Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Питання безпеки та контролю інформаційних систем. Контроль введення, обробки та збереження інформації.

Разом із підвищенням стратегічного значення сфери обробки інформації у компанії усе більшу роль відіграє вимога комплексної захищеності ІС і створених на її основі інформаційних ресурсів. Цю якість системи варто забезпечувати на всіх етапах процесу обробки інформації. Найбільш широко відомі і зрозумілі проблема забезпечення захищеності даних (від утрати чи псування), а також вимога правового захисту даних (захист чиїхось персональних даних від несанкціонованого доступу) – вони вже є класичними вимогами до будь-якої ІС. Інформаційні системи повинні бути захищені і від технічних відмовлень, і від технологічних порушень під час експлуатації.

Як, практично, будь-яка складна структура, інформаційна система вразлива у плані можливості порушення її роботи. Ці порушення можуть мати як випадковий, так і умисний характер, можуть викликатися як зовнішніми, так і внутрішніми причинами. Відповідно до цього на всіх етапах життя системи необхідно вживати спеціальних заходів для забезпечення її надійного функціонування й захищеності.

Порушення, викликані внутрішніми причинами, варіюються насамперед методами забезпечення надійності. У цьому ІС мають багато спільного з іншими складними системами у тому, що стосується причин несправностей і проявів відмовлень. Специфічним впливом на ІС є так звані комп’ютерні віруси. Вони вносяться у систему ззовні й у специфічній формі виявляються під час її роботи як внутрішня несправність.

На особливу увагу заслуговує інформація, яка зберігається в системі й утрата якої може заподіяти компанії значний збиток. До того ж інформація може бути ще й предметом зазіхань, які необхідно припиняти. У цьому плані інформаційні системи мають істотну специфіку. Захищеність інформаційних систем дозволяє забезпечити таємність даних і операцій з ними в комп’ютерних системах. Для забезпечення захищеності інформаційних систем створені спеціальні технічні й програмні засоби. Окремим питанням є забезпечення в комп’ютерних системах і технологіях права особистості на недоторканність персональної інформації. Тому особливої ваги набуває захищеність інформаційних ресурсів. Для цього повинні бути вирішені питання організації й контролю доступу до ресурсів за всіма їх компонентами, а також у системі аналізуються шляхи несанкціонованого доступу і заздалегідь формуються засоби його припинення.

Керування доступом.Особливості доступу до інформації у системах передачі даних і в ІС є зовнішньою характеристикою таких систем. Природно, доступ до ресурсів не може бути неконтрольованим чи некерованим. Можливості керування доступом до ресурсів закладаються на етапі проектування системи і реалізуються на таких етапах її життєвого циклу.

Розрізняють керування доступом трьох видів:

· централізоване керування – встановлення повноважень провадиться адміністрацією компанії-власника ІС. Введення й контроль повноважень здійснюються представником служби безпеки відповідного об’єкта керування;

· ієрархічне децентралізоване керування – центральна компанія, що здійснює встановлення повноважень, передає деякі свої повноваження підпорядкованим організаціям, зберігаючи при цьому за собою право скасувати або переглянути рішення підпорядкованого рівня;

· індивідуальне керування – ієрархія керування доступом і розподіл повноважень у цьому випадку не формуються; власник інформації, створюючи свої інформаційні структури, сам керує доступом до неї і може передавати свої права (аж до прав власності).

У великих системах усі форми можуть використовуватися спільно в тих чи інших частинах системи; вони реалізуються при підготовці інформації, при виконанні обробки інформації і при завершенні робіт.

Шифрування й дешифрування даних.Одним з основних заходів захисту даних у системі є шифрування, тобто таке перетворення, що виключає використання даних відповідно до їх смислу й змісту. Алгоритми шифрування (дешифрування) являють собою інструмент, за допомогою якого такий захист можливий, тому вони завжди секретні.

Шифрування може здійснюватися при передачі інформації з каналів передачі даних, при збереженні інформації в базах даних, при зверненні до баз даних із відповідними запитами, на стадії інтерпретації результатів обробки інформації і т. д. На всіх цих етапах і стадіях існують специфічні особливості застосування шифрів. Застосування шифрування почалося в державних структурах, однак на цей час до шифрування даних вдається багато користувачів ІС. У зв’язку з цим склався ринок цих продуктів і послуг. В усіх країнах діяльність із надання таких послуг, тобто зі створення засобів шифрування й захисту систем, ліцензується державою і жорстко регламентується в законодавчому порядку. Однак конкретні алгоритми й особливо пристрої, що їх реалізують, засекречуються, що й забезпечує захист системи. За надання таких послуг фірми-замовники готові добре платити, тому підприємства-розробники шифрувальної апаратури зацікавлені в розширенні свого бізнесу.

