11. Правовое обеспечение безопасности информационных систем

Затрагивает отрасли права - гражданское, административное, уголовное, гражданско-процес­суальное и уголовно-процессуальное. Основным правовым актом в РБ, регулирующим информ. общественные отношения, явл. Закон РБ «Об информатизации» от 05.09.1995 г. Сфера действия - отношения, возника­ющие при: формировании и использовании информ. ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, рас­пространения и предоставления потребителю документированной ин­формации; создании и использовании информ. технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информ. процессах и информатизации. Действия этого закона распространяются на отношения, возни­кающие в связи с созданием и использованием документированной ин­формации (зафиксированная на мат. носителе (бумаге, дискете, магнитной ленте, фото­пленке, в памяти ЭВМ и др.) информа с реквизитами, позволяющими ее идентифицировать). Обязательным условием для включения информации в информа­ционные ресурсы является ее документирование. Порядок док-ия регламентируется соответствующими нормативными актами (напр., ГОСТ 6.10.4-84 «Унифицированные системы документации»). Документ, содержащий информу, обработанную информ. системой, приобретает юр. силу после его удостоверения должностным лицом в установленном порядке или электронной подпи­сью (статья 11 Закона РБ «Об информатизации»). Юр. сила электронной подписи признается при наличии в информ. системах и сетях программно-техн. средств, обеспечивающих идентификацию подписи и имеющих сертификат со­ответствия или удостоверения о признании сертификата, выданного в нац. системе сертификации РБ (статья 11 Закона РБ «Об информатизации»). Согласно закона, объектами права собственности в сфере информатизации выступают: документированная информация; информ. ресурсы; информ. технологии; комплексы про­граммно-техн. средств; информ. системы и сети.

12. Критерии оценки информ. безопасности

1 критерий в США 1988 г. Нац. центром для министерства обороны США. Выделены общие требования к обеспечению безопасности обрабатываемой информы, определен перечень показателей защищенности: класс D - подсистема безопасности (присваивается сис­темам, кот. не прошли испытаний на более высокий уровень защи­щенности, системам, кот. для своей защиты используют лишь отд. функции безопасности); класс С1 — избирательная защита (обеспечивается разделение пользователей и данных, каждый субъ­ект идентифицируется и аутентифицируется в этом классе и ему задает­ся перечень допустимых типов доступа; класс С2 - управляемый доступ (С1, добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий); класс В1 - меточная защита (при­сваиваются метки субъектам и объектам системы, кот. содержат кон­фиденциальную информацию, Доступ - чья метка отвечает опред. кри­терию относительно метки объекта; класс В2 - структурированная защита (В1 + наличие требований опред., документированной формальной модели пол-ки безопасности и управления информ. потоками (контроль скрытых каналов), предъявление доп. требования к защите механизмов аутентификации; класс ВЗ - область безопасности (реализована концепция монитора ссылок, Дей­ствия выполнятьются в рамках областей безопасности, кот. имеют иерархическую структуру и защищены друг от друга с помощью спец. механизмов); класс А1 - верифицированная разработка – (анализа специ­фикаций систем на предмет неполноты или противоречивости). 1992 г. Гостехкомиссия при Президенте России - «Руководящие документы», посвященные проблеме защиты от не­санкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Автоматизированные систем (АС) по уровню защищенности от НСД делят на 9 классов, кот. хар-ся опред. min совокупностью требований к защите. Классы подразделя­ют на 3 группы, отличающиеся особенностями обработки информа­ции в АС. В пределах каждой группы соблюдают иерархию требований к защите в зависимости от ценности (конфиденциальности) информации и иерархию классов защищенности АС. В РБ придерживаются той же концепции.

13. Особенности обеспечения безопасности в компьютерных сетях

1987 Нац. центр комп. безопасности США выпустил интерпретацию «Оранжевой книги» для сетевых конфи­гураций. Функции безопасности, хар-ные для распределенных систем: аутентификация, обеспечивающая аутен­тификацию партнеров по общению и аутентификацию источника дан­ных; управление доступом, кот. обеспечивает защиту от несанкцио­нированного использования ресурсов; конфиденциальность данных (за­щита от несанкционированного получения информации); целостность данных (защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связыва­ние, при кот. результат шифрования очередного сообщения зависит от предыдущего, или иные аналогичные приемы; шифрование, электронная подпись; механизмы управления до­ступом, механизмы нотаризации служит для заве­рения целостности, времени, личности отправителя и получателя. Основой функционирования явл сетевые протоколы (пр.: Secure Sockets Layer (SSL), поддерживающийся Web-браузерами, обеспечивает установление канала шифрованной связи между Web-клиентами и сер­верами, независимость от алгоритма шифрования. Криптография. Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. Брандмауэры прикладного уровня используют серверы конкретных услуг - TELNET, FTP, proxy server и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Сервер уровня соединения представляет из себя транслятор ТСР-соединения. При разработке и проведении в жизнь пол-ки безопас­ности для информ-системы на базе сети учитывать принципы: невозможность миновать защитные средства при доступе в систему; разделение обязанностей; невозможность перехода системы в небезопасное состояние; разнообразие защитных средств; простота и управляемость информ. системы; обеспечение всеобщей поддержки мер безопасности.

14. Информационные технологии играют важную роль в реинжиниринге

ИТ играют важную роль в реинжиниринге, выделяют два направления влияния ИТ на деятельность организации: применение методов ИТ для анализа и конструирования бизнес-процессов; создание новых бизнес-процессов, позволяющих коренным обра­зом изменить базовые правила работы организаций. Современные инструментальные средства делятся на категории: 1. Средства создания диаграмм и инструментарии низкого уров­ня (Micrografx: ABC Flowcharter). Явл. дешевыми (от 300 до 1000 дол.), предназначенными для авто­матизации первой и, возможно, второй фазы реинжиниринга. Используют для описания целей и перспектив компании, не имеют связей со средствами быстрой разработки приложений, иногда включают элементы имитационного моделирования, но на довольно низком уровне. 2. Средства описания потоков работ (Action Technologies: Action Workflow Analyzer). Позволяют проектиро­вать планы работ над проектами, просты в использовании, но средства ана­лиза получаемых планов довольно слабы. Стоимость - порядка 1000 дол. 3. Средства имитационного моделирования или анимации (CACI: Modsim). Это - довольно дорогостоящие средства (от 10000 до 30000 дол.). Предлагают имитационное моделирование с помощью графических средств, библио­тек специализированных программ и специализированных языков, ис­пользуются для выполнения сложных проектов, в крупных фирмах или на уровне нескольких организаций. 4. CASE, объектно-ориентированные инструментарии и средства быстрой разработки приложений (Prech: Framework). Ориентированы исключительно на разработчиков информ.систем. 5. Интегрированные инструментальные средства, автоматизиру­ющие в основном этапы проведения реинжиниринга бизнес-процессов (Coopers & Lybrand: SPARKS). Стоимость данных средств от 10 000 до 50 000 дол. Фирмы-поставщики предлагают мето­дологическую поддержку, организацию многопользовательского досту­па к инструментарию, стыковку со средствами быстрой разработки при­ложений и даже возможности имитационного моделирования и анима­ции. Использование указанных средств требует специальной подготов­ки. Некоторые из них ориентированы на бизнесменов и могут использо­ваться ими без посредничества специалистов в области информ. технологий.