Захист інформації в світових інформаційних системах

Загрози безпеці інформаційних систем та їх характеристика. Застосування протоколів шифрування конфіденційної інформації. Поняття несанкціонованого доступу, канали витоку інформації у банках. Інциденти з витоку інформації у Сполучених Штатах Америки.

Рубрика Государство и право
Вид контрольная работа
Язык украинский
Дата добавления 23.07.2017
Размер файла 108,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Захист інформації в світових інформаційних системах

Загрози безпеці інформаційних систем та їх характеристика

Посилення уваги до питань захисту інформації обумовлене зростанням доступу до неї. У нинішньому інформаційному столітті нові покоління електронно-обчислювальних машин з'являються з надзвичайною швидкістю. Збільшується пам'ять машин, змінюється їх структура й операційна система. Творці нової обчислювальної техніки намагаються за певними параметрами суміщати нову техніку із застарілою. Проте поява процесорів Pentium, здатних паралельно виконувати кілька задач, свідчить, що програми, написані для старих, повільних чипів, не варті того, щоб витрачати кошти на їх удосконалення. Для чипів Pentium створено нове сімейство програм. Однак помилки, що допускалися в старих версіях програм, неухильно з'являються і в нових версіях. Зазначимо, що операційні системи завжди відрізнялися недосконалістю та складністю своєї документації. Навіть найпоширеніша операційна система Windows, не зважаючи на регулярне відновлення, не позбавлена помилок. Це викликає особливу тривогу, тому що сучасна індустрія досить сильно залежить від роботи комп'ютерної мережі. Ситуація ускладнюється ще й зростанням кількості витончених вірусних атак.

Для гарантованої безпеки функціонування інформаційної мережі застосовуються різні протоколи шифрування конфіденційної інформації, електронні підписи, здійснюється сертифікація інформації. Заборона на несанкціоноване переміщення даних між локальною мережею міжнародної компанії та глобальною мережею може забезпечуватися спеціальними комп'ютерами або програмами (брандмауерами). Інтелектуальні скарби нації мають бути надійно захищені. Як справедливо зазначає Михайло Згуровський [88], найважливішим напрямком захисту знань є "інвентаризація рідкісних даних із занесенням їх у "білу книгу" та визначення пріоритетів їхнього захисту", необхідно подбати про "розвиток нового виду діяльності -- менеджменту даних". Автор підкреслює важливість "захисту та конфіденційності наукових даних на індивідуальному, національному і корпоративному рівні". Л. С. Винарик, О. М. Щедрін,

Н. Ф. Васильєва стверджують: "Входження України до світового інформаційно-економічного простору може бути забезпечено лише через створення відповідної нормативно-правової бази" [44]. Реалізація цього завдання вимагає вивчення досвіду, накопиченого передовими державами у цій галузі. У нашій країні відносини з приводу захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах на Україні регулюється Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" [4].

Автоматизовані інформаційні системи, відкриваючи нові можливості для організації міжнародної економічної діяльності, для підвищення її якості та надійності, водночас є однією з найуразливіших сторін міжнародної компанії, яка притягує до себе зловмисників як із числа персоналу компанії, так і тих, що працюють поза межами підприємства.

Гострота проблеми безпеки автоматизованих систем обумовлена низкою об'єктивних причин. Основна з них -- високий рівень довіри до автоматизованої системи. Цілком вірогідно, що незаконне маніпулювання такою інформацією може призвести до величезних збитків.

Проблема безпеки інформації ускладнюється ще й у зв'язку з розвитком та розширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту інформації, що обробляється та передається.

Під безпекою інформаційної системи розуміється її захищеність від випадкового або навмисного втручання в нормальний процес її функціонування, а також від спроб розкрадання, модифікації або руйнування її компонентів. Інакше кажучи, це спроможність протидіяти різноманітним діям, що завдають шкоди інформаційній системі.

Безпека інформаційної системи досягається організацією конфіденційності оброблюваної інформації, а також цілісністю і доступністю компонентів і ресурсів системи.

Конфіденційність інформації -- це властивість інформації бути відомою тільки для допущених суб'єктів системи (користувачів, програм, процесів і т. ін.), які пройшли відповідну перевірку.

Таких суб'єктів у літературі називають авторизованими. Для інших об'єктів системи ця інформація ніби не існує.

Цілісність компонента (ресурсу) -- це властивість компонента бути незміненим (у семантичному, змістовному розумінні) у процесі функціонування системи.

