Мировые стандарты критериев оценки безопасности информационных систем

Сегодня сеть Internet является информационной системой для оперативного осуществления банковских операций. Открытость сети для платежей и использования ее как канала сбыта вызывает у пользователей озабоченность безопасностью осуществляемых финансовых операций. В мире ежедневно осуществляется переводов на сумму свыше 2 ООО млрд долл. США с использованием электронных систем связи. По данным Бюро технологической оценки США, 0,05-0,1% всех переводов касаются "отмывания" "грязных" денег. Годовые убытки от мошеннических действий с платежными картами составляют 0,5% от общего денежного обращения - около 1300000000 долл. США.

Специалисты по безопасности сегодня тщательно анализируют угрозы и финансовый ущерб от воздействия этих негативных факторов на различные автоматизированные системы, современные информационные технологии. Вероятности реализации случайных угроз превалируют над умышленными, реализуемых в результате несанкционированного доступа. При этом финансовый ущерб реализации умышленных угроз (компьютерных преступлений, осуществляемых человек) значительно превышает потери от случайных, непреднамеренных угроз. В большинстве случаев (до 90%) злоумышленником или преступником является сотрудник брокерской конторы или банка. Компьютерные преступления, как правило, происходят специфически - в суд доходят меньше 1% нарушений. Это объясняется технической сложностью раскрытия компьютерных преступлений и нежеланием банков и других организаций обнародовать рискованность своих операций.

Финансовые потери, связанные с нарушением безопасности информационных ресурсов, имеющих прямое отношение к информационным или компьютерных рисков. При этом речь идет о повышенных рисках, поскольку защищать информацию в Ittternef-системах гораздо сложнее, чем, например, в системе "Клиент - Банк", где используются выделенные каналы связи. Поэтому эта проблема сегодня разрослась в мировую.

Мировое сообщество решает задачи по информационной безопасности, выбирая ее рациональный уровень зависимости от экономической целесообразности. Еще в 1990 году Международная организация по стандартизации (/ СО) начала создавать международные стандарты критериев оценки безопасности информационных технологий для общего использования, называются Common Criteria, или "Общие критерии оценки безопасности ИТ". В разработке "Общих критериев" (ЗК) принимали участие: Национальный институт стандартов и технологий и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникации) (Голландия), Органы исполнения Программы безопасности и сертификации

IT (Англия), Центр обеспечения безопасности систем (Франция). С изменением и развитием технологий актуализируются и критерии. Новые "Общие критерии" является основой для независимой оценки информационной безопасности IT, в результате чего позволяют провести сравнение результатов в мировом масштабе. Осуществляется это путем выдвижения и выполнения общих требований к средствам безопасности систем IT, а также в допустимых рисков.

Главные преимущества ЗК - полнота требований информационной безопасности, гибкость в применении и открытость для дальнейшего развития с учетом новейших достижений науки и техники. Этот стандарт может быть использован как руководство к разработке систем безопасности IT, а также к приобретению коммерческих продуктов с такими системами. ЗК могут быть применены к другим аспектам безопасности IT, которые отличаются от указанных выше. Поэтому основные положения стандарта сконцентрировано на угрозах, возникающих вследствие действий человека, преступных или иных, но он может быть применен и в случае возникновения угроз, не вызваны действиями человека.

Выпуск и внедрение этого стандарта, как правило, сопровождается параллельной разработкой новой архитектуры информационной безопасности вычислительных систем, то есть созданием технических и программных средств ЭВМ, удовлетворяющие требования ЗК.

Ведущие фирмы - производители вычислительной техники и телекоммуникаций разных стран мира работают над созданием новой архитектуры безопасности информации для коммерческих автоматизированных систем с учетом определенных критериев, а также учебных программ, способствующих быстрому и качественному внедрению этих документов.

Применение "Общих критериев оценки безопасности информационных технологий", отражающие новейшие мировые достижения оценки информационной безопасности, позволит:

• привлечь отечественные IT с современными международными требованиями по информационной безопасности, что, в частности, упростит применение зарубежной продукции;

• облегчить создание соответствующих отечественных специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем с точки зрения безопасности банковских и других IT;

• создать основу для качественной и количественной оценки информационных рисков, необходимой для страхования автоматизированных систем, и в частности банковских;

• снизить общие затраты на поддержание режима информационной безопасности в банках благодаря типизации и унификации методов и средств защиты информации.

С расширением сети пользователей и упрощением процедуры доступа к Internet увеличивается количество угроз как для компьютерных систем, так и для финансовых организаций в целом. Распространение компьютерной преступности в банковско-кредитной сфере объясняется тем, что именно этой сфере относятся огромные финансовые средства, которые и привлекают преступников. Следует отметить, что правоохранительным органам становятся известны далеко не все случаи похищения денег путем использования компьютерных систем. Это объясняется, кроме нежелания руководства организаций предоставлять соответствующую информацию из-за опасений "компрометации" финансовых учреждений, еще и возможностью выявления следствием других правонарушений.

При таких условиях выбор средства) защиты информации в банковских автоматизированных системах - сложная задача, для решения которой нужно учитывать возможные факторы нарушения работы такой системы, стоимость реализации различных средств защиты и наличие различных заинтересованных сторон. При этом важно пользоваться научными методами, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при определенных расходов или минимизацию затрат при заданном уровне безопасности информации.

Для финансовой сферы крайне необходимым формирование аналогичных ЗК, но специализированных требований по защите операций электронного банковского бизнеса.

Поскольку банковские Internet-услуги связанные с рисками, а словосочетание ^ Internet и платежи »для многих компаний остается синонимом слова« опасность », при этом мировых стандартов в сфере электронных финансовых услуг сегодня не разработано, то платежным организациям, банкам и другим финансовым учреждениям следует тщательно соблюдать основные требования по максимальному снижению уровня рисков электронных банковских услуг, максимально используя все возможные средства, которые повышают степень безопасности.

Учитывая неудовлетворительное состояние безопасности на рынке электронных платежных услуг, компания Visa USA (Visa.com) недавно объявила о заключении стратегического альянса с компанией Internet Security Systems (ISS) (iss.net), ведущим поставщиком решений по управлению безопасностью при работе в сети Internet, с целью проведения испытаний только разработанной программы Electronic Compliance Monitoring (ЕСМ) компании Visa. Jсм-программа компании Visa предназначена для того, чтоб убедиться, что работа е-продавцов и Internet Service Providers (ISP) соответствует требованиям компании Visa к защите данных и гарантирует безопасность данных владельцев этих карт. Эта программа является важным компонентом комплексной программы Visa Secure Commerce, которая предусматривает ряд оценочных испытаний защищенности данных в режиме реального времени. Результат - обеспечение конфиденциальности всех данных держателей карт и продавцов от начала до конца on-line финансовой операции.

Возможность контроля защиты электронных денег позволит участникам повысить уровень защищенности сетевой среды для е-бизнеса и идентифицировать и минимизировать риски защиты. В процессе такого контроля компания ISS проверит сотни угроз внешнего нападения, а также сотни рисков защиты со стороны организации-продавца. Партнерство компании Visa и компании Internet Security Systems в сфере защиты информации обеспечит удаленное управление защитой своих инфраструктур и повышение надежности и эффективности е-бизнеса.

Группа по разработке финансовых мер борьбы с "отмыванием" денег (FATF) и Специальный комитет экспертов по оценке мер борьбы с "отмыванием" денег (MONEYVAL) недавно инициировали новые требования к проверке Internet-клиентов и усиление контроля за электронными платежами. Это спровоцировало новую масштабную атаку проверочных органов на Internet-бизнес во всем мире, в том числе и в Украине, поскольку неформальные системы перевода средств, lnfernef-магазины, Internet-банки рискуют подвергнуться мошенничество и другие незаконные операции вследствие использования в Internet-banking общедоступных систем связи.

В связи с заключением этого стратегического альянса и присутствием международной платежной системы Visa на украинском рынке карточных платежных услуг можно надеяться решения проблем безопасности и информационной защиты платежной карточки и Украинской держателей content.com.ua.

 
< Пред   СОДЕРЖАНИЕ   След >