Безопасность программного и аппаратного обеспечения информационных технологий в ОАЭ
Всероссийский научный журнал «Студент.
Аспирант. Исследователь» № 1 (19) 2017
Че Е.П. аспирант Тихоокеанский государственный университет Россия, г.
Хабаровск
БЕЗОПАСНОСТЬ ПРОГРАММНОГО И АППАРАТНОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В Г. АБУ-
ДАБИ - СТОЛИЦЕ ОБЪЕДИНЕННЫХ АРАБСКИХ ЭМИРАТОВ
Аннотация. Исследуется
безопасность аппаратного и программного обеспечения в нынешнем тренде
технологий. Рассматривается политика безопасности
информационных технологий в г. Абу-Даби — столице Объединённых Арабских Эмиратов.
Ключевые слова: программное обеспечение,
аппаратное обеспечение, защита информационных технологий, криптографическое
шифрование, политика безопасности, г. Абу-Даби, Объединённые Арабские Эмираты.
Безопасность
аппаратного и программного обеспечения претерпевает большие изменения в
нынешнем тренде технологий. Большинство систем, используемых в наши дни,
передаёт крайне важную информацию от клиентов к пользователю при полной
прозрачности. Это означает, что «где хранятся данные», как они передаются и кто
имеет доступ к ним — всё это вне контроля пользователя.
Очень часто безопасность аппаратного
обеспечения рассматривается как наиболее базовая ее характеристика, по сути,
физического устройства, которое заботится о безопасности сетевой системы.
Задача: как бизнесу следует расположить сеть для того, чтобы он смог обеспечить
безопасный сервис или обеспечить безопасность самому себе? Где серверы лучше
расположить, и как данные следует использовать? Эти основные вопросы встают
перед группой больших корпораций и правительства при разработке политики
безопасности. Организация ведения записей — это одна из наиболее важных тем
наряду с управлением информации. Эти две темы описывают, как политика и бизнес
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017
объединились вместе для обеспечения
какого-либо «стандарта», который бы использовался по всему миру.
Записи —
информационные ресурсы и держатели ценности для организации. Организация
обязуется перед всеми акционерами управлять ими эффективно для того, чтобы
максимизировать прибыль, контролировать затраты и обеспечивать
жизнедеятельность организации. Эффективная организация ведения записей
ручается, что нужная информация восстанавливаемая, достоверная и точная [2].
Безопасность
программного обеспечения (ПО) — это идея инженерного ПО, которое продолжает
функционировать точно даже под воздействием вредоносной атаки. Большинство
технических специалистов признают важность этого вопроса, но они нуждаются в
некоторой помощи в решении этой проблемы.
При проведении
безопасной сети необходимо принять к сведению следующее:
-
Контроль над доступом —
авторизованные пользователи обеспечиваются путями к передаче от и до
определённой сети.
-
Конфиденциальность — информация в
сети остаётся приватной.
-
Проверка подлинности — проверить
пользователей сети и убедиться в том, что юзеры являются теми, кем они себя
назвали.
-
Достоверность — убедиться в том,
что сообщение не было модифицировано в пути.
Управление
безопасностью информационных технологий (ИТ) — система, с помощью которой
организация направляет и контролирует безопасность ИТ по материалам ISO 38500 (International standard for ^rporate governance of information technology) Международной организации по стандартизации.
Эта система
управления передаёт полномочия компетентному человеку, устанавливает тех, кто
затем принимает решения и кто ответственен за сочетание управления с мерами
безопасности. Таким образом, корпорации
Всероссийский научный журнал «Студент. Аспирант. Исследователь» №
1 (19) 2017
могут построить защищённую сеть и обезопасить свои
активы. Далее будет описано внедрение этих систем и шагов безопасности на
примере города Абу Даби
Политика безопасности, осуществлённая службой информационной безопасности в
г. Абу-Даби (столице Объединённых Арабских Эмиратов)
Полиция Абу-Даби — это главная
штаб-квартира, она структурирована в Министерство внутренних дел Объединёных
Арабских Эмиратов. В обязанности полиции Абу-Даби входит обеспечение
безопасности города Абу Даби (столицы Объединённых Арабских Эмиратов) и двух
основных городов, которые представляют собой союз семи штатов (Абу-Даби, Дубай,
Шарджа, Умм-эль-Кайвайн, Аджман, Рас-эль-Хайма и Фуджейра).[12]
Департамент по
информационным технологиям и телекоммуникациям
Главная
штаб-квартира полиции Абу-Даби включат в себя много субдепартаментов, в том
числе Департамент по ИТ и телекоммуникациям, который в свою очередь содержит
несколько суботделов, включая Отдел по информационной безопасности.
