бігають або істотно ускладнюють розкрадання коштів обчислювальної техніки, інформаційних носіїв, а також виключають несанкціонований доступ до АІТ і лініях зв'язку.
Функціонування системи захисту інформації від несанкціонованого доступу як комплексу програмно-технічних засобів і організаційних (процедурних) рішень передбачає:
облік, зберігання і видачу користувачам інформаційних носіїв, паролів, ключів;
ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу);
оперативний контроль за функціонуванням систем захисту секретної інформації;
контроль відповідності загальносистемного програмного середовища еталону;
прийомку включаються до АІТ нових програмних засобів;
контроль за ходом технологічного процесу обробки фінансово-кредитної інформації шляхом реєстрації аналізу дій користувачів;
сигналізацію небезпечних подій і т.д.
Слід зазначити, що без належної організаційної підтримки програмно-технічних засобів захисту інформації від несанкціонованого доступу і точного виконання; передбачених проектною документацією процедур в належній мірі не вирішити проблему забезпечення безпеки інформації, якими б досконалими ці програмно-технічні кошти не були.
Створення базової системи зашиті інформації в АІТ грунтується на наступних принципах:
Комплексний підхід до побудови системи захисту при провідній ролі організаційних заходів. Він означає оптимальне поєднання програмних апаратних засобів і організаційних заходів захисту, підтверджене практикою створення вітчизняних і зарубіжних систем захисту.
Поділ і мінімізація повноважень з доступу до оброблюваної інформації та процедурам обробки. Користувачам надається мінімум суворо визначених повноважень, достатніх для успішного виконання ними своїх службових обов'язків, з точки зору В»автоматизованої обробки доступної їм конфіденційної інформації.
Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь операції обробки інформації в АІТ без її попередньої реєстрації.
Забезпечення надійності системи захисту, тобто неможливість зниження її рівня при виникненні в системі збоїв, відмов, навмисних дій порушника або ненавмисних помилок користувачів і обслуговуючого персоналу.
Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
В«ПрозорістьВ» системи захисту інформації для загального, прикладного програмного забезпечення та користувачів АІТ.
Економічна доцільність використання системи захисту. Він виражається в тому, що вартість розробки та експлуатації систем захисту інформації повинна бути менше вартості можливого збитку, що наноситься об'єкту у разі розробки та експлуатації АІТ без системи захисту інформації.
Проблема створення системи захисту інформації включає дві взаємодоповнюючі завдання:
розробку системи захисту інформації (її синтез);
оцінку, розробленої системи захисту інформації.
Друге завдання вирішується шляхом аналізу технічних характеристик захисту інформації з метою встановлення відповідності її вимогам, що пред'являються до таких систем.
В даний час подібні завдання вирішуються практично виключно експертним шляхом за допомогою сертифікації засобів системи захисту інформації та її атестації в процесі впровадження.
Розкриємо основне зміст поданих засобів і методів захисту інформації, які представляють основу механізмів захисту.
Перешкода - метод фізичного перегородило шляху зловмиснику до інформації, що захищається (до апаратурі, носіям інформації і т.д.).
Управління доступом - метод захисту інформації за допомогою регулювання використання всіх ресурсів комп'ютерної інформаційної системи банківської діяльності (елементів баз даних, програмних і технічних засобів). Управління доступом включає наступні функції захисту:
ідентифікацію користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора);
впізнання (встановлення автентичності) об'єкту або суб'єкта по пред'явленому їм ідентифікатору;
перевірку повноважень (Відповідності дня тижня, часу доби, запрошуваних ресурсів і процедур встановленому регламенту);
дозвіл і створення умов роботи в межах встановленого регламенту;
реєстрацію (Протоколювання) звернень до ресурсів, що захищаються;
реагування (Сигналізація, відключення, затримка робіт, відмова в запиті) при спробах несанкціонованих дій.
Маскування - метод захисту інформації шляхом її криптографічного закриття. Цей метод широко застосовується за кордоном як при обробці, так і при зберіганні інформації, в тому...
