Проблематика інформаційної банківської безпеки та шляхи вирішення
Актуальність питань, пов'язані з захистом економічної інформації банків. Дослідження системи інформаційної безпеки банківської системи, розгляд ризиків у даній сфері. Пропозиції щодо створення ефективної системи інформаційної безпеки банківської системи.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | украинский |
Дата добавления | 12.01.2016 |
Размер файла | 728,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
1
Зміст
- Вступ
- Розділ 1. Створення системи інформаційної безпеки
- 1.1 Основні поняття інформаційної безпеки та класифікація загроз
- 1.2 Створення політики безпеки
- Розділ 2. Механізми захисту інформаційної безпеки
- 2.1 Принципи реалізації політики безпеки
- 2.2 Криптографічний захист інформації і системи розподілу ключів
- Розділ 3. Проблематика інформаційної банківської безпеки та шляхи вирішення
- 3.1 Проблеми та загрози інформаційної безпеки
- 3.2 Рекомендації та принципи забезпечення інформаційної безпеки
- Висновки
- Список використаних джерел
Вступ
Актуальність: Протягом минулих років банківська система пережила значні зміни, обумовленні глобалізацією фінансових ринків, розвитком інформаційних технологій, розширення асортименту банківських послуг, впровадження інноваційних технологій в управлінні банками. Це, у свою чергу, ще більше загострило ситуацію із забезпеченням надійного захисту інформації [4].
Питання, пов'язані з захистом економічної інформації банків, останнім часом набувають особливої актуальності, оскільки банки є найбільш вразливими до такого виду загроз, як наявність витоку інформації. Усе це викликає необхідність перегляду підходів до забезпечення безпеки інформації банку та передбачає необхідність створення відповідних систем її захисту.
Банківська безпека - один із основних елементів банківського менеджменту. Інформаційна та організаційно-технічна безпека комерційних банків на сучасному етапі займає центральне місце в загальній безпеці комерційних банків. Складові інформаційної безпеки банку мають перш за все властивості, притаманні інформаційній безпеці інформаційних систем загалом: конфіденційність, цілісність, доступність - тріада CIA [1]. Необхідною умовою побудови та функціонування банківської системи є всебічне забезпечення безпеки у всіх сферах банківської діяльності, важливою складовою якої є безпека економічної інформації.
Ключові слова: інформаційна безпека, інформаційні технології, криптографічний захист,інформаційна загроза, несанкціонований доступ.
Аналіз останніх досліджень і публікацій. До недавнього часу серед науковців не існувало однозначного тлумачення терміну "інформаційна безпека банку", пояснювали цей термін як юристи, так і працівники банківських установ. Проблеми безпечного розвитку банківського сектора зокрема є предметом наукових досліджень як вітчизняних, так і зарубіжних вчених та практиків. Серед них: Арєфє?єва О.В., Барановський О.І., Єрмошенко М.М., Клименко І.П., Зубок М.І., Козаченко І.П., Голубєв В.О., Никифоряк Д.Й., Костенко О.І. та інші [3, 8].
Мета полягає у дослідженні існуючої системи інформаційної безпеки банківської системи, розгляд основних ризиків у даній сфері і формулювання на цій основі основних пропозицій щодо створення ефективної системи інформаційної безпеки банківської системи.
Згідно поставленої мети було поставлено такі задачі:
- розглянути сновні поняття інформаційної безпеки та класифікація загроз
- визначити необхидність створення політики безпеки
- визначити принципи реалізації політики безпеки
- розглянути криптографічний захист інформації і системи розподілу ключів
- визначити проблеми та загрози інформаційної безпеки
- дати рекомендації та визначити принципи забезпечення інформаційної безпеки
Об'єктом виступає процес створення системи захисту в сфері інформаційної безпеки в банках України.
Предметом є теоретичні та прикладні аспекти формування інформаційної безпеки та засобів її забезпечення в кредитних установах.
Методи дослідження: теоретико-узагальнюючі, аналізу та синтезу, статистичного групування.
Практична цінність: впровадження в банках України стандартів з управління інформаційною безпекою дозволить: ? знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки; ? постійно відстежувати та оцінювати ризики з урахуванням цілей бізнесу; ? ефективно виявляти найбільш критичні ризики та уникати їх реалізації; ? розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання; ? забезпечити розуміння питань інформаційної безпеки керівництвом банку та всіма працівниками банку; ? забезпечити підвищення репутації та ринкової привабливості банків; ? забезпечити захист від рейдерських атак.
Структура: робота складається зі вступу, трьох розділів, висновків, списка використаних джерел.
Робота викладена на 42 сторінках, містить 5 таблиць.
Розділ 1. Створення системи інформаційної безпеки
1.1 Основні поняття інформаційної безпеки та класифікація загроз
Розвиток інформаційно-телекомунікаційних систем різного призначення, зокрема глобальної мережі Internet, і потреба обміну конфіденційною інформацією між організаціями визначили напрям роботи світового співтовариства із систематизації та впорядкування основних вимог і характеристик таких систем щодо інформаційної безпеки.
Під безпекою інформації будемо розуміти стан стійкості інформації до випадкових чи навмисних впливів, що виключає неприпустимі ризики її знищення, перекручування і розкриття, які призводять до матеріального збитку власника чи користувача інформації.
Під безпекою on-line-систем будемо розуміти захист від несанкціонованого доступу до інформації, несанкціонованих змін інформації, несанкціонованих операцій із функціями систем.
Отже, стосовно інформаційних систем термін "безпека" означає можливість протистояти спробам завдавати збитків власникам або користувачам системи від різних впливів на неї (навмисних або ненавмисних). Це - стійкість системи до помилок під час передавання даних і до технічних неполадок, захист програм, файлів, апаратних засобів від підробки та зловживань, пов'язаних із несанкціонованим доступом. [2]
Згідно із визначенням, безпека інформаційних систем може бути досягнута за допомогою дотримання конфіденційності інформації, яку обробляє система, цілісності компонентів і ресурсів системи та інформації, яка обробляється, накопичується і зберігається, доступності компонентів і ресурсів системи.
Конфіденційність інформації - це властивість інформації бути доступною тільки тим суб'єктам системи (користувачам, програмістам, процесам тощо), які витримали перевірку і були допущені до цієї інформації (були авторизовані).
Цілісність компонентів і ресурсів системи - це властивість компонентів системи бути незмінними протягом функціонування системи. Зміни інформації, яку обробляє система, мають здійснювати лише авторизовані користувачі або процеси системи.
