Передача открытой и конфиденциальной информации в локальных и глобальных информационных сетях

РЕФЕРАТ

Передача открытой и конфиденциальной информации в локальных и глобальных информационных сетях. Основные способы  защиты информации. Защита информации в сети Интернет.

Студент (ФИО)

Кистанов А.С.

Факультет защиты информации

  Курс 3

     Группа Очно-заочное отделение

Передача открытой и конфиденциальной информации в  локальных и глобальных информационных сетях. Основные способы защиты информации. Защита информации в сети Интернет.

Краткая хронология развития.

Чтобы понять, что ждет Internet в будущем, необходимо рассмотреть с чего он начинался.

Началось все с того, что Леонард  Клейнрок из MIT (Massachusetts  Institute of Technology) опубликовал первую статью по теории пакетной коммутации в июле 1961 года, а первую книгу — в 1964 году. После  этого возник проект  ARPANET который представлял из себя по сути первую концепцию пакетной компьютерной сети.  По большому счету эта концепция используется до сих пор. Рассмотрим подробнее, что такое пакет данных.

Пакет данных - это отформатированный  блок данных, который передается с  помощью коммутации пакетов в  компьютерной сети. Соответственно  компьютерные линии связи, которые  не поддерживают передачу пакетов данных, такие как традиционные от точки-до-точки (англ. point-to-point) телекоммуникационные связи, просто передают данные в виде серии байтов, символов или битов  в одиночку.

В 1965 году, под эгидой ARPA, компьютеры двух организаций -ТХ-2 в MIT Lincoln Lab и AN/FSQ-32 в System Development Corporation (Santa Monica, CA) - были связаны  выделенной телефонной линией на скорости 1200 бит/с.

В 1969 году на основе мини-компьютера DDP-516 фирмы Honey-well с памятью объемом 12К  были созданы четыре первых узла сети ARPANET: Калифорнийский университет в  Лос-Анжелесе (University of California Los Angeles - UCLA), Стэнфордский НИИ (Stanford Research Institute - SRI), университет Санта-Барбары и университет  штата Юта. Компания AT&T предоставила для этой сети линии со скоростью  передачи 50 Кбит/с. Тогда же первым проектом документа RFC (Request for Comments) «Программное обеспечение рабочих станций (hosts)»  было положено начало стандартам Интернет.

Первая публикация, относящаяся  к сети Интернет, появилась в 1970 году и была посвящена протоколу взаимодействия рабочих станций в составе  сети ARPANET: Ч.Кар, С.Крокер, В.Серф. «Протокол  связи рабочих станций в сети ARPA».

В 1971 году уже имеется 15 узлов (23 рабочие  станции), и Рей Момлинсон изобретает программу электронной почты  для передачи сообщений по распределенной сети. Оригинальная программа была создана на базе двух программ: программы  внутримашинной электронной почты (SENDMSG) и экспериментальной программы  пересылки файлов (CPYNET). Из клавиш пунктуации на телетайпе Model 33 производства Tomlinson в марте 1972 г. выбран знак @ в его  значении «в».

Докторская диссертация Боба Меткафа  из Гарварда наметила идею сети Ethernet. Эта  идея была проверена на компьютерах Alto производства Xerox PARC, и первая сеть Ethernet получила в мае 1973 г. название Alto Aloha System. А число пользователей ARPANET к марту 1973 достигло 2000. Тогда же в Мичиганском университете создается  сеть Merit на базе протокола Х.25, а  в Стэнфордском университете начинается разработка набора протоколов, которые  должны обеспечивать взаимодействие компьютеров, включённых в сеть ARPANET.

В мае 1974 года Винт Серф из Стэнфорда  и Боб Кан (Vint Cerf, Bob Kahn) из агентства  перспективных научных проектов Министерства обороны США опубликовали в журнале «IEEE Transactions on Communications»  статью «A Protocol for Packet Network Intercommunication»  со спецификацией протокола TCP, ставшей вскоре основой Интернет. Об истории этой публикации рассказывается в колонке редактора журнала «Сети и системы связи» (№11, 1999). Серф и Кан решали, чье имя поставить первым в спецификации протокола TCP, и бросили монетку. Первым оказался Винсент Серф, и именно он, со временем, стал известен широкой публике, занял должность вице-президент MCI и получил признание как один из основателей сети Интернет.

