Rambler's Top100
  интернет финансы главная | карта | поиск | | реклама  
главнаяБезопасность  Публикации  Интернет Финансы Стратегия  информационной безопасности в Интернет Вот уже несколько лет в мире бурно развивается торговля с использованием сети Интернет, получившая название "электронная коммерция". У этой "медали" есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров обычно ограничиваются средней величиной в 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ.

XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
Новости
Публикации
События
Ресурсы
Глоссарий
Партнеры
О проекте
Форум

Решения:

Интернет-банкинг


Интернет-трейдинг


Интернет-страхование


Интернет-расчеты


Безопасность

Aplex.ru Разработка веб-сайтов

Intersoft Lab (17.06.11)

XXIV Международный Форум iFin-2024 "Электронные финансовые услуги и технологии"

X Международный Форум ВБА-2023 «Вся банковская автоматизация»

XIII Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2023»



Спецпредложение:

Автострахование, страхование автомобиля, страхование жизни, медицинское страхование - cкидка 5% для посетителей iFin.ru подробнеe >>

Астраброкер 


-=startpage=-
П У Б Л И К А Ц И И


Стратегия информационной безопасности в Интернет
Материалы доклада Бориса Ивановича Скородумова

Вот уже несколько лет в мире бурно развивается торговля с использованием сети Интернет, получившая название "электронная коммерция". Многие считают, что информационная эпоха наступит когда-то потом. На наш век хватит привычной, традиционной, бумажной технологии ведения дел. В работе Мануэля Кастельса "Информационная эпоха: экономика, общество и культура" ( пер. с англ. под науч. ред О.И.Шкаратана. - М.: ГУ ВШЭ, 2000. - 608 с.) показано, что скорость изменений в технологиях и в развитии общества неизменно растет. Монография посвящена всестороннему анализу фундаментальных цивилизационных процессов, вызванных к жизни принципиально новой ролью в современном мире информационных технологий. Выводы автора основываются не только на анализе данных национальных и международных статистических учетов, вторичном анализе экономических и социологических исследований других ученых, но и на его собственных крупномасштабных изысканиях. М. Кастельс проводил исследования в США, Японии, Тайване, Южной Корее, Гонконге, Китае, Западной Европе (Англии, Франции), России (особенно в академгородках Сибири и Подмосковья). Он сформулировал целостную теорию, которая позволяет оценить фундаментальные последствия воздействия на современный мир революции в информационных технологиях, охватывающей все области человеческой деятельности.
Более конкретно, с использованием цифровых данных, излагается информация по отдельным аспектам развития современного общества в материалах всемирно известной аудиторской компании "ПрайсвотерхаусКуперс".
Известно, что правильное представление предметной области обеспечения информационной безопасности всегда способствует повышению эффективности защиты информации. Поэтому полезно определить понятие Электронная Коммерция.
Электронная Коммерция - это любая форма бизнес-процесса, в котором взаимодействие между субъектами происходит электронным образом и сопровождается снабжением ресурсами или физической доставкой продукции. Электронная Торговля, которая касается процесса продаж, является частью Электронной Коммерции и наиболее активно развивается в сети Интернет.
Следует отметить, что е-коммерция начала развиваться сравнительно давно, с появлением распределенной сетевой обработки и передачи данных. В немалой степени этому способствует отсутствие таможенных рогаток: специализированная комиссия ООН еще в 1996 г. обнародовала акт о беспошлинной электронной торговле и международном торговом арбитраже. Беспошлинную электронную торговлю с 1 января 1998 г. ведут страны ЕC и США. Решение о введении беспошлинной электронной торговли в мае 1998 г. приняла и Всемирная торговая организация, членом которой готовится стать Россия.
По прогнозам авторитетных аналитиков началось стремительное развитие электронной коммерции в нашей стране. Внешними приметами этого процесса могут служить участившиеся конференции, выставки и семинары, посвященные использованию Интернет. Количество виртуальных магазинов приближается к тысяче. На финансовом рынке России начал развивается е-трейдинг и е-банкинг. Зарубежные компании активно скупают популярные российские сайты или создают совместные предприятия для электронной коммерции. В Государственной Думе обсуждаются различные законопроекты, связанные с использованием Интернет.
