Основы информационной безопасности

 

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

МОСКОВСКИЙ  ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ЭКОНОМИКИ,

СТАТИСТИКИ  И ИНФОРМАТИКИ (МЭСИ)

 

РЯЗАНСКИЙ ФИЛИАЛ

 

 

 

 

 

 

 

 

 

Контрольная работа

 

По дисциплине: «Основы информационной безопасности»

На тему:1.Информационная безопасность в условиях функцио-

                    нирования в России глобальных  сетей.

                2.Методы криптографии.

                3.Основные нормативные руководящие  документы, ка-

                   сающиеся государственной тайны,  нормативно-справоч-

                   ные документы.

                4.Основные технологии построения  защищенных ЭИС.

Вариант 3.

 

 

 

 

 

 

Выполнила

студентка 3 курса заочной формы обучения

группы ЗНФ-001

Ковылина  Н. С.

 

 

 

Проверила

Федосова  О.А.

 

 

 

Рязань 2013

Содержание:

Введение.

1.Информационная безопасность в условиях функционирования

   в России глобальных сетей.

2.Методы криптографии.

3.Основные нормативные руководящие документы, касающиеся  

   государственной тайны, нормативно-справочные документы.

4.Основные технологии  построения защищенных ЭИС.

Заключение.

Список литературы.

Стр.

3

5

 

7

10

 

13

16

18


 

 

Введение

 

Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

 

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.

 

  1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
  2. Целостность: неизменность информации в процессе её передачи или хранения.
  3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

 

Информационная безопасность (англ. information security)  — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, под-отчётности, аутентичности и достоверности информации или средств её обработки.

 

Безопасность информации (данных) определяется отсутствием недопустимого  риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями  на данные и (или) на другие ресурсы  автоматизированной информационной системы, используемые в автоматизированной системе.

 

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

 

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. 

Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

 

 

 

 

1.Информационная безопасность  в условиях функционирования  в России глобальных сетей.

 

Главной целью создания сети Интернет было обеспечение функциональности при  выходе из строя одного или нескольких ее узлов, цель в общем состояла в  обеспечение безопасности. Однако, исходно сеть создавалась как  незащищенная открытая система, предназначенная  для информационного общения  все возрастающего числа пользователей. При этом подключение новых пользователей  должно было быть максимально простым, а доступ к информации - наиболее удобным. Все это явно противоречит принципам создания защищенной системы, безопасность которой должна быть описана  на всех стадиях ее создания и эксплуатации, а пользователи - наделены четкими  полномочиями.

 

Internet создавался  как незащищенная система, не  предназначенная для хранения  и обработки конфиденциальной  информации. Следовательно, протоколы  используемые в этой сети также  не обеспечивают должного контроля  безопасности и целостности информационных  ресурсов.

На мой  взгляд, в Сети не должна находиться информация, раскрытие которой приведет к серьезным последствиям. Наоборот, в Сети необходимо размещать информацию, распространение которой желательно ее владельцу. При этом всегда необходимо учитывать тот факт, что в любой  момент эта информация может быть перехвачена, искажена или может  стать недоступной. Следовательно  особое внимание должно быть уделено  информационной безопасности в условиях функционирования глобальных сетей. В  России данная проблема особенно актуальна, так как в нашей стране не развита  соответствующим образом ни законодательная, ни программная, ни аппаратная база.

 

По оценке экспертов самым привлекательным  сектором российской экономики для  преступников является кредитно-финансовая система. При совершении преступных деяний наметились определённые тенденции:

 

1. Большинство  компьютерных преступлений в  России и за рубежом 

совершаются путём несанкционированного доступа  к банковским базам данных посредством  телекоммуникационных сетей, чаще всего  с использованием возможностей, которые  предоставляет сеть Internet.

 

2. Абсолютное  большинство преступлений совершается  преступными группировками, состоящими  из "хакерской бригады" и  охранной команды, со специально  подготовленного плацдарма (отдельной  квартиры, офиса и т.п.). Для успешной  атаки очень часто привлекаются  служащие атакуемого учреждения (подкуп, шантаж и т.д.)

 

Уникальное  положение сети Internet, которая не принадлежит одному владельцу, позволяет  использовать её возможности в различных  криминальных направлениях:

 

1.Сеть Internet используется в качестве среды  для преступной деятельности, в  основном для обмена информацией  и налаживания контактов.

 

2.Служит  информационной средой, в которой  осуществляется глобальное информационно-психологическое  воздействие.

