- •Тема: Інформаційні ресурси Internet План
- •На сучасному рівні в системі міжнародних відносин розрізняють таки види служб:
- •Зв’язок з виконується через відповідне програмне забезпечення – DialogStar, DeskToр, DialogClassic, тощо.
- •Перспективи інформаційного бізнесу
- •Послуги зв'язку
- •Поштові сервіси (e-mail).
- •2. Стандарти електронного обміну даними.
- •3. Цифрова економіка та електронна комерція
- •4. Програні агенти
- •Основні властивості програмного агента
- •Властивості інтелектуальних агентів
- •Переконання, бажання і наміри агентів
- •Мультиагентні системи
- •5. Геоінформаційні системи
- •6. Електронний уряд
- •Електронний уряд як концепція державного управління в Інформаційному суспільстві
- •Електронний уряд і цифрова демократія
- •Класи віртуальних підприємств
- •8. Платіжні фінансові системи Internet
- •Види платіжних систем
- •Системи електронних платижів
- •Адресація в системі еп нбу.
- •Національна система масових електронних платежів
- •9. Економічні злочини та інформаційні технології Інформація як об’єкт захисту
- •Основні аспекти інформаційної безпеки
- •Комп’ютерні злочини
- •Заходи і методи забезпечення безпеки інформації в мережі Internet. Засоби захисту інформації.
- •Стандарти захисту інформації
- •Методи захисту
- •Центри сертифікації. Протоколи
- •10. Internet- торгівля , бізнес- портали, аукціон, Internet-банкінг
Заходи і методи забезпечення безпеки інформації в мережі Internet. Засоби захисту інформації.
Формування режиму інформаційної безпеки – це комплексна проблема. Заходи формування режиму інформаційної безпеки мають кілька рівнів: законодавчий рівень - закони, нормативні акти, стандарти тощо; адміністративний рівень – дії загального характеру, що виконуються керівництвом організації; процедурний рівень - конкретні заходи безпеки, пов’язані з людьми; технічний рівень – конкретні технічні засоби, апаратура, програмні продукти.
Найбільша питома вага форм захисту комп’ютерної інформації припадає саме на правові засоби. Сьогодні спеціальні закони, спрямовані на захист секретної інформації, прийняті в Австрії, Канаді, Данії, ФРН, Франції, Ізраїлі, Великобританії тощо. У деяких федеративних країнах, таких, як США, крім федеративних статутів з обробки інформації, існують аналогічні закони в різних штатах. Державна політика забезпечення інформаційної безпеки визначена в Законі України «Про основи державної політики в сфері науки і науково-технічної діяльності», прийнятому 13 грудня 1991 року.
Стандарти захисту інформації
Для узгодження всіх підходів до проблеми створення захищених систем розроблені стандарти інформаційної безпеки - документи, які регламентують основні поняття та концепції інформаційної безпеки на державному та міждержавному рівнях, визначають поняття “захищена система” шляхом стандартизації вимог та критеріїв безпеки, які формують шкалу оцінки ступеня захищеності ІС. Саме наявність таких стандартів дозволяє узгоджувати потреби користувачів та замовників ІС з якісними характеристиками ПЗ, що створюють розробники ІС.
Захищена система - це система, яка відповідає конкретному стандарту інформаційної безпеки.
Будь-який захист починається з визначення того, що потрібно захищати, від яких загроз і якими засобами. Тому захист інформації починається із встановлення співвідношень між трьома фундаментальними властивостями інформації - конфіденційність (запобігання несанкціонованому читанню або отриманню деяких відомостей про інформацію); цілісністю (запобігання несанкціонованій модифікації або руйнуванню інформації) й доступністю (забезпечення доступності даних для авторизованих користувачів) - для конкретної ПрО. Саме ці співвідношення і є змістом політики безпеки інформації.
Дотримання ПБ має забезпечити той компроміс, що обрали власники цінної інформації для її захисту. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації задовільна, якщо вона надійно підтримує виконання правил ПБ.
Таке визначення проблеми захищеності інформації дозволяє залучити точні математичні методи для доведення того, що дана система у заданих умовах підтримує ПБ. Це дозволяє говорити про “гарантовано захищену систему”, в якій при дотримуванні початкових умов виконуються усі правила ПБ. Термін “гарантований захист” вперше зустрічається у стандарті міністерства оборони США на вимоги до захищених систем - "Оранжевій книзі" (OK). ОК була розроблена у 1983 р. і прийнята стандартом у 1985 р. Міністерством оборони США для визначення вимог безпеки до апаратного, програмного і спеціального забезпечення комп’ютерних систем та створення відповідних методологій аналізу ПБ, що реалізувалася в комп’ютерних системах військового призначення. OK надає виробникам стандарт, що встановлює, якими засобами безпеки варто оснащувати свої продукти, щоб вони задовольняли вимоги гарантованої захищеності (мається на увазі, насамперед, захист від розкриття даних) для використання при обробці цінної інформації.
Комп’ютерна система безпечна, якщо вона забезпечує контроль за доступом до інформації так, що тільки уповноважені особи або процеси, що функціонують від їхнього імені, мають право читати, писати, створювати або знищувати інформацію.
Політика безпеки містить норми, правила і практичні прийоми, що регулюють управління, захист і розподіл цінної інформації. ПБ надає комплекс поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу комплексної системи захисту інформації.
Рівні ПБ:
політичний (розроблення офіційної політики захисту інформації);
аналітичний (створення процедур для попередження порушень);
профілактичний (типи процедур, послуги і функції інформаційної безпеки);
управлінський (реакція на порушення інформаційної безпеки);
технологічний (розроблення заходів, що застосовуються після порушень).
Створення політики захисту означає розроблення плану вирішення питань, що пов’язані з комп’ютерним захистом. Один з найбільш загальних підходів до рішення цієї проблеми полягає в формулюванні відповідей на питання:
Від кого і від чого потрібно захищати інформацію?
Які ймовірні загрози захищеній інформації?
Які рішення щодо забезпечення захисту існують?
Чи можуть ці рішення забезпечити достатній захист?
Які заходи для реалізації обраних рішень найбільш економічні?
Як постійно стежити за процесом захисту і покращувати його, якщо знайдене слабке місце?
Ідентифікація - розпізнавання імені об'єкта. Об'єкт, що ідентифікується, має бути однозначно розпізнаваним.
Аутентифікація - це підтвердження того, що пред'явлене ім'я відповідає об'єкту.
Аудит - реєстрація подій, що дозволяє відновити і довести факт здійснення цих подій. Крім того, аудит передбачає аналіз тієї інформації, що реєструється.
Гарантованість – міра довіри, яка має бути надана архітектурі та реалізації ІС.
Політика безпеки буває дискреційна, мандатна та рольова. Дискреційна політика має властивості - всі суб’єкти мають бути ідентифіковані і права доступу суб’єктів до об’єкта визначаються за певними правилами. Мандатна політика має властивості - всі суб’єкти мають бути ідентифіковані, задано набір міток секретності, кожному об’єкту і суб’єкту присвоєні мітки секретності, суб’єкти отримують доступ відповідно мітки секретності. Рольова політика визначає права доступу користувача відповідно його ролі. Виділяють наступні підходи в організації захисту даних: фізичні, законодавчі, управління доступом, криптографічне закриття.