Биржи в экономике отрасли - (диплом)

На сегодняшний день практически нет возможности привлекать к работе регуляторов по стандартизации участников рынка, информационные и аналитические агентства, консультантов. А ведь они не только могли бы принимать участие в разработках стандартов, они могли бы также официально спонсировать эти разработки путем уплаты членских взносов в Консорциум и временным командированием своих сотрудников в Консорциум для выполнения определенных работ. Им было бы выгодно делать это - потому что Консорциум позволил бы им иметь рыночное преимущество перед не членами Консорциума с одной стороны, не теряя при этом общественного имиджа своей деятельности. Достигается это тем, что результаты работы Консорциума являются открытыми и бесплатными, но открываются через месяц после окончания разработки. Процесс работы и промежуточные результаты могут быть доступны только членам Консорциума. Таким образом, члены Консорциума готовы оплачивать дополнительную экспертизу, которые они получают от участия в рабочих группах, а также ускорение доступа к рыночным стандартам, которое они получают по сравнению с не членами Консорциума.

Подобный механизм объединения ресурсов конкурирующих на рынке организаций для выработки общих стандартов в развитых странах получил наименование "industry consortium" и весьма широко распространился. Обычно такие отраслевые консорциумы представляют собой одну из форм саморегулирования на рынках, которые не контролируются государством. В приложении. В можно ознакомится с основными положениями стандарта

    2. 4. Безопасность инфосистемы

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретные политические, материальные и стоимостные выражения. На этом фоне все более остроактуальный характер приобретает в последние десятилетия и, особенно в настоящее время, задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.

Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания, правового режима в государстве и реальных усилий его по обеспечению защиты информации.

Обеспечение информационной безопасности (ИБ) компьютерных систем различного назначения продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной. На рисунке 10 представлен прогноз роста числа инцидентов в области ИБ, имеющих тяжелые последствия в крупных организациях по данным [8]. Основных причин две: Возрастающая роль информационных технологий в поддержке бизнес процессов, как следствие возрастающие требования к ИБ автоматизированных систем. Цена ошибок и сбоев информационных систем возрастает.

Возрастающая сложность информационных процессов. Это предъявляет повышенные требования к квалификации персонала, ответственного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уровень ИБ при допустимом уровне затрат, становится все более сложной задачей.

Первая причина носит объективный характер, ей можно противопоставить только способность организации обеспечивать возрастающие требования в области ИБ. Для нейтрализации воздействия второй причины необходимо отслеживать соответствие квалификации персонала, ответственного за обеспечение ИБ и стоящих задач, получить объективную оценку состояния подсистемы ИБ.

Рисунок 10Процент организаций, имевших серьёзные инциденты в области информационной безопасности.

Для решения этих задач создаются организации аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым требованиям, оценки системы управления ИБ, повышения квалификации специалистов в области ИБ. Статус таких организаций может быть как государственный (при национальных институтах стандартов) так и независимых международных организаций.

Идея проведения аудита ИБ и аттестации информационной системы на соответствие некоторым требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов ИБ.

В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ, некоторые рассмотрены в. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные [9].

Построение системы управления ИБ в соответствии с этими стандартами предполагает наличие (рисунок 11):

    явно декларированных целей в области безопасности;

эффективной системы менеджмента ИБ, имеющей совокупность показателей для оценки ИБ в соответствии с декларированными целями, инструментарий для обеспечения ИБ и оценки текущего ее состояния;

некоторой методики проведения аудита ИБ, позволяющей объективно оценить положение дел в области ИБ.

Рисунок 11Построение системы управления ИБ в соответствии с национальными и международными стандартами.

Технология проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Гостехкомиссии России 1992-1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации. Это, конечно, эволюционный путь развития, но на него в настоящее время специалистами возлагаются большие надежды: считается, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инцидентов в области ИБ, имеющих тяжелые последствия.

Рисунок 12 Ущерб по видам нападений (количество нападений в год). Рисунок 13Виды выявленных нападений обнаруженные в течение 1998 года (средний размер убытков, тыс. $)

Рисунок 14 Субъективная оценка вероятных источников нападений. Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической

составляющей некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне

(корректность существующей программы обеспечения ИБ и практика ее выполнения). Иллюстрацией этого положения являются рисунки 12,

13 и 14, построенные на основании данных Института компьютерной безопасности (Computer Security Institute, CSI) [8].

