Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Стандарты безопасности электронной коммерции




 

"Информационно-коммуникационные технологии (ИТ) являются одним из наиболее важных факторов, влияющих на формирование общества двадцать первого века" говорится в Окинавской Хартии Глобального Информационного Общества, которая была подписана в прошлом году главами "восьмерки" ведущих государств нашей планеты.

В последнее время в мире бурно развивается электронная коммерция или торговля посредством сети Интернет. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.

У этой "медали" есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной в 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.

По мнению ведущих зарубежных специалистов развитие процесса электронной коммерции в основном определяется прогрессом в области безопасности информации. Полезно в этом случае уточнить само понятие безопасность информации - состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации. Это определение наиболее полно учитывает главное назначение любой коммерческой информационной автоматизированной системы - исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков.

При достижении безопасности информации базовыми задачами являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.

Последнее, например, актуально при необходимости обеспечения строгого учета платежных документов и любых информационных услуг, который является экономической основой работы всякой информационной системы и служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами системы. Например, наиболее важным (ценным) объектом защиты в автоматизированных, например банковских, системах является электронный платежный документ, его информация или данные. В частности, об этом сказано в приказе ЦБ РФ №02-144 от 3 апреля 1997 года.

Помимо этого часто должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.

В России торговля через Интернет - достаточно новый вид коммерческой деятельности, не получивший пока широкого распространения. Однако первые шаги в этом направлении уже сделаны и нас также ожидают проблемы компьютерной безопасности. По прогнозам авторитетных аналитиков начало стремительного развития электронной коммерции прогнозируется в нашей стране в конце текущего года. Внешними приметами этого процесса могут служить участившиеся конференции, выставки и семинары, посвященные использованию Интернет. На финансовом рынке России начал развиваться е-трейдинг и е-банкинг. Зарубежные компании активно скупают популярные российские сайты или создают совместные предприятия для электронной коммерции. В Государственной Думе обсуждаются различные законопроекты, связанные с использованием Интернет.

В этих условиях несомненный интерес для нас представляет отечественный и зарубежный опыт решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет сетях, которые по своей технической сущности не имеют принципиальных отличий и различаются в основном масштабами и открытостью. Данные вопросы рассматривались на конференции "Информационная безопасность корпоративных сетей", прошедшей на Валдае в апреле этого года. Конференция была организована департаментом информатизации Минсвязи России, Главгоссвязьнадзором России, ВНИИПВТИ и компанией "ТЕЛЕСТАРТ".

Проблемы обеспечения безопасности коммерческой информации в сетях электронного бизнеса столь объемны, а технологии так насыщенны, что они могут стать полномасштабной программой для специализированной конференции. Мы же, давая общее представление о происходящих в мире процессах, рассматриваем лишь некоторые фрагменты, а именно - стандартизацию процесса обеспечения безопасности коммерческой информации в сетях с IP/TCP протоколом передачи данных и с акцентом на защиту телекоммуникаций.

Обеспечить безопасность ИТ в настоящее время не представляется возможным без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации. Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Общеизвестно, что стандартизация является основой всевозможных систем качества продукции и услуг.

Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.

Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях. Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

В отличие от локальных сетей, Интернет основан на открытых стандартах, и фирмы используют его для продвижения продукции на мировой рынок.

Важная заслуга Интернета в том, что он заставил по-новому взглянуть на такие технологии. Во-первых, Интернет поощряет применение открытых стандартов, доступных для внедрения всем, кто проявит к ним интерес. Во-вторых, он представляет собой крупнейшую в мире, и вероятно, единственную, сеть, к которой подключается такое множество разных компьютеров. И наконец, Интернет становится общепринятым средством представления быстроменяющихся новой продукции и технологий на мировом рынке. Чтобы быть в курсе всех связанных с Интернетом новшеств, потребуется много времени и ресурсов, хотя и не больше чем для любой другой информационной технологии, например, связанной с архитектурой клиент-сервер или объектно-ориентированным программированием. Чтобы своевременно реагировать на эти изменения, целесообразно следить за действиями органов стандартизации и поддерживать адекватную гибкость структуры своей организации.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - непосредственные результаты усилий IETF.

Другие органы стандартизации, такие как Международный союз по электросвязи (International Telecommunication Union, ITU), Американский национальный институт стандартов (American National Standards Institute, ANSI) и Институт инженеров по электронике и электромеханике (Institute of Electrical and Electronic Engineers, IEEE), тоже оказывают свое влияние на развитие Интернета, но IETF является единственным органом, изначально сформированным для этой цели.

