Информационная безопасность

10. Стандарт безопасности США. 

1. "Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята  стандартом в 1985 г. Министерством  обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается  для следующих целей:

• Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
• Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

• без учета среды, в которой работает техника;
• в конкретной среде (эта процедура называется аттестованием).

    Во  всех документах DOD, связанных с ОК, принято одно понимание фразы       обеспечение безопасности информации. Это понимание принимается как  аксиома и формулируется следующим  образом: безопасность = контроль за доступом.

    Классы  систем, распознаваемые при помощи критериев оценки гарантированно       защищенных вычислительных систем, определяются следующим образом. Они       представлены в порядке нарастания требований с точки зрения обеспечения       безопасности ЭВМ.

1. Класс (D): Минимальная защита
2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
3. Класс (С2): Защита, основанная на управляемом контроле доступом
4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и       субъектам, находящимся под контролем ТСВ
5. Класс (B2): Структурированная защита
6. Класс (ВЗ): Домены безопасности
7. Класс (A1): Верифицированный проект

    2. FIPS 140-2 "Требования безопасности для криптографических модулей"

    В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических  модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

    В стандарте FIPS 140-2 рассматриваются криптографические  модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы). 

    3. Стандарт шифрования  DES

    Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

    Исходные  идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA. 

11. Стеганография и  ее применение  в информационной  безопасности. 

    Задача  надежной защиты информации от несанкционированного доступа является одной из древнейших и не решенных до настоящего времени  проблем. Способы и методы скрытия  секретных сообщений известны с давних времен, причем, данная сфера человеческой деятельности получила название стеганография. Это слово происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и, таким образом, означает буквально “тайнопись”, хотя методы стеганографии появились, вероятно, раньше, чем появилась сама письменность (первоначально использовались условные знаки и обозначения).

    Компьютерные  технологии придали новый импульс  развитию и совершенствованию стеганографии, появилось новое направление в области защиты информации — компьютерная стеганография (КС).

    К. Шеннон дал нам общую теорию тайнописи, которая является базисом стеганографии  как науки. В современной компьютерной стеганографии существует два основных типа файлов: сообщение - файл, который предназначен для скрытия, и контейнер - файл, который может быть использован для скрытия в нем сообщения. При этом контейнеры бывают двух типов. Контейнер-оригинал (или “Пустой” контейнер) -это контейнер, который не содержит скрытой информации. Контейнер-результат (или “Заполненный” контейнер) - это контейнер, который содержит скрытую информацию. Под ключом понимается секретный элемент, который определяет порядок занесения сообщения в контейнер.

    Основными положениями современной компьютерной стеганографии являются следующие:

1. Методы скрытия должны обеспечивать аутентичность и целостность файла.
2. Предполагается, что противнику полностью известны возможные стеганографии-ческие методы.
3. Безопасность методов основывается на сохранении стеганографическим преобразованием основных свойств открыто передаваемого файла при внесении в него секретного сообщения и некоторой неизвестной противнику информации - ключа.
4. Даже если факт скрытия сообщения стал известен противнику через сообщника, извлечение самого секретного сообщения представляет сложную вычислительную задачу.

    В связи с возрастанием роли глобальных компьютерных сетей становится все  более важным значение стеганографии. Анализ информационных источников компьютерной сети Internet позволяет вделать вывод, что в настоящее время стеганографические системы активно используются для решения следующих основных задач:

1. Защита конфиденциальной информации от несанкционированного доступа;
2. Преодоление систем мониторинга и управления сетевыми ресурсами;
3. Камуфлирования программного обеспечения;
4. Защита авторского права на некоторые виды интеллектуальной собственности.

    В настоящее время методы компьютерной стеганографии развиваются по двум основным направлениям:

1. Методы, основанные на использовании специальных свойств компьютерных форматов;
2. Методы, основанные на избыточности аудио и визуальной информации.

    Анализ  тенденций развития КС показывает, что в ближайшие годы интерес  к развитию методов КС будет усиливаться  всё больше и больше. Предпосылки  к этому уже сформировались сегодня. В частности, общеизвестно, что актуальность проблемы информационной безопасности постоянно растет и стимулирует поиск новых методов защиты информации (ЗИ).

Литература 

1. Закон РФ "О государственной тайне"
2. Закон РФ  "Об информации, информатизации и защите информации"
3. Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.
4. Словарь терминов Гостехкомиссии при президенте РФ
5. Стандарт безопасности США “Оранжевая книга” ("Department of Defense Trusted Computer System Evaluation Criteria")
6. Носов В.А. Вводный курс по дисциплине “Информационная безопасность”
7. http://www.jetinfo.ru/2002/7/1/article1.7.200231.html - Нормативная база анализа защищенности
8. http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
9. http://counter-terrorism.narod.ru/magazine1/kotenko-8-1.htm - Вопросы ИБ и терроризма
10. http://snoopy.falkor.gen.nz/~rae/des.html - описание алгоритма DES
11. http://markova-ne.narod.ru/infbezop.html - Вопросы ИБ и СМИ
12. http://www.ctta.ru/ - Некоторые проблемы ИБ
13. http://st.ess.ru/steganos.htm - Вопросы стеганографии
14. http://www.infosecurity.ru/_site/problems.shtml - Суть проблемы Информационной Безопасности
15. http://www.jetinfo.ru/2004/11/3/article3.11.2004.html - Федеральный стандарт США FIPS 140-2