Доступність компонентів (ресурсів) системи - це властивість компонентів (ресурсів) системи бути доступними для використання тільки авторизованими суб'єктами системи в будь-який час. [3]
Безпека системи складається із зовнішньої і внутрішньої безпеки.
Зовнішня безпека передбачає захист системи від проникнення зловмисників і ззовні з метою викрадення, отримання доступу до інформації або виведення системи з ладу; захист від втрати або модифікації системою інформації в разі стихійних лих (пожеж, землетрусів тощо).
Внутрішня безпека - забезпечення надійної та коректної роботи, цілісності інформації і компонентів (ресурсів) системи, що вимагає створення надійних і зручних механізмів регламентування діяльності усіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів системи.
Є два підходи до забезпечення безпеки інформаційних систем: фрагментарний та комплексний.
Фрагментарний підхід зорієнтований на протидію чітко визначеним загрозам за певних умов використання системи. Цей підхід забезпечує міцний захист від конкретної загрози, але при цьому характерний локальністю дії та відсутністю єдиного захищеного середовища для обробки інформації. Тому такий підхід є неприйнятним для захисту багатьох електронних систем, зокрема систем надання банківських послуг.
Для створення захисту банківських оn-line - систем треба використовувати комплексний підхід, а саме: створення захищеного середовища для обробки інформації в системі, яке об'єднує різноманітні (правові, організаційні, програмно-технічні) засоби для протидії будь-яким загрозам.
Етапи створення системи захисту
Створення комплексу заходів безпеки з метою отримання можливості реалізації ефективних заходів захисту вимагає, перш за все, визначення факторів загроз і втрат, яких вони завдають.
Система захисту - сукупність правових і морально-етичних норм, організаційних (адміністративних) заходів та програмно-технічних засобів, які спрямовані на протидію загрозам для системи і метою яких є мінімізації можливих збитків користувачів і власників системи. [9]
Створення надійної системи захисту можна розподілити на чотири основні етапи:
- аналіз можливих загроз;
- розробка (планування) системи захисту;
- реалізація системи захисту;
- супроводження системи захисту під час експлуатації on-line-системи.
Оскільки як сама інформаційна система, так і система захисту - це динамічні системи, у процесі впровадження та експлуатації оn-line - системи слід постійно аналізувати достатність системи захисту та можливість виникнення загроз, які не були враховані на попередньому етапі. Тому процес створення системи захисту є постійним і потребує уваги та безперервного ретельного аналізу роботи системи.
Аналіз можливих загроз - це ідентифікація і вибір з усієї безлічі можливих впливів на систему лише таких, які реально можуть виникати і завдавати значних збитків.
На етапі розробки (планування) система захисту формується як єдина сукупність заходів різного плану для протидії можливим загрозам, а саме:
- правові заходи; закони, укази та інші нормативні документи, які регламентують правила роботи з інформацією, що обробляється, накопичується та зберігається в системі, а також відповідальність за порушення цих правил;
- морально-етичні заходи: норми поведінки учасників системи та обслуговуючого персоналу;
- адміністративні заходи: заходи організаційного характеру, які регламентують процес функціонування системи щодо обробки інформації, використання її ресурсів, діяльність персоналу тощо. До них можна віднести: розроблення правил обробки інформації, відбір персоналу, організацію обліку, організацію розподілу доступу і зберігання паролів, криптографічних ключів; організацію підготовки користувачів і персоналу та контроль за їхньою роботою; сертифікацію технічних та програмних засобів тощо;
- технічні (апаратно-програмні та програмні) засоби захисту, які самостійно або в комплексі з іншими засобами забезпечують функції захисту: ідентифікацію й автентифікацію користувачів, розподіл доступу, реєстрацію основних подій роботи системи, криптографічні функції та ін. На етапі реалізації системи захисту виготовляють, обладнують, встановлюють і настроюють засоби захисту, які були заплановані на попередньому етапі.
Основні типи загроз
Для створення системи захисту перш за все слід проаналізувати типи загроз, ідентифікувати найуразливіші місця в системі та збитки, які можуть виникати під час порушення системи захисту.
Перед початком розроблення системи захисту треба провести аналіз можливих загроз для системи. Це, як правило, ідентифікація загроз та атак, відповідно до їхньої класифікації.
Усі загрози можна поділити, згідно з їхніми характеристиками, на такі класи.
За цілями реалізації:
- загрози порушення конфіденційності інформації;
інформаційна банківська безпека
- загрози порушення цілісності (повна або часткова компрометація інформації; дезінформація; несанкціоноване знищення або модифікація інформації чи програмного забезпечення);
- загрози порушення (часткового або повного) працездатності системи.
За принципом впливу на систему:
- за допомогою доступу до об'єктів системи (файлів, даних, каналів зв'язку);
- за допомогою прихованих каналів (у тому числі через роботу з пам'яттю).
За причинами появи помилок у системі захисту:
- некоректність системи захисту, що призведе до дій, які можна розглядати як несанкціоновані, при тому, що система захисту не розрахована на їх припинення або недопущення;
- помилки адміністрування системи;
- помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування;
- помилки реалізації алгоритмів, тобто помилки програмування, які виникають на етапі реалізації або тестування програмного забезпечення.
За об'єктом атаки:
- загрози, що впливають на систему загалом;
- загрози, що впливають на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи (дані, програми, устаткування системи, канали передачі даних);
- загрози, що впливають на суб'єкти системи (процеси, користувачів);
- загрози, що впливають на канали передачі даних, причому як на пакети даних, що передаються, так і на самі канали передачі даних.
За засобами атаки, які використовують:
- за допомогою штатного програмного забезпечення;
- за допомогою спеціально розробленого програмного забезпечення. [4]
Найпоширенішою загрозою для безпеки інформаційних систем є несанкціонований доступ (НСД), тобто отримання користувачем доступу до об'єкта, на який він не має дозволу (зокрема несанкціонований доступ з однієї мережі до іншої). За характером впливу, НСД є активним впливом, в якому може бути використана якась помилка в системі захисту. Це може бути здійснено за допомогою стандартного (штатного) або спеціально розробленого програмного забезпечення. НСД може стосуватися як усієї системи, так і окремих її елементів. Для реалізації НСД використовують два способи: подолання системи захисту або спостереження за процесами та аналіз інформації.
Досить часто виникає така загроза безпеці, як незаконне використання привілеїв. Найчастіше для цього використовують штатне програмне забезпечення, яке функціонує в позаштатному режимі. Деякі захищені системи мають засоби, які можуть функціонувати в умовах порушення системи безпеки. Такі засоби дуже важливі, коли доводиться вирішувати питання в надзвичайних ситуаціях, і їх використовують системні адміністратори, системні програмісти, які мають для цього свої певні набори привілеїв. Незаконне захоплення привілеїв можливе за наявності помилок у самій системі або за недбалого ставлення до керування всією системою і розподілом привілеїв зокрема.
Інша загроза безпеки - виконання будь-яких дій одним користувачем від імені іншого користувача, якому ці дії дозволені. До цього типу загроз належить також передача повідомлень від імені іншого користувача ("маскарад"). Цьому часто передує перехоплення пароля або порушення системи захисту.
Досить небезпечною загрозою є вірусні атаки будь-якого типу. Вони можуть призводити до повної зупинки системи, повної або часткової модифікації програмного забезпечення системи, модифікації або порушення даних, викрадення інформації.
1.2 Створення політики безпеки
Розвиток тенденцій розподіленої обробки даних на базі сучасних автоматизованих технологій, невпинне зростання користувачів Internet супроводжуються виникненням нових чи видозміною старих проблем, що є негативними супутниками технічного прогресу.
Нині стан захисту національних інформаційних ресурсів та систем викликає занепокоєність у всьому світі. Західні фахівці та експерти констатують украй важкий стан інформаційної безпеки у фінансових структурах, їхню неспроможність протистояти можливим атакам на інформаційні системи. За оцінкою Комітету ООН із запобігання злочинності і боротьби з нею, комп'ютерна злочинність вийшла на рівень однієї з головних міжнародних проблем. У США цей вид злочинної діяльності за прибутковістю займає третє місце після торгівлі зброєю і наркотиками.
Тому питання захисту банківських електронних оn-line-систем е найважливішим при їх організації. Захист інформації в оn-line - системах має бути досить надійним, водночас витрати на організацію захисту не мають перевищувати збитки, які можуть виникати від порушення системи захисту за весь час експлуатації системи. Крім того, будь-які елементи системи захисту не мають знижувати надійність роботи системи і відволікати значні її ресурси. "
Належний рівень інформаційної безпеки будь-якої інформаційної комп'ютерної системи виключає фінансові втрати і забезпечує одержання прибутку власником і користувачами інструментарію в умовах реальних ризиків. Це особливо актуально для відкритих систем загального користування, що обробляють закриту інформацію обмеженого доступу. Термін "відкритий" означає, що всі пристрої і процеси системи (обчислювальної мережі) взаємодіють відповідно до певного набору стандартів і тому відкриті для взаємодії з іншими системами (обчислювальними мережами). Такий підхід пов'язаний із потребою залучати в єдину систему велику кількість технічних засобів і програм, які використовуються в обчислювальних системах чи мережах. Термін "відкритість" означає також, що обчислювальна система, яка відповідає певним стандартам, буде відкрита для взаємозв'язку з будь-якою іншою системою, що відповідає тим самим стандартам. Це, зокрема, стосується і механізмів криптографічного захисту інформації чи захисту від несанкціонованого доступу (НСД) до інформації.
Розробка системи захисту електронних банківських послуг передбачає створення моделі можливих загроз і вибір ефективних способів захисту, який має бути невід'ємною частиною оn-line - системи і здійснюватися на всіх етапах функціонування.
У будь-якій інформаційній системі, з погляду захисту інформації, можна виділити таких учасників інформаційного обміну: відправник інформації; одержувач інформації; зловмисник; арбітр.
Здійснюючи фінансові операції, усі чотири сторони треба вважати такими, що не довіряють одна одній. Отже, моделі загроз для інформаційних систем мають будуватися на основі взаємної недовіри.
Політика безпеки може бути визначена як набір законів, правил і практичних рекомендацій, на базі яких здійснюється керування, захист і розподіл критичної інформації в системі. [10]
Політика безпеки має охоплювати всі етапи обробки інформації, визначати поведінку системи в різних ситуаціях. Тому, беручись за розроблення політики безпеки системи, слід розглянути основні принципи, яких треба дотримувати під час створення системи захисту, оцінити ризики, які можуть виникати в разі здійснення загроз унаслідок порушень системи захисту з боку різних елементів платіжної системи та обслуговуючого персоналу.
Розробляючи політику безпеки банківських електронних систем, треба враховувати їхню специфіку порівняно з іншими інформаційними системами. Особливості банківської інформаційної системи зумовлені специфікою тих завдань, які виконують за її допомогою, а саме:
- уся інформація, яка обробляється, накопичується і зберігається в системі, є конфіденційною, тому значну увагу доводиться приділяти криптографічному захисту за допомогою шифрування, розподілу доступу й автентифікації в мережі, захисту місць підключення до мереж зв'язку тощо;
- інформація, яка циркулює в банківській системі, не може бути втрачена, дубльована або модифікована. У зв'язку з цим посилюються вимоги до надійності апаратного і програмного забезпечення, оперативного і повного (за можливостями) відновлення інформації після аварій та збоїв у роботі;
- обробка кожного запиту не потребує значних ресурсів системи, але оскільки потік таких запитів до системи є значним і великим, то продуктивність системи має бути великою та постійною.
Зважаючи на специфіку банківської інформації, для систем інтерактивного банківського обслуговування клієнтів можна визначити такі основні принципи створення системи захисту:
- конфіденційність, тобто гарантія, що інформація дається тільки авторизованим користувачам;
- цілісність, тобто гарантія, що інформація не може бути несанкціоновано змінена;
- доступність і безперервність роботи системи, тобто гарантія, що достовірна інформація буде доступна, коли це потрібно.
Щодо ідентифікації основних типів загроз, найбільш уразливих місць системи, де вони можуть виникати, можна виділити основні типи загроз для банківських оn-line-систем:
- неавторизоване проникнення до системи, несанкціонована модифікація або знищення інформації;
- ненавмисна модифікація або знищення інформації;
- недоставка або помилкова доставка інформації;
- затримка або погіршення обслуговування.
Загроза неавторизованого проникнення до системи охоплює всі типи несанкціонованого доступу, у тому числі такі: фальсифікація санкції на доступ, неправомірне використання паролів, спроби працювати від імені іншої особи, несанкціоноване використання носіїв даних, перехоплення повідомлень у каналах зв'язку, вірусні атаки тощо. Загроза ненавмисної модифікації виникає унаслідок помилок у програмному забезпеченні, апаратних збоїв, помилок персоналу та користувачів і т. ін. Затримка або погіршення обслуговування можуть призвести до втрати коштів унаслідок штрафних санкцій і, що найважливіше, до втрати довіри до банківської системи.
