Розрізняють зовнішню і внутрішню безпеку АСОІБ [193, с. 182]. Зовнішня безпека включає захист АСОІБ від стихійних лих (пожежа, повінь тощо) і від проникнення зловмисників ззовні з метою розкрадання, отримання доступу до носіїв чи інформації, виводу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної роботи системи, цілісності її програм і даних. Усі зусилля із забезпечення внутрішньої безпеки АСОІБ фокусуються на створенні надійних та зручних механізмів регламентації діяльності всіх її користувачів і обслуговуючого персоналу, дотриманні встановленої в організації дисципліни прямого чи непрямого доступу до ресурсів системи і до інформації.
Побудову системи інформаційної безпеки варто починати з аналізу ризиків можливих загроз. Ризик — це визначення вірогідності події, що веде до втрат. Для оцінки ступеня ризику при тому чи іншому варіанті дій застосовуються різні методики. У закордонній літературі вони отримали назву «аналіз ризику» (risk analysis). Аналіз ризику застосовується до всіляких операцій. Наприклад, при видачі кредиту фахівці банку оцінюють ризик його неповернення позичальником. Оцінивши величезний ступінь ризику можна вжити заходів, які спрямовані на його зменшення (наприклад, опечатавши на складі позичальника високоліквідний товар) [196, с. 28].
Перед тим, як вибирати різні засоби захисту слід чітко представляти які компоненти АСОІБ, від яких зазіхань і наскільки надійно ви хочете захистити. Безумовно, основою системи захисту АСОІБ мають бути організаційні (адміністративні) заходи, стрижнем яких є розробка і реалізація плану захисту.
Аналіз ризику — це процес отримання кількісної чи якісної оцінки збитку, що може виникнути у випадку реалізації загроз безпеці АСОІБ.
Нижче розглядаються основні етапи проведення аналізу ризику безпеки АСОІБ. Вони можуть в окремих випадках корегуватися залежно від конкретних умов аналізу [196, с. 29]: опис компонентів АСОІБ; визначення уразливих місць АСОІБ; оцінка імовірностей прояву загроз безпеці АСОІБ; оцінка очікуваних розмірів втрат; огляд можливих методів захисту й оцінка їхньої вартості; оцінка вигоди від вживання передбачуваних заходів.
Розглянемо ці етапи докладніше.
Опис компонентів АСОІБ
Компоненти АСОІБ — це :
— устаткування — ЕОМ і їхні складові (процесори, монітори, термінали, робочі станції), периферійні пристрої (дисководи, пристрої backup, порти виводу-вводу-висновку, принтери, кабелі, контролери, лінії зв’язку) і т.ін.;
— програмне забезпечення — вихідні, об’єктні, завантажувальні модулі, придбані програми, «домашні» розробки, утиліти, операційні системи і системні програми (компілятори, компоновщики й ін.), діагностичні програми тощо;
— дані—тимчасові, збережені постійно, на магнітних носіях, друковані, архівні, системні журнали і т.ін.;
— співробітники — користувачі й обслуговуючий персонал.
Захист від прояву тієї чи іншої загрози може бути реалізований різними засобами. Наприклад, захистити інформацію на твердому диску ПЕОМ можна такими засобами: організувати контроль за доступом у приміщення, в якому встановлена ПЕОМ; призначити відповідальних за використання ПЕОМ; шифрувати інформацію на диску; використовувати системи розмежування доступу; закривати доступ чи демонтувати дисководи і порти виводу-вводу-висновку; застосовувати засоби оповіщення адміністратора про розкриття корпуса ПЕОМ.
Специфічною рисою електронних банківських систем є спеціальна форма обміну електронними даними, без яких жоден сучасний банк не може існувати. Обмін електронними даними (ОЕД) — це міжком- п’ютерний обмін діловими, комерційними, фінансовими електронними документами.
ОЕД забезпечує оперативну взаємодію торгових партнерів (клієнтів, постачальників, торгових посередників і ін.) на всіх етапах підготовки торгової угоди, укладання контракту і реалізації постачання. На етапі оплати контракту і переказу коштів ОЕД може забезпечувати електронний обмін фінансовими документами. При цьому створюється ефективне середовище для торгово-платіжних операцій [193, с. 71].
» следующая страница »
1 ... 219 220 221 222 223 224225 226 227 228 229 ... 381