< Попер   ЗМІСТ   Наст >

Світові стандарти критеріїв оцінки безпеки інформаційних систем

Сьогодні мережа Internet є інформаційною системою для оперативного здійснення банківських операцій. Відкритість цієї мережі для платежів і використання її як каналу збуту викликає в користувачів занепокоєність безпекою здійснюваних фінансових операцій. У світі щодня здійснюється переказів на суму понад 2 ООО млрд дол. США з використанням електронних систем зв'язку. За даними Бюро технологічної оцінки США, 0,05-0,1% усіх переказів стосуються "відмивання" "брудних" коштів. Річні збитки від шахрайських дій із платіжними картками становлять 0,5% від загального грошового обігу - близько 1,3 млрд дол. США.

Спеціалісти з безпеки сьогодні ретельно аналізують загрози і фінансовий збиток від впливу цих негативних факторів на різні автоматизовані системи, сучасні інформаційні технології. Імовірності реалізації випадкових загроз превалюють над навмисними, що їх реалізують унаслідок несанкціонованого доступу. При цьому фінансовий збиток реалізації навмисних загроз (комп'ютерних злочинів, що їх здійснює людина) значно перевищує втрати від випадкових, ненавмисних загроз. У більшості випадків (до 90%) зловмисником або злочинцем є співробітник брокерської контори чи банку. Комп'ютерні злочини, зазвичай, відбуваються специфічно - до суду доходять менше ніж 1% порушень. Це пояснюється технічною складністю розкриття комп'ютерних злочинів і небажанням банків та інших організацій оприлюднювати ризикованість своїх операцій.

Фінансові втрати, що пов'язані з порушенням безпеки інформаційних ресурсів, мають прямий стосунок до інформаційних чи комп'ютерних ризиків. При цьому йдеться про підвищені ризики, оскільки захищати інформацію в Ittternef-системах набагато складніше, ніж, наприклад, у системі "Клієнт - Банк", де використовуються виділені канали зв'язку. Тому ця проблема сьогодні розрослась у світову.

Світове співтовариство вирішує завдання щодо інформаційної безпеки, обираючи її раціональний рівень залежно від економічної доцільності. Ще 1990 року Міжнародна організація зі стандартизації (/СО) почала створювати міжнародні стандарти критеріїв оцінки безпеки інформаційних технологій для загального використання, що мають назву Common Criteria, чи "Загальні критерії оцінки безпеки ІТ". У розробці "Загальних критеріїв" (ЗК) брали участь: Національний інститут стандартів і технологій та Агентство національної безпеки (США), Установа безпеки комунікацій (Канада), Агентство інформаційної безпеки (Німеччина), Агентство національної безпеки комунікації) (Голландія), Органи виконання Програми безпеки і сертифікації

IT (Англія), Центр гарантування безпеки систем (Франція). Зі зміною та розвитком технологій актуалізуються і критерії. Нові "Загальні критерії" є основою для незалежної оцінки інформаційної безпеки IT, унаслідок чого дозволяють провести порівняння результатів у світовому масштабі. Здійснюється це шляхом висування і виконання загальних вимог до засобів безпеки систем IT, а також до припустимих ризиків.

Головні переваги ЗК - повнота вимог інформаційної безпеки, гнучкість у застосуванні і відкритість для подальшого розвитку з урахуванням новітніх досягнень науки і техніки. Цей стандарт може бути використаний як керівництво до розробки систем безпеки IT, а також до придбання комерційних продуктів із такими системами. ЗК можуть бути застосовані до інших аспектів безпеки IT, які відрізняються від зазначених вище. Тому основні положення стандарту сконцентровано на загрозах, що виникають унаслідок дій людини, злочинних чи інших, але він може бути застосований і в разі виникнення загроз, що не викликані діями людини.

Випуск і впровадження цього стандарту, як правило, супроводжується паралельною розробкою нової архітектури інформаційної безпеки обчислювальних систем, тобто створенням технічних і програмних засобів ЕОМ, що задовольняють вимоги ЗК.

Провідні фірми - виробники обчислювальної техніки і телекомунікацій різних країн світу працюють над створенням нової архітектури безпеки інформації для комерційних автоматизованих систем з урахуванням визначених критеріїв, а також навчальних програм, що сприяють швидкому і якісному впровадженню цих документів.

Застосування "Загальних критеріїв оцінки безпеки інформаційних технологій", що відображають новітні світові досягнення оцінки інформаційної безпеки, дозволить:

  • • залучити вітчизняні IT до сучасних міжнародних вимог з інформаційної безпеки, що, зокрема, спростить застосування закордонної продукції;
  • • полегшити створення відповідних вітчизняних спеціалізованих нормативно-методичних матеріалів для іспитів, оцінювання (контролю) та сертифікації засобів і систем з погляду безпеки банківських та інших IT;
  • • створити основу для якісної і кількісної оцінки інформаційних ризиків, потрібної для страхування автоматизованих систем, і зокрема банківських;
  • • знизити загальні витрати на підтримку режиму інформаційної безпеки в банках завдяки типізації й уніфікації методів і засобів захисту інформації.

Із розширенням мережі користувачів та спрощенням процедури доступу до Internet збільшується кількість загроз як для комп'ютерних систем, так і для фінансових організацій загалом. Поширення комп'ютерної злочинності в банківсько-кредитній сфері пояснюється тим, що саме цій сфері належать величезні фінансові кошти, які й приваблюють злочинців. Слід зазначити, що правоохоронним органам стають відомі далеко не всі випадки викрадення грошей шляхом використання комп'ютерних систем. Це пояснюється, окрім небажання керівництва організацій надавати відповідну інформацію через побоювання "компрометації" фінансових установ, ще й можливістю виявлення слідством інших правопорушень.

За таких умов вибір засоби) захисту інформації в банківських автоматизованих системах - складне завдання, для розв'язання якого потрібно враховувати можливі фактори порушення роботи такої системи, вартість реалізації різних засобів захисту і наявність різних зацікавлених сторін. При цьому важливо користуватись науковими методами, що дозволяють вибрати таку сукупність засобів захисту, яка забезпечить максимізацію ступеня безпеки інформації за певних витрат або мінімізацію витрат за заданого рівня безпеки інформації.

Для фінансової сфери вкрай потрібним формування аналогічних до ЗК, але спеціалізованих вимог щодо захисту операцій електронного банківського бізнесу.

Оскільки банківські Internet-послуги пов'язані з ризиками, а словосполучення ^Internet і платежі" для багатьох компаній залишається синонімом слова "небезпека", при цьому світових стандартів у сфері електронних фінансових послуг сьогодні не розроблено, то платіжним організаціям, банкам та іншим фінансовим установам слід ретельно дотримувати основних вимог щодо максимального зниження рівня ризиків електронних банківських послуг, максимально застосовуючи всі можливі засоби, які підвищують ступінь безпеки.

Зважаючи на незадовільний стан безпеки на ринку електронних платіжних послуг, компанія Visa U.S.A. (Visa.com) нещодавно оголосила про укладення стратегічного альянсу з компанією Internet Security Systems (ISS) (iss.net), провідним постачальником рішень з управління безпекою під час роботи в мережі Internet, з метою проведення випробувань щойно розробленої програми Electronic Compliance Monitoring (ЕСМ) компанії Visa. JСМ-програма компанії Visa призначена для того, чтоб упевнитись, що робота е-продавців і Internet Service Providers (ISP) відповідає вимогам компанії Visa до захисту даних і гарантує безпеку даних власників цих карток. Ця програма є важливим компонентом комплексної програми Visa Secure Commerce, яка передбачає низку оціночних випробувань захищеності даних у режимі реального часу. Результат - забезпечення конфіденційності всіх даних власників карток і продавців від початку до кінця on-line фінансової операції.

Можливість контролю захисту електронних грошей дозволить учасникам підвищити рівень захищеності мережевого середовища для е-бізнесу та ідентифікувати і мінімізувати ризики захисту. У процесі такого контролю компанія ISS перевірить сотні загроз зовнішнього нападу, а також сотні ризиків захисту з боку організації-продавця. Партнерство компанії Visa і компанії Internet Security Systems у сфері захисту інформації забезпечить віддалене управління захистом своїх інфраструктур і підвищення надійності та ефективності е-бізнесу.

Група з розробки фінансових заходів боротьби з "відмиванням" грошей (FATF) і Спеціальний комітет експертів з оцінки заходів боротьби з "відмиванням" грошей (MONEYVAL) нещодавно зініціювали нові вимоги до перевірки Internet-клієнтів і посилення контролю за електронними платежами. Це спровокувало нову масштабну атаку перевірних органів на Internet-бізнес у всьому світі, у тому числі й в Україні, оскільки неформальні системи переказу коштів, lnfernef-магазини, Internet-банки ризикують наразитись на шахрайство та інші незаконні операції внаслідок використання в Internet-banking загальнодоступних систем зв'язку.

У зв'язку з укладенням цього стратегічного альянсу і присутністю міжнародної платіжної системи Visa на українському ринку карткових платіжних послуг можна сподіватись розв'язання проблем безпеки та інформаційного захисту платіжної картки й українських держателів content.com.ua.

 
< Попер   ЗМІСТ   Наст >