Теорія захисту інформації
План
1. Функції систем захисту інформації
2. Основні терміни та визначення
3. Введення в криптологію
4. Нормативно-правова база захисту інформації
1. Функції систем захисту інформації
Безумовним та загальновизнаним є той факт, що рівень розвитку держави та суспільства значною мірою залежить та визначається рівнем їх інформатизації. У зв’язку з цим в Україні як і у більшості країн світу широко та інтенсивно в усі сфери життєдіяльності людини, суспільства та держави впроваджуються новітні інформаційні системи (ІС), телекомунікаційні системи (ТС), інформаційно-телекомунікаційні системи (ІТС), інформаційні технології (ІТ) та системи інформаційних технологій (СІТ), інформаційно-аналітичні системи (ІАС) та автоматизовані системи управління (АСУ). Особливу важливу роль інформаційно-телекомунікаційні та інформаційно-аналітичні системи відіграють в таких сферах як державне управління, економіка, освіта, наука, оборона, безпека життєдіяльності особи тощо. При функціонуванні вказаних систем здійснюється обробка інформації. Під обробкою інформації в системі розуміється виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів. При цьому обмін інформацією здійснюється з використанням інформаційно-телекомунікаційних систем як внутрішнього так і загального користування, в тому числі при підключенні до міжнародних інформаційно-телекомунікаційних систем через глобальну світову інформаційну інфраструктуру. На практиці поряд з інформаційними та телекомунікаційними системами широке застосування знаходять інформаційно-телекомунікаційні системи.
Широке розповсюдження знаходить використання електронних документів та здійснення електронного документообігу, при цьому під електронним документом розуміється інформація, яка зафіксована у вигляді електронних даних, включаючи обов’язкові реквізити документа. Однією з найбільш важливих вимог до електронних документів є забезпечення їх цілісності на всіх етапах їх життєвого циклу, а також підтвердження авторства. На виконання цих вимог в Україні, як і у технологічно розвинутих державах прийняті закони “Про електронні документи та електронний документообіг” та “Про електронний цифровий підпис”. Ці важливі закони вводяться в дію з 1 січня 2004 року.
Проводячи аналіз стану інформаційної безпеки різних відомств, організацій та фірм, можна прийти до висновку, що об’єктом захисту, який викликає найбільше занепокоєння і акумулює всі проблеми інформаційної безпеки є інформаційно-телекомунікаційні системи, що будуються на базі комп’ютерів. Відповідно до даних федерального бюро розвідки США в 2001 році фінансові втрати від комп’ютерного злодійства склали біля 400 млн. дол. За оцінками відділу з наук та інформаційних технологій при президентові США щорічні втрати, що наносяться американському бізнесу комп’ютерними зловмисниками, в 2001 році склали близько 100 млрд. дол. Втрати від несанкціонованого доступу до інформації, що пов’язана з діяльністю фінансових інститутів США, в тому ж році склали не менш 1 млрд. дол. Таким чином, зловмисні дії в різних ІТС (ІТ та СІТ) наносять суттєві фінансові втрати.
Крім того, проведений аналіз підтверджує, що з кожним роком кількість комп’ютерних атак, що здійснюють зловмисники суттєво збільшилась. Так в США їх число зросло в 2002 р., в порівнянні з 2001 р., з 58 тисяч до 80 тисяч. Велику загрозу складають “хакери-мафіозі”. Єдина мета цих хакерів – отримання прибутку. На їх долю приходиться » 10 % зловмисних дій. На долю “політичних хакерів” приходиться менше 1 % комп’ютерних атак, але вони відносяться до найбільш небезпечних зловмисників. Жертвами політичних атак стали урядові сайти – так в США за три останні роки були взломані сайти Білого Дому, Пентагону та Держдепартаменту.
Згідно з даними Інституту комп’ютерної безпеки США (CSI – Computer Security Institute) та групи Ескадрон проникнення в комп’ютери (Computer Intrusion Squad) федерального бюро розслідувань, 90% всіх опитаних респон-дентів підтвердили факти здійснення атак на їх мережі. При цьому 273 корпорації понесли збитки на суму $265 000 000.
Відповідно до даних МВС Російської Федерації в 1997 р. було зареєстровано 309 комп’ютерних злочинів, в 1998 р. більше 500, а в подальшому збереглась тенденція збільшення їх на 30 %.
Вищенаведене підтверджує проблемність та складність забезпечення інформаційної безпеки в різних інформаційно-телекомунікаційних системах, інформаційних технологіях та системах інформаційних технологій.
Особливими суб’єктами, до яких притягується увага комп’ютерних злов-мисників є банки. На сьогодні банки є найбільш розгалуженим постіндустріаль-ним суб’єктом економіки, який концентрує в собі величезний економічний потенціал, тому і приваблює зловмисників. Розглянемо проблеми інформаційної безпеки на прикладі інформаційних технологій, що застосовуються в банках.
Згідно з установленими нормами міжнародної практики безпеки, об’єктами захисту з урахуванням їх пріоритетів є матеріальні та інформаційні цінності. Так вже склалося, що ринкові відношення з їх невід’ємною конкуренцією та наявністю кримінального світу в навколобанківській сфері, потребує захисту від зовнішніх та внутрішніх загроз банківської діяльності, перш за все, їх інформаційній безпеці.
Таблиця 1 – Приклади втрат в банківській сфері
| Номер | Джерело інформації | Злочини, що здійснені та втрати |
| 1 | “Організація та сучасні методи здійснення захисту інформації”. За загальною редакцією С.А. Дієва. Концерн “Банківський діловий центр”. М. 1998 р. с. 6 | В лютому 1995 року збанкрутував великий англійський банк “Берінгс”. Причиною чого став співро-бітник банку Нік Лісон, який через власноруч відкритий рахунок здійснював незаконні операції. Загальна сума збитків становила 830 млн. фунтів стерлінгів. Треба зважити також на те, що ніхто з перевіряючих чи керівництва не виявив порушень, оскільки Нік Лісон був одночасно відповідальним виконавцем по торгових операціях банку, а також по облікових операціях, тобто можна стверджувати, що в банку існувала неефективна система управління. |
| 2 | “Організація та сучасні методи здійснення захисту інформації”. За загальною редакцією С.А. Дієва. Концерн “Банківський діловий центр”. М. 1998 р. с. 6-7 | В 1994 році покладено край діяльності злочинної організації із співробітників Центробанку Росії в Новосибірській області. Група за допомогою Сибірської філії Інкомбанку шляхом використання фальшивих документів здійснювала незаконні перекази грошей на рахунки фіктивних фірм. |
| 3 | Газета “LondonTimes” | Громадянин Росії, Олексій Лачманов признав себе винним в участі в електронному обкраденні “Сіті-банку” на суму 62,8 млн. долл. США, організованим математиком і кримінальним хакером із Санкт-Петербургу Володимиром Левіним. |
| 4 | Газета “Факти” від 3.11.1998 р. | 23 жовтня 1998 року з рахунків Вінницького Обласного управління Національного банку України, було несанкціоновано списано 80,4 млн.грн. У крадіжці був винен технолог операційного відділу який через ВОУР НБУ здійснив перекази на рахунки фіктивних фірм. За цією справою було заарештовано більше 30 осіб. |
| 5 | Газета "Факти" від 8.10.2002 р. | 24-річний Євгеній Д. працював у філії банку "Аваль" ведучим спеціалістом. Протягом декількох місяців він розробив фінансову схему пограбування "Аваля". "Комп’ютерний геній" разом з декількома "дружками" відкрили в Кривому Розі, Кіровограді та Нікополі рахунки фіктивних фірм і за одну ніч перевели на них 2 млн. 720 тис. Наступного дня гроші були транзитом переведені через інші банки в Нікополь та були отримані готівкою. |
В табл. 1 наведено деякі приклади втрат в банківський сфері внаслідок відсутності або недостатності забезпечення інформаційної безпеки банку.
Під інформаційною безпекою банку розуміється формування його інформаційних ресурсів та організація їх гарантованого захисту, тобто забезпечення захищеності банківської інформації та підтримуючої інфраструктури від випадкових та навмисних впливів природного або штучного характеру, в результаті яких можуть бути нанесені збитки банку або ресурсам банку. Вона досягається шляхом створення в банку системи обробки інформації, проведенням відповідних заходів щодо зберігання та розподілу, визначенням категорії і статусу банківської інформації, порядку і правил доступу до неї, дотриманням усіма працівниками і клієнтами, засновниками банку норм і правил роботи з банківською інформацією, своєчасним виявленням спроб і можливих каналів витоку інформації.
Прогнози, які можна зробити на найближче майбутнє, показують появу нових суспільно небезпечних форм злочинної діяльності в сфері грошово-кредитних відносин, серед яких можна навести: махінації з кредитними картками, електронними цінними паперами тощо. Особливо жорстко постає це питання зараз, коли електронні системи платежів набувають в Україні свого широкого розповсюдження та розвитку.
Можна висунути чимало суттєвих вимог, яким мають задовольняти платіжні системи, щоб служити інструментом, здатним забезпечити життєдіяльність сучасної розвинутої економіки. Відповідні характеристики платіжних систем визначаються залежно від ролі, яку виконує платіжна система, від організаційних, бухгалтерських, технологічних механізмів, що застосовуються.
Враховуючи те, що в Україні інтенсивно розробляються банківські електронні системи, перш за все, платіжні, найбільш важливим є забезпечення інформаційної безпеки банків та клієнтів. Із аналізу основних загальнодержавних нормативних документів та нормативних документів НБУ випливає, що інформаційні системи захисту, що створюються, мають надавати усім користувачам такі основні послуги як цілісність, спостереженість, доступність та конфіденційність. Взагалі послуги можуть бути надані за рахунок розробки та застосування комплексної системи захисту банківських інформаційних технологій. Під комплексною системою захисту банківських інформаційних технологій розумітимемо сукупність правових і морально-етичних норм, організаційних та програмно-технічних засобів та заходів, які спрямовані на протидію загрозам для платіжних систем і мінімізацію можливих збитків. Теж саме можна сказати і відносно інформаційних систем, телекомунікаційних систем, інформаційно-телекомунікаційних систем, інформаційних технологій та систем інформаційних технологій, інформаційно-аналітичних систем та автоматизованих систем управління різнобічного призначення.