Файл: Екатеринбург 2018 Ст преподаватель кафедры Информационные системы и технологии Крутин Ю. В.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.01.2024
Просмотров: 218
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
80
соответствии со стандартом, рекомендуется на первом этапе разрабатывать политику безопасности организации, которая должна быть утверждена руководством и доведена до сведения всех сотрудников организации.
Разработкой политики безопасности должны заниматься управляющие советы. За соблюдение политики безопасности должны нести персональную ответственность назначенные приказом лица. Также политика безопасности требует учета всех информационных активов организации и их закрепления за соответствующими ответственными лицами. Для учета информационных активов может быть использована следующая классификация:
информационные активы (базы данных и файлы данных, системная документация и т.д.);
активы программного обеспечения (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).
Для определения необходимости и степени защиты информации, необходимо провести ее анализ на приоритетность и критичность для организации, например, с точки зрения ее целостности и доступности.
В политике безопасности необходимо четко прописывать права каждого пользователя и правила контроля доступа. При использовании парольной идентификации должен быть прописан порядок осуществления контроля в отношении паролей пользователей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т.д.).
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
81
Также в отношении каждого пользователя должен быть прописан порядок доступа к сетевым сервисам – внутренним и внешним. Доступ должен обеспечиваться только к разрешенным для конкретного пользователя сервисам. Особое внимание должно уделяться проверке подлинности удаленных пользователей.
В политике безопасности должны быть указаны применяемые средства обеспечения информационной безопасности как на уровне операционной системы, так и на уровне приложений. Также, в политике безопасности должен быть определен регламент проведения мониторинга для обнаружения отклонений от прописанных в ней требований безопасности. Результаты мониторинга следует регулярно анализировать, а журнал аудита может использоваться для расследования инцидентов.
В разделе «Разработка и обслуживание систем» стандарта ISO 27001 указывается на необходимость учета требований информационной безопасности на этапе разработки ИС, и предотвращения потерь, модификации или неправильного использования пользовательских данных на этапе эксплуатации ИС. Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы криптографические средства защиты.
Важную роль в процессе защиты информации играет обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. В этих случаях необходимо проводить анализ и тестировать прикладные системы с целью обеспечения уверенности в том, что не будет оказано никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.
Одним из методов противодействия «троянским» программам и использованию скрытых каналов утечки является использование
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
82
программного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы. В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.
Заключительный раздел стандарта посвящен вопросам соответствия ИС требованиям. В первую очередь, это касается соответствия ИС и порядка ее эксплуатации требованиям законодательства:
соблюдения авторского права (в том числе, на программное обеспечение);
защиты персональной информации (сотрудников, клиентов);
предотвращения нецелевого использования средств обработки информации.
При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств на случай судебных разбирательств, связанных с инцидентами в области безопасности
ИС.
Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать.
В то же время, требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям
(например, сбой критически важного сервера из-за проведения проверки).
Стандарт ISO 27001 затрагивает широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и представляет собой набор лучших практических рекомендаций по информационной безопасности.
С этой точки зрения и необходимо рассматривать данный документ специалистам по информационной безопасности большинства российских
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
83
предприятий. Прохождение аудита на соответствие международным требованиям безопасности целесообразно лишь предприятиям и организациям, которые планирую выход на международную арену.
Способы оценки эффективности системы безопасности электронной
коммерции
Угрозы безопасности обычно связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Присутствие такой неопределенности и ограниченность доступных ресурсов и средств не позволяют создать абсолютно безопасную систему. Поэтому при создании системы информационной безопасности электронной коммерции необходимо:
минимизировать степень риска возникновения ущерба, исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией;
основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения информационной безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.
Затраты на обеспечение информационной безопасности должны соответствовать существующим угрозам, иначе система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению информационной безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению информационной безопасности электронной коммерции.
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
84
Классификация убытков
Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности, можно разделить на прямые и косвенные.
Прямые убытки могут быть выражены:
в стоимости восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;
в стоимости ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.;
в стоимости возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции
— клиентам, пользователям).
При пожарах, стихийных бедствиях и других событиях могут возникать убытки, напрямую не связанные с информационной безопасностью, например убытки, определяемые стоимостью утраченного оборудования или расходами на восстановление поврежденного оборудования.
Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
85
Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому мы не будем останавливаться на их подробном анализе.
Критерии эффективности систем защиты
Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:
отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;
отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.
Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.
Уровень безопасности при этом в силу объективной неопределенности факторов, влияющих на безопасность, оценивается, как правило, вероятностными показателями.
Таким образом, если, например, злоумышленник в процессе разработки мероприятий по нарушению безопасности обнаружит, что затраты, которые он понесет, будут сравнимы с убытками, которые он причинит фирме, то он, вероятно, откажется от своих планов. При этом он будет, конечно, продолжать искать брешь в системе безопасности, чтобы повысить эффективность своих действий.
