Реферат: Теорія захисту інформації
Реферат: Теорія захисту інформації
Теорія захисту інформації
План
1. Функції систем захисту інформації
2. Основні терміни та визначення
3. Введення в криптологію
4. Нормативно-правова база захисту нформації
1. Функції систем захисту інформації
Безумовним та загальновизнаним є той факт, що рівень розвитку держави та суспільства значною мірою залежить та визначається рівнем їх інформатизації. У зв’язку з цим в Україні як і у більшості країн світу широко та інтенсивно в усі сфери життєдіяльності людини, суспільства та держави впроваджуються новітн нформаційні системи (ІС), телекомунікаційні системи (ТС), інформаційно-телекомунікаційн системи (ІТС), інформаційні технології (ІТ) та системи інформаційних технологій (СІТ), інформаційно-аналітичні системи (ІАС) та автоматизовані системи управління (АСУ). Особливу важливу роль інформаційно-телекомунікаційні та інформаційно-аналітичн системи відіграють в таких сферах як державне управління, економіка, освіта, наука, оборона, безпека життєдіяльності особи тощо. При функціонуванні вказаних систем здійснюється обробка інформації. Під обробкою інформації в системі розуміється виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів. При цьому обмін інформацією здійснюється з використанням інформаційно-телекомунікаційних систем як внутрішнього так загального користування, в тому числі при підключенні до міжнародних нформаційно-телекомунікаційних систем через глобальну світову інформаційну нфраструктуру. На практиці поряд з інформаційними та телекомунікаційними системами широке застосування знаходять інформаційно-телекомунікаційні системи.
Широке розповсюдження знаходить використання електронних документів та здійснення електронного документообігу, при цьому під електронним документом розуміється нформація, яка зафіксована у вигляді електронних даних, включаючи обов’язков реквізити документа. Однією з найбільш важливих вимог до електронних документів забезпечення їх цілісності на всіх етапах їх життєвого циклу, а також підтвердження авторства. На виконання цих вимог в Україні, як і у технологічно розвинутих державах прийняті закони “Про електронні документи та електронний документообіг” та “Про електронний цифровий підпис”. Ці важливі закони вводяться в дію з 1 січня 2004 року.
Проводячи аналіз стану нформаційної безпеки різних відомств, організацій та фірм, можна прийти до висновку, що об’єктом захисту, який викликає найбільше занепокоєння і акумулю всі проблеми інформаційної безпеки є інформаційно-телекомунікаційні системи, що будуються на базі комп’ютерів. Відповідно до даних федерального бюро розвідки США в 2001 році фінансові втрати від комп’ютерного злодійства склали біля 400 млн. дол. За оцінками відділу з наук та інформаційних технологій при президентові США щорічні втрати, що наносяться американському бізнесу комп’ютерними зловмисниками, в 2001 році склали близько 100 млрд. дол. Втрати від несанкціонованого доступу до інформації, що пов’язана з діяльністю фінансових інститутів США, в тому ж році склали не менш 1 млрд. дол. Таким чином, зловмисні дії в різних ІТС (ІТ та СІТ) наносять суттєві фінансов втрати.
Крім того, проведений аналіз підтверджує, що з кожним роком кількість комп’ютерних атак, що здійснюють зловмисники суттєво збільшилась. Так в США їх число зросло в 2002 р., в порівнянні з 2001 р., з 58 тисяч до 80 тисяч. Велику загрозу складають “хакери-мафіозі”. Єдина мета цих хакерів – отримання прибутку. На їх долю приходиться » 10 % зловмисних дій. На долю “політичних хакерів” приходиться менше 1 % комп’ютерних атак, але вони відносяться до найбільш небезпечних зловмисників. Жертвами політичних атак стали урядові сайти – так в США за три останні роки були взломані сайти Білого Дому, Пентагону та Держдепартаменту.
Згідно з даними Інституту комп’ютерної безпеки США (CSI – Computer Security Institute) та групи Ескадрон проникнення в комп’ютери (Computer Intrusion Squad) федерального бюро розслідувань, 90% всіх опитаних респон-дентів підтвердили факти здійснення атак на їх мережі. При цьому 273 корпорації понесли збитки на суму $265 000 000.
Відповідно до даних МВС Російської Федерації в 1997 р. було зареєстровано 309 комп’ютерних злочинів, в 1998 р. більше 500, а в подальшому збереглась тенденція збільшення х на 30 %.
Вищенаведене підтверджує проблемність та складність забезпечення інформаційної безпеки в різних інформаційно-телекомунікаційних системах, інформаційних технологіях та системах інформаційних технологій.
Особливими суб’єктами, до яких притягується увага комп’ютерних злов-мисників є банки. На сьогодн банки є найбільш розгалуженим постіндустріаль-ним суб’єктом економіки, який концентрує в собі величезний економічний потенціал, тому і приваблю зловмисників. Розглянемо проблеми інформаційної безпеки на приклад нформаційних технологій, що застосовуються в банках.
Згідно з установленими нормами міжнародної практики безпеки, об’єктами захисту з урахуванням їх пріоритетів є матеріальні та інформаційні цінності. Так вже склалося, що ринков відношення з їх невід’ємною конкуренцією та наявністю кримінального світу в навколобанківській сфері, потребує захисту від зовнішніх та внутрішніх загроз банківської діяльності, перш за все, їх інформаційній безпеці.
Таблиця 1 – Приклади втрат в банківській сфері
| Номер | Джерело інформації | Злочини, що здійснен та втрати |
| 1 | “Організація та сучасн методи здійснення захисту інформації”. За загальною редакцією С.А. Дієва. Концерн “Банківський діловий центр”. М. 1998 р. с. 6 | В лютому 1995 року збанкрутував великий англійський банк “Берінгс”. Причиною чого став співро-бітник банку Нік Лісон, який через власноруч відкритий рахунок здійснював незаконні операції. Загальна сума збитків становила 830 млн. фунтів стерлінгів. Треба зважити також на те, що ніхто з перевіряючих чи керівництва не виявив порушень, оскільки Нік Лісон був одночасно відповідальним виконавцем по торгових операціях банку, а також по облікових операціях, тобто можна стверджувати, що в банку існувала неефективна система управління. |
| 2 | “Організація та сучасн методи здійснення захисту інформації”. За загальною редакцією С.А. Дієва. Концерн “Банківський діловий центр”. М. 1998 р. с. 6-7 | В 1994 році покладено край діяльності злочинної організації із співробітників Центробанку Росії в Новосибірській області. Група за допомогою Сибірської філії Інкомбанку шляхом використання фальшивих документів здійснювала незаконні перекази грошей на рахунки фіктивних фірм. |
| 3 | Газета “LondonTimes” | Громадянин Росії, Олексій Лачманов признав себе винним в участі в електронному обкраденн Сіті-банку” на суму 62,8 млн. долл. США, організованим математиком кримінальним хакером із Санкт-Петербургу Володимиром Левіним. |
| 4 | Газета “Факти” від 3.11.1998 р. | 23 жовтня 1998 року з рахунків Вінницького Обласного управління Національного банку України, було несанкціоновано списано 80,4 млн.грн. У крадіжці був винен технолог операційного відділу який через ВОУР НБУ здійснив перекази на рахунки фіктивних фірм. За цією справою було заарештовано більше 30 осіб. |
| 5 | Газета "Факти" від 8.10.2002 р. | 24-річний Євгеній Д. працював у філії банку "Аваль" ведучим спеціалістом. Протягом декількох місяців він розробив фінансову схему пограбування "Аваля". "Комп’ютерний геній" разом з декількома "дружками" відкрили в Кривому Розі, Кіровограді та Нікополі рахунки фіктивних фірм і за одну ніч перевели на них 2 млн. 720 тис. Наступного дня гроші були транзитом переведені через інші банки в Нікополь та були отриман готівкою. |
В табл. 1 наведено деякі приклади втрат в банківський сфері внаслідок відсутності або недостатності забезпечення інформаційної безпеки банку.
Під інформаційною безпекою банку розуміється формування його інформаційних ресурсів та організація їх гарантованого захисту, тобто забезпечення захищеност банківської інформації та підтримуючої інфраструктури від випадкових та навмисних впливів природного або штучного характеру, в результаті яких можуть бути нанесені збитки банку або ресурсам банку. Вона досягається шляхом створення в банку системи обробки інформації, проведенням відповідних заходів щодо зберігання та розподілу, визначенням категорії і статусу банківсько нформації, порядку і правил доступу до неї, дотриманням усіма працівниками клієнтами, засновниками банку норм і правил роботи з банківською інформацією, своєчасним виявленням спроб і можливих каналів витоку інформації.
