следующая тема »

[CyberCop]

Вы сказали что в Российский банк деньги не понесете, ну а например в Citibank понесете? Для справки у них при голосовом доступе к состоянию СКС требовалось назвать пин-код карточки.

   Помнится Володя Левин из Санкт-Петербурга со своею "братвой" в середине 90-х годов прошлого века "сходили" туда и "унесли" со счетов клиентов названного банка ни много ни мало 10 млрд. 762 тыс. 521 $ Не хило, правда!

   Так что Urix как никогда прав: Деньги ни в наши отечественные, ни в их зарубежные банки вносить нельзя - их можно лишь с успехом "выносить" от туда!
При этом, как правило, это чужие деньги.

[CyberCop]

3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи). Вследствие этого особенности организации операционных WEB-сайтов обусловлены необходимостью обеспечения безопасности совершения операций в рамках ДБО и банковских автоматизированных систем КО. Настоящие рекомендации направлены на снижение рисков, связанных с использованием современных компьютерных информационных технологий в банковской деятельности. При этом порядок регистрации клиентов, способ и порядок доступа к операционному WEB-сайту, а также перечень применяемых средств обеспечения информационной безопасности определяются КО самостоятельно.

   В полностью открытой системе, коей является "Интернет", невозможно организовать даже относительно гарантированную защиту данных. Тем более, что каждый при этом будет определять собственный порядок такой защиты.

   Относительно гарантированная защита данных возможна только в локальных системах, в которых выполняется комплекс единых мер, методов и средств защиты информации и все "играют" по единым правилам.
   В качестве примера можно привести "Спринт-Теленет", S.W.I.F.T. и ряд других международных специализированных финансовых систем, используемых для электронных платёжно-расчётных операций.

[CyberCop]

"Угроза таится" во всем документе в целом, поскольку в нем все поставлено с ног на голову. Документ является полностью противоречащим положениям о защите информации. Если это, конечно, не первоапрельская шутка.

Основное требование обеспечения информационной безопасности - это создание условий, при которых третьи лица не могут получить доступ к носителям с защищаемой информацией или не могут интерпретировать полученную информацию. Это возможно обеспечить применением защищенных каналов связи, для которых третьи лица не могут получить доступ к носителю информации (подключение к каналу связи) и/или применение системы кодирования, которая не позволит третьим лицам в течении заранее обусловленного времени прочитать информацию и нанести ущерб обменивающимся информацией сторонам.

Подвожу итоги: акцент в этом документе сделан на защите, основанной на "умолчании", в то же время установлен необязательный характер для тех методов, которые в данном случае должны иметь не только обязательный, но и еще регламентированный рахактер и постоянно контролируемый службой безопасности банка. Сети, созданные по такой идеологии, взламываются, обычно в течении 20-25 минут. Минут пять уйдет на сокрытие следов. Следовательно, стойкость таких сетей - не более получаса-часа с момента ее подключения к общедоступным каналам связи. А еще учитывая, что внутри все собрано на продукции MicroSoft, нельзя дать никаких гарантий, что эти сети уже не взломаны и в них не внедрены "подарки".

   Полностью согласен! Материалы уголовных дел это подтверждают! Однако, пока наши доморощенные "киберворы" грабили только "буржуев", имеющих указанные средства электронных расчётов. Видимо с принятием этого "Руководящего документа ЦБР" достанется и нашим клиентам - будущим потенциальным потерпевшим.

   Кто-то сильно пролоббировал этот документ, чтобы в очередной раз "кинуть на большие бабки" клиентов наших банков или отмыть очередные партии "чёрного нала".

[Urix]

В полностью открытой системе, коей является "Интернет", невозможно организовать даже относительно гарантированную защиту данных. Тем более, что каждый при этом будет определять собственный порядок такой защиты.

CyberCop! Осторожнее на поворотах! Заносит!
Есть немало примеров того, как надо правильно организовывать защищенную передачу информацию по открытым каналам связи. Например, до недавнего времени дипломаты всех стран со своими правительствами общались по телеграфу или диппочтой. А телеграф - это незащищенная система связи. Но зашифрованные сообщения еще надо суметь прочитать и ПРАВИЛЬНО интерпретировать. А шифровать для таких систем лучше всего с помощью шифроблокнота Видженера или его модификаций.

В качестве "разминки для мозгов" могу предложить следующую задачу. Как известно из теоремы Шеннона, чем больший объем информации зашифрованный одним ключем и методом шифрования подвергается анализу, тем легче выявить закономерности и "взломать" шифр. Предложите алгоритм защиты информации в базах данных, когда стойкость метода возрастает с ростом объема зашифрованных данных.
P.S. Противоречия теореме Шеннона в этом решении нет, просто решение основано на некоторых свойствах информации, которые в теореме Шеннона не были учтены. Что-то вроде того, что теорема Шеннона справедлива для семантически неортогональной информации, для функционально связанной, для зависимой информации.

[Yeoman]

2CyberCop:
Мдя нет слов... Мне остается только сказать что я полностью согласен с тем что вам ответил Urix(пост #23 от 24.02.2004 в 14:01:12 ).

[CyberCop]

2CyberCop:
Мдя нет слов... Мне остается только сказать что я полностью согласен с тем что вам ответил Urix(пост #23 от 24.02.2004 в 14:01:12 ).

"САМЫЙ ЗАЩИЩЁННЫЙ КОМПЬЮТЕР - ЭТО ВЫКЛЮЧЕННЫЙ КОМПЬЮТЕР!"

    А организовать требуемый уровень защиты данных в предлагаемой ЦБР "системе электронных взаиморасчётов" в соответствии с Руководящими Документами Гостехкомиссии России и иными нормативно-правовыми актами всё равно не получится!

P.S! См.: Специальные требования и рекомендации по защите информации от иностранных технических разведок и от утечки по техническим каналам.

[Urix]

А организовать требуемый уровень защиты данных в предлагаемой ЦБР "системе электронных взаиморасчётов" в соответствии с Руководящими Документами Гостехкомиссии России и иными нормативно-правовыми актами всё равно не получится!

CyberCop! Именно о том: что данный документ не позволяет организовать правильно (в защищенном режиме) работу с клиентами речь и идет. На Вас "наехали" за то, что Вы попытались распространить дурь из этого документа на правильные методы орагнизации защищенной работы по передаче, обмену информацией.

[CyberCop]

Именно о том: что данный документ не позволяет организовать правильно (в защищенном режиме) работу с клиентами речь и идет.

Так ведь и я о том же!

На Вас "наехали" за то, что Вы попытались распространить дурь из этого документа на правильные методы орагнизации защищенной работы по передаче, обмену информацией.

  Я просто наглядно показал "предмет лицом" или "как оно будет" (как его поймут другие).

[Николай Николаевич Федотов]

"САМЫЙ ЗАЩИЩЁННЫЙ КОМПЬЮТЕР - ЭТО ВЫКЛЮЧЕННЫЙ КОМПЬЮТЕР!"

Однако, не всегда. Например, постоянно работающий и мониторящийся сервер труднее украсть, чем выключенный.