ГОСТ Р ИСО/МЭК 27033-3—2014
К требованиям информационной безопасности относятся требования, связанные с:
- конфиденциальностью (особенно в отношении оказания электронных банковских услуг);
- аутентификацией;
- целостностью;
- безопасностью передачи данных там. где конечный пользователь ожидает обеспечения услу
гами бизнеса для защиты маршрута транзакции между пользователем и поставщиком. Сопротивле
ние изощренным атакам (таким как. атаки «человек посредине» или «человек в браузере»):
- доступностью, которая является важным аспектом для поставщика электронного бизнеса.
Характеристики информационной безопасности включают;
- безопасность, которая «гарантирована» только на оконечной платформе’\ обычно находящей
ся под управлением организации, что обеспечивает благоприятные условия для реализации мер и
средств контроля и управления, а также поддержки хорошего уровня безопасности платформы;
- безопасность на клиентской платформе, часто это персональный компьютер, как правило, мо
жет быть недостаточной. Меры и средства контроля и управления реализовать в такой среде труд
нее. поэтому клиентская платформа будет представлять значительный риск (без «условий для без
опасного соединения» - набора требований в договоре, которые может быть трудно навязать в таких
условиях).
В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам про
ектирования безопасности, а также меры и средства контроля и управления для уменьшения сопут
ствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.
9.2 Угрозы безопасности
Угрозы безопасности, связанные с услугами бизнес-клиент, следующие:
- вирусные атаки и внедрение вредоносных программ;
- использование вредоносных программ приводит к проникновению в системы, ведущему к сбо
ям или несанкционированному доступу к конфиденциальной информации.
- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносны
ми программами, что приведет к заражению вирусом и установке троянов;
- неавторизованный доступ:
- неавторизованный доступ к серверным базам данных (например, атаки, распространяемые на
языке SQL2’, и межсайтовые скриптовыеJl атаки).
- сбор учетных записей, что дает возможность, в зависимости от того, как веб-приложение реа
гирует на попытки аутентифицировать пользователя, получить достоверную информацию об актив
ности пользователя. Автоматизированные сценарии часто используются для сбора действительных
идентификаторов и имен учетных записей пользователей,
- кража идентификационных данных в режиме онлайн, используя успешные атаки социальной
инженерии (с использованием мошеннических методов), например, атаки фишинга и атаки на основе
DNS. соединяющие пользователей с мошенническим веб-сервером, который выглядит легитимным,
но не является таковым.
- несанкционированный доступ к системам или сетям со злым умыслом, чтобы скопировать, из
менить или уничтожить данные.
- незаконная расшифровка содержания приводит к нарушению авторских прав и краже содер
жания;
- атаки «отказ в обслуживании»;
- подделка информационного наполнения транзакции (сообщения не доходят до получателя или
данные изменяются при передаче).
Платформа - общий термин, обозначающий программную, аппаратную и (или) сетевую среду, в (на) ко
торой выполняется или строится, например, прикладная система (приложение).
2) SQL (Stnjctured Query Language) - язык структурированных запросов.
а> Скрипт - небольшая программа или макрос, исполняемые приложением или операционной системой при
конкретных обстоятельствах, например, при регистрации пользователя в системе. Скрипты часто хранятся в ви де
текстовых файлов, которые интерпретируются во время исполнения.
12