Особенности обеспечения информационной безопасности РФ в сфере экономики

Особенности обеспечения информационной безопасности РФ в сфере экономики

Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

· система государственной статистики;

· кредитно-финансовая система;

· информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;

· системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;

· системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются:

· организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

· коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;

· разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

· разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;

· совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;

· совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.

Особенности обеспечения информационной безопасности РФ в сфере внутренней политики

Наиболее важными объектами являются:

- конституционные права и свободы человека и гражданина;

- конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации;

- открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации.

Наибольшую опасность представляют угрозы:

- нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере;

- недостаточное правовое регулирование отношений в области прав различных политических сил на использование средств массовой информации для пропаганды своих идей;

- распространение дезинформации о политике Российской Федерации, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом;

- деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, разжигание социальной, расовой, национальной и религиозной вражды, на распространение этих идей в средствах массовой информации.

Основными мероприятиями в области обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются:

- создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации;

- активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России.

Система защиты информации.

Система защиты информации (СЗИ) это организованная совокупность органов и объектов (компонентов) защиты информации, использование методов и средств защиты, а также осуществление защитных мероприятий.

СЗИ должна удовлетворять следующим требованиям:

- Обеспечивать безопасность информации, информационных технологий и средств информатизации

- Не создавать неудобств, связанных с дополнительными процессами проверки контроля за доступом

- Реализовать различные методы управления:

* административно – директивные(жесткие)

*рекомендательного характера(мягкие)

Основными целями СЗИ являтся предотвращение и нейтрлизация преднамеренных и непреднамеренных угроз ИБ

Структура СЗИ:

1) Органы управления

2) центры безопасности

3) органы сертификации и лицензирования, аттестации и контроля

4) службы безопасности информации

5) центры подготовки кадров

6) научно исследовательские организации

Органы защиты ГТ.

К органам защиты государственной тайны относятся:

- межведомственная комиссия по защите государственной тайны - является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне

- ФОИВ, уполномоченный в области обеспечения безопасности, ФОИВ, уполномоченный в области обороны, ФОИВ, уполномоченный в области внешней разведки, ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации.

- ОГВ, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции.

Порядок допуска к ГТ.

Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо. Проверочные мероприятия осуществляются в соответствии с законодательством Российской Федерации. Целью проведения проверочных мероприятий является выявление оснований, предусмотренных статьей 22 настоящего Закона.

Взаимные обязательства администрации и оформляемого лица отражаются в трудовом договоре (контракте). Заключение трудового договора (контракта) до окончания проверки компетентными органами не допускается.

Устанавливаются три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.

Сроки, обстоятельства и порядок переоформления допуска граждан к государственной тайне устанавливаются нормативными документами, утверждаемыми Правительством Российской Федерации.

Основаниями для отказа должностному лицу или гражданину в допуске к государственной тайне могут являться:

- признание его судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления;

- наличие у него медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому федеральным органом исполнительной власти, уполномоченным в области здравоохранения и социального развития;

- постоянное проживание его самого и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное жительство в другие государства;

- выявление в результате проверочных мероприятий действий оформляемого лица, создающих угрозу безопасности Российской Федерации;

- уклонение его от проверочных мероприятий и (или) сообщение им заведомо ложных анкетных данных.

ОЦЕНКА РИСКОВ

На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.

Существуют различные методики измерения рисков. Чаще всего используются табличные методы.

Если применяются качественные методы, возможные риски нарушения ИБ должны быть ранжированы по степени их опасности с учетом таких факторов, как цена возможных потерь, уровень угрозы и уязвимости.

Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.

Идентификация риска- процесс идентификации рисков, при котором рассматриваются бизнес-цели, угрозы и уязвимость как основа для дальнейшего анализа.