Тогда же появляется первый список адресов  электронной почты - MsgGroup. Самым популярным неофициальным списком становится список любителей научной фантастики - SF-Lovers. Спустя полтора года разрабатывается  спецификация электронной почты (RFC 733). В 1976 году в лаборатории Александра Белла (Bell Laboratories) корпорации AT&T разрабатывается  протокол UUCP (Копирование Unix-Unix), который  начинает распространяться год спустя вместе с операционной системой UNIX.

В 1978 году протокол TCP разделяется  на протоколы TCP и IP, а изложенная в  статье Серфа и Кана концепция  получает название TCP/IP. Работа над концепцией была завершен  в 1980 году, а в 1983 году управление Минобороны США утвердило  новый набор компьютерных протоколов в качестве стандарта для ARPANET, вместо протокола NCP (Network Control Protocol), использовавшегося  с 1970 года. Чтобы поощрить переход  колледжей и университетов на технологию TCP/IP, силами ARPA был облегчен процесс внедрения операционной системы Berkeley UNIX, реализующей протоколы TCP/IP. Этот шаг привел к формированию одного из первых определений понятия  «Интернет» как совокупности соединенных  между собой сетей, в частности, сетей с использованием стека  протоколов TCP/IP, а понятия «Интернет» как совокупности сетей, реализованных  на базе технологии TCP/IP.

Сама же ARPANET в конце 1983 года разделилась  на две сети:

DARPANET (оборонная сеть) и MILNET (военная  сеть). Несмотря на то, что ARPANET официально прекратила своё существование  в июне 1990 года, сеть Интернет  уцелела. Более того, протокол TCP/IP был усовершенствован и используется  по сей день. 

В 1984 году вводится система доменных имен (DNS). Она увязывает IP-адреса с  именами компьютеров в Интернет. Количество рабочих станций, подключенных к сети, достигает 1000, а к 1987 году их становится уже 10000.

Национальный фонд Науки США, с  целью обеспечить взаимодействие своих  суперкомпьютерных центров и  доступ к Интернет, создает в 1985 году сеть NSFNET (Сеть Национального фонда  науки). NSFNET - это высокоскоростная магистральная  сеть, состоящая из двухточечных линий  связи в узловой конфигурации. Сеть была полностью развёрнута в 1988 году и первоначально работала на скорости 56 Кбит/с. В 1986 году NSFNET организовала ряд региональных сетей, объединённых в магистральную сеть. Позже основные части сети NSFNET были модернизированы  для работы на скоростях до ОС-3 (155 Мбит/с) и выше. NSFNET официально прекратила своё существование в 1995 году, и на смену ей пришла сеть MERIT. Первоначально, MERIT была сетью масштаба штата, эксплуатируемой  Университетом Мичигана, и региональным компонентом как сети NSFNET, так  и Интернет.

В 1988 году Ажако Ойкаринен (Jarkko Oikari-nen) разрабатывает технологию Internet Relay Chat (IRC). Тогда же появился новый термин «хакер», а 1 ноября 1988 года вирусная программа  «Internet Worm» сумела повредить более 6000 рабочих станций.

В 1989 году количество рабочих станций  достигает 100000 штук, а в 1990 году - 300000. Появляется первый коммерческий поставщик  услуг сети Интернет, а год спустя Тим Бернерс-Ли (Tim Ber-ners-Lee) из организации CERN, Швейцария, выпускает свою разработку Всемирной Паутины - World Wide Web (WWW). Вскоре программы просмотра WWW стали неотъемлемой частью повседневной жизни, и началась эра бизнеса в сети Интернет.

