Биржи в экономике отрасли - (диплом)

Перед тем, как покупать ценные бумаги эмитентов, инвестору необходимо ознакомиться с профилем деятельности компании-эмитента, провести историческую оценку движения акций, динамики финансовых показателей эмитента, ознакомиться с последними годовыми и квартальными отчетами, получить информацию о последних корпоративных событиях. В этом смысле полезным источником информации для инвесторов будет сайт раскрытия информации Комиссии по ценным бумагам и биржам США EDGAR(www. sec. gov/edgarhp. htm), а также частные сайты (www. financialweb. com, www. companysleuth. com, www. hoovers. com, www. financewise. com, www. bloomberg. com). Сравнить кредитный рейтинг интересующего эмитента с рейтингом других эмитентов можно, используя информацию, размещенную на сайтах рейтинговых агентств Moody`s и Standard & Poors (www. moodys. com, www. standardpoor. com). 2. Обращаться к услугам  брокера, к которому есть доверие.

Помимо выбора объекта инвестиций инвестор должен определиться в выборе брокерской компании, через которую он намеревается совершать  операции. Для того, чтобы избежать возможных недоразумений и убытков, перед открытием счета в брокерской компании целесообразно:

а) выяснить, имеется ли у компании лицензия Комиссии по ценным бумагам и биржам США - Securities and Exchange Commission (SEC) на осуществление деятельности на рынке ценных бумаг(www. sec. gov);

б) узнать о дисциплинарной истории брокерской компании и нарушениях законодательства о ценных бумагах, выявленных у брокерской компании Комиссией по ценным бумагам и биржам США и Национальной ассоциацией дилеров ценных бумаг - National Association of Securities Dealers (NASD). Такую информацию можно найти на сайтахwww. sec. gov, www. nasd. com, www. nasdr. com.

в) узнать, является ли брокерская компания членом Корпорации по защите интересов инвесторов в ценные бумаги - Securities Investor Protection Corporation (SIPC), организации, занимающейся разработкой компенсационных схем и выплатой средств инвесторам в случае  неплатежеспособности брокерской компании(www. sipc. org).

3. Тщательно обдумывать различного рода "заманчивые" предложения, обещания высоких гарантированных прибылей, избегать контактов с организациями, которые не дают четких и подробных разъяснений в отношении своих инвестиционных механизмов. Брокеры, профессионально работающие на рынке и заботящиеся о своей репутации, заинтересованы в каждом клиенте и не откажут в предоставлении дополнительной информации о своей компании.

4. Проявлять должную осторожность и осмотрительность при предоставлении информации о паролях доступа к своему инвестиционному счету, номерах банковских счетов, номерах кредитных карт третьим лицам, за исключением случаев, когда есть полная уверенность в том, что получатель информации действует на законных основаниях и ее раскрытие действительно необходимо для совершения сделки. 5. Использовать лимитные приказы во избежание покупки или продажи акций по ценам выше или ниже желаемой. Лимитный приказ на покупку или продажу ценных бумаг предполагает наличие заранее определенной инвестором цены исполнения. В случае размещения рыночного приказа у инвестора отсутствует контроль за ценой исполнения приказа. Брокер может злоупотребить незнанием инвестора относительно цен, сложившихся на рынке, что может привести к непредвиденным финансовым потерям  для инвестора.

    2. 4. 2. Кодирование информации на канальном уровне

К важнейшим задачам поддержания безопасности относятся идентификация пользователей, соблюдение конфиденциальности сообщений, управление доступом к секретным документам. Устанавливая контакт, стороны, обменивающиеся электронными сообщениями или документами, должны быть полностью уверены в "личности" партнера и твердо знать, что их документы тайна для третьих лиц. Сегодня уже существуют индустриальные решения этих задач, центральная роль в них принадлежит криптографии.

После того как шифрование с открытыми ключами приобрело популярность, стала вырисовываться потребность в цифровых сертификатах. Сертификат и соответствующий ему секретный ключ позволяют идентифицировать их владельца. Универсальное применение сертификатов обеспечивает стандарт Международного Телекоммуникационного Союза Х. 509, который является базовым и поддерживается целым рядом протоколов безопасности [10].

Стандарт Х. 509 задает формат цифрового сертификата. Основными атрибутами сертификата являются имя и идентификатор субъекта, информация об открытом ключе субъекта, имя, идентификатор и цифровая подпись уполномоченного по выдаче сертификатов, серийный номер, версия и срок действия сертификата, информация об алгоритме подписи и др. Важно, что цифровой сертификат включает в себя цифровую подпись на основе секретного ключа доверенного центра (Certificate Authority, CA). В настоящее время не существует общепризнанного русского аналога термина, который берет начало в области шифрования с открытыми ключами, Certificate Authority. Это понятие получило множество совершенно разных названий: служба сертификации, уполномоченный по выпуску сертификатов, распорядитель сертификатов, орган выдачи сертификатов, доверенный центр, центр сертификации, сертификатов и т. д. Подлинность сертификата можно проверить с помощью открытого ключа CA.

Однако одного наличия сертификата недостаточно. Защищенный обмен сообщениями, надежная идентификация и электронная коммерция невозможны без инфраструктуры с открытыми ключами (Public Key Infrastucture, PKI) [10]. PKI служит не только для создания цифровых сертификатов, но и для хранения огромного количества сертификатов и ключей, обеспечения резервирования и восстановления ключей, взаимной сертификации, ведения списков аннулированных сертификатов и автоматического обновления ключей и сертификатов после истечения срока их действия. Продукты и услуги, входящие в инфраструктуру с открытыми ключами, предлагаются на рынке целым рядом компаний. Большинство компаний, начинающих использовать технологию PKI, из двух путей выбирают один: они либо создают собственный орган выдачи сертификатов, либо предоставляют это сделать другим компаниям, специализирующимся на услугах PKI, например, VeriSign и Digital Signature Trust. Как правило, создание собственного доверенного центра предполагает выработку и обнародование правил организации сертификации, установку серверов управления сертификатами и серверов каталогов. В последнее время в развитых странах банки, университеты, правительственные учреждения начали выдавать сотрудникам цифровые сертификаты, которые позволяют отдельным лицам шифровать сообщения электронной почты и электронные документы, а также снабжать их цифровой подписью. По прогнозам специалистов, цифровые сертификаты как способ электронной идентификации получат распространение в корпоративных сетях в течение ближайших двух лет. Со временем создание и распространение цифровых сертификатов должно стать одним из самых важных процессов защиты корпоративных информационных ресурсов, организации безопасного электронного документооборота и защищенного обмена сообщениями. 2. 4. 3. Настройка информационного шлюза предприятия

Под информационным шлюзом предприятия понимается объект, который связывает внутреннюю инфосистему предприятия с внешним миром. В современном предприятии, как уже говорилось выше, большая часть информации поступает по глобальной сети Интернет, соответственно грамотная настройка Интернет шлюза (более известного под названием FireWall) позволяет следующее:

на 95% исключить несанкционированное проникновение внешних неавторизованных пользователей к конфиденциальным инфоресурсам предприятия;

по возможности снизить затраты на восстановления части электронной инфосистемы фирмы, разрушенной в результате хакерской атаки;

предотвратить внутреннее "воровство” информации, путём отслеживания нежелательных контактов сотрудников по глобальной сети;

вести подробный журнал активности сотрудников предприятия в сети, т. е. фискальные функции;

при необходимости (в криминальных случаях) просматривать почту пользователей Для внедрение на предприятие защитного шлюза необходимо провести следующие мероприятия:

Определение основных и побочных источников сети. Обеспечить максимальную пропускную способность для информации с основных источников (режим максимального приоритета) и режим особо сильного контроля для всех остальных источников;

создание подробного журнала адресов входящей информации с мониторингом интенсивности вхождения внешних пользователей во внутреннюю инфосистему предприятия;

    мониторинг исходящих сообщений;

2. 4. 4. Создание внутренней инфраструктуры защиты информации Главными целью внутренней инфраструктуры защиты информации является предотвращение утечки конфиденциальной внутрефирменной информации за пределы фирмы, а также защита накопленной внутренней информации от разрушения. Первый вопрос отчасти решает FireWall (см. предыдущую главу), однако это не панацея. Главную часть инфраструктуры составляет система аудита информационной безопасности. Ниже рассматриваются особенности современных зарубежных стандартов в области аудита и сертификации, введенных в действие в 1998 г, а также действующие в настоящее время Российские руководящие документы в области сертификации и аттестации. Некоторые специалисты [8] предсказывают наступление в скором времени бума добровольной сертификации, полагая, что это позволит резко улучшить положение в области ИБ работающих систем.

Основанием для такого вывода являются данные, представленные на рисунке 16. Британский стандарт со спецификациями системы управления ИБ [11], являющийся основой для проведения аудита ИБ, вышел в 1998 году. Всего за год существования стандарта и, соответственно, начала действия системы сертификации на его основе, около 3% фирм уже прошли сертификацию, около трети имеют твердые планы сделать это в ближайшее время и находятся на различных стадиях подготовки к сертификации. Более трети собирает дополнительную информацию, рассматривает такую возможность. Сознательно не собираются проводить сертификацию только 21% фирм.

Основной причиной добровольной сертификации является желание Рисунок 16 Готовность фирм Великобритании к сертификации.

повысить уровень ИБ, то есть большинство руководителей уверено в действенности подобного мероприятия.

Следует отметить, что приведенные цифры отражают положение дел в Великобритании. В этой стране имеется длительный опыт (с 1993 года) добровольного применения стандарта по управлению информационной безопасностью [9], который в настоящее время применяет более 60 % организаций. Добровольная сертификация на соответствие этим стандартам логичное продолжение установившейся практики.

В других странах желающих пройти добровольную сертификацию меньше, но тенденция та же: независимый аудит ИБ начинают рассматривать как весьма действенное средство обеспечения режима ИБ. Кроме национальных институтов стандартов, работы по выполнению аудита выполняет ряд независимых международных организаций, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation ISACA) [11].

Ниже рассматриваются основные особенности проведения аудита в соответствии с Британским стандартом [11] и стандартами ассоциации аудита и управления информационными системами.

Организация, решившая провести аудит ИБ, должна провести подготовительные мероприятия, привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После этого приглашается аудитор. Процедура аудита рассматривается ниже, ее трудоемкость для крупных организаций может достигать 25-30 человеко-дней работы аудитора. Сертификаты выдаются после проведения аудита подсистемы ИБ на соответствие стандартам BS7799 [12] и действительны в течение 3 лет.

Задачи аудита состоит в том, что аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами. В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации.

    2. 4. 5. Подготовка организации к аудиту

Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:

    политику безопасности;
    границы защищаемой системы;
    оценки рисков;
    управление рисками;
    описание инструментария управления ИБ;

ведомость соответствия документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ. Внутренняя проверка соответствия системы управления ИБ требованиям стандарта состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения?

На основе ответов составляется ведомость соответствия. Основная цель этого документа дать аргументированное обоснование имеющим место отклонениям от требований стандарта. После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить. 2. 4. 6. Российские нормативные документы

В 1993-1996 гг. была опубликована серия законов, постановлений правительства и нормативных документов Гостехкомиссии [13] в которых рассмотрены вопросы сертификации и аттестации по требованиям ИБ.

Вначале рассмотрим основные определения, использованные в этих документах. Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России [13].

Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.

Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [14].

Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке. Организационная структура систем сертификации и аттестации приводится на рисунке 17, функции определены в РД Гостехкомиссии [14].

Методы управления ИБ интенсивно развиваются. Основные направления развития связаны с совершенствованием:

методологии выбора и формализации целей в области безопасности; инструментария (методик) для построения подсистемы ИБ в соответствии с выбранными целями;

технологий аудита, позволяющих объективно оценить положение дел в области ИБ. Эти составляющие неразрывно связаны и должны соответствовать друг другу. Использование современных методов управления ИБ позволяет поддерживать режим ИБ, соответствующий любым корректно сформулированным целям. Обязательной составной частью таких методов является действенная система аудита ИБ. До недавнего времени лишь сравнительно небольшая доля организаций добровольно проходила аудит ИБ. Сейчас положение меняется. Приведение подсистем ИБ в соответствие с требованиями современных стандартов и добровольная сертификация на соответствие этим требованиям рассматриваются большинством руководителей как основной путь улучшения положения дел в области безопасности. Система сертификации

    Система аттестации
    Я
    Я

Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18