ем різних юридичних осіб).
Очевидно, що створення безпечних ІТ, обробляють конфіденційну інформацію, що не містить державної таємниці, винятково важливо для економіко-фінансової життя сучасної Росії. Застосування в Росії гармонізованого стандарту ISO 15408 ( Common Criteria ), що відображає новітні світові досягнення оцінки інформаційної безпеки, дозволить:
· долучити російські ІТ до сучасним міжнародним вимогам з інформаційної безпеки, що спростить, наприклад, застосування закордонної продукції та експорт власної;
· полегшити розробку відповідних російських спеціалізованих нормативно-методичних матеріалів для випробувань, оцінки (контролю) та сертифікації засобів і систем безпечних банківських та інших ІТ;
· створити основу для якісної і кількісної оцінки інформаційних ризиків, необхідну при страхуванні автоматизованих систем;
· знизити загальні витрати на підтримання режиму інформаційної безпеки в банках та корпораціях за рахунок типізації та уніфікації методів, заходів і засобів захисту інформації.
. 6 Державні стандарти
Серед різних стандартів з безпеки інформаційних технологій, що існують у нашій країні, слід виділити ряд документів, що регламентують захист взаємозв'язку відкритих систем (Таблиця 1, рядки 1-3). До них можна додати нормативні документи за коштами, системам і критеріям оцінки за?? іщення засобів обчислювальної техніки і автоматизованих систем (cм. Таблицю 1, рядки 4-8). Остання група документів, також як і багато раніше створені закордонні стандарти, орієнтована переважно на захист державної таємниці.
Таблиця 1. Нормативні документи, що регламентують оцінку захищеності ІТ.
№ п/пНомер документаОпісаніе1ГОСТ Р ІСО 7498-2-99Інформаціонная технологія. Взаємозв'язок відкритих систем. Базова еталонна модель. Частина 2. Архітектура захисту інформаціі2ГОСТ ISO/IEC 9594-8-98Інформаціонная технологія. Взаємозв'язок відкритих систем. Довідник. Частина 8. Основи аутентіфікаціі3ГОСТ ISO/IEC 9594-9-95Інформаціонная технологія. Взаємозв'язок відкритих систем. Довідник. Частина 9. Дублірованіе4-Керівний документ Гостехкомміссіі РД. СВТ. Міжмережеві екрани. Захист від НСД до інформації. Показники захищеності від несанкціонованого доступу до інформації (Держтехкомісії Росії, 1997) 5ГОСТ Р 50739-95 Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги 6ГОСТ 28147-89Сістеми обробки інформації. Захист криптографічний. Алгоритм криптографічного преобразованія7ГОСТ Р 34.10-94Інформаціонная технологія. Криптографічний захист інформації. Процедури вироблення і перевірки електронного підпису на базі асиметричного криптографічного алгорітма8ГОСТ Р 34.11-94Інформаціонная технологія. Криптографічний захист інформації. Функція хешування
. 7 Практична важливість стандартів безпеки
Щоб продемонструвати практичну важливість перерахованих положень, наведемо перелік стандартів безпеки, що застосовуються в комплексі реалізації електронних банківських послуг InterBank
Протокол SSL (TLS) може використовуватися в якості захисту каналу обміну інформацією в системах RS-Portal і Інтернет-Клієнт raquo ;. Стандарти ГОСТ 28147-89, ГОСТ Р 34.10-94 і ГОСТ Р 34.11-94, що регламентують шифрування даних і механізм електронно-цифрового підпису, реалізовані у всіх системах криптозахисту підсистем типу клієнт-банк ( Клієнт DOS raquo ;, Клієнт Windows raquo ;, Інтернет-Клієнт ).
За допомогою протоколу IPSec можна прозоро захистити будь-який канал обміну інформацією між клієнтом і банком, що використовує мережевий протокол IP. Це відноситься як до інтернет-системам (RS-Portal і Інтернет-Клієнт ), так і до системи електронної пошти RS-Mail, що підтримує роботу по IP.
Сподіваємося, що наведена в статті інформація допоможе вам оцінити надійність ваших систем, а сили і час розробників будуть спрямовані на створення дійсно кращих засобів, які стануть новою сходинкою на шляху розвитку технології інформаційної безпеки.
2. Безпека програмного забезпечення і людський фактор. Психологія програмування
. 1 Людський фактор
Навмисні і ненавмисні порушення безпеки програмного забезпечення безпеки комп'ютерних систем більшість вітчизняних і зарубіжних фахівців пов'язують з діяльністю людини. При цьому технічні збої апаратних засобів КС, помилки програмного забезпечення тощо часто розглядаються лише як другорядні чинники, пов'язані з проявом загроз безпеці.
З деякою мірою умовності зловмисників в даному випадку можна розділити на два основні клас...