які організації Головний напрямок в цьому питанні ~ це безпека інформації
Работа добавлена на сайт samzan.net:
ІТ в боротьбі з економічними злочинами
В наш час, коли інформація виступає основним товаром, особливого значення набувають ІС та ІТ що захисту від економічного шпіонажу. Безпека даних – це проблема з якою стикаються будь-які організації. Головний напрямок в цьому питанні – це безпека інформації. Інформаційна безпека - обмеження інформаційної свободи, відкритості і доступності інформації, режим використання персональних даних в інтересах загальної безпеки, економічної доцільності і захисту прав інших людей (статті 32, 34 Конституції України).
Існує таке поняття як політика безпеки. Політика безпеки буває дискреційна, мандатна та рольова. Дискреційна політика має властивості - всі суб’єкти мають бути ідентифіковані і права доступу суб’єктів до об’єкта визначаються за певними правилами. Мандатна політика має властивості - всі суб’єкти мають бути ідентифіковані, задано набір міток секретності, кожному об’єкту і суб’єкту присвоєні мітки секретності, суб’єкти отримують доступ відповідно мітки секретності. Рольова політика визначає права доступу користувача відповідно його ролі. Виділяють наступні підходи в організації захисту даних: фізичні, законодавчі, управління доступом, криптографічне закриття.
В комунікаційних системах використовуються наступні засоби мереженого захисту інформації:
Мережеві екрани – для блокування атак з зовнішнього середовища. Вони керують проходженням мереженого трафіку відповідно правилам захисту, їх встановлюють на вході в мережу і розділяють внутрішні та зовнішні мережі.
Системи виявлення вторгнень – для виявлення спроб несанкціонованого доступу як ззовні, так і в середині мережі, захисту від атак типу «відома в обслуговуванні».
Засоби створення віртуальних приватних мереж, для організації захищених каналів передачі даних через незахищене середовище. Вони забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому цілісність інформації і конфедеційність.
Засоби аналізу захищеності – для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз, дозволяє попередити можливі атаки, оптимізувати витрати на захист.
Одним з методів захисту інформації – маскування ( захист інформації шляхом криптографічного закриття), цей метод широко використовується для захисту економічної інформації при передачі по каналах зв’язку великої протяжності. Ще один метод – регламентація(захист, що створює умови опрацювання інформації за регламентом). Примус – наступний метод захисту, коли персонал організації змушений дотримуватись певних правил опрацювання передачі і використання інформації з банка даних.
Щоб відправлений документ набув чинності потрібно, щоб він був підписаним і затвердженим (електронний підпис, електронна печатка). З другого боку вони надають захисту документу. Вам відомі з курсу інформатики про принципи захисту інформації в мережі (симетричні і несиметричні методи шифрування, система паролів). Для електронної комерції підходять несиметричні методи (криптографічні). Наука по захисту інформації – криптологія, яка складається з криптоаналізу (дослідження можливостей розшифрування інформації без знання ключів) і криптографії (пошук і дослідження математичних методів перетворення інформації)
Дайджест повідомлення – це унікальна послідовність символів, що однозначно відповідає змісту повідомлення, і має фіксований розмір 128 чи 168 біт). Джайдест вводиться до складу електронного підпису з відомостями про автора і шифрується разом з ним. Дайджест повідомлення нерідко називають відбитком, за аналогією з відбитками пальців. Він є унікальним для кожного документа. Його також називають електронною печаткою або штампом. Приймаюча сторона розшифровує повідомлення, перевіряє електронний підпис за допомогою своєї половини ключа, а потім обробляє повідомлення. Експерти по комп’ютерній безпеці не рекомендують застосовувати криптографічний ключ довжиною менше 128 біт, оскільки за допомогою кількох ПК такій шифр можна за короткій термін часу розкрити.
Засіб електронного підпису – це програмне чи/і апаратне забезпечення, призначене для генерації пари ключів (закритого і відкритого) і автоматизованого їх застосування при шифруванні чи дешифруванні електронного підпису. Значна частина державних законодавчих актів, що стосуються електронного підпису, електронної комерції та електронного документообігу, присвячена механізму посвідчення особи власника відкритого ключа. Це механізм заснований на тому, що вводиться (призначається) додаткова сторона що засвідчує належність відкритого ключа конкретній юридичній чи фізичній особі.. Це може бути державний орган чи організація, що уповноважена державою для ведення даної діяльності. В межах підприємства це може бути доручено особі, призначеній керівником. Особа, що створила собі пари ключів за допомогою електронного підпису, повинна звернутись в орган, уповноважений виконувати сертифікацію (Центр сертифікації при СБУ, де виконується офіційне затвердження та створення електронного підпису). Всі розвинені країни світу мають відповідну законодавчу базу стосовно електронного підпису. Україна поки що відстає в цьому напрямку. В міжнародному бізнесі діє модельний закон, розроблений Комісією ООН з міжнародного торгівельного права. Цей закон діє з 1995 року.
