Удостоверяющие центры электронно-цифровой подписи

In this project are taken into consideration some common problems regarding organization and implementation of Digital IDs, also known as the “Digital Signature”. Project is based on a totally commercial solution, that is, it is easy enough to implement without unnecessary overcharges.

1.      Цели

В целом, создание компаний, занимающихся обслуживанием ЭЦП, является необ­ходимым шагом на пути к развитому информационному обществу, так как это будет спо­собствовать росту электронного документооборота, а также его безопасности. Это во мно­гом облегчит сдачу, например, бухгалтерской отчётности, что, в свою очередь, повысит эффективность налогообложения и так далее. В рамках высшего учебного заведения использование ЭЦП позволит, например, автоматизировать процесс оценки знаний учащихся, а также создаст хорошую базу для дистанционного обучения. Кроме того, электронное тестирование исключит необходимость прямого контакта учащегося и преподавателя, что немаловажно для исключения предвзятости при оценивании.

2.      Задачи

В своей деятельности Центр цифровой подписи решает следующие задачи:

·         создает и удостоверяет сертификаты ключей подписи и шифрования для персональ­ного и корпоративного пользования;

·         ведет реестр сертификатов ключей подписи (шифрования), обеспечивает его актуаль­ность и возможность доступа к нему участников информационных систем;

·         проверяет на уникальность идентификатор владельца сертификата ключа подписи (шифрования) в реестре сертификатов ключей подписи (шифрования);

·         осуществляет по обращениям пользователей сертификатов ключей подписей под­тверждение подлинности электронной цифровой подписи в электронном доку­менте в отношении выданных им сертификатов ключей подписей

3.      Этапы

Для открытия удостоверяющего центра цифровой подписи в рамках конкретной организации необходимо пройти следующие этапы:

1)      закупка оборудования;

2)      закупка программного обеспечения (ПО);

3)      набор и обучение персонала;

4)      установка и настройка оборудования;

5)      установка и настройка СУБД;

6)      опытная эксплуатация;

7)      рабочая эксплуатация.

На этапе (1) необходимо приобрести следующие аппаратные средства:

1.Серверная часть:

   - сервер службы реестра (1+);

   - сервер БД (1+);

   - сервер DVCS (“Электронный нотариус”) – опционально;

   - WWW-сервер (1) – опционально.

2.Рабочие станции

   - АП администраторов сети (1+)

   - АП операторов службы реестра (2+)

   - АП юриста (1)

3.Сетевое оборудование

   - свитчи ЛВС(1+)

   - маршрутизатор (1+)

   - аппаратный межсетевой экран (1) – опционально.

Этап (2) – закупка программного обеспечения – может осуществляться одновременно с этапом (1). На этом этапе приобретается необходимое для функционирования Центра ПО (собственно криптографический процессор, ОС, СУБД и т.п.).

Этап (3) предполагает набор персонала и, при необходимости, проведение инструктажа. Для поддержания функционирования Центра необходимы следующие специалисты:

- администратор – 1 чел.;

- оператор – 1-2 чел.;

- юрист – 1 чел. (опционально).

Этап (4) предполагает установку и наладку уже купленного оборудования (установка специализированного ПО, настройка локальной сети и т.п.)

На этапе (5) осуществляется установка и настройка СУБД. Поскольку проект основан на полностью коммерческом решении, собственно схема базы данных уже спроектирована и поставляется вместе с криптопроцессором.

Этапы (6) и (7) предполагают пробную, а затем рабочую эксплуатацию. Во время пробной эксплуатации проверяется работоспособность системы в нормальных условиях, а также в условиях наиболее вероятных отклонений (наиболее характерные ошибки, сбои и т.п.). Затем следует коммерческая эксплуатация системы.

4.      Выводы

При внедрении проекта в рамках учебного заведения полностью исключается коммерческая подоплёка проекта, т.к. в этом случае он будет функционировать только лишь в качестве подразделения. Основной же проблемой в случае коммерческой эксплуатации проекта будет относительно высокая стоимость предоставляемых услуг, однако, со временем, с появлением большего числа пользователей, стоимость будет постепенно снижаться.

Литература

            1. Черней Г. Проблемы аутентификации в информационных системах. Кишинев, 2001, 200 стр.

