Вопрос 3. Принципы защиты банковских автоматизированных систем

Вопрос 3. Принципы защиты банковских автоматизированных систем

Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:

? организационную структуру банка;

? объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);

? количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка – число банковских операций в день, является основой для определения параметров системы);

? количество и функциональные обязанности персонала;

? количество и характер клиентов;

? график суточной нагрузки. Защита АСОИБ должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

– анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

– реализация системы защиты на основе результатов анализа риска;

– постоянный контроль за работой системы защиты и АСОИБ в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

На сегодняшний день защита АСОИБ – это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).

Главное при защите АСОИБ специалистами – наличие опыта у администрации системы. Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АСОИБ и не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации, гибкость управления системой защиты и т. д., без чего применение системы защиты становится трудным делом. Построение системы защиты – это процесс поиска компромисса между уровнем защищенности АСОИБ и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.

Для обеспечения непрерывной защиты информации в АСОИБ целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т. д.

Один из самых важных прикладных аспектов теории защиты – защита сети. При этом, с одной стороны, сеть должна восприниматься как единая система и, следовательно, ее защита также должна строиться по единому плану. С другой стороны, каждый узел сети должен быть защищен индивидуально.

Защита конкретной сети должна строиться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т. д.

Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защита компьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бывает необходим и «экзотический» вид защиты – от электромагнитного излучения или защита каналов связи.

Основные этапы построения системы защиты заключаются в следующем:

Анализ ? Разработка системы защиты (планирование) ? Реализация системы защиты ? Сопровождение системы защиты.

Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенный момент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные) [7, с.28].

Данный текст является ознакомительным фрагментом.