Выдержка из работы:
Введение:
Интернет представляет собой сообщество сетей, не имеющих единого цен-трализованного управления и средств обеспечения и контроля качества серви-сов (услуг). Каждая из участвующих или подключенных сетей является единст-венно ответственной за обеспечение всех доступных сервисов и, в частности, безопасности. Провайдеры услуг, частные операторы сетей, пользователи и по-ставщики оборудования и программных средств все вместе ответственны за обеспечение функционирования системы. Это в свою очередь накладывает своеобразный отпечаток на систему стандартизации в Интернет и обеспечение безопасности в Интернет, а также внедрение и использование сервисов безо-пасности.
Поскольку стандартизация - довольно дорогостоящая процедура, в на-стоящее время в области Интернет, телекоммуникаций и сетевых информаци-онных технологий (СИТ) используются стандарты, разработанные и выпущен-ные различными органами стандартизации, как международными (ISO, IEEE, ICTT, ECMA, IETF ISOC), так и национальными (ANSI), а также так называе-мые стандарты де-факто, внедряемые крупными производителями и группами производителей в составе продукции или работающих систем.
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности банков мно-гократно возросло. Еще 30 лет назад объектом информационных атак были данные о клиентах банков или о деятельности самого банка. Такие атаки были редкими, круг их заказчиков был очень узок, а ущерб мог быть значительным лишь в особых случаях. В настоящее время в результате повсеместного распро-странения электронных платежей, пластиковых карт, компьютерных сетей объ-ектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов.
Концепция безопасности коммерческого банка (кредитной организации) представляет собой научно обоснованную систему взглядов на определение ос-новных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкурен-ции.........
Глава 3:
Главной целью системы безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита за-конных интересов кредитной организации от противоправных посягательств, недопущения хищения финансовых и материально-технических средств, унич-тожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информати-зации.
Другими целями концепции являются:
формирование целостного представления о системе безопасности банка и взаимоувязка различных элементов этой системы, определение путей реа-лизации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;
повышение имиджа банка и роста прибыли за счет обеспечения высокого качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Задачами системы безопасности являются:
прогнозирование и своевременное выявление и устранение угроз безопас-ности персоналу и ресурсам банка; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;
отнесение информации к категории ограниченного доступа (государствен-ной, служебной, банковской и коммерческой тайнам, иной конфиденци-альной информации, подлежащей защите от неправомерного использова-ния), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;
создание механизма и условий оперативного реагирования на угрозы безо-пасности и проявление негативных тенденций в функционировании банка;
эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасно-сти на достижение стратегических целей банка.
Угрозы информационным ресурсам проявляются в виде:
разглашения конфиденциальной информации;
утечки конфиденциальной информации через технические средства обес-печения производственной деятельности различного характера и исполне-ния;
несанкционированного доступа к охраняемым сведениям со стороны кон-курентных организаций и преступных формирований.
Осуществление угроз информационным ресурсам может быть произведе-но:
..........
Заключение:
Архитектуру безопасности Интернет, которая первоначально разрабатыва-лась для сетей общего пользования Министерства обороны США DOD/Internet, достаточно полно описывается группой стандартов Интернет RFC.
Важной особенностью этой архитектуры является то, что она в своей осно-ве ставит цель обеспечения безопасности между конечными системами, кото-рые для коммуникаций используют неконтроллируемую (недоверительную) се-тевую среду. Это приводит к приоритетному использованию сервисов безопас-ности на уровнях выше сетевого и транспортного, т.е. преобладающе на при-кладном уровне. Это в свою очередь позволяет использовать многие сервисы и соответствующие программные продукты с другими группами сетевых прото-колов и различными сетевыми операционными системами.
Выделяются такие основные направления стандартизации в архитектуре безопасности Интернет:
Обеспечение безопасности сетевой инфраструктуры, которая соответству-ет Сетевому и Транспортному уровням, что включает архитектуру безопасно-сти IP-протокола и обеспечение безопасности протоколов управления TCP/IP- сетями.
Обеспечение безопасности обмена информацией между конечными систе-мами, приложениями или пользователями, куда входят протоколы обеспечения безопасных коммуникаций между сервисами Прикладного уровня (электронная почта, служба директорий, сервисы удаленного доступа, World Wide Web (WWW)).
В архитектуре безопасности DOD/Internet дополнительно ставятся требо-вания обеспечения доверительности конечных компьютерных систем и конфи-денциальности коммуникаций в сети.
Все сервисы безопасности реализуются, как дополнение к основным про-токолам, и могут вводится по желанию пользователей в зависимости от тре-буемого уровня безопасности или доверительности к промежуточным систе-мам. Это объясняется необходимостью использования дополнительных сетевых и вычислительных ресурсов для обеспечения сервисов безопасности, что связа-но с дополнительными расходами или падением производительности сетевых приложений.
Существует прямое соответствие между Сервисами безопасности модели ВОС в соответсвтии с ISO 7498-2 и сервисами безопасности Интернет (Конфи-денциальность (Confidentiality), Аутентификация (Authentication), Целостность (Integrity), Контроль доступа (Access Control), Причастность ("неотпирательст-во", Nonrepudiation))
..........