Построение защиты банковских автоматизированных систем

Банковское дело » Проблемы информационной безопасности банков » Построение защиты банковских автоматизированных систем

Страница 15

Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни ОС) и. наконец, нижний уровень этой структуры представлен аппаратными средствами защиты. На всех уровнях, кроме верхнего, должны реализовываться требования политики безопасности, за что, собственно, и отвечают механизмы защиты.

В различных системах механизмы защиты могут быть реализованы по-разному; их конструкция определяется общей концепцией системы. Однако одно требование должно выполняться неукоснительно: эти механизмы должны адекватно реализовывать требования политики безопасности.

Имеется два подхода к обеспечению безопасности АСОИБ.

«Фрагментарный» подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Примерами реализации такого подхода являются, например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д. Главная отличительная особенность «фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.

Главным достоинством «фрагментарного» подхода является его высокая избирательность относительно конкретной угрозы, обуславливающая и основной его недостаток — локальность действия. Другими словами, фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов АСОИБ от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты; распространить действие таких мер на всю АСОИБ практически невозможно.

Особенностью комплексного подхода является создание защищенной среды обработки информации в АСОИБ, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Защищенная среда обработки информации строится на основе разработанных для конкретной АСОИБ правил обработки критической информации.

Организация защищенной среды обработки информации позволяет гарантировать (в рамках разработанной политики безопасности) уровень безопасности АСОИБ. Недостатками подхода являются высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления, ограничения на свободу действий пользователей АСОИБ.

Комплексный подход применяют для защиты крупных АСОИБ, или небольших АСОИБ, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. При этом способ реализации комплексной защиты определяется спецификой АСОИБ, другими объективными и субъективными факторами.

Для всех крупных организаций характерно то, что нарушение безопасности информации в их АСОИБ может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности, что ведет к необходимости реализации комплексной защиты.

Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений, он нашел свое отражение в различных стандартах и целенаправленно проводится в жизнь, например, Министерством обороны США в лице Национального Центра Компьютерной Безопасности (NCSC). [2, с.201]

Важным компонентом защиты является «горячий резерв».

«Горячий резерв» используется для возобновления процесса обработки после событий, вызвавших полный или частичный отказ основной системы — в результате отключения энергоснабжения, неисправности оборудовании или программного обеспечения, злого умысла («вирусная атака») и т.д.

«Горячий резерв» — это готовая к работе дублирующая система, в которой полностью сгенерирована операционная система, размещены прикладное программное обеспечение и наборы данных. Кроме того, резервная система должна иметь работоспособные периферийные устройства, подключенные каналы связи, источники энергоснабжения и даже персонал. Время на подготовку определяется временем загрузки резервных копий и системы.

Содержание «горячего резерва» обходится очень дорого. Однако в некоторых случаях — для обработки информации, требующей полного контроля со стороны ее владельца, «горячий резерв» необходим. Кроме того, можно содержать и использовать «горячий резерв» на кооперативных началах — вместе с другими организациями.

«Расщепленный резерв» представляет собой способ не столько восстановления, сколько организации АСОИБ. В этом смысле о нем можно говорить, как о способе организации системы с высокой степенью распределенности и взаимодублирующими составными частями. При таком подходе критичные элементы системы (аппаратура, программы, данные) разнесены по отдельным ее частям (узлам распределенной системы) и функционируют в какой-то мере независимо, обмениваясь между собой информацией по каналам связи.

Страницы: 10 11 12 13 14 15 16 17 18

Больше по теме:

Организация процесса управления кредитным риском в коммерческом банке
Вероятность неблагоприятного влияния конкретных факторов или их комбинаций на надёжность банка характеризуется рисками. Под риском понимается угроза потери части своих ресурсов, недополучение доходов или произведение дополнительных расхо ...

Порядок открытия филиала КО на территории РФ
Кредитная организация вправе открыть филиал на территории РФ, если в отношении нее, в соответствии со статьей 75 Федерального закона № 394-1 “О Центральном банке Российской Федерации (Банке России)” в редакции Федеральных законов № 65-ФЗ ...

Расчёты аккредитивами
Аккредитив (от лат. «accredo» - доверяю) – письменное поручение одного кредитного учреждения другому о выплате определенной суммы физическому или юридическому лицу при выполнении указанных в аккредитиве условий. Аккредитивная форма – од ...