Форум ''Интернет и Право''
30 Ноября 2024, 14:34:39 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 [3]   Вниз
  Печать  
Автор Тема: ЦБ РФ о наполнении веб-сайтов  (Прочитано 12598 раз)
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #20 : 24 Февраля 2004, 14:04:11 »

Вы сказали что в Российский банк деньги не понесете, ну а например в Citibank понесете? Для справки у них при голосовом доступе к состоянию СКС требовалось назвать пин-код карточки. Грустный

   Помнится Володя Левин из Санкт-Петербурга со своею "братвой" в середине 90-х годов прошлого века "сходили" туда и "унесли" со счетов клиентов названного банка ни много ни мало 10 млрд. 762 тыс. 521 $ Не хило, правда! Шокированный

   Так что Urix как никогда прав: Деньги ни в наши отечественные, ни в их зарубежные банки вносить нельзя - их можно лишь с успехом "выносить" от туда!
При этом, как правило, это чужие деньги.
Записан
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #21 : 24 Февраля 2004, 14:17:40 »

3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи). Вследствие этого особенности организации операционных WEB-сайтов обусловлены необходимостью обеспечения безопасности совершения операций в рамках ДБО и банковских автоматизированных систем КО. Настоящие рекомендации направлены на снижение рисков, связанных с использованием современных компьютерных информационных технологий в банковской деятельности. При этом порядок регистрации клиентов, способ и порядок доступа к операционному WEB-сайту, а также перечень применяемых средств обеспечения информационной безопасности определяются КО самостоятельно.

   В полностью открытой системе, коей является "Интернет", невозможно организовать даже относительно гарантированную защиту данных. Тем более, что каждый при этом будет определять собственный порядок такой защиты.

   Относительно гарантированная защита данных возможна только в локальных системах, в которых выполняется комплекс единых мер, методов и средств защиты информации и все "играют" по единым правилам.
   В качестве примера можно привести "Спринт-Теленет", S.W.I.F.T. и ряд других международных специализированных финансовых систем, используемых для электронных платёжно-расчётных операций.
Записан
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #22 : 24 Февраля 2004, 14:32:36 »

"Угроза таится" во всем документе в целом, поскольку в нем все поставлено с ног на голову. Документ является полностью противоречащим положениям о защите информации. Если это, конечно, не первоапрельская шутка.

Основное требование обеспечения информационной безопасности - это создание условий, при которых третьи лица не могут получить доступ к носителям с защищаемой информацией или не могут интерпретировать полученную информацию. Это возможно обеспечить применением защищенных каналов связи, для которых третьи лица не могут получить доступ к носителю информации (подключение к каналу связи) и/или применение системы кодирования, которая не позволит третьим лицам в течении заранее обусловленного времени прочитать информацию и нанести ущерб обменивающимся информацией сторонам.

Подвожу итоги: акцент в этом документе сделан на защите, основанной на "умолчании", в то же время установлен необязательный характер для тех методов, которые в данном случае должны иметь не только обязательный, но и еще регламентированный рахактер и постоянно контролируемый службой безопасности банка. Сети, созданные по такой идеологии, взламываются, обычно в течении 20-25 минут. Минут пять уйдет на сокрытие следов. Следовательно, стойкость таких сетей - не более получаса-часа с момента ее подключения к общедоступным каналам связи. А еще учитывая, что внутри все собрано на продукции MicroSoft, нельзя дать никаких гарантий, что эти сети уже не взломаны и в них не внедрены "подарки".

   Полностью согласен! Материалы уголовных дел это подтверждают! Однако, пока наши доморощенные "киберворы" грабили только "буржуев", имеющих указанные средства электронных расчётов. Видимо с принятием этого "Руководящего документа ЦБР" достанется и нашим клиентам - будущим потенциальным потерпевшим.

   Кто-то сильно пролоббировал этот документ, чтобы в очередной раз "кинуть на большие бабки" клиентов наших банков или отмыть очередные партии "чёрного нала".
Записан
Urix
Гость


E-mail
« Ответ #23 : 24 Февраля 2004, 15:01:12 »

Цитировать
В полностью открытой системе, коей является "Интернет", невозможно организовать даже относительно гарантированную защиту данных. Тем более, что каждый при этом будет определять собственный порядок такой защиты.
CyberCop! Осторожнее на поворотах! Заносит!
Есть немало примеров того, как надо правильно организовывать защищенную передачу информацию по открытым каналам связи. Например, до недавнего времени дипломаты всех стран со своими правительствами общались по телеграфу или диппочтой. А телеграф - это незащищенная система связи. Но зашифрованные сообщения еще надо суметь прочитать и ПРАВИЛЬНО интерпретировать. А шифровать для таких систем лучше всего с помощью шифроблокнота Видженера или его модификаций.

В качестве "разминки для мозгов" могу предложить следующую задачу. Как известно из теоремы Шеннона, чем больший объем информации зашифрованный одним ключем и методом шифрования подвергается анализу, тем легче выявить закономерности и "взломать" шифр. Предложите алгоритм защиты информации в базах данных, когда стойкость метода возрастает с ростом объема зашифрованных данных.
P.S. Противоречия теореме Шеннона в этом решении нет, просто решение основано на некоторых свойствах информации, которые в теореме Шеннона не были учтены. Что-то вроде того, что теорема Шеннона справедлива для семантически неортогональной информации, для функционально связанной, для зависимой информации.
« Последнее редактирование: 24 Февраля 2004, 17:47:52 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #24 : 24 Февраля 2004, 15:40:35 »

2CyberCop:
Мдя нет слов... Грустный Мне остается только сказать что я полностью согласен с тем что вам ответил Urix(пост #23 от 24.02.2004 в 14:01:12 ).
« Последнее редактирование: 24 Февраля 2004, 15:42:34 от Yeoman » Записан
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #25 : 24 Февраля 2004, 22:27:48 »

2CyberCop:
Мдя нет слов... Грустный Мне остается только сказать что я полностью согласен с тем что вам ответил Urix(пост #23 от 24.02.2004 в 14:01:12 ).

"САМЫЙ ЗАЩИЩЁННЫЙ КОМПЬЮТЕР - ЭТО ВЫКЛЮЧЕННЫЙ КОМПЬЮТЕР!"

    А организовать требуемый уровень защиты данных в предлагаемой ЦБР "системе электронных взаиморасчётов" в соответствии с Руководящими Документами Гостехкомиссии России и иными нормативно-правовыми актами всё равно не получится! Показывает язык

P.S! См.: Специальные требования и рекомендации по защите информации от иностранных технических разведок и от утечки по техническим каналам.
Записан
Urix
Гость


E-mail
« Ответ #26 : 25 Февраля 2004, 00:13:43 »

Цитировать
А организовать требуемый уровень защиты данных в предлагаемой ЦБР "системе электронных взаиморасчётов" в соответствии с Руководящими Документами Гостехкомиссии России и иными нормативно-правовыми актами всё равно не получится!
CyberCop! Именно о том: что данный документ не позволяет организовать правильно (в защищенном режиме) работу с клиентами речь и идет. На Вас "наехали" за то, что Вы попытались распространить дурь из этого документа на правильные методы орагнизации защищенной работы по передаче, обмену информацией.
Записан
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #27 : 26 Февраля 2004, 22:20:13 »

Именно о том: что данный документ не позволяет организовать правильно (в защищенном режиме) работу с клиентами речь и идет.
Так ведь и я о том же! Грустный
На Вас "наехали" за то, что Вы попытались распространить дурь из этого документа на правильные методы орагнизации защищенной работы по передаче, обмену информацией.
  Я просто наглядно показал "предмет лицом" или "как оно будет" (как его поймут другие). Веселый
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #28 : 27 Февраля 2004, 13:32:25 »

"САМЫЙ ЗАЩИЩЁННЫЙ КОМПЬЮТЕР - ЭТО ВЫКЛЮЧЕННЫЙ КОМПЬЮТЕР!"

Однако, не всегда. Например, постоянно работающий и мониторящийся сервер труднее украсть, чем выключенный.  Подмигивающий
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: 1 2 [3]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines