентов. В адаптивных системах при возникновении отказов элементов в результате автоматического контроля работоспособности происходит восстановление информации, отключение отказавшего компонента, изменение связей в режиме работы элементов. Блокировка ошибочных ситуаций. Ошибочные операции могут вызываться отказом программно-аппаратных средств, а так же ошибками пользователя и персонала. Для блокировки ошибочных действий используются технические и программно-аппаратные средства. Технические предотвращают ошибочные действия людей. Это блокировочные тумблеры, защитные экраны и заграждения, средства блокировки записи на магнитный носитель. Аппаратно-программные средства позволяют блокировать вычислительный процесс при нарушении программами адресных пространств в оперативной памяти с помощью граничных регистров или ключей защиты. Они используются также для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций в определенных режимах, для блокировки записи в отдельные области накопителей и т.д. На программном уровне могут устанавливаться атрибуты файлов, может устанавливаться режим обязательного подтверждения опасных операций. Оптимизация взаимодействия пользователей и персонала с АС. Целью оптимизации являются сокращение числа ошибок пользователя, персонала и минимизации их последствий. Для этого необходимы научные организации труда, воспитание и обучение пользователей, персонала, анализ и совершенствование процессов взаимодействия человека с АС. Научная организация труда предполагает: оборудование рабочих мест; оптимальный режим труда и отдыха; дружественный интерфейс человека с АС. Минимизация ущерба от стихийных бедствий для объектов АС может быть достигнута: путем правильного выбора месторасположения объекта; учета возможных аварий и стихийных бедствий при разработке и эксплуатации АС; организацией своевременного оповещения о возможных стихийных бедствиях; обучение персонала борьбе со стихийными бедствиями и авариями методом ликвидации последствий.
17 ВОПРОС Билет 17 |
(Система охраны объекта: инженерные конструкции) |
1. Для защиты объектов АС инженерно-физическими методами должны быть решены следующие задачи: создание системы охраны объекта; противодействие наблюдению; противодействие подслушиванию; защита от злоумышленных действий персонала.
Система охраны объекта (СОО) создается с целью предотвращения несанкционированного проникновения на территорию и помещение объекта посторонних лиц, обслуживающего персонала и пользователей. Состав СОО зависит от объекта. В общем случае СОО должна включать следующие компоненты: инженерные сооружения; охранная сигнализация; средства наблюдения; подсистема доступа на объект; охрана.
Инженерные сооружения служат для создания механических препятствий на пути злоумышленника. Создаются по периметру контролируемой зоны или оборудуются здания и помещения объектов. По периметру контролируемой территории используются: бетонные, кирпичные заборы (1,8 – 2,5м), сеточные конструкции (22м). Для повышения защитных свойств заграждений поверх закрепляется колючая проволока, острые стержни, армированная колючая лента (спирали Ø 500 - 955мм). Для затруднения проникновения используются малозаметные препятствия: металлическая сеть по длине забора (ширина 10м). С помощью инженерных конструкций укрепляют двери и окна зданий и помещений. В настоящее время используются механические, кодовые и электронные замки. На базе электронных замков строится автоматизированная система контроля доступа в помещение. В каждый замок вводятся номера микросхем, владельцы которых допущены в соответствующее помещение. Может задаваться индивидуальный временной интервал доступа. Все замки объединяются в единую систему, которая позволяет фиксировать временные пребывания в помещении и местонахождение сотрудников. Инженерные методы защиты окон включают в себя: установку оконных решеток (диаметр прутьев не менее10мм, расстояние между ними 120мм, глубина заделки в стену 200мм); установку стекол, противодействующих механическому воздействию. Механическая прочность стекол обеспечивается: закаливанием стекол; изготовление многослойных стекол; применение защитных плёнок.
Кроме повышения механической прочности пленки ослабляют электромагнитное излучение в 50 раз, затрудняют ведение визуально-оптической разведки и перехват речевой информации лазерными устройствами. Они отражают 99% ультрафиолетовых лучей и 70% тепловой энергии солнца, издерживают распространение огня при пожарах в течении 40 минут.
38 ВОПРОС Билет 17 |
(Электронно-цифровая подпись.) |
2. Рассмотрим проблему аутентификации данных. В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и так далее. Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь. С широким распространением в современном мире электронных форм документов, в том числе и конфиденциальных, и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.
Электронной подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.
Схема цифровой подписи включает два алгоритма, один – для вычисления, а второй – для проверки подписи. Вычисление подписи может быть выполнено только автором подписи. Алгоритм проверки должен быть общедоступным, чтобы проверить правильность подписи мог каждый.
Для создания схемы цифровой подписи можно использовать симметричные шифрсистемы. В этом случае подписью может служить само зашифрованное на секретном ключе сообщение. Однако основной недостаток таких подписей состоит в том, что они являются одноразовыми: после каждой проверки секретный ключ становится известным. Единственный выход из этой ситуации в рамках использования симметричных шифрсистем - это введение доверенной третьей стороны, выполняющей функции посредника, которому доверяют обе стороны. В этом случае вся информация пересылается через посредника, он осуществляет перешифрование сообщений с ключа одного из абонентов на ключ другого. Естественно, эта схема является крайне неудобной.
Два подхода к построению системы цифровой подписи при использовании шифрсистем с открытым ключом:
1)в преобразовании сообщения в форму, по которой можно восстановить само сообщение и тем самым проверить правильность «подписи». В данном случае подписанное сообщение имеет ту же длину, что и исходное сообщение. Для создания такого «подписанного сообщения» можно, например, произвести зашифрование исходного сообщения на секретном ключе автора подписи. Тогда каждый может проверить правильность подписи путем расшифрования подписанного сообщения на открытом ключе автора подписи;
2)подпись вычисляется и передается вместе с исходным сообщением. Вычисление подписи заключается в преобразовании исходного сообщения в некоторую цифровую комбинацию, которая и является подписью. Алгоритм вычисления подписи должен зависеть от секретного ключа пользователя. Это необходимо для того, чтобы воспользоваться подписью мог бы только владелец ключа. В свою очередь, алгоритм проверки правильности подписи должен быть доступен каждому. Поэтому этот алгоритм зависит от открытого ключа пользователя. В данном случае длина подписи не зависит от длины подписываемого сообщения.
С проблемой цифровой подписи возникла проблема построения бесключевых криптографических хэш-функций. Дело в том, что при вычислении цифровой подписи оказывается более удобным осуществить сначала хэш-функции, то есть свертку текста в некоторую комбинацию фиксированной длины, а затем уже подписывать полученную комбинацию с помощью секретного ключа. При этом функция хэширования, хотя и не зависит от ключа и является открытой, должна быть «криптографической». Имеется в виду свойство односторонности этой функции: по значению комбинации- свертки никто не должен иметь возможность подобрать соответствующее сообщение.
В настоящее время имеются стандарты на криптографические хэш-функции, утверждаемые независимо от стандартов на криптографические алгоритмы и схемы цифровой подписи.
37 ВОПРОС Билет 16 |
(Симметричные криптосистемы) |
2. В этой методологии и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия. Если ключ не был скомпрометирован, то при расшифровке автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Так как отправитель и получатель - единственные люди, которые знают этот симметричный ключ, при компрометации ключа будет скомпрометировано только взаимодействие этих двух пользователей. Проблемой, которая будет актуальна и для других криптосистем, является вопрос о том, как безопасно распространять симметричные (секретные) ключи. Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных. Все многообразие существующих криптографических методов в симметричных криптосистемах можно свести к следующим 4 классам преобразований: подстановка – символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее определенным правилом; перестановка – символы шифруемого текста переставляются по некоторому правилу в пределах заданного блока передаваемого текста; аналитическое преобразование – шифруемый текст преобразуется по некоторому аналитическому правилу, например гаммирование - заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа; комбинированное преобразование – представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку шифруемого текста.
Порядок использования систем с симметричными ключами: 1) безопасно создается, распространяется и сохраняется симметричный секретный ключ; 2) отправитель создает электронную подпись с помощью расчета хэш-функции для текста и присоединения полученной строки к тексту; 3) отправитель использует быстрый симметричный алгоритм шифрования-расшифровки вместе с секретным симметричным ключом к полученному пакету (тексту вместе с присоединенной электронной подписью) для получения зашифрованного текста. Неявно, таким образом, производится аутентификация, так как только отправитель знает симметричный секретный ключ и может зашифровать этот пакет; только получатель знает симметричный секретный ключ и может расшифровать этот пакет; 4) отправитель передает зашифрованный текст. Симметричный секретный ключ никогда не передается по незащищенным каналам связи; 5) получатель использует тот же самый симметричный алгоритм шифрования-расшифровки вместе с тем же самым симметричным ключом (который уже есть у получателя) к зашифрованному тексту для восстановления исходного текста и электронной подписи. Его успешное восстановление аутентифицирует кого-то, кто знает секретный ключ; 6) получатель отделяет электронную подпись от текста; 7) получатель создает другую электронную подпись с помощью расчета хэш-функции для полученного текста; 8) получатель сравнивает две этих электронных подписи для проверки целостности сообщения (отсутствия его искажения);
Доступными сегодня средствами, в которых используется симметричная методология, являются:
- Kerberos, который был разработан для аутентификации доступа к ресурсам в сети, а не для верификации данных. Он использует центральную базу данных, в которой хранятся копии секретных ключей всех пользователей;
- сети банкоматов (ATM BankingNetworks). Эти системы являются оригинальными разработками владеющих ими банков и не продаются. В них также используются симметричные методологии.
36 ВОПРОС Билет 15 |
(Требования к криптосистемам) |
2. Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании. Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:
- зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
- число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
- число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
- знание алгоритма шифрования не должно влиять на надежность защиты;
незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа; структурные элементы алгоритма шифрования должны быть неизменными;
- дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте; длина шифрованного текста должна быть равной длине исходного текста;
- не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
- любой ключ из множества возможных должен обеспечивать надежную защиту информации;
- алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.
18 ВОПРОС Билет 18 |
(Охранная сигнализация) |
1. Охранная сигнализация служит для обнаружения несанкционированных попыток проникновения на охраняемый объект. Системы охранной сигнализации должны удовлетворять следующим требованиям: охват контролируемой зоны по периметру; высокая чувствительность к действиям злоумышленников; надежная работа в любых погодных и временных условиях ;устойчивость к естественным помехам; быстрота и точность определения места нарушения; возможность централизованного контроля событий. Схема: датчики, шлейф, приёмно-контролирующее устройство, оповещатель. Датчик – устройство, формирующее электрический сигнал тревоги при воздействии на него или на созданное им поле внешних сил или объектов. Шлейф – рассредоточенное устройство, преобразующее электрическую цепь для передачи сигнала тревоги от датчика к приемно-контрольному устройству. Приемно-контрольное устройство – предназначено для приема сигналов от датчиков, их обработки и регистрирования, для выдачи сигналов оповещателю. Оповещатель – выдает световые и звуковые сигналы охраннику. По принципу обнаружения нарушителя датчики делятся на: контактные; акустические; оптико-электронные; микроволновые; вибрационные; емкостные; телевизионные. Контактные датчики реагируют на замыкание и размыкание контура, на обрыв тонкой проволоки и полоски фольги. Они бывают: электроконтактными; манитокониактными; удароконтактными; обрывными. Для повышения помехоустойчивости датчиков в них должны быть заложены следующие возможности: регулировка чувствительности; анализ нескольких признаков злоумышленника (размер и динамика предвидения); обучаемость; устойчивость к изменению погодных условий.
19 ВОПРОС Билет 19 |
(Средства наблюдения, управление доступом на объект) |
1. Функция наблюдения за объектом реализуется с помощью функции замкнутого телевидения или телевизионных систем видеоконтроля. Они организуют автоматическое видеонаблюдение за рубежами защиты, контроль за действиями персонала организации, видеозапись действий злоумышленников. В режиме видеоохраны выполняются функции охранной сигнализации. В общем случае система телевизионного видеоконтроля включает в себя: передающие телекамеры, мониторы; устройства обработки и коммутации видеоинформации; устройства регистрации информации. Камеры отличаются разрешающей способностью, длинной фокусного расстояния и требуют определенной освещенности. В качестве устройства обработки и коммутации могут применяться коммутаторы, квадраторы, мультиплексоры, детекторы движения. Коммутаторы поочередно подключают к одному монитору от 4 до 16 телекамер. Квадраторы обеспечивают одновременную выдачу изображения на одном мониторе от нескольких телекамер. Мультиплексор может выполнять функции коммутатора и квадратора, осуществлять запись на видеомагнитофон и включать в себя встроенный детектор движения. Детектор движения оповещает о движении в зоне контроля и подключает камеру на запись. Доступ на объект осуществляется на контрольно-пропускном пункте (КПП), через контролируемые входы в здание и помещение, которые могут оборудоваться средствами автоматического контроля доступа. Одной из основных задач при организации доступа является идентификация и аутентификация лиц, допускаемых на объект. Их называют субъектами доступа. Идентификация – присвоение субъекту доступа идентификаторов и сравнение их с перечнем присвоенных идентификаторов, носители которых считаются допущенными на объект. Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение подлинности. Различаю два способа идентификации людей: атрибутивный и биометрический. Атрибутивный предполагает выдачу субъекту доступа либо уникального предмета, либо пароля, либо предмета, содержащего код. Предметами могут быть пропуски, жетоны или ключи. Попуски и жетоны не позволяют автоматизировать процесс доступа. Идентификация и аутентификация осуществляется человеком-контролером и поэтому носит субъективный характер. Наиболее перспективные идентификаторы представляют собой магнитный носитель, содержащий идентификационный код субъекта доступа. Код в идентификаторе считывается специальным устройством. Пример: пластиковые карты. Пластиковые карты должны отвечать следующим требованиям: сложность несанкционированного считывания кода и изготовления дубля карты; высокие эксплуатационные качества, т.е. надежность функционирования, возможность периодической смены кода, устойчивость к воздействию внешней среды, удобство хранения и использования, длительный срок службы. В зависимости от физических принципов запись, хранение и считывание идентификационной информации карты делиться на: магнитные; инфракрасные; карты оптической памяти; штриховые; полупроводниковые и т.д.
20 ВОПРОС Билет 20 |
(Цели и назначение правовых мер ЗИ. Назначение законов "О гос. тайне", "О комм. тайне", "О перс. дан", "Об ЭЦП", 4 части ГК РФ) |
1. Правовые меры защиты информации направлены на достижение следующих целей: формирование правосознания граждан по обязательному соблюдению правил защиты информации ограниченного доступа. определение меры ответственности за нарушение правил защиты информации. придание юридической силы технико-материальным решениям вопросов организационно-правового обеспечения защиты информации. придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования средств защиты информации. Назначение законодательных мер ЗИ – это предупреждение и сдерживание возможных правонарушителей. Закон РФ «О государственной тайне» регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. ФЗ «О коммерческой тайне» регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну. Федеральным законом "О персональных данных" регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Целью ФЗ «Об электронно-цифровой подписи» является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Часть 4 Гражданского Кодекса РФ законодательно защищает интеллектуальную собственность, в том числе программное обеспечение компьютеров и права авторов и разработчиков программного обеспечения. Программы для ЭВМ и баз данных были отнесены к объектам авторского права. Сформулированы понятия авторских прав разработчиков программ – личные права, исключительное право, право на регистрацию программы, принадлежность и порядок передачи исключительного права на программу для ЭВМ или баз данных. Рассмотрены вопросы защиты прав, в том числе определены формы ответственности за нарушение авторского права.
41 ВОПРОС Билет 20 |
(Защита от закладок при разработке программ, защита от внедрения аппаратных закладок…) |
2. Для разработки программных средств, свободных от ошибок и закладок следует выполнять следующие условия: использование современных технологий программирования; наличие автоматизированной системы обработки; наличие автоматизированных контрольно-испытательных стендов; готовых программ на языках высокого уровня; наличие трансляторов для обнаружения закладок. Защита от внедрения аппаратных закладок на этапе разработки и производства. Аппаратные закладки могут внедряться не только на этапе реализации, но и в процессе серийного производства, транспортировки и хранения аппаратных средств. Для защиты от внедрения аппаратных закладок кроме следования общим принципам защиты, необходимо обеспечить всестороннюю проверку комплектующих изделий, поступающих к разработчику, производителю из вне. В процессе производства основное внимание уделяется автоматизации технических процессов и контролю за соблюдением технологической дисциплины. Этапы разработки, модернизации аппаратных средств завершается контролем на наличие конструктивных ошибок, производственного брака и закладок. Блоки, успешно прошедшие контроль, хранятся и транспортируются таким образом, чтобы исключалось возможное внедрение закладок. Защита от несанкционированного изменения структур АС в процессе эксплуатации. Неизменность структуры АС при эксплуатации обеспечивается за счет предотвращения несанкционированного доступа к аппаратным и программным средствам, а так же организация постоянного контроля над целостностью этих средств. НСД к аппаратным и программным средствам может быть исключен или существенно затруднен при выполнении следующего комплекса мероприятий: охрана помещений, в которых находятся аппаратные средства; СРД к оборудованию; противодействие несанкционированному подключению оборудования; защита внутреннего монтажа, средств управления и коммутации от НСВ; противодействие внедрению КВ. Под доступом к оборудованию понимается предоставление субъекту возможности выполнять разрешенные действия с использованием указанного оборудования. При ограничении доступа к оборудованию пользователей, операторов, администраторов выполняются следующие действия: идентификация и аутентификация субъекта доступа; разблокирование устройства; ведение журнала учета доступа. Для идентификации пользователей чаще всего используются атрибутивные идентификаторы: пароли; съемные носители информации; электронные жетоны; пластиковые карты; механические ключи. При организации парольной защиты необходимо выполнять следующие рекомендации: пароль должен запоминаться субъектом доступа; длина пароля должна исключать его раскрытие подбором; пароли должны периодически меняться. В АС фиксируется момент времени успешного получения доступа и время неудачного ввода пароля. Должно ограничиваться число ввода пароля (неудачного). Информация о попытке подбора пароля должна поставляться оператору безопасности. Пароли должны храниться в АС таким образом, чтобы они были недоступны посторонним лицам, что достигается использованием специального запоминающего устройства, либо