Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Защита информации, виртуальные сети VPN. Технология ViPNet. #83 от 23.01.2003


Информационный Канал Subscribe.Ru


Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

23 января 2003. Выпуск #83

(С) ОАО "Инфотекс"


Здравствуйте, уважаемые подписчики!


Информационная безопасность всегда была и остается затратной частью бюджета компании. Трудно, а иногда и совсем невозможно оценить возврат на инвестиции в безопасность. Руководство, при планировании бюджета, хочет получить от начальников ИТ-подразделений ясное обоснование затрат на внедрение новых технологий и средств защиты. Зачем покупать новые межсетевые экраны? Зачем модернизировать систему VPN? Что это даст? Насколько повысится общая защищенность ресурсов компании? Как это оценить? Не всегда начальникам ИТ-подразделений удается подобрать необходимую аргументацию и зарезервировать в бюджете статьи на информационную безопасность. Таким образом, создание и модернизация системы обеспечения информационной безопасности компании становится проблемой, лежащей исключительно в финансовой плоскости.

В сегодняшнем выпуске рассылки предлагаем Вам статью
Вадима Исаева "Как обосновать затраты на информационную безопасность?"

Основная цель этой статьи - предложить варианты решения этой проблемы. Как правило "корень зла" заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Содержание выпуска:


"Как обосновать затраты на информационную безопасность?"

 


Новости и события в области защиты информации

 

Новости компании Инфотекс
 
"Как обосновать затраты на информационную безопасность?"



Уровни зрелости компании
Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

0 уровень:
- ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
- Финансирование отсутствует;
- ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1 уровень:
- ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
- Финансирование ведется в рамках общего ИТ-бюджета;
- ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).

2 уровень:
- ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
- Финансирование ведется в рамках отдельного бюджета;
- ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3 уровень:
- ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
- Финансирование ведется в рамках отдельного бюджета;
- ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.

Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Ко второй категории относятся штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.


Анализ риска
В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 последовательных этапов:
1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);
2. Категорирование ресурсов;
3. Построение модели злоумышленника;
4. Идентификация, классификация и анализ угроз и уязвимостей;
5. Оценка риска;
6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:
- Информационные ресурсы (конфиденциальная и критичная информация компании);
- Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
- Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
- Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

параметр/значение
критичный
существенный
незначительный
строго конфиденциальный
7
6
5
конфиденциальный
6
5
4
для внутреннего пользования
5
4
3
открытый
4
3
2

Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:
- Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
- Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
- Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
- Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
- Время действия (постоянно, в определенные временные интервалы);
- Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.

Угрозы классифицируются по следующим признакам:
- наименование угрозы;
- тип злоумышленника;
- средства реализации;
- используемые уязвимости;
- совершаемые действия;
- частота реализации.

Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух параметров:
- Значимость ресурса;
- Частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.


Накопление статистики по инцидентам
Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новых или изменения существующих технологий защиты является определение параметра "частота реализации угрозы". Единственный путь получения объективных значений этого параметра - накопление статистики по инцидентам. Накопленная статистика, например, за год позволит определить количество реализаций угроз (определенного типа) на ресурс (определенного типа). Работу по накоплению статистики целесообразно вести в рамках процедуры обработки инцидентов.

Процедура обработки инцидентов состоит из следующих процессов:
- идентификация нарушения;
- фиксация нарушения;
- принятие решения об обработке инцидента;
- регистрация инцидента;
- назначение исполнителей;
- сопровождение обработки инцидента;
- фиксация действий и результатов расследования;
- определение ущерба;
- закрытие процесса.

Накопление статистики по инцидентам помимо получения объективных данных, необходимых для обоснования вложений в ИБ, позволяет оценить эффективность функционирования СОИБ. Накопленная за определенный временной интервал статистика позволяет отследить общую тенденцию в сторону уменьшения или увеличения количества инцидентов.


Заключение
Таким образом, процесс внедрения и модернизации СОИБ будет принят и одобрен руководством, если:
- компания имеет утвержденную руководством программу развития СОИБ;
- применяется процедура анализ риска;
- существуют процедуры обработки и учета инцидентов нарушения ИБ.


Исаев Вадим, эксперт по информационной безопасности (опубликовано на ISACA.ru).

