Технічними засобами захисту є різні електронні пристрої і спеціальні програми, що виконують (самостійно чи в комплексі з іншими засобами) функції захисту (ідентифікацію й аутентифікацію користувачів, розмежування доступу до ресурсів, реєстрацію подій, криптографічний захист інформації тощо).
Найкращі результати досягаються за системного підходу до питань забезпечення безпеки АСОІБ і комплексного використання різних заходів захисту на всіх етапах життєвого циклу системи, починаючи із самих ранніх стадій її проектування.
У цій сфері важливо відпрацювати управління засобами захисту і відновлення та політику безпеки. Надійне управління здійсненне лише у випадку розуміння обслуговуючим персоналом розмірів можливих збитків, чіткого викладу планів і виконання персоналом своїх обов’язків. Багато співробітників, що обслуговують АСОІБ, не завжди усвідомлюють ризик, пов’язаний з обробкою інформації в АСОІБ. Тільки спеціальна попередня підготовка персоналу сприяє правильній та ефективній роботі засобів захисту й відновлення. Опис різних способів подолання і порушення захисту в повсякденній діяльності в сфері бізнесу (як, наприклад, витік інформації до конкурента) допоможе обслуговуючому персоналу зрозуміти потребу точного виконання вимог захисту (наприклад, своєчасної зміни паролів).
Політика безпеки — це набір законів, правил і практичних рекомендацій, на основі яких будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поведінку системи в різних ситуаціях.
Політика безпеки являє собою деякий набір вимог, що пройшли відповідну перевірку, реалізованих за допомогою організаційних і програмно-технічних засобів, що визначають структуру системи захисту. Її реалізація для конкретної АСОІБ провадиться за допомогою засобів управління механізмами захисту. Для конкретної організації політика безпеки має бути індивідуальною, залежною від конкретної технології обробки інформації, використовуваних програмних і технічних засобів, розташування організації тощо.
Основу політики безпеки складає спосіб управління доступом, який визначає порядок доступу суб’єктів системи до об’єктів системи.
На сьогодні найкраще вивчені два види політики безпеки: виборча і повноважна, засновані відповідно до виборчого і повноважного способу управління доступом.
Для того, щоб коректно втілити в життя розроблену політику безпеки слід мати надійні механізми її реалізації. Природно припустити, що всі засоби, які відповідають за реалізацію політики безпеки, самі повинні бути захищені від будь-якого втручання в їхню роботу. В іншому разі говорити про надійність захисту буде важко. Можна змінювати їхні параметри, але у своїй основі вони мають залишатися в недоторканності.
Тому всі засоби захисту і управління мають бути об’єднані в так звану достовірну обчислювальну базу.
Достовірна обчислювальна база (ДОБ) — це абстрактне поняття, що позначає цілком захищений механізм обчислювальної системи (включаючи апаратні та програмні засоби), відповідальний за підтримку реалізації політики безпеки.
ДОБ виконує подвійне завдання — підтримує реалізацію політики безпеки і є гарантом цілісності механізмів захисту, тобто самої себе. ДОБ спільно використовується всіма користувачами АСОІБ, однак її модифікація дозволена тільки користувачам зі спеціальними повноваженнями. До них належать адміністратори системи й інші співробітники банку. Процес, який функціонує від імені ДОБ, є достовірним. Це означає, що система захисту беззастережно довіряє цьому процесу і всі його дії санкціоновані політикою безпеки. Саме тому завдання номер один для захисту ДОБ — підтримка власної цілісності; усі програми і набори цих
» следующая страница »
1 ... 222 223 224 225 226 227228 229 230 231 232 ... 381