0

К сожалению, в Вашей корзине нет ни одного товара.

▼ ▼ Почитать книгу онлайн можно внизу страницы ▼ ▼
Купить книгу Защита информации: учебное  пособие Краковский и читать онлайн
Cкачать книгу издательства Феникс Защита информации: учебное  пособие (автор - Краковский в PDF

▲ Скачать PDF ▲
для ознакомления

Бесплатно скачать книгу издательства Феникс "Защита информации: учебное пособие Краковский" для ознакомления. The book can be ready to download as PDF.

Все отзывы (рецензии) на книгу

Оставьте свой отзыв, он будет первым. Спасибо.
> 5000 руб. – cкидка 5%
> 10000 руб. – cкидка 7%
> 20000 руб. – cкидка 10% БЕСПЛАТНАЯ ДОСТАВКА мелкооптовых заказов.
Тел. +7-928-622-87-04

Защита информации: учебное пособие Краковский


Новые тиражи или похожие книги

▼ ▼ Книги этого издания на складе уже НЕТ!
ВНИМАНИЕ! Посмотрите, пожалуйста, возможно, новое издание интересующей Вас книги уже есть на складе. В этом случае книга будет в следующем списке книг (сразу после этого текста!). Перейдите на страницу книги и ее можно будет купить. Спасибо. ▼ ▼
Название учебного пособия Защита информации: учебное пособие
ФИО автора
Год публикации 2017
Издательство Феникс
Раздел каталог Информационные и компьютерные технологии
Серия книги Высшее образование
ISBN 978-5-222-26911-4
Артикул O0073644
Количество страниц 347 страниц
Тип переплета матовая+лакировка
Полиграфический формат издания 84*108/32
Вес книги 383 г
Книг в наличии
Книга закончилась, ее нет на складе.
Возможно, через некоторое время появится следующее издание, однако, указать точную дату сейчас сложно.

Аннотация к книге "Защита информации: учебное пособие" (Авт. Краковский)

В книге содержится теоретический и практический материал по дисциплине "Информационная безопасность и защита информации", состоящий из шести глав: 1. Введение в безопасность информационных систем: 2. Управление информационными рисками: 3. Организационно-правовое обеспечение информационной безопасности; 4. Обеспечение конфиденциальности электронных документов; 5. Криптографические методы электронного документооборота; 6. Технологии и методы аутентификации. Особенностью настоящего учебного пособия является изложение вопросов, которые в меньшей степени рассматриваются в других учебных пособиях, а именно: управление информационными рисками: современное нормативно-правовое обеспечение информационной безопасности; влияние средств защиты информации на электронный документооборот: подготовка и проведение лабораторно-практических занятий. Для практического закрепления теоретического материала автором подготовлено восемь лабораторных работ (Приложении № 1). Также пособие содержит еще шесть прило

Читать книгу онлайн...

В целях ознакомления представлены отдельные главы и разделы издания, которые Вы можете прочитать онлайн прямо на нашем сайте, а также скачать бесплатно и распечатать демо-PDF-файл.

Способы доставки
Сроки отправки заказов
Способы оплаты

Другие книги серии "Высшее образование"


Другие книги раздела "Информационные и компьютерные технологии"

Читать онлайн выдержки из книги "Защита информации: учебное пособие" (Авт. Краковский)

Рекомендовано УМО РАЕ по классическому университетскому и техническому образованию в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению подготовки 09.03.01 «Информатика и вычислительная техника» (протокол № 528 от 10 августа 2015 года)
ВВЕДЕНИЕ
Средства информатизации составляют значительную долю мирового рынка и в существенной мере определяют структуру инвестиционных потоков мирового хозяйства.
Большинство юридических и физических лиц в той или иной мере связаны с такими сферами деятельности, как коммуникация, торговля, финансы, страхование и др., поэтому обеспечение кибербезопасности, безопасности информации, анализ информационных рисков являются одними из актуальных задач.
Цель защиты системы обработки информации — противодействие угрозам безопасности. Следовательно, безопасная или защищенная система — это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Объектом защиты являются информационные системы различного назначения. При подготовке материала учебного пособия автор использовал литературу [1-15], за что он искренне благодарен авторам этих книг.
Отбор материала, структура и содержание учебного пособия являются авторской редакцией. Среди используемого списка литературы имеется учебное пособие автора [7], которое им существенно переработано.
При выборе структуры и содержания учебного пособия автор руководствовался следующими соображениями. В цитируемых пособиях, на его взгляд, недостаточное внимание уделяется следующим вопросам:

управлению информационными рисками;

современному нормативно-правовому обеспечению информационной безопасности;

влиянию средств защиты информации на электронный документооборот;

подготовке и проведению лабораторно-практических занятий.

