Основ ам использования информационно-коммуникационных технологий




НазваниеОснов ам использования информационно-коммуникационных технологий
страница22/24
Дата конвертации12.12.2012
Размер3.55 Mb.
ТипДокументы
1   ...   16   17   18   19   20   21   22   23   24

Информационная безопасность в Узбекистане

Процессы информатизации в Узбекистане, как и в мире в целом, привели к тому, что усиливается зависимость общества от состояния безопасности информационной инфраструктуры. Это обстоятельство требует разработки комплекса мероприятий по созданию системы обеспечения безопасности таких важных сегментов и объектов информационной инфраструктуры, как информационно - коммуникационные системы и сети связи на основе единого методологического подхода и выбора методов и средств повышения их защищенности. Комплексное обеспечение компьютерной безопасности, а в более широком смысле обеспечение информационной безопасности объектов и субъектов, связанных с информатизацией и использованием информации, является насущной необходимостью.

Основополагающим законодательным актом в области защиты информации является Закон Республики Узбекистан «О принципах и гарантиях свободы информации», где даны определения основных понятий, таких как: «информация», «информационная сфера», «конфиденциальная информация», «информационная безопасность», «защита информации» и других. Защита информации в законе классифицируется, как мера по предотвращению угроз информационной безопасности и устранению их последствий, а информационная безопасность — как состояние защищенности интересов личности, общества и государства в информационной сфере. Информационная сфера в свою очередь, представляет собой сферу деятельности субъектов, связанную с созданием, обработкой и потреблением информации. В законе также определено, что защите подлежит любая информация, противоправное обращение с которой может причинить ущерб ее собственнику, владельцу, пользователю и иному лицу.

Развитие инфраструктуры открытых ключей

Принятие основных законодательных актов в Республике Узбекистан, законов «Об электронной цифровой подписи», «Об электронном документообороте», «Об электронной коммерции» и постановления Кабинета Министров Республики Узбекистан от 26 сентября 2005 года No215 «О совершенствовании нормативно-правовой базы в области использования электронной цифровой подписи» позволило создать необходимые правовые условия для применения ЭЦП и развития в стране инфраструктуры открытых ключей ЭЦП.

Постановлением Президента Республики Узбекистан от 8 июля 2005 года No ПП-117 специальным уполномоченным органом в области использования ЭЦП определено Узбекское агентство связи и информатизации. 15 марта 2006 года начал осуществлять свою деятельность Орган регистрации центров регистрации при УзАСИ и был открыт первый в Республике Узбекистан Центр регистрации ключей ЭЦП при ЦНТМИ, являющиеся необходимым компонентом для развития электронной коммерции, Интернет-банкинга, защищенного документооборота и других систем, использующих технологии инфраструктуры с открытыми ключами. Ввод в действие Центра регистрации ключей ЭЦП явился первым шагом по развитию отечественной инфраструктуры открытых ключей и практической реализации положений законов Республики Узбекистан «Об электронной цифровой подписи», «Об электронном документообороте», «Об электронных платежах».

Центром регистрации ключей ЭЦП при ЦНТМИ разработано программное обеспечение системы защищенной электронной почты Е-ХАТ, использующее ЭЦП и шифрование на основе национальных стандартов. Для массового пользования данной услугой система защищенной электронной почты была установлена на сетях передачи данных филиала UzNET. С февраля 2007 года данная услуга доступна любому пользователю сети Интернет.

Центр регистрации ключей ЭЦП при ЦНТМИ оказывает услугу по выдаче цифровых SSL-сертификатов для веб-серверов для идентификации веб-серверов в сети, а также для использования защищенного SSL-протокола при доступе к веб-серверам.

Органом регистрации 25 мая 2007 года выдано второе свидетельство о государственной регистрации Центра регистрации ключей ЭЦП Научно-информационному центру новых технологий Государственного налогового комитета Республики Узбекистан.