Следует отдавать себе отчет, что эта роль не была возложена на IETF никаким правительством или международным сообществом, и по сравнению с такими органами стандартизации как ITU или ANSI, IETF, скорее, неформальная структура. Поэтому IETF публикует свои стандарты в форме рекомендаций и не может требовать от предпринимателей их внедрения. Но несмотря на то, что стандарты IETF необязательны для исполнения, за ними стоит сила рынка. И если предприниматель хочет выйти на огромный рынок, который формирует Интернет, ему необходимо позаботиться, чтобы его продукция могла работать совместно с другой, используемой в Интернете, а значит соответствовала необязательным стандартам IETF.

В последние несколько лет сетевой рынок стал свидетелем фрагментированного влияния на формирование стандартов. По мере того как Интернет ширился и обретал черты как потребительского, так и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы стандартизации, такие как IETF. И по мере развития связанных с Интернетом рынков, предприниматели начали объединяться в специальные группы или консорциумы для внедрения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Часто, ввиду значительного авторитета группы IETF, эти специальные группы (или отдельные компании) предлагают свои стандарты на ее рассмотрение. В случае положительного решения рекомендация IETF послужит дополнительным "знаком качества". Если стандарт утвержден IETF, можно быть уверенным, что он будет максимально открытым принесет выгоду многим предпринимателям.

Одна из причин возникновения специальных групп по стандартизации - противоречие между постоянно возрастающими темпами развития технологий и длительным циклом рассмотрения стандартов. Некоторые производители считают, что органы стандартизации, такие как ITU, IEEE, и IETF тратят слишком много времени на подготовку и утверждение стандартов. IETF - самая "быстрая" из организаций, выпускающая свои стандарты на основе уже работающих реализаций. И это свидетельствует не только о высоких темпах развития новых технологий, но также о напряженности борьбы между компаниями за контроль над стандартами.

Быстрота разработки стандарта - понятие относительное. По мнению компании Netscape, Cisco и других IETF делает это быстрее, чем другие (например, ISO и ITU), но все равно недостаточно быстро. А чем больше времени уходит у органа стандартизации на разработку и публикацию стандарта, тем шире временное "окно" для желающих выдвинуть собственные стандарты. Порой и важные покупатели задают стандарты де-факто, самими своими покупками или заказами.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто. Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости. Возвращаясь к конкретным техническим решениям, рассмотрим популярные в Интернет протоколы информационной безопасности.

Протокол SSL (secure socket layer) был разработан американской компанией Netscape Communications Corp. (http://home.netscape.com/eng/ssl3/index.html) как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде "клиент-сервер" интерпретируются следующим образом:

  • пользователь и сервер, подключаясь, должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;
  • после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
  • и, наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга ("server/client authentication"), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).

Последняя версия (SSLeay v. 0.8.0) поддерживает SSLv3. Данная версия доступна в исходных текстах. Этот пакет предназначен для создания и управления различного рода сертификатами. Так же в его состав входит и библиотека для поддержки SSL различными программами.

Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение, как основной защитный протокол для клиентов и серверов (WWW browsers and servers) в сети Интернет.

Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота, основывается на использовании Public Key Infrastructure (PKI) - Инфраструктуры Открытых Ключей (ИОК), названной по названию используемого способа защиты электронных документов - криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств, а также организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.

Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутую сеть центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.

Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации и обеспечивают однозначную аутентификацию участников обмена, а центры сертификации обеспечивают надежное распространение и сопровождение ключевой информации. Такие сертификаты представляют собой определенную последовательность битов, основанных на криптографии с открытым ключом. Цифровой сертификат представляет собой совокупность персональных данных владельца и открытого ключа его электронной подписи (а при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.

Цифровые сертификаты предотвратят возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты держателя карты и продавца также дают уверенность в том, что их транзакции будут обработаны с тем же высоким уровнем защиты, что и транзакции, которые обрабатываются сегодня традиционными способами.

По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Примерами центров сертификации являются американские компании Verisign, GTE.

Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет - SET (Security electronics transaction), предназначенный для организации электронной торговли через сеть Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. В настоящее время в десятках стран мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый защищенный на настоящее время механизм выполнения платежей. SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернет. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET более правильно можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.

SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, в том числе, применяя цифровые сертификаты.

Объем потенциальных продаж в области электронной коммерции ограничивается, достижением необходимого уровня безопасности информации, который обеспечивают вместе покупатели, продавцы и финансовые институты, обеспокоенные вопросами безопасности в Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличии от других протоколов, позволяет решать указанные задачи защиты информации в целом.

