Введение:
Интернет представляет собой сообщество сетей, не имеющих единого цен-трализованного управления и средств обеспечения и контроля качества серви-сов (услуг). Каждая из участвующих или подключенных сетей является единст-венно ответственной за обеспечение всех доступных сервисов и, в частности, безопасности. Провайдеры услуг, частные операторы сетей, пользователи и по-ставщики оборудования и программных средств все вместе ответственны за обеспечение функционирования системы. Это в свою очередь накладывает своеобразный отпечаток на систему стандартизации в Интернет и обеспечение безопасности в Интернет, а также внедрение и использование сервисов безо-пасности.
Поскольку стандартизация - довольно дорогостоящая процедура, в на-стоящее время в области Интернет, телекоммуникаций и сетевых информаци-онных технологий (СИТ) используются стандарты, разработанные и выпущен-ные различными органами стандартизации, как международными (ISO, IEEE, ICTT, ECMA, IETF ISOC), так и национальными (ANSI), а также так называе-мые стандарты де-факто, внедряемые крупными производителями и группами производителей в составе продукции или работающих систем.
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков мно-гократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распро-странения электронных платежей, пластиковых карт, компьютерных сетей объ-ектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов.
Концепция безопасности коммерческого банка (кредитной организации) представляет собой научно обоснованную систему взглядов на определение ос-новных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкурен-ции. Под безопасностью коммерческого банка понимается состояние защищен-ности интересов владельцев, руководства и клиентов банка, материальных цен-ностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой составной частью дея-тельности коммерческого банка (кредитной организации). Состояние защищен-ности представляет собой умение и способность кредитной организации на-дежно противостоять любым попыткам криминальных структур или недобро-совестных конкурентов нанести ущерб законным интересам банка.
Глава 3:
Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традици-онного документооборота при работе исполнителей с конфиденциальными до-кументами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности явля-ются:
защита информационных ресурсов от хищения, утраты, уничтожения, раз-глашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.
В рамках указанных направлений технической политики обеспечения ин-формационной безопасности необходима:
реализация разрешительной системы допуска исполнителей (пользовате-лей) к работам, документам и информации конфиденциального характера;
ограничение доступа исполнителей и посторонних лиц в здания, помеще-ния, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
разграничение доступа пользователей к данным автоматизированных сис-тем различного уровня и назначения;
учет документов, информационных массивов, регистрация действий поль-зователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
криптографическое преобразование информации, обрабатываемой и пере-даваемой средствами вычислительной техники и связи;
снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятель-ности и автоматизированных информационных систем;
снижение уровня акустических излучений;
электрическая развязка цепей питания, заземления и других цепей техни-ческих средств, выходящих за пределы контролируемой территории;
активное зашумление в различных диапазонах;
противодействие оптическим и лазерным средствам наблюдения;
проверка технических средств и объектов информатизации на предмет вы-явления включенных в них закладных устройств;
предотвращение внедрения в автоматизированные информационные сис-темы программ вирусного характера.
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (ин-формацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
Заключение:
Архитектуру безопасности Интернет, которая первоначально разрабатыва-лась для сетей общего пользования Министерства обороны США DOD/Internet, достаточно полно описывается группой стандартов Интернет RFC.
Важной особенностью этой архитектуры является то, что она в своей осно-ве ставит цель обеспечения безопасности между конечными системами, кото-рые для коммуникаций используют неконтроллируемую (недоверительную) се-тевую среду. Это приводит к приоритетному использованию сервисов безопас-ности на уровнях выше сетевого и транспортного, т.е. преобладающе на при-кладном уровне. Это в свою очередь позволяет использовать многие сервисы и соответствующие программные продукты с другими группами сетевых прото-колов и различными сетевыми операционными системами.
Выделяются такие основные направления стандартизации в архитектуре безопасности Интернет:
Обеспечение безопасности сетевой инфраструктуры, которая соответству-ет Сетевому и Транспортному уровням, что включает архитектуру безопасно-сти IP-протокола и обеспечение безопасности протоколов управления TCP/IP- сетями.
Обеспечение безопасности обмена информацией между конечными систе-мами, приложениями или пользователями, куда входят протоколы обеспечения безопасных коммуникаций между сервисами Прикладного уровня (электронная почта, служба директорий, сервисы удаленного доступа, World Wide Web (WWW)).
В архитектуре безопасности DOD/Internet дополнительно ставятся требо-вания обеспечения доверительности конечных компьютерных систем и конфи-денциальности коммуникаций в сети.
Все сервисы безопасности реализуются, как дополнение к основным про-токолам, и могут вводится по желанию пользователей в зависимости от тре-буемого уровня безопасности или доверительности к промежуточным систе-мам. Это объясняется необходимостью использования дополнительных сетевых и вычислительных ресурсов для обеспечения сервисов безопасности, что связа-но с дополнительными расходами или падением производительности сетевых приложений.
Существует прямое соответствие между Сервисами безопасности модели ВОС в соответсвтии с ISO 7498-2 и сервисами безопасности Интернет (Конфи-денциальность (Confidentiality), Аутентификация (Authentication), Целостность (Integrity), Контроль доступа (Access Control), Причастность ("неотпирательст-во", Nonrepudiation)).
В соответствии с ISO 7498-2 базовыми являются модели соответствия ме-жду сервисами безопасности и уровнями модели сетевого взаимодействия ВОС, а также между сервисами и механизмами безопасности.
В Интернет в качестве базового подхода к безопасности используется кар-та соответствия между сетевыми приложениями (сервисами) и механизмами безопасности, что и нашло отражение в рассмотренных RFC.
Архитектура безопасности Интернет в настоящее время является доста-точно хорошо проработанной и реализована в большом количестве программ-ных продуктов и межсетевых средствах. Основная ее ориентация на обеспече-ние безопасности коммуникаций между конечными системами и пользователя-ми делает ее применимой для большинства групп сетевых протоколов и опера-ционных систем.