Проведен анализ проблем информационной безопасности для электронных услуг. Перечислены основные направления развития угроз, среди которых выделена ключевая – угроза безопасности пользовательских атрибутов доступа к электронным услугам. Произведено сравнение существующих подходов для обеспечения безопасности пользовательских атрибутов доступа к электронным услугам, выявлены недостатки существующих решений, связанные с низким уровнем безопасности и структурой пользовательского интерфейса. Обоснована актуальность повышения уровня информационной безопасности для услуг банковского сектора, электронной коммерции и государственных электронных услуг. Предложено решение в виде программно-аппаратного комплекса, выполняющего функции управления пользовательскими атрибутами доступа на базе облачных технологий, позволяющего повысить уровень информационной безопасности и эргономики при доступе к электронным услугам.
The review of the information security issues for e-services is presented. Main trends were taken into account, among them key threat was identified – user identity and credentials security. Technical approaches for credentials protection were compared, as a result revealed the shortcomings of existing solutions associated with a low level of safety and user interface. The urgency of increasing the level of information security services for banking, e-commerce and e-government services was illustrated. Proposed solution in the form of hardware and software to perform the functions for managing user identity and credentials based on cloud technology to increase the level of information security and ergonomics for access to electronic services.
1. Липаев В.В. Надежность программных средств. – М.: Синтег, 1998. – 232 с.
2. Мегафон – Мобильное мошенничество в сфере дистанционного банковского обслуживания [Электронный ресурс]. — Режим доступа: http://ru-megafon.livejournal.com/216017.html (дата обращения: 01.08.2013).
3. Мошенничество с использованием пластиковых карт / Хабрахабр [Электронный ресурс]. — Режим доступа: http://habrahabr.ru/post/109361/ (дата обращения: 01.08.2013).
4. Обнаружена программа, предоставляющая незаконный доступ к счетам [Электронный ресурс]. — Режим доступа: http://www.plusworld.ru/daily/obnarujena-programma-pohischauschaya-kluchi-u-polzovateley-internet-bankinga-cherez-sms/ (дата обращения: 01.08.2013).
5. CNews: Универсальная электронная карта [Электронный ресурс]. — Режим доступа: http://uec.cnews.ru/reviews/index.shtml?2013/07/28/536874 (дата обращения: 01.08.2013).
6. Category: OWASP Top Ten Project – OWASP [Электронный ресурс] – URL: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013 (дата обращения: 01.08.2013).
7. Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model. August 1999. Version 2.1 CCIMB-99-031.
8. Common Criteria for Information Technology Security Evaluation Part 2 : Security functional requirements Version 2.0 May 1998 CCIB-98-027.
9. Common Criteria for Information Technology Security Evaluation Part 3 : Security assurance requirements Version 2.0 May 1998 CCIB-98-028125.
10. Common Methodology for Information Technology Security Evaluation Part 2: Evaluation Methodology. Version 1.0 August 1999 CEM-99/045.
11. Cichonski P., Millar T., Grance T., Scarfone K. NIST Special Publication 800-61 Revision 2, Computer Security Incidents Handling Guide URL: http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf (дата обращения: 01.08.2013).
12. Top 10 2010-Main – OWASP [Электронный ресурс] – URL: https://www.owasp.org/index.php/Top_10_2010-Main (дата обращения: 01.08.2013).
13. Web Application Security | Web Hacking | Trustwave [Электронный ресурс] – URL: https://www.trustwave.com/trustednews/2011/03/web-hacking-incident-database-report-reveals-increase-in-ddos-attacks#sthash.5lvLg2KW.dyz2zauj.dpbs (дата обращения: 01.08.2013).