SET, в частности, обеспечивает следующие специальные требования защиты операций электронной коммерции:

  • Секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
  • Сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;
  • Специальную криптографию с открытым ключом для проведения аутентификации;
  • Аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;
  • Аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
  • Аутентификацию того, что Банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процесинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов Банка продавца;
  • Готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
  • Безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET над многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений платежных систем Visa и Mastercard.

Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами, и интегрируется с существующими системами.

Тематическая группа по технологии Интернет (Internet Engineering Task Force, IETF) в 1992 г. выступила с инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 года были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.

Протоколы TCP/IP нового поколения (IPv6) включают следующие новые черты: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.

Спецификация IPsec, дополнительная по отношению к текущей версии протоколов TCP/IP и входящая в стандарт IPv6, разрабатывается Рабочей группой IP Security Тематической группы по технологии Интернет. В настоящее время IPsec включает 3 алгоритмо-независимых базовых спецификаций, опубликованных в качестве следующих RFC-документов.

Разработаный IETF протокол IPsec, предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет независимо от приложения. Это позволяет организации создавать в Интернет виртуальные частные сети. IPsec поддерживает DES, MD5 и ряд других криптографических алгоритмов. IPsec предназначен для работы поверх связных протоколов.

Преимущества обеспечения информационной безопасности на сетевом уровне с помощью IPsec включают:

  • поддержка немодифицированных конечных систем;
  • поддержка иных протоколов, чем ТСР;
  • поддержка виртуальных сетей в незащищенных сетях;
  • защита заголовка транспортного уровня от перехвата, т.е. более надежная защита от анализа трафика;
  • защита от атак типа "отказ в обслуживании".

IPsec имеет еще два важных преимущества - при его применении не требуется изменение промежуточных устройств в сети и рабочие места и серверы необязательно должны поддерживать IPsec.

IPsec - это система, использующая несколько различных методов для обеспечения комплексной информационной безопасности. Она использует:

  • обмен ключами через открытую сеть на основе криптографического алгоритма Диффи-Хеллмана;
  • применение цифровой подписи с использованием открытого ключа;
  • алгоритм шифрования, подобный DES, для шифрования передаваемых данных;
  • использование хэш-алгоритма для определения подлинности пакетов.

Протокол IPsec был разработан в рамках усилий по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет - 2. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.

В нашей стране из различных стандартов по безопасности информационных технологий следует отметить ряд современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):

  • ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
  • ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;
  • ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование;

К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем, которыми являются:

  • руководящий документ ГОСТЕХКОММИССИИ "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997);
  • ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";
  • ГОСТ28147-89.Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
  • ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
  • ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

Последняя группа документов преимущественно ориентирована на защиту государственной тайны также как и многие ранее созданные зарубежные документы.

Следуя по пути интеграции, в 1990 году Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Common Criteria(CC)" или "Общие Критерии Оценки Безопасности Информационных Технологий(ОК)". В разработке Общих Критериев участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на солидный задел.

Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. В результате был подготовлен Международный Стандарт ISO/IEC 15408. Текст документа ISO/IEC 15408 был опубликован как "Общие критерии оценки безопасности информационных технологий" (ОК) и в 1999 году утвержден. Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.

Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного;
  • процедурного;
  • программно-технического.

В современном мире нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость приведения российских стандартов и сертификационных нормативов в соответствие с международным уровнем ИТ вообще и по критериям оценки безопасности информационных технологий в частности. Приведем основные причины:

  • необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций;
  • доминирование аппаратно-программных продуктов зарубежного производства.

Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.

Последний тезис подкрепляется материалами конференции "Информационная безопасность России в условиях глобального информационного общества". Конференция была организована Советом Безопасности и Государственной Думой РФ и прошла в Москве 5 февраля с.г. Актуальность рассматриваемой тематики статьи и конференции подчеркивается документом "Доктрина информационной безопасности Российской Федерации", который был утвержден Президентом 09.09.2000. В нем, в частности говорится, что "серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций".

 

 

Управление рисками

 

Основные понятия

Управление рисками рассматривается нами на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ. Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество бумаг, во втором достаточно определиться лишь с несколькими параметрами. Более подробно данный аспект рассмотрен в статье Сергея Симонова "Анализ рисков, управления рисками" (Jet Info, 1999, 1). Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере) оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба. Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

  • (пере)оценка (измерение) рисков;
  • выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

  1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
  2. Выбор методологии оценки рисков.
  3. Идентификация активов.
  4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
  5. Оценка рисков.
  6. Выбор защитных мер.
  7. Реализация и проверка выбранных мер.
  8. Оценка остаточного риска.

Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков.

Уже перечисление этапов показывает, что управление рисками – процесс циклический. По существу, последний этап – это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты – минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них. На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...