Всероссийский научный журнал «Студент. Аспирант.

Исследователь» № 1 (19) 2017

Че Е.П.
аспирант
Тихоокеанский государственный университет
Россия, г. Хабаровск

БЕЗОПАСНОСТЬ ПРОГРАММНОГО И АППАРАТНОГО

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В Г. АБУ­
ДАБИ - СТОЛИЦЕ ОБЪЕДИНЕННЫХ АРАБСКИХ ЭМИРАТОВ

Аннотация. Исследуется безопасность аппаратного и программного

обеспечения в нынешнем тренде технологий. Рассматривается политика
безопасности информационных технологий в г. Абу-Даби — столице
Объединённых Арабских Эмиратов.
Ключевые слова: программное обеспечение, аппаратное обеспечение,
защита информационных технологий, криптографическое шифрование,
политика безопасности, г. Абу-Даби, Объединённые Арабские Эмираты.

Безопасность аппаратного и программного обеспечения претерпевает

большие изменения в нынешнем тренде технологий. Большинство систем,
используемых в наши дни, передаёт крайне важную информацию от клиентов к
пользователю при полной прозрачности. Это означает, что «где хранятся
данные», как они передаются и кто имеет доступ к ним — всё это вне контроля
пользователя.
Очень часто безопасность аппаратного обеспечения рассматривается как
наиболее базовая ее характеристика, по сути, физического устройства, которое
заботится о безопасности сетевой системы. Задача: как бизнесу следует
расположить сеть для того, чтобы он смог обеспечить безопасный сервис или
обеспечить безопасность самому себе? Где серверы лучше расположить, и как
данные следует использовать? Эти основные вопросы встают перед группой
больших корпораций и правительства при разработке политики безопасности.
Организация ведения записей — это одна из наиболее важных тем наряду с
управлением информации. Эти две темы описывают, как политика и бизнес

stud-sciece@mail.ru 194
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

объединились вместе для обеспечения какого-либо «стандарта», который бы

использовался по всему миру.
Записи — информационные ресурсы и держатели ценности для
организации. Организация обязуется перед всеми акционерами управлять ими
эффективно для того, чтобы максимизировать прибыль, контролировать
затраты и обеспечивать жизнедеятельность организации. Эффективная
организация ведения записей ручается, что нужная информация
восстанавливаемая, достоверная и точная [2].
Безопасность программного обеспечения (ПО) — это идея инженерного
ПО, которое продолжает функционировать точно даже под воздействием
вредоносной атаки. Большинство технических специалистов признают
важность этого вопроса, но они нуждаются в некоторой помощи в решении
этой проблемы.
При проведении безопасной сети необходимо принять к сведению
следующее:
• Контроль над доступом — авторизованные пользователи
обеспечиваются путями к передаче от и до определённой сети.
• Конфиденциальность — информация в сети остаётся приватной.
• Проверка подлинности — проверить пользователей сети и убедиться в
том, что юзеры являются теми, кем они себя назвали.
• Достоверность — убедиться в том, что сообщение не было
модифицировано в пути.
Управление безопасностью информационных технологий (ИТ) —
система, с помощью которой организация направляет и контролирует
безопасность ИТ по материалам ISO 38500 (International standard for ^rporate
governance of information technology) Международной организации по
стандартизации.
Эта система управления передаёт полномочия компетентному человеку,
устанавливает тех, кто затем принимает решения и кто ответственен за
сочетание управления с мерами безопасности. Таким образом, корпорации

stud-sciece@mail.ru 195
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

могут построить защищённую сеть и обезопасить свои активы. Далее будет

описано внедрение этих систем и шагов безопасности на примере города Абу­
Даби

Политика безопасности, осуществлённая службой информационной

безопасности в г. Абу-Даби (столице Объединённых Арабских Эмиратов)
Полиция Абу-Даби — это главная штаб-квартира, она структурирована в
Министерство внутренних дел Объединёных Арабских Эмиратов. В
обязанности полиции Абу-Даби входит обеспечение безопасности города Абу­
Даби (столицы Объединённых Арабских Эмиратов) и двух основных городов,
которые представляют собой союз семи штатов (Абу-Даби, Дубай, Шарджа,
Умм-эль-Кайвайн, Аджман, Рас-эль-Хайма и Фуджейра).[12]

