Правовые основы информационной безопасности. Шифрование. ЭЦП
Законодательство РФ
• Конституция
• Концепции
• Федеральные законы
• Указы и распоряжения Президента
• Постановления правительства
• Положения
• Государственные стандарты
• Социальные нормативные документы
Конституция РФ. Статья 23
• Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
• Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Конституция РФ. Статья 24
• Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
• Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Закон РФ об информации, информатизации и защите информации. Статья 21
• Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу …
Классификация информации
Общедоступная информация
• Сведения об услугах
• Сведения о стоимости товаров и услуг
• События общественной, политической жизни
• Сведения о загрязнении окружающей среды
• Сведения о природных катаклизмах
Конституция РФ. Статья 42
Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.
Статья 140. Отказ в предоставлении гражданину информации
(Уголовный кодекс РФ)
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Уголовный кодекс РФ
Глава 28. «Преступления в сфере компьютерной информации» содержит три статьи:
• статья 272. Неправомерный доступ к компьютерной информации
• статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Технические меры защиты
Объекты защиты
• каналы связи
• сетевое оборудование
• рабочие станции
• серверы
• персонал
Методы защиты
• авторизация
• разграничение прав доступа
• криптозащита
• мониторинг и анализ
• резервирование
• Авторизация – проверка необходимых параметров и предоставление полномочий субъекту (прав доступа) на выполнение некоторых действий.
Авторизация
• по паролю – пользователь предъявляет логин и пароль
• по ключу – пользователь предъявляет отчуждаемый носитель (смарт-карта)
• биометрическая
• двухфакторная – пользователь предъявляет отчуждаемый носитель и пароль
Парольная защита
• Не рекомендуется в качестве пароля использовать имя, фамилию, дату рождения.
• Желательно использовать символы различных регистров, чередовать буквы, цифры и специальные символы
Криптографические методы защиты
Криптографическиеметоды являются наиболее эффективными средствами защиты информации в КС, при передаче же по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа к ней.
Шифрование
Симметричное (для шифрования и дешифрования используется один и тот же ключ)
Ассиметричное или соткрытым ключом (для шифрования данных используется один ключ, а для дешифрования - другой. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями системы, которые шифруют данные. Для дешифрования данных получатель использует второй ключ, который является секретным. Ключ дешифрования не может быть определен из ключа шифрования.
Электронная цифровая подпись
«Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа, и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе».
• Электронная цифровая подпись создается с помощьюзакрытого ключа — уникальной последовательности символов, которая известна только его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств.
• Электронная цифровая подпись создается с помощьюзакрытого ключа — уникальной последовательности символов, которая известна только его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств.
• Открытый ключ — это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП (вместе они образуют так называемую ключевую пару). Используется для проверки подлинности ЭЦП получаемых документов.
С помощью секретного ключа производится шифрование электронных документов и формируется ЭЦП.
Секретный ключ остается у пользователя, выдается ему на отдельном носителе.
Открытый ключ находится у всех, с кем вы собираетесь обмениваться документами.
На основе секретного ключа и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является ЭЦП данного пользователя под данным конкретным документом.
Число добавляется в конец документа или сохраняется в отдельном файле.
Получатель с помощью открытого ключа выполняет обратное криптографическое преобразование. Если числа совпали, то электронная цифровая подпись верна.
При внесении изменений в документ число меняется.
В ЭЦП записывается информация
• информация о лице, сформировавшем подпись
• дата формирования
• имя файла открытого ключа подписи
Использование ЭЦП позволяет
• заменить при бумажном документообороте традиционную печать и подпись
• удешевить процедуру подготовки, доставки, учета и хранения документов
• построить корпоративную систему обмена документами
• минимизировать риск финансовых потерь
• сократить время документооборота
• использовать одну ЭЦП в электронных торгах, сдачи отчетности в гос. органы, при работе с финансовыми документами
•