Доступність компонента (ресурсу) -- це властивість компонента бути доступним для використання авторизованими суб'єктами в будь-який час.

Метою будь-яких заходів щодо організації безпеки автоматизованої інформаційної системи (АІС) є захист власника і законних користувачів

АІС від нанесення їм матеріального чи морального збитку в результаті випадкового або навмисного впливу на систему.

Розрізняють зовнішню і внутрішню безпеку АІС. Зовнішня безпека системи передбачає її захист як від випадкових зовнішніх впливів (наприклад, природних -- повінь, пожежа і т. ін.), так і від несанкціонованого доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого або непрямого доступу до ресурсів системи і до інформації.

Центральним питанням безпеки АІС є захист інформації. Один із напрямків організації інформаційної системи полягає у створенні інтегрованих систем обробки даних (ІСОД). Як правило, при цьому забезпечується мінімальна вартість створення й функціонування інформаційної системи, оскільки використовуються колективні ресурси для всіх її користувачів, до яких належать апаратні й програмні засоби обробки інформації, засоби її збереження і т. ін. Вдало вибрана організація й можливості колективного користування (обсяг пам'яті, швидкодія центральної електронної обчислювальної машини (ЕОМ) і т. ін.) значно знижують вартість створення й експлуатації систем.

Проте використання можливостей колективного ресурсу не означає його доступності для кожного користувача. Відповідний доступ має бути санкціонованим і визначатися тими правилами (вимогами), що формулюються під час створення інформаційної системи. Реалізація всіх вимог санкціонованого доступу вимагає деякого збільшення вартості заходів створення й реалізації системи.

Використання персональної обчислювальної машини (ПЕОМ), підключення їх до локальних обчислювальних мереж, а тим більше -- до глобальних мереж, ускладнюють реалізацію заходів безпеки інформаційних систем. Це пов'язано із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, що зберігаються окремо від ЕОМ а також з ідентифікацією прийнятої інформації та зі збереженням її достовірності під час передачі по каналах зв'язку.

За будь-якого підходу до організації роботи інформаційної системи заходи щодо її безпеки викликають деякі незручності. Головні з них такі: додаткове ускладнення роботи з більшістю захищених систем; збільшення вартості захищеної системи; додаткове навантаження на системні ресурси, що потребує збільшення робочого часу для виконання того самого завдання у зв'язку з уповільненням доступу до даних і виконанням операцій у цілому; необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.

Охарактеризуємо найбільш типові ситуації, за яких створюється загроза безпеці інформаційних систем.

Несанкціонований доступ -- один із найбільш поширених видів комп'ютерних порушень, який полягає в одержанні користувачем доступу до об'єкта, на який у нього немає дозволу згідно з прийнятою в даній системі політикою безпеки.

Несанкціонований доступ уможливлюється через невдалий вибір засобів захисту, їх некоректної установки та настроювання, а також через недбале ставлення до захисту власних даних.

Незаконне використання привілеїв. У будь-якій захищеній системі передбачені засоби, які використовують за надзвичайних ситуацій, або засоби, які спроможні функціонувати навіть у разі порушення правил запровадженої політики безпеки. Наприклад, у разі несподіваної перевірки роботи системи користувач повинен мати доступ до всіх наборів системи. Звичайно, ці засоби використовуються адміністраторами, операторами, системними програмістами й іншими користувачами, що виконують спеціальні функції.

Під загрозою безпеці розуміється потенційно можливий вплив, що може безпосередньо чи опосередковано завдати шкоди користувачам або власникам інформаційних систем.

Наражатися на небезпеку можуть:

інформаційна система в цілому -- зловмисник намагається проникнути в систему для подальшого виконання яких-небудь несанкціонованих дій. Для цього він звичайно використовує метод "маскараду", перехоплення або підробки пароля, злому;

об'єкти інформаційної системи -- дані або програми в оперативному запам'ятовуючому пристрої (ОЗП) чи на зовнішніх носіях; самі пристрої системи як зовнішні (дисководи, мережні пристрої, термінали), так і внутрішні (ОЗП, процесор). Злочинний вплив на об'єкти системи звичайно має на меті доступ до їхнього вмісту (порушення конфіденційності або цілісності інформації, що на них зберігається), або порушення їхньої функціональності (наприклад, заповнення всієї ОЗП безглуздою інформацією або завантаження процесора комп'ютера задачею з необмеженим часом виконання);

суб'єкти автоматизованої системи, тобто процеси або підпроцеси користувачів. Метою таких атак є прямий вплив на перебіг процесу -- його припинення, зміна привілеїв, або зворотний вплив -- використання зловмисником привілеїв і характеристик іншого процесу зі своєю метою;

канали передачі даних (самі канали або пакети даних, переданих по каналу). Вплив на пакети даних може розглядатися як атака на об'єкти мережі; вплив на канали -- як специфічний тип атак, характерний для певної мережі.

Від стану об'єкта атаки в момент її здійснення багато в чому залежать результати атаки і заходи з ліквідації її наслідків. Об'єкт атаки може перебувати в одному з трьох станів:

- зберігання інформації на машинному носії в пасивному стані. При цьому вплив на об'єкт здійснюється з використанням доступу;

- передача інформації по лінії зв'язку між вузлами мережі або всередині вузла. Вплив припускає доступ до фрагментів інформації, що передається (наприклад, перехоплення пакетів на ретрансляторі мережі), або просто прослуховування з використанням таємних каналів;

- оброблення інформації у тих ситуаціях, коли об'єктом атаки є процес користувача.

Атаки розрізняють за способом впливу на об'єкт:

- безпосередній вплив на об'єкт атаки, наприклад, безпосередній доступ до набору даних, до програми, служби, каналу зв'язку і т. ін. через використання якоїсь помилки засобу захисту. Таким діям, звичайно, легко завадити за допомогою засобів контролю доступу;

- вплив на систему дозволів (у тому числі захоплення привілеїв). У цьому разі несанкціоновані дії стосуються прав користувачів на об'єкт атаки, а безпосередній доступ здійснюється після цього як законний;

- опосередкований вплив (через інших користувачів). Класифікують загрози безпеці інформації і за іншими ознаками: за

метою реалізації, за принципом впливу, за характером впливу тощо. Численність класифікацій зумовлює складність як визначення небезпеки, так і засобів захисту від неї.

Безпека інформаційних систем в умовах глобалізації в останній час стає одною з головніших проблем розвитку процесів інформатизації. Компанія Cisco Systems, що налічує коло 57 тисяч співробітників, розосереджених по всьому світу, продовжує традиції новаторства і розробляє кращі в галузі продукти і рішення у сфері сучасних технологій, до яких відносяться: IP- комунікації; сітьова безпека; бездротові мережі LAN; домашні мережі; відеосистеми; прикладні мережеві послуги. До найважливіших проблем безпеки керівництво компанії відносить проблеми проникнень черв'яків та вірусів, розкрадення інформації, зниження ефективності роботи комп'ютерів у зв'язку з використанням їх ресурсів зловмисниками для інших цілей, велику швидкість модифікації загроз, недосконалість законодавчої бази. Дуже важливим аспектом загроз є загроза витоку інформації. Зараз вона набуває великих розмірів (табл. 5.1). На сьогоднішній день це часто відбувається у зв'язку зі збереженням даних на мобільному пристрої.

Для банківської сфери витік інформації за даними аналітичного центру Info Watch розподілився в такий спосіб (рис. 5.1). В першу чергу потребує удосконалення форм захисту інформація, що передається через мобільні телефони, електронну пошту, Інтернет (веб-пошта, форуми).

Таблиця 5.1. Інциденти з витоку інформації у США (За даними ComputerWorld/Украина)

№ з/п

Інцидент

Кількість потерпілих

Збитки (дол.)

1

Витік даних про ветеранів та військовослужбовців США

28,7 млн.

45 млрд.

2

Викрадено ноутбук співробітника Natiowide Building Society

11 млн.

1,5 млрд.

3

Крадіжка диску з приватною інформацією клієнтів Dai Nippon Printing

8,64 млн.

1,2 млрд.

4

3 медичного центру викрадено ноутбук з персональними картками лікарів та пацієнтів

1,8 млн.

367 млн.

5

3 офісу Affiliated Computer Services викрадено ноутбук з даними клієнтів

1,4 млн.

320 млн.

6

Фірма-підрядник Texas Guaranteed загубила леп-топ з даними клієнтів

1,3 млн.

237 млн.

7

Пропав лептоп з автомобіля співробітника Boeing

382 тис.

147 млн.