В 2008 году Органом регистрации был зарегистрирован Центр регистрации ключей ЭЦП частного предприятия MultisoftSolutions.

Общее количество выданных сертификатов ключей ЭЦП в республике составляет около 13 тысяч. Из них Центром регистрации ключей ЭЦП ЦНТМИ выдано пользователям более 6 900 сертификатов.



Общее количество выданных сертификатов ЭЦП

При выдаче центрами регистрации сертификатов ключей ЭЦП, а также при подписании электронных документов ЭЦП их владельцами применяются два алгоритма формирования и проверки ЭЦП: международный стандарт RSA Encryption SHA 1, а также принятый в 2005 году национальный стандарт O’zDST 1092:2005.

Служба реагирования на компьютерные инциденты

В соответствии с Постановлением Президента Республики Узбекистан No167 «О дополнительных мерах по обеспечению компьютерной безопасности национальных информационно-коммуникационных систем» от 5 сентября 2005 года, организована Служба реагирования на компьютерные инциденты (UZ-CERT), которая является единым центром для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающим сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности. Служба является структурным подразделением Центра развития и внедрения компьютерных и информационных технологий UZINFOCOM и в вопросах обеспечения информационной безопасности взаимодействует с ведомственными структурами органов государственной власти и управления. Служба реагирования на компьютерные инциденты состоит из группы оперативного реагирования на компьютерные инциденты, группы анализа, консультаций и программно-технической поддержки и группы координации и взаимодействия.

Службой реагирования на компьютерные инциденты UZ-CERT с июля 2007 года запущена программа UZ-CERTified, целью которой является повышение осведомленности пользователей национального сегмента сети Интернет об угрозах и опасностях, которые могут подстерегать их во время веб-серфинга. Целевой аудиторией программы являются владельцы ресурсов в домене «.UZ» и расположенных на хостинговых площадках Узбекистана, однако она одинаково полезна и для посетителей данных ресурсов, веб-разработчиков, хостинг- и Интернет-провайдеров. Регистрация для участия в программе UZ-CERTified предусмотрена только для владельцев ресурсов, остальные пользователи программы пользуются ее преимуществами без каких-либо дополнительных действий. Специалисты центра проверяют веб-сайт участника программы на наличие уязвимостей. Успешно прошедшим проверку веб-сайтам присваивается статус участника программы UZ-CERTified и выдается знак соответствия UZ-CERTified, который устанавливается на веб-сайте участника. На 1 июля 2008 года в программе участвовало 130 сайтов.

На веб-сайте службы по адресу http://www.cert.uz публикуется постоянно обновляемая информация об обнаруженных угрозах на веб-сайтах доменной зоны «.UZ», о новых видах вирусов и уязвимостях, обнаруженных в популярных программных продуктах.

По результатам деятельности службы за первое полугодие 2008 года было выявлено следующее :

Около 20% веб-сайтов государственных органов не соответствуют необходимому уровню информационной безопасности. Некоторые из них используют старые и уязвимые версии программного обеспечения. 3% веб-сайтов имеют физическое расположение за рубежом.

Около 50% корпоративных сетей государственных органов не соответствуют минимальным требованиям информационной безопасности.

В 50% государственных органов нет отдела по обеспечению информационной безопасности или лица исполняющего эти обязанности.

В 50% — персонал, обслуживающий информационные системы, является низкоквалифицированным, или отсутствует достаточное количество штатных единиц.

Процент уязвимостей сайтов зоны «.UZ», размещенных на хостинг-площадках России, Казахстана, США и других зарубежных стран, по которым была проведена проверка специалистами службы, был пропорционален проценту веб-сайтов, размещенных на местных площадках.

Статистика по произошедшим инцидентам выглядит следующим образом:

60% взломов произошли за счет программ с вредоносным кодом для похищения идентификационной информации пользователей и кражи их личных данных, в частности, паролей.

