Международные стандарты аутентификации электронных документов
Вариант № 1. Международные стандарты аутентификации электронных документов.
«Информационно-
В последнее время в
мире бурно развивается электронная
коммерция или торговля по сети Интернет,
осуществляемая при непосредственном
участии кредитно-финансовых организаций.
И этот способ торговли становится
все более популярным, по крайней
мере, там, где новым электронным
рынком можно воспользоваться
Однако, за рубежом, где электронная
коммерция наиболее широко распространена,
объем сделки или стоимость товаров
часто ограничиваются 300-400 дол. Это
объясняется недостаточным
Безопасная информация и ее свойства
По мнению ведущих зарубежных специалистов, развитие процесса электронной коммерции в основном определяется прогрессом в области безопасности информации. Уточним само понятие «безопасность информации» – это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.
Основные задачи при достижении
безопасности информации заключаются
в обеспечении ее доступности, конфиденциальности,
целостности и юридической
Последнее актуально при
необходимости обеспечения
Кроме прочего должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
По прогнозам авторитетных аналитиков, начало стремительного развития электронной коммерции в России придется на конец текущего года. Внешними приметами этого процесса могут служить участившиеся конференции, выставки и семинары, посвященные использованию Интернета. На отечественном финансовом рынке начали развиваться е-трейдинг и е-банкинг. Зарубежные компании активно скупают популярные российские сайты или создают совместные предприятия для электронной коммерции. В Государственной Думе обсуждаются различные законопроекты, связанные с использованием Интернета.
Вот почему несомненный интерес представляет опыт обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях. Эти вопросы рассматривались на конференции «Информационная безопасность корпоративных сетей», прошедшей в апреле на Валдае и организованной департаментом информатизации Минсвязи России, Главгоссвязьнадзором России, ВНИИПВТИ и компанией «Телестарт». Рассмотрим некоторые аспекты защиты телекоммуникаций.
Стандартизация обеспечения безопасности информации
Обеспечение безопасности ИТ невозможно без создания грамотной и качественной системы защиты информации. Это и определило деятельность мирового сообщества по систематизации и упорядочению основных требований и характеристик безопасности информации. Одним из главных результатов стала система международных и национальных стандартов безопасности информации, насчитывающая более сотни различных документов.
Это особенно актуально для
так называемых открытых систем коммерческого
применения, обрабатывающих информацию
ограниченного доступа, не содержащую
государственную тайну и
Термин «открытые» подразумевает
также, что если вычислительная система
соответствует стандартам, то она
будет открыта для взаимосвязи
с любой другой системой, соответствующей
тем же стандартам. Это, в частности,
относится и к
В отличие от локальных сетей, сеть Интернет основана на открытых стандартах, и фирмы используют ее для продвижения продукции на мировой рынок.
Развитие Интернета заставило по-новому взглянуть на технологии открытых систем. Во-первых, Интернет поощряет применение открытых стандартов, доступных для внедрения всем, кто проявит к ним интерес. Во-вторых, он представляет собой крупнейшую в мире, и, вероятно, единственную сеть, к которой подключается множество компьютеров. И, наконец, Интернет становится общепринятым средством представления быстроменяющихся технологий и продукции на мировом рынке. Чтобы быть в курсе всех связанных с Интернетом новшеств и своевременно реагировать на эти изменения, требуются время и ресурсы, как и для любой другой информационной технологии, например, связанной с архитектурой клиент-сервер или объектно-ориентированным программированием. Целесообразно также следить за действиями органов стандартизации и поддерживать адекватную гибкость структуры своей организации.
В мире уже давно существует целый ряд комитетов, куда входят, в основном, организации-добровольцы, которые ведут работы по стандартизации предлагаемых технологий Интернета. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force - IETF), провели стандартизацию нескольких важных протоколов, тем самым, ускорив их внедрение. Среди результатов усилий IETF - такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.
Другие органы по стандартизации, такие как Международный союз электросвязи (ITU), Американский национальный институт стандартов (ANSI) и Институт инженеров по электронике и электромеханике (Institute of Electrical and Electronic Engineers - IEEE), тоже оказывают влияние на развитие Интернета. Однако IETF является единственным органом, изначально сформированным для этой цели.
Между тем, по сравнению с ITU или ANSI, IETF, скорее, неформальная структура. Поэтому IETF публикует свои стандарты в форме рекомендаций и не может требовать от предпринимателей их внедрения. Но, несмотря на то, что стандарты IETF необязательны для исполнения, за ними стоит сила рынка. И если предприниматель хочет выйти на огромный рынок, формируемый Интернетом, ему необходимо позаботиться, чтобы его продукция была совместима с другой, используемой в Интернете, а значит, соответствовала «необязательным» стандартам IETF.
В последние годы наблюдается
фрагментированное влияние на формирование
сетевых стандартов. По мере того как
Интернет ширился и обретал черты
как потребительского, так и коммерческого
рынка, некоторые фирмы стали
искать пути влияния на стандартизацию,
создав подобие конкурентной борьбы.
Давление почувствовали даже такие
неформальные органы стандартизации,
как IETF. Предприниматели начали объединяться
в специальные группы или консорциумы
для внедрения своих
Одна из причин возникновения специальных групп по стандартизации - противоречие между возрастающими темпами развития технологий и длительным циклом рассмотрения стандартов. Некоторые производители считают, что органы стандартизации тратят слишком много времени на подготовку и утверждение стандартов. И это свидетельствует, насколько напряженная борьба идет между компаниями за контроль над стандартами.
Протоколы безопасной передачи данных
IETF считается самой «быстрой»
из организаций, выпускающих
В Интернете популярны протоколы безопасной передачи данных: SSL, SET, IPv6. Они появились сравнительно недавно для защиты ценной информации и сразу стали стандартами де-факто.
SSL
SSL (Secure Socket Layer) был разработан
американской компанией Netscape Communications
Corp. http://home.netscape.com/eng/
Протокол SSL предназначен для
решения традиционных задач обеспечения
защиты информационного
- при подключении пользователь и сервер должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, не ограничиваясь паролевой защитой;
- после установления соединения
между сервером и клиентом
весь информационный поток
- при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу
и клиенту перед началом
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия SSLeay v. 0.8.0, доступная в исходных текстах, поддерживает SSLv3. Этот пакет предназначен для создания и управления различного рода сертификатами. В его состав входит и библиотека для поддержки SSL различными программами.
Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение как основной защитный протокол для клиентов и серверов (WWW browsers and servers) в сети Интернет.
SET
Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота основывается на использовании Инфраструктуры открытых ключей (Public Key Infrastructure - PKI), названной так по способу защиты электронных документов - криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств и организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.
Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
Цифровые сертификаты
содержат открытые криптографические
ключи абонентов, заверенные электронной
цифровой подписью центра сертификации,
и обеспечивают однозначную аутентификацию
участников обмена. Цифровой сертификат
- это определенная последовательность
битов, основанных на криптографии с
открытым ключом, представляющая собой
совокупность персональных данных владельца
и открытого ключа его
Цифровые сертификаты
предотвращают возможность
По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Среди центров сертификации можно назвать американские компании Verisign, GTE.
Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет - SET (Security Electronics Transaction), предназначенный для организации электронной торговли через Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. Во многих странах мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.
Открытый стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.
Объем потенциальных продаж
в области электронной
В частности, SET обеспечивает
следующие специальные
секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;
специальную криптографию с открытым ключом для проведения аутентификации;
аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;
аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
аутентификацию банка
продавца как действующей организации,
которая может принимать
готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET заключается в применении цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и Mastercard.
Кроме того, протокол SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами, и может быть интегрирован в существующие системы.
IPv6
В 1992 г. IETF выступила с инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 г. были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.
Протоколы TCP/IP нового поколения (IPv6) обладают следующими новшествами: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.
Дополнительно введенная в стандарт IPv6 спецификация Ipsec разрабатывается Рабочей группой IP Security IETF. IPsec включает в себя 3 базовых спецификаций, независимых по алгоритмам и опубликованных в качестве следующих RFC-документов.
Протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет вне зависимости от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD, а также ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.
С помощью IPsec создается ряд преимуществ при обеспечении информационной безопасности на сетевом уровне:
поддержка немодифицированных конечных систем;
поддержка иных протоколов, чем ТСР;
поддержка виртуальных сетей в незащищенных сетях;
защита заголовка
защита от атак типа «отказ в обслуживании».
Кроме того, IPsec не требует замены промежуточных устройств в сети, а также обязательной поддержки рабочими местами и серверами.
Для обеспечения комплексной информационной безопасности в IPsec используется несколько различных методов:
обмен ключами через открытую сеть на основе криптографического алгоритма Диффи-Хеллмана;
применение цифровой подписи с применением открытого ключа;
алгоритм шифрования, подобный DES, для шифрования передаваемых данных;
использование хэш-алгоритма для определения подлинности пакетов.
Протокол IPsec был разработан в рамках программ по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.
Общие критерии оценки безопасности ИТ
В 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Common Criteria» или «Общие критерии оценки безопасности информационных технологий» (ОК). В их разработке участвовали Национальный институт стандартов и технологии (NIST) и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и призваны стать основой для такой оценки. Разрабатываемые лучшими специалистами мира на протяжении десятилетия ОК неоднократно редактировались. В результате был подготовлен и в 1999 г. утвержден международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий». Ведущие мировые производители оборудования ИТ подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
Заключение
Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:
законодательного;
административного;
процедурного;
программно-технического.
В современном мире национальная нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость привести российские стандарты и сертификационные нормативы в соответствие с общим международным уровнем развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.
Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.
Последний тезис подкрепляется
материалами конференции «
Список использованной литературы:
1.Винокуров А.Ю. Стандарты криптографической защиты информации России и США // Отраслевой каталог «Технологии и средства связи-2003». — М.: Гротек, 2003.
2.FIPS PUB 113. Computer Data Authentication.
3.FIPS PUB 186. Digital Signature Standard (DSS).
4.Щербаков А., Домашев А. Прикладная криптография. Использование и синтез криптографических интерфейсов. — М.: Русская редакция, 2002.

- Международные стандарты бухгалтерского учета
- Международные стандарты бухгалтерского учета
- Международные стандарты бухгалтерского учета
- Международные стандарты бухгалтерского учета
- Международные стандарты бухгалтерской отчетности
- Международные стандарты бухгалтерской отчетности
- Международные стандарты в области прав и свобод человека
- Международные стандарты аудиторских выводов и заключений
- Международные стандарты аудиторской деятельности
- Международные стандарты аудиторской деятельности в России и государствах СНГ
- Международные стандарты аудиторской деятельности и их значение в международной аудиторской практике
- Международные стандарты аудиторской деятельности и их значение в международной аудиторской практике
- Международные стандарты аудиторской деятельности и их значение в международной аудиторской практике
- Международные стандарты аудиторской деятельности и их значение в международной аудиторской практике