В рамках предприятия предложим следующую схему разработки, внедрения и проверки системы безопасности (рисунок 15):

    Определение надёжности источников
    Я
    Кодирование информации на канальном уровне
    Я
    Настройка информационного шлюза предприятия
    Я
    Создание внутренней инфраструктуры защиты информации
    Я
    Аудит системы безопасности и ввод её в действие
    Я
    Постоянное совершенствование системы безопасности
    Рисунок 15 Схема внедрения системы безопасности
    2. 4. 1. Определение надёжности источников

В связи с увеличением количества сайтов в сети Интернет, предлагающих русскоязычным инвесторам возможность торговли акциями американских и иных иностранных эмитентов с использованием сети Интернет, ФКЦБ России предупреждает российских инвесторов о том, что инвестирование денежных средств на иностранных фондовых рынках с использованием сети Интернет сопряжено с риском быть вовлеченным в различного рода мошеннические схемы. Данная информация подготовлена с использованием результатов анализа типичных мошеннических действий, выявленных Комиссией по ценным бумагам и биржам США: Схема "увеличить и сбросить" (Pump&dump) - вид рыночной манипуляции, заключающийся в извлечении прибыли за счет продажи ценных бумаг, спрос на которые был искусственно сформирован. Манипулятор, называясь инсайдером  или осведомленным лицом и распространяя зачастую ложную информацию об эмитенте, создает повышенный спрос на определенные ценные бумаги, способствует повышению их цены, затем осуществляет продажу ценных бумаг по завышенным ценам. После совершения подобных манипуляций цена на рынке возвращается к своему исходному уровню, а рядовые инвесторы оказываются в убытке. Данный прием используется в условиях недостатка или отсутствия информации о компании, ценные бумаги которой не часто торгуются.

Схема финансовой пирамиды (Pyramid Schemes)  - при инвестировании денежных средств с использованием Интернет-технологии эта схема полностью повторяет классическую финансовую пирамиду: инвестор получает прибыль исключительно за счет вовлечения в игру новых инвесторов.

Схема "надежного" вложения капитала (The "Risk-free" Fraud) - через Интернет распространяются инвестиционные предложения с низким уровнем риска и высоким уровнем прибыли. Как правило, это предложения  несуществующих, но очень популярных проектов, таких как вложения в высоколиквидные ценные бумаги банков, телекоммуникационных компаний, в сочетании с безусловными гарантиями возврата вложенного капитала  и  высокими прибылями.

"Экзотические" предложения (Exotic Offerings) - например, распространение через Интернет предложения акций коста-риканской кокосовой плантации, имеющей контракт с сетью американских универмагов, с банковской гарантией получения через непродолжительный промежуток времени основной суммы инвестиций плюс 15% прибыли.

Мошенничества с использованием  банков (Prime Bank Fraud) - заключаются в том, что мошенники, прикрываясь именами и гарантиями известных и респектабельных финансовых учреждений, предлагают инвесторам вложение денег в ничем не обеспеченные обязательства с нереальными размерами доходности. Навязывание информации (Touting) - часто инвесторов вводят в заблуждение недостоверной информацией об эмитенте, преувеличенными перспективами роста компаний, ценные бумаги которых предлагаются. Недостоверная информация может быть распространена среди широкого круга пользователей сети самыми разнообразными способами:   размещена на информационных сайтах, электронных досках объявлений, в инвестиционных форумах, разослана  по электронной почте по конкретным адресам.

Анонимность, которую предоставляет своим пользователям сеть Интернет, возможность охвата большой аудитории, высокая скорость и гораздо более низкая стоимость распространения информации по сравнению с традиционными средствами делают Интернет наиболее удобным инструментом для мошеннических действий. Таким образом, во избежание потерь средств  при инвестировании на иностранных фондовых рынках инвестору следует придерживаться следующих правил: 1. Осознанно подходить к выбору объекта инвестиций.

Перед тем, как покупать ценные бумаги эмитентов, инвестору необходимо ознакомиться с профилем деятельности компании-эмитента, провести историческую оценку движения акций, динамики финансовых показателей эмитента, ознакомиться с последними годовыми и квартальными отчетами, получить информацию о последних корпоративных событиях. В этом смысле полезным источником информации для инвесторов будет сайт раскрытия информации Комиссии по ценным бумагам и биржам США EDGAR(www. sec. gov/edgarhp. htm), а также частные сайты (www. financialweb. com, www. companysleuth. com, www. hoovers. com, www. financewise. com, www. bloomberg. com). Сравнить кредитный рейтинг интересующего эмитента с рейтингом других эмитентов можно, используя информацию, размещенную на сайтах рейтинговых агентств Moody`s и Standard & Poors (www. moodys. com, www. standardpoor. com). 2. Обращаться к услугам  брокера, к которому есть доверие.

Помимо выбора объекта инвестиций инвестор должен определиться в выборе брокерской компании, через которую он намеревается совершать  операции. Для того, чтобы избежать возможных недоразумений и убытков, перед открытием счета в брокерской компании целесообразно:

а) выяснить, имеется ли у компании лицензия Комиссии по ценным бумагам и биржам США - Securities and Exchange Commission (SEC) на осуществление деятельности на рынке ценных бумаг(www. sec. gov);

б) узнать о дисциплинарной истории брокерской компании и нарушениях законодательства о ценных бумагах, выявленных у брокерской компании Комиссией по ценным бумагам и биржам США и Национальной ассоциацией дилеров ценных бумаг - National Association of Securities Dealers (NASD). Такую информацию можно найти на сайтахwww. sec. gov, www. nasd. com, www. nasdr. com.

в) узнать, является ли брокерская компания членом Корпорации по защите интересов инвесторов в ценные бумаги - Securities Investor Protection Corporation (SIPC), организации, занимающейся разработкой компенсационных схем и выплатой средств инвесторам в случае  неплатежеспособности брокерской компании(www. sipc. org).

3. Тщательно обдумывать различного рода "заманчивые" предложения, обещания высоких гарантированных прибылей, избегать контактов с организациями, которые не дают четких и подробных разъяснений в отношении своих инвестиционных механизмов. Брокеры, профессионально работающие на рынке и заботящиеся о своей репутации, заинтересованы в каждом клиенте и не откажут в предоставлении дополнительной информации о своей компании.

4. Проявлять должную осторожность и осмотрительность при предоставлении информации о паролях доступа к своему инвестиционному счету, номерах банковских счетов, номерах кредитных карт третьим лицам, за исключением случаев, когда есть полная уверенность в том, что получатель информации действует на законных основаниях и ее раскрытие действительно необходимо для совершения сделки. 5. Использовать лимитные приказы во избежание покупки или продажи акций по ценам выше или ниже желаемой. Лимитный приказ на покупку или продажу ценных бумаг предполагает наличие заранее определенной инвестором цены исполнения. В случае размещения рыночного приказа у инвестора отсутствует контроль за ценой исполнения приказа. Брокер может злоупотребить незнанием инвестора относительно цен, сложившихся на рынке, что может привести к непредвиденным финансовым потерям  для инвестора.

    2. 4. 2. Кодирование информации на канальном уровне

К важнейшим задачам поддержания безопасности относятся идентификация пользователей, соблюдение конфиденциальности сообщений, управление доступом к секретным документам. Устанавливая контакт, стороны, обменивающиеся электронными сообщениями или документами, должны быть полностью уверены в "личности" партнера и твердо знать, что их документы тайна для третьих лиц. Сегодня уже существуют индустриальные решения этих задач, центральная роль в них принадлежит криптографии.

После того как шифрование с открытыми ключами приобрело популярность, стала вырисовываться потребность в цифровых сертификатах. Сертификат и соответствующий ему секретный ключ позволяют идентифицировать их владельца. Универсальное применение сертификатов обеспечивает стандарт Международного Телекоммуникационного Союза Х. 509, который является базовым и поддерживается целым рядом протоколов безопасности [10].

Стандарт Х. 509 задает формат цифрового сертификата. Основными атрибутами сертификата являются имя и идентификатор субъекта, информация об открытом ключе субъекта, имя, идентификатор и цифровая подпись уполномоченного по выдаче сертификатов, серийный номер, версия и срок действия сертификата, информация об алгоритме подписи и др. Важно, что цифровой сертификат включает в себя цифровую подпись на основе секретного ключа доверенного центра (Certificate Authority, CA). В настоящее время не существует общепризнанного русского аналога термина, который берет начало в области шифрования с открытыми ключами, Certificate Authority. Это понятие получило множество совершенно разных названий: служба сертификации, уполномоченный по выпуску сертификатов, распорядитель сертификатов, орган выдачи сертификатов, доверенный центр, центр сертификации, сертификатов и т. д. Подлинность сертификата можно проверить с помощью открытого ключа CA.

Однако одного наличия сертификата недостаточно. Защищенный обмен сообщениями, надежная идентификация и электронная коммерция невозможны без инфраструктуры с открытыми ключами (Public Key Infrastucture, PKI) [10]. PKI служит не только для создания цифровых сертификатов, но и для хранения огромного количества сертификатов и ключей, обеспечения резервирования и восстановления ключей, взаимной сертификации, ведения списков аннулированных сертификатов и автоматического обновления ключей и сертификатов после истечения срока их действия. Продукты и услуги, входящие в инфраструктуру с открытыми ключами, предлагаются на рынке целым рядом компаний. Большинство компаний, начинающих использовать технологию PKI, из двух путей выбирают один: они либо создают собственный орган выдачи сертификатов, либо предоставляют это сделать другим компаниям, специализирующимся на услугах PKI, например, VeriSign и Digital Signature Trust. Как правило, создание собственного доверенного центра предполагает выработку и обнародование правил организации сертификации, установку серверов управления сертификатами и серверов каталогов. В последнее время в развитых странах банки, университеты, правительственные учреждения начали выдавать сотрудникам цифровые сертификаты, которые позволяют отдельным лицам шифровать сообщения электронной почты и электронные документы, а также снабжать их цифровой подписью. По прогнозам специалистов, цифровые сертификаты как способ электронной идентификации получат распространение в корпоративных сетях в течение ближайших двух лет. Со временем создание и распространение цифровых сертификатов должно стать одним из самых важных процессов защиты корпоративных информационных ресурсов, организации безопасного электронного документооборота и защищенного обмена сообщениями. 2. 4. 3. Настройка информационного шлюза предприятия

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17