МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
им. М.В. Ломоносова
Реферат по информационным технологиям
Информационная безопасность и электронное правительство
Выполнил: Попов Ф.А. 510гр.
Преподаватель: Липунцов Ю.П.
МОСКВА 2010.
Объективно категория информационной безопасности возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.
В общем смысле под информационной безопасностью понимается защита конфиденциальности, целостности и доступности информации[1]:
· Конфиденциальность – свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными, и не будут раскрыты для неуполномоченных лиц
· Целостность – неизменность информации в процессе ее передачи и хранения.
· Доступность - свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Вопросы информационной безопасности возникали на всех этапах развития государства. Но в наше время, с развитием концепции электронного правительства, проблема обеспечения информационной безопасности стоит исключительно остро. Успех создания устойчивой системы электронного государства напрямую зависит от того, каким образом будет осуществляться защита от несанкционированного доступа. На данный момент существует множество концепций обеспечения информационной безопасности для электронного правительства, и рецепты разнятся от создания собственной операционной системы с закрытым кодом, что, по мнению сторонников данной идеи, сведет к минимуму возможности внешнего несанкционированного доступа, до концепции полной открытости информации, что резко сократит расходы на защиту информации, но при этом само понятие информационной безопасности окажется под вопросом.
В данной работе рассматриваются три статьи, посвященные вопросам обеспечение информационной безопасности в рамках концепции электронного правительства.
Статья шведского исследователя “The principle of security safeguards: Unauthorized activities” посвящена анализу различных видов несанкционированных действий, осуществление которых возможно в рамках информационных систем.
Одним из основополагающих принципов конфиденциальности информации является принцип мер безопасности, который гласит: «личная информация должна быть защищена путем приемлемых мер безопасности для предотвращения несанкционированного доступа, уничтожения, использования, измерения или раскрытия данных».
Несанкционированные действия представляют собой не только действия со стороны лиц, не допущенных до работы с данной информацией, но и превышение полномочий со стороны лиц, имеющих право на работу с данной информацией. Как указывалось выше, автор выделяет пять типов несанкционированных действий: доступ, использование, уничтожение, изменение и раскрытие.
Несанкционированный доступ является наиболее широким понятием, под несанкционированный доступ в его базовом понимании попадают все лица и организации, не связанные с владельцем информации соответствующим контрактом. Доступ может быть нескольких типов: доступ к физическим границам информационной системы, доступ к самой информационной системе и доступ к коммуникационной системе, передающей данные между двумя информационными системами.
Несанкционированное использование информации является куда более сложным явлением. Дело в том, что лица, обладающие доступом к информации, формально имеют право пользоваться информацией исключительно в тех целях, для которых ими был получен доступ к данной информации. Для определения несанкционированного использования информации необходимо вести специальные регистрационные записи пользователей информации.
Несанкционированное уничтожение информации обычно бывает связано с тем, что контролирующие информацию организации обязуются хранит ее некоторое необходимое время. Таким образом, преждевременное удаление информации с сервера является нарушением принципа мер безопасности.
Несанкционированное изменение информации влияет на такое необходимое свойство информационной безопасности как целостность информации.
Несанкционированное раскрытие информации может иметь различные формы. Основополагающим принципом разглашения информации является то, что информация, собранная для одной цели, не может быть использована для несовместимых с этой целью других целей. Еще одной формой несанкционированного раскрытия является случайное разглашение личной информации – в общем случае это ситуация, в которой компания берет на себя обязательства по защите информации, которые не может сдержать.
Таким образом, общими рекомендациями автора по вопросам предотвращения несанкционированных действия являются:
· Создание механизмов контроля там, где это необходимо
· Ведение записей доступа к личной информации
· Исключение общеизвестной личной или прочей информации из ключей доступа к информации.
