Добавлен: 18.06.2023
Просмотров: 62
Скачиваний: 3
Примеры противодействия похожим угрозам:
· постановка и проведение научных исследований, получение методик исследования программного обеспечения и выявления закладных устройств;
· развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;
· минимизацию числа иностранных фирм - поставщиков;
· координацию действий при проверке надежности указанных фирм;
· уменьшению поставляемого оборудования;
· установлению приоритета использования отечественных средств защиты.
Мероприятиями по реализации государственной политики информационной безопасности Российской Федерации являются:
· разработка и внедрение правовых норм, которые регулируют отношения в информационной сфере и подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
· разработка механизмов повышения эффективности государственного руководства деятельностью средств массовой информации, осуществления государственной информационной политики;
· принятие и реализация федеральных программ, которые предусматривают формирование общедоступных архивов ресурсов информации федеральных органов государственной власти, а так же органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий, используемых в реализации жизненно важных функций общества и государства, противодействие компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
· развитие подготовки кадров, использующихся в области обеспечения информационной безопасности.
Существует система обеспечения информационной безопасности Российской Федерации, предназначение которой в реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
· разработка нормативной правовой базы в области информационной безопасности;
· создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной среде;
· поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и ограничениями на распространение различного рода информации;
· оценка состояния информационной безопасности Российской Федерации, выявление слабых сторон, определение приоритетных направлений предотвращения и отражения этих угроз;
· предупреждение, выявление и пресечение правонарушений и посягательства на законные интересы граждан, общества и государства в информационной сфере, осуществление судопроизводства по делам о преступлениях в этой области;
· проведение единой технической политики в области информационной безопасности Российской Федерации;
· организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности;
· защита государственных информационных ресурсов на предприятиях оборонного комплекса;
· обеспечение контроля за созданием и использованием средств защиты информации средствами обязательного лицензирования деятельности в сфере средств защиты информации;
· осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, контролирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, определяются отдельными нормативными правовыми актами Российской Федерации.
Государственная техническая комиссия при Президенте Российской Федерации была образована 5 января 1992 года с целью реализации государственной политики, организации межведомственной координации и взаимодействия, специальных и контролирующих функций в области государственной безопасности.
В соответствии с Указом Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» вместо существовавшей Государственной технической комиссии при Президенте Российской Федерации была создана Федеральная служба по техническому и экспортному контролю Российской Федерации.
С 20 мая 2005 года служба стала называться Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Руководящие документы Гостехкомиссии Российской Федерации обеспечивают основу нормативной базы в области защиты от несанкционированного подключения к источникам информации в Российской Федерации.
Требования для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности, выражены в руководящих документах Гостехкомиссии РФ. Для большей продуктивности все процессы руководства управления и обеспечения информационной безопасности должны быть взаимосвязаны между собой (Рисунок 1).
Рисунок 1. Взаимосвязь процессов руководства и обеспечения информационной безопасности
Показатели защищенности от несанкционированного доступа к информации устанавливает классификацию средств вычислительной техники по уровню защищенности на базе перечня показателей защищенности и совокупности описывающих их требований ( Приложение В). ФСТЭК России устанавливает семь классов защищенности от незаконного доступа к информации. Самый низкий класс седьмой, самый высокий - первый. Все классы подразделяются на четыре группы, которые отличаются уровнем защиты:
Первая группа содержит лишь один седьмой класс, в который входят все средства вычислительной техники, не удовлетворяющие требованиям более высоких классов;
Вторая группа выделяется дискреционной защитой, содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой, в нее входят четвертый, третий и второй классы;
Четвертая группа отличается верифицированной защитой и содержит только первый класс.
