Лекция 9. Безопасность электронных банковских систем (2 часа)

Методология защиты автоматизированных систем обработки информации. Безопасность АСОИ. Основные понятия

Что такое безопасность АСОИ

Под безопасностью автоматизированной системы обработки информации (АСОИ) будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Иными словами под безопасностью системы понимается сс защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Это и попытки проникновения злоумышленника, и ошибки персонала, и стихийные бедствия (ураган, пожар), и выход из строя составных частей АСОИ.

Безопасность АСОИ достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, программам, процессам и т. д.). Для остальных субъектов системы эта информация как бы не существует.

Целостность компонента (ресурса) системы — свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

Доступность компонента (ресурса) системы — свойство компонента (рссурса)быть доступным для использования авторизованными субъектами системы в любое время.

Обеспечение безопасности АСОИ требует применения различных мер защитного характера. Обычно вопрос о необходимости защиты компьютерной системы не вызывает сомнений. Дискуссии разворачиваются, когда необходимо определить, что от чего и как надо защищать (какими методами и средствами)?

При выработке подходов к решению проблемы безопасности следует всегда исходить из того, что конечной целью применения любых мер противодействия угрозам является защиты владельца и законных пользователей АСОИ от нанесения им материального или морального ущерба в результате случайных или преднамеренных воздействий на нее.

Обеспечение безопасности АСОИ в целом предполагает создание препятствий для любого несанкционированного вмешательства в процесс се функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов. То есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. В этом смысле, защита информации от несанкционированного доступа является только частью общей проблемы обеспечения безопасности АСОИ, а сам термин НСД было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а шире, — как «несанкционированные действия».

Обычно различают внешнюю и внутреннюю безопасность АСОИ. Внешняя безопасность включает защиту АСОИ от стихийных бедствий (пожар, наводнение и т. п.) и от проникновения злоумышленников извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности се программ и данных.

Все усилия по обеспечению внутренней безопасности АСОИ фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее пользователей и обслуживающего персонала, соблюдении установленной в организации дисциплины прямого или косвенного доступа к ресурсам системы и к информации.

На сегодня сложилось два подхода к проблеме обеспечения безопасности АСОИ, назовем их условно «фрагментарный» и комплексный.