криптографическим преобразованием пароля. Символы пароля не должны отображаться на экране. Пароль должен легко запоминаться и в то же время быть сложным для отгадывания. Желательно использование символов различных регистров, чередование букв, цифр, специальных символов, использование парадоксального сочетания слов. При использовании съемного носителя информации в качестве идентификатора, чаще всего, используют съемный диск. Используются электронные жетоны – генераторы случайных кодов (псевдослучайных буквенно-цифровых последовательностей, меняющихся примерно раз в минуту, синхронно со сменой такого же кода в АС). В результате вырабатывается одноразовый код, который годится для использования в определенный промежуток времени и только для однократного входа в систему. Атрибутивные идентификаторы (кроме паролей) могут использоваться только на момент доступа и регистрации или должны быть постоянно подключены к устройству считывания до окончания работы. В качестве идентификатора также используют механические ключи. Механический замок может быть совмещен с блоком подачи питания на устройство. Замком может закрываться крышка, под которой находятся основные органы управления. Доступ к устройствам АС блокируется дистанционно. При организации доступа обслуживающего персонала устройство должно освобождаться от конфиденциальной информации.
40 ВОПРОС Билет 19 |
(Методы защиты от несанкционированного изменения структур автоматизированных систем (АС)) |
2. Несанкционированному изменению структур могут быть подвергнуты алгоритмические, программные и технологические компоненты АС на этапе её разработки и эксплуатации. На стадии эксплуатации особо выделяются работы по модернизации АС, представляющие собой повышенную опасность для безопасности информации. Особенностью от несанкционированного изменения структуры АС являются универсальность методов, позволяющих наряду с умышленными воздействиями выявлять и блокировать непреднамеренные ошибки разработчиков и обслуживающего персонала, а так же сбои и отказы программных и аппаратных средств. Для парирования угроз данного класса на различных этапах жизненного цикла АС решают различные задачи. На стадиях разработки и модернизации основной задачей является исключение ошибок и возможностей внедрения закладок. На стадии эксплуатации выявляются закладки и ошибки, а так же обеспечивается целостность и неизменность структур. Под закладками в данном случае рассматривается несанкционированное изменение структур АС. Разработке программных и аппаратных средств предшествует этап разработки алгоритмов. Ошибки и закладки внесенные и неустраненные на этапе разработки алгоритма переходят в программы и оборудование, если не будут своевременно обнаружены. При разработке алгоритмов программных и аппаратных средств придерживаются следующих основных признаков: привлечение к работе высококвалифицированных специалистов; использование иерархических структур; применение стандартных блоков; дублирование разработки; контроль адекватности; многослойная фильтрация; автоматизация разработки; контроль процесса разработки; сертификация готового продукта. Особые требования предъявляются к квалификации специалистов, занятых разработкой технического задания и алгоритмов, осуществляющих контроль над ходом разработки и привлекаемых с сертификации готовых продуктов. Представление любой системы в виде иерархической блочной структуры позволяет представлять каждый блок в виде черного ящика. Схема «чёрного ящика».Блок осуществляет преобразование вектора х входных воздействий при наличии вектора внешних условий z и с учетом состояния блока Yt. Функциональное преобразование F(x,z,yt) переводит блок в состояние, характеризуемое состоянием, где Yt+1, x Є X, y Є Y, z Є Z. Блочная структура системы позволяет упростить контроль функционирования системы, использует стандартные отлаженные и проверенные блоки, допускает параллельную разработку всех блоков и дублирование разработки. Под дублированием разработки алгоритма, программы или работы устройства понимается независимая, возможная разными организациями разработка одного и того же блока. Сравнение блоков позволяет выявить ошибки и закладки и выявить наиболее эффективный блок. Проверка адекватности функционирования алгоритма, программы или устройства реализуется путем моделирования процессов, использования упрощенных, усеченных алгоритмов решения обратной задачи, если она существует, а так же с помощью тестирования. Тестирование – универсальное средство проверки адекватности и работоспособности блоков. Если число выходных воздействий и внешних условий конечно и может быть задано при испытании блока, то адекватность функции может быть адекватно подтверждена, т.