Предлагаемое пособие подготовлено с целью заполнить эту нишу. Выбранный подход к содержанию учебного пособия позволил при сохранении необходимой строгости и достоверности подойти к криптографическим методам не только как к разделу прикладной математики, но и как к прикладным средствам, необходимым для решения практически важных задач защиты информации, включающих аутентификацию субъектов, шифрование электронных документов, обеспечение целостности информации в электронном документообороте.
Учебное пособие состоит из шести глав:
1. «Введение в безопасность информационных систем», где описаны аспекты безопасности информации, а также дана характеристика объекта защиты, угроз и системы защиты информации;
2. «Управление информационными рисками». В этой главе уделено внимание стандартам, управлению рисками, аудиту и программным средствам, поддерживающим управление информационной безопасностью;

«Организационно-правовое обеспечение информационной безопасности», где приведена современная нормативная база обработки персональных данных;

«Обеспечение конфиденциальности электронных документов». В данной главе рассмотрены симметричные и несимметричные криптосистемы, предназначенные для шифрования электронных документов. Отдельный раздел посвящен российскому алгоритму криптографического преобразования;

«Криптографические методы для электронного документооборота». В этой главе приведены сведения о правовом обеспечении электронной подписи, а также представлены криптографические методы, предназначенные для ее формирования и проверки. Дополнительно рассмотрены национальные стандарты на хеш-функцию и электронную подпись, созданные в 2012 году;

«Технологии и методы аутентификации», где рассмотрены вопросы применения несимметричных криптосистем для аутентификации субъектов, особенности биометрической аутентификации пользователя, а также описана инфраструктура управления открытыми ключами.

В учебном пособии отсутствует отдельный раздел, посвященный безопасности компьютерных сетей, т. к. эти вопросы освещены в цитируемой литературе, например в учебных пособиях [11, 13].
Для дисциплины «Защита информации» автором разработаны восемь лабораторных работ, которые приведены в приложении № 1.
Предлагаемые лабораторные работы разделены на три группы:

первая группа включает лабораторные работы, которые можно выполнять без наличия навыков программирования;

вторая группа содержит лабораторные работы, которые требуют наличия навыков программирования;

в третью группу входят лабораторные работы из второй группы, которые можно выполнить без наличия навыков программирования.

Для защиты лабораторных работ подготовлены списки контрольных вопросов, для лабораторных работ № 5 и № 7 подготовлены тесты. Лабораторные работы № 1, № 5 и № 7 могут реализовываться специальными программами.
Дополнительно подготовлено еще шесть приложений с различным назначением.
Автор с признательностью примет замечания и пожелания читателей относительно возможных недостатков учебного пособия. Дополнительно хотелось бы выразить благодарность своим рецензентам.
ГЛАВА 1. ВВЕДЕНИЕ В БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ

Информационная безопасность и безопасность информации

Рассматривая безопасность информации с позиции ее защиты, необходимо ответить на три вопроса: что защищать, от чего защищать и как защищать. Ответим последовательно на эти вопросы.
С вопросом «Что защищать?» связано понятие объекта защиты. В Федеральном законе от 28.12.2010 № 390-ФЗ (ред. от 05.10.2015) «О безопасности» безопасность трактуется как «состояние защищенности жизненно важных интересов личности, общества и государства от внешних и внутренних угроз».
Интересы личности определены как полное обеспечение конституционных прав и свобод, личной безопасности, повышения качества и уровня жизни, физического, духовного и интеллектуального развития. Интересы общества состоят в упрочении демократии , создании правового , социального государства, достижении и поддержании общественного согласия. Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности, в политической, экономической и социальной стабильности, в обеспечении законности и правопорядка, в развитии международного сотрудничества. Таким образом, в данном законе объектом защиты является РФ как страна.
В соответствии с Концепцией национальной безопасности под информационной безопасностью понимается состояние защищенности национальных интересов страны (личности, общества и государства) в информационной сфере от внутренних и внешних угроз.
Информационная безопасность рассматривается как компонент национальной безопасности наряду с политическим, военным, экономическим, социальным и экологическим компонентами.
В Концепции к объектам информационной безопасности отнесены:

все виды информационных ресурсов (отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах — библиотеках, архивах, фондах, банках данных, других информационных системах);

система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного назначения, библиотеки, архивы, базы данных, процедуры сбора, обработки, хранения и передачи данных ;

информационная инфраструктура, включающая телекоммуникации, механизмы функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;

права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности;

системы формирования общественного сознания (моральные и нравственные ценности, мировоззрение, социально допустимые стереотипы поведения людей и т. д.), базирующиеся на средствах массовой информации и пропаганды.