Отдел по
информационной безопасности ответственен за:
-
защиту системы, приложений, сети,
пользователей;
-
разработку политики, , которая
обеспечиваетr надлежащую
осведомлённость, информированность и защиту от несанкционированного
использования техники;
-
аудит и мониторинг;
-
выполнение правил и
регулирование, которое близко к информационной безопасности. Это также включает
обновления политики и информации постоянно и непрерывно для того, чтобы
достигнуть публичных интересов организации.
Эти принципы
представлены в следующем порядке:
-
Политика контроля над доступом.
Всероссийский
научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017
-
Политика классификации активов.
-
Политика организации внесения
изменений.
-
Политика обмена данными и
процесса функционирования.
-
Политика соответствия стандартам.
-
Политика управления конфигурацией.
-
Политика криптографического
использования.
-
Политика безопасности электронной
почты (e-mail).
-
Политика безопасности КПК и PDA СЭУ (сложных электронных устройств).
-
Политика информационного обмена и
общения с прессой.
-
Политика ИБ (информационная
безопасность) принимаемого использования.
-
Политика интернет-безопасности.
-
Политика управления лицензиями.
-
Политика предотвращения вредоносного
кода.
-
Политика безопасности сети.
-
Политика безопасности паролей.
-
Политика безопасности для персонала.
-
Технологическая и относящаяся к
окружающей среде политика безопасности.
-
Политика осведомлённости о
безопасности.
-
Политика безопасности доступа
третьих лиц.
Далее будут описаны лишь некоторые из
этих принципов, раскрывающие основную суть предмета данного исследования.
Политика контроля над доступом
Цель этой
политики — контролировать доступ пользователя и бизнес процессов, основанных на
требованиях бизнеса, требованиях к службе безопасности, и обеспечивать
информационные ресурсы на соответствующем уровне защиты в полиции Абу-Даби (ПАД).
Всероссийский научный журнал «Студент. Аспирант. Исследователь» №
1 (19) 2017
Объём этой
политики с тесно связанными процедурами покрывает все сферы ИБ (информационной
безопасности), управляемые ПАД.
Контроль доступа:
•
Доступ пользователя к информационным
ресурсам ПАД будет основываться на требованиях бизнеса и специфических сферах
ответственности работы программиста, имеющего доступ в систему, поддерживающего
инфраструктуру программного и аппаратного обеспечения.
•
Всем системам следует иметь пользовательский
доступ к жизненному циклу.
•
Роли и привилегии должны быть
созданы с принципами, нужными пользователю.
•
Доступ пользователя к информации
должен контролироваться, основываясь на требованиях бизнеса и требованиях к
службе безопасности.
•
Доступ пользователя к ИБ ПАД
должен быть проверен, чтобы убедиться в том, что он обоснованный.
•
Все операционные системы и
приложения должны вводиться с пользовательским идентификационным номером (ИН) и
паролем. Иначе ввод должен блокироваться.
•
Все оборудование в сети ПАД
должно быть идентифицировано, зарегистрировано и авторизовано.
Политика
контроля доступа конечного пользователя:
•
Всем пользователям ИБ ПАД следует
иметь уникальный идентификационный номер (ИН), чтобы идентифицировать
индивидуального пользователя.
•
Конечным пользователям следует
ввести заявление об их правах доступа и требование на согласие.
•
Системам следует
конфигурироваться так, чтобы удалять или дезактивировать пользовательские
учётные записи после определённого периода неактивности.
•
Учётные записи конечных
пользователей должны быть одобрены
Всероссийский научный журнал «Студент.
Аспирант. Исследователь» № 1 (19) 2017
•
Если конечный пользователь меняет
свой функционал в пределах ПАД, то его право доступа следует рассмотреть для
проверки на соответствие.[4]
Политика
криптографического использования
Цель: защищать
конфиденциальность, достоверность и
неприкосновенность информации,
хранящейся или передающейся. Криптографические системы используются для защиты
информации, которая считается закрытой и секретной.