В ближайшее время на российском рынке предоставления услуг e-business ожидается настоящий бум. Информационное агентство РБК 19 сентября 2000 года сообщило, что "Торговый Дом ГУМ" вкладывает $20 млн на создание торговой системы или портала в Интернете в ближайшие два года. Портал рассчитывается на создание филиальной сети ГУМа по всей стране. По данным НИСПИ (www.monitoring.ru) темпы роста интернета в России превышают темпы Европы и США.
Необходимо учесть, как много стимулов могут способствовать развитию вашего бизнеса: прибыльный рынок, быстрая оборачиваемость средств, дружественная среда и экономичность.
Перечисленное следует дополнить рядом немаловажных моментов:
- Наличие недорогих электронных инструментов для прямой и косвенной рекламы;
- Дешевизна Интернет как способа передачи и публикации рекламной и иной информации;
- Единая инфраструктура публикации и поиска данных, обмена сообщениями;
- Высокие темпы роста аудитории Интернета;
- Мода на Интернет и ажиотажный спрос на интернет-проекты.
Все это работает 24 часа в сутки, 365 дней в году и без забастовок.
Добавим еще, что в США e-business называют "Офшорная зона Америки". У нас аналогичная ситуация.
У этой "медали" есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров обычно ограничиваются средней величиной в 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. Бурная информатизация, развитие тенденций распределенной обработки данных на базе современных средств вычислительной техники сопровождаются возникновением новых или видоизменением старых проблем, которые являются негативными спутниками технического прогресса. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками. Эти положения подкрепляются данными CSI/FBI, 2000, Computer Crime Survey (Source: CSI), которые были получены по Интернет ( www. csrc. NIST. gov).
У нас тоже есть свежий пример. "Гута-банк" в прошлом году за один раз потерял 700 тыс. долларов при нарушении технологии электронной обработки процесса торговли ценными бумагами.
В различных работах подробно анализируются угрозы и финансовый ущерб от их воздействия на различные автоматизированные системы современных информационных технологий (ИТ). Обобщая данные анализа, можно констатировать превалирование вероятности реализации случайных угроз над преднамеренными, которые реализуются за счет несанкционированного доступа (НСД). При этом финансовый ущерб реализации преднамеренных угроз, то есть компьютерных преступлений, которые совершаются человеком, превышает потери от реализации случайных, непреднамеренных угроз. Следует специально обратить внимание на то, что в подавляющем большинстве случаев (до 90%) злоумышленником или преступником является свой сотрудник брокерской конторы или банка. Компьютерные преступления обычно происходят специфически тихо, без шумихи и выстрелов. Так, например, за рубежом, где накоплена достаточно большая и достоверная статистика компьютерных преступлений, до суда доходят меньше 1% нарушений. Это объясняется латентностью компьютерных преступлений, технической сложностью их раскрытия и нежеланием банков и других организаций "выносить сор из избы". При этом следует помнить, что, по утверждению специалистов, ревизия в состоянии выявить не более 10% электронных хищений.
Развитие информационно-телекоммуникационных систем различного назначения, в том числе глобальной сети Интернет, и необходимость обмена ценной информацией между организациями определили работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации. Важность этого понятия очевидна, и поэтому предложим расширительную формулировку, учитывающую последние международные результаты в этой области техники и аналогичные отечественные наработки. Таким образом, безопасность информации — состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации. Это определение наиболее полно учитывает главное назначение любой информационной компьютерной системы — исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков.
Это положение особенно актуально для так называемых открытых систем общего пользования, обрабатывающих закрытую информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране. Ярким примером этого положения служит Интернет. Напомним, что термин «открытый» подразумевает, что все устройства и процессы системы (вычислительной сети) взаимодействуют в соответствии с некоторым набором стандартов и потому открыты для взаимодействия с другими системами (вычислительными сетями). Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях. Термин «открытые» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Финансовые потери, связанные с нарушением безопасности информационных ресурсов, имеют прямое отношение к информационным или компьютерным рискам. Недаром всемирно известное страховое общество Лойд выдвигает свои “Условия страхования от электронных и компьютерных преступлений страхового полиса Ллойда LSW 238 (7/91)”. Рациональный уровень информационной безопасности выбирается исходя из экономической целесообразности. В России тоже начали страховать информационные риски.
