- •Введение
- •1. Основные понятия информационной безопасности
- •1.1. Проблема информационной безопасности общества
- •1.2. Определение понятия «информационная безопасность»
- •1.3. Составляющие информационной безопасности
- •1.4. Важность и сложность проблемы информационной безопасности
- •1.4.1. Наиболее опасные угрозы информационной безопасности
- •1.4.2. Внутренние угрозы иб
- •1.4.3. Средства защиты
- •1.5. Сценарии реализации угроз информационной безопасности
- •1.5.1. Разглашение конфиденциальной информации
- •1.5.2. Обход средств защиты от разглашения конфиденциальной информации
- •1.5.3. Кража конфиденциальной информации
- •1.5.4. Нарушение авторских прав на информацию
- •1.5.5. Нецелевое использование ресурсов
- •1.6. Традиционный подход к анализу проблем информационной безопасности
- •1.6.1. Актуальность задач компьютерной безопасности
- •1.6.2. Основные понятия информационной безопасности автоматизированных систем обработки информации
- •1.6.3. Основные угрозы безопасности систем обработки информации
- •1.6.4. Понятие несанкционированного доступа
- •2. Система формирования режима информационной безопасности
- •2.1. Задачи информационной безопасности общества
- •2.2. Уровни формирования режима информационной безопасности
- •2.3. Нормативно-правовые основы информационной безопасности
- •2.3.1. Обзор Российского законодательства
- •2.3.2. Обзор зарубежного законодательства в области информационной безопасности
- •3. Стандарты и спецификации информационной безопасности
- •3.1. Требования безопасности к информационным системам
- •3.1.1. Функциональные требования
- •3.1.2. Требования доверия
- •3.2. Стандарты информационной безопасности распределенных систем
- •3.2.1. Сервисы безопасности в вычислительных сетях
- •3.2.2. Механизмы безопасности
- •3.2.3. Администрирование средств безопасности
- •3.3. Стандарты информационной безопасности в рф
- •3.3.1. Гостехкомиссия и ее роль в обеспечении информационной безопасности в рф
- •4. Уровни информационной безопасности
- •4.1. Административный уровень
- •4.1.1. Политика безопасности
- •4.1.2. Программа безопасности
- •4.1.3. Синхронизация программы безопасности с жизненным циклом систем
- •4.1.4. Понятие об управлении рисками
- •4.2. Процедурный уровень
- •4.2.1. Основные классы мер процедурного уровня
- •4.2.2. Управление персоналом
- •4.2.3 Физическая защита
- •4.2.4 Поддержание работоспособности
- •4.2.5 Реагирование на нарушения режима безопасности
- •4.2.6 Планирование восстановительных работ
- •5. Криптографическая защита информации
- •5.1. Основные принципы криптографической зашиты информации
- •5.1.1. Понятие криптографии
- •5.1.2. Понятия о симметричных и асимметричных криптосистемах
- •5.1.3. Понятие криптоанализа
- •5.1.4. Аппаратно-программные криптографические средства защиты информации
- •5.2. Асимметричные криптосистемы
- •5.2.1. Концепция криптосистемы с открытым ключом
- •5.2.2. Однонаправленные функции
- •5.2.3. Криптосистема шифрования данных rsa
- •5.2.4. Аутентификация данных и электронная цифровая подпись
- •5.2.5. Алгоритм цифровой подписи rsa
- •5.3.Симметричные криптосистемы
- •5.3.1. Понятие о симметричной криптосистеме
- •5.3.2 Шифры перестановки
- •Терминатор прибывает седьмого в полночь
- •Тнпве глеар адонр тиеьв омобт мпчир ысооь
- •Пеликан,
- •Гнвеп лтооа дрнев теьио рпотм бчмор соыьи
- •Тюае оогм рлип оьсв
- •5.3.3. Шифры сложной замены
- •5.3.4. Одноразовая система шифрования
- •5.3.5. Шифрование методом гаммирования
- •5.3.6. Стандарт шифрования данных des
- •6. Компьютерные вирусы и защита от них
- •6.1. Вирусы как угроза информационной безопасности
- •6.1.1. Компьютерные вирусы и информационная безопасность
- •6.1.2. Характерные черты компьютерных вирусов
- •6.1.3. Хронология развития компьютерных вирусов
- •6.2. Классификация компьютерных вирусов
- •6.2.1. Классификация компьютерных вирусов по среде обитания
- •6.2.2. Классификация компьютерных вирусов по особенностям алгоритма работы
- •6.2.3. Классификация компьютерных вирусов по деструктивные возможностям
- •6.3.3. Утилиты скрытого администрирования
- •6.3.4. «Intended»-вирусы
- •6.4. Антивирусные программы
- •6.4.1. Особенности работы антивирусных программ
- •6.4.2. Классификация антивирусных программ
- •6.4.3. Факторы, определяющие качество антивирусных программ
- •6.5. Профилактика компьютерных вирусов
- •6.5.1. Характеристика путей проникновения вирусов в компьютеры
- •6.5.2. Правила защиты от компьютерных вирусов
- •6.6. Обнаружение неизвестного вируса
- •6.6.1. Обнаружение загрузочного вируса
- •6.6.2. Обнаружение резидентного вируса
- •6.6.3. Обнаружение макровируса
- •6.6.4. Общий алгоритм обнаружения вируса
- •7. Информационная безопасность вычислительных сетей
- •7.1.2. Специфика средств защиты в компьютерных сетях
- •7.2. Сетевые модели передачи данных
- •7.2.1. Понятие протокола передачи данных
- •7.2.2. Принципы организации обмена данными в вычислительных сетях
- •7.2.3. Транспортный протокол tcp и модель тср/iр
- •7.3. Модель взаимодействия открытых систем osi/iso
- •7.3.1. Сравнение сетевых моделей передачи данных tcp/ip и osi/iso
- •7.3.2. Характеристика уровней модели osi/iso
- •7.4. Адресация в глобальных сетях
- •7.4.1. Основы ip-протокола
- •7.4.2. Классы адресов вычислительных сетей
- •7.4.3. Система доменных имен
- •7.5. Классификация удаленных угроз в вычислительных сетях
- •По характеру воздействия:
- •По цели воздействия:
- •По условию начала осуществления воздействия
- •По наличию обратной связи с атакуемым объектом:
- •По расположению субъекта атаки относительно атакуемого объекта:
- •По уровню модели iso/osi, на котором осуществляется воздействие:
- •7.6. Типовые удаленные атаки и их характеристика
- •7.6.1. Удаленная атака "анализ сетевого трафика"
- •7.6.2. Удаленная атака «подмена доверенного объекта»
- •7.6.3. Удаленная атака «ложный объект»
- •7.6.4. Удаленная атака «отказ в обслуживании»
- •7.7. Причины успешной реализации удаленных угроз в вычислительных сетях
- •7.8. Принципы защиты распределенных вычислительных сетей
- •8. Обеспечение безопасности глобальных компьютерных сетей
- •8.1. Межсетевые экраны (firewall)
- •8.2. Организация и эксплуатация виртуальных частных сетей (vpn)
- •8.2.1. Определение виртуальных частных сетей
- •8.2.2. Пользовательские vpn
- •8.2.3. Узловые vpn
- •8.2.4. Понятие стандартных технологий функционирования vpn
- •8.2.5. Типы систем vpn
- •8.3. Системы предотвращения вторжений (ids)
- •8.3.1. Общие понятия о функционировании ids
- •8.3.2. Узловые ids
- •8.3.3. Сетевые ids
- •8.3.4. Использование ids
- •9. Безопастное взаимодействие в глобальных компьютерных сетях
- •9.1. Аутефекация и управление сертификатами
- •9.1.1. Цифровые подписи
- •9.1.2. Управление ключами и сертификация ключей
- •9.1.3. Концепция доверия в информационной системе
- •9.1.4. Аутентификация с использованием протоколов открытого ключа
- •9.2. Протокол конфиденциального обмена данными ssl
- •9.3. Обеспечение безопасности беспроводных сетей
- •9.3.1. Угрозы безопасности беспроводных соединений
- •9.3.2. Протокол wep
- •9.3.3. Протокол 802.1x - контроль доступа в сеть по портам
- •10. Информационная безопасность в операционных системах windows
- •10.1. Средства управления безопасностью
- •10.1.1. Система управления доступом
- •10.1.2. Пользователи и группы пользователей
- •10.1.3. Объекты. Дескриптор защиты
- •10.2. Основные компоненты системы безопасности
- •10.2.1. Политика безопасности
- •10.2.2. Ролевой доступ. Привилегии
- •11. Безопасность программного обеспечения
- •11.1. Угрозы безопасности по
- •11.2. Разрушающие программные средства
- •11.3. Модель угроз и принципы обеспечения безопасности по
- •11.4. Основные принципы обеспечения безопасности по на различных стадиях его жизненного цикла
- •11.4.1. Обеспечение безопасности при обосновании, планировании работ и проектном анализе по
- •11.4.2. Обеспечение безопасности по в процессе его разработки
- •11.4.3 Обеспечение безопасности по на этапах стендовых и приемо-сдаточных испытаний
- •11.4.4. Обеспечение безопасности при эксплуатации по
- •11.5. Методы и средства анализа безопасности по
- •Заключение
- •Оглавление
- •1. Основные понятия информационной безопасности 5
- •394026 Воронеж, Московский просп., 14
2.3.2. Обзор зарубежного законодательства в области информационной безопасности
Очертим некоторые законы нескольких стран (в первую очередь - США), поскольку только в США таких законодательных актов около 500.
Ключевую роль играет американский «Закон об информационной безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
Характерно, что уже в начале Закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.
В 1997 году появилось продолжение описанного закона - законопроект «О совершенствовании информационной безопасности» (Computer Security Enhancement Act of 1997, H.R. 1903), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.
В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Кроме того, здесь отмечается, что за пределами США имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать при выработке экспортных ограничений, чтобы не снижать конкурентоспособность американских производителей аппаратного и программного обеспечения.
Для защиты федеральных ИС рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.
За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства (в январе 2000 г.). Сформирована инфраструктура с открытыми ключами. Разработано большое число стандартов (например, новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять более внимания на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. Очевидно, что, независимо от судьбы законопроекта, в США будет сформирована национальная инфраструктура электронной аутентификации. В данном случае законотворческая деятельность идет в ногу с прогрессом информационных технологий.
Конечно, в законодательстве США имеются в достаточном количестве и положения ограничительной направленности, и директивы, защищающие интересы таких ведомств, как Министерство обороны, АНБ, ФБР, ЦРУ, но мы не будем на них останавливаться. Желающие могут прочитать раздел «Законодательная база в области защиты информации» в превосходной статье О. Беззубцева и А. Ковалева «О лицензировании и сертификации в области защиты информации» (Jet Info, 1997, 4).
В законодательстве ФРГ выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу. Государственные учреждения, хранящие и обрабатывающие персональные данные, несут ответственность за нарушение тайны частной жизни «субъекта данных», как говорится в Законе. В материальном выражении ответственность ограничена верхним пределом в 250 тысяч немецких марок.
Из законодательства Великобритании упомянем семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. В последующих лекциях мы еще вернемся к рассмотрению этих стандартов; здесь же отметим, что они действительно работают, несмотря на «добровольность» (или благодаря ей?).
В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений «Крик», известный в компьютерном подполье под псевдонимом «El Griton». Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа «двойной криминальности», действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.