8

3 офісу страхової компанії CS Stars пропав ноутбук з іменами, адресами та номерами соцстрахування робітників Нью-Йорка

540 тис.

84 млн.

9

Співробітник бухгалтерської фірми Hancock Askew втратив ноутбук з персональними даними клієнтів

401 тис.

73 млн.

10

В медичному центрі Vassar Brothers зник лептоп та резервний диск з медичними картками пацієнтів

257 тис.

47 млн.

Боротьба з цим видом злочинності у США та країнах Євросоюзу проводиться законодавчими методами, де міжнародна компанія, через яку відбувся витік інформації, несе відповідальність, в Україні поки що такого механізму немає.

Порушниками охорони інформації, насамперед, виявляються користувачі і робітники інформаційної системи, які мають до неї доступ. Основними причинами порушення захисту інформації є: безвідповідальність, самовпевненість і корисливий інтерес персоналу. За даними статистики, 81,7 % порушень допускається службовцями компанії, які мають доступ до інформаційної системи, і тільки 17,3 %- сторонніми особами (у тому числі 1 % припадає на випадкових осіб). Отже, головне джерело порушень безпеки інформації знаходиться всередині самих інформаційних систем, тож для будь-якої з них внутрішній захист має бути обов'язковим.

Рис. 5.1. Канали витоку інформації у банках

Однією з найбільших загроз інформаційних систем є ураження вірусними програмами, що проникають через різні носії інформації, особливо через глобальні інформаційні мережі. За словами Володимира Тихонова, спеціаліста служби консалтингу "Лабораторії Кас-перського", у 2006 році було зафіксовано 7 великих вірусних епідемій. Епідемії 2006 року він ділить на такі групи: черв'як, черв'яки сімейств Ва§іе та Warezov, серед яких багато поштових черв'яків, а також варіант троянця-шифрувальника Єрсосіе. У 2006 році з'явилось біля 60 тис. нових вірусів, що на 41 % більше, ніж у 2005 році [164]. інформаційний несанкціонований доступ конфіденційний

Розповсюдженню цих програм сприяє те, що більшість програмістів-створювачів вірусних програм нічого на мають проти відкритості коду їх програм. Ці програми вільно появляються у друкованих виданнях. Насправді закритою є уразливість програм. Так, уразливість у процедурі обробки WMF-фaйлiв у кінці минулого року продавалась за 4 тисячі доларів.

Останнім часом набули глобального масштабу проблеми, пов'язані з поширенням інформатизації у світі. Серед них -- інтелектуальне (комп'ютерне, інформаційне) піратство.

Є загальні причини і наслідки піратства в софтверному світі. Піратство програмного забезпечення (ПЗ) як таке має три основних напрямки негативного впливу:

- Економічне -- піратство завдає економічної шкоди не тільки через погіршення інвестиційного клімату, але також через недоодержання податків при продажі легального софту, через те, що пірати податків не платять.

- Інтелектуальне -- піратство практично знищило раніше існуючу українську індустрію ПЗ, і тому програм українського виробництва на наших комп'ютерах немає або майже немає, і український програміст у кращому випадку працює в аутсорсинговому або офшорному секторі, що найчастіше в нас знаходяться в тіні. Крім того, авторських прав на програмне забезпечення -- економічної основи софтверної індустрії -- українські програмісти не одержують. У результаті безліч дрібних і середніх українських софтверних компаній виконують закордонні замовлення в абсолютній тіні і без яких-небудь авторських прав;

- Технологічне -- піратські версії ПЗ мають низьку якість і це впливає як на можливість їх якісного використання, так і на формування негативного іміджу компанії-виробника ліцензованого продукту.

- Політичне -- розвинуте піратство погіршує імідж і інвестиційний клімат держави. Це продовжується вже багато років: Україна -- єдина країна у світі, що 4 роки носила малопочесний титул пріоритетної країни по піратству. Протягом кількох років Україні вдалося привести законодавство у сфері інтелектуальної власності у повну відповідність до європейського законодавства та міжнародних угод, які діють у цій сфері, а також запровадити дієві механізми його реалізації. Тому зараз змінено статус України зі статусу "Пріоритетної іноземної країни" щодо торгівельних санкцій у зв'язку з порушенням прав інтелектуальної власності на статус країни, що належить до "Переліку країн пріоритетного спостереження" (Priority Watch List) (табл. 5.2) в рамках списку "Special 301" [96] -- Україну виключено з Priority Foreign Country. За дослідженням міжнародної консалтингової компанії "Yankee Group", а також організації Business Software Alliance" 35 % усього ПЗ у світі є неліцензійним. З 97 країн, де проходило дослідження, у 51-ї рівень піратства складає не менше 64 %.