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
86
Проблемы и основные требования безопасности в электронной
коммерции
Требования к электронным системам оплаты
Коммерциализация
Интернета настоятельно требует наличия электронной системы оплаты.
Как и при традиционных методах оплаты, главная проблема электронных платежей состоит в том, что нельзя гарантировать стопроцентную защищенность от хищения информации кредитных карточек и электронных денег.
Для обеспечения успешного функционирования электронной системы оплаты необходимо, чтобы она отвечала следующим требованиям:
приемлемость - система оплаты будет тем более успешной, чем шире круг покупателей и продавцов, которые согласны ею пользоваться;
анонимность - по желанию клиентов необходимо обеспечить конфиденциальность информации личного характера;
конвертируемость - участники финансовых операций должны иметь возможность свободно конвертировать электронные деньги в активы других типов;
эффективность - стоимость транзакции должна приближаться к нулевой;
гибкость - необходима поддержка нескольких способов оплаты; - интегрируемость - чтобы обеспечить поддержку существующих в компании приложений, следует разработать интерфейсы для интеграции с приложением электронной оплаты;
надежность - система оплаты должна быть широкодоступной и не содержать звеньев, которые могут допустить сбой в работе;
1 2 3 4 5 6 7 8
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
87
масштабируемость - увеличение числа покупателей и торговцев, использующих систему оплаты, не должно приводить к разрушению инфраструктуры;
безопасность - система должна допускать проведение финансовых транзакций через открытые сети, такие как Интернет;
удобство и простота - процесс оплаты должен быть таким же простым, как и в реальном мире.
При использовании электронных систем оплаты на первый план выходит обеспечении информационной безопасности. Системы электронных платежей — самая соблазнительная добыча для мошенников всего мира. В случае покупки в магазине вы перелаете деньги продавцу, а при оплате через
Интернет ваши деньги могут оказаться на совершенно посторонних банковских счетах, причем мошенничество удается обнаружить далеко не сразу. Таким образом, для обеспечения безопасности любой финансовой операции необходимо прибегать к защите с помощью цифровых подписей и технологий кодирования.
Если вы получаете электронные деньги, у вас всегда должна быть возможность перевести их в банк или партнеру для безопасного хранения. Они должны приниматься так же, как кредитная карточка или наличные деньги, для чего требуется высокий уровень приемлемости используемой платежной системы.
Финансовые транзакции в
Интернет требуют соблюдения конфиденциальности. Требование конфиденциальности может быть выдвинуто одной или всеми участвующими сторонами, поэтому необходимо добиться такого уровня защищенности, чтобы посторонние ни в коем случае не смогли перехватить транзакцию; а если им это удастся, транзакция не должна быть читаемой, другими словами, ее следует защитить с помощью кодирования. Личность покупателя, компания-продавец, а также содержание
Ст. преподаватель кафедры «Информационные системы и технологии» Крутин Ю.В.
88
заказа должны быть известны только сторонам-участницам; более того, каждый из участников сделки должен знать только то, что ему положено знать.
Необходимо обеспечение целостности и аутентификации финансовых операций. Сообщение покупателя, отправляемое продавцу, должно быть снабжено подписью — это гарантия того, что никто из посторонних не сможет снять деньги со счета или кредитной карточки этого покупателя без его согласия. Каждое сообщение должно быть уникальным, чтобы финансовая операция могла выполняться только один раз, по завершении транзакции продавец посылает покупателю подтверждение.
Компания должна гарантировать доступность и надежность своей системы оплаты. Прерывание соединения при совершении оплаты однозначно приводит к потерям для всех участвующих сторон. Система должна обеспечить проведение финансовых операций всем сторонам и в любой момент. Надежность транзакции лучше всего обеспечивается ее простотой.
Транзакция никогда не должна оставаться незавершенной. Независимо от того, принимается платеж или отклоняется, никогда не должно возникать состояние неопределенности, которое может привести к потере денег в
Интернет. Платежный протокол должен уметь обрабатывать отказы сети или включенных в нее компьютеров, в большинстве случаев вся транзакция аннулируется и ее приходится повторять, однако некоторые платежные системы после восстановления штатного режима работы могут продолжать процесс с того момента, на котором он был прерван.
В системах оплаты, имитирующих оплату наличными, необходимо обеспечивать анонимность и невозможность отслеживания движения наличности. Это осуществимо только в случае, если в транзакции не участвует третья сторона. Анонимность позволяет скрыть личность покупателя, а невозможность отслеживания означает, что разные платежи, выполненные одним и тем же покупателем, нельзя связать между собой или установить по ним личность этого покупателя. В системе должна отсутствовать возможность