Розділ 2. Механізми захисту інформаційної безпеки
2.1 Принципи реалізації політики безпеки
Хоча розробка політики безпеки є індивідуальним процесом, який цілковито залежить від особливостей конкретної системи, можна виділити загальні принципи реалізації політики безпеки та механізми захисту.
Серед загальних механізмів захисту слід надати особливу увагу таким.
І. Ідентифікація, автентифікація й авторизація всіх суб'єктів та об'єктів системи, а також усієї інформації.
Для забезпечення надійної та коректної роботи кожний суб'єкт і об'єкт будь-якої банківської системи повинен бути однозначно визначеним. Найчастіше це здійснюється за допомогою наперед призначеного ідентифікатора, що дається кожному об'єкту чи суб'єкту системи і є унікальним у мережі.
Під автентифікацгею слід розуміти перевірку ідентифікації користувача, процесу, пристрою або іншого компонента системи, а також перевірку цілісності даних під час їх зберігання або передачі для запобігання їхній несанкціонованій модифікації.
Авторизація - це надання користувачам або процесам прав доступу до об'єктів системи (процесів, компонентів системи і даних) після їх перевірки (автентифікації).
2. Контроль входу користувача до системи і керування системою паролів. Прикладом цього процесу може бути вхід до системи з уведенням імені користувача (ідентифікація), введенням пароля (автентифікація) й отримання дозволу на доступ (авторизація). Для великих систем із використанням телекомунікаційних мереж під час входу до системи також слід подбати про організацію "достовірного" маршруту передачі ідентифікаційної інформації до ядра тощо.
3. Реєстрація, протоколювання й аудит. Ці функції забезпечують отримання й аналіз інформації про стан ресурсів системи, реєстрацію дій, які можуть бути визначеними як небезпечні ситуації, ведення журналу системи, який допоможе оперативно зафіксувати події, що відбуваються в системі. Аналіз журналу, якщо його вести належним чином, може допомогти у визначенні засобів, які використовував зловмисник під час порушення системи захисту, у визначенні реального стану системи, у виборі способів розслідування в разі порушення і підказати шляхи виправлення ситуації.
4. Контроль за цілісністю, тобто захист від несанкціонованої модифікації суб'єктів системи. Це фактично - контроль за цілісністю атрибутів суб'єкта (пріоритет, привілеї, набір ідентифікаторів тощо), контроль за послідовністю і повнотою процесів та режимів їх виконання.
5. Визначення заходів, які можуть забезпечувати повне звільнення пам'яті або носіїв інформації від решток конфіденційної інформації, яку не можна залишати після закінчення процесів обробки платіжних документів на носіях інформації або в пам'яті обчислювальних машин.
6. Контроль за доступом, тобто обмеження можливостей використання ресурсів системи програмами, процесами і користувачами згідно з політикою безпеки. Такий контроль слід виконувати під час доступу до оперативної пам'яті, обладнання прямого або послідовного доступу, програм і підпрограм, наборів даних. Є чотири способи розподілу доступу до об'єктів, що використовуються спільно:
- фізичний розподіл доступу - користувачі та інші суб'єкти системи мають доступ до різних пристроїв, програм або даних;
- розподіл доступу в часі - суб'єкти системи з різними правами отримують доступ до програм або даних у різні відрізки часу;
- логічний розподіл - суб'єкти мають доступ до різних пристроїв, процесів або даних, що використовуються спільно, у межах операційної системи, але під контролем засобів розподілу доступу;
- криптографічний розподіл доступу - частина інформації системи зберігається в зашифрованому варіанті, і фактично права доступу визначаються наявністю ключа дешифрування цієї інформації. [6]
Основним принципом реалізації політики безпеки банківських систем можна визначити нерозривність захисту інформації на всіх етапах її обробки: підготовки, відправки каналами зв'язку, приймання та обробки документів, списання або зарахування грошей відповідно до отриманого документа тощо.
Досить важливу роль у принципах використання механізмів захисту відіграють механізми надання привілеїв. Кожний користувач або фахівець, який обслуговує систему, а також кожний процес системи повинен мати мінімальну кількість привілеїв, що необхідні для його роботи. Повноваження користувачів визначаються відповідно до їхніх обов'язків. Доступ слід надавати тільки до інформації щодо виконання конкретних завдань (принцип "необхідно знати" для надання повноважень). Для спрощення процедур керування доступом часто використовується принцип створення груп суб'єктів системи з однаковими правами і одним груповим іменем. Один користувач може бути включеним до кількох груп і тому мати різні права для різних завдань. [7]
Узагальнення основних функцій, які має виконувати система захисту, виглядає так:
- автентифікація користувачів системи;
- контроль за цілісністю повідомлення;
- забезпечення конфіденційності повідомлення;
- керування доступом на кінцевих терміналах системи;
- гарантія доставки повідомлення;
- реєстрація послідовності повідомлень у каналах зв'язку;
- контроль за послідовністю повідомлень;
- забезпечення конфіденційності потоку повідомлень.
Повнота виконання цих функцій має базуватися як на зазначених принципах реалізації політики безпеки, так і на правильному виборі криптографічного захисту та системи розподілу ключів.
2.2 Криптографічний захист інформації і системи розподілу ключів
Використання криптографічного захисту інформації під час побудови політики безпеки банківської оn-line-системи значно посилює безпеку роботи системи, але за умови, що ця система захисту створена належним чином та має безпечну систему розподілу криптографічних ключів.
Криптографічні методи захисту інформації - це методи захисту даних із використанням шифрування.
Головна мета шифрування (кодування) інформації - її захист від несанкціонованого читання. Системи криптографічного захисту (системи шифрування інформації) для банківських оn-line-систем можна поділити за різними ознаками:
- за принципами використання криптографічного захисту (вбудований у систему або додатковий механізм, що може бути відключений);
- за способом реалізації (апаратний, програмний, програмно-апаратний);
- за криптографічними алгоритмами, які використовуються (загальні, спеціальні);
- за цілями захисту (забезпечення конфіденційності інформації (шифрування) та захисту повідомлень і даних від модифікації, регулювання доступу та привілеїв користувачи);
- за методом розподілу криптографічних ключів (базових/сеансових ключів, відкритих ключів) тощо. [8]
Вбудовані механізми криптографічного захисту входять до складу системи, їх створюють одночасно з розробленням банківської on-line-системи. Такі механізми можуть бути окремими компонентами системи або бути розподіленими між іншими компонентами системи.
Додаткові механізми криптозахисту - це додаткові програмні або апаратні засоби, які не входять до складу системи. Така реалізація механізмів криптозахисту має значну гнучкість і можливість швидкої заміни. Для більшої ефективності доцільно використовувати комбінацію додаткових і вбудованих механізмів криптографічного захисту.