 
Новости и события в области защиты информации

ФБР: Ирак начал кибервойну против Пентагона
По данным доклада ФБР, первые атаки на три миллиона компьютеров Пентагона в связи с подготовкой военной операции в Ираке уже начались. Пока речь идет о создании новых вирусов, которые могут временно парализовать сеть, или "зондов", изучающих уязвимость сети. В случае начала второй войны в Персидском заливе, ситуация может оказаться "более опасной", считают в ФБР.

"Если мы войдем в Ирак, мы знаем, что группы врагов, находящиеся в США, нанесут удары по некоторым критическим узлам, - заявил Джон Бумгарнер, председатель группы Cyberwatch, которая занимается наблюдением за деятельностью хакеров. Ирак, вероятно, сам не может начать компьютерную войну, но у него есть деньги, чтобы кого-то финансировать".

В своем докладе ФБР не указывает число предпринимавшихся атак и не сообщает о произведенных в связи с этими атаками арестах, пишет La Stampa (перевод на сайте Inopressa.ru). Неясно также, были ли эти действия предприняты по приказу Багдада, членами "Аль-Каиды", или просто "идеологически мотивированными" личностями, группами противников войны в Персидском заливе.

"Я бы не стал увязывать эти действия с каким-либо государством", - говорит представитель департамента национальной безопасности Гордон Джондро. - Ирак в большей степени заинтересован в приобретении оружия массового поражения, чем в ведении кибервойны".

В то время как, по мнению некоторых, Соединенные Штаты, перефразируя Саддама, должны готовиться к отражению мощной кибервойны, Пентагон официально не демонстрирует особой обеспокоенности. В прошлом году, например, из 14500 попыток нанести удар или взломать сеть, лишь 70 были успешными. "Дело в том, что нас атакуют каждый день, и мы защищаемся", - говорит генерал Дж. Дэвид Брайян, руководитель подразделения Joint Task Force-Computer Network Operations.

После того как в 1998 году два калифорнийских подростка осуществили успешную атаку, названную Solar Sunrise, а год спустя группа, связанная с Российской Академией наук, провела вторую атаку Moonlight Maze, Пентагон ввел в действие эффективные контрмеры, в том числе систему, которая автоматически сообщает о любой попытке взлома сети. Если ЦРУ и Агентство национальной безопасности все больше средств вкладывают в электронную войну, то их объектами являются такие наиболее продвинутые страны, как Китай и Россия. Но в течение последних недель уровень активности значительно возрос, что является следствием растущей напряженности, связанной с иракским кризисом. Из "потенциального" этот кризис может превратиться к очень реальный.

"Деятельность хакеров продолжится еще 90 дней и будет активизироваться с ростом давления на Ирак", - продолжает ФБР в своем докладе.

Эксперты отмечают, что, в то время как американские вооруженные силы все больше зависят от электроники, последствия кибервойны могут оказаться разрушительными. "Даже не слишком масштабная атака может нанести серьезный ущерб", - предупреждает Михаэль Ватис, бывший директор Cybercrime Unit ФБР. "Мы выиграли Вторую мировую войну, потому что в нашем распоряжении был самый лучший в мире промышленный потенциал", - продолжает Михаэль Дэвидсон, бывший армейский генерал, а в настоящее время - консультант по электронной безопасности. "Сегодня мы живем в мире, основанном на информации, и это делает нас ужасно уязвимыми".
(источник - http://www.securitylab.ru/, опубликовано 21.01.2003)


"Лаборатория Касперского" опубликовала обзор вирусной активности за 2002 г.
В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов ("Sircam", "Hybris", "Magistr", "CIH", "BadtransII", "Thus" и др.). Об этом сообщается в Обзоре вирусной активности за 2002 г., опубликованном "Лабораторией Касперского".

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь "Klez". Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и с тех пор не выходила из списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях "десятки". Однако в течение года свирепствовали лишь две из десяти существующих разновидностей этого червя - "Klez.H" (обнаружен 17.04.2002) и "Klez.E" (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны "Klez".

Десятка самых распространенных вирусов в 2002 г.