Классификация автоматизированных систем и требования по защите информации устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа и требования по защите информации в системах различных классов. Определяющими признаками, по которым производится группировка автоматизированных систем в различные классы, являются:
· наличие в системе информации различного уровня конфиденциальности;
· уровень полномочий субъектов на доступ к конфиденциальной информации;
· режим обработки данных в АС: коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации, каждый из которых характеризуется определенной минимальной совокупностью требований к защите. Эти классы подразделяются на три группы, отличием которых, является особенность обработки информации в системе. В каждой группе соблюдается иерархия требований к защите в зависимости от ценности и конфиденциальности информации, а значит иерархия классов защищенности АС.
Каждый показатель защищенности представляет собой набор требований безопасности, который характеризует определенную область функционирования межсетевого экрана. Всего выделяется пять показателей защищенности:
· Управление доступом;
· Идентификация и аутентификация;
· Регистрация событий и оповещение;
· Контроль целостности;
· Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности межсетевого экрана:
· Простейшие маршрутизаторы - 5 класс;
· Пакетные фильтры сетевого уровня - 4 класс;
· Простейшие МЭ прикладного уровня - 3 класс;
· МЭ базового уровня - 2 класс;
· Продвинутые МЭ - 1 класс.
Главными стандартами РФ в области информационной безопасности являются:
· Гост 28147-89 – блочный шифр с 256-битным ключом;
· Гост Р 34.11-94 – хэширование информации;
· Гост Р 34.10-94 –алгоритм цифровой подписи.
Глава 2. Выработка стратегии защиты информации
2.1. Применение стеганографии в информационной безопасности
Стеганография- это такая наука о скрытой передаче информации, в основе которого лежит сохранение в тайне самого факта передачи.
В отличие от криптографии, которая скрывает содержимое секретного сообщения, стеганография скрывает сам факт его существования. Как правило, сообщение будет выглядеть как что-то другое: изображение, статья, список покупок или письмо. Стеганография обычно используется совместно с методами криптографии, тем самым, дополняя её.
Способы скрытия секретных сообщений известны с давних времен. Слово стеганография происходит от таких греческих слов: steganos (секрет, тайна) и graphy (запись) и буквально означает «тайнопись». Компьютерные технологии дали новую сферу развития и совершенствования стеганографии. Появилась новая сфера в области защиты информации- компьютерная стеганография (КС).
В компьютерной стеганографии существует два типа файлов: сообщение и файл, которые предназначены для скрытия, и «контейнер» - файл, который используется для скрытия в нем сообщения (Рисунок 2).
Рисунок 2. Реализация принципа стеганографии
Контейнеры бывают двух типов: Контейнер-оригинал –это такой контейнер, который не содержит скрытой информации и контейнер-результат – такой контейнер, который несет в себе скрытую информацию.
Положения компьютерной стеганографии:
1. Скрытие должно обеспечить аутентичность и целостность файла.
2. Противник полностью не знает возможные стеганографии.
3. Безопасность основывается на сохранении стеганографическим преобразованием основных свойств открыто передаваемого файла при внесении в него секретного сообщения и некоторой неизвестной противнику информации - ключа.
4. Если факт скрытия сообщения стал известен противнику через сообщника, извлечение секретного сообщения представляет сложную задачу.
Анализы информационных источников компьютерной сети Интернет позволяют сделать вывод, что стеганографические системы активно используются для решения следующих основных задач:
1. Защита конфиденциальной информации от несанкционированного доступа;
2. Камуфлирования программного обеспечения;
3. Защита авторского права на некоторые виды интеллектуальной собственности.
Сейчас стеганография развивается по двум направлениям:
1. Методы, основанные на использовании свойств компьютерных форматов;
2. Методы, основанные на избыточности аудио и визуальной информации в сети.
2.2. Классификация информационной безопасности
Оценка безопасности основывается на иерарархической классификации. Всего существует четыре уровня иерархий - D, C, B и A, которые делятся на подклассы. Подклассов безопасности шесть - C1, C2, B1, B2, B3, A1.
Уровень D- уровень предназначен для систем, признанных неудовлетворительными.