 

3.Является  инструментом для совершения  преступлений. Наиболее распространённые  правонарушения:

 

a)Проникновение  в кредитно-финансовую систему,  с целью доступа к конфиденциальной  информации (получение данных, их  изменение или уничтожение).

b)Хищения  электронной наличности.

c)Нарушение  авторских прав.

d)Нелегальное  получение товаров и услуг  (например, бесплатные телефонные  разговоры).

e)Мошенническая  деятельность (финансовые пирамиды, фиктивные фирмы и т.п.).

f)Нарушение  законов, связанных с ограничением  азартных игр.

Для России особенно характерен "синдром Робин  Гуда" – хакеры представляются благородными борцами с душегубами-банкирами. Так как в России пока ещё очень  слабо развито законодательство, регулирующее отношения в информационной среде, то часто целью очередной  атаки банковской системы является не непосредственная перекачка денег, а просто громкая рекламная компания своих способностей с целью получения высокооплачиваемой работы после небольшого или даже условного срока.

 

2.Методы криптографии.

 

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

 

Изначально криптография изучала  методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секрет-ного алгоритма и/или ключа в шифрованный текст (шифротекст). Тради-ционная криптография образует раздел симметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

 

Криптография не занимается: защитой  от обмана, подкупа или шантажа  законных абонентов, кражи ключей и  других угроз информации, возникающих в защищенных системах передачи данных.

 

Криптографические методы наиболее часто подразделяются в зависимости от количества ключей, используемых в соответствующих криптоалгоритмах (см. рис. 1):

1. Бесключевые, в которых не  используются какие-либо ключи.

2. Одноключевые - в них используется  некий дополнительный ключевой  параметр - обычно это секретный  ключ.

3. Двухключевые, использующие в  своих вычислениях два ключа:  секретный и открытый.

 

Рис. 1. Классификация криптографических  методов.

 

Обзор криптографических  методов.

Прежде чем говорить о шифровании давайте обсудим  и остальные криптографические методы:

 

1.Электронная подпись используется для подтверждения целостности и авторства данных. Целостность данных означает, что данные не были случайно или преднамеренно изменены при их хранении или передаче. 
Алгоритмы электронной подписи используют два вида ключей:

  • секретный ключ используется для вычисления электронной подписи;
  • открытый ключ используется для ее проверки.

 

При использовании криптографически сильного алгоритма электрон-ной подписи и при грамотном хранении и использовании секретного ключа (то есть при невозможности использования ключа никем, кроме его вла-дельца) никто другой не в состоянии вычислить верную электронную под-пись какого-либо электронного документа.

 

2.Аутентификация позволяет проверить, что пользователь (или уда-ленный компьютер) действительно является тем, за кого он себя выдает. Простейшей схемой аутентификации является парольная - в качестве секретного элемента в ней используется пароль, который предъявляется пользователем при его проверке. Такая схема является слабой, если для ее усиления не применяются специальные административно-технические меры.

 

3. Методы криптографического  контрольного суммирования:

  • ключевое и бесключевое хэширование;
  • вычисление имитоприставок;
  • использование кодов аутентификации сообщений.

 

Фактически, все эти методы различным  образом из данных произволь-ного размера с использованием секретного ключа или без него (бесключе-вое хэширование) вычисляют некую контрольную сумму фиксированного размера, однозначно соответствующую исходным данным. 

4. Генераторы случайных  и псевдослучайных чисел позволяют создавать последовательности случайных чисел, которые широко используются в криптографии, в частности:

  • случайные числа необходимы для генерации секретных ключей, которые, в идеале, должны быть абсолютно случайными;
  • случайные числа применяются во многих алгоритмах электронной подписи;
  • случайные числа используются во многих схемах аутентификации.

 

Не всегда возможно получение абсолютно  случайных чисел - для этого необходимо наличие качественных аппаратных генераторов. Однако, на основе алгоритмов симметричного  шифрования можно построить качественные генераторы псевдослучайных чисел. Криптографические генераторы псевдослучайных  чисел обычно используют большой  пул (seed-значение), содержащий случайную  информацию. Биты генерируется путем  выборки из пула с возможным прогоном через криптографическую хэш-функцию, чтобы спрятать содержимое пула от внешнего наблюдателя. Когда требуется  новая порция бит, пул перемешивается путем шифровки со случайным ключом (его можно взять из неиспользованной пока части пула) так, чтобы каждый бит пула зависел от каждого другого  бита. Новый шум окружения должен добавляться к пулу перед перемешиваниям, дабы сделать предсказание новых  значений пула еще более сложным.

 

3.Основные нормативные  руководящие документы, касающиеся  государственной тайны, нормативно-справочные  документы.