Мировое сообщество решает упомянутые задачи и весной 1998 года завершило фундаментальную работу. Следуя по пути интеграции, в 1990 году Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Common Criteria" или "Общие Критерии Оценки Безопасности ИТ". В разработке Общих Критериев участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Герм.), Агентство национальной безопасности коммуникаций (Голлан.), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки.
ОК позволяют провести сравнение результатов независимых оценок информационной безопасности. Осуществляется это путем выдвижения и обеспечения множества общих требований для функций безопасности средств и систем ИТ, а также для гарантий, применяемых к ним в процессе оценки информационной безопасности и соответствующих допустимых рисков.
Главные преимущества ОК - полнота требований информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. ОК разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки) для исследования свойств безопасности средства или системы ИТ, называемых в ОК объектами оценки. Данный стандарт может быть весьма полезным в качестве руководства при разработке средств и систем с функциями безопасности ИТ, а также при приобретении коммерческих продуктов и систем с такими функциями. Следует отметить, что ОК могут быть применимы к другим аспектам безопасности ИТ, отличным от указанных. Основное внимание данного стандарта сконцентрировано на угрозах, проистекающих из действий человека, злоумышленных или иных, но он может быть применим и в случае угроз, не вызванных действиями человека. Можно ожидать в будущем формирование специализированных требований для кредитно-финансовой сферы. Напомним, что в прежних подобных отечественных и зарубежных документах очевидна привязка к условиям правительственной или военной системы, обрабатывающей секретную информацию.
Выпуск и внедрение данного стандарта за рубежом сопровождается параллельной разработкой новой архитектуры обеспечения информационной безопасности вычислительных систем, т.е. созданием технических и программных средств ЭВМ, удовлетворяющих требованиям Общих Критериев. Например, международное объединение "Open Group", объединяющее около 200 ведущих фирм производителей средств вычислительной техники и телекоммуникаций различных стран мира, с которым у НТЦ АРБ подерживаются прямые контакты, проводит работу по созданию новой архитектуры безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. "Open Group" так же создает внедренческие учебные программы, способствующие быстрому и качественному внедрению данных документов.
В нашей стране проблема информационной безопасности обострилась в начале 90-х гг., когда отечественные корпорации, банки и другие финансовые структуры начали переходить на расчеты и платежи с использованием компьютерных сетей. В России нормативными документами по критериям оценки защищенности средств вычислительной техники и автоматизированных систем являются Руководящие документы Гостехкомиссии РФ, ГОСТ Р 50739-95 “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования”, ГОСТ28147-89.Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе ассимметричного криптографического алгоритма. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
Они, кроме двух последних, ориентированы на защиту государственной тайны также как и ранее созданные зарубежные документы.
Исторически так сложилось, что в нашей стране проблемы безопасности ИТ изучались и своевременно решались только для защиты государственной тайны. Аналогичные, но весьма специфичные проблемы коммерческого сектора экономики не нашли соответствующих решений в виду отсутствия такого сектора. В настоящее время это существенно мешает развитию безопасных ИТ на формирующемся отечественном рынке, который интегрируется с мировой системой. Тем более, что защита информации в коммерческой автоматизированной системе имеет значительные особенности, которые необходимо учитывать, т.к. они оказывают большое влияние на технологию информационной безопасности. Перечислим только главные из них, а именно:
- приоритет экономических факторов, т.е. для коммерческой автоматизированной системы весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потери за счет ошибочных направлений платежей, фальсификация платежных документов и т.д.;
- открытость проектирования, которая заключается в создании подсистемы защиты информации из средств, широко доступных на рынке;
- юридическая значимость коммерческой информации, которая приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности ИТ в нашей стране, особенно при взаимодействии автоматизированных систем разных юридических лиц.
Юридическую значимость информации можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации.
Последнее, например, актуально при необходимости обеспечения строгого учета любых информационных услуг, который является экономической основой работы всякой ИТ и служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами системы. Помимо этого часто должна обеспечиваться строгая нотаризация (юридически значимый учет и регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
Вышеизложенное существенно повышает актуальность вопросов создания безопасных ИТ, обрабатывающих конфиденциальную информацию не содержащую государственной тайны. Применение в дальнейшем "Общих критериев оценки безопасности информационных технологий" или ОК, отражающих новейшие мировые достижения оценки информационной безопасности, позволит:
- приобщить отечественные ИТ к современным международным требованиям по информационной безопасности, что, в частности, упростит применение зарубежной продукции;
- облегчить создание соответствующих отечественных специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и других ИТ;
- создать основу для качественной и количественной оценки информационных рисков, необходимую при страховании автоматизированных банковских и других систем;
- снизить общие расходы на поддержание режима информационной безопасности в банках за счет типизации и унификации методов, мер и средств защиты информации.
В различной специальной литературе, материалах конференций и семинаров по информационной безопасности звучат призывы по обеспечению комплексной защиты информации, что весьма актуально для корпораций и всей кредитно-финансовой сферы, в автоматизированных системах которых обращаются колоссальные денежные средства в виде электронных платежных документов. И это понятно, исходя из того факта, что в любой автоматизированной системе е-коммерции или е-трейдинга для информации или данных всегда существует не одна сотня потенциальных или реальных угроз. Особенно остро эта проблема обозначена в Интернет и в сопряженных с ним корпоративных сетях .
На этом непростом фоне часто недооценивают или забывают, что в любом случае главным движущим фактором решения и реализации обозначенных проблем является человек-владелец или пользователь информационных ресурсов. Нередко технические или программные сложности внедрения “высоких” технологий заслоняют этот непреложный факт от отечественных автоматизаторов и некоторых специалистов по информационной безопасности, имеющих небольшой необходимый опыт защиты информации в коммерческой сфере.
В частности, в банках нашей страны в последнее время также начали обращать внимание на вопросы переподготовки кадров в области информационной безопасности. Проиллюстрируем это положение на конкретных примерах защиты информации в автоматизированных банковских системах. Например, в приказе ЦБ РФ от 3 апреля 1997 г. N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ" сказано, что Администратор информационной безопасности обязан проводить занятия с сотрудниками, обрабатывающими на средствах вычислительной техники электронные платежные документы, с целью повышения их профессиональной подготовки в области защиты информации.
Для практического решения обозначенных проблем защиты информации автоматизированных систем коммерческих организаций финансово-кредитной сферы Ассоциация российских банков (АРБ) совместно с несколькими организациями создали необходимую материальную базу. Сравнительно недавно в Москве состоялось открытие специализированного учебного класса, оснащенного новейшей защищенной вычислительной техникой. Этот учебный класс был создан АРБ совместно с другими организациями и корпорациями на базе своего научно-технического центра (НТЦ). Лекционные и практические занятия проводятся в рамках базовой программы “Практическое обеспечение комплексной безопасности информационных ресурсов автоматизированной системы обработки данных”. Целесообразно отметить, что программа вполне подходит и для переподготовки специалистов других, не банковских, коммерческих организаций, в которых производится обработка конфиденциальной информации, не содержащей государственной тайны. Например, в первых группах курсов вместе с банковскими работниками занимались специалисты создающегося российского фондового рынка и ряда корпораций. Курсы ориентированы в основном на изучение прикладных вопросов обеспечения информационной безопасности автоматизированной системы (АС). Материально-технической основой курсов служит учебный стенд, моделирующий наиболее распространенные условия функционирования АС и его подсистем защиты информационных ресурсов. Используются средства наиболее распространенных в нашей стране аппаратно-программных платформ, возможна быстрая и безболезненная пере конфигурация учебного стенда. Комплексная безопасность информации АС е-коммерции или е-трейдинга создается на основе использования сертифицированных криптографических средств защиты информации и с учетом ее юридической значимости.
