Анализ состояния банковских автоматизированных систем с точки зрения безопасности

Банковское дело » Проблемы информационной безопасности банков » Анализ состояния банковских автоматизированных систем с точки зрения безопасности

Страница 3

4. Для определения затрат на защиту. Некоторые механизмы защиты требуют довольно больших ресурсов, и их работа скрыта от пользователей. Анализ риска может помочь определить самые главные требования к системе защиты АСОИБ.

Анализ риска - это процесс получения количественной или качественной оценки ущерба, который может произойти в случае реализации угрозы безопасности АСОИБ.

Ниже рассматриваются основные этапы, проводимые при анализе риска безопасности АСОИБ. Они могут в отдельных случаях корректироваться в зависимости от конкретных условий анализа [13, с.29]:

1. Описание компонентов АСОИБ.

2. Определение уязвимых мест АСОИБ.

3. Оценка вероятностей проявления угроз безопасности АСОИБ.

4. Оценка ожидаемых размеров потерь.

5. Обзор возможных методов защиты и оценка их стоимости.

6. Оценка выгоды от применения предполагаемых мер.

Рассмотрим эти этапы подробнее. Описание компонентов АСОИБ

Все компоненты АСОИБ можно разбить на следующие категории:

- оборудование — ЭВМ и их составные части (процессоры, мониторы, терминалы, рабочие станции), периферийные устройства (дисководы, устройства back-up, порты ввода-вывода, принтеры, кабели, контроллеры, линии связи) и т.д.;

- программное обеспечение — исходные, объектные, загрузочные модули, приобретенные программы, «домашние» разработки, утилиты, операционные системы и системные программы (компиляторы, компоновщики и др.), диагностические программы и т.д.;

- данные — временные, хранимые постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

- сотрудники — пользователи и обслуживающий персонал.

Кроме компонентов АСОИБ при планировании системы безопасности необходимо четко описать технологию обработки информации в защищаемой АСОИБ. Необходимо зафиксировать состояние АСОИБ как совокупности различных компонентов и технологии обработки информации. Все дальнейшие этапы анализа риска производятся именно с этой, зафиксированной на некоторый момент времени, системой.

Важным моментом является определение уязвимых мест АСОИБ. Для всех категорий, компонентов АСОИБ необходимо определить, какие опасности могут угрожать каждой из них и что может быть их причиной.

Рассмотрим примеры опасных воздействий, которые могут привести к нарушению конфиденциальности, целостности и доступности определенных компонентов и ресурсов АСОИБ:

1. Стихийные бедствия.

2. Внешние воздействия. Подключение к сети, интерактивная работа, воздействие хакеров.

3. Преднамеренные нарушения. Действия обиженных служащих, взяточников, любопытных посетителей, конкурентов и т.д.

4. Неумышленные ошибки. Ввод ошибочной команды, данных, использование неисправных устройств, носителей, а также пренебрежение некоторыми правилами безопасности.

Дальнейший этап анализа риска определяет, как часто может проявиться каждая из угроз безопасности АСОИБ. В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна.

Приведем некоторые методы оценки вероятностей проявления угроз.

1. Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии. Так например, в среднем за год пожар уничтожит некоторое количество зданий; средний ущерб составит $Х. Кроме того, также можно получать данные об обманах со стороны сотрудников, коррупции и т.д. Такой анализ обычно неточен, поскольку использует лишь частичные данные о событии, но тем не менее в некоторых случаях таким путем можно получить приемлемые результаты.

Страницы: 1 2 3 4 5 6

Больше по теме:

Кредитный мониторинг
Контроль за ходом погашения ссуды и выплатой процентов по ней служит важным этапом всего процесса кредитования. Он заключается в периодическом анализе кредитного досье заемщика, пересмотре кредитного портфеля банка и проведении аудиторск ...

Выпуск банком собственных ценных бумаг
Коммерческие банки могут выпускать следующие виды ценных бумаг – акции с целью формирования уставного капитала (фонда), собственные долговые обязательства: облигации, депозитные и сберегательные сертификаты, векселя – для привлечения допо ...

Виды кредитования
Безусловно, положительная для экономики тенденция - то, что сроки кредитования существенно увеличились. Еще до кризиса 1998 года банки предпочитали выдавать лишь краткосрочные займы (от 1 - 3 месяцев до полугода), что было приемлемо в осн ...