Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу

Критерії оцінки інформаційної безпеки є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступені захищеності.

З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.

Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA.

Ця система передбачає такі основні характеристики інформаційноїбезпеки:

· Конфіденційність (Загрози, щовідносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головнихпослуг.)

· Цілісність Загрози, щовідносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності),

· Доступність (Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності).

Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, программному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використовування захисної продукції для гарантування інформаційної безпеки в межах організацій.

ЕЦП

електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;

застосування ЕЦП забезпечує

· Достовірність електронної документації

· Захист від підроблення підпису та електронних документів

· Однозначне встановлення авторства документів

· Захист від зміни електронного документу

Надійність та зручність використання ЕЦП

· Процедура перевірки ЕЦП виконується комп’ютером безпомилково, що дозволяє уникнути людського фактору, при перевірці звичайного підпису;

· ЕЦП подає інформацію не тільки про особу, що підписала документ, але й дозволяє впевниться, що сам документ не був змінений або підроблений після підписання (автентичність і цілісність документа);

· Зручність в обміні, зберіганні й роботі з електронними документами, що мають юридичну чинність;

· Одним з компонентів ЕЦП є позначка часу, яка показує реальний час підписання документа у відмінності від дати зазначеної в самому документі.

ЕЦП містить інформацію

• Дату підписа

• Термін припинення дії ключа даного підпису

• Інформацію про особу, що підписала листа

• Ідентифікатор особи, що підписала листа (ім’я відкритого ключа)

• Власне цифровий підпис