25% взломов стало возможным из-за ошибок и недочетов в исходном коде веб-приложений, как правило, разработанных на заказ дизайн-студиями или распространяемых бесплатно скриптов.

10% взломов произошло по вине невнимательных администраторов, оставляющих на серверах неиспользуемые скрипты со стандартными паролями или используя простые пароли для доступа в административные интерфейсы управления веб-сайтом.

5% взломов более изощренного характера имели место из-за уязвимости программного обеспечения на серверах и вовремя не обновленных версий.

Интенсивное внедрение зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также широкое применение открытых информационно-телекоммуникационных систем требуют решения следующих задач в области обеспечения информационной безопасности:

• разработка основных направлений государственной стратегии в области обеспечения информационной безопасности, а также мероприятий и механизмов, связанных с их реализацией;

• развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности, а также системы противодействия этим угрозам;

• разработка целевых программ обеспечения информационной безопасности;

• разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также их сертификация;

• совершенствование нормативной правовой базы обеспечения информационной безопасности, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;

• установление ответственности должностных лиц органов государственной власти, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;

• координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности;

• развитие и совершенствование государственной системы защиты информации и системы защиты государственных секретов;

• расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и сетей связи;

• создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Информационная безопасность является одним из важнейших аспектов государственной безопасности, на каком бы уровне мы ни рассматривали последнюю — национальном, отраслевом, корпоративном или персональном.

Методики и подходы в информационной безопасности в мире

Из наиболее громких недавних историй с утечками данных обратим внимание на историю появления сайта rusleaks.com. На данном ресурсе неизвестные выложили данные из большого количества закрытых баз данных, таких как база ГИБДД, базы различных коммерческих банков, авиакомпаний и т.д. Подобные базы данных в норме являются закрытыми от общественного доступа в соответствии с федеральным законом РФ №152 «О персональных данных», так как содержат персональные данные граждан, которые должны строго охраняться от несанкционированного доступа к ним. Однако, в результате действий злоумышленников любой человек через Интернет мог получить разнообразные конфиденциальные сведения о гражданах России. После того, как этот факт был замечен генеральной прокуратурой РФ, данные с rusleaks.com перестали быть доступны. Однако разработчики данного ресурса перенесли информацию в сеть I2P, доступ к которой происходит совершенно анонимно с использованием различных протоколов шифрации и маршрутизации. Это позволяет пользователям сети I2P отдавать анонимно и получать так же анонимно различную информацию, без возможности отследить пользователей данной сети. Что будет происходить дальше в связи с этим инцидентом, покажет будущее. Для нашей статьи этот пример показателен тем, что утечка информации может повлиять на любого человека, абсолютно безего ведома — ведь в выложенных базах содержалась личная информация о людях, некоторые из них, возможно, даже не умеют пользоваться компьютером сами.

В качестве второго примера рассмотрим некий потенциальный случай кражи или утери ноутбука, на котором мог храниться большой объем как личной, так и деловой информации. Сохраненные пароли в веб-браузере или записанные в обычный текстовый файл могут позволить злоумышленнику получить доступ к банковским счетам, почтовым сообщениям владельца компьютера или иным информационным системам, которые могут содержать конфиденциальную информацию. Кроме того, вся информация и файлы, которые хранились в ноутбуке, могут стать достоянием общественности. Так, к примеру, конкурентам может стать известна вся маркетинговая программа организации или некоторые производственные секреты, что может негативно сказаться на деятельности организации, в которой работает владелец утерянного ноутбука. Кстати, не ноутбуком единым может поживиться злоумышленник: мобильные телефоны, различные гаджеты и устройства в современном мире приближаются по функционалу к ноутбукам, и практически в равной с ними степени могут содержать в себе ценную и конфиденциальную информацию. Утеря таких гаджетов может быть равноценна утере или краже ноутбука или персонального компьютера.

