Анализ состояния банковских автоматизированных систем с точки зрения безопасности

Банковское дело » Проблемы информационной безопасности банков » Анализ состояния банковских автоматизированных систем с точки зрения безопасности

Страница 4

2. Непосредственная регистрация событий. Обычно этот метод применяется для оценки вероятности часто проявляющихся событий (попытки входа в систему, доступ к определенному объекту и т.д.).

3. Оценка частоты проявления угрозы по таблице. Некоторые методы анализа риска позволяют оценить вероятность появления каких либо событий по специальной таблице, выбирая один из коэффициентов. Полнота анализа зависит от качества метода вычисления коэффициентов проявления данного события. Таким образом, оценка вероятности события производится не с помощью безосновательного выбора числа, а на основе системы коэффициентов, которая имеют некоторую методологическую основу.

4. Метод «Дельфийский оракул». С помощью этого метода каждый конкретный коэффициент выводится из частоты появления определенного события. Эти частоты накапливаются и преобразуются в коэффициенты; они могут быть изменены на основе новых данных. После серии испытаний все значения коэффициентов собирают, и если они приемлемы, то одно из них (лучшее в смысле некоторого выбранного критерия) оставляют. В противном случае анализируется методика получения оценок и производится новая серия испытаний.

Определение потерь в результате реализации любой из угроз безопасности — следующий этап анализа риска. Как и оценка частоты реализации различных угроз, определение потерь также трудно поддается расчету. Например, стоимость замены аппаратного или программного обеспечения АСОИБ оценивается достаточно просто. Однако существует много случаев (восстановление данных или программ), когда это сопряжено с большими трудностями.

Многие данные нуждаются в защите по вполне объяснимым причинам. Защищать необходимо личные данные (счета, страховые полисы), коммерческую информацию (технологические, финансовые и другие секреты). Однако при этом трудно оценить величину потерь при искажении, потере этих данных, либо при невозможности получить данные в требуемое время.

Ответы на приведенные ниже вопросы полезно использовать при оценке величины ожидаемых потерь, при анализе различных способов реализации угроз; они, конечно, не дадут полную картину, но могут облегчить оценку возможного ущерба:

1. Каковы Ваши обязательства по сохранению конфиденциальности и целостности тех или иных данных?

2. Может ли компрометация этих данных привести к несчастному случаю? Существует ли реальная возможность такого события?

3. Может ли несанкционированный доступ к этим данным послужить причиной потерь в будущем (упущенная возможность в бизнесе)? Может ли этот случай послужить Вашим соперникам (конкурентам)? Каковы возможные потери от этого?

4. Каков может быть психологический эффект потери? Возможные затруднения? Кредитоспособность? Потеря клиентуры?

5. Каково значение доступа к этим данным? Может ли обработка этих данных быть отложена? Могут ли эти вычислений быть выполнены где-нибудь еще? Сколько Вы можете заплатить за обработку этих данных в другом месте?

6. Каково для Вас значение несанкционированного доступа конкурентов к Вашим данным? Насколько заинтересованы ваши соперники (конкуренты) в этих данных?

7. Какие проблемы могут возникнуть при утере Ваших данных? Могут ли они быть восстановлены? Каков объем работ по восстановлению? Сколько это будет стоить ?

Как уже отмечалось выше, оценка потерь достаточно сложна. Более того, уязвимость вычислительных систем часто оказывается выше ожидаемой. Поэтому реалистичные оценки потенциального ущерба могут послужить основой для разработки системы защиты и определить область наиболее пристального внимания.

Страницы: 1 2 3 4 5 6

Больше по теме:

Обеспеченные и необеспеченные ссуды
При выдаче ссуды главный вопрос - обеспечение возврата выданной суммы. Возвращение кредита не достигается автоматически. Под формой обеспечения возвратности кредита понимается конкретный источник погашения долга, юридически оформленное п ...

Место ликвидности в управлении финансами коммерческого банка и системе критериев, определяющих его надежность
Управление финансами коммерческого банка является сложным взаимосвязанным процессом управления формированием средств банка -собственных (капитала) и привлеченных (обязательств) - их размещением при проведении различных активных операций. ...

Политика дешевых и дорогих денег
Выше уже были упомянуты политика дорогих денег и политика дешевых денег. В этой главе я покажу, в чем она заключается и каков механизм реализации. Пусть экономика столкнулась с безработицей и со снижением цен. Следовательно, необходимо ув ...