е. в блоке полностью отсутствуют ошибки и закладки. Однако мощность входного множества входных воздействий может достигать теоретически 1070 - 10100, что потребует практически бесконечного времени. В таком случае используют вероятностный подход к выборке входных воздействий, но при этом не гарантируется отсутствие закладок и ошибок. Принцип многослойной фильтрации предполагает поэтапное выявление ошибок и закладок определенного класса. Например, могут использоваться фильтровочные программные средства для выявления возможных «временных», «интервальных», «частотных» и других типов ошибок и закладок. Автоматизация процесса разработки существенно снижает возможность внесения закладок, что объясняется наличием большого числа типовых решений, которые исполнитель изменить не может. Контроль установленного порядка разработки предполагает регулярный контроль над действиями исполнителей, поэтапный контроль алгоритмов, программ и устройств, приемо-сдаточные испытания. Разработка защиты элементов завершается сертификацией готового продукта (в АС аттестацией). Сертификация проводится в специальных лабораториях, оснащенных испытательными стендами, укомплектованных специалистами соответствующей спецификации и имеющих разрешение на такой вид деятельности. В таких лабораториях по определенным условиям осуществляется проверка программных и аппаратных средств на отсутствие закладок, а так же соответствие средств защиты информации их назначению.
39 ВОПРОС Билет 18 |
(Ассиметричные криптосистемы) |
2. Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами информационной системы, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. То есть в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы. Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом. Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщения возможно только с использованием закрытого ключа, который известен только самому адресату.
Порядок использования систем с открытыми или ассиметричными ключами: 1) безопасно создаются и распространяются асимметричные открытые и секретные ключи. Секретный асимметричный ключ передается его владельцу. Открытый асимметричный ключ хранится в базе данных и администрируется центром выдачи сертификатов. Подразумевается, что пользователи должны верить, что в такой системе производится безопасное создание, распределение и администрирование ключами. Более того, если создатель ключей и лицо или система, администрирующие их, не одно и то же, то конечный пользователь должен верить, что создатель ключей на самом деле уничтожил их копию. 2) создается электронная подпись текста с помощью вычисления его хэш-функции. Полученное значение шифруется с использованием асимметричного секретного ключа отправителя, а затем полученная строка символов добавляется к передаваемому тексту; 3) создается секретный симметричный ключ, который будет использоваться для шифрования только этого сообщения или сеанса взаимодействия, затем при помощи симметричного алгоритма шифрования/расшифровки и этого ключа шифруется исходный текст вместе с добавленной к нему электронной подписью – получается зашифрованный текст;4) решается проблема с передачей сеансового ключа получателю сообщения; (отправитель должен иметь асимметричный открытый ключ центра выдачи сертификатов, перехват незашифрованных запросов на получение этого открытого ключа является распространенной формой атаки) 5) отправитель запрашивает у центра выдачи сертификатов асимметричный открытый ключ получателя сообщения. Этот процесс уязвим к атаке, в ходе которой атакующий вмешивается во взаимодействие между отправителем и получателем и может модифицировать трафик, передаваемый между ними. Поэтому открытый асимметричный ключ получателя "подписывается" центром выдачи сертификатов. Это означает, что центр выдачи сертификатов использовал свой асимметричный секретный ключ для шифрования асимметричного открытого ключа получателя; 6) после получения асимметричный открытый ключ получателя расшифровывается с помощью асимметричного открытого ключа и алгоритма асимметричного шифрования/расшифровки. Естественно, предполагается, что он не был скомпрометирован. Если же он оказывается скомпрометированным, то это выводит из строя всю сеть его пользователей;7) теперь шифруется сеансовый ключ с использованием асимметричного алгоритма шифрования-расшифровки и асимметричного ключа получателя;8) зашифрованный сеансовый ключ присоединяется к зашифрованному тексту, который включает в себя также добавленную ранее электронную подпись;9) весь полученный пакет данных передается получателю. Так как зашифрованный сеансовый ключ передается по незащищенной сети, он является очевидным объектом различных атак; 10)получатель выделяет зашифрованный сеансовый ключ из полученного пакета; 11) теперь получателю нужно решить проблему с расшифровкой сеансового ключа; 12) получатель должен иметь асимметричный открытый ключ центра выдачи сертификатов; 13) используя свой секретный асимметричный ключ и тот же самый асимметричный алгоритм шифрования получатель расшифровывает