Департамент по информационным технологиям и телекоммуникациям

Главная штаб-квартира полиции Абу-Даби включат в себя много
субдепартаментов, в том числе Департамент по ИТ и телекоммуникациям,
который в свою очередь содержит несколько суботделов, включая Отдел по
информационной безопасности.
Отдел по информационной безопасности ответственен за:
- защиту системы, приложений, сети, пользователей;
- разработку политики, которая обеспечивает надлежащую
осведомлённость, информированность и защиту от несанкционированного
использования техники;
- аудит и мониторинг;
- выполнение правил и регулирование, которое близко к
информационной безопасности. Это также включает обновления политики и
информации постоянно и непрерывно для того, чтобы достигнуть публичных
интересов организации.
Эти принципы представлены в следующем порядке:
- Политика контроля над доступом.

stud-sciece@mail.ru 196
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

- Политика классификации активов.

- Политика организации внесения изменений.
- Политика обмена данными и процесса функционирования.
- Политика соответствия стандартам.
- Политика управления конфигурацией.
- Политика криптографического использования.
- Политика безопасности электронной почты (e-mail).
- Политика безопасности КПК и PDA СЭУ (сложных электронных
устройств).
- Политика информационного обмена и общения с прессой.
- Политика ИБ (информационная безопасность) принимаемого
использования.
- Политика интернет-безопасности.
- Политика управления лицензиями.
- Политика предотвращения вредоносного кода.
- Политика безопасности сети.
- Политика безопасности паролей.
- Политика безопасности для персонала.
- Технологическая и относящаяся к окружающей среде политика
безопасности.
- Политика осведомлённости о безопасности.
- Политика безопасности доступа третьих лиц.
Далее будут описаны лишь некоторые из этих принципов, раскрывающие
основную суть предмета данного исследования.

Политика контроля над доступом

Цель этой политики — контролировать доступ пользователя и бизнес­
процессов, основанных на требованиях бизнеса, требованиях к службе
безопасности, и обеспечивать информационные ресурсы на соответствующем
уровне защиты в полиции Абу-Даби (ПАД).

stud-sciece@mail.ru 197
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

Объём этой политики с тесно связанными процедурами покрывает все

сферы ИБ (информационной безопасности), управляемые ПАД.
Контроль доступа:
• Доступ пользователя к информационным ресурсам ПАД будет
основываться на требованиях бизнеса и специфических сферах ответственности
работы программиста, имеющего доступ в систему, поддерживающего
инфраструктуру программного и аппаратного обеспечения.
• Всем системам следует иметь пользовательский доступ к жизненному
циклу.
• Роли и привилегии должны быть созданы с принципами, нужными
пользователю.
• Доступ пользователя к информации должен контролироваться,
основываясь на требованиях бизнеса и требованиях к службе безопасности.
• Доступ пользователя к ИБ ПАД должен быть проверен, чтобы
убедиться в том, что он обоснованный.
• Все операционные системы и приложения должны вводиться с
пользовательским идентификационным номером (ИН) и паролем. Иначе ввод
должен блокироваться.
• Все оборудование в сети ПАД должно быть идентифицировано,
зарегистрировано и авторизовано.
Политика контроля доступа конечного пользователя:
• Всем пользователям ИБ ПАД следует иметь уникальный
идентификационный номер (ИН), чтобы идентифицировать индивидуального
пользователя.
• Конечным пользователям следует ввести заявление об их правах
доступа и требование на согласие.
• Системам следует конфигурироваться так, чтобы удалять или
дезактивировать пользовательские учётные записи после определённого
периода неактивности.
• Учётные записи конечных пользователей должны быть одобрены

stud-sciece@mail.ru 198
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

владельцами системы до их создания и активирования.