 В 1992 году количество рабочих  станций превысило 1 миллион, а  в 1993 году в Интернет появился  адрес www.whitehouse.gov  и электронная  почта [email protected]  Б. Клинтона. Понадобилось менее 2 лет, чтобы  в Интернет появились адреса  правительств большинства других  стран, включая, например, адрес  Ватикана - www.vatican.va. В том же 1995 году  коллектив программистов Sun Microsystems под руководством Джеймса Гозлинга (James Gosling) создали язык программирования Java, радикально изменивший сам  смысл программирования Интернет-приложений.

В 1996 году сети Интернет исполнилось 25 лет, а число рабочих станций, подключенных к Интернет, составило 10 миллионов.

К концу 2000 года насчитывалось около 300 миллионов пользователей Интернет. Количество рабочих станций сейчас возрастает примерно на 80 процентов  за год. В первой главе приведен рисунок, на котором авторы взяли на себя смелость показать, что приблизительно к 2004 году Интернет разрастется до размеров современной телефонной сети.

Протоколы сети Internet

Основное, что отличает Internet от других сетей - это ее протоколы - TCP/IP. Вообще, термин TCP/IP обычно означает все, что связано с протоколами взаимодействия между компьютерами в Internet. Он охватывает целое семейство протоколов, прикладные программы, и даже саму сеть. TCP/IP - это технология межсетевого взаимодействия, технология internet. Сеть, которая использует технологию internet, называется "internet". Если речь идет о глобальной сети, объединяющей множество сетей с технологией internet, то ее называют Internet.

Свое название протокол TCP/IP получил  от двух коммуникационных протоколов (или протоколов связи). Это Transmission Control Protocol (TCP) и Internet Protocol (IP). Несмотря на то, что в сети Internet используется большое число других протоколов, сеть Internet часто называют TCP/IP-сетью, так как эти два протокола, безусловно, являются важнейшими.

Как и во всякой другой сети в Internet существует 7 уровней взаимодействия между компьютерами: физический,  логический, сетевой, транспортный, уровень сеансов связи, представительский и прикладной уровень. Соответственно каждому уровню взаимодействия соответствует набор протоколов (т.е. правил взаимодействия).

Протоколы физического уровня определяют вид и характеристики линий связи  между компьютерами. В Internet используются практически все известные в настоящее время способы связи от простого провода (витая пара) до волоконно-оптических линий связи (ВОЛС).

Для каждого типа линий связи  разработан соответствующий протокол логического уровня, занимающийся управлением  передачей информации по каналу. К  протоколам логического уровня для  телефонных линий относятся протоколы SLIP (Serial Line Interface Protocol) и PPP (Point to Point Protocol). Для связи по кабелю локальной сети - это пакетные драйверы плат ЛВС.

Протоколы сетевого уровня отвечают за передачу данных между устройствами в разных сетях, то есть занимаются маршрутизацией пакетов в сети. К  протоколам сетевого уровня принадлежат IP (Internet Protocol) и ARP (Address Resolution Protocol).

Протоколы транспортного уровня управляют  передачей данных из одной программы  в другую. К протоколам транспортного  уровня принадлежат TCP (Transmission Control Protocol) и UDP (User Datagram Protocol).

Протоколы уровня сеансов связи  отвечают за установку, поддержание  и уничтожение соответствующих  каналов. В Internet этим занимаются уже упомянутые TCP и UDP протоколы, а также протокол UUCP (Unix to Unix Copy Protocol).

Протоколы представительского уровня занимаются обслуживанием прикладных программ. К программам представительского уровня принадлежат программы, запускаемые, к примеру, на Unix-сервере, для предоставления различных услуг абонентам. К  таким программам относятся: telnet-сервер, FTP-сервер, Gopher-сервер, NFS-сервер, NNTP (Net News Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP2 и POP3 (Post Office Protocol) и т.д.

К протоколам прикладного уровня относятся  сетевые услуги и программы их предоставления.