сеансовый ключ. 14) получатель применяет тот же самый симметричный алгоритм шифрования-расшифровки и расшифрованный симметричный ключ к зашифрованному тексту и получает исходный текст вместе с электронной подписью; 15) получатель отделяет электронную подпись от исходного текста;16) получатель запрашивает у центра выдачи сертификатов асимметричный открытый ключ отправителя; 17) как только этот ключ получен, получатель расшифровывает его с помощью открытого ключа и соответствующего асимметричного алгоритма шифрования-расшифровки; 18) затем расшифровывается хэш-функция текста с использованием открытого ключа отправителя и асимметричного алгоритма шифрования-расшифровки; 19) повторно вычисляется хэш-функция полученного исходного текста;20) две эти хэш-функции сравниваются для проверки того, что текст не был изменен.
21 ВОПРОС Билет 21 |
(Назначение и основные положения ФЗ "Об инф., ИТ и о ЗИ") |
1. ФЗ «Об информации, информационных технологиях и о защите информации» регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации.
Он определяет понятия «информация», «информационные технологии», «документированная информация» и т.д. Закон устанавливает принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, и законодательство Российской Федерации об информации, информационных технологиях и о защите информации, информацию как объект правовых отношений. Данный закон определяет права и обязанности обладателя информации, дает правовую трактовку понятий общедоступной информации, государственных информационных систем, устанавливает правовые аспекты регулирования доступа к информации и ограничения доступа к информации, распространения информации или предоставления информации, документирования информации, государственного регулирования в сфере применения информационных технологий, использования информационно-телекоммуникационных сетей, защита информации, вводит норму об ответственности за правонарушения в сфере инф-ии, ИТ и ЗИ. Одним из ключевых понятий данного закона является понятие «обладателя информации». Важными являются также понятия «доступа к информации», определяемое как возможность получения информации и ее использования, и «конфиденциальности информации», определяемой как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Закон устанавливает основы правового режима различных видов информации, путем ограничения доступа к информации, определяя его цели: защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Данный закон определяет защиту информации как принятие правовых, организационных и технических мер, направленных на:1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.
Закон обязывает обладателя информации, оператора информационной системы в случаях, установленных законодательством Российской Федерации, обеспечить: 1)предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2)своевременное обнаружение фактов несанкционированного доступа к информации; 3)предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4)недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5)возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6)постоянный контроль за обеспечением уровня защищенности информации. Нарушение требований данного Федерального закона влечет за собой все виды ответственности.
1 ВОПРОС Билет 22 |
(Виды информации: правовое определение информации; защищаемая информация…) |
1. С правовой точки зрения информация определяется в Федеральном законе “Об информации, информационных технологиях и о защите информации» как сведения (сообщения, данные) независимо от формы их представления. Понятие документированной информации, как зафиксированной на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), а в зависимости от порядка ее предоставления или распространения подразделяется на:
– информацию, свободно распространяемую;
– информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
– информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
– информацию, распространение которой в Российской Федерации ограничивается или запрещается
Защищаемая информация (согласно ГОСТ Р 50922) - это информация, считающаяся предметом собственности и подлежащая защите в соответствии с требованиями собственника информации.
Конфиденциальность – это свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
Доступ к информации - это возможность получения информации и ее использования. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Персональные данные (в соответствии с ФЗ №152-ФЗ от 27.07.06 «О персональных данных») - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Государственная тайна (в соответствии с ФЗ РФ «О государственной тайне») – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–розыскной деятельности, распространение которых может принести ущерб безопасности РФ.
2 ВОПРОС Билет 23 |
(Понятие безопасности согласно Закона РФ «О безопасности» и ГОСТ Р 51898…)
|