Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография и др.

Выделяют два подхода к обеспечению ИБ: фрагментарный - направлен на противодействие четко определенным угрозам в заданных условиях (например, средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.); комплексный - ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам, что позволяет гарантировать определенный уровень безопасности и является несомненным достоинством комплексного подхода.

Для обеспечения ИБ используются следующие методы: законодательные (законы, нормативные акты, стандарты и т.п.); административно-организационные (действия общего характера, предпринимаемые руководством организации, - и конкретные меры безопасности, направленные на работу с людьми); программно-технические.

Эффективным средством повышения надежности защиты данных на основе гарантированной идентификации пользователя являются электронные токены, которые хранят персональные данные пользователя системы. Антивирусная защитадолжна устанавливаться в узлах, на которых информация хранится, обрабатывается и передается в открытом виде. Криптографический алгоритм, или шифр, — это математическая формула, описывающая процессы зашифрования и расшифрования. Для того чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом — словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но с разными ключами будет преобразовываться в разный шифротекст. Защищенность шифротекста целиком зависит от стойкости криптоалгоритма и секретности ключа.

Использование криптосистем с открытым ключом предоставляет возможность создания электронных цифровых подписей (ЭЦП). Электронная цифровая подпись — это реквизит электронного документа, предназначенный для удостоверения источника данных и защиты электронного документа от подделки. Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (в том, кто является автором информации), проверить, была ли информация изменена (искажена), пока находилась в пути.

Цифровой сертификат ключа — это информация, прикрепленная к открытому ключу пользователя и дающая возможность другим установить, является ли ключ подлинным и верным.

Компьютерная стеганография – это сокрытие сообщения или файла в другом сообщении или файле. Например, стеганографы могут спрятать аудио- или видеофайл в другом информационном или даже в большом графическом файле. Процесс стеганографии можно разделить на несколько этапов: 1. Выбор информационного файла. 2. Выбор файла-контейнера. 3. Выбор стеганографической программы.

41. Оценка информационной безопасности ИС: стандарты и классы ИБ, требования к ИБ.

в 1983 г. документ под названием «Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации. В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием «Общие критерии оценки безопасности информационных технологий», который способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содержит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.

- Стандарт ISO 15408 «Общие критерии оценки безопасности информационных технологий» определяет инструменты оценки безопасности ИТ и порядок их использования. В нем определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.

- Задание по безопасности – документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия. В нем может быть заявлено соответствие одному или нескольким профилям защиты.

- Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в целом.

- В данном стандарте представлены две категории требований безопасности: функциональные и требования адекватности (гарантированности) механизмов безопасности.

В соответствии с «Оранжевой книгой», политика безопасности должна включать в себя следующие элементы:

- произвольное управление доступом – метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую он входит, некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту;

- безопасность повторного использования объектов – дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора» (информация из оперативной памяти, дисковых блоков и магнитных носителей в целом);

- метки безопасности состоят из двух частей: уровня секретности – образуют упорядоченное множество, и списка категорий – неупорядоченное;

- принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. После фиксации меток безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

- В «Оранжевой книге» дано определение безопасной системы – это система, которая посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации.

- В ней выделены основные классы защищенности – D, C, B, A.+++++расписать подробно