У той самий час держава зацікавлена в збереженні прозорості інформаційних потоків для того, щоб знизити ризик приховування злочинів та інших правопорушень: шифрувальні технології не мають перешкоджати розслідуванню злочинів. Ці інтереси певною мірою суперечать один одному.

Захищеність інформаційних мереж.У нашій країні за останнє десятиліття створено багато інформаційних систем і мереж на основі насамперед закордонних технічних засобів і програмних продуктів. Стосовно цих систем виникає досить обґрунтоване побоювання щодо ймовірності існування в них так званих «незадекларованих можливостей», тобто прихованих властивостей, що дозволяють керувати цими засобами незалежно від користувача. Цілком імовірно, що в такі системи їх постачальники чи виготовлювачі можуть закласти можливості, які забезпечують зовнішній контроль за всіма процесами і даними, якими оперують у системі. За допомогою таких засобів можливе також виведення з ладу систем повністю чи окремими частинами за командами ззовні.

Як наслідок, такі системи викликають певну настороженість при використанні особливо відповідальними об’єктами і структурами. Технічні елементи, що встановлюються в особливо відповідальних системах, ретельно й глибоко досліджуються, програмні елементи теж тестуються у спеціалізованих організаціях, однак певні сумніви можуть залишатися і після таких випробувань.

Для того щоб зняти такі побоювання в користувача й споживача, виробники технічних і програмних засобів представляють свої вироби на офіційну сертифікацію. З цією метою компанія-постачальник подає детальну документацію на вироби і самі вироби, для того щоб на цій підставі можна було впевнено виявити у всій повноті функції, виконувані даним виробом. Але й за відсутності підозр із приводу «недекларованих можливостей» однаково необхідний захист інформаційних мереж внаслідок постійного зростання цінності зосередженої в них інформації, а також ступеня важливості виконуваних цими системами функцій.

Побудова раціонального захисту.Захист системи не може бути абсолютним. Це потребувало б істотного збільшення витрат на її створення й експлуатацію, а також неминуче призвело б до зниження продуктивності системи за основними виробничими функціями. Захист повинен будуватися як раціональний, тобто з оптимальними, за деякими критеріями, характеристиками, що завжди складає предмет самостійного дослідження.

Інформаційні системи є складними і комплексними, тому вибір навіть раціонального ступеня захищеності є непростою проблемою. Можливі й спрощені підходи з урахуванням конкретних особливостей завдання. Передбачається, що проблема захисту зібраної в компанії регулярної інформації виникає тоді, коли постає завдання забезпечення гарантованої безпеки даних, що містяться у базах даних, від осіб, які бажають їх виправлення.

Вирішення завдання раціональної захищеності даних може досягатися, наприклад, шляхом уведення системи паролів, використання криптографічних методів захисту інформації, установлення власних командних процесорів, завантажувачів, створення й завантаження резидентних програм, що перехоплюють переривання й обробляють команду від користувача з подальшим її блокуванням, якщо команда виявиться забороненою для даної системи. Можливе також використання установки власного головного завантажувального запису на вінчестері.

Стосовно умов охорони даних від активних спроб їх викрадення чи псування з урахуванням аналізу особливостей завдання визначається такий перелік заходів для забезпечення захисту інформації:

· аутентифікація користувача за паролем і, можливо, за ключовою дискетою або апаратним ключем;

· розмежування доступу до логічних дисків;

· прозоре шифрування логічних дисків, шифрування файлів із даними;

· дозвіл запусків, лише строго визначених для кожного користувача програм;

· реакція на несанкціонований доступ;

· реєстрація всіх спроб несанкціонованого доступу в систему й входу/виходу користувача у систему;

· створення багаторівневої організації роботи користувача з розширенням наданих можливостей при переході на більш високий рівень;

· надання користувачу мінімуму необхідних йому функцій.