В последующие годы информационная безопасность стала трактоваться в более узком смысле и стала некоторым синонимом безопасности информации, связанной с автоматизированной ее обработкой в соответствии с технологическим процессом: сбором, передачей, обработкой и т. д. Но преимуществом этого термина по сравнению с безопасностью информации является то, что информационную безопасность можно трактовать как безопасность любого объекта в информационной сфере.
Таким образом, понятие «информационная безопасность» включает в себя более узкое понятие «безопасность информации», относящееся к таким объектам защиты, как собственно информация, информационные системы и технологии.
В данном учебном пособии объектом защиты является информация, представленная в любой материальной форме, а также информационные системы и сети. Поэтому термины «информационная безопасность», «безопасность информации», «безопасность информационных систем и сетей» являются синонимами.
Выделяют следующие принципы обеспечения безопасности информационных систем и сетей:

информированность — участники должны сознавать необходимость безопасности информационных систем и сетей;

ответственность — за безопасность ответственны все участники;

реагирование — участники должны одновременно и совместно реагировать на угрозы;

этика — участники должны соблюдать законные интересы друг друга;

оценка информационных рисков — участники должны проводить оценку информационных рисков;

управление информационной безопасностью — участники должны использовать комплексный подход к управлению информационной безопасностью.

Дадим несколько определений из Федерального закона от 27.07.2006 № 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации», который приведен в приложении № 6.
«Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники».
Говоря о прикладном аспекте защиты информационных систем и сетей, выделяют такие основные направления:

безопасность операционных систем, процессов, процедур и программ обработки информации;

безопасность вычислительных сетей и каналов связи;

безопасность баз данных и других объектов.

Особенностью информации как объекта защиты является ее динамический характер, который реализуется информационными процессами. Информационные процессы — это процессы сбора, обработки, накопления, хранения, поиска и распространения информации для различных целей, включая поддержку принятия управленческих решений.
В связи с этим под безопасностью информации понимают свойство передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее степень ее защищенности от дестабилизирующего воздействия внешних и внутренних угроз.
Приведем определение информационной безопасности, которое имеется в различных учебных пособиях: «Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе пользователям и владельцам информации и поддерживающей инфраструктуры».
В этом определении также присутствуют воздействия, от которых надо защищать объект. Поэтому с вопросом «От чего защищать?» связано понятие угроз различного назначения. Угроза — потенциальная возможность неправомерного преднамеренного или случайного воздействия на объект защиты, приводящего к потере, искажению, разглашению или нарушению доступности информации. При этом необходимо определять источники этих угроз и способы их реализации. Эти важные понятия будут рассмотрены в п. 1.3.
Система защиты информации должна обеспечить ее безопасность. Защита информации представляет собой принятие правовых, организационных и технических мер. Следует подчеркнуть, что в нормативно-правовых документах технические меры трактуются расширенно. В них включают сами технические средства, а также программные, аппаратные и другие методы и средства.
Создание и использование средств и методов защиты информации позволяют ответить на вопрос «Как защищать?». Описание системы защиты информации приведено в п. 1.4.

Аспекты безопасности информации

Угрозы и средства защиты непосредственно связаны не с безопасностью информации, а с определенными ее аспектами. Базовыми аспектами (свойствами) информации, с точки зрения ее безопасности, являются (рис. 1): 1) конфиденциальность; 2) целостность; 3) доступность.
Отметим, что в нормативных документах безопасность информации определяется как состояние защищенности
информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.
Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (конфиденциальность, целостность и доступность для всех авторизованных пользователей) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз.
В этих определениях подчеркивается важность аспектов безопасности информации.
1.2.1. Конфиденциальность информации
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Конфиденциальная информация совместно с государственной тайной является информацией ограниченного доступа.
В нормативных документах с точки зрения конфиденци - альности информацию разделяют на пять классов:

— общедоступная информация (общеизвестные сведения и иная информация, доступ к которой не ограничен);

— конфиденциальная информация (сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым ограничен). Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну; обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение;

3 — секретная информация (гостайна);
2 — совершенно секретная информация (гостайна);
1 — особо секретная информация (гостайна).
Государственная тайна — защищаемые государством сведения о военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Защиту государственной тайны и персональных данных берет на себя государство, за конфиденциальную информацию отвечает собственник, включая государство.
Перечень сведений конфиденциального характера определен Указом Президента РФ от 06.03.97 № 188 с изменениями от 13.07.2015. В этот перечень входят:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях ;

сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20.08.2004 № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного производства» и другими нормативными правовыми актами РФ;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);

сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна);

сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Целостность информации

Целостность информации может быть нарушена путем ее модификации, уничтожения, замены, повтора или другого типа искажения. Целостность информации может нарушиться либо злоумышленником, либо случайным воздействием внешней и внутренней среды, включая людей.
Рассмотрим методы контроля целостности информации (сообщений) при случайных воздействиях. Предполагается, что одна сторона (отправитель) отправляет сообщение, а другая (получатель) получает его. При передаче в канале связи возможно нарушение целостности сообщения.
Методы контроля целостности информации от случайных воздействий делят на методы обнаружения ошибок (обнаружения самого факта ошибок без определения их положения в сообщении) и методы обнаружения ошибок с определением их положения в сообщении и последующим исправлением. В обоих этих случаях рассматривают одиночную ошибку и случай более одной ошибки.
Методы обнаружения ошибок
Получатель должен иметь возможность проверить, нарушена или нет целостность информации. Технология контроля целостности следующая:

отправитель, используя метод контроля, формирует контрольное значение для сообщения (КОД, которое передает совместно с сообщением m;

получатель, получив сообщение m и контрольное значение отправителя КОга, используя тот же метод контроля, создает свое контрольное значение (KPm);

получатель сравнивает контрольные значения: КОга = KPja. Если они совпадают, то получатель считает, что целостность информации не нарушена; если нет — она нарушена, и надо повторить передачу сообщения.

В случае обнаружения одиночной ошибки на практике используются метод контроля четности и метод контрольной суммы.
При использовании метода контроля четности для каждого байта информации резервируется один разряд (бит), который и является контрольным значением. Значение бита четности является результатом сложения по модулю 2 байта сообщения. Например: 10010010 1; 00010100 0.
Напомним, что таблица истинности для сложения по модулю 2 имеет вид: 0(+)0 = 0; 1(+)0 = 1; 0(+)1 = 1; 1(+)1 = 0. Отличие от обычного сложения заключается в том, что в последней комбинации при сложении по модулю 2 отсутствует единица переноса, что существенно повышает быстродействие этой операции.
Если сообщение представляется двумерной структурой, то бит четности формируется по каждому столбцу, который является также результатом сложения по модулю 2. Совокупность этих битов четности образует контрольное значение, которое называют контрольной суммой (КС). Размерность контрольной суммы определяется размерностью данных в файле. Например: 2-, 4-, 8-байтовое слово. Рассмотрим пример для 2-байтового слова (рис. 2).
10010100 01100101 10100010 00011101 10000110 00011101
КС 10110000 01100101
Рис. 2. Создание контрольной суммы
Используя операцию сложения по модулю 2, для первого столбца получим 1, для второго 0 и т. д.
Метод контрольной суммы используется в сетевых технологиях, например, в протоколе TCP для Интернета. При сетевой передаче сообщение разбивается на пакеты, далее для каждого пакета формируется своя контрольная сумма. Если контрольные суммы отправителя и получателя совпадают, то считается, что целостность пакета не нарушена. Метод контрольной суммы является достаточно быстродействующим, но он обнаруживает одиночную ошибку по каждому столбцу файла. В связи с этим в настоящее время в сетевых протоколах используется метод циклического контроля (CRC), который позволяет обнаруживать более одной ошибки.
При методе CRC сообщение рассматривается как Л-разрядное двоичное число, где N — количество битов в сообщении. Далее оно специальным образом делится на простое целое число до получения остатка. Этот остаток иногда по аналогии с методом контрольной суммы называют контрольной суммой. Остаток является искомым контрольным значением. Его вычисляет как отправитель, так и получатель.
При делении Л-разрядного числа на простое число (его еще называют полиномом) используется деление по модулю два. Разрядность полинома должна быть на один бит больше, чем разрядность остатка. Для однобайтового остатка рекомендуется полином 100011011 (283) или 101100001 (353).
Деление по модулю 2 осуществляется сложением по модулю 2. Рассмотрим этот метод на примере (рис. 3): сообщение 101111001110, полином 10011 (простое число), остаток имеет четыре бита.
Остаток от деления равен 1000. На практике для больших значений Л при делении используется специально составленная таблица размером 2я х п, где п — разрядность остатка (контрольного значения).
Помимо современных сетевых протоколов метод CRC используется, например, при обмене информацией между оперативной и внешней памятью (винчестером).
Обнаружение и исправление ошибок
Код называется кодом с исправлением ошибок, если всегда из неправильного кодового набора можно получить правильный. Главным для исправления ошибок является то,
101111001110 110011 10011 |
10010
10011
10111
10011
1000
Рис. 3. Деление по модулю 2 что необходимо иметь возможность обнаруживать и выделять местоположение ошибочных разрядов. Если местоположение ошибки определено, то ее исправление производится путем замены ошибочного разряда на его инверсию: 0^-1, 1^-0.
Код, в котором возможно обнаружить и исправить ошибки, называют помехозащищенным, или корректирующим.
Одним из первых корректирующих кодов, для которого одиночная ошибка не только обнаруживается, но и исправляется, является код Хэмминга. Рассмотрим основные принципы его построения.
Пусть сообщение имеет n информативных разрядов (т 1,.. mn) и к контрольных разрядов (p1,.,pk), которые используются для контроля целостности сообщения. Пронумеруем позиции каждого из (n + k) разрядов расширенного сообщения, начиная со значения 1 для старшего разряда и заканчивая значением (n + k) для младшего. Контрольные разряды размещаются в позициях с номером:
2d- 1, d = 1,2,.,к, (1,2,4,...).(1.1)
Отправитель должен сформировать контрольные разряды и вставить их в расширенное сообщение в соответствии с (1.1). Значения контрольных разрядов определяются с использованием сложения по модулю 2 специальных позиций сообщения.
Получатель, используя полученное расширенное сообщение, формирует к-разрядное контрольное слово, используя сложение по модулю 2 специальных позиций расширенного сообщения. Если все разряды этого слова нулевые, то сообщение является целым (принято без искажения).
В любом другом случае код этого слова указывает номер разряда, в котором произошло искажение бита. Получатель, используя операцию инверсии, исправляет ошибку и делает сообщение целым (без искажения). Чтобы в код из к разрядов можно было записать (n + к + 1) значений, должно выполняться условие:
2к > n + к+ 1.(1.2)
Так, например, если n = 4, то к = 3, а контрольное слово будет иметь восемь значений. Номера контрольных разрядов (1.1): 1, 2, 4; при n = 8, учитывая (1.2), k = 4, номера контрольных разрядов: 1, 2, 4, 8.
Опишем способ построения кода Хэмминга при n = 4 (m1, m2, m3, m4) и k = 3 (р1, р2, р3).
На рисунке 4 приведен перечень комбинаций двоичного кода контрольного слова (c3c2c1) при k = 3 (M — десятичное представление двоичного кода):
Рис. 4. Комбинации двоичного кода
Числа (1-7) (рис. 4) указывают номера ошибочных разрядов в расширенном сообщении (рис. 5).
1234567 p1 p2 m1 p3 m2 m3 m4
Рис. 5. Расширенное сообщение при п = 4 и к = 3
Подгруппы для каждого разряда контрольного слова содержат те номера его комбинаций, которые в данном столбце содержат 1. Например, в столбце для с1 единица присутствует в комбинациях для 1, 3, 5, 7. Таким образом, получаются следующие подгруппы:
с1 — (1, 3, 5, 7); с2 — (2, 3, 6, 7); с3 — (4, 5, 6, 7). (1.3) Как мы видим, каждый контрольный разряд входит в одну из подгрупп, номера их позиций подчеркнуты. При формировании контрольного слова с3с2с1 к подгруппам (1.3) применяется операция сложения по модулю 2. Напомним, что контрольное слово формирует получатель.
Как мы уже указывали, отправитель формирует контрольные разряды и расставляет их в расширенном сообщении в соответствии с (1.1). При этом он использует следующие подгруппы:
р1- (3, 5, 7); р2 - (3,6, 7); р3 - (5, 6, 7).(1.4)
Подгруппы (1.4) формируются из подгрупп (1.3).
Если для нашего примера информативная часть расширенного сообщения равна 0101, то с учетом (1.4): р1 = 0, р2 = 1, р3 = 0. Тогда:
номера разрядов сообщение отправленное сообщение полученное сообщение
1234567 0 101 0100101 0100111
Значение контрольного слова (1.3) (используется операция сложения по модулю 2 подгрупп разрядов): c3 = 1; c2 = 1; c1 = 0; (110 = 6).
Таким образом, ошибочным является шестой разряд, поэтому единицу в нем надо изменить на ноль (после этого полученное сообщение совпадет с отправленным).
Заметим, что существуют коды, которые обнаруживают и исправляют более одной ошибки.
Доступность информации
Доступность информации определяется как свойство средств и технологий ее обработки, заключающееся в их способности обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов.
Предоставление информации — это действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Характеристика и классификация угроз