1. I-Worm.Klez (61,22%)
2. I-Worm.Lentin (20,52%)
3. I-Worm.Tanatos (2,09%)
4. I-Worm.BadtransII (1,31%)
5. Macro.Word97.Thus (1,19%)
6. I-Worm.Hybris (0,60%)
7. I-Worm.Bridex (0,32%)
8. I-Worm.Magistr (0,30%)
9. Win95.CIH (0,27%)
10. I-Worm.Sircam (0,24%)

По масштабам и продолжительности эпидемия "Klez" не имела себе равных. Ближайшим конкурентом "Klez" оказался интернет-червь "Lentin". Несмотря на трехкратное отставание он имеет все шансы в следующем году завоевать высшую ступень пьедестала. Данные последних трех месяцев свидетельствуют, что "Lentin" уже превосходит "Klez" по количеству вызванных инцидентов.

Показатели остальных конкурентов этого дуэта выглядят скромно. Недавний возмутитель спокойствия червь "Tanatos" (также известен как Bugbear) проявил свои вирулентные свойства только в октябре. После этого он благополучно слился с остальными лидерами вирусных "хит-парадов" практически у оси абсциссы.
(источник - http://www.cnews.ru/, опубликовано 20.01.2003)


Старые жёсткие диски - кладезь конфиденциальной информации
Двое студентов Массачусетского технологического института опубликовали потрясающие данные об информации, которую им удалось извлечь из купленных жёстких дисков б/у. Среди восстановленных данных обнаружились, помимо всего прочего, пять тысяч номеров кредитных карт.

Студенты через онлайн приобрели 158 дисков за сумму менее тысячи долларов. Исследование их содержимого дало потрясающие результаты: на винчестерах обнаружились номера кредиток, персональные медицинские данные, корпоративная финансовая информация, а также несколько гигабайт личных email-сообщений и фривольных картинок, которые легко восстановились, а в некоторых случаях и вовсе оказались не удалены перед продажей.

Исследование показало, что рынок бывших в употреблении НЖМД наводнён приводами, хранящими в себе данные, которые могут использоваться в неблаговидных целях. По словам студентов, 3-4 диска из 10 случайно купленных на вторичном рынке содержат конфиденциальную информацию. Объёмы дисков растут, новые приводы каждый год сменяют старые, отправляющиеся на барахолку. По данным Dataquest, в 2002 г. были заменены более 150 миллионов НЖМД, а в предшествующем 2001 г. - 130 миллионов.

Из 158 исследованных дисков 129 находились в рабочем состоянии. На 28 из них частная информация перед продажей не удалялась совсем либо носила следы неудачных попыток удаления. Один изученный диск содержал протоколы финансовых транзакций за год. Этот привод ранее был установлен в автоматическом информаторе в Иллинойсе. На многих дисках утилитой undelete легко восстанавливалась папка "Мои документы". 60% процентов исследованных приводов были отформатированы. Но даже форматирование диска не даёт гарантии уничтожения данных: команда Windows "format" не производит перезаписи блоков на пластинах винчестера, а лишь читает из них, удостоверяясь, что блоки работоспособны. Кстати, 5000 номеров кредиток были извлечены именно с отформатированного диска. Только 12 из рассматривавшихся приводов были полностью освобождены от данных.

Всё это подвигло исследователей написать работу "Восстановление данных: изучение традиций ухода за диском" (Remembrance of Data Passed: A Study of Disk Sanitation), которая будет опубликована в следующем номере журнале IEEE Security and Privacy.
(источник - http://www.compulenta.ru/, опубликовано 20.01.2003)


Первая BIOS с поддержкой технологии обеспечения безопасности Palladium
В начале января компания American Megatrends Inc. (AMI) представила первую в мире BIOS, поддерживающую спецификации TCPA 1.0. Эти спецификации были разработаны организацией Trusted Computing Platform Alliance (TCPA) для обеспечения компьютерной безопасности на аппаратном уровне. В TCPA входят многие крупные производители компьютерного оборудования, такие как IBM, Intel и Hewlett-Packard. Одним из инициаторов создания аппаратной системы защиты информации с кодовым названием Palladium выступила Microsoft.

