Merge branch 'master' of http://213.155.192.79:3001/u20-24molchanov/up

ЭАСвЗИ/Лекции/2_4_400_Основные_характеристики_технических_средств_защиты_oт_НСД/README.md

@@ -0,0 +1,110 @@
+#Основные характеристики технических средств защиты от НСД.
+Основными характеристиками технических средств защиты являются:
+- степень полноты и качество охвата ПРД реализованной СРД;
+- состав и качество обеспечивающих средств для СРД;
+- гарантии правильности функционирования СРД и обеспечивающих ее средств.
+Каким образом посторонние лица могут получить доступ к информации?
+- С помощью хищения документов, включая их копирование.
+- Через сотрудников компании.
+- С помощью систем связи.
+- Посредством использования устройств, на которых хранятся данные.
+- С помощью вредоносного программного обеспечения (шпионских программ, вирусов и пр.).
+- За счет намеренного вывода из строя используемых механизмов защиты.
+####МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
+- Технические средства – устройства для аутентификации, электронные ключи и пр.).
+- Программное обеспечение – доступ с помощью пароля, блокировка экрана и клавиатуры и пр.).
+- Криптографическую защиту (шифрование), включая криптопровайдеры (программные компоненты шифрования), средства удостоверения, организации VPN, а также формирования и проверки ключей и электронной цифровой подписи.
+Защита от несанкционированного доступа должна обеспечиваться с помощью целого комплекса мероприятий.
+####Программное обеспечение
+Подразумевает комплексное применение рассмотренных выше средств обеспечения целостности данных. Именно такой подход позволяет создать безопасные условия для деятельности компаний
+
+Наиболее известные компании на российском рынке:
+- Kaspersky Lab 
+- McAfee 
+- Sophos
+- Symantec 
+- Trend Micro
+
+####Газинформсервис
+
+![Газинформсервис](Fl9om1xX.jpg)
+
+СЗИ от НСД «Блокхост-Сеть 2.0» Средство защиты информации «Блокхост-Сеть 2.0» предназначено для защиты информационных ресурсов от несанкционированного доступа в локальных вычислительных сетях на базе персональных компьютеров, функционирующих под управлением операционных систем Microsoft Windows 2008R2/Vista/7/8/8.1/10/2012/2012R2/2016. «Блокхост-Сеть 2.0» дополняет и усиливает собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.
+
+СЗИ «Блокхост-Сеть 2.0» состоит из клиентской части СЗИ «Блокхост-Сеть 2.0», в рамках которой реализованы базовые механизмы защиты, и серверной части — сервера безопасности, устанавливаемой на автоматизированное рабочее место администратора безопасности.
+
+Средство защиты информации «Блокхост-Сеть 2.0» выполняет следующие функции защиты: 
+- двухфакторная аутентификация пользователей с применением персональных идентификаторов;
+- дискреционный и мандатный механизмы контроля доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;
+- контроль целостности системного программного обеспечения, прикладного программного обеспечения и информационных ресурсов АРМ; 
+- очистка областей оперативной памяти после завершения работы контролируемых процессов;
+- гарантированное удаление файлов и папок, что исключает возможность восстановления; 
+- контроль вывода информации на печать и отчуждаемые физические носители, маркировка документов; 
+- контроль запуска процессов; персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика); 
+- защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0».
+
+####Код Безопасности
+
+![Код безопасности](b-code.jpg)
+
+Компания «Код Безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Компания основана в 2008 году и ведет свою деятельность на основании девяти лицензий ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации.
+
+СЗИ от НСД Secret Net 7
+Основные возможности:
+- Разграничение доступа пользователей к информации и ресурсам автоматизированной системы. 
+- Идентификация и аутентификация пользователей. 
+- Доверенная информационная среда. 
+- Контроль утечек и каналов распространения конфиденциальной информации. 
+- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
+- Затирание остаточной информации при освобождении и удалении областей памяти компьютера и запоминающих устройств. 
+- Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности. 
+- Масштабируемая система защиты, возможность применения Secret Net 7 (сетевой вариант) в организации с большим количеством филиалов. 
+- Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).
+
+####Конфидент
+
+![Конфидент](konfident_logo_all-01.jpg)
+
+Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux.
+
+СЗИ Dallas Lock 8.0
+Ключевые особенности:
+- Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы Windows. 
+- Возможность применения в различных версиях и редакциях Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах. 
+- Широкий набор дополнительных возможностей. 
+- Наличие модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (по Требованиям ФСТЭК России к СКН). 
+- Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock. 
+- Совместимость с ИТ- и ИБ-решениями других производителей.
+
+####Вывод
+Хотя изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты, современные продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих.
+К наиболее популярным в России продуктам можно отнести Secret Net Studio, «Аккорд», Dallas Lock, «Блокхост-сеть», Diamond ACS, «Панцирь», «Страж NT», «Аура» и «Фантом».
+
+####Реализация исключительно технической защиты
+
+####Контроль доступа
+
+В области физической и информационной безопасности контроль доступа (AC) представляет собой выборочное ограничение доступа к месту или другому ресурсу, в то время как управление доступом описывает процесс.
+
+Топологии систем контроля доступа
+
+- Последовательные контроллеры.Контроллеры подключаются к хост-компьютеру через последовательную линию связи RS-485 (или через контур тока 20 мА в некоторых старых системах). Необходимо установить внешние преобразователи RS-232/485 или внутренние платы RS-485, поскольку стандартные ПК не имеют коммуникационных портов RS-485.
+- Последовательные основные и вспомогательные контроллеры.Все дверное оборудование подключается к вспомогательным контроллерам (также известным как дверные контроллеры или дверные интерфейсы). Субконтроллеры обычно не принимают решения о доступе, а вместо этого перенаправляют все запросы на основные контроллеры. Основные контроллеры обычно поддерживают от 16 до 32 вспомогательных контроллеров.
+- Последовательные основные контроллеры и интеллектуальные считыватели.Вся дверная фурнитура подключается непосредственно к интеллектуальным или полуинтеллектуальным считывателям. Обычно читатели не принимают решения о доступе, а пересылают все запросы главному контроллеру. 
+- Последовательные контроллеры с серверами терминалов.Несмотря на быстрое развитие и все более широкое использование компьютерных сетей, производители контроля доступа оставались консервативными и не спешили внедрять сетевые продукты. 
+- Основные контроллеры с поддержкой сети.Топология почти такая же, как описано во втором и третьем параграфах. Применяются те же преимущества и недостатки, но встроенный сетевой интерфейс предлагает несколько ценных улучшений.
+- Контроллеры IP.Контроллеры подключаются к хост-компьютеру через Ethernet LAN или WAN.
+- Считыватели IP-адресов.Считыватели подключаются к хост-компьютеру через Ethernet LAN или WAN.
+
+####Аутентификация и Идентификация  пользователей
+
+Идентификация – процедура, в результате выполнения которой для субъекта выявляется его уникальный признак, однозначно определяющий его в информационной системе.
+Аутентификация – процедура проверки подлинности, например, проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
+Авторизация – предоставление определенному лицу прав на выполнение определенных действий.
+
+[Классификация средств защиты](https://www.anti-malware.ru/analytics/Market_Analysis/certified-unauthorized-access-security)
+[Нормативные документы](https://normativ.kontur.ru/)
+[Википедия](https://translated.turbopages.org/proxy_u/en-ru.ru.279da824-635cc0fc-64573743-74722d776562/https/en.wikipedia.org/wiki/Access_control)
+
+
+

ЭАСвЗИ/Лекции/2_5_800_Управление_доступом_и_контроль_печати_конфиденциальной_информации/README.md

@@ -0,0 +1,69 @@
+# Управление доступом и контроль печати конфиденциальной информации
+
+![](123.jpg)
+
+ Вроссийском законодательстве особое внимание уделяется вопросам хранения и доступа к информации. В первую очередь речь идет о работе сотрудников коммерческих и государственных организаций, у которых есть доступ к конфиденциальной информации – коммерческой и государственной тайне. Это создает риск утечки данных. Примеры, которые хорошо иллюстрируют проблему – промышленный шпионаж и воровство технологий, несанкционированный доступ к базам данных клиентов банков.
+ Для того чтобы обезопасить информацию, принимаются обязательные меры по ее защите. Они описываются в Федеральном законе «О коммерческой тайне». Среди них можно выделить контроль за порядком получения информации и установление ограничительных мер, а также строгий учет всех лиц, которым доступны такие сведения.
+ Для соблюдения этих мер используются разрешительные системы доступа персонала организаций к информации.
+
+## Что такое конфиденциальная информация
+
+ Конфиденциальные данные – это информация, доступ к которой имеет ограниченный круг лиц. При этом те, кто получает конфиденциальные сведения, не имеют права раскрывать их третьим лицам без предварительной договоренности и согласия контролирующих органов. 
+
+## Разрешительные системы
+
+ Разрешительная система доступа к информации – это комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД). В каждой организации системы устроены по-разному, но, исходя из требований закона, у них есть общие черты:
+
+--Выдвигаются определенные требования к тому, какие лица могут получать сведения: стажу работы и возрасту, наличию офицерского звания, рангу сотрудника;
+--Персонал, получивший доступ к информации в государственных организациях – МВД, ФСБ, Миграционной службе РФ, находится под надзором органов. В частных организациях эта обязанность возложена на службу безопасности и специальные структурные подразделения;
+--Информация хранится, обрабатывается и передается исключительно в защищенном виде для того, чтобы препятствовать НСД.
+
+## Нормативно-правовая база
+ 
+ От того, насколько проработана правовая база системы, зависит то, как успешно она будет функционировать. В нормативно-правовых актах следует максимально детально отразить, как строится управленческая вертикаль организации (кто и каким образом выдает разрешение на доступ к конфиденциальной информации), описать требования к сотрудникам и указать перечень лиц, ответственных за управление конфиденциальной информацией.
+ Чем детальнее проработана нормативно-правовая база в организации, тем меньше риск утечки данных. Важно сделать так, чтобы каждое действие, связанное с защищенными данными, подвергалось контролю внутри организации.
+ В документах нужно перечислить сотрудников, которые могут санкционировать доступ к сведениям. При этом нужно разграничивать их полномочия.
+
+## Контроль за сотрудниками, имеющими доступ к информации
+
+ Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.
+ Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).
+
+## Хранение, обработка и передача информации
+
+ Должностные лица обязаны контролировать документооборот организации и следить, чтобы никто не получил к нему несанкционированный доступ. Для этого конфиденциальные сведения должны передаваться по защищенным каналам связи и храниться надежным образом.
+ Физические документы ранжируются по грифам и располагаются в охраняемом месте, в пределах которого могут находиться только доверенные лица.
+ Если данные хранятся на электронных носителях, то они должна быть зашифрованной.
+
+## Print-X
+
+![](321.jpg)
+
+ Это универсальное программно-аппаратное решение по учету печати и контролю работы печатающих устройств. Print-X включен в Реестр российского ПО, что подтверждает его надежность и безопасность. 
+ Решение разработано компанией "Сервионика" - лидером рынка ИТ-аутсорсинга в России, партнером крупных производителей офисной оргтехники, с полным знанием возможностей оборудования и потребностей заказчиков.
+ Задачи ПО:
+
+--конфиденциальная печать
+--развернутая статистика
+--централизованное управление печатью
+--сокращение расходов на печать
+--импортозамещение, снижение санкционных рисков
+ 
+ Это комплексное программно-аппаратное решение, с помощью которого можно не только сэкономить, но и повысить контроль над документами и данными.
+
+## Литература
+
+[Print-X](http://print-x.ru/)
+[Хабр](https://habr.com/ru/company/business_factory/blog/397471/)
+[Нормативно-правовая база](https://searchinform.ru/)
+[Внедрение ПО по защите](https://system-print.com/)
+
+## Вопросы
+1. [Что такое конфиденциальные данные]    **информация, доступ к которой имеет ограниченный круг лиц.**
+2. [В каком ФЗ описаны меры по хранению КИ.]    **ФЗ «О коммерческой тайне»**
+3. [Какие уровни секретности предусмотренны в гос. организациях]    **«Секретно», «Совершенно секретно», «Особой важности»**
+4. [Что такое разрешительная система]    **комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД).**
+5. [Что следует делать для безопасной передачи информации]    **конфиденциальные сведения должны передаваться по защищенным каналам связи. Если данные хранятся на электронных носителях, то они должна быть зашифрованной.**
+
+
+

ЭАСвЗИ/Лекции/П2_5_200_Защита_входа_в _систему_(идентификация_и_аутентификация_пользователей)/README.md

@@ -0,0 +1,80 @@
+# Защита входа в систему (идентификация и аутентификация пользователей)
+
+ Идентификация, аутентификация и авторизация – три процесса защищающие наши данные от доступа посторонних лиц.
+ Индентификация - это процесс распознования пользователя по его индентификатору
+ Аутентификация - это процедура проверки подлинности, док-ва что пользователь именно тот, за кого себя выдает
+ Авторизация - предоставление определенных прав, после аутентификации
+
+ Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов. Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. 
+
+ После идентификации и аутентификации субъекта выполняется его авторизация. Процесс идентификации и аутентификации показан на схеме:
+
+![](123.jpg)
+
+ Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:
+
+1. На основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код (PIN), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос—ответ.
+
+2. На основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory.
+
+3. На основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.) В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.
+
+ При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:
+
+1. Наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена.
+
+2. Вычислительная эффективность. Количество операций, необходимых для выполнения протокола.
+
+3. Коммуникационная эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации.
+
+4. Наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей.
+
+5. Гарантии безопасности. Примером может служить применение шифрования и цифровой подписи.
+
+ Классификация протоколов аутентификации:
+
+![](456.jpg)
+
+##  Классификация протоколов аутентификации
+
+ защищенных компьютерных сетей доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например, программные и аппаратные системы аутентификации на основе одноразовых паролей, смарт-карт, Р/УУ-кодов и цифровых сертификатов.
+ Процедуру простой аутентификации пользователей в сети можно представить следующим образом. При попытке входа в сеть пользователь набирает на клавиатуре ПЭВМ свой идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных сервера по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус, а также права и ресурсы сети, которые определены для его статуса системой авторизации.
+
+ Схема простой аутентификации с использованием пароля:
+
+![](789.jpg)
+
+ Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данный тип аутентификации позволяет:
+
+— подтвердить подлинность только одной стороны информационного обмена;
+— обнаружить нарушение целостности передаваемой информации;
+— обнаружить проведение атаки типа «повтор передачи»;
+— гарантировать, что передаваемыми аутентификационными данными может воспользоваться только проверяющая сторона.
+
+ Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороны, которой были предназначены аутентификационные данные.
+
+ В зависимости от используемых криптографических алгоритмов протоколы строгой аутентификации можно разделить на следующие группы:
+
+![](012.jpg)
+
+ В качестве биометрических признаков, которые активно используются при аутентификации потенциального пользователя, можно выделить следующие:
+
+1. отпечатки пальцев;
+2. геометрическая форма кисти руки;
+3. форма и размеры лица;
+4. особенности голоса;
+5. узор радужной оболочки и сетчатки глаз;
+6. «клавиатурный почерк»;
+7. расположение зубов (стоматологическая матрица ротовой полости человека).
+
+
+## Литература
+[Хабр](https://habr.com/ru/company/dataart/blog/262817/)
+[studref](https://studref.com/334328/informatika/identifikatsiya_autentifikatsiya)
+
+## Вопросы
+1. [Что такое аутентификация]    ** Это процедура проверки подлинности, док-ва что пользователь именно тот, за кого себя выдает**
+2. [Что такое Авторизация]    ** Процедура предоставления субъекту определенных прав доступа к ресурсам системы после прохождения им процедуры аутентификации. **
+3. [К биометрическим системам защиты информации относятся системы идентификации по...]     ** Отпечатки пальцев,форма и размеры лица,особенности голоса,узор радужной оболочки и сетчатки глаз и тд... **
+4. [В чем разница между двусторонней аутентификации и односторонней]    **Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороны, которой были предназначены аутентификационные данные. **
+5. [Что включает в себя односторонняя аутентификация]    **подтверждение подлинности только одной стороны информационного обмена;обнаружение нарушений целостности передаваемой информации;обнаружение проведения атаки типа «повтор передачи»**