1.3.1. Основные понятия и определения
Под угрозой безопасности информации понимаются потенциально возможное событие, процесс или явление, которые могут привести к нарушению целостности, конфиденциальности или доступности информации. В этом определении следует обратить внимание на то, что угроза — это потенциально возможное событие. Оно может произойти или не произойти.
Существуют и другие определения угроз: например, под угрозой безопасности информационной системе и поддерживающей ее инфраструктуре понимаются случайные или преднамеренные воздействия естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Поддерживающая инфраструктура — системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и обслуживающий персонал.
Реализация угрозы происходит через атаку, которая определяется как действие, предпринимаемое злоумышленником (или вредоносной программой), заключающееся в поиске и использовании той или иной уязвимости (изъяна) в системе защиты.
Под уязвимостью понимается совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению нормального функционирования информационной системы и нарушению ее безопасности (несанкционированный доступ, ознакомление, уничтожение или искажение данных). Здесь необходимо подчеркнуть, что угроза (атака) может найти и использовать уязвимость в системе защиты, а может и не найти или не использовать ее.
Рассмотрим следующий вопрос: уязвимости принадлежат объекту защиты или системе защиты информации? В различных учебных пособиях их относят или к объекту, или к системе защиты. Это связано с тем, что иногда компоненты защиты информации можно считать компонентами объекта защиты (информационной системы или сети); тогда уязвимости этих компонент одновременно принадлежат и объекту защиты, и самой защите. Если компоненты защиты информации являются самостоятельной системой и отделены от объекта защиты, то уязвимости этих компонент принадлежат защите информации.
Приведем определение уязвимости из ГОСТ Р ИСО/ МЭК 19791-2008, которое, на наш взгляд, комплексно описывает это понятие: «Уязвимость — недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование».
По различным источникам современные аппаратное и программное обеспечения содержат уязвимости, которые могут использоваться для осуществления масштабных компьютерных атак. Фактически отсутствует возможность реализовать процедуру исчерпывающей проверки этого обеспечения на отсутствие уязвимостей из-за ряда факторов:

противодействие со стороны иностранных производителей;

методологическое и технологическое отставание.

Потенциальные злоумышленники являются источниками угроз. Источник угроз безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
ГЛАВА 3. ОРГАНИЗАЦИОННОПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Общая характеристика организационноправового обеспечения информационной безопасности

3.1.1. Правовое обеспечение информационной безопасности
Определим информационное право как систему охраняемых государством социальных норм и отношений, возникающих в информационной сфере, а именно в сфере производства, потребления и преобразования информации. Объектами правового регулирования являются информационные отношения, возникающие при осуществлении информационных процессов, связанных с созданием, обработкой, хранением, распространением и потреблением информации.
В п. 1.4.1 отмечено (рис. 6), что правовое и организационное обеспечения являются компонентами комплексной системы защиты информации.
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, соотнесения его со всей системой законов и правовых актов РФ. Поэтому правовое обеспечение включает в себя: федеральные законы, указы Президента РФ, постановления Правительства РФ, национальные стандарты и другие правовые документы.
Защита информации регулируется различными федеральными законами: «Об информации, информационных технологиях и о защите информации», «О государственной тайне», «О коммерческой тайне», «О персональных данных», «Об электронной подписи» и др.
Приведем кратко технологию принятия федеральных законов на примере Закона № 152-ФЗ от 27.07.2006 «О персональных данных»:

федеральные законы принимаются Государственной Думой; цитируемый закон принят 8.07.2006 г.;

далее закон одобряется Советом Федерации (14.07.2006 г.);

утверждается Президентом РФ, после чего ему присваивается номер с датой (от 27.07.2006 № 152-ФЗ);

вводится в действие с момента опубликования (дата утверждения Президентом РФ) или с другой даты. Например, № 152-ФЗ введен в действие с 27.01.2007 г.

Вопросы информационной безопасности учитывает Уголовный кодекс РФ. В главе 28 «Преступления в сфере компьютерной информации» имеются три статьи:

статья 272 «Неправомерный доступ к компьютерной информации».

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет;

статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ».

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет;

статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
С учетом важности вопросов, связанных с кибербезопасностью, в последнее время формируется нормативная база в этой сфере. В связи с этим кратко опишем Указ Президента РФ № 31 с от 15.01.2013 года «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Согласно этому Указу Президента РФ информационные ресурсы — это информационные системы и информационнотелекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом. Основными задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации определены:
а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;
б)обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
в)осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;
г)установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.
Частично компоненты нормативно-правового обеспечения по защите информации уже рассмотрены в предыдущих
ОГЛАВЛЕНИЕ
Введение 3

Информационная безопасность

Аспекты безопасности информации 10

Конфиденциальность информации 11

Целостность информации 13

Основные понятия и определения 20

Основные виды угроз 23

Характеристика и классификация атак 27

Система защиты информации32

Цели и функции системы защиты информации32

Стандарты информационной безопасности35

Защита информации от случайных угроз 42

Защита информации от побочных излучений 48

Глава 2. Управление информационными рисками 52

Неопределенность и риск 52

Трехфакторная модель оценки информационных рисков 59

Методы оценки субъективных вероятностей64

Технологии управления информационными рисками75

Стандарты управления информационной безопасностью75

Управление рисками информационной безопасности77

Аудит состояния информационной безопасности86

Программные средства, поддерживающие управление информационной безопасностью 87

Общая характеристика организационно-правового обеспечения информационной безопасности 90

Правовое обеспечение информационной безопасности 90

Организационное обеспечение информационной безопасности 94

Особенности обработки персональных данных98

Классификация информационных систем 108

Глава 4. Обеспечение конфиденциальности электронных документов 113

Основные понятия криптографии 113

Поточное шифрование сообщений118

Блочные симметричные криптосистемы 122

Общие сведения о симметричных криптосистемах122

Алгоритм DES и его развитие 128

Стандарт криптографической защиты AES 130

Российский алгоритм криптографического преобразования 132

Двухключевые криптографические системы 136

Односторонние функции136

Двухключевые криптосистемы шифрования 140

Современный протокол шифрования информации145

Основы стеганографии 147

Глава 5. Криптографические методы
для электронного документооборота 153

Хеш-функции 154

Правовое обеспечение электронной подписи 158

Криптографические методы технологии

электронной подписи166
Глава 6. Технологии и методы аутентификации 175

Основные понятия и определения 175

Взаимная аутентификация субъектов

на основе электронной подписи181

Инфраструктура управления открытыми ключами 184

Биометрическая аутентификация пользователя 188

Литература 199
Приложения 201
Лабораторная работа № 1. Методика определения информационных рисков202
Лабораторная работа № 2. Порядок проведения классификации информационных систем в РФ209
Лабораторная работа № 3. Поточное шифрование информации 221
Лабораторная работа № 4. Генерирование секретных ключей для симметричной криптосистемы 227
Лабораторная работа № 5. Обмен Диффи—Хеллмана230
Лабораторная работа № 6. Создание секретного ключа симметричной криптосистемы на основе обмена
Диффи—Хеллмана 241
Лабораторная работа № 7. Шифрование сообщений криптосистемой RSA 243
Лабораторная работа № 8. Взаимная аутентификация субъектов на основе электронной подписи258
Приложение № 2. «Состав мер защиты информации
и их базовые наборы для соответствующего класса защищенности ИС» 264
Приложение № 3. Генерирование равномерно распределенной случайной последовательности 279
Приложение № 4. Теоретические основы криптографии 288
Приложение № 5. Федеральный закон от 06.04.2011 № 63-ФЗ
(ред. от 28.06.2014) «Об электронной подписи» 293
Приложение № 6. Федеральный закон от 27 июля 2006 г.
№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» 321
Приложение № 7. Функции органов государственной власти, обеспечивающих информационную безопасность в РФ340