asyan.org
добавить свой файл
  1 ... 11 12 13 14

  1. Критерії захищеності автоматизованих систем. Профіль захисту.


Одним из необходимых условий проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД) для автоматизированных систем (АС) является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множество угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.

С другой стороны, решение задачи адекватности и эффективности средств защиты невозможно без системы критериев и показателей защищенности АС от НСД. При этом, если состав и характеристики угроз задают, по сути, исходные данные для проектирования системы защиты, то система критериев и показателей защищенности позволяет не только оценивать результат разработки, но и контролировать ее ход.

Для решения этой задачи на этапе проектирования СЗИ выполняются следующие работы:

- анализ исходных данных и потенциальных угроз;

- выявление уязвимых мест и каналов потенциальных нарушений безопасности АС;

- построение модели потенциальных угроз;

- определение вероятностей угроз;

- оценка вероятного ущерба при реализации угроз;

- построение модели защиты;

- определение системы критериев и показателей защищенности;

- оценка защищенности АС.

Перечень угроз, оценки вероятностей их реализации, а также модель угроз являются основой для определения требований к СЗИ. На практике задача формального описания полного множества угроз чрезвычайно сложна вследствие очень большого числа факторов, влияющих на процессы хранения и обработки информации в современных АС. Поэтому для защищаемой системы определяют, как правило, не полный перечень угроз, а перечень классов угроз в соответствии с принятой классификацией. При этом классификация возможных угроз информационной безопасности АС проводится по ряду базовых признаков, например:

- по природе возникновения;

- по степени преднамеренности проявления;

- по непосредственному источнику угроз;

- по положению источника угроз;

- по степени зависимости от активности АС;

- по степени воздействия на АС и т.п.

В свою очередь, использование методов классификации угроз предопределяет классификацию методов защиты и обусловливает существование систем показателей защищенности классификационно-описательного типа.

Примером могут служить критерии и показатели защищенности, изложенные в руководящих документах (РД) Гостехкомиссии (ГТК) России, посвященных вопросам защиты информации в АС и средствах вычислительной техники (СВТ). РД ГТК определяют две группы требований к безопасности – показатели защищенности СВТ от НСД и критерии защищенности АС обработки информации. Различие подходов к проблеме защищенности АС и СВТ обусловлено тем, что СВТ представляют собой элементы, из которых строятся функционально-ориентированные АС и по отношению к которым можно говорить лишь о защищенности СВТ от НСД к информации, обрабатываемой и сохраняемой в системе. При рассмотрении АС появляются дополнительные характеристики (например, полномочия пользователей, модель нарушителя, технология обработки информации и др.). Применительно к СВТ в РД ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Конкретные перечни показателей определяют классы защищенности СВТ. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ). РД ГТК устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. РД содержат требования к классам, являющиеся примером применения необходимых условий оценки качества защиты, при которых наличие определенного механизма класса защиты является основанием для отнесения СВТ к некоторому классу.

профиль защиты: Совокупность типовых требований по обеспечению безопасности информации, которые должны быть реализованы в защищаемой автоматизированной информационной системе.

protection profile

Примечание - Профиль защиты может разрабатываться для автоматизированной информационной системы, средства вычислительной техники, а также их технических и программных средств.

Международный стандарт ISO/IEC 15408 определяет три типа конструкций требований: пакет, профиль защиты (ПЗ) и задание по безопасности (ЗБ).

Пакет предназначен для выражения множества функциональных требований безопасности или требований по гарантиям, которые отвечают определенному подмножеству целей безопасности. Он представляет собой промежуточную комбинацию компонентов требований безопасности. Пакет предназначен для многократного использования и определяет требования безопасности, которые считаются полезными и эффективными при удовлетворении определенных целей безопасности. Пакет может быть использован при построении более объемных пакетов, ПЗ и ЗБ. Определенные в Части 3 стандарта ISO/IEC 15408 уровни гарантии оценки (УГО) по сути, являются пакетами гарантийных требований. Каждый УГО определяет точное множество требований по гарантиям.

Профиль защиты предназначен для выражения требований информационной безопасности к видам и типам автоматизированных систем или их компонентам. Профиль защиты определяет независимое от реализации множество требований безопасности информационной технологии для некоторой категории объектов оценки (ОО), которыми являются продукты информационных технологий и/или автоматизированные системы.

Задание по безопасности предназначено для выражения требований информационной безопасности к конкретным реализациям автоматизированных систем или их компонентов. Оно содержит совокупность требований информационной безопасности и определяет спецификации для реализации этих требований безопасности в конкретном ОО.

  1. Електронні платіжні системи. Пластикові картки.


Електронні платіжні системи (англ. Electronic Payment Systems) — призначені для здійснення платіжних операцій у всесвітній мережі Інтернет. За допомогою платіжної системи можна здійснювати розрахунок за товари та послуги різних проектів і сервісів. Наприклад, оплачувати мобільний зв'язок, комунальні послуги, кабельне або супутникове телебачення, послуги Інтернет-провайдерів, а також різноманітні покупки в Інтернет- магазинах.

У якості платіжних засобів в електронних платіжних системах використовуються електронні (цифрові) гроші, вони є аналогом готівки і, при необхідності, миттєво передаються з одного електронного гаманця на іншій. Всі електронні платіжні системи за способом доступу до електронного рахунку можна розділити на дві групи:

  • системи, що мають веб-інтерфейс для керування електронним гаманцем;

  • системи, що вимагають встановлення додаткового програмного забезпечення для керування електронним гаманцем.

Щоб стати учасником і користуватися послугами будь-якої платіжної системи потрібно пройти процес реєстрації й відкрити в ній електронний рахунок у вигляді електронного гаманця. Електронний гаманець зберігає інформацію про суму коштів на рахунку користувача в даній платіжній системі.

Для того щоб мати можливість проведення розрахункових операцій, необхідно ввести гроші в платіжну систему, інакше кажучи, поповнити електронний рахунок. Це можна зробити за допомогою банку, поштового переказу, платіжного термінала або іншим зручним способом залежно від використовуваної платіжної системи. При необхідності, електронні гроші завжди можна вивести із системи та обміняти їх на готівку.

Електронні платіжні системи дозволяють максимально спростити фінансові операції між покупцем і продавцем. Крім цього, вони сприяють розвитку електронної комерції, оскільки дозволяють здійснити операцію майже миттєво. Єдиним недоліком і головною перешкодою для більш стрімкого розвитку електронних платіжних систем як і раніше є недовіра багатьох користувачів до електронних грошей. Однак варто відзначити, що безпека електронних платежів з часом значно підвищується і шахраям усе важче отримати доступ до чужого електронного або банківського рахунку. Багато в чому безпека рахунків цілком залежить від самого власника.

Збільшення використання платіжних систем неминуче, оскільки вони мають дуже важливі і незаперечні переваги, такі як:

  • доступність — будь-який користувач має можливість безкоштовно відкрити власний електронний рахунок;

  • простота використання — для відкриття та використання електронного рахунку не потрібно яких-небудь спеціальних знань, всі наступні дії інтуїтивно зрозумілі;

  • мобільність — незалежно від місця свого знаходження користувач може здійснювати зі своїм рахунком будь-які фінансові операції;

  • оперативність — переказ коштів з рахунку на рахунок відбувається протягом декількох секунд;

  • безпека — передача інформації ведеться з використанням SSL протоколу з кодовим ключем 128-bit або іншими криптографічними алгоритмами.

  • На сьогодні для здійснення платіжних операцій у мережі Інтернет можна скористатися такими платіжними системами:

  • українськіІнтернет.ГрошіГлобалМаніLiqPayiPay.ua;

  • російські: WebMoneyCyberPlate-Port, Assist, RBK MoneyPayCashMoneyMail, Z-Payment,  Яндекс.Деньги, КредитПилот, Рапида;

  • міжнародні: E-GoldLiberty ReservePayPalPerfect MoneyMoneybookersFethardEasyPayChronoPay.

Пластикова картка — це сучасний високотехнологічний носій інформації. Сфера використання пластикових карток доволі широка і вона постійно збільшується, проникаючи у нові галузі нашого побуту. Сьогодні перевагами дисконтних карт користуються не лише підприємства великих мегаполісів, а й магазини невеликих міст.

Використання пластикових карток — це ефективний маркетинговий хід, один із способів персоналізованої роботи з клієнтом, облік здійснених покупок і аналіз довготермінової перспективи. Їх можна використовувати як для ідентифікації клієнта (наприклад, страхові компанії, клуби) так і для створення дисконтних систем. Дисконтні картки служать інструментом для утримання клієнтів і створення стабільної клієнтської бази. Бонусні програми, закладені для власників дисконтних пластикових карток, стимулюють клієнтів звертатися за покупками чи наданням послуг саме до вас.

Крім цього, пластикові картки стають обов'язковими в деяких сферах життєдіяльності (сфера обслуговування, торгівля, готелі, фінансові установи та ін.).

Види пластикових карточок:

– Дисконтні картки. Картки, що дають право на отримання знижок і додаткових пільг в торгівельній точці.

– Ідентифікаційні картки (посвідчення, перепустка). Такі картки використовуються в різноманітних системах контролю доступу.

– Рекламні картки. Це пластикові календарі, візитки що викоритовуються для різних рекламних кампаній.

– Передплатні картки. Це картки з пін-кодом і покриттям, що стирається. Ці картки використовуються для доступу в інтернет, для оплати мобільного зв'язку, для оплати ір-телефонії.

– Страхові картки. Це картки медичного страхування (використовується в якості носія особистих даних), страхові поліси у вигляді пластикових карт (передбачають певні знижки при оплаті послуг страхування і гарантують обслуговування).

– Клубні картки. Картки, які дають право на певні пільги і послуги членам клубу.

Пластикові картки — це пластинки розміром 54x86x0,76 мм. При виготовленні використовують найбільш поширений матеріал — полівінілхлорид (ПВХ). Але існують й інші матеріали для виготовлення пластикових карт, які є стійкими до механічних і температурних дій. Пластикові картки виготовляються як на білому, так і на кольоровому пластику. Можуть покриватися матовою чи глянцевою ламінацією.

Технології виготовлення пластикових карточок:

Ембосування — механічне видавлювання на площині пластикової картки буквенно-цифрової інформації. Пластикові картки з магнітною стрічкою. Магнітна стрічка розміщена на зворотній стороні карточки і містить інформацію в закодованому виді.

Пластикові картки зі штрих-кодом. Штрих-код — це закодована індивідуальна цифрова інформація. Штрих-код необхідний для зчитування і розшифровування інформації. Тиснення фольгою . За допомогою гарячого тиснення на пластикові картки наносять металізовані фарби і голографічні зображення.

Термодрук — переміщення зображення на пластикову карточку відбувається під дією високої температури. Кольорові фотографії наносяться на пластикову картку лише термодруком. Скретч-картки (Scratch-карти) — пластикові картки зі спеціальною непрозорою панеллю, що нанесена на поверхню пластикової карточки і закриває пароль, код чи іншу інформацію. Для зчитання інформації на пластиковій картці дану панель необхідно стерти. Такі картки широко використовуються для здійснення передоплати для доступу до мережі Інтернет, мобільного звязку, IP-телефонії.

Ідент друк пластикових карт. Один із способів персоналізації пластикових карт, при якому на готовій карточці видавлюють різні символи. Переважно після ідент друку пластикових карток видавлені символи для кращої читабельності покриваюся фольгою (золотою або срібною). Пластикові картки з фотографією. Нанесення повноколірного зображення здійснюється офсетним способом. Застосовують для виготовлення перепусток, посвідчень особи і т.д.


<< предыдущая страница