            2. Authority-Сертификаты. http://www.authority.ru/scdp/page?als=504349

            3. SSL Certificates from VeriSign. http://www.verisign.com/products-services/security-services/ssl/buy-ssl-certificates/index.html

 

Valeriu Cernei

Model de cercetare a infractiunilor informatice

Resume

In this paper we try to present a guide for use by security officers responsible for the information security. The guide deals with common situations encountered during the examination of digital evidence. It can be used to help them develop their own policies and procedures. It is very important general forensic and procedural principles to be applied. We describe actions to be taken to secure and collect digital evidence in a way that does not affect the integrity of that evidence.

Astăzi trăim şi activăm într-o mediu al conectivităţii totale. Avem posibilitatea de a conversa sau de a efectua tranzacţii multimilionare cu persoane aflate la distanţe foarte mari rapid şi la costuri minime. Dezvoltarea şi extinderea calculatoarelor personale si a mijloacelor de telecomunicaţii a modificat semnificativ atît modalitatea în care ne petrecem timpul liber cît şi modalitatea în care ne desfăşurăm afacerile.

Concomitent, ia o forma noua şi modalitatea în care infractorii işi realizează infracţiunile. Accesibilitatea universală la resursele informatice oferă noi oportunitaţi întregii societăţi, inclusiv persoanelor fără scrupule, fapt ce afectează nu numai mediul de afaceri ci şi societatea în ansamblu. Infracţiunile îmbracă noi forme şi se dezvoltă odată cu tehnologiile.

Conform raportului “IC3 2004 Internet Fraud – Criminal Report” pregatit de către “National White Collar Crime Center” şi Biroul Federal de Investigări (FBI), în anul 2004 s-a constat o creştere de 66% a infracţiunilor declarate faţă de anul 2003. Iar conform prognozelor Companiei Meridien Research, daunele în urma săvîrşirii infracţiunilor prin intermediul reţelei Internet va atinge suma de 15 miliarde dolari la sfîrşitul anului 2005. Aceast fapt evidenţiaza încă o dată necesitatea de a dezvolta şi implementa măsuri şi mecanisme de combatere a acestora.

Din păcate, infractorii sînt cu un pas în faţa specialiştilor. Aceasta se întîmplă din cauza a mai mulţi factori printre care, cel mai important ramîne a fi lipsa specialiştilor, capabili de a minimiza acest  pericol, numit Infracţiune Informaţică..

Prezenta lucrare are ca scop principal de a aduce împreuna două elemente importante ale procesului de cercetare a infractiunilor informationale – practicienii in domeniul juridic si cei ce activeaza in domeniul tehnologiilor informationale, de a arata cum ele pot şi trebuie să interacţioneze pentru a atinge scopul propus. De asemenea se încearcă a evidenţia principalele probleme existente în R. Moldova şi de a aduce unele propuneri care ar facilita dezvoltarea unei societăţi informaţionale sănătoase.

Cu scopul de a asigura că părţile participante vor discuta în aceiaşi limbă, în lucrare se dă o definiţie a principalilor termeni cum ar fi termenul de infracţiune, infracţiune informatică, obiectul şi subiectul infracţiunii informatice, informaţie digitală, etc. Acest lucru a fost posibil prin analiza practicilor internaţionale atît din spaţiul CSI cît şi a experienţei din vestul Europei.

Scopul de bază a lucrării este propunerea unui model de cercetare a infracţiunilor informatice prin prisma factorilor socio-economici care influenţează formarea trasăturilor inidividuale.

Este evidenţiată influenţa factorilor externi sau altfel spus mediul extern asupra formării personalităţii. Acest mediu poate încadra aşa factori ca politici, sociali , economici, etc. Aparent aceşti factori par a fi nesemnificativi ,însă la o analiză mai detaliată se observă că anume ei, în majoritatea cazurilor motivează individul de a efectua anumite acţiuni.

Se încearcă construirea unui model al infractorului reiesind din mediul în care acesta activează şi tipul infracţiunii, iar rezultatul acţiunilor întreprinse de către infractor poate fi pozitiv sau negativ, în funcţie de semnul cu care acţionează factorii interni şi externi asupra individului în procesul de formare a personalităţii.

Se prezentă caracteristicile anumitor categorii de infracţiuni  informatice şi se evidenţiază 2 categorii de bază ale acestor infracţiuni şi anume resurse informatice instrument şi resurse informatice ţintă. Dintre acestea se evidenţiază, conform Recomandării Consiliului Europei R(89)9, cele ce au perturbat destul de grav relaţiile sociale.