В качестве третьего примера рассмотрим сети ботнетов. На сегодняшний день миллионы компьютеров по всему миру используются в качестве «зомби» в сетях ботнетов для рассылки спама, проведения DDoS-атак и для прочих нужд злоумышленников. Так, до закрытия серверов с центрами управления ботнетRustok насчитывал более миллиона зараженных хостов в своем составе. Обладая такой мощью, хозяева этого ботнета могли проводить грандиознейшиеDDoS-атаки, являясь угрозой для любой организации в Интернете. После ряда усилий корпорации Microsoft командные центры этого ботнета были закрыты. Однако, людей, которые стояли за ним, так пока и не нашли. Да и сетей ботнетов по всему миру довольно много.



Схема организации сети ботнета

Все вышеперечисленные примеры показывают разноплановость вопросов информационной безопасности. С учетом того, что электронные устройства применяются практически повсеместно в самых разных областях человеческой деятельности, знание потенциальных угроз и умение защищаться от них являются совершенно необходимыми.

Значимость информационных технологий в современной жизни сложно переоценить, и их роль в дальнейшем будет только возрастать. С учетом этого, защита информационных систем от злоупотребления, взлома и некорректного использования является важной задачей, на которую должно быть направлено достаточно внимания и сил. Разумно ли пренебрегать средствами и методами информационной безопасности только лишь потому, что вы не считаете свою информацию секретной? Можно ли в современном мире позволить себе роскошь совершенно не обращать внимания на информационные угрозы? Результатом подобного отношения вполне закономерно может стать то, что ваши IT-ресурсы станут плацдармом для кибер-атак и рассылок спама, вы потеряете информацию, а также будут повреждены ваши или чужие электронные устройства.

Подходы к информационной безопасности по масштабности можно разделить на 3 категории:

1. Личная информационная безопасность каждого человека. Соблюдение элементарных правил работы с информацией позволит каждому защититься от большинства современных электронных угроз, а также избежать злонамеренного использования его информационных ресурсов.

2. Информационная безопасность организаций. Любая организация в современном мире так или иначе собирает, хранит и использует информацию, и как минимум часть этой информации является конфиденциальной. Это может быть личная информация работников и клиентов, переписка, информация о сделках и т.д. Соответственно, правильно выстроенная система управления информационной безопасностью необходима всем. Обеспечение защиты данных и IT-ресурсов в большой компании может быть сложным и комплексным вопросом, требующим вовлечения разнопрофильных специалистов.

3. Информационная безопасность в рамках всей страны. Государство должно уметь бороться с существующими современными кибер-атаками и прочими информационными угрозами для обеспечения защиты своих граждан, сохранения своей целостности и внутреннего правопорядка. В наше время, когда практически вся государственная инфраструктура опирается на те или иные информационные системы, задача информационной защиты на государственном уровне актуальна, как никогда ранее.

Только интегрированный подход к обеспечению информационной безопасности может обеспечить безопасную высокотехнологичную среду в стране и мире. Так, государство должно создавать соответствующую нормативную базу в области защиты информации, а также контролировать исполнение данных законов организациями и гражданами. Организации и коммерческие компании должны выполнять соответствующие требования, в частности, всячески защищая имеющиеся у них персональные данные граждан. Ну а сами граждане должны заботиться о защите своих информационных ресурсов.

В целом надо говорить о необходимости комплексного подхода к вопросам защиты информации в силу разнообразия аспектов этого вопроса на всех уровнях. Есть множество примеров международных стандартов, используемых в практике различных организаций, которые описывают методики и процедуры реализации. Например, ISO 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования» или стандарт PCI DSS индустрии платежных карт.

Пример комплексного подхода к информационной безопасности можно увидеть в руководящих документах некоммерческой организации, объединяющих специалистов информационной безопасности разных направлений, InternationalInformationSystemsSecurityCertificationConsortium или (ISC). К примеру, руководящий документ «CommonBodyofKnowledge» для специалистов, сертифицирующихся на статус профессионала в области информационной безопасности CISSP, выделяет следующие 10 областей интереса информационной безопасности:

1. Контроль доступа.