Таблиця 5.2. Список країн пріоритетного спостереження (Priority Watch List) у рамках списку IIPA 2007 "Special 301" (орієнтовані втрати в результаті порушення прав інтелектуальної власності за рік)

Країна

Ділове ПО

Загальний збиток від піратської діяльності, млн. $

млн. $

Рівень піратства

Аргентина

215,0

76 %

301,0

Венесуела

124,0

84 %

174,6

Домініканська республіка

10,0

77 %

20,9

Єгипет

47,0

63 %

90,0

Ізраїль

41,0

32 %

98,4

Індія

318,0

70 %

496,3

Канада

551,0

34 %

551,0

Китай

1949,0

82 %

2207,0

Коста-Ріка

12,0

65 %

27,1

Мексика

296,0

63 %

1005,6

Росія

1433,0

83 %

2180,1

Саудівська Аравія

112,0

51 %

140,0

Таїланд

164,0

80 %

219,7

Туреччина

203,0

66 %

243,0

Україна

290,0

85 %

320,0

Чилі

65,0

64 %

95,6

Размещено на Allbest.ru


Подобные документы

  • Правовий статус, поняття та зміст інформації з обмеженим доступом. Охорона державної таємниці в Україні. Поняття та зміст банківської та комерційної таємниці. Правова охорона персональних даних. Захист конфіденційної інформації, що є власністю держави.

    курс лекций [159,8 K], добавлен 16.12.2010

  • Вільний доступ до інформації – передумова демократичного розвитку суспільства та країни. Передбачений правовими нормами порядок одержання, використання, поширення й зберігання інформації. Можливість вільного доступу до даних. Обмеження свободи інформації.

    дипломная работа [93,9 K], добавлен 11.11.2013

  • Державний контроль та право суспільства на криптографію. Міжнародні стандарти та державне регулювання господарських відносин у сфері криптографічного захисту інформації, використання можливостей шифрування в інформаційних і комунікаційних мережах.

    дипломная работа [137,0 K], добавлен 11.07.2014

  • Поняття інформації, основні принципи інформаційних відносин в Україні. Види інформації та їх конституційно-правове регулювання. Правовий статус друкованих та аудіовізуальних засобів масової інформації, взаємовідносини держави і друкованих ЗМІ в Україні.

    реферат [34,3 K], добавлен 23.02.2011

  • Історія становлення організації захисту державної таємниці. Завдання забезпечення безпеки держави зумовлюють необхідність захисту його інформаційних ресурсів від витоку важливої політичної, економічної, науково-технічної і військової інформації.

    реферат [15,5 K], добавлен 26.05.2006

  • Види, галузі та джерела інформації. Повідомлення як основні форма подання інформації, різні підходи до класифікації повідомлень. Типи інформації за сферами виникнення та призначення. Види інформації відповідно до Закону України "Про інформацію".

    реферат [27,2 K], добавлен 26.02.2013

  • Конституційно-правова природа, поняття та види інформації. Резолюція Організації об'єднаних націй від 3 червня 2011 року та її значення в реалізації прав людини на доступ до інформації. Конституційно-правове забезпечення доступу до інтернет в України.

    курсовая работа [60,6 K], добавлен 24.04.2014

  • Правові норми і теорії, що визначають положення, ознаки, поняття та елементи режимів службової таємниці і персональних даних та їх співвідношення. Правові режими інформації з обмеженим доступом та конфіденційної інформації. Принцип безперервного захисту.

    статья [20,3 K], добавлен 14.08.2017

  • Поняття та правові ознаки державної таємниці. Проблемні аспекти віднесення інформації до державної таємниці. Узагальнене формулювання критерію визначення шкоди національній безпеці внаслідок розголошення секретної інформації, метод аналізу і оцінки шкоди.

    дипломная работа [2,9 M], добавлен 14.07.2013

  • Неправомірне збирання, розкриття, використання комерційної таємниці. Захист інформації в засобах і мережах їх передачі і обробки, організація роботи з нею. Перелік нормативних актів. Положення про конфіденційну інформацію та комерційну таємницю ТОВ "ХХХ".

    контрольная работа [31,0 K], добавлен 04.03.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.