Управление рисками (riskmanagement):

– процесс идентификации, управления, устранения или уменьшения вероятности событий, способных негативно воздействовать на ресурсы системы;

– процесс, включающий идентификацию, управление и устранение или уменьшение вероятности событий, которые могут затрагивать информационные ресурсы системы;

– процесс идентификации, управления и уменьшения рисков безопасности, потенциально имеющих возможность воздействовать на информационную систему, при условии приемлемой стоимости средств защиты;

– процесс идентификации, управления, устранения или уменьшения вероятности событий, которые в состоянии негативно воздействовать на системные ресурсы системы. Этот процесс содержит анализ риска, анализ параметра «стоимость-эффективность», выбор, построение и испытание подсистемы безопасности и исследование всех аспектов безопасности;

– процесс идентификации, управления, устранения или уменьшения потенциального воздействия возможных происшествий. Цель процедуры управления риском состоит в том, чтобы уменьшить риски до уровней, одобренных DAA (DesignatedApprovingAuthority - лицо, уполномоченное выбрать уровни рисков).

 

40. Организационные методы защиты информации.

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойства методов и средств организационной защиты:

● обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

● объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя:

● ограничение физического доступа к объектам КС и реализация режимных мер;

● ограничение возможности перехвата ПЭМИН;

● разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

● резервное копирование наиболее важных с точки зрения утраты массивов документов;

● профилактику заражения компьютерными вирусами

Под инженерно-техническими (физическими) средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства.

Отметим, что при использовании технических средств КС для обработки информации ограниченного доступа необходимо проведение специальных проверок, целью которых является обнаружение и устранение внедренных специальных электронных устройств подслушивания, перехвата информации или вывода технических средств из строя (аппаратных закладок). При проведении таких проверок может потребоваться практически полная их разборка, что иногда может привести к возникновению неисправностей в работе технических средств и дополнительным затратам на их устранение.

 

41. Технические методы защиты информации от утечки по техническим каналам.

Основными формами информации, представляющими интерес с точки зрения защиты, являются:
• документальная; (графический вид, бумажный или электронный вид, магнитные носители)
• акустическая (речевая); (возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения, носитель-акустические колебания)
• телекоммуникационная и т.п. (циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче, носитель- электрический ток, электромагнитные волны)

Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий.
В качестве элементов каналов утечки информации наибольший интерес представляют ТСПИ и ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т.е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков.
Зона, в которой возможны перехват (с помощью разведывательного приемника) побочных электромагнитных излучений и последующая расшифровка содержащейся в них информации (т.е. зона, в пределах которой отношение "информационный сигнал/помеха" превышает допустимое нормированное значение), называется (опасной) зоной 2.
Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1.
Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения. Случайные антенны могут быть сосредоточенными и распределенными.
Сосредоточенная случайная антенна представляет собой компактное техническое средство, например, телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации.
Перехват информации, обрабатываемой на объектах ТСПИ, осуществляется по техническим каналам.
Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимаютспособ получения с помощью ТСР разведывательной информации об объекте. Причем подразведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.

В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата ТСР технические каналы утечки можно разделить на [120]:
электромагнитные, электрические и параметрический - для телекоммуникационной информации;
воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронный и параметрические - для речевой информации.
Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.
К техническим мероприятиям с использованием пассивных средств относятся:
- контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения:
• установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа.
- локализация излучений:
• экранирование ТСПИ и их соединительных линий;
• заземление ТСПИ и экранов их соединительных линий;
• звукоизоляция выделенных помещений.
- развязывание информационных сигналов:
• установка специальных средств защиты типа "Гранит" во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны (см. рис. 1.1);
• установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны (см. рис. 1.2);
• установка автономных или стабилизированных источников электропитания ТСПИ;
• установка устройств гарантированного питания ТСПИ (например, мотор-генераторов);
• установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП (см. рис. 1.3 и 1.4).

К техническим мероприятиям с использованием активных средств относятся:
- пространственное зашумление:
• пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех;
• создание акустических и вибрационных помех с использованием генераторов акустического шума;
• подавление диктофонов в режиме записи с использованием подавителей диктофонов.
- линейное зашумление:
• линейное зашумление линий электропитания (см. рис. 1.9);
• линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны.
- уничтожение закладных устройств:
• уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей "жучков").
Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений.
Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств.

 

 

42. Технические методы защиты информации от несанкционированного доступа

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета NortonUtilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

 

43. Обоснование степени информационной безопасности проектируемых объектов информатизации.

44. Обеспечение информационной безопасности при вводе объектов в эксплуатацию.

45. Специальные проверки технических средств и объектов информатизации.

Специальная проверка - проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

Цель проведения комплексных специальных проверок помещений заключается в пресечении (предотвращении) получения злоумышленником (противником) защищаемой информации из этих помещений с помощью средств несанкционированного съема информации (НСИ). Тем самым предотвращается ущерб, который может быть нанесен собственнику, владельцу, пользователю защищаемой информации в случае использования злоумышленником (противником) этой информации в своих интересах.

С учетом этого основными задачами комплексных специальных проверок помещений можно считать:

· выявление и нейтрализацию внедренных противником средств НСИ; выявление потенциальных технических каналов утечки информации (ТКУИ);

· определение мероприятий, требуемых для закрытия (ликвидации) выявленных потенциальных ТКУИ;

· сбор новых сведений о применении противником средств НСИ и их характеристиках

Комплексные специальные проверки помещений занимают заметное место в общей системе мероприятий по защите информации. Они проводятся: при аттестации помещений; периодически (в соответствии с заранее разработанным планом-графиком); после проведения в помещениях каких-либо работ (ремонта, монтажа оборудования, изменения интерьера и т.д.); неконтролируемого посещения посторонними лицам^; во всех случаях, когда возникает подозрение в утечке информации через возможно внедренные средства НСИ.

Все мероприятия по проведению специальных комплексных проверок условно делятся на три этапа: подготовительный; непосредственного проведения проверки помещений; заключительный.

 

46. Специальные исследования объектов информатизации.

Специальные исследования - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов по защите информации.

При специальных исследованиях проводятся следующие виды работ:

· специальные исследования побочных электромагнитных излучений и наводок;

· дозиметрический контроль с помощью стационарного рентгенографического оборудования;

· специальные исследования линий электропередач;

· специальные исследования акустических и виброакустических каналов.

 

47. Выбор и оптимизация требуемых средств защиты информации на объектах.

 

48. Контроль за обеспечением безопасной эксплуатации объектов информатизации.

 

49. Аттестация объектов информатизации.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш.Гостехкомиссия России).

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

· государственная тайна;

· при защите государственного информационного ресурса;

· управление экологически опасными объектами;

· ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

· защита от НСД, в том числе компьютерных вирусов;

· защита от утечки через ПЭМИН;

· защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемомобъекте информатизации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

 

50. Идентификация пользователя. Аутендефикация пользователя.

Идентификация и аутентификации применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).

Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

Наличие процедур аутентификации и/или идентификации пользователей является обязательным условием любой защищенной системы, поскольку все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами информационных систем.

Преграждающие контукции.

Устанавливаются на двери:

· Электрозащёлки — наименее защищены от взлома, поэтому их обычно устанавливают на внутренние двери (внутриофисные и т. п.) Электрозащёлки, как и другие типы замков, бывают открываемые напряжением (то есть дверь открывается при подаче напряжения питания на замок), и закрываемые напряжением (открываются, как только с них снимается напряжение питания, поэтому рекомендованы для использования пожарной инспекцией).

· Электромагнитные замки — практически все запираются напряжением, то есть пригодны для установки на путях эвакуации при пожаре.

· Электромеханические замки — достаточно устойчивы ко взлому (если замок прочный механически), многие имеют механический перевзвод (это значит, что если на замок подали открывающий импульс, он будет разблокирован до тех пор, пока дверь не откроют).