 

Общепризнанным является факт возрастания  роли информационной безопасности в  общей системе национальной безопасности. При этом под информационной безопасностью понимается "состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства".

 

В последнее время Концепция  национальной безопасности РФ, изло-женная в Указе Президента РФ от 17.12.97г. №1300, претерпела значитель-ные изменения. Указом Президента РФ № 24 от 10.01.2000г. "О  концепции национальной безопасности РФ" в нее были внесены поправки и дополнения.

 

Как известно, эффективное функционирование любой организацион-ной и организационно-технической  системы, в том числе информационной среды, обеспечивается комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Такими регуляторами являются нормы права, которые обеспечивают относительную стабильность системы и ее развитие. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права. В то же время одно государство не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну.

 

Информационное законодательство - это совокупность норм права, регулирующих общественные отношения в информационной сфере.

 

Предметом правового регулирования  в информационной сфере являются:

  • создание и распространение информации;
  • формирование информационных ресурсов;
  • реализация права на поиск, получение, передачу и потребление информации;
  • создание и применение информационных систем и технологий;
  • создание и применение средств информационной безопасности.

 

Формирование законодательства в  области информационного права  в России началось, в основном, со времени появления "Концепции  правовой информатизации России", утвержденной Указом Президента РФ от 28.06.93г. №966. В  основе информационного законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом - разрешено). Это закреплено в основных международных правовых документах, например, в ст. 3 Всеобщей декларация прав человека от 10.12.48г. и в ст. 29 Конституции РФ, принятой 12.12.93г. В целях реализации этих прав и свобод принимаемые законодательные акты устанавливают гарантии, обязанности, механизмы защиты и ответственность.

 

В настоящее время в стране действуют  следующие нормативные акты, регулирующие отношения в информационной сфере.

- Конституция РФ.

- Федеральные законы:

- Гражданский кодекс РФ;

- Уголовный кодекс РФ;

- Уголовно-процессуальный кодекс  РФ;

- Кодекс РСФСР об административных  правонарушениях;

- Закон "Об информации, информатизации  и защите информации" и др. (всего  около 80 законов);

- Указы и Распоряжения Президента  РФ;

- Постановления Правительства  РФ;

- другие подзаконные акты: местные, ведомственные и внутриоргани-зационные.

 

Совокупность вышеперечисленных  документов составляет правовую базу, обеспечивающую нормативное регулирование  процессов информационного обмена, в том числе и защиту информации.

 

Выделяют 4 уровня правового обеспечения информационной безопасности.

Первый  уровень образуют международные  договоры, к которым присоединилась Российская Федерация, и федеральные  законы России:

  • международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
  • Конституция РФ (ст. 23, право на тайну переписки);
  • Гражданский кодекс РФ (ст. 139, возмещение убытков от утечек);
  • Уголовный кодекс РФ (ст. 272-274, неправомерный доступ, распростра-нение вирусов, нарушение правил эксплуатации);
  • Федеральный закон "Об информации, информатизации и защите информации" (ст. 10, категории доступа, ст. 21, порядок защиты информации);
  • Федеральный закон "О государственной тайне" (ст. 5, перечень сведений, ст. 8, степени секретно, ст. 20, органы защиты, ст. 28, порядок сертификации средств защиты).
  • Федеральные законы "О лицензировании отдельных видов деятельности", "О связи", "Об электронной цифровой подписи", "Об авторском праве и смежных правах", "О правовой охране программ для электронных вычислительных машин и баз данных".

 

Второй  уровень составляют подзаконные  акты, к которым относятся указы  Президента РФ, постановления Правительства  РФ, письма Высшего Арбитражного Суда РФ, постановления пленумов Верховного Суда РФ.

 

Третий  уровень составляют государственные  стандарты (ГОСТы) в области защиты информации (ГОСТ Р 50922-96 "Защита информации. Основ-ные термины и определения", ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические  требования", ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"), руководящие документы (руководящие документы Государственной техничес-кой комиссии при Президенте РФ), нормы, методики и классификаторы, разра-ботанные соответствующими органами.

 

Четвёртый уровень образуют локальные нормативные  акты, положения, инструкции, методические рекомендации и другие документы  по комплексной защите информации в  информационных системах конкретной организации (список сведений, составляющих коммерческую тайну предприятия и т.п.).

 

4.Основные технологии  построения защищенных ЭИС (экономических информационных систем).