Шифровальные требования:
•
Экспертная оценка риска
требований бизнеса.
•
Владельцу бизнеса следует
убедиться в том, что требования к шифровке рассмотрены и одобрены командой
информационной безопасности ПАД и командой информационных технологий (ИТ) ПАД.
•
Команда информационной
безопасности ПАД должна организовать стандарты шифровки для безопасности
приложений, WLAN (Wireless Local Area Network), шифровки файла на базисе Информационных системных рисков.
•
ПАД следует реализовать стандарты
шифровки, отвечающие требованиям бизнеса.
Данные,
передающиеся через WAN (Wide Area Network) между ПАД и его акционерами посредством сети Интернет, должны быть на
должном уровне защищены соответствующей шифровкой.
•
Основываясь на требованиях
бизнеса, конфиденциальная электронная почта (e-mail) должна быть
зашифрована до отправки к получателю и обратно.
•
Базируясь на требованиях бизнеса,
конфиденциальные данные следует шифровать, если в этом есть необходимость.
•
Любая ИТ-система, использующая
шифровку для защиты конфиденциальной информации, должна быть завершена,
базируясь на одобрении от ИБ ПАД.
Всероссийский научный журнал «Студент. Аспирант. Исследователь» №
1 (19) 2017
•
В зависимости от требований
бизнеса владельцу актива (т.е. информации) и команде безопасности ПАД следует
решить обоюдную методологию шифровки для защиты идентифицированной важной и
закрытой предпринимательской информации.
Криптографические ключи
должны:
•
Обеспечивать адекватную защиту от
незаконного доступа.
•
Команде информационной
безопасности ПАД следует определить тип и качество используемого шифровального
алгоритма.
•
Электронные сертификаты,
основанные на ключевых решениях общественной инфраструктуры, следует
реализовать для идентифицированных критических приложений.
•
Штатные сотрудники ПАД должны
быть обязательными и ответственными за транзакции и безопасную защиту
электронных сертификатов.
•
Внутренней сети ПАД следует иметь
возможность выпускать или отзывать электронные сертификаты.
Таким образом, безопасность программного
и аппаратного обеспечения становится одной из важнейших тем современности,
когда мы говорим об обмене данными. Перечисленные выше принципы работы и
политика конфиденциальности на примере Объединенных Арабских Эмиратах может
быть использована и в политике безопасности Российской Федерации.
Список
использованных источников:
1.
Dowd, P.W.; McHenry, J.T.,
"Network security: it's time to take it seriously," Computer, vol.31,
no.9, pp.24- 28, Sep 1998.
2.
Security Overview,www.redhatcom/docs/manuals/enterprise/RHEL-4-
Manual/security- guide/ch-sgs-ov.html.
3.
HYPERLINK #"#">security-roundup.html
4.
IT Governance-What is It and Why is
It Important? By Doug
Всероссийский научный журнал «Студент. Аспирант. Исследователь» №
1 (19) 2017
5.
Donald G; Mohnish P; Uday P;
“Methodology for Network SecurityDesign”,1990
6.
Marin,HYPERLINK
#" Florida Inst. of Technol., “Network security basics”,Volume 3, Issue
6.
7.
Rahul Telang; Wattal, S. "An
Empirical Analysis of the Impact of Software Vulnerability Announcements on
Firm Stock Price", Software Engineering, IEEE Transactions on, 557 Volume:
33, Issue: 8, Aug. 2007.
8.
Chess, B.; Arkin, B. "Software
Security in Practice", Security & Privacy, IEEE, On page(s): 89 - 92
Volume: 9, Issue: 2, March-April 2011.
9.
Schneier, Bruce. Applied Cryptography
Protocols, Algorithms, and Source Code in C, Second Edition. New York: Wiley,
1995. Print.
10.
Pfleeger, Charles P., and Shari L.
Pfleeger. Security in Computing. 4th ed. New Jersey: Prentice Hall, 2006.
Print. 0-13-239077-9.
11.
Ciampa, Mark D. "Introduction to
Security." Security Guide to Network Security Fundamentals. Boston, MA.:
Course Technology/ Cengage Learning, 2009. N. pag. Print.
12.
"Abu Dhabi Police
Structure." Abu Dhabi Police GHQ. UAE Government, n.d. Web. 21 Nov. 2013.