Международный стандарт ISO/IEC 29128-1 для защиты электронной торговли и банковских онлайн-транзакций

Новый международный стандарт ISO/IEC 29128-1:2023 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Верификация криптографических протоколов. Часть 1. Структура» поможет повысить безопасность онлайн-транзакций, включая банковское дело, электронную торговлю и электронные письма. ISO/IEC 29128-1:2023 предназначен для всех систем и приложений, в основе которых лежат криптографические протоколы. 

Криптография играет решающую роль в обеспечении безопасности транзакций, поскольку обеспечивает способ защиты информации, передаваемой по сетям. Во время отправки электронного письма или входа в учетную запись онлайн-банкинга, киберпреступники могут перехватить информацию, которая передается по сети, и использовать ее в мошеннических целях.

Криптография предоставляет безопасную связь, обеспечивая конфиденциальность, целостность и подлинность передаваемой информации. Все это гарантирует, что только предполагаемый получатель может получить доступ к информации, что информация не была подделана или изменена во время передачи и что отправитель информации проверен.

Задача специалистов по безопасности заключается в разработке и внедрении криптографического протокола, который отвечает всем функциональным требованиям и требованиям безопасности. Криптографический протокол – это набор правил и процедур, которые регулируют безопасную связь между двумя или более сторонами по сети.

Такой протокол определяет методы шифрования, дешифрования и аутентификации, которые позволяют пользователям доверять информации, передаваемой по сети, а также защищать личную идентифицируемую и финансовую информацию.

ISO/IEC 29128-1:2023 обеспечивает основу для верификации требований криптографических протоколов на основе академических и отраслевых передовых практик. В стандарте установлен четко определенный процесс верификации, основанный на современных обоснованных научных методах моделирования протоколов с использованием строгой логики, математики и информатики.

Несмотря на то, что верификация не является гарантией безопасности, процесс предназначен для предоставления объективных доказательств того, что протокол удовлетворяет заявленным целям безопасности. Как и при любом моделировании, результаты ограничены масштабом и качеством используемой модели и инструментов.

ISO/IEC 29128-1:2023 является важным шагом в обеспечении безопасности связи и транзакций по сетям. Он предоставляет четкую и стандартизированную основу для проверки проектов протоколов, чтобы помочь выявить и устранить любые ошибки проектирования или уязвимости, которые могут быть использованы злоумышленниками. 

Новый стандарт разработан совместным техническим комитетом ISO/IEC JTC 1/SC 27 по кибербезопасности. Данный комитет отвечает за разработку международных стандартов для систем управления информационной безопасностью и смежных тем.

В сферу деятельности SC 27 также входит разработка публикаций, связанных с управлением информационной безопасностью, кибербезопасностью, защитой частной жизни, а также стандартов безопасности конкретных информационных технологий и систем, таких как облачные вычисления, мобильные устройства и промышленные системы управления.

Некоторые стандарты, разработанные SC 27, содержат стандарт ISO/IEC 27001, который обеспечивает основу для внедрения систем управления информационной безопасностью и управления ими. Работа комитета SC 27 имеет решающее значение для обеспечения безопасности и конфиденциальности информации во взаимосвязанном и цифровом мире.

iec.ch