Построение защиты банковских автоматизированных систем

Банковское дело » Проблемы информационной безопасности банков » Построение защиты банковских автоматизированных систем

Страница 2

К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают, как неписанные (например, общепризнанные нормы честности, патриотизма и т.п.), так и оформленные в некий свод (устав) правил или предписаний. Наиболее характерным примером последних является «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США» [14]. В частности, считаются неэтичными умышленные или неумышленные действия, которые:

- нарушают нормальную работу компьютерных систем;

- вызывают дополнительные неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);

- нарушают целостность хранимой и обрабатываемой информации;

- нарушают интересы других законных пользователей и т.д.

Административные меры защиты — это меры организационного характера, регламентирующие процессы функционирования системы обработки информации, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

- разработку правил обработки информации в АСОИБ;

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АСОИБ (учет влияния стихии, пожаров, охрана помещений, организация защиты от установки прослушивающей аппаратуры и т.п.);

- мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);

- организацию надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

- распределение реквизитов разграничения доступа (паролей, профилей полномочий и т.п.);

- организацию скрытого контроля за работой пользователей и персонала АСОИБ;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.).

Физические меры защиты — это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.

Техническими (аппаратно-программными) средствами защиты называются различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).

Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АСОИБ и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего надо решить правовые и организационные вопросы.

Административные меры играют значительную роль в обеспечении безопасности АСОИБ. Эти меры необходимо использовать тогда, когда другие методы и средства защиты просто недоступны (отсутствуют или слишком дороги). Однако это вовсе не означает, что систему защиты необходимо строить исключительно на основе административных методов, как это часто пытаются сделать чиновники, далекие от технического прогресса. Этим мерам присущи серьезные недостатки, такие как:

- низкая их надежность без соответствующей поддержки со стороны физических, технических и программных средств (люди склонны к нарушению любых установленных правил, если только их можно нарушить);

- применение для защиты только административного мер обычно приводит к параличу деятельности АСОИБ и всей организации (совершенно невозможно работать не нарушая инструкций) из-за ряда дополнительных неудобств, связанных с большим объемом рутинной формальной деятельности.

Страницы: 1 2 3 4 5 6 7

Больше по теме:

Начало реформы кредитно-банковской системы (1987 – 1990)
В середине 80-х годов в обстановке поиска путей более интенсивного развития экономики стали предприниматься попытки реорганизации банковской системы. После длительных дискуссий в 1987 г. было решено провести в стране радикальную экономиче ...

Методы оценки, применяемые в коммерческих банках РТ
Регулирование деятельности коммерческих банков осуществляется посредством соответствующих нормативов, введенных в действие Центральным Банком России в 1991 году. Они имеют следующие особенности: а) все нормативы делятся на обязательные ...

Типы факторинговых соглашений
Факгоринговое обслуживание клиентов осуществляется на договорных началах. До заключения договора фирма анализирует финансовое положение поставщика и его дебиторов. В целях снижения риска по факторинговым операциям поставщик должен: произв ...