Подсистема TCPA состоит из двух основных компонентов. Аппаратный модуль Trusted Platform Module (TPM) представляет собой специальный чип, устанавливающийся на системной плате компьютера и содержащий информацию о системе. Второй компонент (именно он включен в новую версию AMIBIOS) представляет собой специальную микропрограмму, которая проверяет целостность вычислительной системы и подтверждает ее безопасность. Ключевая информация о компьютере защищается криптографическими методами и передается из TPM базовой системе ввода-вывода (BIOS), а затем операционной системе.

При включении компьютера происходит следующее. Вначале загрузочный блок BIOS обращается к модулю TPM, чтобы удостовериться в подлинности самой BIOS. Далее базовая система ввода-вывода проверяет целостность загрузчика и ядра операционной системы. В конце концов, BIOS передает операционной системе специальные идентификаторы, подтверждающие целостность и безопасность всей платформы.

Поставки новой версии базовой системы ввода-вывода, получившей название AMIBIOS8, уже начались. Она совместима с микросхемами TPM производства ATMEL, Infineon и National Semiconductor. Впрочем, наиболее распространенные операционные системы для персональных компьютеров пока не поддерживают средств аппаратной защиты. В частности, Microsoft обещает реализовать поддержку Palladium не ранее 2004 г.
(источник - http://www.compulenta.ru/, опубликовано 15.01.2003)


Десять самых распространенных и опасных уязвимостей в ПО для интернета
Некоммерческая организация Open Web Application Security Project (OWASP) представила список десяти наиболее опасных, но, в то же время, распространенных дыр в программном обеспечении для интернета и веб-сервисах. По мнению OWASP, на эти уязвимости стоит обратить самое пристальное внимание как государственным, так и коммерческим организациям, желающим обезопасить себя и своих клиентов от хакеров. Все указанные уязвимости достаточно широко распространены, а использовать их под силу даже малоквалифицированным хакерам, поскольку соответствующие средства взлома легко найти в Сети.

На первом месте списка OWASP находится уязвимость, связанная с отсутствием проверки параметров в http-запросах. В результате, используя особые параметры, хакер может получить доступ к ресурсам сервера через веб-приложение. На втором месте находится несоблюдение политик управления доступом к ресурсам. Это позволяет злоумышленнику использовать закрытые ресурсы или получать доступ к учетным записям других пользователей.

На третьей позиции рейтинга значится несоблюдение правил управления учетными записями и пользовательскими сессиями. Эта уязвимость связана, прежде всего, с отсутствием надежной защиты пользовательских данных (логина, пароля) и идентификаторов сессий, таких как файлы cookie. Это позволяет хакерам перехватывать данные других пользователей и пользоваться системой от их имени.

На четвертой позиции находятся уязвимости, связанные с ошибками в механизме Cross-Site Scripting (CSS или XSS), используемом для перенаправления пользователя на другие сайты. В этом случае атака может привести к получению хакером доступа к пользовательским данным или взлому локального компьютера.

Под пятым пунктом упоминаются ошибки переполнения буфера, имеющиеся во многих программных продуктах - от скриптов и драйверов до операционных систем и серверного ПО. Отсутствие проверки некоторых параметров может приводить к переполнению буфера, а хакер при этом захватывает управление компьютером. Сообщения об обнаружении ошибок переполнения появляются чрезвычайно часто.

На шестой позиции находятся дыры, связанные с отсутствием надлежащего контроля за параметрами, передаваемыми компьютерами при доступе к внешним ресурсам. Если хакер сумеет ввести в эти параметры свои команды, последствия могут быть самыми печальными. Далее специалисты OWASP отмечают уязвимости, связанные с неправильной реализацией обработки ошибок в программном обеспечении. В некоторых случаях при возникновении ошибок хакер может получить информацию о системе или даже доступ к ней.

На восьмой позиции находится неудачное использование криптографии. В OWASP отмечают, что часто инструменты для шифрования информации имеют собственные дыры, из-за чего применение сильной криптографии теряет всякий смысл. На девятом месте находятся уязвимости, связанные с отсутствием надлежащей защиты подсистем удаленного администрирования. И хотя наличие веб-интерфейса удобно, поскольку позволяет администратору управлять системой с любого подключенного к Сети компьютера, при отсутствии надежной защиты то же самое может делать и хакер. Хорошим тому примером является взлом сайта Американской ассоциации звукозаписывающих компаний (RIAA) в конце декабря прошлого года.