Цифровий сертифікат – це інформація, яка включається до публічного ключа певної особи і допомагає іншим пересвідчитись, що цей ключ має силу і є справжнім. Існують довідкові сервери (сертифікаційні) де можна отримати сертифікат і отримати довідку. Ще одним програмним методом захисту інформації є комп’ютерна стенографія. При стенографії найчастіше використовуються цифрові водяні знаки, які заносяться спеціальними програмними засобами.
При захисті даних що є комерційною таємницею широко використовується технічні засоби (ПЕОМ та периферійні пристрої - віртуально оптичні засоби, телевізійні, фотографічні, інфрачервоні, акустичні, радіотехнічні) для несанкціонованого змінювання інформації. Головною причиною виникнення промислового (економічного) шпіонажу є прагнення до конкурентної переваги.
Одним з найважливіших питань в області захисту є питання стандартів Стандарт на захист трансакцій (Internet-транзакцій) – SET але є і інші (SSL, SSH, S-HTTP, тощо).
Серйозною загрозою сьогодні став новий вид злочину так званий фішинг – це тип комп’ютерного шахрайства, якій базується на створенні підробних Web-ресурсів. Останні вводять користувачі в оману з метою отримання конфідиційних даних для використання коштів у банківських системах. Система паролів не виконує роль захисту, для захисту від фітингу USB-ключ або смарт-картка. Після його підключення, користувач може відкрити Web-сторінку банку, ввести свій PIN-код і після цього користувач може бути впевненим, що його повідомлення не буде перехопленим, або використані його дані для проведення операцій ї коштами на банківському рахунку.
Президент Буш підписав наказ згідно до якого американський уряд розробив створення підрозділу, який буде проводити кібер-атаки на закордонні комп’ютерні системи, розробляти кібер-озброєння, вторгатись на телеконференції, розривати електронні зв’язки, вимикати радари тощо.
На сьогодні розроблені нові типи паролів так звані графічні паролі. Ця ідея висунута більше 10 років тому. Пароль включає в себе послідовність клацання мишкою по конкретній точці на конкретному графічному зображенні.
За захист в корпоративній мережі (яка має вихід до ГОМ) можуть відповідати не тільки програмні засоби (брандмауери, які блокують несанкціонований доступ) але й технічні засоби. Наприклад, електронні ключі Guardant – це невеликі пристрої, під’єднані до ПК. Призначені для захисту локального програмного забезпечення, один ключ може бути використаний для захисту корпоративної мережі (від 5 до 100 абонентів).
Ще одна проблема захисту інформації в мережі це зміна дати в документах при їх отриманні чи відправленні. Якщо дату змінити можна порушити роботу всієї системи документообігу на підприємстві. Дату легко змінити засобами ОС. Для вирішення цієї проблеми існує так званий шлях сертифікації дати. За участю третьої незалежної організації (це може бути сервер авторитетної організації).
НБУ і СБУ розглядають ідею про створення спеціальної організації, що супроводжуватиме всі угоди, які укладатимуться через Internet. Ця структура здійснюватиме сертифікацію учасників Internet-торгівлі, забезпечуватиме безпеку кожної угоди, що укладається на території України. У 2006 році був прийнятий закон про державну службу по захисту інформації. ІТ необхідний сьогодні елемент для виявлення схем незаконних доходів, хабарництва, тероризму, шахрайства, наркобізнесу, схем легалізації коштів тощо.
В країнах Європи ще в 90-х роках розроблені нормативні акти, що стосуються регулювання відносин в Internet і ведення бізнесу через Internet. В них визначаються основний принцип Internet-індустрії – саморегуляція. В той же час чітко визначено відповідальність перед законом за протиправні дії. Європейський комітет з проблем злочинності Ради Європи підготував рекомендації з метою визначення правопорушень, пов’язаних з комп’ютерами для включення їх у законодавства європейських країн. Україні необхідно прийняти рішення, що до гармонізації законодавства України із законодавством Європейського союзу. Крім того, Україні необхідно ввести статті стосовно регулювання сучасних інформаційних відносин до Кодексу про адміністративні правопорушення та Цивільного кодексу, що має посилити правове забезпечення безпеки ІС, а також відповідальних посадових осіб, які забезпечують експлуатацію ІС. Без відповідного законодавства в нашій країні не можливо повноцінний розвиток інформаційних технологій і електронного бізнесу, а відповідно інтеграція України до світової цифрової економіки. В розвинених країнах світу Internet все більше і більше попадає під контроль з боку державних органів влади, а провайдери зобов’язані повідомляти уряд про протиправні дії, які виникають в мережі.
Відповідно до законодавства ЄС терміни електронного цифрового підпису і сертифікації в Закони України не відповідають термінам вдосконалений електронний підпис і безпечний механізм створення підпису, кваліфікований сертифікат. Таким чином, законодавчо термін надійністі/безпеки засобів створення підпису в Україні і ЄС розуміється по різному. Також багато зауважень з боку ЄС щодо функцій та вимог до діяльності регулюючих органів, визначених в Законі України «Про ЕЦП». Отже, можна зазначити що, прийняті у сфері електронної комерції Закон «Про ЕЦП» не діє, або ж електронна комерція в Україні обмежується виключно по причині ЕЦП, який не відповідає вимогам ЄС. Реалізація електронного підпису вимагає значних інвестицій, а хибність Закону може привести до неефективного витрачання коштів. Також може привести до електронного документообігу, який стоїть осторонь від Європейської та світової спільноти. Очевидно, що через певний час все одно доведеться ламати структуру, але витративши чималі ресурси спочатку на підтримку недієздатного законодавства, а потім на провадження кардинальних змін багатьох законів та підзаконних актів, що зможуть забезпечити розвиток економіки та бізнесу в Україні.
Internet та інформаційна безпека несумісні по самій природі Internet. Для вирішення питань безпеки необхідний перехід до нової організації Internet і за для цього потрібно передбачити наступне:
Ліквідувати зв’язок між майбутньою мережею Internet та корпоративними і відомчими мережами, зберегти лише інформаційний зв’язок через WWW.
Замінити маршрутизатори на комутатори, виключивши обробку у вузлах IP-протоколів і замінити його на режим , якій буде зводитись на звичайну операцію порівнювання МАС-адрес.
Перейти на нове єдине середовище адресного простору на базі фізичних адрес доступу (МАС-рівень), що прив’язується до географічного розташування, яке у свою чергу дозволить в рамках 48-біт створити адреси для більш ніж 64 триллионів незалежних вузлів.
2. Календарное планирование на производстве.html
3. Реферат- Как развивать у детей навыки опрятности и аккуратность
4. Тема 11 Сущность содержание и задачи бухгалтерского учета Тема 1
5. Малокаліберна гвинтівка
6. тема распознавания голоса не смогут надежно воспринимать человеческую речь главенствующее положение клави
7. реферат дисертації на здобуття наукового ступеня кандидата філологічних наук Київ ~ 2000
8. Прикладные вопросы экологической генетики
9. Права и обязанности сторон в уголовном процессе
10. Реферат на тему- Залежність клімату від широти підстиляючої поверхні циркуляції атмосфери
11. план Дауэса был заменен планом Юнга1 значительно облегчившем Германии условия выплаты репараций
12. Дніпропетровський транспортноекономічний коледж Навчальна дисципліна Іноземна мова за професійним
13. 1В чем вы видите причины обращения российских правителей к европейскому опыту в 17 веке почему этого не про
14. Разумный человек всегда живет так как он хочет И никто на свете не может ему в этом помешать потому что он т
15. FOR ~ параметрлі циклдік оператор; 2
16. Кассовая работа с ценностями в иностранной валюте дорожных чеках и денежных знаках банка России
17. на тему- ОРГАНІЗАЦІЯ САНІТАРНОЕПІДЕМІОЛОГІЧНОГО ЗАБЕЗПЕЧЕННЯ1
18. Потребительские свойства сыров и формирование их в процессе производства
19. то точка этой плоскости причём любая точка плоскости оказывается поставленной в соответствие какойнибуд
20. Коррупция некоторые исследовательские подходы