В нашей стране постепенно создается необходимая инфраструктура обеспечения информационной безопасности электронного документооборота. В этом году Госдума по плану должна рассмотреть соответствующий законопроект. Госкомитет по связи и информатизации предложил проект концепции страхования информационных рисков.
В связи с бурным развитием электронных технологий INTERNET, все большей общедоступностью их для большого числа корпораций и людей, появляется необходимость наличия у физических и юридических лиц электронных аналогов паспортов и других документов, удостоверяющих их или их подписи.
Используя такой электронный документ на криптографической основе (назовем его цифровой сертификат), любой пользователь, предъявив цифровой сертификат по открытым электронным телекоммуникациям, должен иметь возможность выполнить различного рода операции, требующие подтверждения их достоверности. Это может быть покупка или заказ в электронном магазине с одновременным поручением о переводе денег с виртуального счета или с карточки физического лица, подача декларации в налоговую инспекцию, различные формы доверенностей и др.
Цифровым сертификатом (ЦС) конечного пользователя (КП) называем централизовано зарегистрированную с уникальным номером в специально выделенных узлах сертификационного центра электронную форму, содержащую заверенные электронными подписями сертификационного центра открытый ключ подписи и шифрования КП, а также данные о владельце.
КП при подготовке какого либо запроса или информации присоединяет к этому запросу или информации свой ЦС и все вместе подписывает своей электронной подписью.
Общая структура цифрового СЕРТИФИКАТА определяется международным стандартом Х. 509. Однако учитывая тот факт, что Х. 509 базируется на Х. 500, спецификация которого вызывает еще ряд вопросов, а также тем, что к Х. 509 было принято большое количество поправок и дополнений, а ведущие производители и разработчики программного обеспечения и стандартов, например Netscape, Microsoft, RSA, Visa, MasterCard и другие выпустили и ввели в коммерческий оборот независимые интерпретации Х. 509.
Создание единой формы СЕРТИФИКАТА позволит использовать его в различных приложениях, включая передачу юридически значимых документов, в том числе в интересах государственных органов.
Инфраструктура ЦП обеспечивает следующие функции:
- Обеспечение безопасности. Безопасное использование ЦС обеспечивается применением специально сертифицированного программного обеспечения, отвечающего требованиям по защите информации и применением криптографических методов защиты информации. Обеспечение безопасности должно включать защиту секретных ключей у КП.
- Обеспечение финансовой защиты. Финансовая защита обеспечивается как страхованием ЦС, так и страхованием сделок с использованием ЦС.
- Система контроля за деятельностью центров выдачи ЦС.
- Система доверия. Система доверия строится на услугах третьей доверенной стороны и системе проверки информации, включая услуги нотариата.
Последнее также необходимо для любого электронного документа. Обычно целостность и аутентификация электронного документа обеспечиваются использованием электронной цифровой подписи.
Далее в докладе подробно, с привлечением большого иллюстративного материала, излагаются другие технические аспекты стратегии информационной безопасности в Интернет.
В заключении отмечается, что создание или учебное моделирование подсистем защиты информации должно проводиться с соблюдением принципа экономичности комплексной безопасности для обеспечения равнопрочной защиты на различных рубежах и всех этапах жизненного цикла обработки и хранения ценной конфиденциальной информации в автоматизированной системе е-коммерции (е-трейдинг).
24.04.2001Источник: Интернет Финансы
все публикации | подписка на рассылку

 

-=endpage=-



Размещение информации на сайте | Условия размещения рекламы


Copyright 2000-2010 iFin.ru, e-mail:
создание сайта: Aplex, Дизайн: Максим Черемхин
TopList Rambler's Top100