2. Безопасность разработки программного обеспечения.

3. Планирование непрерывности работы и восстановления после катастроф.

4. Криптография.

5. Управление информационной безопасностью, а также управление рисками.

6. Правовые аспекты информационной безопасности.

7. Эксплуатационная безопасность.

8. Физическая безопасность.

9. Архитектура и дизайн систембезопасности.

10. Телекоммуникационная и сетеваябезопасность.

Каждое из вышеуказанных направлений имеет под собой большой теоретический и практический конспект. Я постараюсь в общих чертах обрисовать все разнообразие тематик вопросов и проблем, которые затрагивает информационная безопасность.

Контроль доступа к объектам информации является краеугольным камнем в вопросах защиты данных. Разработаны различные модели, которые определяют кто, как и каким образом может получать доступ к тем или иным данным. Практически всем работникам IT-сферы известен акроним AAA, который обозначает Authentication, Authorization, Accounting (аутентификация, авторизация, учет). Это три важнейших процесса контроля доступа, через которые должен пройти пользователь любой информационной системы при работе с ней. Контроль доступа также охватывает различные способы, с помощью которых может идентифицироваться пользователь, начиная от обычного логина и пароля и заканчивая системами биометрии.

Вопросы разработки программного обеспечения с учетом требований информационной безопасности также очень важны. Широко известны атаки на программное обеспечение с использованием различных техник переполнения буфера или SQL-инъекций. Как правильно разрабатывать программное обеспечение, чтобы избежать большинства ошибок, ведущих к уязвимостям, а также поддерживать состояние имеющегося программного обеспечения на приемлемом для безопасности уровне — все это актуальные темы, которые требуется учитывать при приобретении и разработке программного обеспечения.



Компоненты информационной безопасности

Планирование непрерывности работы и восстановления после катастроф обеспечивает административные инструменты, которые являются руководством к действию в случае экстренных происшествий и нарушений в работе систем. С помощью такого планирования обеспечивается координация и последовательность действий работников по сохранению и поддержанию в рабочем состоянии информационной инфраструктуры и хранящихся данных. В первую очередь это необходимо для военных и государственных организаций, функционирование которых не должно прекращаться ни при каких условиях.

Криптография охватывает спектр вопросов по шифрованию информации. Сохранение конфиденциальности информации, а также безопасная передача данных через глобальные сети зачастую бывает нетривиальной задачей. Сейчас все способы криптографии можно разделить на симметричные и ассимметричные, в зависимости от того, совпадают ли ключи шифрации и дешифрации между собой. Реализаций этих схем довольно много, каждая большая страна старается использовать свои алгоритмы шифрации, считая это более безопасным.

Управление информационной безопасностью, а также управление рисками — это системы административного контроля информационной безопасности в целом по организации. Никакие технические средства не обеспечат защиту важной информации без четко отстроенной политики информационной безопасности, которая принята руководством и планомерно реализуется в деятельности организации.

Правовые аспекты информационной безопасности охватывают вопросы законодательного регулирования защиты информации. Как правило, в каждой стране имеет место свой правовой климат и свое законодательство. Однако, в современном мире только при сотрудничестве всех стран удается предотвратить многие кибер-преступления.

Эксплуатационная безопасность охватывает задачи каждодневной работы с информацией и способы, с помощью которых можно избежать ее потери. Среди проблем, входящих в эту тематику, можно выделить способы резервного копирования, методы организации отказоустойчивости при хранении информации на дисках (RAID), системы управления уязвимостями и патчами.

