Главная страница
Навигация по странице:

  • 1.5.

    		•

    ПЗ 1 (Защита ИМ). Лабораторная работа 1 дисциплина Информационный менеджмент Защита информации и информационная безопасность


    Скачать 155.5 Kb.
    НазваниеЛабораторная работа 1 дисциплина Информационный менеджмент Защита информации и информационная безопасность
    Дата16.01.2023
    Размер155.5 Kb.
    Формат файлаdoc
    Имя файлаПЗ 1 (Защита ИМ).doc
    ТипЛабораторная работа
    #889668
    страница2 из 3
    1   2   3

    1.4. Мероприятия по защите информации

    Работа с персоналом

    В основе системы защиты информации лежит человече­ский фактор, предполагающий преданность персонала ин­тересам фирмы, и осознанное соблюдение им установлен­ных правил защиты информации. Если отдельный сотруд­ник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информа­ции и предотвратить ее разглашение.

    В решение проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно-техни­ческий прогресс, повышают благосостояние сотрудников фирмы и являются полезным не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыль и престиж фирмы.

    Несмотря на это персонал является в то же время основ­ным источником утраты пенной и конфиденциальной ин­формации.

    Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудо­вых и творческих способностей каждого члена коллектива; воспитание в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или кри­минальных действиях. Причем овладение требуемой ин­формацией происходит в большинстве случаев в результа­те безответственности и необученное™ персонала, его не­достаточно высоких личных и моральных качеств.

    Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельнос­ти, являться основным элементом построения действенной и эффективной системы защиты конфиденциальных инфор­мационных ресурсов.

    В качестве одного из мероприятий можно принять про­цесс приема сотрудника на работу. Процессу приема на работу должен предшествовать ряд подготовительных эта­пов, которые позволяют составить точное представление о * том, какой специалист и какой квалификации действитель­но нужен для данной должности, какими деловыми каче­ствами он должен обладать.

    Поиск кандидата на вновь создаваемую или вакантную должность в фирме не должен носить бессистемный харак­тер. Случайные претенденты обычно рассылают свои резю­ме по предприятиям, учреждениям и фирмам, им не важно, где работать, их просто интересует работа по данной спе­циальности.

    С другой стороны, случайный человек не всегда плох и поэтому данный метод при подборе персонала является наиболее распространенным и объективно завоевал право на существование. Но он не должен быть единственным. Помимо пассивного ожидания прихода человека, существу­ет ряд эффективных направлений активного поиска канди­датов.

    1. Поиск кандидатов внутри фирмы, особенно если речь идет о руководителе или специалисте высокого уровня. Можно приглашать на должность лицо, ранее работавшее в фирме и хорошо себя зарекомендовавшее.

    2. Поиск кандидатов среди студентов и выпускников учеб­ных заведений, установление связей с подразделениями ву­зов, занятыми трудоустройством выпускников. Можно иметь достаточно полную информацию о профессиональ­ных и личных качествах студентов.

    3. Обращение в государственные и частные бюро, агент­ства по найму рабочей силы, биржи труда, организации по трудоустройству лиц, уволенных по сокращению штатов, трудоустройству молодежи, бывших военнослужащих. Подобные агентства предлагают требуемый контингент ра­ботников на имеющиеся рабочие места, ведут целенаправ­ленный поиск необходимого специалиста высокой квали­фикации, организуют переподготовку специалистов по ин­дивидуальным заказам.

    4. Рекомендации имеющихся на фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людь­ми сотрудникам предстоит работать вместе.

    При приеме на работу необходимо от сотрудника полу­чить обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы. Подписываться обязательство должно до того, как будет сообщен состав ценных сведений и порядок их защиты. Одновременно в обязательстве предупреждается об ответственности за раз­глашение этой информации (см. Приложение 1).

    Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Для этого важно четко и однозначно определить: кто, кого, к каким сведениями, когда и как допускает.

    Режим может представлять собой совокупность ограни­чительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Раз­решительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например, на въезд в пограничную зону, на посещение во­инской части, выезд за границу страны и т.п.

    Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

    Разрешение на доступ к информации всегда выдается пол­номочным руководителем и только в письменном виде: ре­золюцией на документе; приказом, утверждающим схему именного или должностного доступа к конкретным груп­пам информации; утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с до­кументом. Также следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам.

    Особенное внимание должно быть обращено на персо­нал, постоянно работающий с конфиденциальными доку­ментами. С ними должна проводиться постоянная текущая работа, направленная на затруднение работы злоумышлен­ника по добыванию необходимой информации, на проти­водействие в пассивном или активном виде.

    Сюда можно отнести обучение сотрудников фирмы пра­вилам защиты информации. Причем обучение должно быть постоянным, начиная с момента приема на работы и под­писания обязательства и кончая моментом увольнения.

    Обучение предполагает приобретение и поддержание на высоком уровне производственных навыков работы с кон­фиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необ­ходимости выполнения требований по защите информации.

    Одновременно с обучением должны проводиться регу­лярные совещания-инструктажи с сотрудниками. В процессе инструктажа:

    • до сведения работников необходимо доводить изме­нения и дополнения, внесенные в действующие нор­мативно-методические документы по защите инфор­мации, приказы и указания руководства фирмы в об­ласти защиты информации и информационной без­опасности;

    • сотрудники должны информироваться о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнитель­ных мерах по защите информации;

    • должны анализироваться случаи нарушения правил защиты информации сотрудниками, сообщаться о фактах утраты секретов по вине сотрудников.

    Инструктаж, так же как и обучение, должен проводиться индивидуально, с учетом неразглашения информации, со­общаемой на инструктаже.

    Немаловажным моментом являются психологический климат в коллективе и мотивация деятельности сотрудни­ка. В соответствии с этим текущая или профилактическая работа с персоналом должна являться обязательной состав­ной частью предотвращения попыток отдельных сотрудни­ков воспользоваться в личных целях ценной для фирмы информацией, нарушить требования обеспечения информа­ционной безопасности фирмы. Каждый из сотрудников фир­мы, работающий с закрытыми сведениями, документами и базами данных, должен находиться под постоянным наблюдением руководства и коллектива фирмы, оценивающих степень его лояльности по отношению к делам фирмы. Со своей стороны фирма обязана обеспечить любому сотруд­нику необходимые условия труда и отдыха, постоянно за­ботиться о его благополучии, повышении квалификации и поддержании на высоком уровне интереса к выполняемым обязательствам и работам.

    При работе с персоналом фирмы следует сосредоточи­вать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к тайне фир­мы. Можно предполагать, что эти сотрудники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий.

    Стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы. Вместе с тем полностью избежать увольнения со­трудников не представляется возможным. Необходим тща­тельный анализ причин увольнения, на основании которо­го может быть составлена и реализована программа, ис­ключающая эти причины. Например, повышение окладов, аренда жилья для сотрудников вблизи фирмы и оздоровле­ние психологического климата, увольнение руководителей, злоупотребляющих своим служебным положением.

    При увольнении сотрудника необходимо:

    • иметь написанное сотрудником заявление об уволь­нении с подробным раскрытием причины увольнения и, желательно, указанием места предполагаемой ра­боты;

    • принять службой безопасности конфиденциальной документации от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носите­лей информации, изделий, материалов, с которыми он работал, проверка их комплексности, полноты и оформление приема в описи исполнителя или актом; сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей;

    • проведение сотрудником службы безопасности (или службы персонала) беседы с целью напоминания об обязательстве сохранения сведений, которые были получены при работе в фирме; запрещении использо­вания этих сведений в интересах конкурента или лич­ных целях;

    • подписание сотрудником обязательства о неразглаше­нии им конфиденциальных сведений после увольне­ния.

    После сдачи всех документов и материалов сотруднику должно быть запрещено входить в режимную рабочую зону и, при необходимости, выдан пропуск (идентификатор) с правом входа только в определенные административные помещения.

    Ущерб от увольнения сотрудника резко уменьшается, если тайна раздроблена и известна по частям достаточно большому числу служащих.

    Желательно по истечении трех месяцев после увольне­ния направить бывшему сотруднику письмо-напоминание о необходимости сохранения тайны.
    1.5. Организация документооборота

    Целью документооборота является обеспечение управ­ленческой деятельности, процесса принятия решений цен­ной, полезной, своевременной, полной и достоверной ин­формацией. Конфиденциальные, как и открытые, докумен­ты находятся в постоянном движении. Перемещение кон­фиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защит­ных мер в отношении документопотоков и документообо­рота в целом.

    Наиболее часто встречающимися угрозами конфиденци­альным документам в документопотоках могут быть:

    • несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любо­пытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персона­ла фирмы;

    • утрата документа или отдельных его частей (листов, фотографий, приложений, схем, копий, экземпляров и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

    • утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, ис­пользования остаточной информации на копироваль­ной ленте, бумаги, дисках и дискетах, ошибочных действий персонала;

    • подмена документов, носителей и их отдельных час­тей с целью фальсификации, а также сокрытия факта утери, хищения;

    • случайное или умышленное уничтожение ценных до­кументов и баз данных, несанкционированная моди­фикация и искажение текста, реквизитов;

    • гибель документов в экстремальных ситуациях.

    Под защищенным документооборотом (документопотоком) понимают контролируемое движение конфиденциаль­ной документированной информации по регламентирован­ным пунктам приема, обработки, рассмотрения, исполне­ния, использования и хранения в жестких условиях орга­низационного и технологического обеспечения безопасно­сти как носителя информации, так и самой информации.

    Помимо общих для документооборота принципов за­щищенный документооборот должен основываться на ряде дополнительных принципов:

    • ограничения доступа персонала к документам, делам, базам данных деловой, служебной или производствен­ной необходимостью;

    • персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфи­денциальным сведениям и документам;

    • персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиден­циальности информации;

    • жесткой регламентации порядка работы с документа­ми, делами и базами данных для всех категорий пер­сонала, в том числе первых руководителей.

    Защищенность документопотока должна быть достигнута за счет:

    • одновременного использования режимных (разреши­тельных и ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

    • нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или доку­мент, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

    • формирования самостоятельных, изолированных по­токов конфиденциальных документов и часто допол­нительного их разбиения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых доку­ментов.

    Любому движению (перемещению, передаче) документа должны обязательно предшествовать операции по провер­ке комплексности, целостности и учету нового местонахож­дения документа. Вместе с тем дополнительные операции (защитные меры) не должны повышать трудоемкость ра­боты с документами и увеличивать сроки их движения и исполнения.

    В состав всех документопотоков должен включаться ряд дополнительных стадий обработки конфиденциальных до­кументов:

    • инвентарный учет документов, дел и носителей инфор­мации, не включаемых в номенклатуру дел;

    • проверка наличия документов, дел и носителей ин­формации;

    • копирование и тиражирование документов;

    • уничтожение документов, дел и носителей.

    Для учета конфиденциальных документов необходимо обеспечить их физическую сохранность, комплектность и целостность, контроль доступа к ним персонала, проверку реального наличия документов и аналитическую работу по осведомленности персонала с содержанием документов.

    Индивидуальному учету подлежат все без исключения конфиденциальные документы. Учет подразумевает не толь­ко фиксирование факта поступления или начала работы с документом, но и обязательную регистрацию всех переме­щений документа и совершаемых с ним действий.

    Основным способом защиты информации от различных угроз являются строгая регламентация специализирован­ных технологических процедур учета и контроль за соблю­дением работниками утвержденных руководством требова­ний и правил.

    Учет конфиденциальных документов должен решать за­дачи фиксирования следующих фактов:

    • поступления пакета с документами, отдельного бумаж­ного или машиночитаемого документа, или докумен­та, поступающего по электронной и факсимильной почте (линиям связи);

    • регистрации исходных сведений о документе и вклю­чения его в справочно-информационный банк данных по документам;

    • переноса информации с бумажного носителя на ма­шинный носитель или помещения бумажного доку­мента в соответствующее дело;

    • перемещение документа в процессе его рассмотрения и исполнения, регистрация рабочих сведений;

    • местонахождение документа в любой момент време­ни в период исполнения документа и при его архив­ном хранении;

    • регистрация исходных сведений о документе;

    • дата начала и окончания составления, изготовления и издания документа;

    • дальнейшей работы над документом или отправле­ния его по адресу;

    • оформления специально подготовленных носителей для составления конфиденциальных документов;

    • перевода документа с одного виды учета на другой и идентификации учетных номеров;

    • обеспечения поисковой, справочной и контрольной работы по конфиденциальным документам;

    • регулярного удостоверения комплексности докумен­та при выполнении каждой технологической проце­дуры с целью предупреждения утраты копий и экзем­пляров документа, черновиков, редакций, приложе­ний, отдельных листов и рабочих записей.

    Гриф конфиденциальности присваивается документу:

    • исполнителем при подготовке к составлению проекта документа;

    • руководителем структурного подразделения (направ­ления деятельности) или руководителем фирмы при согласовании или подписании документа;

    • работником службы при первичной обработке посту­пающих документов, если конфиденциальный для фир­мы документ не имеет грифа ограничения доступа.

    Руководители всех рангов и исполнитель должны нести персональную ответственность за своевременное или пра­вильное установление, изменение и снятие грифа конфиден­циальности. Фактическое изменение или снятие грифа дол­жно осуществлять должностное лицо, подписавшее (утвер­дившее) документ, а также первый руководитель фирмы.

    В большинстве фирм (организаций) ведется автоматизи­рованный учет конфиденциальных документов. Он вклю­чает в себя следующие процедуры:

    • подготовка документов к вводу в ЭВМ;

    • ввод исходных сведений о документах в автоматизи­рованный банк данных;

    • ввод в предварительный массив автоматизированно­го банка данных электронных документов, докумен­тов на магнитном носителе и путем сканирования — бумажных документов;

    • распечатка на бумажном носителе (карточке) исход­ных учетных сведений о документе, при необходимо­сти — распечатка на бумажном носителе копий элек­тронных документов;

    • ежедневная проверка правильности регистрации до­кументов и их наличия;

    • изготовление на учтенной дискете страховой копии документа, поступившего по линии электронной по­чты;

    • перенос электронных документов из предварительного массива в основной рабочий массив (после выполне­ния учетных операций);

    • обозначение на бумажном документе или сопрово­дительном письме к дискете отметки о вводе докумен­та в базу данных с указанием его учетного (поиско­вого) номера;

    • подшивка бумажного документа и бумажной копии электронного документа в дело в соответствии с но­менклатурой дел и помещение страховых дискет (в том числе копий поступивших дискет) в ячейку места хранения.

    На основе применяемых традиционных и электронных регистрационных форм создается справочно-информационный банк данных (учетный аппарат), который предназ­начен для контроля за сохранностью документов, накопле­ния и систематизации исходных данных о документах, ак­туализации массивов информации — внесения в учетные формы рабочих сведений в процессе исполнения или исполь­зования документов, обеспечения контроля за исполнением документов и проверки их наличия.

    Для сохранения информации и ее безопасности необхо­димо утраивать проверки наличия документов. Целью про­верки является установление их реального соответствия за­писям в учетных формах, сохранности, целостности и ком­плексности, а также своевременное выявление фактов утра­ты конфиденциальных материалов и определение правиль­ности выполнения процедур и операций по их учету, хранению и использованию. Проверки стимулируют тщатель­ное соблюдение всеми сотрудниками фирмы требований по работе с конфиденциальными материалами, обеспечение их физической сохранности.

    Регламентированные (обязательные) проверки могут проводиться ежедневно, ежеквартально и по окончании ка­лендарного года. Они охватывают весь массив конфиден­циальных материалов. Нерегламентированные проверки осуществляются при смене руководителей подразделений или направлений деятельности фирмы, увольнении сотруд­ников, после завершения экстремальной ситуации, при вы­явлении факта возможной утраты информации и в других случаях. Этот вид проверки обычно ограничивается конк­ретной частью конфиденциальных материалов.

    Ежедневные проверки проводятся в конце рабочего дня всеми сотрудниками фирмы, работающими с конфиденци­альными материалами. Квартальные и готовые проверки осуществляются специально назначаемой комиссией. По ре­зультатам квартальной и годовой проверок составляется акт.

    Отсутствие документа, дела или носителя информации у сотрудника, которому они были выданы, считается утра­той материалов. В подобном случае должен быть состав­лен акт и немедленно доложено об утрате первому руково­дителю организации для принятия решения. Акт необходи­мо составить также и в случае обнаружения в базе данных компьютера сотрудника или на дискете неучтенной или не­санкционированно сохраненной копии электронного доку­мента.

    Сохранность электронных документов и баз данных

    При организации доступа сотрудников фирмы (органи­зации) к конфиденциальным массивам электронных доку­ментов, базам данных необходимо помнить о его много­ступенчатом характере. Можно выделить следующие его главные составные части:

    • доступ к персональному компьютеру, серверу или ра­бочей станции;

    • доступ к машинным носителям информации, хранящейся вне ЭВМ;

    • непосредственный доступ к базам данных и файлам.
    Доступ к персональному компьютеру, серверу или ра­бочей станции, которые используются для обработки кон­фиденциальной информации, предусматривает:

    • определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находятся соответству­ющая вычислительная техника, средства связи;

    • регламентацию первым руководителем временного режима нахождения этих лиц в указанных помеще­ниях;

    • персональное и временное протоколирование (фик­сирование) руководителем подразделения или направ­ления деятельности фирмы наличия разрешения и пе­риода работы этих лиц в иное время (например, в ве­черние часы, выходные дни и др.);

    • организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия по­мещений и отключения охранных технических средств информации и сигнализирования; определение пра­вил постановки помещений на охрану; регламента­цию работы указанных технических средств в рабо­чее время;

    • организацию контролируемого (в необходимых слу­чаях пропускного) режима входа в указанные поме­щения и выхода из них;

    • организацию действий охраны и персонала в экстре­мальных ситуациях или при авариях техники и обо­рудования помещений;

    • организацию выноса из указанных помещений ма­териальных ценностей, машинных и бумажных но­сителей информации, а также контроль вносимых в помещение и выносимых персоналом личных вещей.

    Несмотря на то, что по окончании рабочего дня конфи­денциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помеще­ния, в которых находится вычислительная техника, подле­жат охране. Объясняется это тем, что, во-первых, в неохра­няемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стер­тую конфиденциальную информацию на жестком диске (про­извести «уборку мусора»).

    Доступ к машинным носителям конфиденциальной ин­формации, хранящимся вне ЭВМ, предполагает:

    • организацию учета и выдачи сотрудникам чистых машинных носителей информации;

    • организацию ежедневной фиксируемой выдачи со­трудникам и приема от сотрудников носителей с за­писанной информацией (основных и резервных);

    • определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компь­ютеров, установленных на их рабочих местах, и по­лучать учтенные машинные носители информации;

    • организацию системы закрепления за сотрудниками машинных носителей информации и контроля за со­хранностью и целостностью информации, учета ди­намики изменения состава записанной информации;

    • организацию порядка уничтожения информации на носителе, порядка и условий физического уничтоже­ния носителя.

    Работа сотрудников и фирмы в целом с машинными но­сителями информации вне ЭВМ должна быть организова­на по аналогии с бумажными конфиденциальными доку­ментами.

    Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты ох­раняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

    Обычно доступ к базам данных и файлам подразумевает:

    • определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с опреде­ленными базами данных и файлами;

    • контроль системы доступа администратором базы данных;

    • именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

    • учет состава базы данных и файлов, регулярную про­верку наличия, целостности и комплектности элект­ронных документов;

    • регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

    • регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользо­вателя, автоматическую передачу сигнала тревоги ох­ране и автоматическое отключение компьютера;

    • установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т. п.), осо­бенно при частой смене персонала;

    • отключение ЭВМ при нарушениях в системе регули­рования доступа или сбое системы защиты информа­ции; механическое (ключом или иным приспособле­нием) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользо­вателя.

    Коды, пароли, ключевые слова, ключи, шифры, специ­альные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разра­батываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользова­теля работником этой организации или системным администратором. Применение пользователем собственных ко­дов не допускается.

    Для шифрования данных разработаны специальные про­граммы или системы (так называемые криптосистемы). Су­ществуют определенные требования, предъявляемые к ним:

    • зашифрованное сообщение должно поддаваться чте­нию только при наличии ключа;

    • число операций, необходимых для определения ис­пользованного ключа шифрования по фрагменту шиф­рованного сообщения и соответствующего ему откры­того текста, должно быть не меньше общего числа возможных ключей;

    • число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей, должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычис­лений);

    • знание алгоритма шифрования не должно влиять на надежность защиты;

    • незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного со­общения даже при использовании одного и того же ключа;

    • структурные элементы алгоритма шифрования долж­ны быть неизменными;

    • дополнительные биты, вводимые в сообщение в про­цессе шифрования, должны быть полностью и надеж­но скрыты в шифрованном тексте;

    • длина шифрованного текста должна быть равной дли­не исходного текста;

    • не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно ис­пользуемыми в процессе шифрования;

    • любой ключ из множества возможных должен обес­печивать надежную защиту информации;

    • алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования. Так же могут быть применены и другие меры.
    1   2   3

    написать администратору сайта