Кожну систему обробки інформації захисту варто розробляти індивідуально з огляду на такі особливості: організаційну структуру банку; обіг і характер інформаційних потоків (усередині банку в цілому, усередині відділів, між відділами, зовнішніх); кількість і характер клієнтів; графік добового навантаження.
Побудова захисту АСОІБ має також враховувати як загальні правила, так і зазначені нижче етапи:
— аналіз ризику, що закінчується розробкою проекту системи захисту і планів захисту, безупинної роботи і відновлення; реалізація системи захисту на основі результатів аналізу ризику;
— постійний контроль за роботою системи захисту й АСОІБ у цілому (програмний, системний і адміністративний).
На кожному етапі реалізуються певні вимоги до захисту; їхнє точне дотримання приводить до створення безпечної системи.
На сьогодні захист АСОІБ — це самостійний напрямок досліджень. Для забезпечення безупинного захисту інформації в АСОІБ доцільно створити з фахівців групу інформаційної безпеки.
Основні етапи побудови системи захисту такі: аналіз, розробка системи захисту (планування); її реалізація; супровід.
На стадії планування формується система захисту як єдина сукупність заходів протидії.
За способами вживання всі заходи забезпечення безпеки комп’ютерних систем поділяються на: правові, морально-етичні, адміністративні, фізичні і технічні (апаратні й програмні) [200, С.28].
До правових заходів захисту відносяться чинні закони, укази, постанови й інші нормативні акти, що регламентують правила роботи з інформацією обмеженого використання і відповідальність за їх порушення. Вони перешкоджають несанкціонованому використанню інформації та є стимулюючим чинником для потенційних порушників.
До морально-етичних заходів протидії відносяться всілякі норми поведінки, що традиційно складаються в міру поширення ЕОМ у БСУ. Ці норми здебільшого не є обов’язковими як законодавчо затверджені, однак їхнє недотримання веде, зазвичай, до падіння авторитету, престижу людини чи групи осіб. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми честі, патріотизму тощо), так і оформлені в кодекс чи правила. Найхарактернішим прикладом останніх є «Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США» [203]. Зокрема, вважаються неетичними навмисні чи ненавмисні дії, що викликають додаткові невиправдані витрати ресурсів (машинного часу, пам’яті, каналів зв’язку тощо); порушують цілісність збереженої й оброблюваної інформації; зачіпають інтереси інших законних користувачів і т.ін.
Адміністративні заходи захисту — це заходи організаційного характеру, що регламентують процеси функціонування системи обробки інформації, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб найбільшою мірою ускладнити чи унеможливити реалізацію загроз безпеці. Вони включають: розробку правил обробки інформації в АСОІБ; заходи, вживані при проектуванні, будівництві й устаткуванні обчислювальних центрів та інших об’єктів АСОІБ (урахування впливу стихії, пожеж, охорона приміщень, організація захисту від установки апаратури, що прослухує, і т.ін.); заходи, вживані при підборі й підготовці персоналу (перевірка нових співробітників; ознайомлення їх з порядком роботи з конфіденційною інформацією, з мірами відповідальності за порушення правил її обробки; створення умов, за яких персоналу було б невигідно припускатися зловживань і т.ін.); організацію обліку, збереження, використання та знищення документів і носіїв з конфіденційною інформацією.
Фізичні заходи захисту — це різного роду механічні, електро- чи електронні пристрої та обладнання, спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи й інформації, що захищається, організація надійного пропускного режиму.
» следующая страница »
1 ... 221 222 223 224 225 226227 228 229 230 231 ... 381