Наконец, на десятом месте среди уязвимостей OWASP помещает неправильное конфигурирование серверного ПО, многие настройки которого серьезно влияют на безопасности системы. С полным отчетом OWASP можно ознакомиться здесь.
(источник - http://www.compulenta.ru/, опубликовано 14.01.2003)

Новости компании Инфотекс


"R-Style Softlab" и "Инфотекс" вместе защищают информацию банков и их клиентов
Компании R-Style Softlab и Инфотекс объявляют об успешном завершении совместного проекта, в ходе которого в комплекс реализации электронных банковских услуг InterBank была встроена система криптографической защиты информации (СКЗИ), созданная на базе сертифицированного Федеральным агентством правительственной связи и информации криптоядра "Домен-К". Теперь кредитные учреждения, использующие InterBank для удаленного обслуживания клиентов, получили возможность максимально широкого выбора разнообразных СКЗИ, в том числе класса VPN (Virtual Private Network).

Программный комплекс InterBank, разработанный компанией R-Style Softlab, позволяет кредитному учреждению предоставлять своим клиентам дистанционные услуги через различные каналы связи (электронную почту, Интернет, телефон, мобильные средства связи). Чтобы банки могли полностью обезопасить передаваемые сведения от несанкционированного доступа, "R-Style Softlab" реализовала в InterBank поддержку разработанных компанией Инфотекс программных средств, с помощью которых формируются ключи шифрования и электронной цифровой подписи, осуществляется кодирование и имитационная защита данных, что обеспечивает целостность и подлинность информации. Используя совместное решение двух разработчиков ПО, банк получает возможность "убить двух зайцев" сразу: с одной стороны, организовать защищенный канал документооборота - как внутрикорпоративный, так и между головным офисом и своими филиалами, а с другой, предоставить клиентам надежную VPN-защиту всего потока информации, передаваемой по открытым каналам связи.

Компании R-Style Softlab и Инфотекс предусмотрели два варианта решения при установке программного комплекса InterBank у клиента банка:
"облегченного", состоящего только из библиотек и позволяющего использовать функции шифрования и электронной подписи;
профессионального, представляющего собой полный комплект продукта "ViPNet Клиент" и включающего функции защиты всего передаваемого трафика и персональный сетевой экран (Firewall).

При этом "облегченный" вариант впоследствии может быть расширен до профессионального. Данный подход позволяет банку использовать дифференцированный подход при обслуживании разных категорий своих клиентов.

Весьма важным фактором является наличие у криптографического ядра "Домен-К" сертификатов ФАПСИ (№№ СФ/114-0470, СФ/124-0471 от 01.06.2001). Применение кредитными учреждениями сертифицированных СКЗИ позволит им не только получать маркетинговое преимущество при работе с клиентами, но и способствовать укреплению правовой базы в сфере безопасности банковского бизнеса.

В дальнейшем компании R-Style Softlab и Инфотекс планируют укреплять и развивать свое сотрудничество с тем, чтобы предоставлять кредитным учреждениям полнофункциональное решение "из одних рук".


Компания Инфотекс объявляет о получении новых лицензий ФАПСИ, дающих компани право на проведение работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну и оказание услуг по защите государственной тайны

Лицензия ФАПСИ №ЛФ/07-3478 от 30.12.02, действительна до 30.12.07, на право осуществлять проведение работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну:

1. Проектирование защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций.
2. Производство защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций.

Лицензия ФАПСИ №ЛФ/07-3479 от 30.12.02, действительна до 30.12.07, на право осуществлять проведение работ, связанных с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны:

1. Техническое обслуживание (монтаж, наладка, установка) шифровальных средств.
2. Распространение (продажа, передача) шифровальных средств.
3. Техническое обслуживание (монтаж, наладка, установка, сервисное обслуживание, ремонт) защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций.
4. Распространение (продажа, передача) защищенных с использованием шифровальных средств информационных сиситем, систем и комплексов телекоммуникаций.


Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.

 
 
С уважением, ведущий рассылки Олег Карпинский.

Решения ViPNet - надежные средства для построения VPN


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное