- •1. Законодавчі акти укр. Та нбу у сфері захисту і –ії.
- •2. Поняття державної, комерційної, банківської таємниці, конфіденційної інформації.
- •3. Поняття про методи захисту інформації
- •4. Захист персональної інформації.
- •5. Безпека даних у комп’ютерних мережах (локальних і глобальних мережах)
- •6. Безпека інформації в інформаційних системах
- •Суттєві з позицій безпеки властивості інформації
- •Загрози інформації
- •Аспекти захисту інформації
- •Види захисту інформації
- •7. 1.Організаційно-правові засади використання електронного документообігу (ед).
- •8. Сеп нбу: структура, принципи функціонування, засоби контролю, захист інформації.
- •9. Захист послуг жистанційного банківського обслуговування
- •Можливості системи
- •Наши продукты в области защиты информации
- •Компания “нокк” работает на рынке Украины с 1995 года в области защиты информации в банковских системах.
- •Программные продукты
- •10. Фішинг атаки.
6. Безпека інформації в інформаційних системах
Зáхист інформáції (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Термін вживається в Україні для опису комплексу заходів по забезпеченню інформаційної безпеки.
Суттєві з позицій безпеки властивості інформації
Захист інформації ведеться для підтримки таких властивостей інформації як:
Цілісність
— неможливість модифікації інформації неавторизованим користувачем.
Конфіденційність
— інформація не може бути отримана неавторизованим користувачем.
Доступність
— полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Спостережність
— властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.
Загрози інформації
Відповідно до властивостей І., виділяють такі загрози її безпеці:
загрози цілісності:
знищення;
модифікація;
загрози доступності:
блокування;
знищення;
загрози конфіденційності:
несанкціонований доступ (НСД);
витік;
розголошення.
Аспекти захисту інформації
Конфіденційність — захист від несанкціонованого ознайомлення з інформацією.
Цілісність — захист інформації від несанкціонованої модифікації.
Доступність — захист (забезпечення) доступу до інформації, а також можливості її використання. Доступність забезпечується як підтриманням систем в робочому стані так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
Види захисту інформації
Кожен вид ЗІ забезпечує окремі аспекти ІБ:
Технічний — забезпечує обмеження доступу до носія повідомлення апаратно-технічними засобами (антивіруси, фаєрволи, маршрутизатори, токіни, смарт-карти, тощо):
попередження витоку по технічним каналам;
попередження блокування ;
Інженерний — попереджує руйнування носія внаслідок навмисних дій або природного впливу інженерно-технічними засобами (сюди відносять обмежуючі конструкції, охоронно-пожежна сигналізація).
Криптографічний — попереджує доступ до за допомогою математичних перетворень повідомлення (ІП):
попередження несанкціонованої модифікації ;
попередження НС розголошення.
Організаційний — попередження доступу на об’єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (правила розмежування доступу).
7. 1.Організаційно-правові засади використання електронного документообігу (ед).
У системі ЕД використовують такі терміни:
Автор ел.док. – ф.о., юр.о., яка створила ел.док.;
Адресат – ф.о. або юр.о., якій адресується ел.док.;
Дані – інф. у формі придатній для викор. електронними засобами;
Посередник - ф.о. або юр.о., яка здійснює приймання, передавання, доставку, зберігання, перевірку цілісносте ел.док. або надає відповідні послуги за дорученням ін.. суб’єктів ЕД;
Суб’єктів ЕД – автор, підписував, адресат та посередник, які згідно з законом або договором мають право та обов’язки у процесі ЕД;
Електронний документ містить інф. у вигляді ел.даних і включає обов’язкові реквізити документа. Ел.док. може бути створений, перееданий, збережений і перетворений ел.засобами у візуальну форму.
Обов'язковим реквізитом ел.док. в ел.підпис (ЕП), який викор. для ідентифікації автора та підписувача ел.док. накладання ЕП завершується створенням ел.док. оригіналом ел.док. вважається його ел.примірник з обов'язковими реквізитами, в тому числі з ел.цифровим підписом автора (ЕЦП).
Оригінал ел.док. повинен давати змогу довести його цілісність і справжність і може бути пред'ялений у будь-якій візуальній формі, в т.ч. у паперовій, яка засвідчена підписами і печатами відповідальних осіб.
ЕД – це процесс створення, опрацювання, відправлення, предавання, одержання, зберігання, викор. та знищення ел.док, які виконуються із застосуванням перевірки цілісності документа та підтвердження факту одержання док.
Відправлення та передача ел.док. здійснює автор або посередник в ел.формі за допомогою засобів інформаціно-телекомунікаційних систем або шляхом передавання ел.носіїв, на яких записано док. Якщо автор і адресат у письмовій формі не домовилися про інше, датою і часом відправлення ел.док вважаються дата і час, коли відправлення ел.док. не може бути скасовано особою, яка його відправила.
ЕД вважається одержаним адресатові з часу надходження автору повідомлення в ел.формі від адресата про одерж. цього ел.док. (підтвердження одержання, квитанція).
В разі ненадходженя про факт одерж. Ел.док., то це означає, що воно адресатом не одержано. Перевірка цілісності ел.док. проводиться шляхом перевірки ЕЦП.
При укладанні важливих угод їх формують як правило на 1 листочку.
Суб'єкти ЕД переважно здійснюють його на договірних засадах. У договорах визначають режим доступу до ел.док., що містять конфіденційну інф. та встановлюють для них способи захисту. В ел.док., які є власністю держ. або містять інф. з обмеженим доступом, її безпеку забезпечить держ. служба технічного зв’язку та захисту інф.
7.2 Електронний цифровий підпис (ЕЦП)
Правовий статус ЕЦП визначає закон про ЕЦП. Дія цього закону не поширюється на відносини, що виникають під час виконання ін. ел.док. ЕЦП призначений для забезпечення діяльн. ф.о. та юр.о., яка здійснюється з викор. ЕЦП.
ЕЦП викор. для 2-х цілей:
Ідентифікація підписувала;
Підтвердження цілісності даних в ел.формі.
ЕП в даній ел.формі, які додаються до ін.. ел.даних і призначені для ідентифікації підписувача. ЕЦП в ел.підпису отриманий за результ. Криптографічного перетворення набору ел.даних. Він додається до цього набору, щоб підтвердити цілісність ел.док та ідентифікувати підписувача.
ЕЦП накладається за допомогою особистого ключа, а перевіряється за допомогою відкритого ключа підписувача. ЕП і ЕЦП є суттєва різниця. ЕП не потребує обов’язкового використання криптографічних перетворень і може бути сформований будь яким способом. Н-д: можна відсканувати свій підпис і тримати його у вигляді графічного файла.
Основною рисою ЕЦП є використання несиметричних криптографічних алгоритмів. Їх суть полягає в тому, що для накладання і перевірки ЕЦП викор. пара ключів: відкритий ключ, особистий ключ. Вони обов'язково повинні створ. Разом в одному сеансі генерації ключів, відповідати один одному математично та службовими параметрами ( дата і час генерації, номер сеансу генерації, криптографічний алгоритм, довжина ключа).
Особистий ключ – параметр криптограф.алгоритму формув. ЕЦП доступний тільки підписувачу. Відкритий ключ – параметр криптографічного алгоритму перевірки ЕЦП, який розповсюджується вільно.
Засіб ЕЦП – програмний засіб, программно-апаратний або апаратний пристрій призначений для генерування ключів, накладання та перевірки ЕЦП. Сертифікат відкритого ключа – це док., який виданий центром сертифікації ключів, засвідчує чинність і належність відкритого ключа підписувача. Посилений сертифікат відкритого ключа – це сертифікат ключа виданий одним з таких органів: Центральним завідуючим органом; Акредитованим центром сертифікації ключів.