Se prezintă un model de cercetare a infracţiunilor informatice, clasificat în 8 etape logice. 

·       Identificarea
·       Etapa de pregătire
·       Strategia de actiune
·       Conservarea
·       Colectarea informaţiei
·       Analiza
·       Prezentarea
·       Rambursarea dovezilor

Modelul respectiv reprezintă o buna reflecţie a procesului de cercetare a infracţiunilor informatice, însă nu se poate afirma că este final nu poate fi un subiect de discuţii. Pentru a reusi un model complex, este necesar de a-l dezvolta si chiar testa in practică. Probabil modelul respectiv va evalua concomitent cu evolutia tehnologiilor noi şi cu apariţia noilor tipuri de infracţiuni, însa cu toate acestea, el vine sa reliefeze principalele etape necesar de a fi luate în considerare la cercetarea infracţiunilor informatice.

Necătînd la faptul că tehnologiile informaţionale se dezvoltă vertiginos, mult timp specialiştii au evitat să acorde atenţia necesară infracţiunilor informaţionale. De asemenea, cu toate că exită precedent, organele juridice nu posedă instrumentele necesare pentru a stopa fenomenul sau minimiza impactul; abordarea clasică de cercetare a infracţiunilor informaţionale este imposibilă; noile legi, care reglementează aceasta categorie de infracţiuni nu acoperă toate aspectele şi nuanţele; nu exista o clasificare şi o terminologie  unică în domeniu ; si poate cel mai important, o lipsă completă de colaborare şi încredere între participanţii cheie – jurişti şi infromaticieni. Aceasta colaborare a fost şi ramîne crucială dacă se doreşte asigurarea securităţii utilizatorilor de resurse TI într-o societate informaţională.

Bibliografie:

1. Беломеря М.Н., Научно-методические аспекты подготовки специалистов в области информационной безопасности, http://www.crime-research.ru/analytics/Belom/, 2005

2.      Codul de procedura penala al R. Moldova

3.      Codul de procedura penala roman, Editura Sigma 2001.

4.  American Society of Crime Laboratory Directors/Laboratory Accreditation Board (ASCLD/LAB). ASCLD/LAB Manual. American Society of Crime Laboratory Directors/Laboratory Accreditation Board, Garner, North Carolina, 1994, pp. 29–30

5.      Ioana Vasiu, Lucian Vasiu, Probleme juridice ale societatii informatice, http://www.racai.ro/INFOSOC-Project/.

6.      Dictionar explicativ al limbii române, Academia Română, Institutul de Lingvistică "Iorgu Iordan", Editura Univers Enciclopedic, 1998

С.В. Антон, А.С.Попа

ОСОБЕННОСТИ ПРИМЕНЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ

В ОХРАННОМ БИЗНЕСЕ

FEATURES OF APPLICATION OF INFORMATION SYSTEMS IN SECURITY BUSINESS.

Summary: In the given report features of application of information systems in security business are considered. The problems facing to information system of the security enterprise, considering the peculiarity of activity are making evident.

Для достижения успеха на конкурентном рынке охранных услуг необходим высокий уровень обслуживания. Качественный сервис - необходимое условие для достижения лояльности существующих клиентов и привлечения новых. Деятельность охранных предприятий сопряжена с большим количеством запросов от клиентов, которым необходима исчерпывающая информация об услугах либо оперативная помощь. Решение проблемы - создание единого информационного пространства внутри фирмы, прежде всего в сфере отношений с клиентами и построения эффективной системы учета и анализа деятельности организации.

Можно выделить ряд задач, стоящих перед информационной системой охранного предприятия.

Первый тип, это задачи обусловленные спецификой охранной деятельности:

Обеспечить доступность компании для клиента, особенно когда ему необходима экстренная помощь. Соответственно, любое обращение клиента должно быть в обязательном порядке принято и зарегистрировано.  Сфокусировать работу всех ресурсов компании (людских, информационных, технических) на полном удовлетворении потребностей или квалифицированном решении проблем клиента, с которыми он обратился в компанию в данный момент.

