Учитывая то обстоятельство, что основным предназначением АСОИБ является переработка (сбор, хранение, обработка и выдача) информации, то проблема обеспечения безопасности информации является для АСОИБ центральной в ряду проблем защиты средств вычислительной техники от стихийных бедствий и хищений, проблем подбора и подготовки кадров, организации управления, обеспечения живучести АСОИБ, надежности их технических средств и программного обеспечения и других. Очевидно, что все они тесно связаны с безопасностью информации, поскольку, например, отказ в обслуживании клиента или несвоевременное предоставление пользователю хранящейся в АСОИБ важной информации из-за неработоспособности этой системы по своим последствиям равноценны потере информации (несанкционированному ее уничтожению).
Анализ построения система информационной безопасности следует начинать с анализа рисков возможных угроз.
Риск есть стоимостное выражение вероятностного события, ведущего к потерям. Для оценки степени риска при том или ином варианте действий применяются различные методики. В зарубежной литературе они получили название «анализ риска» (risk analysis). Анализ риска применяется к самым различным операциям. Например, при выдаче кредита специалисты банка оценивают риск его невозврата заемщиком. Оценив величину степени риска можно принять меры, направленные на ее уменьшение (например, опечатав на складе заемщика высоколиквидный товар). [13, с.28]
Перед тем, как выбирать различные средства защиты необходимо четко представлять какие компоненты АСОИБ, от каких посягательств и насколько надежно вы хотите защитить. Безусловно, основой системы защиты АСОИБ должны быть организационные (административные) мероприятия, стержнем которых является разработка и реализация плана защиты. Но организационные меры без повсеместной поддержки их физическими и техническими (программными и аппаратными) средствами будут слабы. Поэтому при выборе средств защиты необходимо обращать внимание не только на их надежность, но и на то, как они будут поддерживать разработанные организационные мероприятия.
Необходимо использовать анализ риска для выбора наиболее реальных угроз АСОИБ и целесообразных способов защиты от них.
Для чего нужен анализ риска в этой области?
1. Для повышения осведомленности персонала. Обсуждение вопросов защиты АСОИБ может поднять уровень интереса к этой проблеме среди сотрудников, что приведет к более точному выполнению требований инструкций.
2. Для определения сильных и слабых сторон существующих и предлагаемых мер защиты. Многие организации не имеют полной информации о своей АСОИБ и ее слабых сторонах. Систематический анализ дает всестороннюю информацию о состоянии аппаратного и программного обеспечения АСОИБ и степени риска потери (искажения, утечки) информации при ее обработке и хранении в электронном виде.
3. Для подготовки и принятия решения по выбору мер и средств защиты. Защита снижает производительность АСОИБ, внося при этом неудобства (иногда существенные) в работу пользователей. Некоторые меры защиты слишком сложны и дороги и их применение не может быть оправдано теми функциями, которые они выполняют. В то же время существуют настолько серьезные виды угроз, что поиск и разработка новых, более эффективных методов и средств защиты от них является просто необходимыми. В обоих случаях степень риска определяет уровень и масштаб применяемых средств защиты.
Больше по теме:
Роль специализированных банков в становлении экономики Японии и Кореи
Традиционно значительной является роль государства в поддержке национального, в том числе и банковского, бизнеса в Японии
. В отличие от западной модели, ориентированной на вмешательство государства в экономику в случае сбоев рыночного ме ...
Вексельный
кредит в форме учета векселей
Учет векселей состоит в том, что векселедержатель передает векселя банку по индоссаменту до наступления срока платежа по ним и получает за это вексельную сумму, уменьшенную на определенный процент. Этот процент называется учетным проценто ...
Коммерческие банки
Коммерческим банком является учреждение, осуществляющее на договорных условиях кредитно-расчетное и иное банковское обслуживание юридических лиц и граждан путем совершения операций и оказания услуг, что предусмотрено Законом РФ.
Созда ...