- •Требования, предъявляемые к системам дбо(дист банк обслуж)
- •Состав задач, решаемых в рамках систем дбо
- •Классифицирующие признаки пластиковых карт
- •Типы пластиковых карт с точки зрения технологии хранения информации
- •Топология платежных систем с использованием пластиковых карт
- •Состав участников платежных систем с использованием пластиковых карт
- •Информационные потоки в платежных системах с использованием пластиковых карт
- •Сравнительная характеристика smart-карт и карт с магнитной полосой
- •Состав и назначение технологического оборудования используемого в платежных системах с использованием пластиковых карт
- •Сущность понятия "Безопасность информационной системы"
- •Требования, предъявляемые к системам информационной безопасности
- •Классификация видов угроз
- •Преднамеренные угрозы
- •Непреднамеренные угрозы
- •Задачи, решаемые системами информационной безопасности
- •Внешняя и внутренняя безопасность
- •Меры противодействия угрозам безопасности
- •Принципы построения систем защиты информационных систем
- •Сущность понятия "криптография"
- •Сущность понятия "электронная подпись"
- •Симметричные алгоритмы шифрования
- •Алгоритмы шифрования с открытым ключом
- •Надежность криптосистем
Меры противодействия угрозам безопасности
На практике выделяют несколько групп средств и методов, используемых в системе комплексной защиты банков/9/:
- правовые (законодательные);
- морально-этические;
- морально-психологические;
- организационные (административные);
- физические;
- инженерно-технические (аппаратные и программные).
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе.
Морально-психологические средства и методы включают в себя мероприятия по работе как с персоналом и посетителями банка, так и с категорией лиц вне банка, сведения и действия которых оказывают или могут оказать существенное влияние на безопасность банка, его персонала, ценностей и информации.
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав автоматизированной системы и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
Принципы построения систем защиты информационных систем
Защита информации при использовании автоматизированных систем основывается на следующих основных принципах:
- системность;
- комплексность;
- равнопрочность;
- непрерывность защиты;
- разумная достаточность;
- простота применения защитных мер и средств.
Принцип системности
Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.
Принцип комплексности
Принцип комплексности реализуется в совместном и согласованном применении различных мер, методов и средств защиты компьютерных систем. Комплексная система защиты информации создается исходя из принципа эшелонированности.
Под эшелонированостью понимают создание нескольких последовательных рубежей защиты таким образом, чтобы наиболее важная зона безопасности банка находилась внутри других зон.
Принцип равнопрочности
Принцип равнопрочности требует, чтобы все участки всех рубежей, защищающих зоны безопасности, были равнопрочными с точки зрения вероятности реализации угрозы. Если в рубежах есть слабые, плохо защищенные места и злоумышленнику это известно, то никакие эффективные меры защиты на остальных участках не защитят эту зону безопасности.
Принцип непрерывности защиты
Принцип непрерывности защиты подразумевает создание и развитие компонентов системы безопасности параллельно развитию информационной системы, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Принцип разумной достаточности
Принцип разумной достаточности подразумевает соответствие принятых мер безопасности уровню угроз и ценности охраняемых данных.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).