• Если конечный пользователь меняет свой функционал в пределах
ПАД, то его право доступа следует рассмотреть для проверки на
соответствие.[4]
Политика криптографического использования
Цель: защищать конфиденциальность, достоверность и
неприкосновенность информации, хранящейся или передающейся.
Криптографические системы используются для защиты информации, которая
считается закрытой и секретной.
Шифровальные требования:
• Экспертная оценка риска требований бизнеса.
• Владельцу бизнеса следует убедиться в том, что требования к
шифровке рассмотрены и одобрены командой информационной безопасности
ПАД и командой информационных технологий (ИТ) ПАД.
• Команда информационной безопасности ПАД должна организовать
стандарты шифровки для безопасности приложений, WLAN (Wireless Local
Area Network), шифровки файла на базисе Информационных системных рисков.
• ПАД следует реализовать стандарты шифровки, отвечающие
требованиям бизнеса.
Данные, передающиеся через WAN (Wide Area Network) между ПАД и
его акционерами посредством сети Интернет, должны быть на должном уровне
защищены соответствующей шифровкой.
• Основываясь на требованиях бизнеса, конфиденциальная
электронная почта (e-mail) должна быть зашифрована до отправки к
получателю и обратно.
• Базируясь на требованиях бизнеса, конфиденциальные данные
следует шифровать, если в этом есть необходимость.
• Любая ИТ-система, использующая шифровку для защиты
конфиденциальной информации, должна быть завершена, базируясь на
одобрении от ИБ ПАД.

stud-sciece@mail.ru 199
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

• В зависимости от требований бизнеса владельцу актива (т.е.

информации) и команде безопасности ПАД следует решить обоюдную
методологию шифровки для защиты идентифицированной важной и закрытой
предпринимательской информации.
Криптографические ключи должны:
• Обеспечивать адекватную защиту от незаконного доступа.
• Команде информационной безопасности ПАД следует определить
тип и качество используемого шифровального алгоритма.
• Электронные сертификаты, основанные на ключевых решениях
общественной инфраструктуры, следует реализовать для идентифицированных
критических приложений.
• Штатные сотрудники ПАД должны быть обязательными и
ответственными за транзакции и безопасную защиту электронных
сертификатов.
• Внутренней сети ПАД следует иметь возможность выпускать или
отзывать электронные сертификаты.
Таким образом, безопасность программного и аппаратного
обеспечения становится одной из важнейших тем современности, когда мы
говорим об обмене данными. Перечисленные выше принципы работы и
политика конфиденциальности на примере Объединенных Арабских Эмиратах
может быть использована и в политике безопасности Российской Федерации.

Список использованных источников:

1. Dowd, P.W.; McHenry, J.T., "Network security: it's time to take it
seriously," Computer, vol.31, no.9, pp.24- 28, Sep 1998.
2. Security Overview,www.redhatcom/docs/manuals/enterprise/RHEL-4-
Manual/security- guide/ch-sgs-ov.html.
3. HYPERLINK http://www.networkworld.com/news/2011/030311-
security-roundup.html
4. IT Governance-What is It and Why is It Important? By Doug

stud-sciece@mail.ru 200
 Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19) 2017

5. Donald G; Mohnish P; Uday P; “Methodology for Network

SecurityDesign”,1990
6. Marin,HYPERLINK
http://ieeexplore.ieee.org/search/searchresult.jsp?searchWithin=p Authors:
.QT.Marin,%20G.A..QT.&searchWithin=p_Author_Ids:37280140600&newsearch=tr
ue" Florida Inst. of Technol., “Network security basics”,Volume 3, Issue 6.
7. Rahul Telang; Wattal, S. "An Empirical Analysis of the Impact of
Software Vulnerability Announcements on Firm Stock Price", Software Engineering,
IEEE Transactions on, 557 Volume: 33, Issue: 8, Aug. 2007.
8. Chess, B.; Arkin, B. "Software Security in Practice", Security & Privacy,
IEEE, On page(s): 89 - 92 Volume: 9, Issue: 2, March-April 2011.
9. Schneier, Bruce. Applied Cryptography Protocols, Algorithms, and
Source Code in C, Second Edition. New York: Wiley, 1995. Print.
10. Pfleeger, Charles P., and Shari L. Pfleeger. Security in Computing. 4th
ed. New Jersey: Prentice Hall, 2006. Print. 0-13-239077-9.
11. Ciampa, Mark D. "Introduction to Security." Security Guide to Network
Security Fundamentals. Boston, MA.: Course Technology/ Cengage Learning, 2009.
N. pag. Print.
12. "Abu Dhabi Police Structure." Abu Dhabi Police GHQ. UAE
Government, n.d. Web. 21 Nov. 2013.

stud-sciece@mail.ru 201