Второй тип задач обусловлен общехозяйственной  деятельностью предприятия:

Организовать эффективное планирование всей финансовой и хозяйственной деятельности. Повысить доверие инвесторов путем формирования максимальной прозрачности бизнеса. Снизить риски и увеличить прибыль за счет оперативного принятия решений и их точности, интуитивности системы управления, разграничения доступа к информации в соответствии с должностями сотрудников, и реализации функций ее безопасности. Сократить количественный аспект потерь рабочего времени за счет исключения дублирования данных разными службами и организации беспрепятственного обмена данными между отделами компании.

Функциональная структура решения подразделяется на ряд блоков и выглядит следующим образом.

Регистрация и обработка различных типов контактов:

·           Распределение звонков на операторов в соответствии с настраиваемыми   сценариями и организация очереди звонков

·       Регистрация голосовых сообщений в нерабочее время
·       Регистрация технических параметров контакта (направление, длительность)
·      Аудиозапись телефонного разговора
·       Идентификация звонящего по номеру телефона
·        «Всплывание» уведомления о поступившем вызове с последующим появлением карточки контакта на экране оператора
·         Возможность регистрации нетелефонных контактов (визиты, почта)
·         Подшивка необходимых файлов к карточке контакта

Систематизация информации о клиентах.

Полное досье на каждого клиента:

·         любые параметры клиента, которые необходимы;

·         история контактов (визиты, звонки, письма и т.д.);

·          история обращений (все заявки, запросы, проблемы, жалобы от данного клиента по различным темам);

·         любая значимая информация о клиенте.

Обработка обращений клиентов:

·                Доступ в одном месте ко всей информации по конкретному обращению (паспорт обращения)

·           Детальная классификация обращений: справка (виды услуг, цены), продажа (с детализацией по видам услуг, оборудованию и т.п.), клиентское обслуживание (по типам запросов и проблем), боевое дежурство (сбой в системе охраны, экстренная помощь, постановка объекта на охрану и снятие с охраны, контрольные доклады).

·           Доступ к Базе Знаний, автоматически предоставляющей оператору инструкцию или справочную информацию по данной категории обращения, которую он может быстро сообщить обратившемуся

·           Переадресация телефонного вызова вместе с информацией по обращению другому сотруднику, который может оказать квалифицированную помощь обратившемуся

·           Назначение задач подрядчикам или сотрудникам организации в связи с обработкой конкретного обращения и контроль их исполнения

Анализ информации по обращениям.

Детальные аналитические отчеты по контактам, контрагентам, обращениям, сотрудникам.

В настоящее время понятие ИС для охранного предприятия значительно расширено и включает помимо набора интегрированных приложений, позволяющих создать единую среду для автоматизации планирования, учета, контроля и анализа всех основных бизнес-операций предприятия (охрана, финансы, сбыт, снабжение, техническое обслуживание), ряд дополнительных  подсистемы, такие как  SSM (поддержка управления сбытом и сервисом), SCM (управление цепочками поставок),  CRM (стратегии отношений с клиентами). Изначально все эти функции не вписывались в стандартную концепцию,  однако тенденция к многофункциональности информационных систем постепенно набирает обороты.

Литература:

1.    http://www.citforum.ru

2.    http://www.vernikov.ru

3.    Антон С.В. Обеспечение личной безопасности с использованием информационных технологий. - «Tendinţele de Dezvoltare a Societăţii Informaţionale», Conferinţa Internaţională, Chişinău, 2004, c.99.

 

Чеботарь Петр

Жизненный цикл результатов аудита информационных систем

Keywords: audit IT, informational security, IT Governance, IT standards

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии АИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

В настоящее время Молдавский рынок насыщен аппаратно-программным обеспечением и многие организации, продвигающие системные решения, в силу ряда причин (наиболее нейтральная из которых — это моральное старение оборудования и программного обеспечения) навязывают потребителям точку о неадекватности ранее вложенных средств в информационные системы. При этом владельцы АИС осознают, что информационная структура предприятия может стать решающим оружием в рыночной конкурентной борьбе, а информация, хранимая и обрабатываемая в АИС, является одним из основных ресурсов.

В свете такой ситуации складывается 2 подхода к управлению ИТ: первый подход придерживается мнения о том что АИС должна использовать самые современные средства обработки данных и работать на самом производительном оборудовании. Такой подход свойственен крупным организациям, которые считают, что проще приобрести передовые технологии и впоследствии, обучив им один раз персонал, сосредоточится на их углублении и развитии. Другой подход более свойственен средним и мелким компаниям, которые считают, что можно добиться преимущества, используя более дешевые средства обработки информации за счет того, что закупаются «серединные решения»  и ведется постоянное технологическое обновление и адаптация под конкретную ситуацию.