Компроментація особистого ключа – будь яка подія, що привела до несанкціонованого викор. особистого ключа. Послуги ЕЦП – допомога при генерації ключів, обслуговуванні сертифікованих ключів, надання у користування засобів ЕЦП.
ЕЦП за правовим статусом прирівнюється до власноручного підпису або печатки, якщо:
Особистий ключ підписувача відповідає відкритому ключу зазначеному у сертифікаті;
ЕЦП підтверджені з використанням посиленого сертифіката ключа;
Під час перевірки використ. Посилений сертифікат ключа.
У випадках, коли треба засвідчити дійсність (ключа) підпису на ел.док. або відповідність копії док.-оригіналу печаткою на ЕЦП наклається не один ЦП юр.ос. спеціально призначений для таких цілей.
7.3. Центри сертифікації ключів (ЦСК)
ЦСК – це юр. або фіз.ос.( суб'єкти підпр.діяльн) що надає послуги ЕЦП має відкритий і таємний ключі і засвідчила свій відкритий ключ у засвідченому центрі.
Обслуговування юр. і фіз ос. Здійснює ЦСК на договірних засадах.
Зберігання особистих ключів підписувачів ЦСК, акредитованих ЦСК, засвідчувальних центрів, центр. Завідувальних органів в контролюючий орган центр.викон. влади.
Контролюючий орган
ЦСК Акредитований ЦСК
Засвідчувальний центр або ЦЗО, ЦЗУ
7.4 Використання ЕЦП банками
Загальні принципи формування і перевірки ЕЦП в банках є наступними для формування ЕЦП: склад. спец. криптографічна сума повідомлення з використ. хеш-функції. Контрольна сума шифрується особистим ключем та «+» до повідомлення разом з службовими параметрами, що формують поле ЕЦП.
П
Хеш-функція
повідомлення
КС
Особистий ключ підписувача
повідомлення
ЕЦП
Під час формування контрольної суми врах.зміст повідомлення, тому для різних повідомлень значення ЕЦП зроблене за допомогою також особистого ключа буде різним. При внесенні змін до змісту повідомлень, навіть зміна однієї літери буде приводити до формування іншого значення ЕЦП.
Для перевірки ЕЦП повідомлення потрібна наявність відкритого ключа підписувача.
Хеш-функція
повідомлення
ЕЦП
ВК
КС
КС 1
Якщо КС =Кс 1 , то це гарантує цілісність ел. повідомлення та посвідчує, що ЕЦП сформовано особистим ключем підписувача.
Ще одна умова для перевірки ЕЦП, відкритий ключ підписувача – дійсний і цілісний. Вона викон., якщо підписувач сам передасть свій вдкритий ключ або 3-я особа, якій довіряють завіряє цілісність цього відкритого ключа своїм ЕЦП.
Україна і НБУ використ. міжнародні стандарти. В НБУ створено Ценрт сертифікації ключів для банк. сист. України та засвідчув. Центр НБУ, який зареєстрував свій відкритий ключ і пройшов акредитацію у центрі засвідчув. органу.
Сьогодні інфраструктура засвідчув. центру НБУ є:
Засвідчув. центр НБУ або центр засвідчув.
орган
Центр сертиф. Ключів банку 1
Центр сертиф. Ключів банку 2
Центр сертиф. Ключів банку 3
Юр. І фіз..ос. часто мають к-ка рах. у різних банках Укр. Вони можуть обмін. З банком ел.док., якщо вони мають сертифікат відкритого ключа будь якого центру сер тиф.ключів.
В ЦЗО акредитовано біля 10 ЦСК. Вартість сертифіката 1 ключа від 150-600 грн. на 1 рік більшість організацій наполягають щоб клієнти користувались послугами саме того СЦК, який обслуг. їх організацію.
Як наслідок користувачам треба мати к-ка ключів і к-ка сертифікатів ключів від різних ЦСК.