Найбільш ефективними є системи захисту, розроблення яких здійснюється паралельно з розробленням інформаційної структури, що захищається. Пристворенні систем захисту дотримуються таких принципів:

· постійно діюча заборона доступу; у механізмі захисту системи в нормальних умовах доступ до даних повинен бути заборонений, заборона доступу за відсутності особливих указівок забезпечує високий ступінь надійності механізму захисту;

· простота механізму захисту; ця якість необхідна для зменшення кількості можливих неврахованих шляхів доступу;

· перекриття всіх можливих каналів витоку інформації, для чого повинні обов’язково перевірятися повноваження будь-якого звертання до будь-якого об’єкта в структурі даних; цей принцип є основою системи захисту. Завдання керування доступом повинне зважуватися на загальносистемному рівні, при цьому необхідно забезпечувати надійне визначення джерела будь-якого звернення до даних;

· незалежність ефективності захисту від кваліфікації потенційних порушників;

· поділ повноважень у сфері захисту й доступу, тобто застосування декількох різних ключів захисту;

· надання мінімальних повноважень;

· максимальна відособленість механізму захисту; для унеможливлення передачі користувачами один одному відомостей про систему захисту; рекомендується при проектуванні захисту мінімізувати кількість спільних для декількох користувачів параметрів і характеристик механізму захисту;

· психологічна привабливість захисту, для чого теж важливо домагатися, щоб захист був по можливості простий в експлуатації.

При побудові систем захисту, що базуються навіть не на всіх, а тільки на деяких із названих вище принципах, виникають серйозні перешкоди, пов’язані з великими витратами на їх реалізацію. У зв’язку з цим захист повинен бути не абсолютним, а тільки раціональним, тобто спочатку потрібно передбачити припустимий ступінь можливості зловмисного проникнення у базу даних.

Захист на потрібному рівні можливий лише за умови комплексного вжиття взаємодоповнюючих заходів, а саме:

· нормативно-правових;

· адміністративних;

· спеціального обладнання та програмного забезпечення.

Нормативно-правові засоби захисту визначаються законодавчими актами, які регламентують правила користування, опрацювання та передачі інформації обмеженого доступу та встановлюють міру відповідальності за порушення цих правил.

У ст.34 Конституції України визначається право громадян України на інформацію та забезпечення інформаційних процесів.

З липня 2003 року в Україні введена кримінальна відповідальність за незаконне втручання в роботу комп’ютерів чи поширення комп’ютерних вірусів, яке призводить до спотворення, зникнення або блокування доступу до інформації чи носіїв.

Слід брати до уваги також морально-етичні проблеми захисту, які реалізуються у вигляді різних норм, що традиційно сформувались в державі і суспільстві.

Використання систем захисту інформації не приносить прибутку, але її відсутність може стати причиною значних збитків за рахунок:

· втрати конфіденційності;

· втрати даних;

· відмови системи в обслуговуванні користувачів;

· втрати репутації.

Сукупність адміністративних заходів та вибір обладнання і програмного забезпечення повинен здійснюватись окремо для кожної конкретної ІС. Безпеку інформаційної системи не можна один раз придбати і встановити, її потрібно постійно підтримувати. Займатись цим повинні передусім керівники підприємств, відділи інформаційної безпеки, ІТ-менеджери або системні адміністратори.

Незважаючи на те, що політика безпеки повинна розроблятись індивідуально для кожної системи, є низка рекомендацій щодо організації захисту в довільній системі. Ці рекомендації наведені в документі RFC 2196

«Site Security Book» (інструкція з безпеки систем), що є частиною документів RFC (Request for Comment), в яких визначаються стандарти і процедури для Internet. Тут дається наступне визначення політики безпеки:


Читайте також:

  1. Cистеми безпеки торговельних підприємств
  2. D) оснащення виробництва обладнанням, пристроями, інструментом, засобами контролю.
  3. II. Вимоги безпеки перед початком роботи
  4. II. Вимоги безпеки праці перед початком роботи
  5. III. Вимоги безпеки під час виконання роботи
  6. III. Вимоги безпеки під час виконання роботи
  7. III. Контроль знань
  8. III. КОНТРОЛЬ і УПРАВЛІННЯ РЕКЛАМУВАННЯМ
  9. IV. Вимоги безпеки під час роботи на навчально-дослідній ділянці
  10. IV. Питання самоконтролю.
  11. POS -Інтелект - відеоконтроль касових операцій
  12. V. Вимоги безпеки в аварійних ситуаціях




Переглядів: 2820

<== попередня сторінка | наступна сторінка ==>
Аудит інформаційних систем. | Глосарій

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.003 сек.