Прогнози, які можна зробити на найближче майбутнє, показують появу нових суспільно небезпечних форм злочинно діяльності в сфері грошово-кредитних відносин, серед яких можна навести: махінації з кредитними картками, електронними цінними паперами тощо. Особливо жорстко постає це питання зараз, коли електронні системи платежів набувають в Україні свого широкого розповсюдження та розвитку.
Можна висунути чимало суттєвих вимог, яким мають задовольняти платіжні системи, щоб служити інструментом, здатним забезпечити життєдіяльність сучасної розвинутої економіки. Відповідн характеристики платіжних систем визначаються залежно від ролі, яку викону платіжна система, від організаційних, бухгалтерських, технологічних механізмів, що застосовуються.
Враховуючи те, що в Україні інтенсивно розробляються банківські електронні системи, перш за все, платіжні, найбільш важливим є забезпечення інформаційної безпеки банків та клієнтів. Із аналізу основних загальнодержавних нормативних документів та нормативних документів НБУ випливає, що інформаційні системи захисту, що створюються, мають надавати усім користувачам такі основні послуги як цілісність, спостереженість, доступність та конфіденційність. Взагалі послуги можуть бути надані за рахунок розробки та застосування комплексної системи захисту банківських інформаційних технологій. Під комплексною системою захисту банківських інформаційних технологій розумітимемо сукупність правових морально-етичних норм, організаційних та програмно-технічних засобів та заходів, які спрямовані на протидію загрозам для платіжних систем і мінімізацію можливих збитків. Теж саме можна сказати і відносно інформаційних систем, телекомунікаційних систем, інформаційно-телекомунікаційних систем, інформаційних технологій та систем інформаційних технологій, інформаційно-аналітичних систем та автоматизованих систем управління різнобічного призначення.
Склад комплексно системи захисту визначається на основі вивчення усіх інформаційних процесів та потоків системи телекомунікацій і, як наслідок, розробці такої моделі загроз, щоб забезпечити мінімізацію втрат. На основі моделі загроз має бути розроблена та запроваджена концепція та політика інформаційної безпеки банку та створена комплексна система захисту інформації, які мають забезпечувати такі послуги безпеки:
- конфіденційність інформації – властивість інформації, коли неавторизовані особи, які не мають доступу до інформації, не можуть розкрити зміст цієї інформації;
- цілісність нформації – властивість інформації, яка полягає в тому, що вона не може бути змінена навмисно або випадково користувачем чи процесом. А також властивість, яка полягає в тому, що жодний з її компонентів не може бути усунений, модифікований або доданий з порушенням політики безпеки;
- справжність;
- доступність властивість ресурсу системи (інформації), яка полягає в тому, що авторизований користувач може отримати доступ до ресурсу тільки із заданою якістю;
- спостережливість властивість ресурсу інформаційної технології, що дозволяє реєструвати всі д користувачів, здійснювати доступ поіменно, відповідно до ідентифікаторів та повноважень, а також реагувати на ці дії з метою мінімізації можливих втрат в системі, що здійснюється також за рахунок застосування криптографічного захисту нформації (КЗІ);
- неспростростовність;
- Вказан послуги можуть бути забезпечені, перш за все, за рахунок використання різних криптографічних перетворень, криптографічних систем та криптографічних протоколів.
Таким чином системи захисту інформації повинні забезпечувати такі функції захисту інформації:
- конфіденційність;
- цілісність;
-справжність (автентичність);
-неспростовність;
-доступність;
-надійність.
2. Основні поняття і визначення
На наш погляд як базисні поняття криптології, що відображують її суть, узгод-жені з розповсюдженими поняттями та відображують новітні досягнення, можуть бути прийняті такі:
Інформація в нформаційних системах (ІС), телекомунікаційних системах (ТС), нформаційно-телекомунікаційних системах (ІТС), інформаційних технологіях (ІТ) та системах інформаційних технологій (СІТ) – сукупність даних, програм, повідомлень та команд, які використовуються або передаються в них, незалежно від засобу їх фізичного або логічного представлення (подання). Керівна, науково-дослідна та науково-технічна, проектно-експлуатаційна та інша документація життєвого циклу ІС, ТС, ІТС, ІТ та СІТ.
Інформаційна (автоматизована) система – система, в якій реалізується технологія обробки нформації за допомогою технічних і програмних засобів.
Телекомунікаційна система – сукупність технічних і програмних засобів, призначених для обміну нформацією шляхом передавання, випромінювання або приймання її у вигляд сигналів, знаків, звуків, рухомих або нерухомих зображень чи іншим способом.
Інформаційно-телекомунікаційна система – сукупність взаємопов’язаних інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдина система.
Безпека інформац захищеність даних, програм, повідомлень, протоколів, засобів та середовища від порушення конфіденційності, цілісності, доступності та спостережливост нформації та (або) ресурсів.
Забезпечення безпеки нформації – впроваджена сукупність заходів, спрямованих на запобігання витоку, порушення конфіденційності, цілісності, доступності та спостережливост нформації.
Захист інформації в системі – діяльність, що спрямована на запобігання заподіянню шкоди інтересам власників інформації, її користувачів, власників системи та іншим суб’єктам відносин у сфері захисту інформації в системі, обумовленої порушенням умов обробки інформації та/або вимог до її захисту, а також діяльність по забезпеченню конфіденційності, цілісності, доступності та спостережливост нформації та ресурсів.
Криптографічне перетворення інформації – перетворення інформації з метою приховування або відновлення її змісту, підтвердження її справжності, цілісності, авторства, захисту від несанкціонованого доступу до інформації та ресурсів тощо, яке здійснюється з використанням спеціальних (ключових) даних.
Криптографічний захист нформації – вид захисту, що реалізується за допомогою її криптографічного перетворення з метою забезпечення її конфіденційності, цілісності, справжності, доступності, спостережливості тощо.
Засіб криптографічного захисту інформації – апаратний, програмний, апаратно-програмний або інший засіб, призначений для криптографічного захисту інформації.
До засобів КЗІ належать:
- апаратні, програмні, апаратно-програмні засоби, що реалізують криптографічне перетворення нформації;
- апаратні, програмні, апаратно-програмні засоби забезпечення цілісності та справжност нформації, у тому числі засоби імітозахисту та цифрового підпису, що здійснюються за допомогою криптографічного перетворення інформації;
- апаратні, програмні, апаратно-програмні засоби, які призначені для управління ключовими даними, включаючи генерацію ключових даних та виготовлення ключових документів;
- апаратні, програмні та апаратно-програмні засоби захисту інформації від несанкціонованого доступу (НСД), що використовують криптографічні алгоритми перетворення нформації.
Криптографічна система (криптосистема) – сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визнача заходи безпеки), використання яких забезпечує необхідний рівень безпеки нформації, що обробляється та (або) передається в КСЗІ ІТ (ІТС, СІТ).
3. Введення в криптологію
Найбільш загальною наукою про таємницю є криптологія. Криптологія як наука вивчає закономірност забезпечення конфіденційності, цілісності і т.д. критичної інформації в умовах нтенсивної протидії (криптоаналізу).
Криптологія поділяється на криптографію і криптоаналіз.
Криптографія - вивча методи, алгоритми і засоби здійснення криптографічного захисту інформації.
Криптоаналіз – вивча методи, алгоритми і засоби розкриття криптографічної системи при невідомій частині ключа.
Криптографічне перетворення інформації – здійснюється з використанням симетричних, несиметричних криптосистем. Криптографічна система називається симетричною, якщо ключ прямого перетворення збігається з ключем зворотного перетворення чи обчислюється один з іншого не вище чим з поліноміальною складністю (не більш 1 секунди).
Криптосистема (алгоритм) не симетричний, якщо ключ прямого перетворення не збігається з ключем зворотного перетворення, і один може бути обчислений з іншого не нижче чим з експоненціальною складністю.
У Європі криптопроект NESSIE –2000-2003, у ньому визначено 10 видів криптоперетворень
Симетричні – розробка блокового симетричного шифрування, потоковий шифр, автентифікація (процедура встановлення дійсності джерела, приймача повідомлень).
Несиметричні – функц хеширування (обчислення криптографічних контрольних сум) односпрямованої хеш (стиску з великого простіра в малий), ключова хеш з використанням ключа.
Направлене шифрування (виконується умова (2)).
Ідентифікація (автентифікація) - (1),(2).
Криптопротокол - рішення розподіленої задачі, багатоетапно.
4. Нормативно-правова база захисту інформації
Захист інформац здійснюється у відповідності до діючої нормативно-правової бази України. До цієї бази відносяться:
1. Закони України.
2. Укази Президента України.
3. Постанови Кабінету Міністрів.
4. Накази Служби безпеки України.
5. Нормативн документи з криптографічного та технічного захисту інформації.
6. Національн стандарти в галузі захисту інформації.
7. Міжнародні та регіональні стандарти в сфері захисту інформації.