В статье американских исследователей «Opportunities and threads: A security assessment of state e-government sites» рассматриваются вопросы обеспечения информационной безопасности сайтов электронного правительства в США. В частности исследуется то, какие меры обозначены в политике безопасности для защиты сайтов, как на данных сайтах осуществляется защита личной информации сотрудников и граждан, насколько защищенными являются сетевые системы данных сайтов, и насколько сильны различия между богатыми и менее обеспеченными штатами в плане информационной защиты сайтов электронного правительства.
Авторы выделяют три основных метода проверки безопасности сети: аудит безопасности, оценка уязвимости и тест на проникновение. В рамках своего исследования для проверки безопасности американских сайтов авторы применяют анализ контента, аудит информационной безопасности, и составление карт компьютерной безопасности сети.
Результаты исследования показали, что на большинстве сайтов просто предлагается ссылка на страницу с политикой безопасности, на которой общими словами сообщается, что сайты электронного правительства созданы для обеспечения безопасной среды для хранения информации, и меры безопасности необходимы для того, чтобы информация не была потеряна, использована не по назначению или изменена. Малое число сайтов включают в свою политику безопасности необходимость использования логина и пароля для доступа к информации. И лишь несколько сайтов предложили антихакерское предупреждение и предупреждение об отсутствии ответственности за использование полученной на сайте информации.
Практически все сайты защищают информацию о своих сотрудниках – страницы аккаунтов сотрудников закрыты для общего обозрения. Однако несколько сайтов позволяют организовать поиск сотрудника по имени, занимаемой должности и связям. Однако даже на этих сайтах невозможно найти информацию о заработной плате сотрудников или именах и адресах граждан.
Степень защиты всех сайтов находится примерно на одинаковом уровне. Все 51 сайт поддаются определению IP и доступны для сервисов всемирной паутины. Для всех сайтов определялись стандарты веб-сервисов (Apache, Microsoft IIS, Netscape). Также примерно для трети сайтов удалось определить операционную систему.
Также по результатам исследования удалось определить, что обеспеченные штаты отличаются от менее обеспеченных в плане защиты информации только со стороны аудита и шифровки.
Резюмирую свое исследование, авторы отмечают, что всем сайтам необходимо стандартизировать свои политики безопасности и организовать на главной странице ссылку на полную политику безопасности. Также большинство сайтов не смогли организовать достаточно сильную защиту информации, чтобы предотвратить несанкционированный доступ. Не менее важно скрыть IP адреса и номера портов сайтов электронного правительства путем использования переводов сетевого адреса и технологий перевода адреса портов. Необходимо также защитить порты 80/tcp и 443/tcp, и оставить открытыми для сетевого доступа только прокси-сервера.
Статья «Мнение эксперта: заметки с «Инфофорума»» белорусского автора описывает успехи России в разработке систем безопасности электронного государства.
В первую очередь автор отмечает изменение системы удостоверяющих центров в России. Если раньше существовало множество удостоверяющих центров, не связанных между собой, то теперь создан общегосударственный удостоверяющий центр, под который создается строгая иерархическая структура.
Также отмечается качественная база стандартов в разработке решений по проблемам безопасности: «имеются методики сертификации, аттестации объектов информатизации, весьма значителен перечень норм, стандартов, инструкций и положений, описывающих весь процесс от начала проектирования защищенных ведомственных (корпоративных) сетей до практической реализации и проведения проверок контролирующими органами».
Автор особо выделяет российское законодательство в области использования лицензионных систем защиты информации. В то время как в Белоруссии случаи покупки лицензионных информационных систем являются единичными, то в России эксплуатируются и создаются десятки и сотни защищенных территориально распределенных ведомственных (корпоративных) IP-сетей на базе лицензионных средств корпоративной защиты информации.
Отдельно отмечается стремление России к соблюдению конвенции Совета Европы по защите персональных данных граждан и успехи в реализации программ по защите личных данных в различных сферах с учетом того, что в России данный закон существует только четыре года, в то время как в Европе данная проблема законодательно регулируется уже более тридцати лет.