Устанавливаются на проходах/проездах:

Турникет-трипод поясной со считывателем системы контроля доступа

· Турникеты — используются на проходных предприятий, общественно значимых объектах (стадионы, вокзалы, метро) — везде, где требуется организовать контролируемый проход большого количества людей. Турникеты делятся на два основных типа: поясные и полноростовые. Если рядом с турникетом нет быстро открывающегося свободного прохода (на случай пожара), поясной турникет должен быть оборудован т. н. планками «антипаника» — планками, переламывающимися усилием нормального человека (требование пожарной инспекции).

· Шлюзовые кабины — используются в банках, на режимных объектах (на предприятиях с повышенными требованиями к безопасности).

· Ворота и шлагбаумы — в основном, устанавливаются на въездах на территорию предприятия, на автомобильных парковках и автостоянках, на въездах на придомовую территорию, во дворы жилых зданий. Основное требование — устойчивость к климатическим условиям и возможность автоматизированного управления (при помощи системы контроля доступа). Когда речь идёт об организации контроля доступа проезда, к системе предъявляются дополнительные требования — повышенная дальность считывания меток, распознавание автомобильных номеров (в случае интеграции с системой видеонаблюдения).

 

52. Симметричные криптосистемы шифрования. Асимметричные криптосистемы шифрования.

Классические криптографические методы делятся на два основных типа:симметричные (шифрование секретным ключом) и асимметричные (шифрование открытым ключом).

В симметричных методах для шифрования и расшифровывания используется один и тот же секретный ключ. Наиболее известным стандартом на симметричное шифрование с закрытым ключом является стандарт для обработки информации в государственных учреждениях США DES (DataEncryptionStandard).

Основной недостаток этого метода заключается в том, что ключ должен быть известен и отправителю, и получателю. Это существенно усложняет процедуру назначения и распределения ключей между пользователями. Указанный недостаток послужил причиной разработки методов шифрования с открытым ключом – асимметричных методов.

Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифрования. Один ключ является закрытым и известным только получателю. Его используют для расшифрования. Второй из ключей является открытым, т. е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования.

В настоящее время наиболее известным и надежным является асимметричный алгоритм RSA (Rivest, Shamir, Adleman).

Для контроля целостности передаваемых по сетям данных используется электронная цифровая подпись, которая реализуется по методу шифрования с открытым ключом.

 

53. Электронная цифровая подпись.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т. е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной.

При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш, защищающая послание от нелегального изменения. Электронная подпись здесь гарантирует как целостность сообщения, так и удостоверяет личность отправителя.

 

54. Управление криптоключами.

Управление криптоключами

У. Диффи и М. Хеллман изобрели метод открытого распределения ключей в 1976 г. Этот метод позволяет пользователям обмениваться ключами по незащищенным каналам связи. Его безопасность обусловлена трудностью вычисления дискретных логарифмов в конечном поле, в отличие от легкости решения прямой задачи дискретного возведения в степень в том же конечном поле.

Суть метода Диффи — Хеллмана заключается в следующем (рис. 5.9).

Рис. 5.9. Метод Диффи — Хеллмана

Пользователи A и В, участвующие в обмене информации, генерируют независимо друг от друга свои случайные секретные ключи к_А и к_в (ключи к_А и к_в — случайные большие целые числа, которые хранятся пользователями А и В в секрете).

Затем пользователь А вычисляет на основании своего секретного ключа к_А открытый ключ K_A= g^k* (mod N), одновременно пользователь В вычисляет на основании своего секретного ключа к_в открытый ключ K_B= g^k* (mod N), где N и g — большие целые простые числа. Арифметические действия выполняются с приведением по модулю N. Числа N и g могут не храниться в секрете. Как правило, эти значения являются общими для всех пользователей сети или системы.

Затем пользователи A и В обмениваются своими открытыми ключами К_А и К_в по незащищенному каналу и используют их для вычисления общего сессионного ключа А’ (разделяемого секрета).

Таким образом, результатом этих действий оказывается общий сессионный ключ, который является функцией обоих секретных ключей к_А и к_в.

Злоумышленник, перехвативший значени