 

Весь  процесс организации и разработки ЭИС представляется следующими этапами:

1. Предпроектный  анализ:

  • исследуется информационные множества объекта автоматизации и представляется документооборот, формы, макеты документов, оригинальная схема данных;
  • изучается перечень работ (функций) исследуемого объекта, результаты представляются деревом функций с последующей их формализацией;
  • разрабатывается техническое задание (ТЗ): то есть определяется что нужно автоматизировать, описывается информация на входе и выходе и дается общая постановка задачи;
  • технико-экономическое обоснование (ТЭО) по необходимости разработки ЭИС.

 

2. Разработка  технического проекта ЭИС, который  задается в виде схемы работы  ЭИС, описывающей технологический  процесс. Каждый шаг технологического  процесса связан с внутримашинной  обработкой данных и с использованием  внутреннемашинной технологии по  реализации задач ЭИС.

 

3. Разработка  внутримашинной технологии обработки  данных (ВТОД) и внутреннего информационного  обеспечения (ВИО). ВТОД представляется  в виде:

  • схемы взаимодействия модулей;
  • схемы работы каждого модуля и схемы ресурсов модулей.

 

ВИО:

  • описание ИО (форм документов входных, выходных, нормативных и их макетов);
  • описание баз данных (БД), нормативно-справочной информации, оперативной информации, макетов хранения информации на

машинных  носителях.

4. Рабочий  проект. Построение алгоритмов и  программ, реализующих задачи ЭИС.  Если режим эксплуатации ЭИС  - диалоговый, а режим работы ЭИС  - децентрализованный, то разрабатывается  схема сценария диалога и программы  ведения диалога ЭИС.

 

5. Отладка,  внедрение и написание инструкции  по использованию ЭИС.

 

Основные  прагматические принципы построения ЭИС:

 

1.Подсистемность. Полученное ЭИС должно представлять собой единое целое, иметь управляющее устройство, которое устанавливает связи между

пятью уровнями (управление, информция, время, функции, деятельность).

 

2.Комплексность. При разработке и внедрении ЭИС соблюдается поэтапность по внедрению с последующей координацией.

 

3.Принцип новых задач. ЭИС должна позволять автоматизацию новых задач на объекте. Т.е. выполняется принцип развития связей с принципом разомкнутости системы.

 

4.Типовость. Разработка и внедрение предварительно апробированных подобных решений. Используются типовые проектные решения.

 

5.Принцип первого руководителя, т.е. отношение руководителя к разработке ЭИС.

 

6.Принцип подготовленности персонала.

 

При проектировании любой системы и, в частности, ЭИС должны соблюдаться два основных системных принципа: анализ и синтез.

 

Анализ - это процесс разбиения исследуемого объекта на составные части (на подсистемы и элементы) по внешним характеристическим

признакам. При этом должны соблюдаться следующие  концепции анализа:

  • концепция пары. Каждый вычлененный элемент исследуемого объекта характеризуется парой вида (вх. информация, вых. информация);
  • концепция функциональной полноты. Каждому элементу ставится в соответствие функция. Тогда множество функций объекта должно обладать свойствами полноты, непротиворечивости и однозначности;
  • концепция надежности элементов и системы в целом.

 

Синтез - это процесс создания единой функциональной единицы из самостоятельно определяющих ее частей. Основные концепции синтеза:

  • концепция координации - входящие в систему (объект) элементы должны совмещаться между собой по времени, по передаваемой информации, по управлению, по деятельности;
  • концепция качества переходных процессов - до тех пор, пока в Si-ой подсистеме или в некотором ei элементе не получен результат, не будет выполняться прием новых входных данных; 
  • концепция автономности - каждый ei элемент Si подсистемы представ-ляет собой самостоятельную единицу по обработке конкретной информа-ции и может быть вычленен из системы (объекта), проверен, отлажен, оттестирован и работать самостоятельно;
  • концепция устойчивости - каждый элемент или подсистема должны быть качественны, то есть, надежны или помехоустойчивы, помехозащищены).

 

Таким образом, в традиционно-фундаментальном аспекте  процесс построения ЭИС как системы  связан с анализом и синтезом предметной области или экономического объекта, что составляет сущность процесса проектирования ЭИС. 

 

Процесс проектирования - это процесс создания схемы объекта по описанию его структуры, информационного пространства, и состоит из трех этапов:

1.этап  концептуализации - связан с обследованием  будущего объекта;

2.этап  формализации связан со способом  представления информационно-функциональных  схем проекта;

3. этап оптимизации схем и функций.

 

Заключение:

 

Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:

  • высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
  • вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
  • повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;
  • отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
  • концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
  • наличием интенсивного обмена информацией между участниками этого процесса;
  • количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
  • обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
  • дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);
  • многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
  • ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;
  • развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).
Основы информационной безопасности