За способом реалізації криптографічний захист можна здійснювати різними способами: апаратним, програмним або програмно-апаратним. Апаратна реалізація криптографічного захисту - найбільш надійний спосіб, але й найдорожчий. Інформація для апаратних засобів передається в електронній формі через порт обчислювальної машини всередину апаратури, де виконується шифрування інформації. Перехоплення та підробка інформації під час її передачі в апаратуру може бути виконана за допомогою спеціально розроблених програм типу "вірус".
Програмна реалізація криптографічного захисту значно дешевша та гнучкіша в реалізації. Але виникають питання щодо захисту криптографічних ключів від перехоплення під час роботи програми та після її завершення. Тому, крім захисту від "вірусних" атак, потрібно вжити заходів для забезпечення повного звільнення пам'яті від криптографічних ключів, що використовувались під час роботи програм "збирання сміття".
Крім того, можна використовувати комбінацію апаратних і програмних механізмів криптографічного захисту. Найчастіше використовують програмну реалізацію криптоалгоритмів з апаратним зберіганням ключів. Такий спосіб криптозахисту є досить надійним і не надто дорогим. Але, вибираючи апаратні засоби для зберігання криптографічних ключів, треба пам'ятати про забезпечення захисту від перехоплення ключів під час їх зчитування з носія та використання в програмі.
В основу шифрування покладено два елементи: криптографічний алгоритм і ключ.
Криптографічний алгоритм - це математична функція, яка комбінує відповідний текст або іншу зрозумілу інформацію з ланцюжком чисел (ключем) з метою отримання незв'язаного (шифрованого) тексту.
Усі криптографічні алгоритми можна поділити на дві групи: загальні і спеціальні.
Спеціальні криптоалгоритми мають таємний алгоритм шифрування, а загальні криптоалгоритми характерні повністю відкритим алгоритмом, і їх криптостійкість визначається ключами шифрування. Спеціальні алгоритми найчастіше використовують в апаратних засобах криптозахисту.
Криптостійкість загальних алгоритмів визначається ключем шифрування, який генерується методом випадкових чисел і не може бути повторений протягом певного часу. Криптостійкість таких алгоритмів буде вищою відповідно до збільшення довжини ключа.
Є дві великі групи загальних криптоалгоритмів: симетричні і асиметричні. До симетричних криптографічних алгоритмів належать такі алгоритми, для яких шифрування і розшифрування виконується однаковим ключем, тобто і відправник, і отримувач повідомлення мають користуватися тим самим ключем. Такі алгоритми мають досить велику швидкість обробки як для апаратної, так і для програмної реалізації. Основним їх недоліком є труднощі, пов'язані з дотриманням безпечного розподілу ключів між абонентами системи. Для асиметричних криптоалгоритмів шифрування і розшифрування виконують за допомогою різних ключів, тобто, маючи один із ключів, не можна визначити парний для нього ключ. Такі алгоритми часто потребують значно довшого часу для обчислення, але не створюють труднощів під час розподілу ключів, оскільки відкритий розподіл одного з ключів не зменшує криптостійкості алгоритму і не дає можливості відновлення парного йому ключа. [1]
Усі криптографічні алгоритми можна використовувати з різними цілями, зокрема:
- для шифрування інформації, тобто приховування змісту повідомлень і даних;
- для забезпечення захисту даних і повідомлень від модифікації.
З найпоширеніших методів шифрування можна виділити американський алгоритм шифрування DES (Data Encryption Standart, розроблений фахівцями фірми IBM і затверджений урядом США 1977 року) із довжиною ключа, що може змінюватися, та алгоритм ГОСТ 28147-89, який був розроблений та набув широкого застосування в колишньому СРСР і має ключ постійної довжини. Ці алгоритми належать до симетричних алгоритмів шифрування.
Розглянемо на прикладі принцип роботи алгоритм шифрування DES (Data Encryption Standart). [11]
DES (англ. Data Encryption Standard) - це симетричний алгоритм шифрування певних даних. DES є блочним шифром - дані шифруються блоками по 64 біти - 64 бітний блок явного тексту подається на вхід алгоритму, а 64-бітний блок шифрограми отримується в результаті роботи алгоритму. Крім того, як під час шифрування, так і під час дешифрування використовується один і той самий алгоритм (за винятком дещо іншого шляху утворення робочих ключів). Ключ має довжину 56 біт (як правило, в джерельному вигляді ключ має довжину 64 біти, де кожний 8-й біт є бітом паритету, крім того, ці контрольні біти можуть бути винесені в останній байт ключа). Ключем може бути довільна 64-бітна комбінація, яка може бути змінена у будь-який момент часу. Частина цих комбінацій вважається слабкими ключами, оскільки може бути легко визначена. Безпечність алгоритму базується на безпечності ключа. На найнижчому рівні алгоритм є ніщо інше, ніж поєднання двох базовних технік шифрування: перемішування і підстановки. Цикл алгоритму, з яких і складається DES є комбінацією цих технік, коли в якості об'єктів перемішування виступають біти тексту, ключа і блоків підстановок.
Початкова перестановка/На вході подаються 64-бітний блок даних, які переставляються згідно з таблицею 2.1:
Таблиця 2.1
Початкова перестановка IP
Далі 16 разів повторюються наступні операції:
Функція розширення блоку. Функція Е розширює 32-бітовий вектор до 48-бітового вектора шляхом повторення деяких біт з згідно з таблицею 2.2:
Таблиця 2.2
Функція розширення E
Перший рядок - номери вхідних біт, другий рядок - вихідні біти. Повторення номерів, означає повторення біт.
Додавання раундового ключа . Блок 48 біт XOR'иться з раундовим ключем .
Таблиці підстановки (табл.2.3) мають вигляд:
Таблиця 2.3. S-бокси , i=1…8
"Розширені" біти використовуються для визначення номера 0-1-2-3 таблиці (ліва колонка).
Далі виконується перестановка (табл 2.4):
Таблиця 2.4. Перестановка P
XOR лівої і правої частин. За формулою отримуємо значення .
Кінцева перестановка. Після 16-ти раундів застосовуюється перестановка біт (табл.2.5):
Таблиця 2.5. Перестановка
Вхідний перший біт ставить на місце номер 40, другий біт на місце номер 8 і т.д.
В DES використовується 16 циклів, вихідними даними для кожного з них 64 є біти відкритого тексту (на вході першого раунду) чи 64 біти з результату роботи попереднього раунду (у всіх наступних), ключ і блоки підстановок.
Алгоритм використовує лише стандартні елементарні логічні операції (зсув, сума по модулю два (XOR)) на числах довжиною 64 біти, що значно полегшує програмування алгоритму і прискорює його роботу у інтегральних мікросхемах. Циклічний характер алгоритму в сумі з ідеальною здатністю до запрограмовування робить алгоритм швидким і легким до розуміння.
Алгоритм 3 DES був запропонований як альтернатива DES і призначений для триразового шифрування даних трьома різними закритими ключами для підвищення ступеня захисту.
RC2, RC4, RC5 - шифри зі змінною довжиною ключа для дуже швидкого шифрування великих обсягів інформації. Здатні підвищувати ступінь захисту через вибір довшого ключа.
IDEA (International Data Encryption Algoritm) призначений для швидкої роботи в програмній реалізації.
Для приховування інформації можна використовувати деякі асиметричні алгоритми, наприклад, алгоритм RSA. Алгоритм підтримує змінну довжину ключа та змінний розмір блоку тексту, що шифрується.
Алгоритм RSA дозволяє виконувати шифрування в різних режимах:
- за допомогою таємного ключа відправника. Тоді всі, хто має його відкритий ключ, можуть розшифрувати це повідомлення;
- за допомогою відкритого ключа отримувача, тоді тільки власник таємного ключа, який є парним до цього відкритого, може розшифрувати таке повідомлення;
- за допомогою таємного ключа відправника і відкритого ключа отримувача повідомлення. Тоді тільки цей отримувач може розшифрувати таке повідомлення.
Але не всі асиметричні алгоритми дозволяють виконувати шифрування даних у таких режимах. Це визначається математичними функціями, які закладені в основу алгоритмів.
Другою метою використання криптографічних методів є захист інформації від модифікації, викривлення або підробки. Цього можна досягнути без шифрування повідомлень, тобто повідомлення залишається відкритим, незашифрованим, але до нього додається інформацію, перевірка якої за допомогою спеціальних алгоритмів може однозначно довести, що ця інформація не була змінена. Для симетричних алгоритмів шифрування така додаткова інформація - це код автентифікації, який формується за наявності ключа шифрування за допомогою криптографічних алгоритмів.
Для асиметричних криптографічних алгоритмів формують додаткову інформацію, яка має назву електронний цифровий підпис. Формуючи електронний цифровий підпис, виконують такі операції:
- за допомогою односторонньої хеш-функції обчислюють прообраз цифрового підпису, аналог контрольної суми повідомлення;
- отримане значення хеш-функції шифрується: а) таємним або відкритим;
- 6) таємним і відкритим ключами відправника і отримувача повідомлення - для алгоритму RSA
- використовуючи значення хеш-функції і таємного ключа, за допомогою спеціального алгоритму обчислюють значення цифрового підпису, - наприклад, для російського стандарту Р.31-10.
Для того, щоб перевірити цифровий підпис, потрібно:
- виходячи із значення цифрового підпису та використовуючи відповідні ключі, обчислити значення хеш-функції;
- обчислити хеш-функцію з тексту повідомлення;
- порівняти ці значення. Якщо вони збігаються, то повідомлення не було модифікованим і відправлене саме цим відправником.
Останнім часом використання електронного цифрового підпису значно поширюється, у тому числі для регулювання доступу до конфіденційної банківської інформації та ресурсів системи, особливо для оn-line-систем реального часу.
Ефективність захисту систем за допомогою будь-яких криптографічних алгоритмів значною мірою залежить від безпечного розподілу ключів. Тут можна виділити такі основні методи розподілу ключів між учасниками системи.
1. Метод базових/сеансових ключів. Такий метод описаний у стандарті ISO 8532 і використовується для розподілу ключів симетричних алгоритмів шифрування. Для розподілу ключів вводиться ієрархія ключів: головний ключ (так званий майстер-ключ, або ключ шифрування ключів) і ключ шифрування даних (тобто сеансовий ключ). Ієрархія може бути і дворівневою: ключ шифрування ключів/ключ шифрування даних. Старший ключ у цій ієрархії треба розповсюджувати неелектронним способом, який виключає можливість його компрометації. Використання такої схеми розподілу ключів потребує значного часу і значних затрат.
2. Метод відкритих ключів. Такий метод описаний у стандарті ISO 11166 і може бути використаний для розподілу ключів як для симетричного, так і для асиметричного шифрування. За його допомогою можна також забезпечити надійне функціонування центрів сертифікації ключів для електронного цифрового підпису на базі асиметричних алгоритмів та розподіл сертифікатів відкритих ключів учасників інформаційних систем. Крім того, використання методу відкритих ключів дає можливість кожне повідомлення шифрувати окремим ключем симетричного алгоритму та передавати цей ключ із самим повідомленням у зашифрованій асиметричним алгоритмом формі.
Вибір того чи іншого методу залежить від структури системи і технології обробки даних. Жоден із цих методів не забезпечує "абсолютного" захисту інформації, але гарантує, що вартість "злому" у кілька разів перевищує вартість зашифрованої інформації.
Щоб використовувати систему криптографії з відкритим ключем, потрібно генерувати відкритий і особистий ключі. Після генерування ключової пари слід розповсюдити відкритий ключ респондентам. Найнадійніший спосіб розповсюдження відкритих ключів - через сертифікаційні центри, що призначені для зберігання цифрових сертифікатів.
Цифровий сертифікат - це електронний ідентифікатор, що підтверджує справжність особи користувача, містить певну інформацію про нього, слугує електронним підтвердженням відкритих ключів.
Сертифікаційні центри несуть відповідальність за перевірку особистості користувача, надання цифрових сертифікатів та перевірку їхньої справжності. [14]
Розділ 3. Проблематика інформаційної банківської безпеки та шляхи вирішення
3.1 Проблеми та загрози інформаційної безпеки
Протягом минулих років банківська система пережила значні зміни, обумовленні глобалізацією фінансових ринків, розвитком інформаційних технологій, розширення асортименту банківських послуг, впровадження інноваційних технологій в управлінні банками. Це, у свою чергу, ще більше загострило ситуацію із забезпеченням надійного захисту інформації.
Положення змінилося після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було неможливе без інформаційних технологій. У першу чергу це пластикові картки. Поки обслуговування по картках йшло в режимі голосової авторизації, відкритість інформаційної системи банка підвищувалася незначно, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування.
Відкритість системи, що підвищилася, вимагала спеціальних засобів для контролю і регулюванню обміну інформацією: додаткових засобів ідентифікації й аутентифікаціїї особи, що запитує доступ до системи (PIN-код, інформація про клієнта на магнітній смузі чи в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), засобів криптозахисту інформації в каналах зв'язку і т.д. [5]
Найбільш небезпечні загрози внутрішній інформаційній безпеці є:
крадіжка обладнання;
саботаж;
шахрайство;
викривлення інформації;
збої в інформаційній системі;
втрата інформації;
порушення конфіденційності інформації та інші.
Погіршення стану інформаційної безпеки комерційного банку може бути спричинене дією таких чинників:
1) збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп'ютерів;
2) зосередження в базах даних інформації різного призначення і різної приналежності;
3) розширення кола користувачів, що мають безпосередній доступ до ресурсів обчислювальної системи та масивів даних;
4) ускладнення режимів роботи технічних засобів обчислювальних систем;
5) обмін інформацією в локальних та глобальних мережах, у тому числі на великих відстанях.
Найнебезпечнішою загрозою є порушення конфіденційності інформації та витік інформації, оскільки банки побоюються цього за двома причинами. По-перше, кожен витік конфіденційної інформації та персональних даних банку підриває його репутацію, так як в очах його партнерів, інвесторів і клієнтів банк набуває імідж організації, яка не в змозі навести порядок в своїх власних стінах. В результаті відбувається відтік інвестицій та міграція клієнтів та конкурентів. По-друге, інциденти такого роду можуть призвести до втрати конкурентоздатності банку, якщо, наприклад, інтелектуальна власність або база клієнтів попадуть до конкурентів.
Згідно глобального аналізу витоку інформації по всьому світу, здійсненого компанією Infowatch, розглянемо основні канали витоку інформації за допомогою таблиці 3.1 [12].
Таблиця 3.1. Основні канали витоку інформації за 2013-2014 роки
Канали витоку |
2013 |
2014 |
|||
К-ть |
% |
К-ть |
% |
||
Мобільний комп'ютер |
49 |
11,9 |
40 |
10,5 |
|
Носії інформації (СD/DVD, флешносії) |
23 |
5,6 |
32 |
8,4 |
|
Настільнийкомп'ютер, сервер, НЖМД |
41 |
9,9 |
90 |
23,6 |
|
Інтернет (вкл. e-mail) |
97 |
23,5 |
82 |
21,4 |
|
Паперовийдокумент |
84 |
20,3 |
78 |
20,4 |
|
Архівний носій |
48 |
11,6 |
6 |
1,6 |
|
Інший |
36 |
8,7 |
25 |
6,5 |
|
Не встановлено |
35 |
8,5 |
29 |
7,6 |
Як видно з таблиці 3.1, з відмінностей в першу чергу звертає на себе увагу категорія "настільні комп'ютери, сервери і жорсткі диски". Число витоків у цієї категорії істотно зросла.
Поряд із неправомірним отриманням інформації існують і інші загрози, які не передбачають отримання інформації, але, у свою чергу, не менш небезпечні. Серед них знищення і модифікація (зміна змісту) інформації. Слід зазначити, що до факторів, які створюють умови витоку (передавання) інформації, за дослідженнями спецслужб, відносять відображені в таблиці 3.2.
Таблиця 3.2
Фактори витоку |
% |
|
Надмірна балакучість співробітників підприємств, фірм, банків |
32 |
|
Прагнення працівників підприємств, фірм, банківзаробити гроші будь-яким способом і будь-якою ціною |
24 |
|
Відсутність на підприємстві, фірмі, у банку системи заходів, спрямованих на захист інформації |
14 |
|
Звичка співробітників підприємств, фірм, банківділитись один з одним почутими новинами, чутками, інформацією |
12 |
|
Безконтрольне використання інформаційних систем |
10 |
|
Наявність передумов для виникнення серед співробітників конфліктних ситуацій |
8 |
На підставі викладеного можна зробити висновок, що отримання інформації спецслужбами, конкурентами та зловмисниками здебільшого здійснюється через технічні засоби, які використовуються на фірмах, підприємствах, у банках та через їхніх співробітників.
Отже, наслідком витоку конфіденційної інформації є втрата клієнтів, погіршення іміджу, зниження конкурентоздатності та прямі фінансові збитки банків. З проблемою витоку інформації можна боротись, але перемогти її повністю неможливо, оскільки ні апаратні, ні технічні засоби не можуть забезпечити необхідного захисту, бо техніка безсила проти витонченого розуму людини.
3.2 Рекомендації та принципи забезпечення інформаційної безпеки
Банківська безпека - один з основних елементів менеджменту, має багатофункціональний та комплексний характер.
Основними принципами забезпечення інформаційної безпеки банківських систем є:
1. Постійний і всебічний аналіз інформаційної системи з метою виявлення уразливості інформаційних активів банку та підприємства.
2. Своєчасне виявлення проблем, потенційно здатних вплинути на інформаційну безпеку банку та підприємства, корегування моделей загроз і порушника.
3. Розробка і впровадження заходів захисту, адекватних характеру виявлених загроз, з урахуванням витрат на їх реалізацію і сумісності цих заходів з діючим банківським технологічним процесом. При цьому заходи, що приймаються для забезпечення інформаційної безпеки, не повинні ускладнювати досягнення статутних цілей банку та підприємства, а також підвищувати трудомісткість технологічних процесів обробки інформації і створювати додаткові складності для клієнтів.
4. Контроль ефективності впроваджених заходів захисту.
5. Персоніфікація та розподіл ролей і відповідальності між користувачами інформаційної системи банку чи підприємства, виходячи з принципу персональної і одноосібної відповідальності за здійснені операції.
6. Принцип "чотирьох очей", коли критичні операції та дії здійснюються або підтверджуються мінімум двома уповноваженими особами.
7. Знання банком чи підприємством своїх клієнтів і персоналу [13].
Виходячи з вищесказаного можна розробити деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі управління безпекою банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифікації, "брандмауери" для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.
2. Необхідна участь співробітників управління безпекою на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпекою повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається
3. Ставитися особливо обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам розробленим програмістами самого банку.
Одна з систем, що забезпечує захист інформації - це DLP (Data Loss Prevention) - система та інші засоби, що захищають від витоків, перекривають або контролюють ті чи інші канали, по яким інформація може покинути інформаційну систему, такі як мережеві з'єднання по різних протоколах, відчужувані носії інформації, мобільні комп'ютери, принтери і т.д.
Сьогодні банки використовують спеціальні програмні комплекси зі сканування рівня інформаційної захищеності комп'ютерних мереж. Серед таких комплексів виступають спеціалізована мова Vulnerabіlіty Descrіptіon Language, Іnternet SafeSuіt (Іnternet Securіty Systems) та ін.
Для контролю за виходом банківської інформації через "зломи" інформаційних мереж комп'ютерними злочинцями використовують відповідне програмне забезпечення.
Нині на ринку представлена достатня кількість програмного забезпечення, що відноситься до категорії засобів пошуку "злому" мереж. [15] Це:
1. Internet Security Scanner (фірма Internet Security Systems).
2. netRecon (фірма Axent).
3. netProbe (фірма Qualix).
4. Ballista (фірма Secure Networks).
5. netGuard (фірма Network Guardians).
6. netSonar (фірма WheelGroup).
Висновки
В сучасному суспільстві, де найважливішим ресурсом будь-якої компанії цілком обґрунтовано є інформація, закономірно встає питання про створення управлінської системи, яка б забезпечила її збереження.
Грошово-кредитна система України перебуває в стані постійного розвитку. Одночасно з розширенням набору операцій і сфер діяльності постійно розвивається і сектор інформаційного ринку, удосконалюється технічне забезпечення, застосовуються сучасні інформаційні технології, широко використовуються як зарубіжні, так і вітчизняні засоби інформатизації. З одного боку, ці процеси значно спрощують банківську діяльність, підвищують швидкість і якість обслуговування клієнтів. З іншого ж - створюють передумови для різкого зростання кількості фінансових злочинів.
Стратегія інформаційної безпеки банків дуже сильно відрізняється від аналогічних стратегій інших компаній та організацій. Це зумовлено насамперед специфічним характером загроз, а також публічною діяльністю банків, які змушені робити доступ до рахунків досить легким з метою зручності для клієнтів.
Інформаційна безпека банку повинна враховувати наступні специфічні фактори:
...Подобные документы
Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Структура деревооброблювальної фабрики. Нормалізація відносин і побудова ER-діаграм. Показники економічної ефективності інформаційної системи. Розрахунок витрат на створення і експлуатацію системи на підприємстві. Інструкція по роботі з програмою.
курсовая работа [3,6 M], добавлен 30.05.2012Мета і призначення комплексної системи захисту інформації. Загальна характеристика автоматизованої системи установи та умов її функціонування. Формування моделей загроз інформації та порушника об'єкта інформаційної діяльності. Розробка політики безпеки.
курсовая работа [166,9 K], добавлен 21.03.2013Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Компоненти структурно-інформаційної системи. Розділення інформаційної системи (ІС) на окремі частини (декомпозиція) як метод проектування. Склад і зміст робіт на стадії робочого проектування ІС, його технологічна мережа. Система захисту інформації.
контрольная работа [34,2 K], добавлен 20.09.2009Місцезнаходження, опис приміщення інформаційного об’єкта. Закономірності організації інформаційної системи та локальної мережі, розташування технічного обладнання та використовуване програмне забезпечення. Методика оцінки ймовірності реалізації загрози.
курсовая работа [739,9 K], добавлен 08.06.2019Здійснення адміністративних заходів з метою формування програми робіт в області інформаційної безпеки і забезпечення її виконання. Основні рівні політики безпеки, структурування її програми та синхронізація з життєвим циклом інформаційного сервісу.
презентация [144,4 K], добавлен 14.08.2013Функції програмно-технологічного комплексу "Операційний день банку" (ОДБ). Створення інтегрованих банківських систем. Функції технолога щодо формування звітності за відповідний період часу. Обробка документів операційного дня в програмі "Оплата".
контрольная работа [423,6 K], добавлен 27.07.2009Створення гнучкої клієнт-серверної системи інформаційної підтримки підвищення кваліфікації персоналу ДП № 9 з застосуванням мови програмування PHP, системи керування базами даних MySQL. Розробка алгоритмів, програмна реалізація основних процедур системи.
дипломная работа [1,8 M], добавлен 26.10.2012Опис інформації, яка захищається, її властивості, особливості як об’єкта права власності. Визначення інформаційної системи досліджуваного об’єкта, опис ресурсів, потоків. Структурна схема інформаційної системи. Проведення аналізу захищеності об’єкта.
курсовая работа [616,7 K], добавлен 18.05.2011Поняття комп’ютерної мережі та її призначення. Організація корпоративної комп’ютерної мережі. Характеристика інформаційної системи Верховної Ради України. Основні типові функціональні підсистеми інформаційної системи державної судової адміністрації.
контрольная работа [97,1 K], добавлен 20.07.2011Опис алгоритмів реалізації автоматизованої інформаційної системи обслуговування роботи торгового агента в середовищі програмування Delphi. Створення схем технологічного процесу введення, редагування і видачі результатів. Інсталяція і експлуатація проекту.
курсовая работа [118,4 K], добавлен 25.09.2010Аналіз основних задач фінансового відділу і їх залежності від вхідної інформації. Розробка автоматизованої інформаційної системи з ціллю якісної обробки вхідних даних. Організація інформаційного, організаційного, технічного і програмного забезпечення АІС.
курсовая работа [463,7 K], добавлен 11.02.2014Фактори, що гальмують або обумовлюють впровадження інформаційних систем у навчально-виховний процес. Використання можливостей табличного процесору в процесі аналізу даних предметної області інформаційної системи "Видатні особистості Харківщини".
курсовая работа [14,0 M], добавлен 19.10.2014Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.
реферат [253,2 K], добавлен 19.12.2010Методика та основні етапи проектування інформаційної системи "Меблевий салон", опис необхідних для цього даних і джерела їх отримання. Побудова ER-діаграми та порядок її нормалізації. Методи створення таблиць та форм, можливості їх змін, редагування.
курсовая работа [2,1 M], добавлен 08.12.2009Аналіз задач, які вирішуються з використанням інформаційної системи. Вибір серверного вирішення, клієнтської частини, мережного вирішення, системного програмного забезпечення. Розробка підсистеми діагностики, керування, забезпечення безпеки даних.
курсовая работа [1,5 M], добавлен 22.04.2011Інформаційна безпека як захист інтересів суб'єктів інформаційних відносин. Інформація - данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення. Об'єктно-орієнтований підхід и складові інформаційної безпеки.
реферат [97,7 K], добавлен 10.03.2009Інтегрована інформаційна система менеджменту фірми SAP R/3. Інформаційні потреби управлінського апарату підприємства. Характеристика системи Scala. Характеристика змін в системі управління в результаті впровадження інформаційної системи управління.
контрольная работа [163,0 K], добавлен 27.07.2009Побудова інформаційної системи, що буде слугувати для автоматизації процесу захисту персональних даних клієнтів банку. Вибір методу проектування архітектури та моделі функціонування системи. Перелік масивів, використовуваних під час розв’язання задачі.
дипломная работа [1,8 M], добавлен 02.06.2017