Формирование и обеспечение комплексной защищенности информационных ресурсов

     1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.

     2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.

     Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ.

     Вообще  же все предлагаемые сегодня криптосистемы  с открытым ключом опираются на один из следующих типов необратимых преобразований:

1. Разложение больших чисел на простые множители.
2. Вычисление логарифма в конечном поле.
3. Вычисление корней алгебраических уравнений.

     Здесь же  следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях.

     1. Как самостоятельные средства защиты передаваемых и хранимых данных.

     2. Как средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками.

3. Средства аутентификации пользователей.

2.1.2.Электронная  подпись

       В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

       В чем состоит проблема аутентификации данных?

       В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.

       Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.

       С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

       В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.

       Иногда  нет необходимости зашифровывать  передаваемое сообщение, но нужно его  скрепить электронной подписью. В  этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется  к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA. 
 

4. Государственная политика в области информационной безопасности 

    Информационная  безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. 

    Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. 

Под национальными  интересами Российской Федерации понимается:

• Информационное обслуживание руководства
• Сохранность инфраструктуры
• Развитие информационных средств
• Защита прав человека в информационной сфере
• Защита прав на частную информацию
• Защита баз данных
• Достоверность передаваемой информации

    На  основе национальных интересов Российской Федерации в информационной сфере  формируются стратегические и текущие  задачи внутренней и внешней политики государства по обеспечению информационной безопасности. 

    Государственная политика обеспечения  информационной безопасности Российской Федерации  определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.  

    Государственная политика Российской Федерации в области информационной безопасности основывается на следующих принципах: 

• Федеральная программа ИБ
• Нормативно-правовая база
• Регламентация  доступа к информации
• Юридическая ответственность за сохранность информации
• Контроль за разработкой и использованием средств защиты информации
• Предоставление гражданам доступа к мировым информационным системам

    Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

• проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
• организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
• поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
• осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
• проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
• способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
• формулирует и реализует государственную информационную политику России;
• организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
• способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

    Совершенствование правовых механизмов регулирования  общественных отношений, возникающих  в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. 
 

5. Проблемы информационной безопасности 

   Широкое внедрение информационных технологий в жизнь современного общества привело  к появлению ряда общих проблем  информационной безопасности:

• необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
• необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
• необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

   Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Основная  работа по снижению дестабилизирующих  факторов в области информационной безопасности - раскрыть собственно суть проблемы, конкретизировать дестабилизирующие  факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

• показатели, характеризующие технологическую безопасность информационных систем;
• требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;
• ресурсы, необходимые для обеспечения технологической безопасности ИС;
• внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;
• методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;
• оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;
• методы и средства определения реальной технологической безопасности функционирования критических ИС.

   Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать  те или иные деструктивные последствия.

6.  Законы, регулирующие информационную безопасность 

    До  последнего времени проблема обеспечения  безопасности компьютерной информации в нашей стране не только не выдвигалась  на передний край, но фактически полностью  игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

    Существуют, так называемые, правовые меры обеспечения информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

    К основным законам и подзаконным  актам, регламентирующим деятельность в области защиты информации относятся: 
 
 
 

1. Законы Российской  Федерации:

• "О федеральных органах правительственной связи и информации" от 19.02.92 № 4524-1;
• "О безопасности" от 05.03.92 № 2446-1;
• "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.92 № 3523-1;
• "О правовой охране топологий интегральных микросхем" от 23.09.92 № 3526-1;
• "О сертификации продукции и услуг" от 10.06.93 № 5151-1;
• "О стандартизации" от 10.06.93 № 5154-1;
• "Об архивном фонде Российской Федерации и архивах" от 07.07.93 № 5341-1;
• "О государственной тайне" от 21.07.93 № 485-1;
• "О связи" от 16.02.95 № 15-ФЗ;
• "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ;
• "Об органах федеральной службы безопасности в Российской федерации" от 03.04.95 № 40-ФЗ;
• "Об оперативно-розыскной деятельности" от 12.08.95 № 144-ФЗ;
• "Об участии в международном информационном обмене" от 04.07.96 № 85-ФЗ;
• "Об электронной цифровой подписи" от 10.01.2002 № 1-ФЗ.