Услуги предоставляемые сетью

Все услуги предоставляемые сетью  Internet можно условно поделить на две категории: обмен информацией между абонентами сети и использование баз данных сети.

К числу услуг связи между  абонентами принадлежат.

Telnet - удаленный доступ. Дает возможность абоненту работать на любой ЭВМ сети Internet как на своей собственной. То есть запускать программы, менять режим работы и т.д.

FTP (File Transfer Protocol) - протокол передачи файлов. Дает возможность абоненту обмениваться двоичными и текстовыми файлами с любым компьютером сети. Установив связь с удаленным компьютером, пользователь может скопировать файл с удаленного компьютера на свой или скопировать файл со своего компьютера на удаленный.

NFS (Network File System) - распределенная файловая система. Дает возможность абоненту пользоваться файловой системой удаленного компьютера, как своей собственной.

Электронная почта - обмен почтовыми  сообщениями с любым абонентом  сети Internet. Существует возможность отправки как текстовых, так и двоичных файлов. На размер почтового сообщения в сети Internet накладывается следующее ограничение - размер почтового сообщения не должен превышать 64 килобайт.

Новости - получение сетевых новостей и электронных досок объявлений сети и возможность помещения  информации на доски объявлений сети. Электронные доски объявлений сети Internet формируются по тематике. Пользователь может по своему выбору подписаться на любые группы новостей.

Rsh (Remote Shell) - удаленный доступ. Аналог Telnet, но работает только в том случае, если на удаленном компьютере стоит ОС UNIX.

Rexec (Remote Execution) - выполнение одной команды на удаленной UNIX-машине.

Lpr - сетевая печать. Отправка файла на печать на удаленном (сетевом) принтере.

Lpq - сетевая печать. Показывает файлы стоящие в очереди на печать на сетевом принтере.

Ping - проверка доступности удаленной ЭВМ по сети.

Talk - дает возможность открытия "разговора" с пользователем удаленной ЭВМ. При этом на экране одновременно виден вводимый текст и ответ удаленного пользователя.

Iptunnel - дает возможность доступа к серверу ЛВС NetWare с которым нет непосредственной связи по ЛВС, а имеется лишь связь по сети Internet.

Whois - адресная книга сети Internet. По запросу абонент может получить информацию о принадлежности удаленного компьютера, о пользователях.

Finger - получение информации о пользователях удаленного компьютера.

Кроме вышеперечисленных услуг, сеть Internet предоставляет также следующие специфические услуги.

Webster - сетевая версия толкового словаря английского языка.

Факс-сервис - дает возможность пользователю отправлять сообщения по факсимильной связи, пользуясь факс-сервером сети.

Электронный переводчик - производит перевод присланного на него текста с одного языка на другой. Обращение  к электронным переводчикам происходит посредством электронной почты.

Шлюзы - дают возможность абоненту отправлять сообщения в сети, не работающие с протоколами TCP\IP (FidoNet, Goldnet, AT50).

К системам автоматизированного поиска информации в сети Internet принадлежат следующие системы.

Gopher - наиболее широко распространенное средство поиска информации в сети  Internet, позволяющее находить информацию по ключевым словам и фразам. Работа с системой Gopher напоминает просмотр оглавления, при этом  пользователю предлагается пройти сквозь ряд вложенных меню и выбрать нужную тему. В Internet  в настоящее время свыше 2000 Gopher-систем, часть из которых является узкоспециализированной, а часть содержит более разностороннюю информацию.

Gopher позволяет получить информацию без указания имен и адресов авторов, благодаря чему пользователь не тратит много времени и нервов. Он просто сообщит системе Gopher, что именно ему нужно, и система находит соответствующие данные. Gopher-серверов свыше двух тысяч, поэтому с их помощью не всегда просто найти требуемую информацию. В случае возникших затруднений можно воспользоваться службой VERONICA. VERONICA осуществляет поиск более чем в 500 системах Gopher, освобождая пользователя от необходимости просматривать их вручную.