Физическая безопасность, как это ни странно, является одним из ключевых направлений в вопросах защиты информации. К примеру, при проектировании ЦОД нужно учитывать массу факторов, таких как пожарная безопасность, температурный режим, защита от всплесков в электросети, система вентиляции, правильная организация входов и выходов и прочее. Без учета всех этих факторов возможна утеря информации в результате воздействия негативных действий окружающей среды или непосредственного физического воздействия отдельных людей. Пожалуй, всегда верно правило, что при непосредственном физическом контакте с информационной системой злоумышленник тем или иным способом сможет осуществить ее взлом.

Архитектура и дизайн систем безопасности охватывают ряд теоретических вопросов по построению моделей информационных систем, которые позволяют учитывать в архитектуре необходимые требования по безопасности. На Западе эти модели неплохо проработаны и постоянно развиваются. Разработаны также методики по определению защищенности операционных систем и программных продуктов соответствующим критериям. Знание этого материала, безусловно, необходимо разработчикам программного обеспечения и IT-оборудования.

Телекоммуникационная и сетевая безопасность рассматривает задачи безопасной передачи информации с использованием различных протоколов, а также правильное использование сетевых устройств, которое позволяет избегать атак на них. С учетом того, что заказать DDоS-атаку через Интернет может практически каждый, и сравнительно недорого, умение защищаться от них и понимать, как они работают, крайне важно для специалистов по информационной безопасности.

Подводя итог этой статьи, хотелось бы подчеркнуть: защита информации — крайне важный и комплексный вопрос, в который так или иначе вовлечены практически все мы, каждый на своем уровне и месте. Только ответственный и всесторонний подход к проблемам информационной безопасности позволит сделать современную технологическую экосистему комфортной и благоприятной.

  1. ПРОЕКТЫ В СФЕРЕ ИКТ
1   ...   16   17   18   19   20   21   22   23   24

Похожие:

Основ ам использования информационно-коммуникационных технологий iconПроект «Информатизация системы образования» моу «Гимназия»
Направления деятельности в области использования информационно-коммуникационных технологий
Основ ам использования информационно-коммуникационных технологий iconИспользование информационно-коммуникационных технологий в воспитательной работе
Диапазон использования икт в воспитательном процессе очень широк. Рассмотрим области применения икт на практике
Основ ам использования информационно-коммуникационных технологий iconМфц, график работы, телефон горячей линии, схема проезда, новости; 
Типовое  портальное  решение  для  мфц  на  платформе  Microsoft  использования информационно-коммуникационных технологий. 
Основ ам использования информационно-коммуникационных технологий icon«Формирование информационно коммуникационной культуры педагога»
Использование информационно – коммуникационных технологий в воспитательно-образовательном процессе, для создания единой информационной...
Основ ам использования информационно-коммуникационных технологий iconРуководство по оценке информационно- коммуникационных технологий (икт) В 
Информационно-коммуникационные  технологии  (икт)  могут  значительно  расширить  возможности  обучения  для 
Основ ам использования информационно-коммуникационных технологий iconПравительство астраханской области распоряжение
В целях формирования базы данных для мониторинга использования информационно-коммуникационных технологий в исполнительных органах...
Основ ам использования информационно-коммуникационных технологий iconИспользование информационно-коммуникационных технологий на уроках английского языка

Основ ам использования информационно-коммуникационных технологий iconМодели организации учебного процесса с использованием электронных образовательных ресурсов
Эор будем понимать описание способов построения образовательного процесса в зависимости от факторов, связанных с наличием и спецификой...
Основ ам использования информационно-коммуникационных технологий iconC углубленным изучением отдельных предметов Статья Информационно-коммуникационные технологии как средство повышения качества обучения
Сегодня уже никого не надо убеждать в необходимости и целесообразности внедрения информационно-коммуникационных технологий во все...
Основ ам использования информационно-коммуникационных технологий iconСтандарт основного общего образования по информатике и икт изучение информатики и информационно-коммуникационных технологий на ступени основного общего образования направлено на достижение следующих целей
Изучение информатики и информационно-коммуникационных технологий на ступени основного общего образования направлено на достижение...
Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница