У вас вопросы?
У нас ответы:) SamZan.net

Теорія захисту інформації

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 29.12.2024

Теорія захисту інформації


План

1. Функції систем захисту інформації

. Основні терміни та визначення

. Введення в криптологію

. Нормативно-правова база захисту інформації


1. Функції систем захисту інформації

Безумовним та загальновизнаним є той факт, що рівень розвитку держави та суспільства значною мірою залежить та визначається рівнем їх інформатизації. У зв’язку з цим в Україні як і у більшості країн світу широко та інтенсивно в усі сфери життєдіяльності людини, суспільства та держави впроваджуються новітні інформаційні системи (ІС), телекомунікаційні системи (ТС), інформаційно-телекомунікаційні системи (ІТС), інформаційні технології (ІТ) та системи інформаційних технологій (СІТ), інформаційно-аналітичні системи (ІАС) та автоматизовані системи управління (АСУ). Особливу важливу роль інформаційно-телекомунікаційні та інформаційно-аналітичні системи відіграють в таких сферах як державне управління, економіка, освіта, наука, оборона, безпека життєдіяльності особи тощо. При функціонуванні вказаних систем здійснюється обробка інформації. Під обробкою інформації в системі розуміється виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів. При цьому обмін інформацією здійснюється з використанням інформаційно-телекомунікаційних систем як внутрішнього так і загального користування, в тому числі при підключенні до міжнародних інформаційно-телекомунікаційних систем через глобальну світову інформаційну інфраструктуру. На практиці поряд з інформаційними та телекомунікаційними системами широке застосування знаходять інформаційно-телекомунікаційні системи.

Широке розповсюдження знаходить використання електронних документів та здійснення електронного документообігу, при цьому під електронним документом розуміється інформація, яка зафіксована у вигляді електронних даних, включаючи обов’язкові реквізити документа. Однією з найбільш важливих вимог до електронних документів є забезпечення їх цілісності на всіх етапах їх життєвого циклу, а також підтвердження авторства. На виконання цих вимог в Україні, як і у технологічно розвинутих державах прийняті закониПро електронні документи та електронний документообігтаПро електронний цифровий підпис. Ці важливі закони вводяться в дію з 1 січня 2004 року.

Проводячи аналіз стану інформаційної безпеки різних відомств, організацій та фірм, можна прийти до висновку, що об’єктом захисту, який викликає найбільше занепокоєння і акумулює всі проблеми інформаційної безпеки є інформаційно-телекомунікаційні системи, що будуються на базі комп’ютерів. Відповідно до даних федерального бюро розвідки США в 2001 році фінансові втрати від комп’ютерного злодійства склали біля 400 млн. дол. За оцінками відділу з наук та інформаційних технологій при президентові США щорічні втрати, що наносяться американському бізнесу комп’ютерними зловмисниками, в 2001 році склали близько 100 млрд. дол. Втрати від несанкціонованого доступу до інформації, що пов’язана з діяльністю фінансових інститутів США, в тому ж році склали не менш 1 млрд. дол. Таким чином, зловмисні дії в різних ІТС (ІТ та СІТ) наносять суттєві фінансові втрати.

Крім того, проведений аналіз підтверджує, що з кожним роком кількість комп’ютерних атак, що здійснюють зловмисники суттєво збільшилась. Так в США їх число зросло в 2002 р., в порівнянні з 2001 р., з 58 тисяч до 80 тисяч. Велику загрозу складаютьхакери-мафіозі. Єдина мета цих хакерівотримання прибутку. На їх долю приходиться  10 % зловмисних дій. На долюполітичних хакерівприходиться менше 1 % комп’ютерних атак, але вони відносяться до найбільш небезпечних зловмисників. Жертвами політичних атак стали урядові сайтитак в США за три останні роки були взломані сайти Білого Дому, Пентагону та Держдепартаменту.

Згідно з даними Інституту комп’ютерної безпеки США (CSIComputer Security Institute) та групи Ескадрон проникнення в комп’ютери (Computer Intrusion Squad) федерального бюро розслідувань, 90% всіх опитаних респон-дентів підтвердили факти здійснення атак на їх мережі. При цьому 273 корпорації понесли збитки на суму $265 000 000.

Відповідно до даних МВС Російської Федерації в 1997 р. було зареєстровано 309 комп’ютерних злочинів, в 1998 р. більше 500, а в подальшому збереглась тенденція збільшення їх на 30 %.

Вищенаведене підтверджує проблемність та складність забезпечення інформаційної безпеки в різних інформаційно-телекомунікаційних системах, інформаційних технологіях та системах інформаційних технологій.

Особливими суб’єктами, до яких притягується увага комп’ютерних злов-мисників є банки. На сьогодні банки є найбільш розгалуженим постіндустріаль-ним суб’єктом економіки, який концентрує в собі величезний економічний потенціал, тому і приваблює зловмисників. Розглянемо проблеми інформаційної безпеки на прикладі інформаційних технологій, що застосовуються в банках.

Згідно з установленими нормами міжнародної практики безпеки, об’єктами захисту з урахуванням їх пріоритетів є матеріальні та інформаційні цінності. Так вже склалося, що ринкові відношення з їх невід’ємною конкуренцією та наявністю кримінального світу в навколобанківській сфері, потребує захисту від зовнішніх та внутрішніх загроз банківської діяльності, перш за все, їх інформаційній безпеці.

Таблиця 1Приклади втрат в банківській сфері

Номер

Джерело інформації

Злочини, що здійснені та втрати 

1

Організація та сучасні методи здійснення захисту інформації. За загальною редакцією С.А. Дієва. КонцернБанківський діловий центр. М. 1998 р. с. 6

В лютому 1995 року збанкрутував великий англійський банкБерінгс. Причиною чого став співро-бітник банку Нік Лісон, який через власноруч відкритий рахунок здійснював незаконні операції. Загальна сума збитків становила 830 млн. фунтів стерлінгів. Треба зважити також на те, що ніхто з перевіряючих чи керівництва не виявив порушень, оскільки Нік Лісон був одночасно відповідальним виконавцем по торгових операціях банку, а також по облікових операціях, тобто можна стверджувати, що в банку існувала неефективна система управління.

2

Організація та сучасні методи здійснення захисту інформації. За загальною редакцією С.А. Дієва. КонцернБанківський діловий центр. М. 1998 р. с. 6-7

В 1994 році покладено край діяльності злочинної організації із співробітників Центробанку Росії в Новосибірській області. Група за допомогою Сибірської філії Інкомбанку шляхом використання фальшивих документів здійснювала незаконні перекази грошей на рахунки фіктивних фірм.

3

ГазетаLondonTimes

Громадянин Росії, Олексій Лачманов признав себе винним в участі в електронному обкраденніСіті-банкуна суму 62,8 млн. долл. США, організованим математиком і кримінальним хакером із Санкт-Петербургу Володимиром Левіним. 

4

ГазетаФактивід 3.11.1998 р.

жовтня 1998 року з рахунків Вінницького Обласного управління Національного банку України, було несанкціоновано списано 80,4 млн.грн. У крадіжці був винен технолог операційного відділу який через ВОУР НБУ здійснив перекази на рахунки фіктивних фірм. За цією справою було заарештовано більше 30 осіб.

5

Газета "Факти" від 8.10.2002 р.

-річний Євгеній Д. працював у філії банку "Аваль" ведучим спеціалістом. Протягом декількох місяців він розробив фінансову схему пограбування "Аваля". "Комп’ютерний геній" разом з декількома "дружками" відкрили в Кривому Розі, Кіровограді та Нікополі рахунки фіктивних фірм і за одну ніч перевели на них 2 млн. 720 тис. Наступного дня гроші були транзитом переведені через інші банки в Нікополь та були отримані готівкою.

В табл. 1 наведено деякі приклади втрат в банківський сфері внаслідок відсутності або недостатності забезпечення інформаційної безпеки банку.

Під інформаційною безпекою банку розуміється формування його інформаційних ресурсів та організація їх гарантованого захисту, тобто забезпечення захищеності банківської інформації та підтримуючої інфраструктури від випадкових та навмисних впливів природного або штучного характеру, в результаті яких можуть бути нанесені збитки банку або ресурсам банку. Вона досягається шляхом створення в банку системи обробки інформації, проведенням відповідних заходів щодо зберігання та розподілу, визначенням категорії і статусу банківської інформації, порядку і правил доступу до неї, дотриманням усіма працівниками і клієнтами, засновниками банку норм і правил роботи з банківською інформацією, своєчасним виявленням спроб і можливих каналів витоку інформації.

Прогнози, які можна зробити на найближче майбутнє, показують появу нових суспільно небезпечних форм злочинної діяльності в сфері грошово-кредитних відносин, серед яких можна навести: махінації з кредитними картками, електронними цінними паперами тощо. Особливо жорстко постає це питання зараз, коли електронні системи платежів набувають в Україні свого широкого розповсюдження та розвитку.

Можна висунути чимало суттєвих вимог, яким мають задовольняти платіжні системи, щоб служити інструментом, здатним забезпечити життєдіяльність сучасної розвинутої економіки. Відповідні характеристики платіжних систем визначаються залежно від ролі, яку виконує платіжна система, від організаційних, бухгалтерських, технологічних механізмів, що застосовуються.

Враховуючи те, що в Україні інтенсивно розробляються банківські електронні системи, перш за все, платіжні, найбільш важливим є забезпечення інформаційної безпеки банків та клієнтів. Із аналізу основних загальнодержавних нормативних документів та нормативних документів НБУ випливає, що інформаційні системи захисту, що створюються, мають надавати усім користувачам такі основні послуги як цілісність, спостереженість, доступність та конфіденційність. Взагалі послуги можуть бути надані за рахунок розробки та застосування комплексної системи захисту банківських інформаційних технологій. Під комплексною системою захисту банківських інформаційних технологій розумітимемо сукупність правових і морально-етичних норм, організаційних та програмно-технічних засобів та заходів, які спрямовані на протидію загрозам для платіжних систем і мінімізацію можливих збитків. Теж саме можна сказати і відносно інформаційних систем, телекомунікаційних систем, інформаційно-телекомунікаційних систем, інформаційних технологій та систем інформаційних технологій, інформаційно-аналітичних систем та автоматизованих систем управління різнобічного призначення.

Склад комплексної системи захисту визначається на основі вивчення усіх інформаційних процесів та потоків системи телекомунікацій і, як наслідок, розробці такої моделі загроз, щоб забезпечити мінімізацію втрат. На основі моделі загроз має бути розроблена та запроваджена концепція та політика інформаційної безпеки банку та створена комплексна система захисту інформації, які мають забезпечувати такі послуги безпеки: 

  •  конфіденційність інформаціївластивість інформації, коли неавторизовані особи, які не мають доступу до інформації, не можуть розкрити зміст цієї інформації;
  •  цілісність інформаціївластивість інформації, яка полягає в тому, що вона не може бути змінена навмисно або випадково користувачем чи процесом. А також властивість, яка полягає в тому, що жодний з її компонентів не може бути усунений, модифікований або доданий з порушенням політики безпеки;
  •  справжність;
  •  доступністьвластивість ресурсу системи (інформації), яка полягає в тому, що авторизований користувач може отримати доступ до ресурсу тільки із заданою якістю;
  •  спостережливістьвластивість ресурсу інформаційної технології, що дозволяє реєструвати всі дії користувачів, здійснювати доступ поіменно, відповідно до ідентифікаторів та повноважень, а також реагувати на ці дії з метою мінімізації можливих втрат в системі, що здійснюється також за рахунок застосування криптографічного захисту інформації (КЗІ);
  •  неспростростовність;
  •  Вказані послуги можуть бути забезпечені, перш за все, за рахунок використання різних криптографічних перетворень, криптографічних систем та криптографічних протоколів.

Таким чином системи захисту інформації повинні забезпечувати такі функції захисту інформації:

- конфіденційність;

- цілісність;

-справжність (автентичність);

-неспростовність;

-доступність;

-надійність.

2. Основні поняття і визначення

На наш погляд як базисні поняття криптології, що відображують її суть, узгод-жені з розповсюдженими поняттями та відображують новітні досягнення, можуть бути прийняті такі:

Інформація в інформаційних системах (ІС), телекомунікаційних системах (ТС), інформаційно-телекомунікаційних системах (ІТС), інформаційних технологіях (ІТ) та системах інформаційних технологій (СІТ) –сукупність даних, програм, повідомлень та команд, які використовуються або передаються в них, незалежно від засобу їх фізичного або логічного представлення (подання). Керівна, науково-дослідна та науково-технічна, проектно-експлуатаційна та інша документація життєвого циклу ІС, ТС, ІТС, ІТ та СІТ.

Інформаційна (автоматизована) системасистема, в якій реалізується технологія обробки інформації за допомогою технічних і програмних засобів.

Телекомунікаційна системасукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи іншим способом.

Інформаційно-телекомунікаційна системасукупність взаємопов’язаних інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдина система.

Безпека інформаціїзахищеність даних, програм, повідомлень, протоколів, засобів та середовища від порушення конфіденційності, цілісності, доступності та спостережливості інформації та (або) ресурсів.

Забезпечення безпеки інформаціївпроваджена сукупність заходів, спрямованих на запобігання витоку, порушення конфіденційності, цілісності, доступності та спостережливості інформації.

Захист інформації в системідіяльність, що спрямована на запобігання заподіянню шкоди інтересам власників інформації, її користувачів, власників системи та іншим суб’єктам відносин у сфері захисту інформації в системі, обумовленої порушенням умов обробки інформації та/або вимог до її захисту, а також діяльність по забезпеченню конфіденційності, цілісності, доступності та спостережливості інформації та ресурсів.

Криптографічне перетворення інформаціїперетворення інформації з метою приховування або відновлення її змісту, підтвердження її справжності, цілісності, авторства, захисту від несанкціонованого доступу до інформації та ресурсів тощо, яке здійснюється з використанням спеціальних (ключових) даних.

Криптографічний захист інформаціївид захисту, що реалізується за допомогою її криптографічного перетворення з метою забезпечення її конфіденційності, цілісності, справжності, доступності, спостережливості тощо.

Засіб криптографічного захисту інформаціїапаратний, програмний, апаратно-програмний або інший засіб, призначений для криптографічного захисту інформації.

До засобів КЗІ належать:

  •  апаратні, програмні, апаратно-програмні засоби, що реалізують криптографічне перетворення інформації;
  •  апаратні, програмні, апаратно-програмні засоби забезпечення цілісності та справжності інформації, у тому числі засоби імітозахисту та цифрового підпису, що здійснюються за допомогою криптографічного перетворення інформації;
  •  апаратні, програмні, апаратно-програмні засоби, які призначені для управління ключовими даними, включаючи генерацію ключових даних та виготовлення ключових документів;
  •  апаратні, програмні та апаратно-програмні засоби захисту інформації від несанкціонованого доступу (НСД), що використовують криптографічні алгоритми перетворення інформації.

Криптографічна система (криптосистема) –сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує необхідний рівень безпеки інформації, що обробляється та (або) передається в КСЗІ ІТ (ІТС, СІТ).

3. Введення в криптологію

Найбільш загальною наукою про таємницю є криптологія. Криптологія як наука вивчає закономірності забезпечення конфіденційності, цілісності і т.д. критичної інформації в умовах інтенсивної протидії (криптоаналізу).

Криптологія поділяється на криптографію і криптоаналіз.

Криптографія - вивчає методи, алгоритми і засоби здійснення криптографічного захисту інформації.

Криптоаналізвивчає методи, алгоритми і засоби розкриття криптографічної системи при невідомій частині ключа.

Криптографічне перетворення інформаціїздійснюється з використанням симетричних, несиметричних криптосистем. Криптографічна система називається симетричною, якщо ключ прямого перетворення збігається з ключем зворотного перетворення чи обчислюється один з іншого не вище чим з поліноміальною складністю (не більш 1 секунди).

Криптосистема (алгоритм) не симетричний, якщо ключ прямого перетворення не збігається з ключем зворотного перетворення, і один може бути обчислений з іншого не нижче чим з експоненціальною складністю.

У Європі криптопроект NESSIE-2003, у ньому визначено 10 видів криптоперетворень 

Симетричнірозробка блокового симетричного шифрування, потоковий шифр, автентифікація (процедура встановлення дійсності джерела, приймача повідомлень).

Несиметричніфункції хеширування (обчислення криптографічних контрольних сум) односпрямованої хеш (стиску з великого простіра в малий), ключова хеш з використанням ключа.

Направлене шифрування (виконується умова (2)).

Ідентифікація (автентифікація) - (1),(2).

Криптопротокол - рішення розподіленої задачі, багатоетапно.

4. Нормативно-правова база захисту інформації

Захист інформації здійснюється у відповідності до діючої нормативно-правової бази України. До цієї бази відносяться:

. Закони України.

. Укази Президента України.

. Постанови Кабінету Міністрів.

. Накази Служби безпеки України.

. Нормативні документи з криптографічного та технічного захисту інформації.

. Національні стандарти в галузі захисту інформації.

7. Міжнародні та регіональні стандарти в сфері захисту інформації. 




1. Курсовая работа- Проектирование организации труда на участке машиностроительного предприяти
2. Группа животных личинки Кишечнополостные
3. Этическая философия Г. Сковороды -Укр.-.html
4. Вятский автомобильно Утверждаю- промышленный колледж
5. Отопление3 1
6. АКартография наука об отображении и познании природных и социальноэкономических геосистем посредством ка
7. Тема- Эксплуатационные требования к компьютерному рабочему местуЦель работы- рассмотреть эксплуатационны.
8. зеленого устойчивого бренда на потребительскую реакцию и покупательское поведение с учетом индивидуал
9. технічний та інтелектуальний потенціал Україна має всі можливості стати спливовую світовою державою викон
10. Госты
11.  Все полости ЦНС сообщаются друг с другом и заполнены цереброспинальной жидкостью ликвором стенки всех по
12. С. Макаренко о коллективе
13. Организация охраны материнства и детства в России
14. Современные системы и технологии противопожарной защиты зданий и сооружений
15. Променеве дослідження молочної залози
16. Совершенствование направлений государственного регулирования банковской деятельности
17. Лекция 14 Проблема человека в философии и науке
18. Реферат- Классификация наук, ее критерии, необходимость и значение
19. Типология характеров
20. 083 При гастростомии по Витцелю конец трубки погружаемый в просвет желудка должен быть направлен- к пил