WAIS - еще более мощное средство  получения информации, чем Gopher, поскольку оно осуществляет поиск ключевых слов во всех текстах документов. Запросы посылаются в WAIS на упрощенном английском языке. Это значительно легче, чем формулировать их на языке алгебры логики, и это делает WAIS более привлекательной для пользователей-непрофессионалов.

При работе с WAIS пользователям не нужно  тратить много времени, чтобы  найти необходимые им материалы.

В сети Internet существует более 200 WAIS - библиотек. Но поскольку информация представляется преимущественно сотрудниками академических организаций на добровольных началах, большая часть материалов относится к области исследований и компьютерных наук.

WWW - система для работы с гипертекстом. Потенциально она является наиболее  мощным средством поиска. Гипертекст  соединяет различные документы  на основе заранее заданного  набора слов. Например, когда в  тексте встречается новое слово  или понятие, система, работающая  с гипертекстом, дает возможность  перейти к другому документу,  в котором это слово или  понятие рассматривается более  подробно.

WWW часто используется в качестве  интерфейса к базам данных WAIS, но отсутствие гипертекстовых  связей ограничивает возможности  WWW до простого просмотра.

Пользователь со своей стороны  может задействовать возможность WWW работать с гипертекстом для связи  между своими данными и данными WAIS и WWW таким образом , чтобы собственные записи пользователя как бы интегрировались в информацию для общего доступа. На самом деле  этого, конечно, не происходит, но воспринимается именно так.

WWW - это относительно новая система.  Установлены несколько демонстрационных  серверов, в том числе Vatican Exibit в библиотеке Конгресса США и мультфильм о погоде "Витки спутника" в Мичиганском государственном университете. В качестве демонстрационных также работают серверы into.funet.fi (Финляндия); into.cern.ch. (Швейцария) и eies2.njit.edu (США).

Практически все услуги сети построены  на принципе клиент-сервер. Сервером в  сети Internet  называется компьютер способный предоставлять клиентам (по мере прихода от них запросов) некоторые сетевые услуги. Взаимодействие клиент-сервер строится обычно следующим образом. По приходу запросов от клиентов сервер запускает различные программы предоставления сетевых услуг. По мере выполнения  запущенных программ сервер отвечает на запросы клиентов.

Все программное обеспечение сети также можно поделить на клиентское и серверное. При этом программное обеспечение сервера занимается предоставлением сетевых услуг, а клиентское программное обеспечение обеспечивает передачу запросов серверу и получение ответов от него.

Информационная безопасность и  информационные технологии

   На раннем этапе автоматизации  внедрение банковских систем (и  вообще средств автоматизации  банковской деятельности) не повышало  открытость банка.  Общение с  внешним миром, как и прежде, шло через операционистов и курьеров, поэтому дополнительная угроза безопасности информации проистекала лишь от возможных злоупотреблений со стороны работавших в самом банке специалистов по информационным технологиям.

   Положение изменилось после  того, как на рынке финансовых  услуг стали появляться продукты, само возникновение которых было  немыслимо без информационных  технологий. В первую очередь  это—пластиковые карточки.  Пока обслуживание по карточкам шло в режиме голосовой авторизации, открытость информационной системы банка повышалась незначительно, но затем появились банкоматы, POS-терминалы, другие устройства самообслуживания—то есть средства, принадлежащие к информационной системе банка, но расположенные вне ее и доступные посторонним для банка лицам.

   Повысившаяся открытость системы потребовала специальных мер для контроля и регулирования обмена информацией: дополнительных средств идентификации и аутентификации лиц, которые запрашивают доступ к системе (PIN-код, информация о клиенте на магнитной полосе или в памяти микросхемы карточки, шифрование данных, контрольные числа и другие средства защиты карточек), средств криптозащиты информации в каналах связи и т. д.

   Еще больший сдвиг баланса  “защищенность-открытость” в сторону  последней связан с телекоммуникациями. Системы электронных расчетов между банками защитить относительно несложно, так как субъектами электронного обмена информацией выступают сами банки. Тем не менее, там, где защите не уделялось необходимое внимание, результаты были вполне предсказуемы.  Наиболее кричащий пример—к сожалению, наша страна. Использование крайне примитивных средств защиты телекоммуникаций в 1992 г. привело к огромным потерям на фальшивых авизо.

   Общая тенденция развития  телекоммуникаций и массового  распространения вычислительной  техники привела в конце концов  к тому, что на рынке банковских  услуг во всем мире появились  новые, чисто телекоммуникационные  продукты, и в первую очередь  системы Home Banking (отечественный аналог—“клиент-банк”). Это потребовало обеспечить клиентам круглосуточный доступ к автоматизированной банковской системе для проведения операций, причем полномочия на совершение банковских транзакций получил непосредственно клиент. Степень открытости информационной системы банка возросла почти до предела. Соответственно, требуются особые, специальные меры для того, чтобы столь же значительно не упала ее защищенность.

   Наконец, грянула эпоха  “информационной супермагистрали”: взрывообразное развитие сети Internet и связанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новые опасности. Казалось бы, какая разница, каким образом клиент связывается с банком: по коммутируемой линии, приходящей на модемный пул банковского узла связи, или по IP-протоколу через Internet? Однако в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором же—возможностями Internet, которые могут быть существенно выше.  Кроме того, сетевой адрес банка, в принципе, общедоступен, тогда как телефонные номера модемного пула могут сообщаться лишь заинтересованным лицам. Соответственно, открытость банка, чья информационная система связана с Internet, значительно выше, чем в первом случае. Так только за пять месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз! (Это свидетельствует, впрочем, не столько о какой-то “опасности” Internet вообще, сколько о недостаточно квалифицированной работе администраторов безопасности Citicorp.)

   Все это вызывает необходимость  пересмотра подходов к обеспечению  информационной безопасности банка.  Подключаясь к Internet, следует заново провести анализ риска и составить план защиты информационной системы, а также конкретный план ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации.

   На первый взгляд, для  нашей страны проблема информационной  безопасности банка не столь  остра: до Internet ли нам, если в большинстве банков стоят системы второго поколения, работающие в технологии “файл-сервер”. К сожалению, и у нас уже зарегистрированы “компьютерные кражи”. Положение осложняется двумя проблемами. Прежде всего, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности. Они обладают высокой квалификацией в своей области, но в большинстве своем слабо знакомы с информационными технологиями. Специалистов по информационной безопасности в нашей стране вообще крайне мало, потому что массовой эта профессия становится только сейчас.

Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы  не анализируется и не обеспечивается всерьез. Очень мало где имеется  тот необходимый набор организационных  документов (анализ риска, план защиты и план ликвидации последствий), о  котором говорилось выше. Более того, безопасность информации сплошь и рядом  просто не может быть обеспечена в  рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней.

   Не так давно мне довелось  читать лекцию об основах информационной  безопасности на одном из семинаров  для руководителей управлений  автоматизации коммерческих банков. На вопрос: “Знаете ли вы, сколько  человек имеют право входить  в помещение, где находится  сервер базы данных Вашего  банка?”, утвердительно ответило  не более 40% присутствующих.  Пофамильно назвать тех, кто имеет такое право, смогли лишь 20%. В остальных банках доступ в это помещение не ограничен и никак не контролируется. Что говорить о доступе к рабочим станциям!

   Что касается автоматизированных  банковских систем, то наиболее  распространенные системы второго-третьего  поколений состоят из набора  автономных программных модулей,  запускаемых из командной строки DOS на рабочих станциях. Оператор  имеет возможность в любой  момент выйти в DOS из такого  программного модуля. Предполагается, что это необходимо для перехода  в другой программный модуль, но фактически в такой системе  не существует никаких способов  не только исключить запуск  оператором любых других программ (от безобидной игры до программы,  модифицирующей данные банковских  счетов), но и проконтролировать  действия оператора. Стоит заметить, что в ряде систем этих поколений,  в том числе разработанных  весьма уважаемыми отечественными  фирмами и продаваемых сотнями,  файлы счетов не шифруются, т.  е. с данными в них можно ознакомиться простейшими общедоступными средствами. Многие разработчики ограничивают средства администрирования безопасности штатными средствами сетевой операционной системы: вошел в сеть -- делай, что хочешь.

   Положение меняется, но слишком  медленно. Даже во многих новых  разработках вопросам безопасности  уделяется явно недостаточное  внимание. На выставке “Банк и  Офис -- 95” была представлена автоматизированная  банковская система с архитектурой  клиент—сервер, причем рабочие  станции функционируют под Windows. В этой системе очень своеобразно решен вход оператора в программу: в диалоговом окне запрашивается пароль, а затем предъявляется на выбор список фамилий всех операторов, имеющих право работать с данным модулем!  Таких примеров можно привести еще много.

   Тем не менее, наши  банки уделяют информационным  технологиям много внимания, и  достаточно быстро усваивают  новое. Сеть Internet и финансовые продукты, связанные с ней, войдут в жизнь банков России быстрее, чем это предполагают скептики, поэтому уже сейчас необходимо озаботиться вопросами информационной безопасности на другом, более профессиональном уровне, чем это делалось до сих пор.

Некоторые рекомендации:

1. Необходим комплексный подход  к информационной безопасности.

Информационная безопасность должна рассматриваться как составная  часть общей безопасности банка—причем как важная и неотъемлемая ее часть.  Разработка концепции информационной безопасности должна обязательно проходить при участии управления безопасности банка. В этой концепции следует предусматривать не только меры, связанные с информационными технологиями (криптозащиту, программные средства администрирования прав пользователей, их идентификации и аутентификации, “брандмауэры” для защиты входов—выходов сети и т. п.), но и меры административного и технического характера, включая жесткие процедуры контроля физического доступа к автоматизированной банковской системе, а также средства синхронизации и обмена данными между модулем администрирования безопасности банковской системы и системой охраны.

2. Необходимо участие сотрудников  управления безопасности на этапе  выбора—приобретения—разработки  автоматизированной банковской  системы. Это участие не должно  сводиться к проверке фирмы-поставщика. Управление безопасности должно  контролировать наличие надлежащих  средств разграничения доступа  к информации в приобретаемой  системе.

   К сожалению, ныне действующие  системы сертификации в области  банковских систем скорее вводят  в заблуждение, чем помогают  выбрать средства защиты информации. Сертифицировать использование  таких средств имеет право  ФАПСИ, однако правом своим  этот орган пользуется весьма  своеобразно. Так, один высокопоставленный  сотрудник ЦБ РФ (попросивший  не называть его имени) рассказал,  что ЦБ потратил довольно много  времени и денег на получение  сертификата на одно из средств криптозащиты информации (кстати, разработанное одной из организаций, входящих в ФАПСИ). Почти сразу же после получения сертификата он был отозван: ЦБ было предложено вновь пройти сертификацию уже с новым средством криптозащиты—разработанным той же организацией из ФАПСИ.

   Возникает вопрос, а что  же на самом деле подтверждает  сертификат? Если, как предполагает  наивный пользователь, он подтверждает  пригодность средства криптозащиты  выполнению этой функции, то  отзыв сертификата говорит о  том, что при первоначальном  сертифицировании ФАПСИ что-то упустило, а затем обнаружило дефект. Следовательно, данный продукт не обеспечивает криптозащиты и не обеспечивал ее с самого начала.

   Если же, как предполагают  пользователи более искушенные, ФАПСИ отозвало сертификат не  из-за огрехов в первом продукте, то значение сертификации этим  агентством чего бы то ни  было сводится к нулю. Действительно, раз “некие” коммерческие соображения преобладают над объективной оценкой продукта, то кто может гарантировать, что в первый раз сертификат был выдан благодаря высокому качеству продукта, а не по тем же “неким” соображениям?