Так или иначе, конечные потребители системных решений пытаются каким-то образом оценить имеющуюся в их владении рабочую АИС и вынести решение о том, какие действия предпринять в дальнейшем. Выходом становится аудит ИТ, который предоставляет информацию владельцам АИС о системе в целом. В дальнейшем эти результаты помогают решить, какой выход более предпочтителен: полная замена АИС, что влечет за собой большие капиталовложения, либо — модернизация АИС. Последний вариант решения этой проблемы — менее дорогостоящий, и открывает новый пласт проблем, связанных с совместимостью.

Еще одна глобальная проблема, в которой не обойтись без аудита – насколько оптимальна АИС по показателям производительности, безопасности и совокупной стоимости владения. Возможна ли оптимизация этих показателей и целесообразна она.

Для решения поставленных задач, в свой работе аудит ИТ должен опираться на определенные стандарты, регламентирующие выдвигаемые требования и унифицирующие подход к разнородным по сути и содержанию системам, которые зачастую строятся хаотически и фрагментарно. В молдавском законодательстве вся регламентация аудита ИТ сводится к 1 стандарту, нескольким положениям по аудиторской практике[1] и бедному законодательству в области информационных технологий.

В итоге для молдавского аудита ИТ остро встает вопрос об использовании международных стандартов в области ИТ (ISO, ITIL, Cobit) и иностранных законодательных актов (SOX, рекомендации ФАПСИ и Гостехкомиссия РФ).

Проблема в том, что каждый стандарт имеет свои слабые и сильные стороны и в итоге приходится их комбинировать. При таком подходе могут возникать либо упущения некоторых специфических моментов, которые впоследствии могут оказаться критическими, либо излишние перегибы.

Немаловажной является практика аудита, основанная на соответствие best practice производителей различных систем. Проблемой таких проверок становится то, что требования и работа какой-то одной системы подгоняются под стандарты другой, «эталонной» системы без учета специфики. При этом разные аудиторские команды (к примеру, внешний и внутренний аудит) могут расценивать одну и ту же ситуацию по-разному, исходя из различных эталонных систем.

Одной из отличительных особенностей аудита ИТ является то что его результаты имеют смысл только в том случае если будут в дальнейшем использованы при проведении анализа рисков. Принятие рекомендаций предложенных аудитом может привести к перегибам при построении системы. Более того, если система находится в стадии построения и становления, попытка полностью закрыть уязвимость, выявленную в ходе аудита, может привести к еще более разрушительным последствиям.

Таким образом, в условиях, когда нет четких отраслевых законодательно закрепленных требований к АИС, управление ИТ и информационной безопасностью должно строится исключительно на основе всестороннего анализа рисков.

На практике существуют 2 типа аудита: внешний и внутренний. Внешний аудит проводится сторонней организацией, лицами не знакомыми с АИС и изучающими ее в полевых условиях. Внутренний аудит проводится собственными силами владельца и, как правило, проводят его те кому работа АИС уже известна. Но в том и другом случае перед проведением аудита организация-владелец должна выделить возможные угрозы и разработать систему оценки рисков, при помощи которой, впоследствии, оценивать результаты аудита.

В жизненном цикле результатов аудиторской проверки ни в коем случае не должен пропускаться этап анализа аудита, предложения не должны приниматься и закрываться безоговорочно на основании лишь авторитета команды аудита. Организация-владелец должна оценить насколько выявленная уязвимость представляет угрозу реальной системе: угроза могла быть выявлена в рамках иной эталонной системы. Также может оказаться, что стоимость мер по закрытию данной угрозы намного выше возможного ущерба и тогда владелец принимает существующий риск.

Очень часто аудит впоследствии лишь констатирует, были ли приняты предложения или нет и впоследствии аудит долго не возвращается к проверенной области. Принятие или отклонение замечаний в зависимости от специфики АИС может иметь далеко идущие последствия, которые на первый взгляд будут незаметны. По истечении некоего установленного периода, АИС должна быть вновь проанализирована аудитом, но уже с учетом ответа и принятых владельцем мер.

В конечном итоге владелец должен вписать результаты аудита в свою систему оценки рисков и принять решение о дальнейших действиях, основываясь на принципах минимизации затрат и рисков при повышении надежности и безопасности.